6.3 ES IVEAdminGuide

Juniper Networks Secure Access
Gua de Administracin
Versin 6.3
Juniper Networks, Inc.

1194 North Mathilda Avenue
Sunnyvale, CA 94089
EE. UU.
408-745-2000
www.juniper.net
Nmero de pieza: 63A091008-ES
This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright 19861997, Epilogue
Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no part of them is in the public
domain.
This product includes memory allocation software developed by Mark Moraes, copyright 1988, 1989, 1993, University of Toronto.
This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentation and software
included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by The Regents of the University of California. Copyright 1979, 1980, 1983, 1986, 1988,
1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.
GateD software copyright 1995, The Regents of the University. All rights reserved. Gate Daemon was originated and developed through release 3.0 by
Cornell University and its collaborators. Gated is based on Kirtons EGP, UC Berkeleys routing daemon (routed), and DCNs HELLO routing protocol.
Development of Gated has been supported in part by the National Science Foundation. Portions of the GateD software copyright 1988, Regents of the
University of California. All rights reserved. Portions of the GateD software copyright 1991, D. L. S. Associates.
Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, the NetScreen logo, NetScreen-Global Pro, ScreenOS, and GigaScreen are
registered trademarks of Juniper Networks, Inc. in the United States and other countries.
The following are trademarks of Juniper Networks, Inc.: ERX, E-series, ESP, Instant Virtual Extranet, Internet Processor, J2300, J4300, J6300, J-Protect,
J-series, J-Web, JUNOS, JUNOScope, JUNOScript, JUNOSe, M5, M7i, M10, M10i, M20, M40, M40e, M160, M320, M-series, MMD, NetScreen-5GT,
NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400,
NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-SA 1000 Series,
NetScreen-SA 3000 Series, NetScreen-SA 5000 Series, NetScreen-SA Central Manager, NetScreen Secure Access, NetScreen-SM 3000, NetScreen-Security
Manager, NMC-RX, SDX, Stateful Signature, T320, T640, T-series, and TX Matrix. All other trademarks, service marks, registered trademarks, or registered
service marks are the property of their respective owners. All specifications are subject to change without notice.
Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned by or licensed
to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347,
6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785.
Copyright 2008, Juniper Networks, Inc.
All rights reserved. Printed in USA.
Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify, transfer, or
otherwise revise this publication without notice.
Year 2000 Notice
Juniper Networks hardware and software products are Year 2000 compliant. The JUNOS software has no known time-related limitations through the year
2038. However, the NTP application is known to have some difficulty in the year 2036.
Software License
The terms and conditions for using this software are described in the software license contained in the acknowledgment to your purchase order or, to the
extent applicable, to any reseller agreement or end-user purchase agreement executed between you and Juniper Networks. By using this software, you
indicate that you understand and agree to be bound by those terms and conditions.
Generally speaking, the software license restricts the manner in which you are permitted to use the software and may contain prohibitions against certain
uses. The software license may state conditions under which the license is automatically terminated. You should consult the license for further details.
For complete product documentation, please see the Juniper Networks Web site at www.juniper.net/techpubs.
End User License Agreement
READ THIS END USER LICENSE AGREEMENT ("AGREEMENT") BEFORE DOWNLOADING, INSTALLING, OR USING THE SOFTWARE. BY
DOWNLOADING, INSTALLING, OR USING THE SOFTWARE OR OTHERWISE EXPRESSING YOUR AGREEMENT TO THE TERMS CONTAINED HEREIN, YOU
(AS CUSTOMER OR IF YOU ARE NOT THE CUSTOMER, AS A REPRESENTATIVE/AGENT AUTHORIZED TO BIND THE CUSTOMER) CONSENT TO BE BOUND
BY THIS AGREEMENT. IF YOU DO NOT OR CANNOT AGREE TO THE TERMS CONTAINED HEREIN, THEN (A) DO NOT DOWNLOAD, INSTALL, OR USE THE
SOFTWARE, AND (B) YOU MAY CONTACT JUNIPER NETWORKS REGARDING LICENSE TERMS.
1. The Parties. The parties to this Agreement are Juniper Networks, Inc. and its subsidiaries (collectively Juniper), and the person or organization that
originally purchased from Juniper or an authorized Juniper reseller the applicable license(s) for use of the Software (Customer) (collectively, the Parties).
2. The Software. In this Agreement, Software means the program modules and features of the Juniper or Juniper-supplied software, and updates and
releases of such software, for which Customer has paid the applicable license or support fees to Juniper or an authorized Juniper reseller.
3. License Grant. Subject to payment of the applicable fees and the limitations and restrictions set forth herein, Juniper grants to Customer a non-exclusive
and non-transferable license, without right to sublicense, to use the Software, in executable form only, subject to the following use restrictions:
a. Customer shall use the Software solely as embedded in, and for execution on, Juniper equipment originally purchased by Customer from Juniper or an
authorized Juniper reseller, unless the applicable Juniper documentation expressly permits installation on non-Juniper equipment.
b. Customer shall use the Software on a single hardware chassis having a single processing unit, or as many chassis or processing units for which Customer
has paid the applicable license fees.
c. Product purchase documents, paper or electronic user documentation, and/or the particular licenses purchased by Customer may specify limits to
Customers use of the Software. Such limits may restrict use to a maximum number of seats, registered endpoints, concurrent users, sessions, calls,
connections, subscribers, clusters, nodes, or transactions, or require the purchase of separate licenses to use particular features, functionalities, services,
applications, operations, or capabilities, or provide throughput, performance, configuration, bandwidth, interface, processing, temporal, or geographical
limits. Customers use of the Software shall be subject to all such limitations and purchase of all applicable licenses.
The foregoing license is not transferable or assignable by Customer. No license is granted herein to any user who did not originally purchase the applicable
license(s) for the Software from Juniper or an authorized Juniper reseller.
4. Use Prohibitions. Notwithstanding the foregoing, the license provided herein does not permit the Customer to, and Customer agrees not to and shall not:
(a) modify, unbundle, reverse engineer, or create derivative works based on the Software; (b) make unauthorized copies of the Software (except as necessary
for backup purposes); (c) rent, sell, transfer, or grant any rights in and to any copy of the Software, in any form, to any third party; (d) remove any
proprietary notices, labels, or marks on or in any copy of the Software or any product in which the Software is embedded; (e) distribute any copy of the
Software to any third party, including as may be embedded in Juniper equipment sold in the secondhand market; (f) use any locked or key-restricted
feature, function, service, application, operation, or capability without first purchasing the applicable license(s) and obtaining a valid key from Juniper, even
if such feature, function, service, application, operation, or capability is enabled without a key; (g) distribute any key for the Software provided by Juniper to
any third party; (h) use the Software in any manner that extends or is broader than the uses purchased by Customer from Juniper or an authorized Juniper
reseller; (i) use the Software on non-Juniper equipment where the Juniper documentation does not expressly permit installation on non-Juniper equipment;
(j) use the Software (or make it available for use) on Juniper equipment that the Customer did not originally purchase from Juniper or an authorized Juniper
reseller; or (k) use the Software in any manner other than as expressly provided herein.
5. Audit. Customer shall maintain accurate records as necessary to verify compliance with this Agreement. Upon request by Juniper, Customer shall furnish
such records to Juniper and certify its compliance with this Agreement.
6. Confidentiality. The Parties agree that aspects of the Software and associated documentation are the confidential property of Juniper. As such, Customer
shall exercise all reasonable commercial efforts to maintain the Software and associated documentation in confidence, which at a minimum includes
restricting access to the Software to Customer employees and contractors having a need to use the Software for Customers internal business purposes.
7. Ownership. Juniper and Junipers licensors, respectively, retain ownership of all right, title, and interest (including copyright) in and to the Software,
associated documentation, and all copies of the Software. Nothing in this Agreement constitutes a transfer or conveyance of any right, title, or interest in the
Software or associated documentation, or a sale of the Software, associated documentation, or copies of the Software.
8. Warranty, Limitation of Liability, Disclaimer of Warranty. The warranty applicable to the Software shall be as set forth in the warranty statement that
accompanies the Software (the Warranty Statement). Nothing in this Agreement shall give rise to any obligation to support the Software. Support services
may be purchased separately. Any such support shall be governed by a separate, written support services agreement. TO THE MAXIMUM EXTENT
PERMITTED BY LAW, JUNIPER SHALL NOT BE LIABLE FOR ANY LOST PROFITS, LOSS OF DATA, OR COSTS OR PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES, OR FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES ARISING OUT OF THIS AGREEMENT, THE SOFTWARE, OR ANY JUNIPER
OR JUNIPER-SUPPLIED SOFTWARE. IN NO EVENT SHALL JUNIPER BE LIABLE FOR DAMAGES ARISING FROM UNAUTHORIZED OR IMPROPER USE OF
ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. EXCEPT AS EXPRESSLY PROVIDED IN THE WARRANTY STATEMENT TO THE EXTENT PERMITTED BY
LAW, JUNIPER DISCLAIMS ANY AND ALL WARRANTIES IN AND TO THE SOFTWARE (WHETHER EXPRESS, IMPLIED, STATUTORY, OR OTHERWISE),
INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. IN NO EVENT DOES
JUNIPER WARRANT THAT THE SOFTWARE, OR ANY EQUIPMENT OR NETWORK RUNNING THE SOFTWARE, WILL OPERATE WITHOUT ERROR OR
INTERRUPTION, OR WILL BE FREE OF VULNERABILITY TO INTRUSION OR ATTACK. In no event shall Junipers or its suppliers or licensors liability to
Customer, whether in contract, tort (including negligence), breach of warranty, or otherwise, exceed the price paid by Customer for the Software that gave
rise to the claim, or if the Software is embedded in another Juniper product, the price paid by Customer for such other product. Customer acknowledges and
agrees that Juniper has set its prices and entered into this Agreement in reliance upon the disclaimers of warranty and the limitations of liability set forth
herein, that the same reflect an allocation of risk between the Parties (including the risk that a contract remedy may fail of its essential purpose and cause
consequential loss), and that the same form an essential basis of the bargain between the Parties.
9. Termination. Any breach of this Agreement or failure by Customer to pay any applicable fees due shall result in automatic termination of the license
granted herein. Upon such termination, Customer shall destroy or return to Juniper all copies of the Software and related documentation in Customers
possession or control.
10. Taxes. All license fees for the Software are exclusive of taxes, withholdings, duties, or levies (collectively Taxes). Customer shall be responsible for
paying Taxes arising from the purchase of the license, or importation or use of the Software.
11. Export. Customer agrees to comply with all applicable export laws and restrictions and regulations of any United States and any applicable foreign
agency or authority, and not to export or re-export the Software or any direct product thereof in violation of any such restrictions, laws or regulations, or
without all necessary approvals. Customer shall be liable for any such violations. The version of the Software supplied to Customer may contain encryption
or other capabilities restricting Customers ability to export the Software without an export license.
12. Commercial Computer Software. The Software is commercial computer software and is provided with restricted rights. Use, duplication, or
disclosure by the United States government is subject to restrictions set forth in this Agreement and as provided in DFARS 227.7201 through 227.7202-4,
FAR 12.212, FAR 27.405(b)(2), FAR 52.227-19, or FAR 52.227-14(ALT III) as applicable.
13. Interface Information. To the extent required by applicable law, and at Customer's written request, Juniper shall provide Customer with the interface
information needed to achieve interoperability between the Software and another independently created program, on payment of applicable fee, if any.
Customer shall observe strict obligations of confidentiality with respect to such information and shall use such information in compliance with any
applicable terms and conditions upon which Juniper makes such information available.
14. Third Party Software. Any licensor of Juniper whose software is embedded in the Software and any supplier of Juniper whose products or technology
are embedded in (or services are accessed by) the Software shall be a third party beneficiary with respect to this Agreement, and such licensor or vendor
shall have the right to enforce this Agreement in its own name as if it were Juniper. In addition, certain third party software may be provided with the
Software and is subject to the accompanying license(s), if any, of its respective owner(s). To the extent portions of the Software are distributed under and
subject to open source licenses obligating Juniper to make the source code for such portions publicly available (such as the GNU General Public License
(GPL) or the GNU Library General Public License (LGPL)), Juniper will make such source code portions (including Juniper modifications, as appropriate)
available upon request for a period of up to three years from the date of distribution. Such request can be made in writing to Juniper Networks, Inc., 1194 N.
Mathilda Ave., Sunnyvale, CA 94089, ATTN: General Counsel. You may obtain a copy of the GPL at http://www.gnu.org/licenses/gpl.html, and a copy of the
LGPL at http://www.gnu.org/licenses/lgpl.html.
15. Miscellaneous. This Agreement shall be governed by the laws of the State of California without reference to its conflicts of laws principles. The
provisions of the U.N. Convention for the International Sale of Goods shall not apply to this Agreement. For any disputes arising under this Agreement, the
Parties hereby consent to the personal and exclusive jurisdiction of, and venue in, the state and federal courts within Santa Clara County, California. This
Agreement constitutes the entire and sole agreement between Juniper and the Customer with respect to the Software, and supersedes all prior and
contemporaneous agreements relating to the Software, whether oral or written (including any inconsistent terms contained in a purchase order), except that
the terms of a separate written agreement executed by an authorized Juniper representative and Customer shall govern to the extent such terms are
inconsistent or conflict with terms contained herein. No modification to this Agreement nor any waiver of any rights hereunder shall be effective unless
expressly assented to in writing by the party to be charged. If any portion of this Agreement is held invalid, the Parties agree that such invalidity shall not
affect the validity of the remainder of this Agreement. This Agreement and associated documentation has been written in the English language, and the
Parties agree that the English version will govern. (For Canada: Les parties aux prsents confirment leur volont que cette convention de mme que tous
les documents y compris tout avis qui s'y rattach, soient redigs en langue anglaise. (Translation: The parties confirm that this Agreement and all related
documentation is and will be in the English language)).
Contenido
Acerca de esta gua
xxiii
Audiencia .................................................................................................... xxiii

Informacin complementaria...................................................................... xxiii
Documentacin para administradores y desarrolladores ...................... xxiii
Documentacin relacionada con los mensajes de error ........................ xxiv
Documentacin sobre hardware........................................................... xxiv
Descargas del producto ........................................................................ xxiv
Convenciones ............................................................................................. xxiv
Documentacin............................................................................................ xxv
Notas de versin.................................................................................... xxv
Acceso web ........................................................................................... xxv
Contactar al servicio de soporte tcnico ....................................................... xxv
Parte 1
Gua de inicio
Captulo 1
Verificacin inicial y conceptos clave
Verificar la accesibilidad del usuario ................................................................ 3

Crear un supuesto de prueba para aprender los conceptos y prcticas
recomendadas con IVE .............................................................................. 6
Definir un rol de usuario............................................................................ 7
Definicin de un perfil de recurso.............................................................. 9
Definicin de un servidor de autenticacin.............................................. 11
Definicin de un territorio de autenticacin............................................. 15
Definir una directiva de inicio de sesin .................................................. 18
Utilizacin del supuesto de prueba .......................................................... 21
Configurar ajustes predeterminados para administradores ............................ 23
Captulo 2
Introduccin al IVE
25
Qu es el IVE?............................................................................................... 25
Qu puedo hacer con el IVE? ........................................................................ 27
Puedo usar el IVE para proporcionar seguridad en el trfico de todas
las aplicaciones, servidores y pginas web de mi empresa? .............. 28
Puedo usar mis servidores actuales para autenticar a los usuarios
del IVE?............................................................................................. 29
Puedo ajustar con mayor precisin el acceso al IVE y a los recursos
para los que proporciona intermediacin? ........................................ 30
Puedo crear una integracin sin fisuras entre el IVE y los recursos
para los que proporciona intermediacin? ........................................ 31
Puedo usar el IVE para proporcionar proteccin contra equipos
infectados y otras amenazas a la seguridad? ..................................... 31
Contenido
Gua de administracin de Secure Access de Juniper Networks
Puedo garantizar la redundancia en el entorno de mi IVE? .................... 32

Puedo hacer que la interfaz del IVE coincida con la apariencia
y aspecto de mi empresa?.................................................................32
Puedo habilitar usuarios de equipos y dispositivos diversos para
que usen el IVE?................................................................................ 33
Puedo proporcionar acceso seguro a los usuarios internacionales? ........ 33
Cmo comienzo a configurar el IVE? ............................................................ 34
Uso de Network and Security Manager con el IVE.......................................... 35
La manera en que se comunican el IVE y el NSM .................................... 35
Resumen de tareas: Configuracin de las comunicaciones DMI
para el NSM ...................................................................................... 37
Administracin de grandes archivos de datos binarios ............................ 39
Parte 2
Marco de administracin de acceso

Captulo 3
Administracin de acceso general
51
Licencia: Disponibilidad de la administracin de acceso ................................ 52

Vista general de las directivas, reglas, restricciones y condiciones ................. 52
Acceso a territorios de autenticacin ....................................................... 52
Acceso a los roles de usuario ................................................................... 53
Acceso a directivas de recursos ............................................................... 54
Evaluacin de las directivas, reglas, restricciones y condiciones .................... 54
Evaluacin dinmica de directivas .................................................................57
Comprensin de la evaluacin dinmica de directivas............................. 57
Comprensin de la evaluacin de directivas estndar.............................. 58
Habilitacin de la evaluacin dinmica de directivas ............................... 59
Configuracin de los requisitos de seguridad ................................................. 60
Especificacin de las restricciones de acceso de la direccin
IP de origen ...................................................................................... 60
Especificacin de las restricciones de acceso para exploradores.............. 62
Especificacin de las restricciones de acceso para certificados ................ 65
Especificacin de las restricciones de acceso para contraseas ............... 66
Especificacin de las restricciones de acceso para Host Checker ............. 67
Especificacin de las restricciones de acceso para Cache Cleaner............ 67
Especificacin de las restricciones de lmite ............................................ 67
Captulo 4
Roles de usuario
69
Licencia: Disponibilidad de roles de usuario................................................... 70

Evaluacin de rol de usuario .......................................................................... 70
Pautas de combinacin permisiva ........................................................... 72
Configuracin de los roles de usuario............................................................. 72
Configuracin de las opciones generales del rol....................................... 73
Configuracin de restricciones de rol....................................................... 74
Especificacin de alias de IP de origen basados en roles ......................... 75
Especificacin de las opciones de sesin ................................................. 76
Especificacin de las opciones de UI........................................................ 79
Definicin de opciones predeterminadas para roles de usuario ............... 84
Personalizacin de las vistas de UI para roles de usuario ............................... 86
vi
Contenido
Contenido
Captulo 5
Perfiles de recursos
91
Licencia: Disponibilidad de perfiles de recursos ............................................. 92

Resumen de tareas: Configuracin de perfiles de recursos............................. 92
Componentes de los perfiles de recursos ....................................................... 92
Definicin de recursos ............................................................................. 95
Definicin de directivas automticas ....................................................... 96
Definicin de roles................................................................................... 98
Definicin de marcadores........................................................................ 98
Plantillas de los perfiles de recursos ............................................................... 99
Captulo 6
Directivas de recursos
101
Licencia: Disponibilidad de directivas de recursos........................................102

Componentes de las directivas de recursos..................................................103
Especificacin de los recursos para una directiva de recursos ...............103
Evaluacin de las directivas de recursos.......................................................106
Creacin de reglas detalladas para las directivas de recursos .......................108
Escritura de una regla detallada.............................................................109
Personalizacin de las vistas de la interfaz de usuario de directivas
de recursos ............................................................................................110
Captulo 7
Servidores de autenticacin y de directorios
111
Licencia: Disponibilidad de servidores de autenticacin...............................112

Resumen de tareas: configuracin de servidores de autenticacin...............113
Definicin de una instancia de servidor de autenticacin.............................114
Definicin de una instancia de servidor de autenticacin ......................115
Modificacin de una instancia de servidor de autenticacin existente ...115
Configuracin de una instancia de servidor annimo...................................115
Restricciones de servidores annimos ...................................................116
Definicin de una instancia de servidor annimo ..................................116
Configuracin de una instancia de ACE/Server.............................................117
Definicin de una instancia de ACE/Server ............................................118
Generacin de un archivo de configuracin de ACE/Agent ....................119
Configuracin de una instancia de Active Directory o dominio NT...............120
Definicin de una instancia de servidor Active Directory o dominio
de Windows NT ..............................................................................121
Autenticacin de usuarios de varios dominios .......................................124
Compatibilidad con consulta de grupos de Active Directory y NT ..........125
Configuracin de una instancia de servidor de certificados ............................ 126
Configuracin de una instancia de servidor LDAP ........................................128
Definicin de una instancia de servidor LDAP .......................................129
Configuracin de los atributos de bsqueda de LDAP para creadores
de reuniones ...................................................................................132
Supervisin y eliminacin de sesiones de usuario activas......................132
Habilitacin de la administracin de contraseas de LDAP ...................133
Configuracin de una instancia de servidor de autenticacin local...............138
Definicin de una instancia de servidor de autenticacin local ..............138
Creacin de cuentas de usuario en un servidor local de autenticacin...140
Administracin de cuentas de usuario ...................................................142
Delegacin de derechos de administracin de usuarios a usuarios
finales .............................................................................................142
Configuracin de una instancia de servidor NIS ...........................................144
Contenido
vii
Configuracin de una instancia de servidor de RADIUS ...............................145

Experiencia de los usuarios de RADIUS .................................................146
Configuracin del IVE para trabajar con el servidor backend RADIUS ...147
Habilitacin de la contabilidad RADIUS .................................................151
Configuracin de una instancia de servidor eTrust SiteMinder .....................160
Informacin general sobre eTrust SiteMinder ........................................161
Configuracin de SiteMinder para que funcione con el IVE....................165
Configuracin del IVE para que funcione con SiteMinder ......................172
Depuracin de SiteMinder y problemas del IVE .....................................186
Configuracin de una instancia de servidor de SAML ...................................187
Uso del perfil de artefacto y del perfil POST ..........................................187
Creacin de una nueva instancia de servidor SAML...............................192
Captulo 8
Territorios de autenticacin
195
Licencia: disponibilidad de territorios de autenticacin ................................196

Creacin de un territorio de autenticacin ...................................................196
Definicin de directivas de autenticacin .....................................................198
Creacin de reglas de asignacin de roles ....................................................199
Cmo especificar reglas de asignacin de roles para un territorio
de autenticacin..............................................................................201
Personalizacin de vistas de UI de territorios de usuario..............................209
Captulo 9
Directivas de inicio de sesin
211
Licencia: Disponibilidad de directivas y pginas de inicio de sesin.............213

Resumen de tareas: Configuracin de directivas de inicio de sesin ............213
Configuracin de directivas de inicio de sesin ............................................214
Definicin de las directivas de inicio de sesin ......................................214
Definicin de directivas de acceso slo con autorizacin.......................215
Definicin de las directivas de inicio de sesin de reunin ....................217
Habilitacin y inhabilitacin de directivas de inicio de sesin................219
Especificacin del orden de evaluacin de las directivas de inicio
de sesin.........................................................................................219
Configuracin las pginas de inicio de sesin...............................................220
Configuracin de las pginas de inicio de sesin estndares .................221
Captulo 10
Inicio de sesin nico
223
Licencia: Disponibilidad de inicio de sesin nico........................................223

Informacin general de inicio de sesin nico .............................................224
Informacin general de credenciales de inicios de sesin mltiples .............226
Resumen de tareas: configuracin de mltiples servidores
de autenticacin..............................................................................226
Resumen de tareas: Activacin de SSO para recursos protegidos
por autenticacin bsica .................................................................227
Resumen de tareas: Activacin de SSO para recursos protegidos
por NTLM........................................................................................227
Ejecucin de credenciales de inicios de sesin mltiples .......................229
Configuracin de SAML ................................................................................234
Configuracin de perfiles SAML SSO ............................................................237
Creacin de un perfil de artefacto..........................................................237
Creacin de un perfil POST....................................................................242
Creacin de una directiva de control de acceso .....................................245
Creacin de una relacin de confianza entre sistemas habilitados
por SAML ........................................................................................249
viii
Contenido
Contenido
Parte 3
Defensa en el punto final

Captulo 11
Host Checker
257
La arquitectura TNC dentro de Host Checker ...............................................257

Vista general de Host Checker......................................................................258
Licencia: Disponibilidad de Host Checker.....................................................258
Resumen de tareas: Configuracin de Host Checker ....................................259
Creacin de directivas de Host Checker globales..........................................261
Habilitacin de directivas predefinidas del lado cliente
(solo en Windows) ..........................................................................262
Creacin y configuracin de nuevas directivas del lado cliente ....................267
Bsqueda de aplicaciones de terceros usando reglas predefinidas
(slo en Windows) .................................................................................268
Configuracin de una regla de antivirus predefinida con opciones
de correccin ..................................................................................269
Configuracin de una regla de cortafuegos predefinida con opciones
de correccin ..................................................................................272
Configuracin de una regla predefinida de Spyware ..............................273
Configuracin de la supervisin de la versin de la firma de virus
y de la supervisin de los datos de la evaluacin de parches...........274
Especificacin de requisitos personalizados usando reglas
personalizadas.......................................................................................276
Uso de un comodn o una variable de entorno en una regla de
Host Checker ..................................................................................283
Evaluacin de varias reglas en una directiva nica de Host Checker......284
Configuracin de directivas de evaluacin de parches ...........................285
Uso de Comprobadores de medicin de integridad de terceros ...................289
Configuracin de un servidor IMV remoto .............................................289
Implementacin de la directiva para IMV de terceros ............................295
Combinacin de varias reglas de medicin de integridad con expresiones
personalizadas.......................................................................................296
Habilitacin de directivas personalizadas del lado del servidor..............296
Implementacin de las directivas del Host Checker .....................................298
Ejecucin de las directivas del Host Checker .........................................299
Configuracin de las restricciones de Host Checker...............................301
Correccin de las directivas de Host Checker ...............................................303
Experiencia del usuario en la correccin de Host Checker .....................304
Configuracin de la correccin general de Host Checker .......................305
Definicin de los tneles de acceso de autenticacin previa de
Host Checker .........................................................................................310
Especificacin de las definiciones de los tneles de acceso
de autenticacin previa de Host Checker ........................................311
Especificacin de las opciones generales de Host Checker ...........................314
Especificacin de las opciones de instalacin de Host Checker ....................316
Eliminacin del control ActiveX de Juniper ............................................317
Uso de Host Checker con la funcin de inicio de sesin automtica
de GINA ..........................................................................................318
Instalacin automtica de Host Checker ................................................318
Instale Host Checker de forma manual ..................................................319
Contenido
ix
Uso de registros de Host Checker.................................................................319

Configuracin de Host Checker para Windows Mobile .................................320
Uso de excepciones Proxy ...........................................................................321
Habilitacin de Secure Virtual Workspace ....................................................321
Caractersticas de Secure Virtual Workspace .........................................322
Restricciones y ajustes predeterminados de Secure Virtual
Workspace ......................................................................................323
Configuracin de Secure Virtual Workspace ..........................................324
Captulo 12
Cache Cleaner
331
Licencia: Disponibilidad de Cache Cleaner ...................................................332

Ajuste de las opciones globales de Cache Cleaner ........................................332
Implementacin de las opciones de Cache Cleaner......................................335
Ejecucin de Cache Cleaner...................................................................336
Especificacin de las restricciones de Cache Cleaner .............................338
Especificacin de las opciones de instalacin de Cache Cleaner...................339
Uso de los registros de Cache Cleaner..........................................................340
Parte 4
Acceso remoto
Eleccin de un mecanismo de acceso remoto..............................................344
Captulo 13
Plantillas de applets de Java hospedados
345
Licencia: disponibilidad de applets de Java hospedados ...............................345

Resumen de tareas: hospedaje de applets de Java........................................346
Informacin general de applets de Java hospedados ....................................346
Carga de applets de Java al IVE..............................................................347
Firma de applets de Java cargados.........................................................348
Creacin de pginas HTML que hacen referencia a los applets de
Java cargados ..................................................................................349
Acceso a los marcadores de applet de Java............................................349
Definicin de perfiles de recursos: applets de Java hospedados ...................350
Definicin de marcadores del applet de Java hospedado .......................352
Caso de uso: creacin de un marcador de applet de Java Citrix JICA 9.5......357
Ejemplo de applet JICA 9.5 ....................................................................358
Ejemplo de JICA 8.x...............................................................................359
Captulo 14
Plantillas de Citrix
361
Informacin general sobre las plantillas Web de Citrix.................................361

Comparacin de los mecanismos de acceso del IVE para la
configuracin de Citrix ..........................................................................362
Creacin de perfiles de recursos mediante aplicaciones Web de Citrix ........365
Contenido
Captulo 15
Plantillas de Lotus iNotes
371
Captulo 16
Plantillas de Microsoft OWA
375
Captulo 17
Plantillas de Microsoft Sharepoint
379
Contenido
Captulo 18
Reescritura web
383
Licencia: Disponibilidad de la reescritura web..............................................384

Resumen de tareas: configuracin de la caracterstica de
reescritura web......................................................................................384
Informacin general sobre la reescritura de URL web ..................................386
Informacin general de SSO remoto......................................................388
Informacin general de proxy passthrough ...........................................389
Definicin de perfiles de recursos: Aplicaciones web personalizadas ...........392
Definicin de URL de base.....................................................................394
Definicin de una directiva automtica de control de acceso web .........395
Definicin de recursos Web...................................................................396
Definicin de una directiva automtica de inicio de sesin nico ..........397
Definicin de una directiva automtica de almacenamiento
en cach .........................................................................................401
Definicin de una directiva automtica de control de acceso a Java ......404
Definicin de una directiva automtica de reescritura ...........................406
Definicin de una directiva automtica de compresin web..................411
Definicin de un marcador web ............................................................412
Definicin de los ajustes de rol: URL web.....................................................415
Creacin de marcadores a travs de perfiles de recursos existentes ......415
Creacin de marcadores web estndar ..................................................416
Especificacin de opciones generales de exploracin web.....................418
Definicin de directivas de recursos: Informacin general ...........................422
Definicin de directivas de recursos: acceso web.........................................424
Definicin de directivas de recursos: inicio de sesin nico .........................425
Escritura de una directiva de recursos de intermediacin de
autenticacin bsica o NTLM...........................................................426
Escritura de una directiva de recursos POST de formulario de
SSO remoto.....................................................................................429
Escritura de una directiva de recursos de encabezados/cookies
de SSO remoto................................................................................431
Definicin de directivas de recursos: almacenamiento en cach..................433
Escritura de una directiva de recursos de almacenamiento en cach.....434
Creacin de directivas de recursos de almacenamiento en
cach OWA y Lotus Notes ...............................................................437
Especificacin de opciones generales de almacenamiento en cach......438
Definicin de directivas de recursos: applets de Java externos.....................439
Escritura de una directiva de recursos de control de acceso a Java ........439
Escritura de una directiva de recursos de firma de cdigo Java .............441
Definicin de directivas de recursos: reescritura ..........................................443
Creacin de una directiva de recursos de reescritura selectiva...............443
Creacin de una directiva de recursos proxy passthrough .....................446
Creacin de una directiva de recursos de encabezados
personalizados ................................................................................449
Creacin de una directiva de recursos de parmetros ActiveX...............450
Restauracin de las directivas de recursos ActiveX predeterminadas
del IVE ............................................................................................452
Creacin de filtros de reescritura ...........................................................454
Definicin de directivas de recursos: compresin web.................................454
Escritura de una directiva de recursos de compresin web ...................454
Definicin de una directiva de recursos de compresin OWA ...............456
Definicin de directivas de recursos: proxy web ..........................................456
Escritura de una directiva de recursos proxy web..................................456
Especificacin de servidores proxy web ................................................458
Contenido
xi
Definicin de directivas de recursos: protocolo HTTP 1.1 ............................459

Definicin de directivas de recursos: Acceso a dominio cruzado
(llamadas XMLHttpRequest) ..................................................................461
Definicin de directivas de recursos: opciones generales .............................462
Administracin de directivas de recursos: Personalizacin de vistas de UI...463
Captulo 19
Reescritura de archivos
465
Licencia: Disponibilidad para la reescritura de archivos ...............................465

Definicin de perfiles de recursos: Reescritura de archivo ...........................465
Definicin de recursos de archivos ........................................................467
Definicin de una directiva automtica de control de acceso
a archivos .......................................................................................468
Definicin de una directiva automtica de compresin de archivos.......469
Definicin de una directiva automtica de inicio de sesin nico
(slo Windows) ...............................................................................470
Definicin de un marcador de archivo...................................................471
Definicin de los ajustes de rol: Recursos de Windows ................................473
Creacin de marcadores avanzados para recursos de Windows ............474
Creacin de marcadores de Windows que se asignan a servidores
LDAP...............................................................................................475
Definicin de opciones generales para la exploracin de archivos.........476
Definicin de directivas de recursos: Recursos de archivos de Windows......476
Formato cannico: Recursos de archivos de Windows ..........................477
Escritura de una directiva de recurso de acceso para Windows .............478
Para escribir una directiva de recurso SSO para Windows.....................479
Para escribir una directiva de recurso de compresin para Windows ....481
Definicin de opciones generales de escritura de archivos ....................482
Definicin de los ajustes de rol: Recursos de archivos para UNIX/NFS .........483
Creacin de marcadores avanzados a recursos de UNIX........................483
Definicin de opciones generales para la exploracin de archivos.........485
Definicin de directivas de recursos: Recursos de archivos para
UNIX/NFS ..............................................................................................485
Formato cannico: Recursos de archivos para UNIX/NFS ......................486
Escritura de directivas de recursos para UNIX/NFS ................................487
Para escribir una directiva de recurso de compresin para
Unix/NFS.........................................................................................488
Definicin de opciones generales de escritura de archivos ....................489
Captulo 20
Secure Application Manager
491
Licencia: Disponibilidad de Secure Application Manager..............................492

Resumen de tareas: Configuracin de WSAM ..............................................492
Informacin general de WSAM ....................................................................493
Trfico de cliente/servidor seguro con WSAM........................................494
Compatibilidad del antivirus y la aplicacin cliente VPN........................496
Inicio de Network Connect durante una sesin de WSAM .....................497
Depuracin de problemas de WSAM .....................................................497
Definicin de perfiles de recursos: WSAM....................................................498
Creacin de perfiles de recursos de aplicaciones de cliente WSAM........498
Creacin de perfiles de recursos de red de destino de WSAM................500
Definicin de los ajustes de rol: WSAM ........................................................501
Especificacin de aplicaciones y servidores para proteger
con WSAM ......................................................................................501
Especificacin de aplicaciones que necesitan evitar WSAM ...................504
xii
Contenido
Contenido
Especificacin de opciones WSAM a nivel de rol ...................................506

Descarga de aplicaciones WSAM ...........................................................507
Definicin de directivas de recursos: WSAM ................................................508
Especificacin de los servidores de aplicaciones a los
cuales los usuarios pueden tener acceso .........................................508
Especificacin de opciones WSAM a nivel de recurso ............................510
Uso del iniciador de WSAM ..........................................................................510
Ejecucin manual de scripts ..................................................................512
Ejecucin automtica de scripts.............................................................513
Resumen de tareas: Configuracin de JSAM.................................................514
Informacin general de JSAM.......................................................................516
Uso de JSAM para comunicaciones cliente/servidor ...............................517
Compatibilidad con Linux y Macintosh ..................................................526
Compatibilidad con aplicaciones estndar: MS Outlook.........................526
Compatibilidad con aplicaciones estndar: Lotus Notes.........................528
Compatibilidad con aplicaciones estndar: Citrix Web Interface for
MetaFrame (NFuse Classic) .............................................................530
Compatibilidad con aplicaciones personalizadas: aplicaciones
publicadas de Citrix configuradas desde el cliente nativo ................531
Compatibilidad con aplicaciones personalizadas: Citrix Secure
Gateways ........................................................................................534
Definicin de perfiles de recursos: JSAM ......................................................535
Definicin de los ajustes de rol: JSAM ..........................................................540
Especificacin de aplicaciones para proteger con JSAM .........................540
Especificacin de opciones JSAM a nivel de rol......................................543
Definicin de directivas de recursos: JSAM...................................................545
Inicio automtico de JSAM.....................................................................545
Especificacin de los servidores de aplicaciones a los cuales los
usuarios pueden tener acceso .........................................................547
Especificacin de opciones JSAM a nivel de recurso ..............................548
Captulo 21
Telnet/SSH
551
Licencia: Disponibilidad de Telnet/SSH ........................................................552

Resumen de tareas: Configuracin de la caracterstica Telnet/SSH...............552
Definicin de perfiles de recursos: Telnet/SSH .............................................553
Definicin de un marcador de perfil de recursos de Telnet/SSH ............554
Definicin de los ajustes de rol: Telnet/SSH..................................................556
Creacin de marcadores de sesin avanzada.........................................557
Configuracin de las opciones generales de Telnet/SSH.........................558
Definicin de directivas de recursos: Telnet/SSH..........................................559
Escritura de las directivas de recursos de Telnet/SSH.............................560
Coincidencia de direcciones IP con nombres de host ............................561
Captulo 22
Terminal Services
563
Licencia: Disponibilidad de Terminal Services..............................................563

Resumen de tareas: Configuracin de la caracterstica Terminal Services ....564
Vista general de Terminal Services...............................................................565
Experiencia del usuario de Terminal Services ........................................566
Ejecucin de Terminal Services .............................................................567
Configuracin de Citrix para admitir el equilibrio de carga de ICA.........568
Definicin de perfiles de recursos: Vista general de Terminal Services.........570
Contenido xiii
Definicin de perfiles de recursos: Windows Terminal Services ...................572

Definicin de directivas automticas del applet de Java hospedado.......573
Definicin de un marcador para un perfil de servicios de terminal
de Windows ....................................................................................575
Definicin de perfiles de recursos: Terminal Services de Citrix
(ICA predeterminado) ............................................................................583
Definicin de un marcador para un perfil Citrix usando los ajustes
de ICA predeterminados .................................................................584
(ICA personalizado) ...............................................................................591
Definicin de un marcador para un perfil Citrix usando un archivo
ICA personalizado ...........................................................................593
Definicin de perfiles de recursos: Lista de aplicaciones Citrix.....................594
Definicin de un marcador para las aplicaciones de la lista del perfil
de Citrix ..........................................................................................596
Definicin de los ajustes de rol: Terminal Services .......................................599
Creacin de marcadores de sesin de servicios de terminal
avanzados .......................................................................................600
Creacin de enlaces desde un sitio externo a un marcador de
sesin de Terminal Services ............................................................608
Especificacin de las opciones generales de Terminal Services .............612
Definicin de directivas de recursos: Terminal Services ...............................615
Configuracin de directivas de recursos de servicios de terminal ..........616
Especificacin de la opcin de recursos de Terminal Services ...............617
Captulo 23
Secure Meeting
619
Licencia: Disponibilidad de Secure Meeting .................................................619

Resumen de tareas: Configuracin de Secure Meeting .................................620
Informacin general de Secure Meeting .......................................................622
Programacin de reuniones...................................................................622
Envo de correos electrnicos de notificacin ........................................625
Entrar en una reunin ...........................................................................626
Asistencia a las reuniones......................................................................628
Direccin de reuniones..........................................................................629
Presentacin de reuniones ....................................................................630
Creacin de reuniones instantneas y de reuniones de apoyo...............630
Creacin de reuniones MySecureMeeting ..............................................632
Definicin de los ajustes de rol: Secure Meeting...........................................633
Habilitacin y configuracin de Secure Meeting ....................................633
Pautas de fusin permisiva para Secure Meeting ...................................638
Especificacin de los servidores a los que pueden acceder los
creadores de reuniones ...................................................................638
Configuracin de los ajustes de reunin a nivel de sistema ..........................640
Resolucin de problemas de Secure Meeting ...............................................643
Problemas conocidos.............................................................................644
Supervisin de Secure Meeting ....................................................................645
xiv
Contenido
Contenido
Captulo 24
Email Client
647
Licencia: Disponibilidad de Email Client ......................................................648

Informacin general sobre Email Client .......................................................648
Eleccin de un Email Client ...................................................................648
Funcionamiento con un servidor de correo basado en estndares.........649
Funcionamiento con el servidor Microsoft Exchange.............................649
Funcionamiento con Lotus Notes y el servidor de correo de
Lotus Notes .....................................................................................651
Definicin de los ajustes de rol: Email Client................................................652
Definicin de directivas de recursos: Email Client........................................652
Captulo 25
Network Connect
655
Resumen de tareas: Configuracin de Network Connect..............................658

Informacin general de Network Connect....................................................660
Ejecucin de Network Connect ..............................................................660
Perfiles de conexin de Network Connect compatibles con
ajustes de varios DNS......................................................................667
Aprovisionamiento de la red para Network Connect..............................668
Registro del lado cliente.........................................................................669
Compatibilidad de proxy de Network Connect ......................................669
Calidad de servicio de Network Connect................................................670
Soporte de multicast de Network Connect .............................................671
Definicin de los ajustes de rol: Network Connect .......................................671
Definicin de directivas de recursos: Network Connect................................674
Definicin de directivas de control de acceso de Network Connect .......674
Creacin de perfiles de conexin de Network Connect..........................675
Definicin de directivas de divisin de encapsulamiento de
Network Connect ............................................................................682
Caso de uso: Configuracin de directivas de recursos de
Network Connect ............................................................................683
Definicin de directivas de administracin de ancho de banda
de Network Connect .......................................................................684
Definicin de los ajustes de sistema: Network Connect................................690
Especificacin de filtros IP .....................................................................690
Descarga del instalador de Network Connect.........................................690
Dependencias del proceso de instalacin de Network Connect .............691
Dependencias del proceso de desinstalacin de Network Connect ........693
Uso del iniciador de Network Connect (iniciador de NC) ..............................694
Solucin de errores de Network Connect .....................................................697
nc.windows.app.23792 .........................................................................697
Conflicto de versiones al cambiar a una anterior ...................................697
Contenido
xv
Parte 5
Administracin de sistema
Captulo 26
Administracin general del sistema
701
Licencia: Disponibilidad de la administracin del sistema............................701

Resumen de tareas: Configuracin de las funciones de administracin........702
Configuracin de los ajustes de la red ..........................................................702
Puertos de enlace ..................................................................................703
Configuracin de los ajustes generales de la red ....................................703
Configuracin de los puertos internos y externos ..................................706
Configuracin de puertos SFP................................................................708
Configuracin del puerto de administracin ..........................................708
Configuracin de VLAN..........................................................................709
Configuracin de puertos virtuales ........................................................711
Resumen de tareas: Definicin de los destinos de subred en
base a roles .....................................................................................713
Configuracin de las rutas estticas para el trfico de red......................714
Creacin de cachs ARP ........................................................................715
Especificacin de nombres de host para que el IVE resuelva de
manera local ...................................................................................716
Especificacin de filtros IP .....................................................................716
Uso de las caractersticas de administracin central.....................................717
Modificacin de los grficos del panel de la administracin central .......718
Configuracin de las utilidades del sistema ..................................................720
Revisin de los datos del sistema ..........................................................720
Actualizacin o cambio a una versin anterior del IVE .........................721
Ajuste de las opciones del sistema.........................................................722
Descarga de los instaladores de aplicaciones .........................................724
Configuracin de licencias, seguridad y NCP................................................727
Introduccin o actualizacin de licencias de IVE....................................727
Activacin y desactivacin del modo de emergencia .............................734
Ajuste de las opciones de seguridad ......................................................735
Configuracin de NCP y JCP ..................................................................738
Instalacin de un paquete de actualizacin de software de Juniper........739
Configuracin y uso del puerto de administracin .......................................740
Configuracin de los ajustes de red del puerto de administracin .........741
Inclusin de rutas estticas en la tabla de rutas de administracin ........742
Asignacin del certificado al puerto de administracin ..........................743
Control del acceso de inicio de sesin del administrador.......................743
Inicio de sesin a travs del puerto de administracin ..........................744
Ajuste de las reglas de asignacin de roles a travs de expresiones
personalizadas ................................................................................744
Resolucin de problemas del puerto de administracin.........................745
Uso del puerto de administracin en un clster .....................................746
Importacin de las configuraciones a un sistema con el puerto de
administracin habilitado................................................................746
xvi
Contenido
Contenido
Captulo 27
Certificados
749
Licencia: Disponibilidad de certificados .......................................................750

Uso de certificados de dispositivo ................................................................750
Importacin de certificados en el IVE ....................................................751
Descarga de un certificado de dispositivo del IVE ..................................754
Creacin de una solicitud de firma de certificado (CSR) para un
nuevo certificado ............................................................................754
Uso de los certificados de CA de servidor intermedio ............................755
Uso de varios certificados de dispositivo del IVE ...................................756
Uso de CA de cliente de confianza ...............................................................758
Habilitacin de CA de cliente de confianza ............................................759
Habilitacin de jerarquas de CA cliente.................................................767
Habilitacin de CRL ...............................................................................768
Habilitacin de OCSP.............................................................................771
Uso de CA del servidor de confianza ............................................................774
Carga de certificados de CA del servidor de confianza...........................775
Renovacin del certificado de CA de servidor de confianza ...................775
Eliminacin del certificado de CA del servidor de confianza ..................776
Visualizacin de detalles del certificado de CA del servidor
de confianza ...................................................................................776
Uso de certificados de firma de cdigo ........................................................776
Consideraciones adicionales para los usuarios de SUN JVM ...................778
Resumen de tareas: configurar el IVE para que firme o vuelva
a firmar los applets .........................................................................778
Importacin de un certificado de firma de cdigo .................................778
Captulo 28
Archivado del sistema
781
Licencia: Disponibilidad de archivado del sistema .......................................781

Archivado de archivos de configuracin binarios del IVE .............................782
Creacin de copias de seguridad locales de los archivos de
configuracin del IVE.............................................................................784
Importacin y exportacin de archivos de configuracin del IVE .................787
Exportacin de un archivo de configuracin del sistema .......................788
Importacin de un archivo de configuracin del sistema .......................788
Exportacin de cuentas de usuario locales o directivas de recursos .......789
Importacin de cuentas de usuario locales o directivas de recursos.......790
Importacin de ajustes de configuracin IVS .........................................790
Importacin de ajustes de configuracin IVS .........................................791
Importacin y exportacin de archivos de configuracin XML .....................791
Creacin y modificacin de instancias XML...........................................794
Restricciones de integridad referencial ..................................................797
Asignacin de instancia XML a componentes UI....................................798
Descarga del archivo de esquema..........................................................800
Estrategias para trabajar con instancias XML.........................................800
Reinicios del sistema .............................................................................808
Casos de uso de XML Import/Export......................................................810
Importacin de un sistema con el puerto de administracin .................814
Uso de los atributos de operacin..........................................................814
Configuraciones de envo de un IVE a otro...................................................816
Definicin de los IVE de destino ............................................................818
Envo de ajustes de configuracin..........................................................819
Archivado de Secure Meetings .....................................................................821
Contenido
xvii
Captulo 29
Registro y supervisin
823
Licencia: Disponibilidad de registro y supervisin ........................................823

Informacin general de registro y supervisin .............................................824
Niveles de gravedad del archivo de registro...........................................825
Archivos de registro personalizado del filtro ..........................................826
Filtros de registro dinmicos .................................................................826
Visualizacin y eliminacin de sesiones de usuario ...............................827
Configuracin de las caractersticas de supervisin de registro ....................828
Configuracin de eventos, acceso de usuario, acceso de administrador
y sensor IDP .........................................................................................828
Creacin, restablecimiento o guardado de una consulta de registro
dinmico.........................................................................................829
Especificacin de los eventos que se guardarn en el archivo
de registro.......................................................................................830
Creacin, edicin o eliminacin de filtros ..............................................831
Creacin de filtros y formatos personalizados para sus archivos
de registro.......................................................................................832
Supervisin del IVE como un agente de SNMP .............................................833
Visualizacin de estadsticas del sistema......................................................840
Habilitacin de registros del lado cliente ......................................................840
Habilitacin de registros y opciones globales del lado cliente ................841
Habilitacin de cargas de registro del lado cliente .................................842
Visualizacin de registros cargados del lado cliente ...............................843
Visualizacin del estado general...................................................................844
Visualizacin del uso de la capacidad del sistema..................................844
Especificacin del rango de tiempo y los datos que aparecen en
los grficos......................................................................................845
Configuracin de la apariencia del grfico .............................................845
Visualizacin de eventos crticos del sistema .........................................846
Descarga del paquete de servicio actual ................................................846
Edicin de la fecha y hora del sistema...................................................847
Supervisin de usuarios activos....................................................................847
Visualizacin y cancelacin de reuniones programadas. ..............................849
Captulo 30
Resolucin de problemas
851
Licencia: Disponibilidad de la resolucin de problemas ...............................851

Simulacin o seguimiento de eventos ..........................................................852
Simulacin de eventos que causan un problema ...................................852
Rastreo de eventos usando el seguimiento de directivas .......................854
Grabacin de sesiones..................................................................................856
Creacin de imgenes instantneas del estado del sistema IVE ...................857
Creacin de archivos de volcado TCP...........................................................859
Prueba de la conectividad de red del IVE .....................................................861
Protocolo de resolucin de direcciones (ARP) ........................................861
Ping .......................................................................................................861
Traceroute .............................................................................................861
NSlookup ...............................................................................................862
Ejecucin de las herramientas de depuracin de forma remota ...................862
Creacin de registros de depuracin ............................................................863
Supervisin de los nodos del clster.............................................................864
Configuracin de la supervisin de la comunicacin del grupo en
un clster...............................................................................................865
Configuracin de la supervisin de la conectividad de red en un clster ......866
xviii
Contenido
Contenido
Captulo 31
Creacin de clsteres
869
Licencia: Disponibilidad para creacin de clsteres......................................870

Resumen de tareas: Implementacin de un clster ......................................870
Creacin y configuracin de un clster ........................................................872
Definicin e inicializacin de un clster.................................................873
Integracin en un clster existente ........................................................874
Configuracin de las propiedades del clster ...............................................877
Implementacin de dos nodos en un clster activo/pasivo ....................877
Implementacin de dos o ms unidades en un clster activo/activo......879
Sincronizacin del estado del clster .....................................................881
Configuracin de las propiedades del clster .........................................883
Administracin y configuracin de clsteres ................................................885
Adicin de nodos mltiples al clster.....................................................885
Administracin de los ajustes de red para los nodos del clster.............886
Actualizacin de nodos en clster..........................................................886
Actualizacin del paquete de servicio del clster ...................................887
Eliminacin de un clster ......................................................................888
Reinicio o rearranque de nodos en clster.............................................889
Procedimientos de la consola de administracin ...................................889
Supervisin de clsteres ........................................................................891
Resolucin de problemas de clsteres ...................................................892
Procedimientos de la consola serie ..............................................................894
Integracin de un IVE en un clster a travs de su consola serie ...........894
Inhabilitacin de un IVE en clster por medio de su consola serie.........897
Captulo 32
Delegacin de los roles de administrador
899
Licencia: Disponibilidad de roles de administrador delegado .......................900

Creacin y configuracin de roles de administrador ....................................900
Creacin de las roles de administrador..................................................901
Modificacin de los roles de administrador ...........................................902
Eliminacin de los roles de administrador .............................................902
Especificacin de tareas de administracin para delegar..............................903
Delegacin de tareas de administracin de sistema...............................903
Delegacin de la administracin de usuarios y roles..............................904
Delegacin de la administracin del territorio de usuarios.....................905
Delegacin de la gestin administrativa.................................................906
Delegacin de la administracin de las directivas de recursos ...............907
Delegacin de la administracin de los perfiles de recursos ..................908
Definicin de ajustes generales del rol de administrador de sistema............909
Definicin de opciones predeterminadas para los roles de
administrador .................................................................................909
Administracin de los ajustes y opciones generales de los roles ............910
Especificacin de opciones de administracin de acceso para el rol ......910
Especificacin de opciones generales de sesin.....................................911
Especificacin de las opciones de la interfaz de usuario ........................912
Eliminacin del acceso a los sistemas IVS..............................................913
Contenido
xix
Captulo 33
Sistema IVS
915
Licencia: Disponibilidad de IVS ....................................................................916

Implementacin de un IVS...........................................................................916
Arquitectura del IVE virtualizado ...........................................................918
Inicio de sesin en el sistema raz o el IVS ...................................................920
Inicio de sesin usando el prefijo de direccin URL de inicio
de sesin.........................................................................................920
Inicio de sesin en puertos virtuales ......................................................922
Inicio de sesin en una interfaz de VLAN...............................................923
Navegacin al IVS ..................................................................................924
Determinacin del perfil del suscriptor ........................................................924
Hoja de trabajo de la configuracin de IVS ............................................924
Administracin del sistema raz.............................................................926
Configuracin del administrador raz.....................................................926
Aprovisionamiento de un IVS.......................................................................927
Comprensin del proceso de aprovisionamiento .........................................928
Configuracin de los puertos de inicio de sesin ..........................................930
Configuracin del puerto externo ..........................................................931
Configuracin de un puerto virtual para iniciar sesin en el
puerto externo ................................................................................931
Configuracin de un puerto virtual para iniciar sesin en el
puerto interno .................................................................................932
Configuracin de una red de rea local virtual (VLAN)..................................932
Configuracin de VLAN en el IVE virtualizado........................................934
Adicin de rutas estticas a la tabla de rutas de VLAN ...........................935
Eliminacin de una VLAN ......................................................................936
Carga del servidor de certificados ................................................................936
Creacin de un sistema virtual (perfil de IVS) ...............................................937
Definicin del perfil de IVS ....................................................................937
Configuracin inicial de IVS mediante una copia del sistema raz
o de otro IVS ...................................................................................940
Inicio de sesin en el IVS directamente como administrador de IVS ............941
Configuracin de alias de IP de origen basados en roles ..............................942
Asociacin de roles con VLAN y la direccin IP de origen......................943
Configuracin de puertos virtuales para una VLAN ................................943
Asociacin de roles con direcciones IP de origen en un IVS...................943
Configuracin de reglas de enrutamiento de directivas en el IVS .................944
Reglas de enrutamiento.........................................................................945
Superposicin de espacios de direccin IP.............................................946
Definicin de directivas de recursos ......................................................946
Creacin de clsteres en un IVE virtualizado................................................946
Configuracin del DNS para el IVS ...............................................................948
Acceso a un servidor de DNS en la red del MSP.....................................948
Acceso a un servidor de DNS en la intranet de una empresa
suscriptora ......................................................................................948
Configuracin de Network Connect para uso en un IVE virtualizado ............950
Configuracin del perfil de conexin de Network Connect ....................950
Configuracin de Network Connect en enrutadores backend ................951
Configuracin de un servidor DHCP centralizado.........................................954
Configuracin de servidores de autenticacin ..............................................955
Reglas que rigen el acceso a los servidores de autenticacin .................956
Configuracin de la autenticacin en un servidor RADIUS.....................956
Configuracin de la autenticacin en Active Directory...........................957
Delegacin del acceso administrativo a los sistemas IVS..............................957
xx
Contenido
Contenido
Acceso a los instaladores independientes.....................................................958

Realizacin de la exportacin y la importacin de los archivos
de configuracin del IVS ........................................................................959
Exportacin e importacin de la configuracin del sistema raz ............959
Supervisin de los suscriptores ....................................................................961
Suspensin del acceso de un suscriptor al IVS .......................................961
Resolucin de problemas de las VLAN .........................................................962
Realizacin de TCPDump en una VLAN .................................................962
Uso de comandos en una VLAN (ping, traceroute, NSLookup, ARP) ......963
Casos de uso del IVS ....................................................................................963
Caso de uso de la resolucin de las reglas del enrutamiento
de directivas para IVS......................................................................964
Configuracin de un servidor de autenticacin global para varios
suscriptores.....................................................................................970
Configuracin de una direccin IP del servidor DNS/WINS
por suscriptor..................................................................................970
Configuracin del acceso a las aplicaciones Web y a la navegacin
Web para cada suscriptor................................................................970
Configuracin del acceso a la exploracin de archivos para cada
suscriptor ........................................................................................971
Configuracin de varias direcciones IP de subred para los usuarios
finales de un suscriptor ...................................................................973
Configuracin de varios sistemas IVS para permitir el acceso al
servidor compartido........................................................................973
Captulo 34
Interoperabilidad de IVE e IDP
975
Licencia: Disponibilidad de IDP....................................................................976

Escenarios de implementacin ....................................................................976
Configuracin del IVE para interactuar con IDP ...........................................977
Configuracin de las conexiones IDP.....................................................978
Interaccin entre el IVE y el sensor IDP.................................................980
Definicin de directivas de eventos de sensor de respuesta
automtica ......................................................................................981
Identificacin y administracin manual de usuarios en cuarentena.......983
Parte 6
Servicios de sistema
Captulo 35
IVE Consola serie
987
Licencia: Disponibilidad de la consola serie .................................................987

Conexin a la consola serie de un dispositivo IVE ........................................987
Retroactivacin a un estado anterior del sistema .........................................988
Retroactivacin a un estado anterior del sistema a travs de la
consola de administracin ..............................................................989
Retroactivacin a un estado anterior del sistema a travs de la
consola serie ...................................................................................989
Restablecimiento de un dispositivo IVE con la configuracin de fbrica.......990
Tareas comunes de recuperacin.................................................................993
Contenido
xxi
Captulo 36
UI personalizables para el administrador y el usuario final
995
Licencia: Disponibilidad de UI personalizables .............................................995

Informacin general de los elementos personalizables de la consola
de administracin..................................................................................996
Informacin general de los elementos configurables de la interfaz
de usuario final......................................................................................997
Captulo 37
Secure Access 6000
999
Hardware estndar ......................................................................................999

Unidades reemplazables in situ para el SA 6000 ........................................ 1001
Captulo 38
Secure Access 4500 y 6500
1003
Hardware estndar .................................................................................... 1003

Unidades reemplazables in situ para el SA 6500 ........................................ 1005
Reemplazo de los ventiladores de refrigeracin ......................................... 1006
Extraccin e instalacin de un ventilador de refrigeracin...................1006
Reemplazo de un disco duro ...................................................................... 1007
Extraccin e instalacin de un disco duro............................................ 1007
Reemplazo de mdulos IOC....................................................................... 1007
Instalacin de un IOM ......................................................................... 1008
Extraccin de un IOM.......................................................................... 1008
Reemplazo de una fuente de alimentacin de CA ...................................... 1009
Extraccin e instalacin de una fuente de alimentacin de CA ............ 1009
Extraccin e instalacin de una fuente de alimentacin de CC ............ 1009
Captulo 39
Secure Access FIPS
1011
Licencia: Disponibilidad de Secure Access FIPS.......................................... 1012

Ejecucin de Secure Access FIPS................................................................ 1012
Creacin de tarjetas de administrador........................................................ 1013
Precauciones con la tarjeta de administrador ...................................... 1014
Implementacin de un clster en un entorno Secure Access FIPS.............. 1015
Creacin de un entorno de seguridad nuevo .............................................. 1017
Creacin de un entorno de seguridad en un IVE independiente IVE .... 1018
Creacin de un entorno de seguridad en un entorno de clsteres........ 1019
Reemplazo de tarjetas de administrador ............................................. 1019
Recuperacin de un entorno de seguridad archivado................................. 1020
Importacin de un entorno de seguridad en un IVE independiente ..... 1021
Importacin de un entorno de seguridad a un clster.......................... 1022
Captulo 40
Compresin
1023
Licencia: Disponibilidad de compresin ..................................................... 1023

Ejecucin de la compresin ....................................................................... 1023
Tipos de datos admitidos ........................................................................... 1025
Habilitacin de la compresin en el nivel de sistema ................................. 1026
Creacin de perfiles y directivas de recursos de compresin...................... 1026
Captulo 41
Compatibilidad con varios idiomas
1027
Licencia: Disponibilidad de varios idiomas................................................. 1028

Codificacin de archivos ............................................................................ 1028
Traduccin de la interfaz de usuario .......................................................... 1029
Traduccin de pginas de inicio de sesin y sistema personalizadas.......... 1029
xxii
Contenido
Contenido
Captulo 42
Dispositivos de mano y PDA
1031
Licencia: Disponibilidad de soporte para dispositivos de mano y PDA ....... 1032

Resumen de tareas: Configuracin del IVE para PDA y dispositivos
de mano .............................................................................................. 1032
Definicin de tipos de clientes ................................................................... 1034
Habilitacin de WSAM en PDA................................................................... 1036
Habilitacin de Activesync ......................................................................... 1037
Parte 7
Informacin complementaria
Apndice A
Escritura de expresiones personalizadas
1041
Licencia: Disponibilidad de expresiones personalizadas............................. 1041

Expresiones personalizadas ....................................................................... 1041
Coincidencia con comodines ............................................................... 1045
Variables y funciones de DN................................................................ 1046
Variables del sistema y ejemplos................................................................ 1046
Uso de variables del sistema en territorios, roles y directivas
de recursos ..........................................................................................1054
Uso de atributos de varios valores ....................................................... 1055
Especificacin de los atributos de bsqueda en un territorio ............... 1057
Especificacin del atributo homeDirectory para LDAP......................... 1057
Contenido
xxiii
xxiv
Contenido
Acerca de esta gua

Esta gua proporciona la informacin necesaria para entender el funcionamiento,
configurar y hacer mantenimiento al dispositivo Instant Virtual Extranet (IVE) de
Juniper Networks, el cual incluye:
Material general para familiarizarse con los productos Secure Access y el

sistema de administracin de accesos subyacente
Material general que describe las caractersticas bsicas y avanzadas, adems

de las opciones de actualizacin
Instrucciones para configurar y administrar el clster o dispositivo IVE
Audiencia
Esta gua est destinada a los administradores de sistema responsables de
configurar los productos Secure Access y Secure Access FIPS.
Documentacin para administradores y desarrolladores
Para descargar una versin PDF de esta gua de administracin, dirjase

a la pgina IVE OS Product Documentation del Juniper Networks Customer
Support Center.
Para obtener ms informacin sobre los cambios que los clientes Secure Access
realizan en los equipos cliente, incluidos los archivos instalados y los cambios
de registro, adems de informacin sobre los derechos necesarios para instalar
y ejecutar clientes Secure Access, consulte la gua Client-side Changes Guide.
Para obtener ms informacin sobre cmo desarrollar aplicaciones Web

compatibles con el motor de intermediacin de contenido de IVE, consulte la
gua Content Intermediation Engine Best Practices Guide.
Para obtener informacin sobre cmo personalizar la apariencia de las pginas

de autenticacin previa, administracin de contrasea y pginas de Secure
Meeting que el sistema IVE muestra a los usuarios finales y administradores,
consulte la gua Custom Sign-In Pages Solution Guide.
Audiencia
xxv
Documentacin relacionada con los mensajes de error
Para obtener informacin sobre los mensajes de error que Network Connect y
WSAM muestran a los usuarios finales, consulte la gua Network Connect and
WSAM Error Messages.
Para obtener informacin sobre los mensajes de error que Secure Meeting
muestra a usuarios finales administradores, consulte la gua Secure Meeting
Error Messages.
Documentacin sobre hardware
Para obtener ayuda para la instalacin, consulte la gua Quick Start Guide que
viene con el producto.
Para obtener informacin sobre la seguridad de Secure Access y Secure Access

FIPS, consulte la gua Juniper Networks Security Products Safety Guide.
Para obtener informacin sobre cmo instalar discos duros, fuentes de

alimentacin y ventiladores en los dispositivos Secure Access 6000, consulte la
gua Secure Access 6000 Field Replaceable Units Guide.
Descargas del producto
Para descargar la ltima versin del sistema Secure Access y Secure Access
FIPS, con las notas de la versin, dirjase a la pgina IVE OS Software del
Juniper Networks Customer Support Center.
Convenciones
La Tabla 1 define los iconos de avisos y la Tabla 2 define las convenciones de texto
que se utilizan en esta gua.
Tabla 1: Iconos de aviso
Icono
Significado
Descripcin
Nota de informacin
Indica instrucciones o caractersticas importantes.
Cuidado
Indica que puede estar en riesgo de perder datos o daar

el hardware.
Advertencia
Alerta sobre el riesgo de sufrir una lesin personal.
Tabla 2: Convenciones de texto (salvo por sintaxis de comandos)
xxvi
Convencin
Descripcin
Ejemplos
Negrita
Indica botones, nombre de campos,

nombre de cuadros de dilogo y otros
elementos de la interfaz de usuario.
Use las fichas Scheduling y Appointment para

programar una reunin.
Convenciones
Acerca de esta gua
Tabla 2: Convenciones de texto (salvo por sintaxis de comandos) (continuacin)

Convencin
Descripcin
Tipo de letra sans serif sin estilos Representa:

Cdigos, comandos y palabras clave
Direcciones URL, nombres de archivo
y directorios
Ejemplos
Ejemplos:
Cdigo:
certAttr.OU = 'Retail Products Group'

URL:
Descargue la aplicacin JRE desde el sitio:

http://java.sun.com/j2se/
Cursiva
Identifica:
Ejemplos:
Trminos definidos en el texto
Trmino definido:
Elementos variables
Nombres de libros
Un cliente RDP es un componente de Windows

que permite una conexin entre un servidor de
Windows y el equipo del usuario.
Elemento variable:
Utilice la configuracin de la pgina Users >
User Roles > Seleccionar rol > Terminal
Services para crear una sesin de emulacin
del terminal.
Nombre de libro:
Consulte el documento IVE Supported

Platforms.
Documentacin
Notas de versin
Las notas de versin vienen incluidas con el software del producto y estn
disponibles en Internet.
En las Notas de versin, puede encontrar la ltima informacin disponible sobre
caractersticas, cambios, problemas conocidos y resolucin de problemas. Si
existiera alguna diferencia entre la informacin de las Notas de versin y la que se
halla en el conjunto de documentacin, siga las recomendaciones de esta ltima.
Acceso web
Para ver la documentacin en Internet, dirjase al sitio:
http://www.juniper.net/techpubs/
Contactar al servicio de soporte tcnico

Para acceder al servicio de soporte tcnico, comunquese con Juniper Networks
escribiendo a support@juniper.net o llamando al 1-888-314-JTAC (en los Estados
Unidos) o al 408-745-9500 (fuera de Estados Unidos).
Documentacin
xxvii
xxviii
Contactar al servicio de soporte tcnico
Parte 1
Gua de inicio
El IVE es un dispositivo de red blindado que proporciona una frrea seguridad al
proporcionar una intermediacin entre el flujo de datos que fluye entre los usuarios
externos y los recursos internos. Esta seccin contiene la siguiente informacin
sobre cmo comenzar a usar y entender el funcionamiento del IVE:
Verificacin inicial y conceptos clave en la pgina 3
Introduccin al IVE en la pgina 25
Captulo 1
Verificacin inicial y conceptos clave

Este tema describe las tareas que se deben realizar despus de la instalacin y
configuracin inicial del IVE. Esto supone que ya ha seguido la Gua de tareas en la
consola de administracin para actualizar su imagen de software y crear y aplicar
su clave de licencia de Secure Access.
Verificar la accesibilidad del usuario

Puede crear fcilmente una cuenta de usuario en el servidor de autenticacin del
sistema para verificar la accesibilidad de ese usuario a su IVE. Despus de crear la
cuenta a travs de la consola de administracin, inicie una sesin como usuario en
la pgina de inicio de sesin de usuarios de IVE.
Para verificar la accesibilidad de los usuarios:
1. Seleccione Authentication > Auth. Servers desde la consola de
administracin.
2. Seleccione el vnculo System Local.
Aparecer la pgina System Local.
3. Seleccione la ficha Users.
4. Haga clic en New.
Aparecer la pgina New Local User.
5. Escriba testuser1 como nombre de usuario, introduzca una contrasea y luego
haga clic en Save Changes. El IVE crear la cuenta testuser1.
6. En otra ventana del explorador, introduzca la URL del equipo para acceder
a la pgina de inicio de sesin de usuarios. La URL est en el formato:
https://a.b.c.d, donde a.b.c.d es la direccin IP del equipo que introdujo en la
consola serie al configurar en un comienzo el IVE.
7. Cuando aparezca el aviso de seguridad preguntando si desea proceder sin un
certificado firmado, haga clic en Yes. Aparecer la pgina de inicio de sesin
del usuario, lo que indica que se habr conectado correctamente a su
dispositivo IVE. Consulte la Figura 1.
Figura 1: Pgina User Sign-in
8. Introduzca el nombre de usuario y la contrasea que cre para la cuenta del

usuario y haga clic en Sign In para acceder a la pgina inicial para usuarios IVE.
Consulte la Figura 2.
Figura 2: Pgina inicial del usuario (predeterminada)
Captulo 1: Verificacin inicial y conceptos clave
9. Introduzca la URL de un servidor web interno en el cuadro de direcciones

y haga clic en Browse. El IVE abrir la pgina web en la misma ventana del
explorador, por lo que para regresar a la pgina inicial de IVE, deber hacer clic
en el botn central de la barra de herramientas que aparece en la pgina web
de destino. Consulte la Figura 3.
Figura 3: Pgina web interna de ejemplo con la barra de herramientas para examinar
archivos
10. Introduzca la URL de su sitio corporativo externo en la pgina inicial IVE

(consulte la Figura 2), luego haga clic en Browse. El IVE abre la pgina web en
la misma ventana del explorador, por lo tanto, deber utilizar el botn de la
barra de herramientas para regresar a la pgina inicial de IVE.
11. Haga clic en Browsing > Windows Files de la pgina inicial IVE (consulte la
Figura 2) para examinar a travs de los recursos compartidos disponibles para
Windows o en Browsing > UNIX/NFS Files para examinar a travs de los
archivos compartidos disponibles en redes UNIX NFS.
Despus de verificar la accesibilidad de los usuarios, regrese a la consola de
administracin para pasar por una introduccin de conceptos clave, como se
describe en Crear un supuesto de prueba para aprender los conceptos y prcticas
recomendadas con IVE en la pgina 6.
Crear un supuesto de prueba para aprender los conceptos y prcticas

recomendadas con IVE
El IVE es un sistema flexible de administracin de accesos que facilita la
personalizacin de los accesos remotos de un usuario mediante el uso de roles,
directivas de recursos, servidores de autenticacin, territorios de autenticacin y
directivas de inicio de sesin. Para que pueda comenzar a trabajar rpidamente con
estas entidades, el IVE se suministra de fbrica con ajustes predeterminados para
cada una de ellas. Esta seccin describe estos valores predeterminados del sistema
y muestra cmo crear cada entidad de administracin de accesos mediante las
siguientes tareas:
Definir un rol de usuario en la pgina 7
Definicin de un perfil de recurso en la pgina 9
Definicin de un servidor de autenticacin en la pgina 11
Definicin de un territorio de autenticacin en la pgina 15
Definir una directiva de inicio de sesin en la pgina 18
Utilizacin del supuesto de prueba en la pgina 21
NOTA: El IVE reconoce dos tipos de usuarios:
Administradores: Un administrador es una persona que puede ver y modificar

los ajustes de configuracin del IVE. Crear la primera cuenta de administrador
a travs de la consola serie.
Usuarios: Un usuario es una persona que utiliza el IVE para acceder a los
recursos corporativos de acuerdo con la configuracin definida por un
administrador. Ya cre la primera cuenta de usuario (testuser1) en Verificar
la accesibilidad del usuario en la pgina 3.
El siguiente supuesto de prueba se centra en utilizar los elementos de administracin

de accesos del IVE para configurar los parmetros de acceso de un usuario.
Para obtener informacin sobre los ajustes predeterminados del sistema para
administradores, consulte Configurar ajustes predeterminados para
administradores en la pgina 23.
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
Definir un rol de usuario

El IVE se suministra preconfigurado con un rol de usuario llamado Users. Este rol
predefinido habilita las caractersticas de acceso a web y archivos, permitiendo
a cualquier usuario asignado al rol Users acceder a Internet, a servidores web
corporativos y a cualquier servidor de archivos Windows o UNIX NFS disponible.
Puede ver este rol en la pgina User Roles.
NOTA: Despus de habilitar una caracterstica de acceso para un rol, configure las
opciones correspondientes apropiadas que estn accesibles desde la ficha de
configuracin de caractersticas de acceso.
Para definir un rol de usuario:

1. Seleccione Users > User Roles desde la consola de administracin. Aparecer
la pgina Roles.
2. Haga clic en New Role. Aparecer la pgina New Roles. Consulte la Figura 4.
3. Introduzca Test Role en el cuadro Name y luego haga clic en Save Changes.
Espere a que IVE muestre la pgina Test Role con la Ficha general y el enlace de
Informacin general seleccionados. Consulte la Figura 8.
4. Seleccione la casilla de verificacin Web debajo de Access features y luego haga
clic en Save Changes.
5. Seleccione Web > Options.
6. Seleccione la casilla de verificacin User can type URLs in the IVE browser
bar y luego haga clic en Save Changes.
Una vez completados estos pasos, habr definido un rol de usuario. Cuando cree
perfiles de recursos, podr aplicarlos a este rol. Tambin podr asignar usuarios a
este rol mediante reglas de asignacin definidas para un territorio de autenticacin.
NOTA: Para crear rpidamente un rol de usuario que habilite el acceso a la web
y a examinar archivos, duplique el rol Users y habilite las caractersticas de acceso
adicionales que desee.
Figura 4: Pgina New Role
Figura 5: Pgina Test Role
Definicin de un perfil de recurso

Un perfil de recurso es un conjunto de opciones de configuracin que contiene todas
las directivas de recursos, asignaciones de roles y los marcadores de usuario final
requeridos para proporcionar el acceso a un recurso individual.
Dentro de un perfil de recurso, una directiva de recurso especifica los recursos a los
que se aplican las directivas (tales como URLs, servidores y archivos) y si IVE
permite el acceso a un recurso o ejecuta una accin. Tenga en cuenta que el IVE
est preconfigurado con dos tipos de directivas de recursos:
Web Access: La directiva de recursos predefinida Web Access permite a todos

los usuarios acceder a Internet y a todos los servidores web corporativos a
travs del IVE. De forma predeterminada, esta directiva de recursos es aplicable
al rol Users.
Windows Access: La directiva de recursos predefinida Windows Access permite

a todos los usuarios asignados al rol Users acceder a todos los servidores
corporativos de archivos Windows. De forma predeterminada, esta directiva
de recursos es aplicable al rol Users.
NOTA: Si le preocupa que los usuarios tengan acceso a todos sus contenidos web y
de archivos, elimine las directivas predeterminadas de acceso a web y a archivos,

Web Access y Windows Access.
Para definir un perfil de recursos:
1. Seleccione Users > Resource Profiles > Web desde la consola de
administracin. Aparecer la pgina Web Applications Resource Profile.
2. Haga clic en New Profile. Aparecer la pgina Web Applications Resource
Profile. Consulte la Figura 6.
Figura 6: Pgina New Web Application Resource Profile
3. Complete la siguiente informacin:

a.
Mantenga la opcin predeterminada (Custom) en el cuadro Type.
b.
Escriba Test Web Access en el cuadro Name.
c.
Escriba http://www.google.com en la casilla Base URL.
d. Debajo de Autopolicy: Web Access Control seleccione la casilla de

verificacin situada junto a la directiva predeterminada creada por IVE
(http://www.google.com:80/*) y luego la opcin Delete.
10
e.
Escriba http://www.google.com en el cuadro Resource, seleccione Deny

desde la lista Action y haga clic en Add.
f.
Haga clic en Save and Continue. Aparecer la pgina Test Web Access.
4. Haga clic en la ficha Roles.

a.
Seleccione Test Role en el cuadro Available Roles y haga clic en Add para
moverlo al cuadro Selected Roles.
b.
Haga clic en Save Changes.
El IVE agrega Test Web Access a la pgina Web Application Resource Policies y
automticamente crea un marcador correspondiente que vincula a google.com.
Una vez completados estos pasos, habr configurado un perfil de recursos Web
Access. Aunque el IVE se suministra con una directiva de recursos que habilita el
acceso a todos los recursos web, se prohbe a los usuarios asignados a Test Role
acceder a http://www.google.com. Se les niega el acceso debido a que la
autodirectiva que cre durante la configuracin tiene preferencia sobre la directiva
de acceso web predeterminada suministrada por IVE.
Definicin de un servidor de autenticacin

Un servidor de autenticacin es una base de datos que almacena las credenciales de
los usuarios (nombre y contrasea) y, normalmente, informacin sobre el grupo
y atributos. Cuando un usuario se conecta al IVE, debe especificar un territorio de
autenticacin que est asociado a un servidor de autenticacin. El IVE reenva las
credenciales del usuario a este servidor de autenticacin para verificar su identidad.
El IVE admite los servidores de autenticacin ms comunes, incluyendo dominios
de Windows NT, Active Directory, RADIUS, LDAP, NIS, RSA ACE/Server y Netegrity
SiteMinder, permitiendo crear una o ms bases de datos locales de usuarios que son
autenticados por el IVE. El IVE viene preconfigurado con un servidor de
autenticacin local para usuarios llamado System Local. Este servidor de
autenticacin local predefinido es una base de datos del IVE que permite crear
rpidamente cuentas del usuario para su autenticacin. Esta funcionalidad
proporciona la flexibilidad necesaria para realizar pruebas y para permitir el acceso
a terceros, eliminando la necesidad de crear cuentas de usuario en un servidor de
autenticacin externo.
Puede ver el servidor de autenticacin local predeterminado en la pgina
Authentication Servers.
NOTA: El IVE tambin es compatible con servidores de autorizaciones. Un servidor
de autorizaciones (o servidor de directorios) es una base de datos que almacena
informacin sobre los atributos de los usuarios y grupos. Puede configurar un
territorio de autenticacin de modo que utilice un servidor de directorios con el fin
de consultar atributos del usuario o informacin del grupo, que se utilizarn en las
reglas y directivas de recursos durante la asignacin de roles.
11
Para definir un servidor de autenticacin:

1. Seleccione Authentication > Auth. Servers desde la consola de
administracin. Aparecer la pgina Authentication Servers.
2. Seleccione Local Authentication desde la lista New y haga clic en New Server.
Aparecer la pgina New Local Authentication. Consulte la Figura 7.
Figura 7: Pgina New Local Authentication
3. Introduzca Test Server en el cuadro Name y luego haga clic en Save Changes.
Espere a que el IVE notifique que los cambios se han guardado, despus de lo
cual aparecern fichas de configuracin adicionales.
4. Haga clic en la ficha Users y luego en New. Aparecer la pgina New Local User.
12
Figura 8: Pgina New Local User
5. Introduzca testuser2 en el cuadro Username, introduzca una contrasea y haga

clic en Save Changes para crear la cuenta de usuario en el servidor de
autenticacin Test Server. Consulte la Figura 9.
13
Figura 9: Pgina Test Server
Una vez completados estos pasos, habr creado un servidor de autenticacin que
contendr una cuenta de usuario. Este usuario podr conectarse a un territorio de
autenticacin que utilice el servidor de autenticacin Test Server.
NOTA: La consola de administracin proporciona estadsticas del ltimo acceso
para cada cuenta de usuario en las respectivas pginas de servidores de
autenticacin en la ficha Users, bajo un conjunto de columnas con el ttulo Last
Sign-in Statistic. Los informes de estadsticas incluyen la fecha y hora del ltimo
inicio de sesin exitoso de cada usuario, la direccin IP del usuario y el tipo y
versin del agente o explorador.
14
Definicin de un territorio de autenticacin

Un territorio de autenticacin es una agrupacin de recursos de autenticacin,
que incluye:
Un servidor de autenticacin, que verifica la identidad del usuario. El IVE

reenva las credenciales enviadas desde la pgina de inicio de sesin a un
servidor de autenticacin.
Una directiva de autenticacin, que especifica qu requisitos de seguridad

del territorio debern cumplirse para que el IVE enve las credenciales a un
servidor de autenticacin para su verificacin.
Un servidor de directorios, que es un servidor LDAP que proporciona

informacin de atributos de usuario y de grupo al IVE para su uso en las reglas
de asignacin de roles y directivas de recursos (opcional).
Las reglas de asignacin de roles son condiciones que debe cumplir un usuario
para que el IVE le asigne uno o ms roles. Estas condiciones se basan en la
informacin devuelta por el servidor de directorios del territorio, el nombre
de usuario de la persona o los atributos del certificado.
El IVE se suministra preconfigurado con un territorio de usuario llamado Users.

Este territorio predefinido utiliza el servidor de autenticacin System Local, una
directiva de autenticacin que requiere una longitud de contrasea mnima de
cuatro caracteres, no utiliza servidor de directorios y contiene una regla de
asignacin de roles que asigna un rol Users a todos los usuarios que inicien sesin
en el territorio Users. La cuenta testuser1 que se cre en Verificar la accesibilidad
del usuario en la pgina 3 forma parte del territorio Users debido a que se cre en
el servidor de autenticacin System Local. La cuenta testuser2 creada
enDefinicin de un servidor de autenticacin en la pgina 11 no forma parte del
territorio Users, porque se cre en el nuevo servidor de autenticacin Test Server,
que ese territorio no utiliza.
Puede ver el territorio de autenticacin de usuarios predeterminado en la pgina Users
Authentication Realms.
Para definir un territorio de autenticacin:
1. Seleccione Users > User Realms desde la consola de administracin.
Aparecer la pgina User Authentication Realms.
2. Haga clic en New. Aparecer la pgina New Authentication Realms. Consulte la
Figura 10.
15
Figura 10: Pgina New Authentication Realm
3. Introduzca Test Realm en la casilla Name.

4. Seleccione Test Server desde la lista de Authentication.
5. Haga clic en Save Changes. Espere a que el IVE le notifique que los cambios
han sido guardados y a que aparezcan las fichas de configuracin del territorio.
6. Haga clic en la ficha Role Mapping si no est seleccionada y luego en New
Rule. Aparecer la pgina Role Mapping Rule. Consulte la Figura 11.
16
Figura 11: Pgina Role Mapping Rule
7. Introduzca testuser2 en el cuadro de texto.

8. En la seccin ...then assign these roles, seleccione Test Role desde la lista
Available Roles y haga clic en Add para moverlo al cuadro Selected Roles.
9. Haga clic en Save Changes.
Una vez completados estos pasos, habr terminado de crear un territorio de
autenticacin. Este territorio utiliza Test Server para autenticar usuarios y una regla
de asignacin de roles que asigna testuser2 a la funcin Test Role. Dado que la
directiva de recursos Test Web Access es aplicable a Test Role, ningn usuario
asignado a este rol puede acceder a http://www.google.com.
17
Definir una directiva de inicio de sesin

Una directiva de inicio de sesin es una regla del sistema que especifica:
La URL en la que un usuario puede iniciar una sesin en el IVE
Una pgina de inicio de sesin para mostrar al usuario
Si el usuario debe o no escribir o seleccionar un territorio de autenticacin

al que el IVE enva credenciales
Los territorios de autenticacin a los que la directiva es aplicable
Todos los dispositivos IVE Secure Access y Secure Access FIPS vienen
preconfigurados con una directiva de inicio de sesin aplicable a los usuarios: */.
Esta directiva predeterminada de inicio de sesin de usuarios (*/) especifica
que cuando un usuario introduce la URL del IVE, el IVE muestra la pgina
predeterminada de inicio de sesin y exige al usuario seleccionar un territorio
de autenticacin (si existe ms de uno). La directiva */ de inicio de sesin est
configurada para ser aplicable al territorio de autenticacin Users, por lo que esta
directiva de inicio de sesin no es aplicable al territorio de autenticacin creado en
Definicin de un territorio de autenticacin en la pgina 15.
Puede ver la directiva predeterminada de inicio de sesin en la pgina Signing In.
Si su IVE dispone de una licencia de actualizacin Secure Meeting Upgrade, la
directiva de inicio de sesin */meeting tambin aparece en esta pgina. Esta
directiva permite personalizar la pgina de inicio de sesin para reuniones seguras.
18
Para definir una directiva de inicio de sesin:

1.
Seleccione Authentication > Signing in > Sign-in Policies desde la consola de

administracin. Aparecer la pgina Signing In.
2. Haga clic en */ bajo User URLs. Aparecer la pgina */. Consulte la Figura 12.
Figura 12: La pgina */
3. Introduzca test a continuacin de */ en la casilla Sign-in URL.

4. Bajo el territorio de autenticacin, seleccione la opcin User picks from a list
of authentication realms, luego seleccione Test Realm desde la lista Available
Realms y haga clic en Add para moverlo a la casilla Selected Realm. (Repita este
proceso para el rol Users si an no se encuentra en el cuadro Selected Realms).
Una vez completados estos pasos, habr terminado de modificar la directiva
predeterminada de inicio de sesin de usuarios.
19
Opcional:
1. Seleccione Authentication > Signing In > Sign In Pages y haga clic en
New Page.
2. Introduzca Test Sign-in Page en el campo Name, escriba #FF0000 (rojo) en el
cuadro Background color y a continuacin haga clic en Save Changes.
3. Seleccione Authentication > Signing In > Signing In Policies y haga clic en
New URL. Aparecer la pgina New Sign-in Policy.
4. Escriba */test/ en el cuadro Sign-in URL, seleccione Default Sign-in Page desde
la lista y haga clic en Sign-in Page.
5. Seleccione Authentication > Signing In > Sign In Policies y haga clic*/test/
bajo User URLs. Aparecer la pgina */test/. Consulte la Figura 13.
Figura 13: La pgina */test/
6. Seleccione Test Sign-in Page desde la lista Sign-in page y haga clic en
Save Changes.
Despus de completar estos pasos opcionales, habr terminado de definir una
nueva pgina de inicio de sesin asociada a la directiva de inicio de sesin */test/.
20
Utilizacin del supuesto de prueba

El supuesto de prueba le permite realizar las siguientes tareas:
Acceder a la consola web del usuario utilizando la directiva predeterminada

modificada de inicio de sesin.
Iniciar una sesin como el usuario creado en Test Server para asignarlo al
territorio Test Realm.
Comprobar sus posibilidades de navegacin web, que dependen de una

configuracin correcta de Test Role y Test Web Access.
Para utilizar el supuesto de prueba:

1. En un explorador web, introduzca la URL del equipo seguida de /test para
acceder a la pgina de inicio de sesin del usuario. La URL est en el formato:
https://a.b.c.d/test, donde a.b.c.d es la direccin IP del equipo que ha
introducido en la consola serie durante la configuracin inicial.
2. Cuando aparezca el aviso de seguridad preguntando si proceder sin un
certificado firmado, haga clic en Yes. Si aparece la pgina de inicio de sesin
del usuario, significa que se habr conectado correctamente a su dispositivo
IVE. Consulte la Figura 14.
Figura 14: Pgina User Sign-in
NOTA: Si realiz los pasos de configuracin opcionales en Definir una directiva de
inicio de sesin en la pgina 18, el color del encabezado ser rojo.
21
3. Introduzca el nombre de usuario y la contrasea que cre para la cuenta del

usuario en Test Server, escriba Test Realm en la casilla Realm y a continuacin
haga clic en Sign In para acceder a la pgina inicial de IVE para usuarios.
El IVE reenviar las credenciales a Test Realm, configurado para utilizar Test
Server. Tras la verificacin correcta por parte de este servidor de autenticacin,
el dispositivo IVE procesa la regla de asignacin de roles definida para Test
Realm, que asigna testuser2 a la funcin Test Role. Test Role habilitar la
navegacin web para los usuarios.
Figura 15: Pgina inicial del usuario
4. En la casilla Address del explorador, introduzca la URL de su pgina web

corporativa y haga clic en Browse. El IVE abrir la pgina web en la misma
ventana del explorador, por lo que para regresar a la pgina inicial del IVE,
deber hacer clic en el icono central de la barra de herramientas de navegacin
que aparece en la pgina web de destino.
5. En la pgina inicial del IVE, escriba www.google.com y haga clic en Browse.
El IVE mostrar un mensaje de error, porque la directiva de recursos Test Web
Access deniega el acceso a este sitio a todos los usuarios asignados a Test Role.
Figura 16: Ejemplo de un mensaje de error de recurso denegado
22
6. Regrese a la pgina inicial del IVE, haga clic en Sign Out y luego regrese a la
pgina de inicio de sesin del usuario.
7. Introduzca las credenciales para testuser1, especifique el territorio Users y haga
clic en Sign In.
8. En la pgina inicial del IVE, escriba www.google.com y haga clic en Browse.
El IVE abrir la pgina web en la misma ventana del explorador.
El supuesto de prueba demuestra los mecanismos bsicos de administracin de
accesos del IVE. Puede crear reglas de asignacin de roles y directivas de recursos
muy sofisticadas para controlar el acceso de los usuarios en funcin de factores
tales como una directiva de autenticacin de un territorio, la pertenencia de un
usuario a un grupo y otras variables. Para obtener ms informacin sobre la
administracin de accesos del IVE, recomendamos que se tome unos minutos
para leer la ayuda en lnea y familiarizarse con su contenido.
NOTA:
Cuando configure el IVE para su empresa, le recomendamos que configure los

accesos de usuarios en el orden presentado en esta seccin.
Para obtener informacin detallada acerca de la configuracin, consulte las

instrucciones en otras secciones de esta gua.
Antes de poner el IVE a disposicin de sitios externos, recomendamos que

importe un certificado de firma digital de una autoridad de certificacin
fiable (CA).
Configurar ajustes predeterminados para administradores

Igual que para los usuarios, el IVE proporciona ajustes predeterminados que
permiten configurar rpidamente cuentas de administradores. Esta lista resume
los ajustes predeterminados del sistema para los administradores:
Roles de administrador: Existen dos tipos de roles de administrador

integrados.
.Administrators: Este rol integrado permite a los administradores

administrar todos los aspectos del IVE. El usuario administrador que cre
a travs de la consola serie est asignado a este rol.
.Read-Only Administrators: Este rol integrado permite a usuarios

asignados al rol ver (pero no configurar) todos los ajustes del IVE. Si desea
restringir los accesos de los administradores, deber asignarles este rol.
Administrators local authentication server: El servidor de autenticacin local

Administrators es una base de datos de IVE en la que se almacenan cuentas de
administradores. La primera cuenta de administrador en este servidor se crea
a travs de la consola serie. (El IVE agrega a este servidor todas las cuentas de
administrador creadas a travs de la consola serie.) No puede eliminar este
servidor local.
23
24
Admin Users authentication realm: El territorio de autenticacin Admin Users

utiliza el servidor de autenticacin local predeterminado Administrators, una
directiva de autenticacin que requiere una longitud mnima de contrasea de
cuatro caracteres, ningn servidor de directorios y una regla de asignacin de
roles que asigna a todos los usuarios que inicien una sesin en el territorio
Admin Users al rol Administrators. La cuenta de administrador que cre a travs
de la consola serie es parte del territorio Admin Users.
*/admin sign-in policy: La directiva predeterminada de inicio de sesin

(*/admin) especifica que cuando un usuario introduce la URL al IVE seguida
de /admin, el IVE muestra la pgina predeterminada de inicio de sesin para
administradores. Esta directiva tambin requiere que el administrador
seleccione un territorio de autenticacin (si existe ms de uno). La directiva
de inicio de sesin */admin est configurada para ser aplicable al territorio de
autenticacin Admin Users, por lo que esta directiva de inicio de sesin es
aplicable a la cuenta de administrador creada a travs de la consola serie.
Captulo 2
Introduccin al IVE
La plataforma Juniper Networks Instant Virtual Extranet (IVE) funciona como
hardware y software subyacente para los dispositivos VPN SSL de Juniper Networks.
Estos productos permiten dar a los empleados, socios y clientes acceso seguro
y controlado a sus datos y aplicaciones corporativas tales como servidores de
archivos, servidores web, clientes de mensajera y correo electrnico nativos,
servidores hospedados y otros desde fuera de su red fiable usando solamente
un navegador web.
Este tema contiene la siguiente informacin sobre el IVE:
Qu es el IVE? en la pgina 25
Qu puedo hacer con el IVE? en la pgina 27
Cmo comienzo a configurar el IVE? en la pgina 34
Uso de Network and Security Manager con el IVE en la pgina 35
Qu es el IVE?
El IVE es un sistema operativo para redes blindado que funciona como plataforma
para todos los productos Secure Access de Juniper Networks. Estos dispositivos
proporcionan una gama de caractersticas de escalabilidad de categora mundial,
alta disponibilidad y seguridad que brindan un acceso remoto seguro a recursos
de red.
El IVE proporciona una frrea seguridad al proporcionar una intermediacin entre
su empresa y los usuarios externos que tienen acceso a los recursos internos de
ella. El acceso a los recursos autorizados se autentica mediante una sesin de
extranet hospedada por el dispositivo. Durante la intermediacin, el IVE recibe
solicitudes seguras de usuarios externos autenticados que luego reenva a los
recursos internos en representacin de stos. Al proporcionar de esta manera
intermediacin del contenido, el IVE elimina la necesidad de implantar kits de
herramientas de extranet en una DMZ tradicional o proporcionar acceso remoto
de VPN a los empleados.
Qu es el IVE?
25
La pgina principal del IVE es muy fcil de utilizar: para acceder, slo es necesario
que los empleados, socios y clientes usen un navegador web que admita SSL y
tengan conexin a Internet. Est pgina proporciona la ventana desde la cual se
puede navegar por la web o explorar servidores de archivos de forma segura, usar
aplicaciones empresariales habilitadas con HTML, iniciar el proxy de aplicaciones
de cliente/servidor, comenzar una sesin en Windows, Citrix, o terminal
Telnet/SSH, tener acceso a servidores de correo electrnico corporativos, iniciar un
tnel seguro de capa 3 o programar o asistir a una reunin segura en lnea. Consulte
la Figura 17.
NOTA: Estas capacidades dependen del producto Secure Access de

Juniper Networks y de las opciones de actualizacin que haya comprado.
Figura 17: El IVE funcionando en una LAN
Se puede configurar un dispositivo Secure Access de Juniper Networks de la

siguiente manera:
26
Qu es el IVE?
Proporcionar acceso seguro a una variedad de recursos. El IVE proporciona

intermediacin del acceso a muchos tipos de aplicaciones y recursos, tales
como aplicaciones empresariales basadas en web, aplicaciones Java, recursos
compartidos, hosts terminales y otras aplicaciones cliente/servidor como
Microsoft Outlook, Lotus Notes, Citrix ICA Client y pcAnywhere. Adems,
los administradores pueden proporcionar un mtodo de acceso que permite
conectividad completa de capa 3, con el mismo nivel de acceso que una
LAN corporativa.
Ajustar los detalles del acceso de usuarios al dispositivo, los tipos de recursos
o los recursos particulares segn factores como la pertenencia a un grupo,
la direccin IP de origen, los atributos del certificado y el estado de seguridad
del punto final. Por ejemplo, se puede usar autenticacin de factor dual y
certificados digitales del lado cliente para autenticar a los usuarios en el IVE
y usar la pertenencia a un grupo LDAP para autorizar el acceso a aplicaciones
particulares.
Captulo 2: Introduccin al IVE
Evaluar el estado de seguridad de los equipos de los usuarios verificando la

presencia de herramientas de defensa en el punto final tales como un software
antivirus actualizado, cortafuegos y parches de seguridad. Se le puede conceder
acceso o no a los usuarios al dispositivo, los tipos de recursos o los recursos
particulares de acuerdo con el estado de seguridad del equipo.
El IVE funciona como una puerta de enlace segura en la capa de aplicacin que
proporciona intermediacin de todas las solicitudes entre la Internet pblica y los
recursos corporativos internos. Todas las solicitudes que introducen al IVE ya
vienen encriptadas desde el explorador del usuario final mediante SSL/HTTPS de
128 bits o 168 bits. Las solicitudes que no estn encriptadas se descartan. Debido a
que el IVE proporciona una frrea capa de seguridad entre la Internet pblica y los
recursos internos, los administradores no necesitan administrar constantemente las
directivas de seguridad y las vulnerabilidades de seguridad de los parches para la
amplia variedad de aplicaciones y servidores web que se implantan en la DMZ de
cara al pblico.
Qu puedo hacer con el IVE?

El IVE ofrece un amplia variedad de caractersticas que se pueden usar para
proporcionar seguridad a los recursos de su empresa y mantener su entorno con
facilidad. Los siguientes temas responden a preguntas que podra tener respecto de
las cualidades de seguridad y administracin del IVE:
Puedo usar el IVE para proporcionar seguridad en el trfico de todas las

aplicaciones, servidores y pginas web de mi empresa? en la pgina 28
Puedo usar mis servidores actuales para autenticar a los usuarios del IVE?
en la pgina 29
Puedo ajustar con mayor precisin el acceso al IVE y a los recursos para los
que proporciona intermediacin? en la pgina 30
Puedo crear una integracin sin fisuras entre el IVE y los recursos para los
que proporciona intermediacin? en la pgina 31
Puedo usar el IVE para proporcionar proteccin contra equipos infectados y

otras amenazas a la seguridad? en la pgina 31
Puedo garantizar la redundancia en el entorno de mi IVE? en la pgina 32
Puedo hacer que la interfaz del IVE coincida con la apariencia y aspecto de
mi empresa? en la pgina 32
Puedo habilitar usuarios de equipos y dispositivos diversos para que usen el

IVE? en la pgina 33
Puedo proporcionar acceso seguro a los usuarios internacionales? en la

pgina 33
27
Puedo usar el IVE para proporcionar seguridad en el trfico de todas las aplicaciones,
servidores y pginas web de mi empresa?
El IVE le permite brindar un acceso seguro a una amplia variedad de aplicaciones,
servidores y otros recursos por medio de sus mecanismos de acceso remoto.
Cuando haya escogido los recursos que desea usar, podr escoger el mecanismo
de acceso correspondiente.
Por ejemplo, si desea proporcionar acceso seguro a Microsoft Outlook, puede usar
Secure Application Manager (SAM). Secure Application Manager proporciona
intermediacin del trfico hacia aplicaciones cliente/servidor como Microsoft
Outlook, Lotus Notes y Citrix. Asimismo, si lo que desea es proporcionar acceso
seguro a la Intranet de su empresa, puede usar la caracterstica de reescritura web.
Esta caracterstica usa el motor de intermediacin de contenido del IVE para
proporcionar intermediacin del trfico hacia las aplicaciones basadas en web
y las pginas web.
El IVE comprende mecanismos de acceso remoto que proporcionan intermediacin
de los siguientes tipos de trfico:
28
Trfico basado en web, incluidas las pginas web y las aplicaciones basadas
en web: Use la caracterstica de reescritura web para proporcionar
intermediacin de este tipo de contenido. La caracterstica de reescritura web
incluye plantillas que le permiten configurar el acceso a aplicaciones como
Citrix, OWA, Lotus iNotes y Sharepoint fcilmente. Adems, puede usar la
opcin de configuracin personalizada de la escritura web para proporcionar
intermediacin en el trfico de una amplia variedad de aplicaciones web y
pginas web adicionales, entre ellas, las aplicaciones web hechas a medida.
Applets de Java, incluidas las aplicaciones web que las utilizan: Use la
caracterstica de applets de Java hospedados para proporcionar intermediacin
de este tipo de contenido. La caracterstica permite albergar applets de Java y
las pginas HTML a las que hacen referencia directamente en el IVE en lugar de
mantener un servidor Java independiente.
Trfico de archivos, incluidos servidores de archivos y directorios: Use la

caracterstica de reescritura de archivos para proporcionar intermediacin y
webificar los recursos compartidos de manera dinmica. La caracterstica de
reescritura le permite ofrecer trfico seguro hacia una variedad de servidores,
directorios y recursos compartidos basados en Windows y Unix.
Aplicaciones cliente/servidor: Use la caracterstica Secure Application

Manager (SAM) para proporcionar intermediacin de este tipo de contenido.
Esta caracterstica est disponible en versin Windows (WSAM) y en versin
Java (JSAM). Las caractersticas WSAM y JSAM incluyen plantillas que le
permiten configurar el acceso a aplicaciones como Lotus Notes, Microsoft
Outlook, exploracin de archivos NetBIOS y Citrix. Adems, se pueden usar las
opciones de configuracin personalizada de WSAM y JSAM para proporcionar
intermediacin del trfico de una variedad de aplicaciones cliente/servidor
adicionales y redes de destino.
Sesiones de emulacin de terminales Telnet y SSH: Use la caracterstica

Telnet/SSH para proporcionar intermediacin de este tipo de contenido. Esta
caracterstica le permite configurar con facilidad el acceso a una variedad de
dispositivos en red que utilizan sesiones de terminal, entre otros, servidores
UNIX, dispositivos de red y otras aplicaciones antiguas.
Sesiones de emulacin de terminales de Windows Terminal Server y

servidores Citrix: Use la caracterstica Terminal Services para proporcionar
intermediacin de este tipo de contenido. Esta caracterstica le permite
configurar con facilidad el acceso a servidores Windows Terminal, Citrix
MetaFrame y Citrix Presentation (antes conocidos como Nfuse). Tambin se
puede usar esta caracterstica para ofreces los clientes de servicios de
terminales directamente desde el IVE, lo que elimina la necesidad de usar otro
servidor web para albergarlos.
Clientes de correo electrnico basados en los protocolos IMAP4, POP3 y

SMTP: Use la caracterstica de cliente de correo electrnico para proporcionar
intermediacin de este tipo de contenido. Esta caracterstica le permite
configurar con facilidad el acceso a cualquier servidor de correo corporativo
basado en los protocolos IMAP4, POP3, y SMTP, tales como Microsoft Exchange
Server y Lotus Notes Mail.
Todo el trfico de red: Use la caracterstica Network Connect para crear un

tnel seguro de capa 3 sobre la conexin SSL, lo que permite tener acceso a
cualquier tipo de aplicacin disponible en la red corporativa. Esta caracterstica
le permite conectar con facilidad a usuarios remotos a su red al encapsular el
trfico de red en el puerto 443, lo que les concede acceso completo a todos los
recursos de red sin tener que configurar el acceso para servidores, aplicaciones
y recursos particulares.
Para obtener ms informacin sobre cmo ofrecer seguridad de trfico mediante

los mecanismos de acceso remoto del IVE, consulte Acceso remoto en la
pgina 343.
Puedo usar mis servidores actuales para autenticar a los usuarios del IVE?
Se puede configurar fcilmente el IVE para que use los servidores actuales de su
empresa para autenticar a los usuarios finales. Los usuarios no tienen que aprender
un nuevo nombre de usuario ni contrasea para tener acceso al IVE. El IVE admite
la integracin con LDAP, RADIUS, NIS, Windows NT Domain, Active Directory,
eTrust SiteMinder, SAML y RSA ACE/Server.
Si prefiere no usar uno de estos servidores estndar, puede almacenar los nombres
de usuario y credenciales directamente en el IVE y usarlo directamente como
servidor de autenticacin. Adems, puede optar por autenticar a los usuarios de
acuerdo con atributos contenidos en declaraciones de autenticacin generadas por
autoridades SAML o certificados del lado cliente. Si prefiere no exigir a sus usuarios
que inicien sesin en el IVE, puede usar el servidor de autenticacin annima del
IVE, que permite tener acceso a este sin proporcionar un nombre de usuario ni
contrasea.
Para obtener ms informacin sobre proteccin del acceso al IVE mediante
servidores de autenticacin, consulte Servidores de autenticacin y de directorios
en la pgina 111.
29
Puedo ajustar con mayor precisin el acceso al IVE y a los recursos para los que
proporciona intermediacin?
Adems de usar servidores de autenticacin para controlar el acceso al IVE,
se puede controlar el acceso a este y a los recursos para los que proporciona
intermediacin mediante una variedad de verificaciones adicionales del lado
cliente. El IVE le permite crear un mtodo de capas mltiples para protegerlo
y proteger tambin los recursos:
1. En primer lugar, se pueden llevar a cabo verificaciones de preautenticacin
que controlan el acceso de los usuarios a la pgina de inicio de sesin del IVE.
Por ejemplo, se podra configurar el IVE para que compruebe si el equipo del
usuario est ejecutando una versin en particular de Norton Antivirus. Si no la
est ejecutando, se puede determinar que el equipo de ese usuario no es seguro
y se puede inhabilitar el acceso a la pgina de inicio de sesin del IVE mientras
el usuario no actualice el software antivirus del equipo.
2. Cuando un usuario haya tenido acceso satisfactorio a la pgina de inicio de
sesin del IVE, se puede llevar a cabo una verificacin de nivel de territorio para
determinar si el usuario puede tener acceso a la pgina de inicio para usuarios
finales del IVE. La verificacin de nivel de territorio ms comn es la que lleva a
cabo un servidor de autenticacin. (El servidor determina si el usuario introdujo
un nombre de usuario y contrasea vlidos.) No obstante, se pueden llevar a
cabo otros tipos de verificaciones de nivel de territorio, tales como verificar que
la direccin IP del usuario est dentro de su red o que est usando el tipo de
explorador web que usted especifique.
Si el usuario supera las verificaciones de nivel de territorio especificadas, puede
tener acceso a la pgina de inicio para usuarios finales del IVE. De lo contrario,
el IVE no permitir al usuario iniciar la sesin o mostrar una versin
simplificada de la pgina de inicio que usted cre. Por lo general, la versin
simplificada contiene muchas menos funcionalidades que las que estn
disponibles para los usuarios estndar, debido a la falta de cumplimiento de
todos los criterios de autenticacin. El IVE proporciona definiciones de directiva
extremadamente flexibles, lo que le permite alterar de forma dinmica el
acceso a los recursos de los usuarios finales de acuerdo con las directivas de
seguridad de la empresa.
3. Una vez que el IVE asigna satisfactoriamente al usuario a un territorio, el
dispositivo lo asigna a un rol de acuerdo con los criterios de seleccin que se
definan. Los roles especifican los mecanismos de acceso que tiene un grupo de
usuarios. Tambin controla las opciones de sesin y de la interfaz de usuario
para el grupo de usuarios. Se puede usar una amplia variedad de criterios para
asignar usuarios a los roles. Por ejemplo, se pueden asignar usuarios a distintos
roles de acuerdo con las verificaciones de seguridad de punto final o con base
en atributos obtenidos de un certificado de servidor LDAP o del lado cliente.
4. En la mayora de los casos, las asignaciones de rol de un usuario controlan los
recursos particulares a los que puede tener acceso. Por ejemplo, se podra
configurar acceso a la pgina de Intranet de su empresa mediante un perfil de
recursos web y luego especificar que todos los miembros del rol Empleado
tengan acceso a ese recurso.
30
No obstante, se puede optar por ajustar con mayor precisin el acceso a

determinados recursos individuales. Por ejemplo, se puede permitir a los
miembros del rol Empleado tener acceso a la Intranet de su empresa (como se
mencion antes), pero aadir una regla detallada de directiva de recursos que
exija a los usuarios cumplir determinados criterios adicionales para tener
acceso al recurso. Por ejemplo, se puede exigir a los usuarios ser miembros del
rol Empleado e iniciar sesin en el IVE durante la jornada laboral para tener
acceso a la Intranet de la empresa.
Para obtener ms informacin sobre ajustar con mayor precisin el acceso al IVE
y a los recursos a los que proporciona intermediacin, consulte Marco de
administracin de acceso en la pgina 49.
Puedo crear una integracin sin fisuras entre el IVE y los recursos para los que
proporciona intermediacin?
En una configuracin tpica del IVE, se pueden agregar marcadores directamente a
la pgina de inicio para usuarios finales del IVE. Estos marcadores son vnculos a los
recursos para los que el IVE proporciona intermediacin. Al agregar estos
marcadores, los usuarios podrn iniciar sesin en un solo lugar (el IVE) y encontrar
una sola lista con todos los recursos disponibles.
Con esta configuracin tpica, se puede racionalizar la integracin entre el IVE y los
recursos para los que proporciona intermediacin mediante la habilitacin del
inicio de sesin nico (SSO). El SSO es un proceso que permite que los usuarios
preautenticados en el IVE tengan acceso a otras aplicaciones o recursos que estn
protegidos con otro sistema de administracin del acceso sin tener que volver a
introducir sus credenciales. Durante la configuracin del IVE, se puede habilitar el
SSO indicando las credenciales de usuario que desea que traspase el IVE a los
recursos para los que proporciona intermediacin. Consulte Inicio de sesin nico
en la pgina 223.
Si prefiere no centralizar los recursos de usuario en la pgina de inicio para usuarios
finales del IVE, puede crear vnculos a los recursos para los que el IVE proporciona
intermediacin desde otra pgina web. Por ejemplo, se pueden configurar
marcadores en el IVE y despus agregar vnculos en la Intranet de su empresa que
apunten hacia ellos. Los usuarios pueden entonces iniciar sesin en la Intranet de la
empresa y hacer clic en los vnculos que all encuentren para tener acceso a los
recursos para los que el IVE proporciona intermediacin, sin tener que entrar a la
pgina de inicio de ste. Al igual que con los marcadores estndar del IVE, se puede
habilitar el SSO para estos vnculos externos.
Puedo usar el IVE para proporcionar proteccin contra equipos infectados y otras
amenazas a la seguridad?
El IVE le permite proporcionar proteccin contra virus, ataques y otras amenazas
a la seguridad mediante la caracterstica Host Checker. Host Checker lleva a cabo
verificaciones de seguridad en los clientes que se conectan al IVE. Por ejemplo, se
puede usar la caracterstica Host Checker para verificar que los sistemas del usuario
final contengan software antivirus actualizado, firewalls, parches urgentes de
software y otras aplicaciones que protegen los equipos de los usuarios. Se puede
permitir o negar a los usuarios tener acceso a las pginas de inicio de sesin del
IVE, territorios, roles y recursos segn los resultados que devuelva Host Checker.
Tambin se pueden mostrar instrucciones de correccin a los usuarios para que
puedan adecuar sus equipos.
31
Tambin se puede usar la caracterstica Host Checker para crear un espacio de

trabajo protegido en clientes que funcionan con Windows 2000 o Windows XP. A
travs de Host Checker, se puede habilitar la caracterstica Secure Virtual Workspace
(SVW) para crear un espacio de trabajo protegido en el escritorio del cliente, lo que
garantiza que cualquier usuario final que inicie sesin en su Intranet lleve a cabo su
trabajo dentro de un entorno totalmente protegido. La caracterstica Secure Virtual
Workspace encripta la informacin que escriben las aplicaciones en el disco o
registro y luego destruye cualquier dato propio o relacionado con el IVE cuando
termina la sesin.
Tambin se puede proporcionar seguridad a la red ante un intruso hostil al integrar
su IVE con un sensor IDP de Juniper Networks que detecta y previene intrusiones.
Se pueden usar los dispositivos IDP para detectar y bloquear la mayora de los
gusanos de la red que aprovechan vulnerabilidades del software; los troyanos que
no se basan en archivos; los efectos del spyware, adware y registradores de
pulsaciones de teclas; muchos tipos de malware; y ataques de da cero, mediante el
uso de deteccin de anomalas.
Para obtener ms informacin sobre Host Checker y otros mecanismos de defensa
de punto final del IVE, consulte Defensa en el punto final en la pgina 255. Para
obtener ms informacin sobre la integracin del IVE con el sensor IDP, consulte
Interoperabilidad de IVE e IDP en la pgina 975.
Puedo garantizar la redundancia en el entorno de mi IVE?

Se puede garantizar la redundancia en el entorno del IVE utilizando su caracterstica
de clsteres. Con esta caracterstica se pueden implantar dos o ms dispositivos en
un clster, lo que asegura que no habr tiempo de inactividad ante la eventualidad
de una falla. Tambin garantiza que haya una homologacin completa que
sincronice la configuracin del usuario, la configuracin del sistema y los datos de
sesin del usuario.
Estos dispositivos admiten configuraciones activo/pasivo o activo/activo en una LAN
o WAN. En modo activo/pasivo, uno de los IVE atiende activamente las solicitudes
de usuarios mientras que el otro funciona pasivamente en segundo plano para
sincronizar los datos de estado. Si el IVE que est activo queda fuera de lnea, el IVE
inactivo comienza automticamente a atender las solicitudes de usuarios. En modo
activo/activo, todos los equipos del clster manejan activamente las solicitudes de
usuarios que se envan por medio de un equilibrador de carga externo o un DNS de
ronda recproca. El equilibrador de carga alberga la VIP del clster y enruta las
solicitudes de usuarios a un IVE definido en su grupo de clsteres basndose en la
IP de origen. Si un IVE queda fuera de lnea, el equilibrador de carga ajusta la carga
entre los IVE que se mantienen activos.
Puedo hacer que la interfaz del IVE coincida con la apariencia y aspecto de mi
empresa?
El IVE permite personalizar una variedad de elementos en la interfaz de usuario
final. Con las caractersticas de personalizacin, se puede actualizar la apariencia
y aspecto de la consola de usuario final del IVE para que se parezca a una de las
pginas web estndar de su empresa o a sus aplicaciones.
32
Por ejemplo, se pueden personalizar fcilmente los encabezados, colores de fondo

y logotipos que muestra el IVE en su pgina de inicio de sesin y en la consola de
usuario final para que coincida con el estilo de su empresa. Tambin se puede
personalizar fcilmente el orden en que el IVE muestra los marcadores y el sistema
de ayuda que muestra a los usuarios.
Si prefiere no mostrar la pgina de inicio del IVE para usuarios finales a los usuarios
(ya sea en la forma estndar o personalizada), se puede redireccionarlos a una
pgina distinta (como la Intranet de su empresa) la primera vez que inicien sesin
en la consola del IVE. Si escoge esta opcin, puede agregar vnculos a los
marcadores del IVE en la pgina nueva, como se explica en Puedo crear una
integracin sin fisuras entre el IVE y los recursos para los que proporciona
intermediacin? en la pgina 31.
Si desea seguir personalizando la pgina de inicio de sesin del IVE, puede usar la
caracterstica de pginas de inicio de sesin personalizadas del IVE. A diferencia de
las opciones de personalizacin estndar que se pueden configurar mediante la
consola de administracin del IVE, la caracterstica de pginas de inicio de sesin
personalizada no limita la cantidad de personalizaciones que puede hacer a las
pginas. Con esta caracterstica, se puede usar un editor HTML para desarrollar una
pgina de inicio de sesin que coincida exactamente con sus especificaciones.
Para obtener ms informacin sobre personalizacin de la apariencia y aspecto del
IVE, consulte UI personalizables para el administrador y el usuario final en la
pgina 995.
Puedo habilitar usuarios de equipos y dispositivos diversos para que usen el IVE?
Adems de permitir a los usuarios acceder al IVE desde estaciones de trabajo y
equipos pblicos estndar que ejecuten sistemas operativos Windows, Macintosh y
Linux, el IVE permite a los usuarios finales tener acceso a l desde PDA, dispositivos
de mano y telfonos inteligentes conectados, como i-mode y Pocket PC. Cuando un
usuario se conecta desde un PDA o un dispositivo porttil, el IVE determina cules
de sus pginas y qu funcionalidad mostrar segn los ajustes que haya configurado.
Para obtener ms informacin sobre especificacin de las pginas que muestra el
IVE a dispositivos distintos, consulte el documento sobre plataformas admitidas por
el IVE que est disponible en la pgina IVE OS Software del sitio Juniper Networks
Customer Support Center.
Para obtener ms informacin sobre los sistemas operativos, PDA y dispositivos de
mano especficos que admite el IVE, consulte Dispositivos de mano y PDA en la
pgina 1031.
Puedo proporcionar acceso seguro a los usuarios internacionales?

El IVE admite los idiomas ingls de (EEUU), francs, alemn, espaol, chino
simplificado, chino tradicional, japons y coreano. Cuando los usuarios inician
sesin en el IVE, ste detecta automticamente el idioma que corresponde de
acuerdo con los ajustes del explorador web del usuario. Tambin puede usar las
opciones de localizacin y pginas de inicio de sesin personalizadas para
especificar manualmente el idioma que desea mostrar a sus usuarios finales.
Para obtener ms informacin sobre localizacin, consulte Compatibilidad con
varios idiomas en la pgina 1027.
33
Cmo comienzo a configurar el IVE?

Para habilitar usuarios para que comiencen a usar el dispositivo Secure Access, debe
empezar por lo siguiente:
1. Enchufe el dispositivo, conctelo a la red y configure los ajustes iniciales del
sistema y de la red. Este sencillo y rpido paso se detalla en la Secure Access
Quick Start Guide.
2. Cuando conecte el IVE a su red, deber fijar la fecha y hora del sistema,
actualizarlo para tener el ltimo paquete de servicio e instalar sus licencias
de producto. Cuando inicie sesin por primera vez en la consola de
administracin, el IVE muestra un manual de tareas de configuracin inicial
que le indica los pasos a seguir en el proceso.
3. Tras la instalacin de las licencias de producto, se necesita configurar el marco
de gestin de acceso para permitir a los usuarios autenticarse y tener acceso a
los recursos. Los pasos de configuracin son:
a.
Definir un servidor de autenticacin que verifique los nombres y

contraseas de los usuarios.
b.
Crear roles que permitan tener acceso a mecanismos, opciones de sesin

y opciones de interfaz de usuario para los grupos.
c.
Crear un territorio de autenticacin de usuarios que especifique las

condiciones que deben cumplir para iniciar sesin en el IVE.
d. Definir una directiva de inicio de sesin que especifique la URL a la que

deben tener acceso los usuarios para iniciar sesin en el IVE y la pgina
que vern al iniciar la sesin.
e.
Crear perfiles de recursos que controlen el acceso a stos, especificar los

roles que pueden tener acceso a ellos e incluir marcadores que vinculen
los recursos.
El IVE incluye un manual de tareas en la consola de administracin que seala

los pasos a seguir en el proceso. Para tener acceso al manual de tareas, haga
clic en el vnculo Guidance ubicado en la esquina superior derecha de la
consola de administracin. Luego, bajo Recommended Task Guides, seleccione
Base Configuration. Tambin puede usar el tutorial que se incluye en este
manual. Para obtener ms informacin, consulte Verificacin inicial y
conceptos clave en la pgina 3.
Cuando haya completado los pasos bsicos descritos, su dispositivo Secure Access
estar listo para usarse. Puede comenzar a usarlo como est o puede configurar
caractersticas avanzadas tales como la defensa de punto final y los clsteres.
34
Cmo comienzo a configurar el IVE?
Uso de Network and Security Manager con el IVE

Network and Security Manager (NSM) es la herramienta de Juniper Networks para
administrar redes y permite ejercer administracin distribuida de los dispositivos
de red. Se puede usar la aplicacin NSM para centralizar la supervisin de estado,
los registros y comunicaciones y para administrar las configuraciones del IVE.
Con el NSM se pueden administrar la mayora de los parmetros que se pueden
configurar a travs de la consola de administracin del IVE. Las pantallas de
configuracin que muestra el NSM son parecidas a la interfaz nativa del IVE.
El NSM incorpora un marco amplio de administracin de las configuraciones que
permite la coadministracin con otros mtodos. Se puede importar y exportar XML
mediante la interfaz de la consola de administracin del IVE o se puede ejercer la
administracin desde la consola de administracin del IVE.
La manera en que se comunican el IVE y el NSM

El IVE y la aplicacin del NSM se comunican mediante la interfaz de administracin
de dispositivos (DMI). La DMI es una coleccin de protocolos controlados por
esquemas, que se ejecutan sobre un transporte comn (TCP). La DMI est
diseada para funcionar con plataformas de Juniper Networks para hacer
que la administracin de dispositivos sea uniforme en todos los territorios de
administracin. Los protocolos DMI admitidos son NetConf (para administracin
de inventario, configuracin basada en XML, configuracin basada en texto,
supervisin de alarmas y comandos especficos de dispositivos), syslog
estructurado y flujo de amenazas para creacin de perfiles de red. La DMI admite
sistemas de administracin de red de terceros que incorporen el estndar DMI.
Sin embargo, se admite slo un agente basado en DMI por dispositivo.
La configuracin del IVE se representa como un rbol jerrquico de elementos de
configuracin. Esta estructura est expresada en XML, que puede manipularse con
NetConf. NetConf es un protocolo de administracin de red que usa XML. La DMI
usa las capacidades genricas de administracin de configuraciones de NetConf y
las aplica para permitir que se configure el dispositivo de manera remota.
Para permitir que el NSM administre el IVE mediante el protocolo DMI, el NSM debe
importar los archivos de esquema y metadatos desde el Juniper Update Repository,
un recurso de acceso pblico que se actualiza con cada versin del dispositivo.
El Juniper Update Repository brinda acceso a los archivos XSD y XML definidos
para cada dispositivo, modelo y versin del software.
Antes de intentar proporcionar comunicaciones con el NSM, debe completar la
configuracin inicial del IVE. La configuracin inicial incluye los ajustes de interfaz
de red, los ajustes de DNS, las licencias y la administracin de contraseas.
Si tiene varios IVE que se configurarn en un entorno de clsteres, debe en primer
lugar configurar el clster en la interfaz de usuario de administracin del IVE y
luego agregar los nodos al objeto de clster del NSM. El NSM no puede detectar
automticamente la pertenencia a un clster.
35
Una vez terminada la configuracin de red inicial, se puede configurar el IVE para
proporcionar comunicaciones con el NSM de acuerdo con la informacin de red
correspondiente. Una vez configurado para comunicarse con el NSM, el IVE
establece contacto con el NSM e inicia una sesin de DMI por medio del
establecimiento de una conexin inicial TCP.
Todas las comunicaciones entre el IVE y el NSM suceden sobre SSH a fin de
garantizar la integridad de los datos.
Una vez que el IVE establece contacto inicial con el NSM y se establece una sesin
TCP, la interaccin entre ambos est controlada por el NSM, que enva comandos
para obtener los detalles sobre el hardware, software y licencias del IVE. El NSM se
conecta al Juniper Update Repository para descargar el esquema de configuracin
que corresponde al IVE.
Cuando el IVE y el NSM estn comunicndose, el primero proporciona informacin
de syslog y de sucesos al segundo.
Una vez que se conecte el NSM con el IVE, podr hacer cualquier cambio de
configuracin directamente en el IVE, pasando por alto el NSM. Actualmente no hay
una caracterstica de reimportacin automtica en el NSM. Si se hacen cambios
directamente en el IVE, se deben comunicar manualmente al NSM.
Al hacer cambios a la configuracin del IVE mediante el NSM, se deben traspasar
los cambios al dispositivo llevando a cabo la operacin Update Device.
Cuando se hace doble clic en el cono del dispositivo IVE en Device Manager y se
selecciona la ficha Config, aparece el rbol de configuraciones en el rea principal
de la pantalla con la misma orientacin con que aparecen los elementos en la
interfaz del IVE.
Servicios y opciones de configuracin disponibles

Los siguientes servicios y opciones del IVE estn disponibles en el NSM:
36
Servicio de administracin de inventario: El servicio de administracin de

inventario permite administrar los detalles de software, hardware y licencias
del IVE. No se pueden agregar o eliminar licencias, ni cambiar la versin del
software.
Servicio de supervisin de estado: El servicio de supervisin de estado

permite obtener el estado del IVE, incluido su nombre, dominio, versin del
sistema operativo, estado de sincronizacin, detalles de conexin y alarmas
actuales.
Servicio de registro: El servicio de registro permite obtener los registros del IVE
en el orden en que fueron generados. El registro de detalles de configuracin
que estn fijados en el IVE se aplicarn al NSM.
Servicio de administracin de configuraciones basada en XML: El servicio de

administracin de configuraciones permite al NSM administrar la configuracin
del IVE. Consulte Importacin y exportacin de archivos de configuracin
XML en la pgina 791.
Los siguientes elementos de la configuracin del dispositivo no se admiten:
Modificar la informacin de licencia, (aunque pueden verse las licencias)
Creacin de clsteres, unin de nodos a clsteres o habilitar o inhabilitar nodos

de clsteres
Empaquetar archivos de registro o depurar archivos para anlisis remoto
Agregar certificados de dispositivos
Resumen de tareas: Configuracin de las comunicaciones DMI para el NSM

Para configurar el IVE para que se comunique con el NSM, se deben coordinar
acciones entre los administradores del IVE y del NSM. Los administradores del IVE
y del NSM deben compartir elementos como la direccin IP, contrasea, clave
HMAC (contrasea para usar una sola vez) e identificacin del dispositivo.
Para conectar el IVE con el NSM debe hacer lo siguiente:
Instalar y configurar el IVE.
Agregar el IVE como dispositivo en el NSM.
Configurar y activar el agente DMI en el IVE.
Confirmar la conectividad e importar la configuracin del IVE al NSM.
Configurar el IVE para la conexin inicial DMI

Para permitir que el IVE y el NSM establezcan la configuracin inicial, se debe
agregar un usuario administrativo de NSM a la configuracin del IVE. Esta seccin
resume el procedimiento para agregar un administrador de NSM y configurar el
agente DMI para permitir las comunicaciones entre el IVE y el NSM. La
configuracin completa del IVE para la autenticacin de usuarios est fuera del
mbito de esta seccin.
Para iniciar una sesin DMI para las comunicaciones entre el IVE y el NSM:
1. Asegrese de que la informacin bsica sobre la conexin est configurada en
el IVE (direccin de red, DNS, contrasea).
2. Asegrese de que las licencias correspondientes estn instaladas en el IVE.
37
3. En el Device Manager de la interfaz de usuario del NSM, haga clic en el icono

Add y seleccione Device para abrir el asistente Add Device e introducir la
informacin correspondiente para agregar un IVE al NSM. Consulte
Juniper Networks NetScreen Security Manager Administrators Guide.
NOTA: Se debe introducir un nombre de usuario y contrasea de administrador de
NSM nicos en la interfaz del NSM. El nombre de usuario se usar en el IVE como
nombre de usuario de la cuenta de administrador que se usar para administrar el
IVE. El NSM debe tener un inicio de sesin nico con la cuenta para evitar que se
interrumpan las comunicaciones con el IVE. El NSM genera automticamente una
identificacin nica que se usa para la clave HMAC.
4. En la consola de administracin del IVE, seleccione Authentication > Auth.
servers e introduzca el nombre de usuario y la contrasea del administrador
de NSM con las credenciales que introdujo en el NSM en el servidor de
autenticacin correspondiente. Use el nombre de usuario y la contrasea del
NSM que introdujo en la interfaz de usuario del NSM. Consulte Servidores de
autenticacin y de directorios en la pgina 111.
NOTA: Slo pueden usarse servidores de autenticacin basados en contraseas.
No se admite la autenticacin con una contrasea que se pueda utilizar solamente
una vez.
5. En la interfaz del NSM, seleccione el men Domain y elija el dominio al que se

agregar el IVE.
6. En el Device Manager, haga clic en el icono Add y seleccione Device para abrir
el asistente Add Device e introducir la informacin correspondiente para
agregar un IVE al NSM. Consulte Juniper Networks NetScreen Security Manager
Administrators Guide.
NOTA:
En un entorno de clsteres, cada nodo del clster debe tener su propio y nico
agente DMI y su propia identificacin de dispositivo y clave HMAC, ya que
cada nodo del clster mantiene su propia conexin persistente de DMI con
la aplicacin administrativa.
Se aplica el algoritmo hash a la clave HMAC y a la identificacin de dispositivo

para identificar los dispositivos en la aplicacin. Juniper recomienda que use
una contrasea robusta para el valor de la clave HMAC a fin de garantizar que
nadie la adivine.
7. Cuando se haya agregado el IVE al NSM, seleccione System > Configuration >
DMI Agent en la consola de administracin del IVE y llene los campos NSM
Primary Server IP address or hostname (direccin IP o nombre de host del
servidor NSM principal), Primary Port (puerto principal), Backup Server
(servidor de respaldo) y Backup Port (puerto de respaldo, si corresponde),
Device ID (identificacin de dispositivo) y HMAC Key (clave HMAC).
8. Seleccione el territorio de administracin que configur para el agente DMI.
38
9. Seleccione la opcin Enabled.

El IVE inicia una conexin TCP con el NSM. Una vez que el IVE est identificado en
el NSM mediante la clave HMAC y el hash de identificacin del dispositivo, tanto el
IVE como el NSM negocian un tnel SSH y el NSM solicita autenticacin al IVE
mediante nombre de usuario y contrasea.
Si necesita desconectar el dispositivo del NSM, se puede inhabilitar el agente de
DMI del dispositivo o se puede eliminar ste de la interfaz del NSM. Cuando se
reestablece la conexin DMI posteriormente, el NSM recuperar automticamente
los cambios de configuracin y los registros acumulados en ese lapso.
Agregar clsteres del IVE

Para agregar un clster del IVE al NSM, primero agregue el clster y despus
cada uno de los miembros. Agregar un miembro es similar a agregar un IVE
independiente. Es necesario tener un objeto de clster, con todos sus miembros
definidos en el NSM, para que ste pueda tener acceso al clster.
Administracin de grandes archivos de datos binarios

Los grandes archivos de datos binarios que son parte de la configuracin de los
dispositivos Secure Access se manejan de manera distinta que el resto de la
configuracin en el NSM. El tamao de estos archivos binarios podra hacer que las
configuraciones fueran tan grandes que se sobrecargaran los recursos del servidor
NSM. Por consiguiente, slo los grandes archivos binarios que se especifique se
importarn al NSM y se configurarn como objetos compartidos, lo que evita que se
dupliquen al aplicarse a varios dispositivos.
Con el NSM, los grandes archivos de datos binarios no son importados con el resto
de la configuracin durante una operacin normal de importacin de dispositivos.
En lugar de ello, el archivo se representa en el rbol de configuracin del dispositivo
mediante una ruta interna que contiene un hash MD5 y la designacin de la
longitud del archivo. Si necesita manejar un archivo as en el NSM, crguelo de
forma independiente y configrelo como un objeto compartido. Para incluir el
archivo como parte del objeto del dispositivo en el NSM, se debe establecer un
vnculo entre el nodo en el rbol de configuracin del dispositivo y el objeto
compartido de datos binarios. Cuando se establece el vnculo, el hash MD5 y la
longitud se reemplazan por un puntero hacia el objeto compartido.
Despus de establecer el vnculo, una directiva de Update Device lleva todos los
archivos de datos binarios que han sido vinculados hacia el dispositivo junto con
el resto de la configuracin. No se llevan datos binarios para los nodos que siguen
conteniendo hash MD5 y designadores de longitud.
Si no necesita manejar un gran archivo de datos binarios desde el NSM, no necesita
incluirlo en la configuracin de objetos del dispositivo. Por ejemplo, suponga que
tiene un applet de Java que reside en un dispositivo Secure Access y que ni tiene
intencin de actualizarlo. En este caso, no es necesario crear el objeto compartido
ni cargar el archivo. Los objetos de dispositivo en el NSM contendrn solo la ruta
interna con el hash MD5 para estos puntos finales. Cualquier operacin de
configuracin delta entre el NSM y el dispositivo indicar configuraciones idnticas
porque el hash MD5 en el NSM coincidir con el archivo en el dispositivo. Por el
mismo motivo, una directiva Update Device no tendr efecto sobre el dispositivo.
39
Las siguientes secciones proporcionan instrucciones detalladas sobre

administracin de grandes archivos de datos binarios en el NSM y proporcionan
instrucciones especficas para cargar cada archivo y vincularlo al objeto de
configuracin del dispositivo.
Carga y vinculacin de grandes archivos de datos binarios en la pgina 40
Importacin de pginas de inicio de sesin personalizadas en la pgina 41
Importacin de ajustes Liveupdate del antivirus en la pgina 42
Importacin de paquetes de complemento de evaluacin de seguridad de

punto final (ESAP) en la pgina 43
Vinculacin a un objeto compartido de directiva de Host Checker de terceros

en la pgina 45
Vinculacin a un objeto compartido de una imagen de papel tapiz de Secure

Virtual Workspace en la pgina 45
Importacin de applets de Java hospedadas en la pgina 46
Importacin de un archivo .cab personalizado del cliente de Citrix en la

pgina 47
Carga y vinculacin de grandes archivos de datos binarios

Este tema describe todo el procedimiento para descargar un gran archivo de datos
binarios y vincularlo al rbol de configuracin del dispositivo Secure Access.
Las secciones subsiguientes proporcionan detalles sobre cada archivo.
Para cargar y vincular un gran archivo de datos binarios, haga lo siguiente:
1. En el Device Manager, haga clic en el icono del dispositivo y seleccione Import
Device de la lista para importar la configuracin del dispositivo Secure Access.
Cuando termine la importacin, la configuracin del objeto del dispositivo
tendr rutas internas MD5 para cada gran archivo binario de datos.
2. Cargue cada archivo que necesite en la estacin de trabajo cliente del NSM.
Necesitar obtener algunos archivos del dispositivo Secure Access. Otros, como
los archivos de configuracin ESAP, deben descargarse desde el sitio original.
Use la interfaz web del dispositivo para cargar los archivos binarios desde el
dispositivo Secure Access.
3. Para crear un objeto compartido en el NSM Object Manager para el archivo
binario:
40
a.
En el panel Configure del rbol de navegacin del NSM, seleccione Object

Manager > Binary data y haga clic en el icono Add.
b.
En el cuadro de dilogo Binary Data, introduzca un nombre para el objeto,

seleccione un color para el icono del objeto, agregue un comentario si lo
desea y seleccione el archivo que carg en el paso 2. Haga clic en OK.
4. Vincule el objeto compartido al nodo correspondiente en el rbol de

configuracin del dispositivo:
a.
En el Device Manager, haga doble clic en el dispositivo Secure Access para

abrir el editor de dispositivos y seleccione la ficha Configuration.
b.
Navegue hasta el nodo en la configuracin donde desea cargar el archivo

binario.
Por ejemplo, para cargar un paquete ESAP, ample Authentication
y seleccione Endpoint Security. En la ficha Host Checker, seleccione
Endpoint Security Assessment Plug-Ins y haga clic en el icono Add.
c.
Seleccione el objeto compartido.

Para seguir con el ejemplo de ESAP, en el cuadro de dilogo New Endpoint
Security Assessment Plug-Ins, introduzca un nmero de versin, seleccione
un objeto compartido de datos binarios de la lista Path to Package. Esto
incluye todos los objetos compartidos de datos binarios. Haga clic en OK.
Si el objeto que busca no est en la lista, puede agregarlo a la lista de datos
binarios compartidos haciendo clic en el icono Add. Aparece el cuadro de
dilogo Binary Data como en el paso 3.
d. Haga clic en OK para guardar los vnculos configurados.
Importacin de pginas de inicio de sesin personalizadas

La caracterstica de pginas de inicio de sesin personalizadas es una caracterstica
con licencia que le permite usar sus propias pginas de acceso en lugar de tener
que modificar la pgina de inicio de sesin que viene con el dispositivo Secure
Access.
Para crear un vnculo desde un rbol de configuracin Secure Access a un objeto
compartido que contiene una pgina de inicio de sesin personalizada, haga lo
siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Ample Authentication.
3. Ample Signing-In.
4. Ample Sign-in Pages.
5. Seleccione Users/Administrator Sign-in Pages y haga clic en el icono Add en el
panel derecho.
6. Introduzca un nombre para la pgina de acceso.
7. Seleccione Custom Sign-in Pages.
41
8. Seleccione un objeto compartido de datos binarios de la lista Custom Pages

Zip File.
9. Haga clic en OK una vez para guardar el vnculo y otra vez para guardar la
configuracin.
compartido que contiene una pgina de inicio de sesin personalizada para
reuniones, haga lo siguiente:
3. Ample Signing-In.
4. Ample Sign-in Pages.
5. Seleccione Meeting Sign-in Pages y haga clic en el icono Add en el panel
derecho.
6. Introduzca un nombre para la pgina de reuniones.
7. Seleccione Custom Sign-in Page.
8. Seleccione un objeto compartido de datos binarios de la lista Blob.
configuracin.
Importacin de ajustes Liveupdate del antivirus

Recupere el ltimo archivo liveupdate del antivirus desde el sitio web de descargas
de Juniper.
En concreto, puede encontrar este archivo en
https://download.juniper.net/software/av/uac/epupdate_hist.xml.
Recupere el ltimo archivo parche desde el sitio web de descargas de Juniper en

https://download.juniper.net/software/hc/patchdata/patchupdate.dat.
Para crear un vnculo desde un rbol de configuracin del dispositivo Secure Access
a un objeto compartido que contiene un archivo liveupdate del antivirus (AV), haga
lo siguiente:
3. Seleccione Endpoint Security.
4. En la ficha Host Checker, seleccione Live Update Settings.
42
5. Seleccione un objeto compartido de datos binarios de la lista Manually import

virus signature.
6. Haga clic en OK para guardar la configuracin.
compartido que contiene un parche del AV, haga lo siguiente:
4. En la ficha Host Checker, seleccione Live Update Settings.
5. Seleccione un objeto compartido de datos binarios de la lista Manually import
patch management data.
Importacin de paquetes de complemento de evaluacin de seguridad de

punto final (ESAP)
El complemento de evaluacin de seguridad de punto final (ESAP) del dispositivo
Secure Access comprueba que las aplicaciones de terceros o puntos finales cumplan
con las reglas predefinidas en la directiva de Host Checker.
Para cargar el ESAP desde el Juniper Networks Customer Support Center a su
equipo cliente de NSM, haga lo siguiente:
1. Abra la siguiente pgina:
https://www.juniper.net/customers/csc/software/ive/
2. Para tener acceso al Customer Support Center, introduzca un nombre de

usuario y contrasea de una cuenta de soporte tcnico de Juniper Networks.
3. Haga clic en el vnculo ESAP.
4. Haga clic en el vnculo ESAP Download Page.
5. Busque la versin de ESAP que necesita.
6. Cargue el archivo zip con el complemento a su equipo.
compartido que contiene un paquete ESAP, haga lo siguiente:
43
4. En la ficha Host Checker, seleccione Endpoint Security Assessment Plug-Ins

y haga clic en el icono Add.
5. En el cuadro de dilogo New Endpoint Security Assessment Plug-Ins, introduzca
el nmero de versin del ESAP.
6. Seleccione un objeto compartido binario de la lista Path to Package.
configuracin.
Carga de una directiva Host Checker de terceros
Para que el dispositivo reconozca un archivo de definicin de paquetes, debe hacer
lo siguiente:
1. Poner un nombre al archivo de definicin de paquetes MANIFEST.HCIF e
incluirlo en una carpeta llamada META-INF.
2. Crear un paquete de directivas Host Checker creando un archivo zip. El archivo
debe contener la carpeta META-INF que contiene el archivo MANIFEST.HCIF junto
con la DLL de interfaz y cualquier archivo de inicializacin. Por ejemplo,
un paquete de directivas Host Checker podra contener lo siguiente:
META-INF/MANIFEST.HCIF
hcif-myPestPatrol.dll
hcif-myPestPatrol.ini
3. Cargue el paquete (o paquetes) Host Checker al objeto compartido de NSM. Se

pueden cargar varios paquetes de directivas a los objetos compartidos de NSM,
cada uno de los cuales contiene un archivo MANIFEST.HCIF distinto.
NOTA: Despus de cargar un paquete de directivas Host Checker al objeto
compartido NSM, no se puede modificar el contenido del paquete. En su lugar,
debe modificar el paquete en su sistema local y cargar la versin modificada
al NSM.
4. Implemente la directiva en los niveles de territorio, rol o directiva de recursos

usando las opciones. Consulte el Secure Access Administration Guide o el
Unified Access Control Administration Guide para obtener informacin sobre
cmo configurar las restricciones de Host Checker.
Si desea verificar que el paquete est instalado y ejecutndose en el equipo
del cliente (en lugar de si una directiva especfica del paquete se cumple o no),
se puede usar el nombre que especific al cargar el paquete de directivas
(por ejemplo, miPestPatrol). Para hacer cumplir una directiva especfica del
paquete use la sintaxis nombrepaquete.nombredirectiva. Por ejemplo, para
hacer cumplir la directiva FileCheck del paquete miPestPatrol, use
miPestPatrol.FileCheck.
44
Vinculacin a un objeto compartido de directiva de Host Checker

de terceros
a un objeto compartido que contiene una directiva Host Checker de terceros, haga
lo siguiente:
4. En la ficha Host Checker, seleccione la ficha Settings y haga clic en el icono Add
en el cuadro Policies.
5. En la lista Policy type, seleccione 3rd Party Policy.
6. Ponga un nombre a la directiva.
7. Seleccione un objeto compartido de datos binarios de la lista Package.
Vinculacin a un objeto compartido de una imagen de papel tapiz de

Secure Virtual Workspace
a un objeto compartido que contiene una imagen de papel tapiz de Secure Virtual
Workspace, haga lo siguiente:
4. En la ficha Host Checker, seleccione la ficha Settings y haga clic en el icono Add
en el cuadro Policies.
5. En la lista Policy type, seleccione Secure Virtual Workspace Policy.
6. Seleccione la ficha Options.
7. Seleccione un objeto compartido de datos binarios de la lista Desktop
wallpaper image.
45
Importacin de applets de Java hospedadas

Se pueden almacenar applets de Java como objetos compartidos en el NSM sin
tener que usar un servidor web independiente para albergarlos. As se pueden
usar para proporcionar intermediacin del trfico de varios tipos de aplicaciones
mediante el dispositivo Secure Access. Por ejemplo, se pueden cargar los applets
3270 o 5250 o el applet Java de Citrix a los objetos compartidos de NSM. Estos
applets permiten que los usuarios establezcan sesiones en los servidores de
codificacin de IBM, AS/400s y Citrix MetaFrame mediante emuladores de
terminal. Para habilitar el cliente ICA de Citrix en Java mediante una sesin del IVE,
se deben cargar varios archivos .jar y .cab de Citrix o configurar un perfil de
recursos de Citrix Terminal Services para albergar los applets de Java.
Se pueden cargar archivos individuales .jar y .cab o archivos de almacenamiento
.zip, .cab, o .tar a los objetos compartidos de NSM. Los archivos de almacenamiento
pueden contener applets de Java y los archivos a los que hacen referencia los
applets. En el archivo .zip, .cab, o .tar, el applet de Java debe residir en el
primer nivel.
Para garantizar la compatibilidad con mquinas virtuales de Java (JVM) en Sun y
Microsoft, se deben cargar tanto archivos .jar como .cab. La JVM de Sun usa los
archivos .jar y la JVM de Microsoft usa los archivos .cab.
NOTA: Cuando se cargan applets de Java al NSM, este pide que se lea el acuerdo
legal antes de terminar de instalarlos. Lea atentamente el acuerdo, pues le obliga a
asumir toda la responsabilidad por la legalidad, operacin y compatibilidad de los
applets de Java que est cargando.
La carga de applets de Java requiere applets de ActiveX o Java firmados a fin de

que se habiliten dentro el explorador para descargar, instalar e iniciar las
aplicaciones cliente.
a un objeto compartido que contiene un applet de Java, haga lo siguiente:
2. Ample Users.
3. Ample Resource Profiles.
4. Seleccione Hosted Java Applets y haga clic en el icono Add en el panel
derecho.
5. Ponga un nombre al applet y al archivo.
6. Seleccione un objeto compartido de datos binarios de la lista Applet file to be
uploaded.
configuracin.
46
Importacin de un archivo .cab personalizado del cliente de Citrix

El archivo personalizado del cliente de Citrix le permite proporcionar ste desde el
dispositivo Secure Access en lugar de pedirle que est preinstalado en los equipos
del usuario final o que se descargue de algn otro servidor web.
a un objeto compartido que contiene un archivo .cab personalizado del cliente de
Citrix, haga lo siguiente:
2. Ample Users.
3. Seleccione User Roles.
4. Seleccione la ficha Global Role Options.
5. En la ficha Global Terminal Services Role Options, seleccione un objeto
compartido de datos binarios de la lista Citrix Client CAB File.
47
48
Parte 2
Marco de administracin de acceso

El IVE protege los recursos usando los siguientes mecanismos de administracin
de accesos:
Territorio de autenticacin: La accesibilidad a los recursos comienza con

el territorio de autenticacin. Un territorio de autenticacin especifica las
condiciones que los usuarios deben cumplir para iniciar sesin en el IVE.
Una especificacin de territorio de autenticacin incluye varios componentes,
como un servidor de autenticacin que verifica que el usuario es quien dice ser.
El usuario debe cumplir con los requisitos de seguridad definidos para la
directiva de autenticacin del territorio. De lo contrario, el IVE no reenviar
las credenciales del usuario al servidor de autenticacin.
Roles de usuario: La configuracin de roles sirve como el segundo nivel de

control de acceso a los recursos. Un rol es una entidad definida que especifica
las propiedades de la sesin del IVE para los usuarios asignados a ese rol. Un rol
no es la nica forma de especificar los mecanismos de acceso disponibles para
un usuario; usted tambin puede especificar las restricciones que deben
cumplir los usuarios antes de asignarlos a un rol.
Directiva de recursos: Una directiva de recursos sirve como el tercer nivel

de control de acceso a los recursos. Una directiva de recursos es un conjunto
de nombres de recursos (tales como direcciones URL, nombres de hosts,
y combinaciones de la direccin IP y la mscara de red) a los que usted
concede o deniega el acceso u otras acciones especficas para los recursos,
como rescribir y almacenar la cach. Aunque es el rol el que puede conceder
acceso a determinados tipos de caractersticas de acceso y recursos (como
marcadores y aplicaciones), son las directivas de recursos las que controlan si
un usuario puede o no tener acceso a un recurso especfico. Tenga en cuenta
que puede crear directivas de recursos separadas o puede crear directivas de
recursos automticas (llamadas directivas automticas) durante la
configuracin del perfil de recursos (recomendado).
Esta seccin contiene la siguiente informacin acerca del marco de administracin

de acceso del IVE:
Administracin de acceso general en la pgina 51
Roles de usuario en la pgina 69
Perfiles de recursos en la pgina 91
Directivas de recursos en la pgina 101
49
50
Servidores de autenticacin y de directorios en la pgina 111
Territorios de autenticacin en la pgina 195
Directivas de inicio de sesin en la pgina 211
Inicio de sesin nico en la pgina 223
Captulo 3
Administracin de acceso general

El IVE le permite asegurar los recursos de su empresa usando territorios de
autenticacin, roles de usuario y directivas de recursos. Estos tres niveles de
accesibilidad le permiten controlar el acceso desde un nivel muy amplio (controlar
quin puede iniciar sesin en el IVE) hasta un nivel muy particular (controlar qu
usuarios autenticados pueden tener acceso a una direccin URL o a un archivo
en especial). Puede especificar los requisitos de seguridad que los usuarios deben
cumplir para iniciar sesin en el IVE, para obtener acceso a las caractersticas del
IVE e incluso para tener acceso a direcciones URL, archivos y otros recursos del
servidor especficos. El IVE aplica las directivas, reglas, restricciones y condiciones
que usted configure para evitar que los usuarios se conecten o descarguen recursos
y contenidos no autorizados.
Este tema contiene la siguiente informacin acerca del marco de administracin
de acceso:
Licencia: Disponibilidad de la administracin de acceso en la pgina 52
Vista general de las directivas, reglas, restricciones y condiciones en la

pgina 52
Evaluacin de las directivas, reglas, restricciones y condiciones en la

pgina 54
Evaluacin dinmica de directivas en la pgina 57
Configuracin de los requisitos de seguridad en la pgina 60
51
Licencia: Disponibilidad de la administracin de acceso

El marco de administracin de acceso del IVE est disponible en todos los
productos Secure Access. Las componentes de la administracin de acceso, como
los territorios, roles, directivas de recursos y servidores, son la base de la plataforma
del IVE sobre la que se construyen todos los productos Secure Access.
Vista general de las directivas, reglas, restricciones y condiciones

El IVE le permite asegurar los recursos de su empresa usando territorios de
autenticacin, roles de usuario y directivas de recursos. Estos tres niveles de
accesibilidad le permiten controlar el acceso desde un nivel muy amplio (controlar
quin puede iniciar sesin en el IVE) hasta un nivel muy particular (controlar qu
usuarios autenticados pueden tener acceso a una direccin URL o a un archivo
en especial).
Esta seccin contiene la siguiente informacin acerca de las directivas, reglas,
restricciones y condiciones de la administracin de acceso:
Acceso a territorios de autenticacin en la pgina 52
Acceso a los roles de usuario en la pgina 53
Acceso a directivas de recursos en la pgina 54
Acceso a territorios de autenticacin

La accesibilidad a los recursos comienza con el territorio de autenticacin.
Un territorio de autenticacin es una agrupacin de recursos de autenticacin,
que incluye:
52
Un servidor de autenticacin, que verifica que el usuario es quien dice ser.

El IVE reenva las credenciales que enva el usuario a travs de la pgina de
inicio de sesin a un servidor de autenticacin. Para obtener ms informacin,
consulte Servidores de autenticacin y de directorios en la pgina 111.
Una directiva de autenticacin, que especifica los requisitos de seguridad del

territorio que debern cumplirse para que el IVE enve las credenciales del
usuario a un servidor de autenticacin para verificarlas. Para obtener ms
informacin, consulte Definicin de directivas de autenticacin en la
pgina 198.
Un servidor de directorio, que corresponde a un servidor LDAP que le

proporciona al IVE informacin del usuario y del grupo que ste utiliza para
asignar usuarios a uno o ms roles. Para obtener ms informacin, consulte
Servidores de autenticacin y de directorios en la pgina 111.
Licencia: Disponibilidad de la administracin de acceso
Captulo 3: Administracin de acceso general
Reglas de la asignacin de roles, que son las condiciones que un usuario

debe cumplir para que el IVE lo asigne a uno o ms roles de usuario. Estas
condiciones se basan en la informacin del usuario devuelta por el servidor
de directorio del territorio o en el nombre de usuario. Para obtener ms
informacin, consulte Creacin de reglas de asignacin de roles en la
pgina 199.
Puede asociar uno o ms territorios de autenticacin con una pgina de inicio de

sesin del IVE. Cuando exista ms de un territorio para una pgina de inicio de
sesin, el usuario debe especificar un territorio antes de enviar sus credenciales.
Cuando el usuario enva sus credenciales, el IVE comprueba la directiva de
autenticacin definida para el territorio escogido. El usuario debe cumplir con los
requisitos de seguridad definidos para la directiva de autenticacin del territorio.
De lo contrario, el IVE no reenviar las credenciales del usuario al servidor de
autenticacin.
A nivel de territorio, puede especificar los requisitos de seguridad basados en
distintos elementos, como la direccin IP de origen del usuario o la posesin de un
certificado del lado cliente. Si el usuario cumple con los requisitos que especifica la
directiva de autenticacin del territorio, el IVE reenviar las credenciales del usuario
al servidor de autenticacin correspondiente. Si el servidor autentica correctamente
al usuario, entonces el IVE evala las reglas de la asignacin de roles definidas para
el territorio para determinar qu roles se deben asignar al usuario. Consulte
Territorios de autenticacin en la pgina 195.
Acceso a los roles de usuario

Un rol es una entidad definida que especifica las propiedades de la sesin del
IVE para los usuarios asignados a ese rol. Entre estas propiedades de sesin se
encuentran los tiempos de espera y los componentes de acceso habilitados para la
sesin. La configuracin de un rol sirve como el segundo nivel de control de acceso
a los recursos. Un rol no es la nica forma de especificar los mecanismos de acceso
disponibles para un usuario; usted tambin puede especificar las restricciones que
deben cumplir los usuarios antes de asignarlos a un rol. El usuario debe cumplir
estos requisitos de seguridad para que el IVE le asigne un rol.
A nivel de rol, puede especificar los requisitos de seguridad basndose en
elementos como la direccin IP de origen del usuario y la posesin de un certificado
del lado cliente. Si el usuario cumple los requisitos especificados, ya sea por una
regla de asignacin de roles o por las restricciones para un rol, entonces el IVE
asigna al usuario a un rol. Cuando un usuario realiza una solicitud a los recursos
backend disponibles para el rol, el IVE evala las directivas de recursos de los
componentes de acceso correspondientes.
Tenga en cuenta que puede especificar los requisitos de seguridad para un rol en
dos lugares: en las reglas de la asignacin de roles de un territorio de autenticacin
(usando expresiones personalizadas) o al sealar las restricciones en la definicin
del rol. El IVE evala los requisitos especificados en ambas reas para asegurarse de
que el usuario los cumple antes de asignarlo a un rol. Consulte Roles de usuario
en la pgina 69.
Vista general de las directivas, reglas, restricciones y condiciones
53
Acceso a directivas de recursos

Una directiva de recursos es un conjunto de nombres de recursos (tales como
direcciones URL, nombres de hosts, y combinaciones de direccin IP y mscara de
red) a los que se concede o deniega el acceso u otras acciones especficas para los
recursos, como rescribir y almacenar la cach. Una directiva de recursos sirve como
el tercer nivel de control de acceso a los recursos. Aunque es el rol el que puede
conceder acceso a determinados tipos de caractersticas de acceso y recursos
(como marcadores y aplicaciones), son las directivas de recursos las que controlan
si un usuario puede o no tener acceso a un recurso especfico. Estas directivas
pueden incluso especificar las condiciones que, de cumplirse, concedern acceso al
usuario a los recursos compartidos o a los archivos del servidor. Estas condiciones
pueden basarse en requisitos de seguridad especificados por usted. El usuario debe
cumplir estos requisitos de seguridad para que el IVE procese su solicitud.
A nivel de recursos, puede especificar los requisitos de seguridad basndose en
elementos como la direccin IP de origen del usuario o la posesin de un
certificado del lado cliente. Si el usuario cumple con los requisitos especificados por
las condiciones de la directiva de recursos, entonces el IVE conceder acceso al
recurso solicitado. Por ejemplo, puede habilitar acceso a travs de la Web en un
nivel de roles y el usuario asignado a ese rol podr realizar solicitudes a travs de la
Web. Tambin puede configurar una directiva de recursos en Web para denegar
solicitudes a una direccin URL o ruta especfica cuando el Host Checker encuentra
un archivo inaceptable en el equipo del usuario. En este caso, el IVE comprueba si
el Host Checker se est ejecutando e indica que el equipo del usuario cumple con
la directiva requerida del Host Checker. Si el equipo del usuario cumple con la
directiva, lo que significa que no hay un archivo inaceptable, entonces el IVE le
concede acceso al usuario para el recurso Web solicitado.
Tenga en cuenta que puede crear directivas de recursos separadas o puede crear
directivas de recursos automticas (llamadas directivas automticas) durante la
configuracin del perfil de recursos (recomendado). Para obtener ms informacin,
consulte:
Componentes de los perfiles de recursos en la pgina 92
Directivas de recursos en la pgina 101
Evaluacin de las directivas, reglas, restricciones y condiciones

El siguiente diagrama ilustra las comprobaciones de la seguridad de la
administracin de acceso que realiza el IVE cuando un usuario intenta obtener
acceso a los recursos a travs del IVE. Despus del diagrama encontrar una
descripcin detallada de cada paso.
54
Figura 18: Comprobaciones de seguridad realizada por el IVE durante una sesin
de usuario
1. El usuario escribe la direccin URL de la consola del usuario final del IVE
(como http://empleados.suempresa.com/marketing) en un navegador Web.
2. El IVE evala sus directivas de inicio de sesin (comenzando con las
direcciones URL del administrador y siguiendo con las URL del usuario) hasta
que encuentra una coincidencia con el nombre del host que el usuario
introdujo.
3. El IVE evala las restricciones de la autenticacin previa y determina si el
sistema del usuario aprueba las comprobaciones del host y otros requisitos.
Si la comprobacin de autenticacin previa no se aprueba, el IVE denegar el
acceso al usuario. Si se aprueba la comprobacin, el IVE le solicitar al usuario
que escriba el nombre de usuario y la contrasea para los territorios en los que
tuvo xito la comprobacin de autenticacin previa. (Si el territorio lo requiere,
el IVE le indica al usuario que escriba dos grupos de credenciales). Si existe ms
de un territorio, el usuario deber introducir un territorio o escoger uno de
la lista.
55
4. El IVE evala las restricciones de autenticacin posterior y determina si la

contrasea del usuario satisface los lmites y requisitos especficos. Si la
comprobacin de autenticacin posterior no se aprueba, el IVE denegar
el acceso al usuario. Si se aprueba la comprobacin, el IVE enviar las
credenciales del usuario al servidor de autenticacin del territorio.
5. El IVE reenva el nombre de usuario y la contrasea del usuario al servidor de
autenticacin, que devuelve un resultado correcto o errneo. (Un servidor de
autenticacin RADIUS o SiteMinder tambin devuelve atributos para que los
use el IVE para asignacin de roles.) Si el servidor de autenticacin devuelve un
error, el IVE denegar el acceso al usuario. Si el servidor devuelve un resultado
correcto, el IVE almacenar las credenciales del usuario. Si el territorio tiene un
servidor de autorizacin LDAP separado, el IVE tambin consulta al servidor
LDAP los atributos y la informacin del grupo y guarda la informacin que
devuelve el LDAP. Si el territorio cuenta con un servidor de autenticacin
secundario, el IVE repite el proceso con ese servidor.
6. El IVE evala las reglas de la asignacin de roles del territorio y determina los
roles a los que puede optar el usuario. El IVE determina la aptitud del usuario
usando la informacin de los servidores LDAP o RADIUS o el nombre de
usuario del usuario.
7. El IVE evala las restricciones de los roles disponibles, habilitando al usuario
a tener acceso a los roles que tienen restricciones que cumple el equipo del
usuario. Las restricciones pueden incluir la direccin IP de origen, el tipo de
navegador, el certificado del lado cliente, Host Checker y Cache Cleaner.
8. El IVE crea un rol de sesin y determina los permisos para la sesin del
usuario. Si habilita la combinacin de permisos, el IVE determina los permisos
para la sesin combinando todos los roles vlidos y permitiendo el acceso a los
recursos de cada rol vlido. Si no habilita la combinacin de permisos, el IVE da
al usuario el primer rol al que l est asignado. Para obtener ms informacin,
consulte Evaluacin de rol de usuario en la pgina 70.
9. Cuando el usuario solicita un recurso, el IVE comprueba si la caracterstica
de acceso correspondiente est habilitada para el rol del usuario de la sesin.
En caso contrario, el IVE deniega el acceso del usuario. Si la caracterstica de
acceso est habilitada, el IVE evala las directivas de recursos.
10. El IVE evala los perfiles y las directivas de recursos relacionadas con la
solicitud del usuario, procesando cada una de forma secuencial hasta que
encuentra el perfil o la directiva que tiene la lista de recursos y los roles
designados que coinciden con la solicitud del usuario. El IVE deniega el acceso
al usuario al recurso si la directiva o el perfil lo especifican as. Por otra parte,
si la directiva o el perfil habilitan el acceso, el IVE intermedia la solicitud del
usuario. Para obtener ms informacin, consulte Evaluacin de las directivas
de recursos en la pgina 106.
11. El IVE intermedia la solicitud del usuario reenviando su solicitud y sus
credenciales (si es necesario) al servidor adecuado. Luego, el IVE reenva la
respuesta de servidor al usuario.
56
12. El usuario obtiene acceso al recurso o al servidor solicitado. La sesin del

usuario finaliza cuando el usuario se desconecta o cuando termina el tiempo
de espera de la sesin debido a los lmites de tiempo o de inactividad. El IVE
tambin puede forzar la salida del usuario de la sesin si habilita la evaluacin
dinmica de directivas y el usuario no cumple con una directiva. Para obtener
ms informacin, consulte Comprensin de la evaluacin dinmica de
directivas en la pgina 57.
NOTA: Si habilita la evaluacin dinmica de directivas, el IVE realiza
comprobaciones adicionales ms all de las mencionadas aqu. Para obtener ms
informacin, consulte Comprensin de la evaluacin dinmica de directivas en
la pgina 57.
Evaluacin dinmica de directivas

La evaluacin dinmica de directivas le permite actualizar automtica o
manualmente los roles asignados de los usuarios al evaluar la directiva de
autenticacin del territorio, las asignaciones de roles, las restricciones de los
roles y las directivas de recursos. Cuando el IVE realiza una evaluacin dinmica,
comprueba si el estado del cliente ha cambiado. (Por ejemplo, es posible que el
estado del Host Checker del cliente haya cambiado. O bien, si el usuario es mvil,
es posible que la direccin IP del equipo haya cambiado). Si el estado cambia, el
IVE habilita o deniega el acceso al usuario a los territorios, roles o directivas de
recursos que dependen de ese estado.
NOTA: El IVE no comprueba cambios en los atributos del usuario desde un
servidor RADIUS, LDAP o SiteMinder cuando realiza la evaluacin dinmica de
directivas. En cambio, el IVE reevala las reglas y directivas basndose en los
atributos originales del usuario que obtuvo cuando el usuario inici sesin en
el IVE.
Esta seccin contiene la siguiente informacin acerca de la evaluacin dinmica

de directivas:
Comprensin de la evaluacin dinmica de directivas en la pgina 57
Comprensin de la evaluacin de directivas estndar en la pgina 58
Habilitacin de la evaluacin dinmica de directivas en la pgina 59
Comprensin de la evaluacin dinmica de directivas

Durante la evaluacin dinmica de directivas, el IVE evala los siguientes tipos de
directivas de recursos:
Windows Secure Application Manager
Java Secure Application Manager
Network Connect
57
Telnet/SSH
Terminal Services (Windows y Citrix)
Java Access
Firma de cdigo (para applets java)
NOTA: Debido a que el IVE evala las directivas de recursos de la Web y los
archivos cada vez que el usuario realiza una solicitud para un recurso, la
evaluacin dinmica de directivas no es necesaria para estos elementos. El IVE no
usa la evaluacin dinmica de directivas para directivas de recursos de reuniones
o de clientes de correo electrnico.
Si despus de una evaluacin dinmica de directivas el IVE determina que un

usuario ya no cumple con los requisitos de seguridad de una directiva o rol, el IVE
finaliza la conexin con el usuario inmediatamente. El usuario podra experimentar
el cierre de una conexin de TCP o de una aplicacin, o el trmino de una sesin de
usuario para Network Connect, Secure Application Manager, Terminal o Telnet/SSH.
El usuario debe tomar las medidas necesarias para cumplir los requisitos de
seguridad de la directiva o el rol y luego iniciar sesin nuevamente en el IVE.
El IVE registra la informacin acerca de la evaluacin de las directivas y los cambios
en los roles o en el acceso en el Registro de Eventos.
Comprensin de la evaluacin de directivas estndar

Si no usa la evaluacin dinmica de directivas, el IVE evala las directivas y los roles
slo cuando ocurren los siguientes eventos:
Cuando el usuario intenta entrar a la pgina de inicio del IVE por primera vez,
el IVE evala las directivas del Host Checker y de Cache Cleaner (si las hubiera)
para un territorio.
Inmediatamente despus de la autenticacin inicial del usuario, el IVE evala

las restricciones del territorio del usuario en la directiva de autenticacin, las
reglas de la asignacin de roles y las restricciones de roles.
Cada vez que el usuario realiza una solicitud por un recurso, el IVE evala las
directivas de recursos.
Cada vez que cambia el estado del Host Checker y Cache Cleaner en el equipo
del cliente, el IVE evala las directivas del Host Checker y de Cache Cleaner
(si las hubiera) para un rol.
Si no usa la evaluacin dinmica de directivas y realiza cambios en una directiva de

autenticacin, en las reglas de la asignacin de roles, en las restricciones de roles o
en las directivas de recursos, el IVE aplica esos cambios slo cuando ocurren dichos
eventos. (Para obtener ms informacin, consulte Vista general de las directivas,
reglas, restricciones y condiciones en la pgina 52.)
58
Si usa la evaluacin de directivas dinmica, el IVE aplica los cambios cuando

ocurren los eventos descritos anteriormente y tambin aplica los cambios en
los momentos que usted especifique. Para obtener ms informacin, consulte
Habilitacin de la evaluacin dinmica de directivas en la pgina 59.
Habilitacin de la evaluacin dinmica de directivas

Puede usar la evaluacin dinmica de directivas de las siguientes formas:
Evaluar a todos los usuarios que inician sesin en un territorio: Puede

actualizar automtica o manualmente los roles de todos los usuarios que
actualmente han iniciado sesin en un territorio, a travs de la ficha General de
las pginas Administrators > Admin Realms > Seleccionar territorio o Users >
User Realms > Seleccionar territorio. Puede activar el IVE para realizar una
evaluacin dinmica de directivas a nivel del territorio, basndose en:
Un temporizador automtico: Puede especificar un intervalo de

actualizacin que determine la frecuencia (por ejemplo, cada 30 minutos)
con la que el IVE realiza la evaluacin automtica de directivas de todos los
usuarios del territorio actualmente conectados. Al usar el intervalo de
actualizacin, tambin puede ajustar el rendimiento del IVE al especificar
si desea o no actualizar los roles y las directivas de recursos, adems de la
directiva de autenticacin, las reglas de la asignacin de roles y las
restricciones de roles.
A peticin: En cualquier momento puede evaluar de forma manual la

directiva de autenticacin, las reglas de la asignacin de roles, las
restricciones de roles y las directivas de recursos de todos los usuarios
del territorio actualmente conectados. Esta tcnica es especialmente til
si realiza cambios en una directiva de autenticacin, en las reglas de la
asignacin de roles, en las restricciones de roles y desea actualizar de
forma inmediata los roles de los usuarios de un territorio.
Evaluar a todos los usuarios conectados en todos los territorios: En cualquier

momento puede actualizar de forma manual los roles de todos los usuarios
conectados a todos los territorios mediante las configuraciones de la pgina
System > Status >Active Users. Para obtener ms informacin, consulte
Supervisin de usuarios activos en la pgina 848.
Evaluar usuarios individuales: Puede actualizar de forma automtica los roles

de los usuarios individuales habilitando la evaluacin dinmica de directivas
para Host Checker en la pgina Authentication > Endpoint Security > Host
Checker. Host Checker puede activar el IVE para que evale las directivas de
recursos cada vez que el estado de Host Checker de un usuario cambia. (Si no
habilita la evaluacin dinmica de directivas para Host Checker, el IVE no
evaluar las directivas de recursos pero s evaluar la directiva de autenticacin,
las reglas de la asignacin de roles y las restricciones de roles cada vez que el
estado del Host Checker del usuario cambie). Para obtener ms informacin,
consulte Especificacin de las opciones generales de Host Checker en la
pgina 314.
59
Configuracin de los requisitos de seguridad

Puede especificar requisitos de seguridad adicionales en el IVE a travs de las
opciones y caractersticas que se describen en las siguientes secciones:
Especificacin de las restricciones de acceso de la direccin IP de origen

en la pgina 60
Especificacin de las restricciones de acceso para exploradores en la

pgina 62
Especificacin de las restricciones de acceso para certificados en la pgina 65
Especificacin de las restricciones de acceso para contraseas en la

pgina 66
Especificacin de las restricciones de acceso para Host Checker en la

pgina 67
Especificacin de las restricciones de acceso para Cache Cleaner en la

pgina 67

Use una restriccin para la direccin IP de origen en el nivel de rol o territorio para
controlar las direcciones IP desde las que los usuarios pueden tener acceso a un
recurso, a una pgina de inicio de sesin de IVE, o desde las cuales se les pueden
asignar roles.
Use una restriccin para la direccin IP de origen para controlar las direcciones IP
desde las que los usuarios pueden tener acceso a un recurso, a una pgina de inicio
de sesin de IVE o desde la cual se les pueda asignar a un rol.
Puede restringir el acceso a los recursos por la direccin de IP de origen:
60
Cuando los administradores o los usuarios intenten iniciar sesin en el IVE:

El usuario debe iniciar sesin desde un equipo que tenga una combinacin de
direccin IP y mscara de red que cumpla con los requisitos especificados para
la direccin IP de origen para el territorio de autenticacin seleccionado. Si el
equipo del usuario no tiene la combinacin de direccin IP y mscara de red
requerida por el territorio, el IVE no reenviar las credenciales del usuario al
servidor de autenticacin y el usuario no tendr acceso al IVE. Puede permitir
o denegar el acceso a cualquier combinacin de direccin IP y mscara de red.
Por ejemplo, puede negar el acceso a todos los usuarios de una red inalmbrica
(10.64.4.100) y permitir el acceso a los usuarios de todas las otras redes
(0.0.0.0).
Cuando se les asigna un rol a los administradores o a los usuarios: El usuario

autenticado debe iniciar sesin desde un equipo que tenga una combinacin de
direccin IP y mscara de red que cumpla con los requisitos especificados para
la direccin IP de origen para cada rol al que el IVE pueda asignar al usuario. Si
el equipo del usuario no tiene la combinacin de direccin IP y mscara de red
que requiere el rol, entonces el IVE no asigna al usuario a ese rol.
Cuando los usuarios solicitan un recurso: El usuario autenticado y autorizado

debe realizar una solicitud desde un equipo que tenga una combinacin de
direccin IP y mscara de red que cumpla los requisitos para la direccin IP de
origen especificados para la directiva de recursos correspondiente a la solicitud
del usuario. Si el equipo del usuario no tiene la combinacin de direccin IP y
mscara de red que requiere el recurso, entonces el IVE no le concede acceso al
usuario a ese recurso.
Para especificar las restricciones de la direccin IP de origen:

1. Seleccione el nivel donde quiere implementar las restricciones de direccin IP:
Nivel de territorio: dirjase a:
Administrators > Admin Realms > Seleccionar territorio >

Authentication Policy > Source IP
Users > User Realms > Seleccionar territorio > Authentication

Policy > Source IP
Nivel de rol: dirjase a:
Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Source IP
Users > User Roles > Seleccionar rol > General > Restrictions >
Source IP
Nivel de directiva de recursos: dirjase a: Users > Resource Policies >

Seleccionar recurso > Seleccionar directiva > Detailed Rules >
Seleccionar|Crear regla > Campo de condicin
2. Escoja una de las siguientes opciones:
Allow users to sign in from any IP address: Habilita a los usuarios para
que inicien sesin en el IVE desde cualquier direccin IP para satisfacer el
requisito de administracin de acceso.
Allow or deny users from the following IP addresses: Especifica si se

permite o se restringe el acceso de los usuarios al IVE desde todas las
direcciones IP que aparecen en la lista, en funcin de sus configuraciones.
Para especificar el acceso desde una direccin IP:
i.
Escriba la direccin IP y la mscara de red.
ii.
Seleccione una de estas opciones:
Allow para permitir que los usuarios inicien sesin desde las
direcciones IP especificadas.
Configuracin de los requisitos de seguridad 61
Deny para impedir que los usuarios inicien sesin desde las
direcciones IP especificadas.
iii. Haga clic en Add.

iv. Si agrega mltiples direcciones IP, mueva las restricciones de ms alta
prioridad al principio de la lista seleccionando la casilla de verificacin
junto a la direccin IP y luego haga clic en el botn de la flecha hacia
arriba. Por ejemplo, para denegar el acceso a todos los usuarios de una
red inalmbrica (10.64.4.100) y permitir el acceso a los usuarios de
todas las otras redes (0.0.0.0), mueva la direccin de la red inalmbrica
(10.64.4.100) hacia el principio de la lista y mueva la red (0.0.0.0)
debajo de la red inalmbrica.
Enable administrators to sign in on the external port: Habilita a los

administradores para que inicien sesin en el IVE desde la interfaz externa.
Debe habilitar el puerto externo antes de configurar esta opcin.
3. Haga clic en Save Changes para guardar sus ajustes.
Especificacin de las restricciones de acceso para exploradores

Use una restriccin de navegadores para controlar los navegadores de web desde
los que los usuarios pueden tener acceso a un recurso, a una pgina de inicio de
sesin de IVE o desde la cual se les puede asignar un rol. Si un usuario intenta
iniciar sesin en el IVE usando un navegador que no es compatible, el intento de
iniciar sesin fallar y aparecer un mensaje indicando que se est utilizando un
navegador que no es compatible. Esta caracterstica tambin le permite asegurarse
de que los usuarios inician sesin en el IVE desde navegadores que son compatibles
con las aplicaciones corporativas o estn aprobados por las directivas de seguridad
corporativas.
Puede restringir el acceso al IVE y a los recursos por tipo de navegador:
62
Cuando los administradores o los usuarios intentan iniciar sesin en el IVE:

El usuario debe iniciar sesin desde un navegador que tenga una cadena de
agente de usuario que cumpla los requisitos especificados para el patrn de la
cadena de agente de usuario para el territorio de autenticacin seleccionado. Si
el territorio permite la cadena de agente de usuario del navegador, entonces
el IVE enva las credenciales del usuario al servidor de autenticacin. Si el
territorio restringe la cadena de agente de usuario del navegador, entonces el
IVE no enva las credenciales del usuario al servidor de autenticacin.
Cuando se les asigna un rol a los administradores o a los usuarios: El usuario

autenticado debe iniciar sesin desde un navegador que tenga una cadena de
agente de usuario que cumpla con los requisitos especificados para la cadena
de agente de usuario para cada rol al que el IVE pueda asignar al usuario.
Si la cadena de agente de usuario no cumple los requisitos permitido o
restringido para un rol, entonces el IVE no asigna al usuario a ese rol.
Cuando los usuarios solicitan un recurso: El usuario autenticado y autorizado

debe realizar una solicitud desde un navegador que tenga una cadena de
agente de usuario que cumpla los requisitos permitido o restringido para
la cadena de agente de usuario especificados para la directiva de recursos
correspondiente a la solicitud del usuario. Si la cadena de agente de usuario no
cumple los requisitos permitido o restringido para un recurso, entonces el
IVE no le concede al usuario acceso a ese recurso.
NOTA: La caracterstica de restricciones del navegador no fue ideada como un

control de acceso estricto, ya que la cadena de agente de usuario del navegador
la puede cambiar un usuario avanzado. Sirve como un control de acceso de
advertencia para escenarios de uso normales.
Especificacin de las restricciones para exploradores

Para especificar las restricciones para el navegador:
1. Seleccione el nivel donde quiere implementar las restricciones para
el navegador:
Nivel de territorio: dirjase a:

Authentication Policy > Browser

Policy > Browser
Nivel de rol: dirjase a:
Administrators > Admin Realms > Seleccionar territorio > Role

Mapping > Selecccionar|Crear regla > Expresiones personalizadas
Restrictions > Browser
Users > User Realms > Seleccionar territorio > Role Mapping >
Selecccionar|Crear regla > Expresin personalizada
Browser
Nivel de directiva de recursos: dirjase a: Users > Resource Policies >

Selecccionar|Crear regla > Campo de condicin
Allow all users matching any user-agent string sent by the browser:
Permite a los usuarios tener acceso al IVE o a los recursos utilizando
cualquier navegador Web compatible.
Only allow users matching the following User-agent policy: Permite

definir las reglas de control de acceso para navegadores. Para crear
una regla:
i.
Para el User-agent string pattern, escriba una cadena en el formato

*<browser_string>*
donde el asterisco (*) es un carcter opcional que se usa para coincidir

con cualquier carcter y <browser_string> es un patrn que distingue
maysculas y minsculas que debe coincidir con una subcadena en el
encabezado de agente de usuario que enva el navegador. Tenga en
cuenta que no puede incluir caracteres de escape (\) en las
restricciones para el navegador.
ii.
Allow para permitir que los usuarios utilicen un navegador que tenga
un encabezado de agente de usuario que contenga la subcadena
<browser_string>.
Deny para impedir que los usuarios utilicen un navegador que tenga
un encabezado de agente de usuario que contenga la subcadena
<browser_string>.
iii. Haga clic en Add.

NOTA:
Las reglas se aplican en orden, por lo que se aplicar la primera regla que
coincida.
Los caracteres literales en las reglas distinguen maysculas y minsculas y se

permiten espacios como caracteres literales.
Por ejemplo, la cadena *Netscape* coincide con cualquier cadena de agente de

usuario que contenga la subcadena Netscape.
El siguiente conjunto de reglas concede acceso a los recursos slo cuando los
usuarios inician sesin utilizando Internet Explorer 5.5x o Internet Explorer 6.x.
Este ejemplo considera algunos de los principales navegadores distintos a IE que
envan la subcadena 'MSIE' en sus encabezados de agente de usuario:
*Opera*Deny
*AOL*Deny
*MSIE 5.5*Allow
*MSIE 6.*Allow
* Deny
64
Especificacin de las restricciones de acceso para certificados

Cuando instala un certificado del lado cliente en el IVE a travs de la pgina
System > Configuration > Certificates > Trusted Client CAs de la consola de
administracin, puede restringir el acceso al IVE y a los recursos al requerir
certificados del lado cliente:
Cuando los administradores o los usuarios intenten iniciar sesin en el IVE:

El usuario debe iniciar sesin desde un equipo que posea el certificado del lado
cliente especificado (desde una autoridad de certificacin (CA) y que tenga,
de forma opcional, cualquier requisito del par campo/valor especificado). Si el
equipo del usuario no posee la informacin del certificado requerida por el
territorio, el usuario puede tener acceso a la pgina de inicio de sesin, pero
cuando el IVE determina que el navegador del usuario no posee el certificado,
el IVE no enva las credenciales del usuario al servidor de autenticacin y el
usuario no puede obtener acceso a las caractersticas del IVE.
Para implementar las restricciones para certificado en el nivel de territorio,
dirjase a:

Authentication Policy > Certificate
Users > User Realms > Seleccionar territorio > Authentication Policy >
Certificate
Cuando se les asigne un rol a los administradores o los usuarios: El usuario

autenticado debe iniciar sesin desde un equipo que cumpla con los requisitos
requeridos para certificado del cliente (otorgado por una autoridad de
certificacin (CA) adecuada y, de forma opcional, que cumpla con los requisitos
del par campo/valor especificados) para cada rol al que el IVE pueda asignar
al usuario. Si el equipo del usuario no posee la informacin de certificado que
requiere el rol, entonces el IVE no asigna al usuario a ese rol.
Para implementar las restricciones para certificado en el nivel de rol, dirjase a:
Restrictions > Certificate
Seleccionar|Crear regla > Expresin personalizada
Certificate
Cuando los usuarios solicitan un recurso: El usuario autorizado y autenticado

debe hacer una solicitud por un recurso desde un equipo que cumpla los
requisitos especificados para el certificado del lado cliente (otorgado por una
autoridad de certificacin (CA) adecuada y, de forma opcional, que cumpla
con los requisitos especificados para el par campo/valor) para la directiva de
recursos correspondiente a la solicitud del usuario. Si el equipo del usuario no
posee la informacin de certificado que requiere un recurso, entonces el IVE no
permite que el usuario tenga acceso a ese recurso.
Para implementar las restricciones para certificado en el nivel directiva de
recursos, dirjase a: Users > Resource Policies > Seleccionar recurso >
Seleccionar directiva > Detailed Rules > Seleccionar|Crear regla > Campo de
condicin
Especificacin de las restricciones de acceso para contraseas

Puede restringir el acceso al IVE y a los recursos dependiendo de la longitud de la
contrasea cuando los administradores o usuarios intenten iniciar sesin en un IVE.
El usuario debe escribir una contrasea que tenga una longitud que cumpla con
los requisitos especificados para el territorio. Tenga en cuenta que los registros
del usuario y administrador locales se almacenan en el servidor de autenticacin
del IVE. Este servidor requiere que la contrasea tenga una longitud mnima de
6 caracteres, independiente del valor que usted especifique para la directiva de
autenticacin del territorio.
Para especificar las restricciones para la contrasea:
1. Seleccione un territorio de administrador o usuario para el que desea
implementar las restricciones para contrasea.
Desplcese hasta:

Authentication Policy > Password
Password
2. Elija una de las siguientes opciones:
Allow all users (passwords of any length): No aplica restricciones de

longitud de la contrasea a los usuarios que inicien sesin en el IVE.
Only allow users that have passwords of a minimum length: Requiere

que el usuario escriba una contrasea que tenga una longitud mnima
segn el nmero especificado.
3. Seleccione Enable Password Management si desea habilitar la administracin

de contraseas. Tambin debe configurar la administracin de contraseas en
la pgina de configuracin del servidor de autenticacin del IVE (servidor de
autenticacin local) o a travs de un servidor LDAP. Para obtener ms
informacin acerca de la administracin de contraseas, consulte Habilitacin
de la administracin de contraseas de LDAP en la pgina 133.
66
4. Si habilita un servidor de autenticacin secundario, especifique las restricciones

para la longitud de la contrasea usando las restricciones mencionadas
anteriormente como gua.
NOTA: De forma predeterminada, el IVE solicita que las contraseas de usuario
introducidas en la pgina de inicio de sesin tengan cuatro caracteres como
mnimo. Es posible que el servidor de autenticacin usado para validar las
credenciales de un usuario requiera una longitud mnima distinta. Por ejemplo,
la base de datos de autenticacin local del IVE requiere contraseas de usuario
de seis caracteres como mnimo.
Especificacin de las restricciones de acceso para Host Checker

Para obtener ms informacin acerca de la restriccin de acceso a un usuario
al IVE, a un rol o a un recurso basado en el estado del Host Checker, consulte
Implementacin de las directivas del Host Checker en la pgina 298.
Especificacin de las restricciones de acceso para Cache Cleaner

Para obtener ms informacin acerca de la restriccin de acceso a un usuario
al IVE, a un rol o a un recurso basado en el estado de Cache Cleaner, consulte
Implementacin de las opciones de Cache Cleaner en la pgina 335.
Especificacin de las restricciones de lmite

Adems de las opciones de administracin de acceso que puede especificar para
una directiva de autenticacin, tambin puede especificar un lmite para usuarios
simultneos. Un usuario que escriba una direccin URL para una de las pginas de
inicio de sesin del territorio debe cumplir todos los requisitos especificados para la
administracin de acceso y el lmite de usuarios simultneos antes de que el IVE
presente la pgina de inicio de sesin al usuario.
Use las restricciones de lmite para establecer usuarios mnimos y mximos
simultneos en el territorio.
Para especificar las restricciones de lmites:
1. Seleccione un territorio de administrador o usuario para el que desea
implementar restricciones de lmite.
Desplcese hasta:

Authentication Policy > Limits
Limits
2. Para poner un lmite al nmero de usuarios simultneos en el territorio,

seleccione Limit the number of concurrent users y luego especifique los
valores lmites para estas opciones:
a.
Guaranteed minimum: Puede especificar cualquier nmero de usuarios

entre cero (0) y el nmero mximo de usuarios simultneos definido para
el territorio, o puede establecer el nmero hasta el mximo permitido por
su licencia si no existe un mximo para el territorio.
b.
Maximum (opcional): Puede especificar cualquier nmero de usuarios

simultneos desde el nmero mnimo que especifique hasta el nmero
mximo de usuarios con licencia. Si introduce un cero (0) en el campo
Maximum no se permitir que ningn usuario inicie sesin en el territorio.
68
Captulo 4
Roles de usuario
Un rol de usuario es una entidad que define parmetros de sesin de usuario
(ajustes y opciones de sesin), ajustes de personalizacin (personalizacin y
marcadores de interfaz de usuarios) y roles de acceso habilitados (Web, archivo,
aplicacin, Telnet/SSH, Terminal Services, red, reunin y acceso a correo
electrnico). Un rol de usuario no especifica control de acceso a recursos ni otras
opciones basadas en recursos para una solicitud individual. Por ejemplo, un rol de
usuario puede determinar si un usuario puede realizar una exploracin Web o no.
No obstante, los recursos Web individuales a los que un usuario puede acceder se
definen segn las directivas de recursos Web que debe configurar por separado.
El IVE reconoce dos tipos de roles de usuario:
Administradores: Un rol de administrador especifica los roles de

administracin y las propiedades de sesin del IVE para los administradores
que se asignan al rol. Se puede personalizar un rol de administrador
seleccionando los conjuntos de caractersticas y roles de usuario del IVE que
pueden ver y administrar quienes comparten el rol de administracin. Pueda
crear y configurar roles de administrador en la pgina Delegated Admin Roles.
Haga clic en Administrators > Admin Roles de la consola de administracin.
Usuarios: Un rol de usuario es una entidad que define parmetros de sesin

de usuario, ajustes de personalizacin y roles de acceso habilitados. Se puede
personalizar un rol de usuario mediante la habilitacin de caractersticas
especficas de acceso del IVE, definicin Web, aplicacin y marcadores de
sesin, y la configuracin de los ajustes de sesin para las caractersticas de
acceso habilitadas. Puede crear y configurar roles de usuario en la pgina Roles.
Haga clic en Users > User Roles de la consola de administracin.
Este tema incluye la siguiente informacin sobre roles:
Licencia: Disponibilidad de roles de usuario en la pgina 70
Evaluacin de rol de usuario en la pgina 70
Configuracin de los roles de usuario en la pgina 72
Personalizacin de las vistas de UI para roles de usuario en la pgina 86
69
Licencia: Disponibilidad de roles de usuario

Los roles de usuario conforman un componente integral del marco de
administracin de acceso del IVE y, por lo tanto, est disponibles en todos los
productos Secure Access. Sin embargo, slo podr acceder a estas caractersticas
a travs del rol de usuario previa obtencin de la licencia. Por ejemplo, si est
utilizando un dispositivo SA-700 y no ha adquirido una licencia de actualizacin
Core Clientless Access, no podr habilitar la reescritura Web para un rol de usuario.
Evaluacin de rol de usuario

El motor de asignacin de roles del IVE determina un rol de sesin del usuario o
permisos combinados vlidos para una sesin de usuario, segn se ilustra en la
siguiente figura. A continuacin del diagrama se muestra una descripcin detallada
de los pasos a seguir.
Figura 19: Comprobaciones de seguridad realizadas por el IVE para crear un rol de sesin
70
Licencia: Disponibilidad de roles de usuario
Captulo 4: Roles de usuario
El IVE realiza las siguientes comprobaciones de seguridad para crear un rol

de sesin:
1. El IVE inicia una evaluacin de reglas con la primera regla de la ficha Role
Mapping del territorio de autenticacin en que el usuario ha iniciado sesin
correctamente. Durante la evaluacin, el IVE determina si el usuario cumple
las condiciones de la regla. De ser as:
a.
El IVE agrega los roles correspondientes a una lista de roles vlidos

disponibles para el usuario.
b.
El IVE determina si la caracterstica para detenerse en coincidencias se

encuentra configurada. De ser as, el motor contina en el paso 5.
2. El IVE evala la siguiente regla en la ficha Role Mapping del territorio de

autenticacin segn el proceso establecido en el paso 1 y repite este proceso
con cada una de las reglas siguientes. Cuando el IVE evala todas las reglas de
asignacin de roles, genera una lista completa de roles vlidos.
3. El IVE evala la definicin de cada uno de los roles presentes en la lista de
elementos vlidos para determinar si el usuario cumple alguna restriccin de
rol. El IVE utiliza esta informacin para crear una lista de roles vlidos, cuyos
requisitos tambin cumple el usuario.
Si la lista de roles vlidos contiene slo un rol, el IVE asigna esa rol al usuario.
De lo contrario, el IVE contina con el proceso de evaluacin.
4. El IVE evala el ajuste especificado en la ficha Role Mapping para los usuarios
a quienes se les asigna ms de un rol:
Merge settings for all assigned roles: Si elige esta opcin, el IVE realiza
una combinacin permisiva de todos los roles de usuario vlidas a fin de
determinar el rol de sesin general (red) para la sesin de un usuario.
User must select from among assigned roles: Si elige esta opcin, el IVE
presenta una lista de roles vlidos para un usuario autenticado. El usuario
debe seleccionar un rol de la lista y el IVE asigna al usuario dicho rol
durante la sesin del usuario.
User must select the sets of merged roles assigned by each rule: Si elige
esta opcin, el IVE presenta una lista de reglas vlidas para un usuario
autenticado (es decir, reglas cuyas condiciones debe cumplir el usuario).
El usuario debe seleccionar una regla de la lista y el IVE realiza una
combinacin permisiva de todos los roles asignados a dicha regla.
NOTA: Si utiliza una evaluacin dinmica de directivas (por tiempo) automtica o

realiza una evaluacin de directiva manual, el IVE repite el proceso de evaluacin
de rol descrito en esta seccin. Consulte Evaluacin dinmica de directivas en la
pgina 57.
Evaluacin de rol de usuario
71
Pautas de combinacin permisiva

Una combinacin permisiva es una combinacin de dos o ms roles que mezcla
caractersticas y ajustes habilitados siguiendo las siguientes pautas:
Cualquier caracterstica de acceso habilitada en un rol tiene prioridad sobre el

mismo conjunto de caractersticas inhabilitado en otro rol. Por ejemplo, si un
usuario asigna dos roles, uno de los cuales inhabilita Secure Meeting y el otro la
habilita, el IVE permite que el usuario use Secure Meeting durante esa sesin.
En el caso de Secure Application Manager, el IVE habilita la versin

correspondiente al primer rol que habilita esta caracterstica. Adems,
el IVE combina los ajustes de todos los roles que corresponden con la
versin seleccionada.
En el caso de las opciones de interfaz de usuario, el IVE aplica los ajustes que
corresponden con el primer rol de usuario.
En el caso de los tiempos de espera de sesin, el IVE aplica el valor ms alto de

todos los roles a la sesin del usuario.
Si ms de un rol habilita la caracterstica de sesin itinerante, el IVE combina

las mscaras de red para formular una mscara de red mayor para la sesin.
Al combinar dos roles asignados a un usuario (uno que abre los marcadores en
una ventana aparte y otro que los abre en la misma ventana), el rol combinado
abre los marcadores en la misma ventana.
Al combinar dos roles en que el primero inhabilita la barra de herramientas de

exploracin y el segundo rol habilita la barra de herramientas estndar o
enmarcada, el rol de usuario usa los ajustes del segundo rol y muestra la barra
de herramientas de exploracin especificada.
El rol combinado usa el valor ms alto que aparece para el tiempo de espera de
conexin HTTP. Haga clic en Users > User Roles > Seleccionar rol > Web >
Options y despus en View advanced options.
Configuracin de los roles de usuario

Para crear un rol de usuario:
1. En la consola de administracin, seleccione Users > User Roles.
2. Haga clic en New Role e introduzca un nombre y opcionalmente una
descripcin. Este nombre aparece en la lista de Roles de la pgina Roles.
Una vez que haya creado un rol, puede hacer clic en el nombre del rol para
comenzar a configurarlo usando las instrucciones de las siguientes secciones:
72
Configuracin de las opciones generales del rol en la pgina 73
Configuracin de restricciones de rol en la pgina 74
Especificacin de alias de IP de origen basados en roles en la pgina 75
Especificacin de las opciones de sesin en la pgina 76
Especificacin de las opciones de UI en la pgina 79
Definicin de opciones predeterminadas para roles de usuario en la

pgina 84
NOTA:
Cuando elimina un rol, es posible que los marcadores personales, ajustes de

SAM y otros ajustes no se eliminen. Por lo tanto, si agrega un nuevo rol con el
mismo nombre, cualquier usuario agregado a ese nuevo rol puede adquirir los
marcadores y ajustes antiguos. En general, el IVE aplica reglas de integridad
referencial y no permite que elimine ningn objeto si se hace referencia a
ellos en otro lugar. Por ejemplo, si se usa un rol en alguna de las reglas de
asignacin de roles del territorio, el IVE rechaza la eliminacin del rol a menos
que modifique o elimine las reglas de asignacin.
Para crear cuentas de usuario individuales, debe agregar a los usuarios

mediante el servidor de autenticacin correspondiente (no el rol). Consulte
Creacin de cuentas de usuario en un servidor local de autenticacin en la
pgina 140. Si desea instrucciones para crear usuarios en los servidores de
terceros, consulte la documentacin del producto correspondiente.
Configuracin de las opciones generales del rol

Haga clic en Overview en la parte superior de la ficha General para editar el nombre
y la descripcin de un rol, alternar las opciones de sesin e interfaz de usuario y
habilitar las caractersticas de acceso. Cuando habilite una caracterstica de acceso,
asegrese de crear las directivas de recursos correspondientes.
Para administrar los ajustes y opciones generales de los roles:
1. En la consola de administracin, seleccione Users > User Roles > Nombre
de rol > General > Overview.
2. Modifique el nombre y la descripcin y haga clic en Save Changes (opcional).
3. En Options, marque las opciones especficas que desea habilitar para ese rol.
Si no selecciona las opciones especficas del rol, el IVE usa los ajustes
predeterminados, como se describe en Definicin de opciones
predeterminadas para roles de usuario en la pgina 84. Las opciones
especficas del rol incluyen:
VLAN/Source IP: Seleccione esta opcin para aplicar los ajustes de

rol configurados en la pgina General > VLAN/Source IP. Consulte
Especificacin de alias de IP de origen basados en roles en la pgina 75.
Session Options: Seleccione esta opcin para aplicar los ajustes al rol de
la pgina General > Session Options. Consulte Especificacin de las
opciones de sesin en la pgina 76.
UI Options: Seleccione esta opcin para aplicar los ajustes al rol de la

pgina General > UI Options. Consulte Especificacin de las opciones
de UI en la pgina 79.
73
4. En Access features, marque las caractersticas que desea habilitar paral rol.
Las opciones son:
Web: Consulte Reescritura web en la pgina 383
Files (versin Windows o UNIX/NFS): Consulte Reescritura de archivos

en la pgina 465
Secure Application Manager (versin Windows o Java): Consulte Secure

Application Manager en la pgina 491
Telnet/SSH: Consulte Telnet/SSH en la pgina 551
Terminal Services: Consulte Terminal Services en la pgina 563
Meetings: Consulte Secure Meeting en la pgina 619
Email Client: Consulte Email Client en la pgina 647
Network Connect: Consulte Network Connect en la pgina 655
5. Haga clic en Save Changes para aplicar los ajustes al rol.
Configuracin de restricciones de rol

Haga clic en Restrictions en la parte superior de la ficha General para especificar
las opciones de administracin de acceso para el rol. El IVE considerar estas
opciones en el momento de determinar si asigna un usuario al rol. El IVE no asigna
usuarios a este rol a menos que cumplan las restricciones especificadas. Consulte
Administracin de acceso general en la pgina 51.
Puede configurar la cantidad que desee de opciones de administracin de acceso
para el rol. Si un usuario no cumple todas las restricciones, el IVE no asigna el
usuario a ese rol.
Para especificar opciones de administracin de acceso para el rol:
de rol > General > Restrictions.
2. Haga clic en la ficha que corresponde a la opcin que desea configurar para el
rol y configrela segn las instrucciones de las siguientes secciones:
74

en la pgina 60

pgina 62
Especificacin de las restricciones de acceso para certificados en la

pgina 65

pgina 66

pgina 67

pgina 67
Especificacin de alias de IP de origen basados en roles

Haga clic en VLAN/Source IP en la parte superior de la ficha General para definir
los alias de IP de origen basados en roles. Si desea dirigir el trfico hacia sitios
especficos basados en roles, puede definir un alias de IP para cada rol. Puede
utilizar estos alias para configurar puertos virtuales que podr definir para la
direccin IP de origen de la interfaz interna. Un dispositivo back-end puede dirigir
el trfico del usuario final segn estos alias, siempre y cuando configure el
dispositivo, como un cortafuegos, para recibir a los alias de la direccin IP de origen
de la interfaz interna. Esta capacidad le permite dirigir varios usuarios finales a
sitios definidos segn sus roles, aunque la totalidad del trfico de usuarios posee la
misma direccin IP de origen de la interfaz interna.
NOTA: Debe definir puertos virtuales para aprovechar los alias de IP de origen
basados en roles. Para obtener ms informacin sobre puertos virtuales, consulte
Configuracin de los puertos internos y externos en la pgina 706 y
Configuracin de puertos virtuales en la pgina 711.
Para especificar un alias de IP de origen para el rol:

de rol > General > VLAN/Source IP.
2. Seleccione la VLAN que desea utilizar de la lista VLAN, si es que ha definido los
puertos de este componente en su sistema.
Si no ha definido los puertos VLAN, la opcin se predetermina en la direccin
IP del puerto interno. Si ha dispuesto sistemas IVS, definido puertos VLAN y
desea que algunos de estos puertos VLAN aparezcan en la lista VLAN, deber
incluir los puertos en el cuadro de texto Selected VLANs en la pgina de
configuracin Root IVS.
3. Seleccione una direccin IP de origen de la lista.
NOTA:
Si se asigna un usuario final a varios roles y el IVE los combina, el IVE asocia
la direccin IP de origen configurada para el primer rol en la lista con el rol
combinado.
Se puede establecer la misma direccin IP de origen para varios roles.

No se pueden establecer varias direcciones IP de origen para un solo rol.
75
Especificacin de las opciones de sesin

Haga clic en Session Options en la parte superior de la ficha General para
especificar lmites de tiempo de sesin, capacidades itinerantes, persistencia
de sesin y contrasea, opciones de continuacin de solicitud y actividad de la
aplicacin de tiempo de espera por inactividad. Seleccione la casilla de verificacin
Session Options en la ficha Overview para habilitar estos ajustes para el rol.
Para especificar opciones generales de sesin:
1. En la consola de administracin, haga clic en Users > User Roles > Nombre
de rol > General > Session Options.
2. En Session lifetime, especifique:
Idle Timeout: Especifique los minutos que una sesin activa no

administrativa puede permanecer abierta antes de que se termine.
El mnimo son cinco minutos. El lmite predeterminado de la sesin
inactiva son diez minutos, lo que significa que si la sesin de un usuario
pasa diez minutos inactiva, el IVE termina la sesin y registra el evento
en el registro del sistema (a menos que haya habilitado las advertencias
de tiempo de espera de sesin descritas ms adelante).
Max. Session Length: Especifique los minutos que una sesin activa
no administrativa puede permanecer abierta antes de que se termine.
El mnimo son seis minutos. El lmite de tiempo predeterminado para una
sesin de usuario son sesenta minutos, tras lo cual el IVE termina la sesin
y registra el evento en el registro del sistema. Durante una sesin de
usuario final, antes de alcanzar el lmite mximo de la sesin, el IVE solicita
al usuario que vuelva a introducir las credenciales de autenticacin, lo que
evita que la sesin termine sin advertencia.
Reminder Time: Especifique el momento en que el IVE debe preguntar a

los usuarios no administrativos, advertirles de una sesin inminente o del
tiempo de espera por inactividad. Especifique los minutos antes de
alcanzar el tiempo de espera.
NOTA: Se recomienda que la diferencia entre Idle Timeout y Reminder Time sea
superior a dos minutos. Esto garantiza que aparecer la ventana emergente de
recordatorio en el momento correcto.
NOTA: Si est utilizando Secure Meeting, puede configurar los lmites de sesin de
reunin haciendo clic en Users > Resource Policies > Meetings de la consola de
administracin. Consulte Configuracin de los ajustes de reunin a nivel de
sistema en la pgina 640.
76
3. En Enable session timeout warning:

a.
Enabled: Seleccione para notificar a los usuarios no administrativos cuando

estn por llegar al lmite de tiempo de espera por inactividad o de sesin.
Estas advertencias solicitan al usuario que tome las acciones necesarias
cuando se aproxima el trmino de su sesin o tiempo de espera de
inactividad, lo que les permite guardar cualquier dato del formulario en
que se encuentren trabajando que, de lo contrario, se perdera. Cuando
un usuario se acerque al lmite de tiempo de espera por inactividad, se le
solicitar que reactive su sesin. Cuando un usuario se acerque al lmite de
tiempo de sesin, se le solicitar que guarde los datos.
Por ejemplo, un usuario del IVE puede alcanzar, sin saberlo, el tiempo de
espera por inactividad configurado para su rol mientras usa un cliente de
correo electrnico configurado para que funcione con el IVE, porque el IVE
no recibe datos mientras el usuario redacta el correo. Sin embargo, si se
habilita la advertencia de tiempo de espera de sesin, el IVE le solicita al
usuario que reactive su sesin en el IVE antes de que termine y cierra la
sesin en el IVE del usuario. Esta advertencia da al usuario la oportunidad
de guardar los correos electrnicos que no haya terminado de redactar.
b.
Display sign-in page on max session time out: Seleccione esta opcin si
desea mostrar una nueva pgina de inicio de sesin del explorador para el
usuario final cuando termine su sesin. Esta opcin slo aparece cuando
elige habilitar la advertencia de tiempo de espera de sesin.
NOTA:
Si no selecciona la opcin Enable session timeout warning, el IVE slo

muestra los mensajes de vencimiento a los usuarios; no les da la posibilidad
de extender sus sesiones, sino que los usuarios deben acceder a la pgina de
inicio de sesin del IVE y autenticarse en una nueva sesin.
La opcin Enable session timeout warning slo se aplica a los mensajes de

vencimiento que muestre el explorador del usuario final, pero no otros
clientes como WSAM o Network Connect.
4. En Roaming session, especifique:
Enabled: Seleccione esta opcin para habilitar sesiones de usuario

itinerante para los usuarios asignados a este rol. Una sesin de usuario
itinerante funciona a travs de las direcciones IP de origen, lo que permite
a los usuarios mviles (usuarios de equipos porttiles) que tienen
direcciones IP dinmicas iniciar sesin en el IVE desde una ubicacin y
seguir trabajando desde otra. Inhabilite esta caracterstica para evitar que
los usuarios tengan acceso a una sesin establecida anteriormente desde
una nueva direccin IP de origen. As ayuda a la proteccin contra un
ataque que simule la sesin del usuario, siempre que el hacker haya podido
obtener una cookie vlida de sesin del usuario.
77
Limit to subnet: Seleccione esta opcin para limitar la sesin itinerante

a la subred local especificada en el cuadro Netmask. Los usuarios pueden
iniciar sesin desde una direccin IP y seguir usando sus sesiones desde
otra direccin IP siempre y cuando la nueva direccin IP se encuentre
dentro de la misma subred.
Disabled: Seleccione esta opcin para inhabilitar sesiones de usuario

itinerante para los usuarios asignados a este rol. Los usuarios que inicien
sesin desde una direccin IP no pueden continuar una sesin activa del
IVE desde otra direccin IP; las sesiones de usuario estn vinculadas a la
direccin IP de origen del comienzo.
5. En Persistent session, seleccione Enabled para escribir la cookie de sesin del

IVE en el disco duro del cliente de modo que las credenciales del IVE del
usuario se guarden durante la sesin del IVE.
De forma predeterminada, la cookie de sesin del IVE se borra de la memoria
del explorador cuando ste se cierra. La duracin de la sesin del IVE se
determina por los valores del tiempo de espera por inactividad y la duracin
mxima de la sesin que se especific para el rol. La sesin del IVE no concluye
cuando el usuario cierra el explorador; la sesin del IVE slo concluye cuando el
usuario cierra la sesin del IVE.
NOTA: Si habilita la opcin Persistent session y un usuario cierra la ventana del
explorador sin cerrar la sesin, cualquier usuario puede abrir otra instancia del
mismo explorador para acceder al IVE sin enviar credenciales vlidas, lo que
representa un posible riesgo de seguridad. Se recomienda habilitar esta
caracterstica slo para los roles cuyos miembros necesiten acceder a las
aplicaciones que requieren las credenciales del IVE y asegurarse de que estos
usuarios comprenden la importancia de cerrar la sesin en el IVE cuando
terminan.
6. En Persistent password caching, seleccione Enabled para permitir que las

contraseas en memoria cach continen en las sesiones para un rol.
El IVE admite el protocolo de autenticacin NT LAN Manager (NTLM) y la
autenticacin bsica HTTP y admite los servidores que estn configurados para
aceptar los inicios de sesin NTLM y annimos. El IVE almacena en la memoria
cach las contraseas de NTLM y la autenticacin bsica HTTP que
proporcionan los usuarios para que no se les solicite repetidamente que
introduzcan las mismas credenciales usadas para iniciar sesin en el servidor
del IVE u otro recurso en el dominio NT. De forma predeterminada, el servidor
del IVE borra las contraseas de la memoria cach cuando un usuario cierra la
sesin. El usuario puede eliminar las contraseas en memoria cach en la
pgina Advanced Preferences. Despus de que el usuario final inicia sesin
en el IVE, haga clic en Preferences y luego en la ficha Advanced.
7. En Browser request follow-through, seleccione Enabled para permitir que el
IVE complete la solicitud de un usuario hecha despus de que la sesin termin
tras la reautenticacin del usuario.
78
8. En Idle timeout application activity, seleccione Enabled para omitir las

actividades iniciadas por las aplicaciones Web (como sondeos de correos
electrnicos) determinando si una sesin est activa. Si inhabilita esta opcin,
la ejecucin peridica del comando ping o de otra actividad de aplicacin
puede evitar que se produzca un tiempo de espera por inactividad.
9. En Upload Logs, seleccione la opcin Enable Upload Logs para permitir que el
usuario transmita (cargue) los registros de cliente en el IVE.
NOTA: Haga clic en la pgina System > Log/Monitoring > Client Logs >
Settings para habilitar completamente los registros del lado cliente para el
usuario. Consulte Habilitacin de registros del lado cliente en la pgina 841.
Especificacin de las opciones de UI

Haga clic en UI Options en la parte superior de la ficha General para especificar
los ajustes personalizados de la pgina de bienvenida del IVE y la barra de
herramientas de exploracin de usuarios asignados a este rol. La pgina de
bienvenida del IVE (o pgina principal) es la interfaz Web que se presenta a los
usuarios autenticados del IVE. Haga clic en Overview en la parte superior de la
ficha General y seleccione la casilla de verificacin UI Options para habilitar los
ajustes personalizados para el rol; en caso contrario, el IVE usa los ajustes
predeterminados.
Los ajustes de personalizacin incluyen la pgina de inicio de sesin, el encabezado
de la pgina, el pie de pgina y si se muestra o no la barra de herramientas de
exploracin. Si se asigna al usuario a ms de un rol, el IVE muestra la interfaz del
usuario correspondiente al primer rol que se le asign.
Para personalizar la pgina de bienvenida del IVE para los usuarios de roles:
1. Haga clic en Users > User Roles > Nombre de rol > General > UI Options.
2. En Header, especifique un logotipo personalizado y cambie el color de fondo
del rea del encabezado en la pgina de bienvenida del IVE (opcional):
Haga clic en el botn Browse y ubique el archivo de imagen personalizado.

El logotipo nuevo aparece en el cuadro Current appearance slo despus de
guardar los cambios.
NOTA: Slo puede especificar un archivo JPEG o GIF para la imagen del logotipo
personalizado. No se pueden mostrar apropiadamente otros formatos grficos en
la ventana de estado JSAM de algunas plataformas de sistemas operativos.
Escriba el nmero hexadecimal para el color de fondo o haga clic en el

icono Color Palette y elija el color deseado. El cuadro Current appearance
se actualiza de inmediato.
79
3. En Sub-headers, seleccione el color de fondo y del texto (opcional):
Escriba el nmero hexadecimal para el color de fondo o haga clic en el

Escriba el nmero hexadecimal para el color del texto o haga clic en el

4. En la pgina Start, especifique la pgina de inicio que desea que vean los
usuarios despus de iniciar sesin y cuando hagan clic en el icono Home de la
barra de herramientas:
Bookmarks page: Seleccione esta opcin para mostrar la pgina

Bookmarks estndar del IVE.
Meetings page: Seleccione esta opcin para mostrar la pgina de reuniones

estndar del IVE.
Custom page: Seleccione esta opcin para mostrar una pgina de inicio
personalizada y especifique la URL en la pgina. El IVE vuelve a escribir la
URL y crea una regla de control de acceso para que los usuarios accedan a
la URL. (Tenga en cuanta que los usuarios tambin pueden introducir la
URL personalizada en el campo Browse del IVE en la barra de
herramientas.) El IVE evala la regla de control de acceso despus de
evaluar todas las otras directivas, lo que significa que otra directiva puede
denegar el acceso a la URL.
Also allow access to directories below this url: Seleccione esta opcin
para permitir que los usuarios obtengan acceso a los subdirectorios de la
URL de la pgina-personalizada. Por ejemplo, si especifica
http://www.domain.com/, los usuarios tambin pueden acceder a
http://www.domain.com/dept/.
5. En Bookmarks Panel Arrangement, ordene los paneles de la forma en que

desea que se muestren en la pgina de marcadores del usuario:
a.
Para seleccionar el nombre de un panel, haga clic en la lista Left Column

o Right Column.
b.
Para colocar un panel por encima o por debajo de otros paneles, haga clic
en Move Up o Move Down.
c.
Para mover un panel al otro lado de la pgina de marcadores del usuario,

haga clic en Move > o < Move.
NOTA: El IVE muestra todos los paneles en Bookmarks Panel Arrangement para
todas las caractersticas con licencia sin importar si habilit la caracterstica
correspondiente para el rol.
80
6. En la pgina Help, seleccione las opciones para controlar la pgina Help que
aparece cuando el usuario hace clic en el botn Help de la barra de
herramientas:
Disable help link: Seleccione esta opcin para evitar que los usuarios
muestren la ayuda, retirando el botn Help de la barra de herramientas.
Standard help page: Seleccione esta opcin para mostrar la pgina Help
estndar del IVE para el usuario final.
Custom help page: Seleccione esta opcin para mostrar una pgina Help
personalizada. Especifique la URL para la pgina de ayuda personalizada
y luego establezca un ancho y altura opcionales para la ventana de la
pgina de ayuda. El IVE vuelve a escribir la URL y crea una regla de control
de acceso para que los usuarios accedan a la URL. (Tenga en cuanta que
los usuarios tambin pueden introducir la URL personalizada en el campo
Browse del IVE en la barra de herramientas.) El IVE evala la regla de
control de acceso luego de todas las otras directivas, lo que significa
que otra directiva puede denegar el acceso a la URL. (Tenga en cuenta
que cuando elige esta opcin, el IVE inhabilita el vnculo Tips junto al
campo Browse.)
Also allow access to directories below this url: Seleccione esta opcin
para permitir que los usuarios obtengan acceso a los subdirectorios de la
URL de la pgina de ayuda personalizada. Por ejemplo, si especifica
http://www.domain.com/help, los usuarios tambin pueden acceder a
http://www.domain.com/help/pdf/.
7. En User Toolbar, seleccione las opciones de la barra de herramientas en la

pgina Bookmarks del IVE y en otras pginas de puerta de enlace segura
del IVE:
Home: Seleccione esta opcin para mostrar el icono Home en la pgina

Bookmarks del IVE y en otras pginas de puerta de enlace segura del IVE.
Preferences: Seleccione esta opcin para mostrar el botn Preferences.
Session Counter: Seleccione esta opcin para mostrar un valor de tiempo

en la barra de herramientas del usuario que indique el tiempo restante
mximo permitido en la sesin actual del usuario. Tenga en cuenta que un
perodo de inactividad del usuario tambin podra terminar la sesin actual
antes de que transcurra este tiempo mximo.
Client Application Sessions: Seleccione esta opcin para mostrar el botn

Client Apps en la barra de herramientas del usuario. Los usuarios pueden
hacer clic en este botn para mostrar la pgina Client Application Sessions
donde pueden iniciar aplicaciones cliente como Network Connect o Secure
Application Manager. Si no selecciona esta opcin, el IVE muestra el panel
Client Application Sessions en la pgina Bookmarks del IVE.
81
8. En la barra de herramientas Browsing, seleccione las opciones de la barra

de herramientas que los usuarios vern cuando exploren pginas que no se
encuentran en el IVE, como sitios Web externos:
Show the browsing toolbar: Seleccione esta opcin para mostrar la barra
de herramientas de exploracin.
Toolbar type: Seleccione el tipo de barra de herramientas de exploracin

que desea mostrar:
Standard: Esta barra de herramientas se puede mover al costado

superior izquierdo o derecho de la ventana del explorador. Los usuarios
tambin pueden contraer o ampliar la barra de herramientas.
Al contraerla, la barra de herramientas muestra slo el logotipo
personalizado. El estado predeterminado de la barra de herramientas
es el ampliado y se encuentra en el costado superior derecho de la
ventana del explorador.
Framed: Esta barra de herramientas permanece fija en la seccin de

encabezado enmarcado en la parte superior de la pgina.
NOTA: Se recomienda no usar la variable superior cuando se trabaja con un

conjunto de marcos despus de que el IVE intermedia la pgina, pues podra
hacer referencia a un marco distinto del esperado. Este cambio puede provocar
que la barra de herramientas enmarcada desaparezca o que la aplicacin
intermediada funcione de manera errtica o incorrecta. Consulte la gua Content
Intermediation Engine Best Practices del sitio Web de Juniper Networks.
82
Toolbar logo y Toolbar logo (mobile): Especifique un logotipo

personalizado (como el logotipo de la empresa) que desea mostrar en las
barras de herramientas estndar y enmarcada; para ello busque el archivo
de imagen (opcional). Cuando el usuario hace clic en el logotipo, aparece la
pgina especificada para la opcin Logo links to. Entonces aparece el
logotipo actual para la barra de herramientas de exploracin a un costado
de estas opciones.
Logo links to: Seleccione una opcin para vincular el logotipo de la barra
de herramientas de exploracin con una pgina que aparezca cuando el
usuario hace clic en el logotipo:
Bookmarks page: Vincula el logotipo con la pgina Bookmarks del IVE.
Start Page settings: Vincula el logotipo con la pgina de inicio

personalizada que especific en la seccin Start Page.
Custom URL: Vincula el logotipo con la URL que introdujo en el cuadro

de texto asociado (opcional). Se debe poder acceder a este recurso en
el IVE. El IVE vuelve a escribir la URL y crea una regla de control de
acceso para que los usuarios accedan a la URL. (Tenga en cuenta que
los usuarios tambin pueden introducir la URL personalizada en el
campo Browse del IVE en la barra de herramientas.) El IVE evala la
regla de control de acceso despus de evaluar todas las otras directivas,
lo que significa que otra directiva puede denegar el acceso a la URL.
Also allow access to directories below this url: Seleccione esta

opcin para permitir que los usuarios obtengan acceso a los
subdirectorios de la URL personalizada.
Especifique los elementos que desea mostrar en la barra de herramientas

de exploracin:
Enable "Home" link: Seleccione esta opcin para mostrar el botn

Home Page, que est vinculado con la pgina Bookmarks del IVE.
Enable "Add Bookmark" link: Seleccione esta opcin para mostrar el

botn Bookmark this Page.
Enable "Bookmark Favorites" link: Seleccione esta opcin para

mostrar el botn Bookmark Favorites. Cuando el usuario hace clic en
este botn, el IVE muestra una lista de los marcadores que el usuario
especific como favoritos en la pgina Add Web Bookmark de la puerta
de enlace segura.
Display Session Counter: Seleccione esta opcin para mostrar un valor

de tiempo en la barra de herramientas de exploracin que indique
el tiempo restante mximo permitido en la sesin actual del usuario.
Tenga en cuenta que un perodo de inactividad del usuario tambin
podra terminar la sesin actual antes de que transcurra este tiempo
mximo.
Enable "Help" link: Seleccione esta opcin para mostrar el botn

Help, que se encuentra vinculado a la pgina Help que especific en
la pgina Help.
NOTA: Si hace clic en Users > User Roles > Nombre de rol > Web > Options y
desmarca la casilla User can add bookmarks; el IVE no mostrar los botones
Bookmark this Page ni Bookmark Favorites en la barra de herramientas de
navegacin aunque seleccione las opciones Enable "Add Bookmark" link y
Enable "Bookmark Favorites" link.
9. En Personalized greeting, especifique un mensaje de saludo y de notificacin

en la pgina Bookmarks del IVE (opcional):
Enabled: Seleccione esta opcin para mostrar el saludo personalizado.

El IVE muestra el nombre de usuario si el nombre completo no est
configurado.
83
Show notification message: Seleccione esta opcin e introduzca un

mensaje en el cuadro de texto asociado (opcional). El mensaje aparece en
la parte superior de la pgina Bookmarks del IVE despus de guardar los
cambios y que el usuario actualiza esa pgina. Puede dar formato al texto
y agregar vnculos usando las siguientes etiquetas HTML: , , ,
 y <a href>. Sin embargo, el IVE no vuelve a escribir vnculos en la
pgina de inicio de sesin (puesto que el usuario an no se ha autenticado),
de tal forma que slo debe dirigirse a sitios externos. Los vnculos a los
sitios situados detrs de un cortafuegos fallarn. Tambin puede usar las
variables y atributos de sistema del IVE en este campo, como se explica en
Uso de variables del sistema en territorios, roles y directivas de recursos
en la pgina 1054.
NOTA:
La extensin del mensaje personalizado no puede exceder los 12K o 12288

caracteres.
Si utiliza etiquetas HTML no admitidas en su mensaje personalizado, el IVE

puede mostrar la pgina principal del IVE del usuario final de forma
incorrecta.
10. En Other, especifique si desea mostrar el aviso y la etiqueta de copyright

en el pie de pgina (opcional). Este ajuste se aplica slo a aquellos usuarios
cuya licencia les permite inhabilitar la notificacin de copyright. Para obtener
ms informacin acerca de esta caracterstica, llame a soporte tcnico de
Juniper Networks.
11. Haga clic en Save Changes. Los cambios surten efecto de inmediato, pero
puede ser necesario actualizar las sesiones de explorador del usuario actual
para verlos.
12. Haga clic en Restore Factory Defaults para restablecer todas las opciones de
interfaz de usuario en las opciones predeterminadas de fbrica (opcional).
Definicin de opciones predeterminadas para roles de usuario

Puede definir opciones predeterminadas para todos los roles de usuario,
de la misma forma que los roles de administrador delegados. Las opciones
predeterminadas son, entre otras:
84
Opciones de sesin
Session lifetime: Definir en minutos el tiempo de espera por inactividad,

la duracin mxima de la sesin y el tiempo de recordatorio.
Enable session timeout warning: Determinar si se mostrar la pgina de

advertencia e inicio de sesin.
Roaming Session: Definir el nivel de acceso mvil.
Persistent Session: Definir el estado en instancias del explorador.
Persistent password caching: Definir el estado de la contrasea en

las sesiones.
Browser request follow-through: Definir la respuesta para el trmino de la

sesin del explorador.
Idle timeout application activity: Definir la respuesta del IVE para la

actividad de sesin de la aplicacin.
Opciones de UI
Header: Definir el logotipo y el color de fondo.
Sub-headers: Definir el color de fondo y del texto.
Start page: Definir qu pgina aparece despus de que el usuario

inicia sesin.
Bookmarks Panel Arrangement: Definir los paneles que aparecen en la

pgina de marcadores del usuario.
Help Page: Mostrar la ayuda estndar o personalizada.
User Toolbar: Definir los vnculos que aparecen en la pgina principal

del usuario.
Browsing toolbar: Definir los vnculos que aparecen cuando el usuario

explora un sitio Web externo.
Personalized Greeting: Mostrar el nombre del usuario y el mensaje de

notificacin en la pgina de bienvenida del usuario.
Other: Mostrar el aviso de copyright.
Definicin de opciones predeterminadas para roles de usuario

Para definir las opciones predeterminadas de todos los roles de usuario:
1. Seleccione Users > User Roles.
2. Haga clic en Default Options.
3. Modifique los ajustes de las fichas Session Options, UI Options y Custom
Messages usando las instrucciones de Configuracin de las opciones generales
del rol en la pgina 73 y Personalizacin de mensajes en la pgina 86.
4. Haga clic en Save Changes. Estas se convierten en las opciones
predeterminadas de los nuevos roles de usuario.
NOTA: Si no desea que los roles de usuario vean el aviso de copyright, tambin
puede desmarcar la casilla de verificacin Show copyright notice and Secured
by Juniper Networks label in footers para los roles de usuario, en general.
De esa manera, todos los roles posteriores que cree no permitirn que el aviso
aparezca en la UI del usuario final.
85
Personalizacin de mensajes
Puede personalizar tres mensajes bsicos que se mostrarn a los usuarios finales
cuando inicien sesin en el IVE. Puede cambiar el texto del mensaje y agregar
versiones internacionales de los mensajes en chino (simplificado), chino
(tradicional), francs, alemn, japons, coreano y espaol, adems de ingls.
Para personalizar mensajes:
1. Seleccione Users > User Roles. Aparecer la pgina Roles.
3. Seleccione la ficha Custom Messages.
4. Seleccione el idioma que desea utilizar en el men.
5. Introduzca el texto en el cuadro Custom Message, debajo del mensaje
predeterminado que desea anular.
7. Repita el proceso para crear mensajes en los idiomas adicionales.
Personalizacin de las vistas de UI para roles de usuario

Puede usar las opciones de personalizacin de la pgina Roles para ver
rpidamente los ajustes que se asocian con un rol especfico o un conjunto de roles.
Por ejemplo, puede ver todos los roles de usuario y marcadores Web que haya
asociado. Adems, puede utilizar estas vistas personalizadas para establecer
fcilmente vnculos a los marcadores y otros ajustes de configuracin que haya
asociado a un rol.
Para ver un subconjunto de datos en la pgina Roles:
1. Haga clic en Users > User Roles.
2. Seleccione una opcin de la lista View en la parte superior de la pgina.
La Tabla 3 describe estas opciones.
3. Seleccione una de las siguientes opciones de la lista For:
All roles: Muestra los marcadores seleccionados para todos los roles
de usuario.
Selected roles: Muestra los marcadores seleccionados para los roles de

usuario que eligi. Si selecciona esta opcin, marque una o ms de las
casillas de verificacin de la lista Role.
4. Haga clic en Update.
86
Tabla 3: Ver las opciones del men

Opcin
Descripcin
Enabled Settings
Despliega un grfico que detalla los mecanismos de acceso remoto

y las opciones generales que han sido habilitadas para los roles
especificados. Tambin muestra los vnculos (las marcas de
verificacin) que puede utilizar para obtener el acceso remoto
correspondiente y a las pginas generales de configuracin
de opciones.
Restrictions
Muestra las restricciones de Host Checker y Cache Cleaner que

debe habilitar para los roles especificados. Tambin muestra
los vnculos que puede utilizar para acceder a las pginas
correspondientes de configuracin de Host Checker y Cache
Cleaner.
Meetings
Muestra los ajustes de Secure Meeting que configur para los roles
especificados. Tambin muestra los vnculos que puede utilizar
para acceder a las pginas correspondientes de configuracin de
Secure Meeting.
Network Connect
Muestra los ajustes de Secure Meeting que configur para los roles
para acceder a las pginas de configuracin correspondientes de
Network Connect.
Role Mapping Rule &

Realms
Muestra los territorios de autenticacin asignados, las condiciones

de reglas de asignacin de roles y los ajustes de combinacin
permisiva para los roles especificados. Tambin muestra los
vnculos que puede usar para acceder a las pginas de
configuracin de asignacin de roles y territorios correspondientes.
Bookmarks: All
Muestra los nombres y tipos de todos los marcadores que ha

habilitado para los roles especificados. Tambin muestra los
vnculos que puede utilizar para acceder a las correspondientes
pginas de configuracin de marcadores. (Tenga en cuenta que si
crea un marcador mediante un perfil de recursos, el vnculo
aparece en la columna Resource. De lo contrario, el vnculo
aparece en la columna Bookmark.)
Bookmarks: Web
Muestra los marcadores Web que habilit para los roles

para acceder a las correspondientes pginas de configuracin de
marcadores. (Tenga en cuenta que si crea un marcador mediante
un perfil de recursos, el vnculo aparece en la columna Resource.
De lo contrario, el vnculo aparecer en la columna de
marcadores Web.)
Bookmarks: Files
(Windows)
Muestra los marcadores de archivos de Windows que habilit para

los roles especificados. Tambin muestra los vnculos que puede
utilizar para acceder a las correspondientes pginas de
configuracin de marcadores. (Tenga en cuenta que si crea un
marcador mediante un perfil de recursos, el vnculo aparece en
la columna Resource. De lo contrario, el vnculo aparece en la
columna Windows File Bookmark.)
Bookmarks: Files (UNIX)
Muestra los marcadores de archivos de UNIX/NFS que habilit para

la columna Resource. De lo contrario, el vnculo aparecer en la
columna UNIX File Bookmark.)
87
Tabla 3: Ver las opciones del men (continuacin)
88
Opcin
Descripcin
Bookmarks: Telnet
Muestra los marcadores de Telnet/SSH que habilit para los roles

para acceder a las correspondientes pginas de configuracin de
marcadores. (Tenga en cuenta que si crea un marcador mediante
un perfil de recursos, el vnculo aparece en la columna Resource.
De lo contrario, el vnculo aparecer en la columna Telnet/SSH
Session.)
Bookmarks: Terminal
Services
Muestra los marcadores de Terminal Services que habilit para

la columna Resource. De lo contrario, el vnculo aparecer en la
columna Terminal Services Session.)
ACL Resource Policies: All
Muestra las directivas de recursos asociadas a los roles

especificados. Incluye el tipo, nombre, descripcin, accin y
recursos de cada directiva. Tambin muestra los vnculos que
puede utilizar para acceder a las correspondientes pginas de
configuracin de directivas.
ACL Resource Policies:

Web
Muestra las directivas de recursos Web asociadas a los roles

especificados. Incluye el tipo, nombre, descripcin, accin y

Files (Windows)
Muestra las directivas de recursos de archivos de Windows

asociadas a los roles especificados. Incluye el tipo, nombre,
descripcin, accin y recursos de cada directiva. Tambin muestra
los vnculos que puede utilizar para acceder a las correspondientes
pginas de configuracin de directivas.

Files (UNIX)
Muestra las directivas de recursos de archivos de UNIX asociadas a

los roles especificados. Incluye el tipo, nombre, descripcin, accin
y recursos de cada directiva. Tambin muestra los vnculos que

SAM
Muestra las directivas de recursos de JSAM y WSAM asociadas a los

roles especificados. Incluye el tipo, nombre, descripcin, accin y

Telnet
Muestra las directivas de recursos de Telnet/SSH asociadas a los

roles especificados. Incluye el tipo, nombre, descripcin, accin

Terminal Services
Muestra las directivas de recursos de Terminal Services asociadas a


Network Connect
Muestra las directivas de recursos de Network Connect asociadas a

Tabla 3: Ver las opciones del men (continuacin)

Opcin
Descripcin
Resource Profiles: All
Muestra los perfiles de recursos asociados a los roles especificados.

Incluye el tipo, nombre, marcadores y directivas de soporte para
cada perfil. Tambin muestra los vnculos que puede utilizar para
acceder a las correspondientes pginas de configuracin de perfiles
de recursos.
Resource Profiles: Web

Applications
Muestra los perfiles de recursos de la aplicacin Web asociados a

los roles especificados. Incluye el nombre, marcadores y directivas
de soporte para cada perfil. Tambin muestra los vnculos que
configuracin de perfiles de recursos.
Resource Profiles: Web

Hosted Java Applets
Muestra los perfiles de recursos de applets de Java hospedados

asociados a los roles especificados. Incluye el nombre, marcadores
y directivas de soporte para cada perfil. Tambin muestra los
pginas de configuracin de perfiles de recursos.
Resource Profiles: Files

(Windows)
Muestra los perfiles de recursos de archivos de Windows asociados

a los roles especificados. Incluye el nombre, marcadores y
directivas de soporte para cada perfil. Tambin muestra los
Resource Profiles: Files

(UNIX)
Muestra los perfiles de recursos de archivos de UNIX asociados a

Resource Profiles: SAM

Client Applications
Muestra los perfiles de recursos de la aplicacin de JSAM y WSAM

asociados a los roles especificados. Incluye el nombre, marcadores
y directivas de soporte para cada perfil. Tambin muestra los
Resource Profiles: SAM

WSAM destinations
Muestra los perfiles de recursos de destino de WSAM asociados a

Resource Profiles:
Telnet/SSH
Muestra los perfiles de recursos de Telnet/SSH asociados a los

roles especificados. Incluye el nombre, marcadores y directivas de
soporte para cada perfil. Tambin muestra los vnculos que puede
Resource Profiles:
Terminal Services
Muestra los perfiles de recursos de Terminal Services asociados a

89
90
Captulo 5
Perfiles de recursos
Un perfil de recursos contiene todas las directivas de recursos, asignaciones de roles
y los marcadores de usuario final requeridos para proporcionar el acceso a un
recurso individual. Los perfiles de recursos simplifican la configuracin de recursos
mediante la consolidacin de los ajustes correspondientes de un recurso individual
en una sola pgina en la consola de administracin.
El IVE cuenta con dos tipos de perfiles de recursos:
Los perfiles de recursos estndar permiten configurar ajustes para una

multiplicidad de tipos de recursos, como sitios web, aplicaciones
cliente/servidor, servidores de directorios y servidores de terminal. Cuando se
usa este mtodo, se escoge un tipo de perfil que corresponda con el recurso en
particular y se proporcionan los detalles del recurso.
Las plantillas de perfiles de recursos le permiten configurar ajustes para

aplicaciones especficas. Cuando se usa este mtodo, se escoge una aplicacin
especfica (como Citrix NFuse versin 4.0). Luego, el IVE rellena varios valores
en funcin de la aplicacin escogida y le pide que configure ajustes adicionales
segn necesite.
NOTA: Para los administradores que estn acostumbrados a usar una versin del
IVE previa a la 5.3, tenga en cuenta que puede seguir usando el rol IVE y el marco
de directivas de recursos para crear marcadores y directivas asociadas.
Recomendamos de todas maneras que use los perfiles de recursos, ya que estos
proporcionan una estructura de configuracin ms simple y unificada.
Esta seccin contiene la siguiente informacin sobre perfiles de recursos:
Licencia: Disponibilidad de perfiles de recursos en la pgina 92
Resumen de tareas: Configuracin de perfiles de recursos en la pgina 92
Componentes de los perfiles de recursos en la pgina 92
Plantillas de los perfiles de recursos en la pgina 99
91
Licencia: Disponibilidad de perfiles de recursos

Los perfiles de recursos forman parte integral del marco de administracin de
acceso del IVE y por ello estn disponibles en todos los productos Secure Access.
Sin embargo, solo puede tener acceso a los tipos de perfiles que corresponden a las
caractersticas para las que tiene licencia. Por ejemplo, si usa un dispositivo SA-700
y no ha comprado una licencia de actualizacin Core Clientless Access, no podr
crear un perfil de recursos web.
Resumen de tareas: Configuracin de perfiles de recursos

Para crear perfiles de recursos, debe hacer lo siguiente:
1. Crear roles de usuario mediante la pgina Users > User Roles de la consola de
administracin. Para obtener instrucciones, consulte Configuracin de los
roles de usuario en la pgina 72.
2. Crear perfiles de usuario mediante la pgina Users > Resource Profiles de la
consola de administracin. Al crear el perfil de recursos, especifique el recurso,
cree directivas automticas, asocie el perfil con roles de usuario y cree
marcadores segn lo necesite. Para obtener ms informacin, consulte
Componentes de los perfiles de recursos en la pgina 92.
Componentes de los perfiles de recursos

Los perfiles de recursos contienen los siguientes componentes:
92
Recursos: Cuando se define un perfil de recursos, se debe especificar el recurso

en particular que se desea configurar (como el sitio de Intranet de su empresa
o una aplicacin Lotus Notes). Todos los dems ajustes principales del perfil se
desprenden de este recurso. Se puede configurar una multiplicidad de tipos de
recursos, como sitios web, aplicaciones cliente/servidor, servidores de
directorios y servidores de terminal. Para obtener ms informacin, consulte
Definicin de recursos en la pgina 95.
Directivas automticas: Cuando se define un perfil de recursos, generalmente

se crean directivas automticas que establecen los requisitos de acceso y otros
ajustes para el recurso especificado. El tipo ms comn de directiva automtica
habilita el acceso al recurso principal que se define en el perfil. Otros tipos de
directiva (como las de compresin y almacenamiento en cach) ajustan con
mayor precisin el modo en que el IVE maneja los datos que pasa desde y
hacia el recurso especificado. Para obtener ms informacin, consulte
Definicin de directivas automticas en la pgina 96.
Roles: Cuando se define un perfil de recursos, se asocia generalmente a roles

de usuario. Los roles especificados heredan las directivas automticas y
(de manera opcional) los marcadores definidos en el perfil de recursos. Para
obtener ms informacin, consulte Definicin de roles en la pgina 98.
Licencia: Disponibilidad de perfiles de recursos
Captulo 5: Perfiles de recursos
Marcadores: Cuando se define un perfil de recursos, se puede crear de manera

opcional un marcador que apunta al recurso principal del perfil (como la pgina
principal de la Intranet de su empresa). Tambin se pueden crear marcadores
adicionales que apuntan a diversos sitios en el dominio del recurso (como las
pginas de ventas y marketing en la Intranet). El IVE muestra estos marcadores
a los usuarios que tienen asignado los roles de usuario especificados.
Para obtener ms informacin, consulte Definicin de marcadores en la
pgina 98.
Los diagramas siguientes ilustran la manera en que los perfiles de recursos

simplifican la configuracin de cada recurso.
El primer diagrama muestra la forma de configurar recursos usando roles y
directivas de recursos. Tenga en cuenta que para habilitar un marcador para varios
roles de usuario, debe volver a crear el marcador de manera manual y habilitar
el mecanismo de acceso correspondiente a cada rol. Tambin debe usar varias
pginas de la consola de administracin para crear directivas de recursos asociadas
que habiliten el acceso al recurso y a otras opciones de configuracin.
El segundo diagrama muestra la forma de configurar recursos usando perfiles de
recursos. Tenga en cuenta que puede crear un marcador, asociarlo con varios roles
de usuario y crear las directivas automticas asociadas que habiliten el acceso
al recurso y a otras opciones de configuracin mediante una sola seccin de
la consola de administracin. Tambin tenga en cuenta que el IVE habilita
automticamente el mecanismo de acceso correspondiente a los roles a los que
asign el marcador.
93
Figura 20: Uso de roles y directivas de recursos para configurar recursos
94
Figura 21: Uso de perfiles de recursos para configurar recursos
Definicin de recursos
Cuando se define un perfil de recursos, se debe especificar el recurso en particular
que desea configurar. El tipo de perfil que escoja depende del tipo de recurso que
desea configurar, tal como se describe en la tabla siguiente:
Tabla 4: Tipos de perfil de recursos e informacin de configuracin
Use este tipo de perfil
de recursos:
Para configurar este tipo

de recursos:
Para obtener instrucciones acerca

de la configuracin, consulte:
Aplicacin/pginas web
URL a aplicaciones web,

servidores web y pginas
web; applets de Java que se
almacenan en servidores
de terceros
Definicin de perfiles de recursos:

Aplicaciones web personalizadas en
la pgina 392
Applet de Java hospedado Los applets de Java que se

cargaron directamente en
el IVE
Plantillas de applets de Java

hospedados en la pgina 345
Exploracin de archivos
Servidores, recursos
compartidos y rutas de
archivo de Windows y
UNIX/NFS

Reescritura de archivo en la
pgina 465
Aplicacin cliente SAM
Aplicaciones
cliente/servidor

WSAM en la pgina 498 y
JSAM en la pgina 535
Destino WSAM
Redes o servidores de
destino

WSAM en la pgina 498
95
Tabla 4: Tipos de perfil de recursos e informacin de configuracin

Use este tipo de perfil
de recursos:
Para configurar este tipo

de recursos:
Para obtener instrucciones acerca

de la configuracin, consulte:
Telnet/SSH
Servidores Telnet o SSH

Telnet/SSH en la pgina 553
Terminal Services
Servidores de terminales de Definicin de perfiles de recursos:

Windows y Citrix
Vista general de Terminal Services
en la pgina 570
NOTA: No se puede configurar aplicaciones mediante Network Connect usando los perfiles
de recursos, sino que debe usar roles y directivas de recursos. Para obtener ms informacin,
consulte Network Connect en la pgina 655.
Al definir recursos, se pueden usar las variables del IVE, como <user> para
relacionar dinmicamente los usuarios con los recursos correctos. Por ejemplo,
se puede especificar el siguiente recurso Web a fin de dirigir a los usuarios hacia
sus propias pginas de la Intranet:
http://yourcompany.intranet/<user>
Si el campo Resource de dos perfiles de recursos distintos es idntico y ambos

perfiles de recursos coinciden con el mismo rol, un usuario podra ver una directiva
de recursos de cada perfil. Por ejemplo, considere lo siguiente:
Perfil de recursos nmero uno:
Nombre del perfil de recursos: Intranet
Recurso del perfil de recursos: http://intranet.ejemplo.com
ACL web del perfil de recursos: http://intranet.ejemplo.com/ventas/*
Asignado al rol: Ventas
Perfil de recursos nmero dos:
Nombre del perfil de recursos: Intranet de ventas
Recurso del perfil de recursos: http://intranet.ejemplo.com
ACL web del perfil de recursos: http://intranet.ejemplo.com/ventas/docs/*
El usuario final que coincida con el rol Ventas debera ver un nombre de marcador
Intranet for Sales, pero la aplicacin de la ACL web ser
http://intranet.ejemplo.com/ventas/*.
No se admite este tipo de configuracin.
Definicin de directivas automticas

Cuando se define un perfil de recursos, generalmente se crean directivas
automticas que establecen los requisitos de acceso y otros ajustes para el recurso
especificado. El tipo ms comn de directiva automtica habilita el acceso al
recurso principal que se define en el perfil. Otros tipos de directiva (como las de
compresin y almacenamiento en cach) ajustan con mayor precisin el modo en
que el IVE maneja los datos que pasa desde y hacia el recurso especificado.
96
Cuando se crean perfiles de recursos, el IVE muestra solamente las directivas

automticas que corresponden al tipo de perfil de recursos. Por ejemplo, puede
escoger habilitar el acceso a una aplicacin cliente/servidor mediante un perfil de
recursos WSAM. Al hacerlo, el IVE muestra las directivas automticas que puede
usar para habilitar el acceso al servidor de la aplicacin especificada. Por otro lado,
el IVE no muestra las directivas automticas de control de acceso Java, ya que los
ajustes de Java no se aplican al WSAM.
NOTA: Al definir directivas de acceso, debe indicar explcitamente cada direccin

de nombre de host. El sistema que verifica las directivas no adjunta o usa el
dominio predeterminado ni busca los demonios en los ajustes de red del IVE.
Adems, el IVE consolida todas las opciones pertinentes de directivas automticas

en una sola pgina de la interfaz de usuario, lo que le permite comprender cules
son las posibilidades de configuracin y los requisitos de un tipo de recursos.
NOTA:
Las directivas automticas de control de acceso se basan generalmente en

el recurso principal que se defini en el perfil de recursos. Sin embargo, si se
cambia el recurso principal del perfil, el IVE no actualiza necesariamente las
directivas automticas correspondientes. Se deben volver a evaluar las
directivas automticas despus de cambiar el recurso principal de un perfil.
Para los administradores que estn acostumbrados a usar una versin del IVE,
tenga en cuenta que las directivas automticas son directivas de recursos.
El IVE le permite clasificar y ordenar las directivas automticas junto con las
directivas de recursos estndar en las pginas Users > Resource Policies de
la consola de administracin. Sin embargo, el IVE no le permite tener acceso
a opciones de configuracin ms detalladas para las directivas automticas en
esta seccin de la consola de administracin. En su lugar, si desea cambiar la
configuracin de una directiva automtica, debe tener acceso a ella a travs
del perfil de recursos correspondiente.
Para los administradores que estn acostumbrados a usar una versin del
IVE previa a la 5.3, tenga en cuenta que tambin puede crear directivas de
recursos automticamente si habilita la opcin Auto-allow a nivel de roles.
Sin embargo, tenga en cuenta que nuestra recomendacin es que use las
directivas automticas, ya que se corresponden directamente con el recurso
que se est configurando en lugar de todos los recursos de un tipo en
particular. (Tambin puede preferir habilitar la opcin Auto-allow para una
caracterstica de nivel de rol y crear directivas automticas para los recursos
del mismo tipo. Al hacerlo, el IVE crear directivas para ambos y las muestra
en la pgina de directivas de recursos correspondiente de la consola de
administracin.)
97
Definicin de roles
En un perfil de recursos, se puede asignar roles de usuario al perfil. Por ejemplo,
se puede crear un perfil de recursos que especifique que los miembros del rol
Clientes tengan acceso al Centro de Asistencia Tcnica de su empresa y que los
miembros del rol Evaluadores no lo tengan. Al asignar roles de usuario a un perfil
de recursos, los roles heredan todas las directivas automticas y marcadores
definidos en el perfil de recursos.
Ya que el marco de perfiles de recursos no incluye opciones para crear roles,
debe crear los roles de usuario antes de asignarlos a los perfiles de recursos.
Sin embargo, el marco de perfiles de recursos incluye algunas de las opciones
de configuracin de roles de usuario. Por ejemplo, si asigna un rol de usuario a un
perfil de recursos web, pero no ha habilitado la reescritura web para el rol, el IVE
la habilita automticamente.
NOTA: Tenga en cuenta que puede asignar roles a un perfil de recursos mediante el
marco de roles y el marco de perfiles de recursos del IVE.
Definicin de marcadores
Cuando se crea un perfil de recursos, el IVE crea generalmente un marcador que
apunta al recurso principal del perfil1 (como la pgina principal de la Intranet de su
empresa). Otra opcin es crear marcadores adicionales que apuntan a diversos
sitios en el dominio del recurso principal (como las pginas de ventas y marketing
en la Intranet). Al crear los marcadores, puede asignarlos a roles de usuario para as
controlar los marcadores que ven los usuarios al iniciar sesin en la consola de
usuario final del IVE.
Por ejemplo, puede crear un perfil de recursos que controla el acceso a la intranet
de la empresa. En el perfil, puede especificar:
Resource profile name: la Intranet
Primary resource: http://intranet.com
Web access control autopolicy: Permitir acceso a http://intranet.com:80/*
Roles: Sales, Engineering
Cuando crea esta directiva, el IVE crea automticamente un marcador llamado

Your Intranet que permite el acceso a http://intranet.com y muestra el marcador
a los miembros de los roles de Sales y Engineering.
Luego, puede optar por crear los siguientes marcadores adicionales para asociar
con el perfil de recursos:
Marcador Sales Intranet: Crea un vnculo a la pgina

http://intranet.com/sales y muestra el vnculo a los miembros del rol Sales.
1. Los perfiles de recursos WSAM y JSAM no incluyen marcadores, ya que el IVE no puede iniciar las aplicaciones
especificadas en los perfiles de recursos.
98
Marcador Engineering Intranet: Crea un vnculo a la pgina

http://intranet.com/engineering y muestra el vnculo a los miembros del
rol Engineering.
NOTA: Al configurar marcadores, tenga en cuenta que:
Slo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parmetros de la ficha Roles.
Los marcadores simplemente controlan los vnculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. En el
ejemplo utilizado anteriormente, un miembro del rol de Sales podra no ver
un vnculo a la pgina de Intranet Engineering, pero puede acceder a ella
escribiendo http://intranet.com/engineering en la barra de direcciones del
explorador web. Asimismo, si elimina un marcador, los usuarios seguirn
teniendo acceso al recurso definido en el perfil.
El IVE le permite crear mltiples marcadores que apuntan al mismo recurso.

Sin embargo, si asigna marcadores duplicados al mismo rol de usuario, el IVE
mostrar a los usuarios uno de ellos.
Los marcadores apuntan al recurso principal que defini en el perfil de

recursos (o a un subdirectorio del recurso principal). Si se cambia el recurso
principal del perfil, el IVE actualiza los marcadores correspondientes.
Plantillas de los perfiles de recursos

Las plantillas de perfiles de recursos le permiten configurar ajustes para
aplicaciones especficas. Cuando se usa este mtodo, se escoge una aplicacin
especfica (como Citrix NFuse versin 4.0). Luego, el IVE rellena varios valores
en funcin de la aplicacin escogida y le pide que configure ajustes adicionales
segn necesite.
Actualmente, el IVE incluye plantillas para las siguientes aplicaciones de terceros:
Citrix. Para obtener ms informacin, consulte:
Plantillas de Citrix en la pgina 361
Definicin de perfiles de recursos: WSAM en la pgina 498
Definicin de perfiles de recursos: JSAM en la pgina 535
Lotus Notes. Para obtener ms informacin, consulte:
Plantillas de Lotus iNotes en la pgina 371
99
100
Microsoft Outlook. Para obtener ms informacin, consulte:
Plantillas de Microsoft OWA en la pgina 375
Microsoft Sharepoint. Para obtener ms informacin, consulte Plantillas de

Microsoft Sharepoint en la pgina 379.
Exploracin de archivos NetBIOS. Para obtener ms informacin, consulte:
Captulo 6
Directivas de recursos
Una directiva de recursos es una regla del sistema que especifica los recursos y las
acciones de una caracterstica de acceso en particular. Un recurso puede ser un
servidor o un archivo al que se puede tener acceso mediante un dispositivo IVE
y una accin es permitir o negar al recurso que lleve a cabo una funcin. Cada
caracterstica de acceso tiene uno o dos tipos de directiva, que determinan la
respuesta del IVE a una solicitud de usuario o la manera en que se habilita una
caracterstica de acceso (en el caso del Email Client). Tambin se pueden definir
reglas detalladas para una directiva de recursos, lo que le permite evaluar requisitos
adicionales para solicitudes especficas de los usuarios.
Se pueden crear los siguientes tipos de directivas de recursos con las pginas
Resource Policies del IVE:
Directivas de recursos Web: Las directivas de recursos Web especifican los

recursos de la web que los usuarios pueden explorar o no. Tambin contienen
especificaciones adicionales tales como los requisitos de almacenamiento en
cach del encabezado, los servidores a los que se pueden conectar los applets
de Java, los certificados de firma de cdigos que debe usar el IVE para firmar
los applets de Java, los recursos que debe reescribir o no, las aplicaciones para
las que el IVE proporciona el mnimo de intermediacin y opciones
individuales de inicio de sesin.
Directivas de recursos de archivos: Las directivas de recursos de archivos

especifican los recursos de archivos Windows, UNIX y NFS que los usuarios
pueden explorar o no. Tambin contienen especificaciones adicionales como
los recursos de archivos para los que los usuarios deben proporcionar
credenciales adicionales.
Directivas de recursos de Secure Application Manager: Las directivas de

recursos de Secure Application Manager permitan o niegan el acceso a
aplicaciones configuradas para usar JSAM o WSAM para hacer conexiones
socket.
Directivas de recursos de Telnet/SSH: Las directivas de recursos de Telnet/SSH

permiten o niegan el acceso a servidores especificados.
101
Directivas de Terminal Services: Las directivas de recursos de Terminal

Services permiten o niegan el acceso a los servidores Windows o Citrix
Metaframe especificados.
Directivas de recursos de Network Connect: Las directivas de recursos de

Network Connect permiten o niegan el acceso a servidores especificados y
a conjuntos de direcciones IP especificadas.
Directivas de recursos de Secure Email Client: La directiva de recursos

de acceso a Secure Email Client le permiten habilitar o inhabilitar la
compatibilidad con clientes de correo electrnico. Para permitir a los usuarios
finales abrir y guardar archivos adjuntos de correo electrnico de distinto tipo
en OWA e iNotes, seleccione el tipo OWA o iNotes cuando defina un perfil de
recursos de aplicacin web.
NOTA: Tambin se pueden crear directivas de recursos durante el proceso de

configuracin de perfiles de recursos. En ese caso, las directivas de recursos de
denominan directivas avanzadas. Para obtener ms informacin, consulte
Perfiles de recursos en la pgina 91.
Esta seccin proporciona la siguiente informacin:
Licencia: Disponibilidad de directivas de recursos en la pgina 102
Componentes de las directivas de recursos en la pgina 103
Evaluacin de las directivas de recursos en la pgina 106
Creacin de reglas detalladas para las directivas de recursos en la pgina 108

de recursos en la pgina 110
Licencia: Disponibilidad de directivas de recursos

Las directivas de recursos forman parte integral del marco de administracin de
acceso del IVE y por ello estn disponibles en todos los productos Secure Access.
Sin embargo, solo puede tener acceso a los tipos de directivas que corresponden
a las caractersticas para las que tiene licencia. Por ejemplo, si usa un dispositivo
SA-700 y no ha comprado una licencia de actualizacin Core Clientless Access,
no podr crear una directiva de recursos Web.
102
Licencia: Disponibilidad de directivas de recursos
Captulo 6: Directivas de recursos
Componentes de las directivas de recursos

Una directiva de recursos contiene la siguiente informacin:
Recursos: Coleccin de nombres de recursos (URL, nombres de host o

combinaciones de direcciones IP/mscaras de red) que especifican a qu
recursos de aplica la directiva. Se puede especificar un recurso mediante
un prefijo comodn que coincida con los nombres de host. El recurso
predeterminado de una directiva es el asterisco (*), lo que significa que
la directiva se aplica a todos los recursos relacionados. Para obtener ms
informacin, consulte Especificacin de los recursos para una directiva de
recursos en la pgina 103.
Roles: Lista opcional de roles de usuario a los que se aplica esta directiva.
La configuracin predeterminada es aplicar la directiva a todos los roles.
Accin: La accin que debe efectuar el IVE cuando un usuario solicita el recurso
correspondiente de la lista Resource. Una accin puede especificar permitir o
negar un recurso o ejecutar una accin o no, como reescribir contenido web o
permitir conexiones socket de Java.
Reglas detalladas: Lista opcional de elementos que especifica los detalles del
recurso (como la URL especfica, ruta en el directorio, archivo o tipo de archivo)
a los que desea aplicar una accin distinta o para las que desea evaluar las
condiciones antes de aplicar la accin. Puede definir ms de una regla y
especificar el orden en que el IVE las evala. Para obtener ms informacin,
consulte Creacin de reglas detalladas para las directivas de recursos en la
pgina 108.
Especificacin de los recursos para una directiva de recursos

El motor del IVE que evala las directivas de recursos requiere que los recursos que
aparecen en la lista Resources de una directiva tengan un formato cannico. Esta
seccin describe los formatos cannicos disponibles para especificar los recursos
Web, de archivos y de servidores. Cuando un usuario trata de tener acceso a un
recurso especfico, un dispositivo IVE compara el recurso solicitado con los que
estn especificados en las directivas correspondientes, comenzando por la primera
directiva de la lista. Cuando el motor encuentra una coincidencia de un recurso
solicitado con uno especificado en la lista Resources de una directiva, evala otras
restricciones de la directiva y devuelve la accin correspondiente al dispositivo (no
se evalan otras directivas). Si no se aplica directiva alguna, el dispositivo evala los
marcadores de permiso automtico (si estn definidos); de lo contrario la respuesta
es la medida predeterminada para la directiva.
NOTA: Es posible que no vea la opcin de permiso automtico si est usando una
instalacin nueva, si usa perfiles de recursos en lugar de directivas de recursos o si
un administrador ocult la opcin. Para obtener ms informacin sobre esta
opcin, consulte Ajuste de las opciones del sistema en la pgina 722.
103
Notas generales sobre los formatos cannicos
Si la ruta de un componente termina con una barra inclinada y un asterisco

(/*), coincide entonces con el nodo hoja y todos los niveles inferiores. Si la ruta
de un componente termina con una barra inclinada y un signo de porcentaje
(/%), coincide entonces con el nodo hoja y lo que est en el nivel
inmediatamente inferior solamente. Por ejemplo:
/intranet/* coincide con:
/intranet
/intranet/home.html
/intranet/elee/public/index.html
/intranet/% coincide con:
/intranet
/intranet/home.html
but NOT /intranet/elee/public/index.html
El nombre de host de un recurso y su direccin IP pasan al motor de directivas

al mismo tiempo. Si un servidor en la lista Resources de una directiva aparece
especificado como una direccin IP, la evaluacin se realiza con base en la
direccin IP. De lo contrario, el motor intenta hacer coincidir los dos nombres
de host. No lleva a cabo una consulta inversa de DNS para determinar la IP.
Si un nombre de host no est calificado del todo en el archivo de hosts, como

juniper en vez de intranet.juniper.net, y se tiene acceso al nombre de host
usando el nombre corto, el motor compara los recursos usando el nombre
corto. Sin embargo, si el nombre corto no est en el archivo de hosts y se
intenta resolver el nombre de hosts mediante DNS (agregando los dominios
que aparecen en la pgina Networks configuration), se usar el nombre de
dominio competo (FQDN) para encontrar la coincidencia entre los recursos.
Es decir, para las directivas de recursos Web se lleva a cabo una consulta de
DNS del nombre corto. El resultado de la consulta DNS es un FQDN; el motor
busca la coincidencia del FQDN con los nombres introducidos en la interfaz
de usuario.
Especificacin de recursos de servidor

Al especificar recursos de servidor para directivas de recursos Telnet/SSH, Terminal
Services, o Network Connect, tenga en cuenta las siguientes pautas.
Formato cannico: [protocol://] host [:ports]
Los componentes son:
104
Protocol (optional): Posibles valores que no distinguen maysculas de

minsculas:
tcp
udp
icmp
Si falta el protocolo, se asumen todos los protocolos. Si se especifica un

protocolo, se requiere el delimitador ://. No se permiten caracteres
especiales.
NOTA: Directivas disponibles slo para Network Connect. Para otras directivas
de recursos con caractersticas de acceso, como Secure Application Manager

y Telnet/SSH, no es vlido especificar este componente.
Host (obligatorio). Valores posibles:
Direccin IP /Mscara de red: La direccin IP debe tener el siguiente

formato: a.b.c.d
La mscara de red puede estar en uno de estos dos formatos:
Prefijo: bits de ordenacin alta
IP: a.b.c.d
Por ejemplo: 10.11.149.2/24 o bien 10.11.149.2/255.255.255.0

No se permiten caracteres especiales.
DNS Hostname: por ejemplo: www.juniper.com

Los caracteres especiales permitidos son:
Tabla 5: Caracteres especiales de nombre de host DNS

*
Coincidencias con TODOS los caracteres
Coincidencias con cualquier carcter a excepcin del punto (.)
Coincide exactamente con un solo carcter
NOTA: No puede especificar un nombre de host para una directiva de recursos

de Network Connect. Solamente se puede especificar una direccin IP.
Puertos (opcional): valores posibles:
Tabla 6: Valores posibles de puerto

*
Coincidencias con TODOS los puertos; no se permiten otros

caracteres especiales
puerto[,puerto]*
Una lista de puertos delimitada por comas. Los nmeros de

puertos vlidos son [1-65535]. No ponga un espacio entre los
nmeros de puerto. Puede especificar hasta 15 puertos.
[puerto1]-[puerto2] Un rango de puertos, desde el puerto1 al puerto2.
105
NOTA: Se pueden combinar listas de puertos e intervalos de puertos, de esta

manera: 80,443,8080-8090.
Si falta el puerto, el puerto 80 predeterminado se asigna para http y el 443 para

https. Si se especifica un puerto, se requiere el delimitador :. Por ejemplo:
<username>.danastreet.net:5901-5910
tcp://10.10.149.149:22,23
tcp://10.11.0.10:80
udp://10.11.0.10:*
EAP-TTLS consiste en dos etapas. En la primera, el solicitante usa un certificado

digital X.509 emitido por el servidor de autenticacin para verificar su identidad
y para validar la autenticidad de la red.
Evaluacin de las directivas de recursos

Cuando un dispositivo IVE recibe una solicitud de un usuario, evala las directivas
de recursos correspondientes al tipo de solicitud. Cuando procesa la directiva que
corresponde al recurso solicitado, aplica la accin especificada a la solicitud. Esta
accin se define en la ficha General de la directiva o en la ficha Detailed Rules.
Por ejemplo, si un usuario solicita una pgina web, el IVE sabe que tiene que usar
las directivas de recursos Web. En el caso de las solicitudes web, el IVE siempre
comienza con las directivas de reescritura web (reescritura selectiva y proxy pass
through) para determinar si manejar o no la solicitud. Si no se aplica alguna de las
directivas (o no se ha definido ninguna), el IVE evala las directivas Web Access
hasta encontrar la que sea pertinente al recurso solicitado.
Un dispositivo IVE evala un conjunto de directivas de recursos para una
caracterstica de acceso de arriba a abajo, lo que significa que comienza con la
directiva que est en el primer lugar y sigue con el resto hasta encontrar una que
coincida. Si se definieron reglas detalladas para la directiva que coincide, el IVE
evala las reglas de arriba a abajo, comenzando con la regla que est en el primer
lugar y terminando al encontrar el recurso que coincide de la lista Resource.
El siguiente diagrama ilustra los pasos generales de la evaluacin de directivas:
106
Figura 22: Pasos de la evaluacin de las directivas de recursos
Detalles relacionados con cada paso de la evaluacin:

1. El IVE recibe una solicitud de usuario y evala el rol de la sesin del usuario
para determinar si est habilitada la caracterstica de acceso correspondiente.
El rol de sesin de un usuario depende del rol o roles que se le asignan al
usuario durante el proceso de autenticacin. Las caractersticas de acceso
habilitadas para un usuario se determinan mediante la configuracin de la
asignacin de roles de un territorio de autenticacin. (Para obtener ms
informacin, consulte Evaluacin de rol de usuario en la pgina 70.)
2. El IVE determina las directivas que coinciden con la solicitud. El dispositivo
evala las directivas de recursos relacionadas con la solicitud del usuario y
procesa secuencialmente cada directiva hasta encontrar aquella cuya lista
de recursos y roles asignados coincida con la solicitud. (Si configura el IVE con
perfiles de recursos, se evalan las directivas avanzadas que configur como
parte del perfil de recursos.)
Las caractersticas de acceso web y a archivos tienen ms de un tipo de
directiva, de modo que el IVE determina en primer lugar el tipo de solicitud
(si se trata de una pgina web, applet de Java o archivo UNIX) y luego las
directivas relacionadas con la solicitud. En el caso de la caracterstica Web
Access, las directivas de reescritura son las que se evalan en primer lugar
para cada solicitud web. Las cinco caractersticas de acceso restantes (Secure
Application Manager, Secure Terminal Access, y Secure Email Client) tienen slo
una directiva de recursos.
3. El IVE evala y ejecuta las reglas especificadas en las directivas que coinciden.
Se pueden configurar reglas de las directivas para hacer dos cosas:
Especificar los recursos a los que se aplica una accin a un nivel ms

granular. Por ejemplo, si especifica un servidor web en los ajustes de la
directiva principal para una directiva de recursos de Web Access, se puede
definir una regla detallada que especifique una ruta en particular en el
servidor y luego cambiar la accin para esta ruta.
107
Exigir que el usuario cumpla condiciones especficas descritas como

expresiones booleanas o personalizadas a fin de que se aplique la accin.
Para obtener ms informacin, consulte Creacin de reglas detalladas
para las directivas de recursos en la pgina 108).
4. El IVE detiene el procesamiento de directivas de recursos en cuanto encuentra

el recurso solicitado en una lista Resource o regla detallada.
NOTA: Si usa evaluacin dinmica de directivas (basada en tiempo) o si ejecuta
una evaluacin manual de directivas, el IVE repite el proceso de evaluacin de
recursos descrito en esta seccin. Para obtener ms informacin, consulte
Evaluacin dinmica de directivas en la pgina 57.
Creacin de reglas detalladas para las directivas de recursos

Las caractersticas de acceso web, de acceso a archivos, de acceso de Secure
Application Manager, Telnet/SSH y Network Connect le permiten especificar
directivas de recursos especficas para cada servidor web, servidor de archivos o
aplicaciones y servidor telnet. Las caractersticas de acceso de Email Client tienen
una directiva que se aplica en general. Para estas directivas, se especifican ajustes
de servidor que se usan para cada rol y que habilitan estas caractersticas de
acceso. Para todas las dems caractersticas de acceso, se especifica cualquier
cantidad de directivas de recursos y para cada una se puede definir ms de una
regla detallada.
Una regla detallada es una extensin de una directiva de recursos que puede
especificar lo siguiente:
Informacin1 adicional (como la ruta especfica o el directorio, archivo o tipo de

archivo especfico) de los recursos que aparecen en la ficha General.
Una accin distinta de la especificada en la ficha General (aunque las opciones

son las mismas).
Condiciones que deben cumplirse para que se aplique la regla detallada.
En muchos casos, la directiva de recursos base (es decir, la informacin

especificada en la ficha General de una directiva de recursos) proporciona un
control de acceso suficiente para un recurso:
Si un usuario que pertenece a (roles_definidos) intenta tener acceso
a (recursos_definidos), ejecute la (accin_de_recurso) especificada.
Es posible que desee definir una o ms reglas detalladas para una directiva cuando
desea que se ejecute una accin basada en una combinacin de informacin
distinta, como por ejemplo:
Las propiedades de un recurso, como su encabezado, tipo de contenido o tipo

de archivo
1. Tenga en cuenta que tambin puede especificar la misma lista de recursos (como la de la ficha General) para una
regla detallada si el nico objetivo de la regla es aplicar condiciones a una solicitud de usuario.
108
Las propiedades de un usuario, como su nombre de usuario y los roles que

tiene asignados
Las propiedades de una sesin, como la IP de origen de un usuario o su tipo

de explorador, si est ejecutando Host Checker o Cache Cleaner, la hora y los
atributos del certificado
Las reglas detalladas aaden flexibilidad para controlar el acceso a los recursos, ya
que le permiten aprovechar la informacin de recursos y permisos existente para
especificar requisitos distintos para usuarios distintos a los que se aplica la directiva
de recursos base.
Escritura de una regla detallada

Las reglas detalladas aaden flexibilidad para controlar el acceso a los recursos ya
que le permiten aprovechar la informacin de recursos y permisos existente para
especificar requisitos distintos para usuarios distintos a los que se aplica la directiva
de recursos base.
Para escribir una regla detallada para una directiva de recursos:
1. En la pgina New Policy de una directiva de recursos, introduzca la informacin
de recursos y roles necesaria.
2. En la seccin Action, seleccione Use Detailed Rules y haga clic en
Save Changes.
3. En la ficha Detailed Rules, haga clic en New Rule.
4. En la pgina Detailed Rule:
a.
En la seccin Action, configure la accin que desea llevar a cabo si la

solicitud del usuario coincide con un recurso de la lista Resource
(opcional). Tenga en cuenta que la accin especificada en la ficha General
se ejecuta de manera predeterminada.
b.
En la seccin Resources, especifique cualquiera da las siguientes

alternativas (obligatorio):
La misma lista de recursos especificada en la ficha General o parte de

la lista.
La ruta especfica o archivo especfico en el servidor o servidores que

aparecen en la ficha General, usando comodines segn corresponda.
Para obtener informacin sobre la manera de usar comodines en una
lista Resources, consulte la documentacin de la directiva de recursos
correspondiente.
Un tipo de archivo, precedido por una ruta si corresponde o slo

*/*.file_extension para indicar los archivos de la extensin especificada
en cualquier ruta del servidor o servidores que aparecen en la
ficha General.
109
c.
En la seccin Conditions, especifique una o ms expresiones que se

evaluarn para ejecutar la accin (opcional):
Expresiones booleanas: Mediante variables de sistema, escriba una

o ms expresiones booleanas con los operadores NOT, OR, o AND.
Consulte Variables del sistema y ejemplos en la pgina 1046 para
ver una lista de variables disponibles en las directivas de recursos.
Expresiones personalizadas: Usando la sintaxis de expresiones

personalizadas, escriba una o ms expresiones. Consulte Expresiones
personalizadas en la pgina 1041 para obtener informacin sobre la
sintaxis y las variables.
NOTA: Puede usar la variable de sustitucin <USER> en las listas de control de

acceso de pginas web, telnet, archivos y SAM. No puede usar la variable en ACL
de Network Connect.
d. Haga clic en Save Changes.

5. En la ficha Detailed Rules, disponga las reglas en el orden en que desea que las
evale el IVE. Tenga presente que una vez que el IVE encuentra la coincidencia
entre el recurso solicitado por el usuario y un recurso en la lista Resource de
una regla, realiza la accin especificada y deja de procesar reglas (y otras
directivas de recursos).

de recursos
Se puede restringir las directivas de recursos que muestra el IVE en cualquier
pgina de directivas de recursos segn los roles de usuario. Por ejemplo, puede
configurar la pgina Users > Resource Policies > Web de la consola de
administracin para mostrar slo aquellas directivas de recursos que estn
asignadas al rol de usuario Ventas.
Para controlar las directivas de recursos que muestra el IVE:
1. Navegue hasta Users > Resource Policies > Tipo de directiva.
2. En la lista Show all policies that apply to, seleccione All Roles o un rol
particular.
3. Haga clic en Update. El IVE muestra las directivas de recursos que estn
asignadas a los roles seleccionados.
110
Personalizacin de las vistas de la interfaz de usuario de directivas de recursos
Captulo 7
Servidores de autenticacin y
de directorios
Un servidor de autenticacin es una base de datos que almacena las credenciales
del usuario (nombre y contrasea) y, normalmente, informacin sobre el grupo.
Cuando un usuario inicia sesin en el IVE, debe especificar un territorio de
autenticacin que est asociado a un servidor de autenticacin. Si el usuario
cumple la directiva de autenticacin del territorio, el IVE reenviar las credenciales
del usuario al servidor de autenticacin asociado. El trabajo del servidor de
autenticacin es verificar que el usuario existe y comprobar que es quien dice ser.
Despus de verificar al usuario, el servidor de autenticacin enva la aprobacin al
IVE y, si el territorio tambin usa el servidor como servidor de directorios/atributos,
la informacin del grupo del usuario u otra informacin de atributos del usuario.
El IVE evala las reglas de asignacin de roles del territorio para determinar a
qu roles de usuario se puede asignar al usuario.
La plataforma Juniper Networks Instant Virtual Extranet admite los servidores
de autenticacin ms comunes, incluyendo dominios de Windows NT, Active
Directory, RADIUS, LDAP, NIS, RSA ACE/Server y eTrust SiteMinder, permitiendo
crear una o ms bases de datos locales de usuarios autenticados por el IVE. Para
obtener informacin general del servidor y de configuracin, consulte Servidores
de autenticacin y de directorios en la pgina 111.
Un servidor de directorios es una base de datos que almacena informacin del
usuario y, normalmente, del grupo. Puede configurar un territorio de autenticacin
de modo que utilice un servidor de directorios con el fin de recuperar informacin
del usuario o del grupo, que se utilizarn en las reglas de asignacin de roles y
directivas de recursos. Actualmente, el IVE admite servidores LDAP para este fin,
lo que quiere decir que puede usar un servidor LDAP para la autenticacin y la
autorizacin. Simplemente necesita definir una instancia de servidor y luego
aparecer el nombre de la instancia del servidor LDAP en las listas desplegables
Authentication y Directory/Attribute de la ficha General del territorio. Puede usar
el mismo servidor para cualquier nmero de territorios.
111
Adems de LDAP, puede usar un servidor RADIUS o SiteMinder para recuperar

atributos de usuario que se pueden usar en las reglas de asignacin de roles.
Sin embargo, a diferencia de la instancia del servidor LDAP, el nombre de una
instancia de servidor RADIUS o SiteMinder no aparece en la lista desplegable
Directory/Attribute del territorio. Para usar un servidor RADIUS o SiteMinder para
recuperar informacin del usuario, simplemente elija su nombre de instancia
en la lista Authentication y elija Same as Above en la lista Directory/Attribute.
A continuacin, configure las reglas de asignacin de roles para usar los atributos
del servidor RADIUS o SiteMinder; lo que proporciona el IVE es una lista de
atributos en la pgina Role Mapping Rule despus de seleccionar Rule based
on User attribute.
Esta seccin contiene la siguiente informacin acerca de los servidores de
autenticacin y de directorios:
Licencia: Disponibilidad de servidores de autenticacin en la pgina 112
Resumen de tareas: configuracin de servidores de autenticacin en la

pgina 113
Definicin de una instancia de servidor de autenticacin en la pgina 114
Configuracin de una instancia de servidor annimo en la pgina 115
Configuracin de una instancia de ACE/Server en la pgina 117
Configuracin de una instancia de Active Directory o dominio NT en la

pgina 120
Configuracin de una instancia de servidor de certificados en la pgina 126
Configuracin de una instancia de servidor LDAP en la pgina 128
Configuracin de una instancia de servidor de autenticacin local en la

pgina 138
Configuracin de una instancia de servidor NIS en la pgina 144
Configuracin de una instancia de servidor de RADIUS en la pgina 145
Configuracin de una instancia de servidor eTrust SiteMinder en la

pgina 160
Configuracin de una instancia de servidor de SAML en la pgina 187
Licencia: Disponibilidad de servidores de autenticacin

Los servidores de autenticacin forman parte integral de la estructura de
administracin de acceso del IVE, por lo que estn disponibles en todos los
productos Secure Access. Sin embargo, debe tener en cuenta que el servidor
eTrust Siteminder no est disponible en el dispositivo SA 700.
112
Licencia: Disponibilidad de servidores de autenticacin
Captulo 7: Servidores de autenticacin y de directorios
Resumen de tareas: configuracin de servidores de autenticacin

Para especificar un servidor de autenticacin que pueda usar un territorio, primero
debe configurar una instancia de servidor en la pgina Authentication > Auth.
Servers. Cuando guarde los ajustes del servidor, el nombre del servidor (nombre
asignado a la instancia) aparece en la ficha General del territorio en la lista
desplegable Authentication. Si el servidor es:
Servidor LDAP o Active Directory: El nombre de instancia tambin aparece

en la lista desplegable Directory/Attribute de la ficha General del territorio.
Puede usar el mismo servidor LDAP o Active Directory para la autenticacin
y autorizacin de un territorio, as como para la autorizacin de cualquier
nmero de territorios que usen servidores de autenticacin diferentes.
Servidor RADIUS: El nombre de la instancia tambin aparece en la lista

desplegable Accounting de la ficha General del territorio. Puede usar el mismo
servidor RADIUS para la autenticacin y contabilidad de un territorio, as como
el uso de estos servidores para la contabilidad de cualquier nmero de
territorios que usen servidores de autenticacin diferentes.
Para configurar los servidores de autenticacin:

1. Configure el servidor de autenticacin/autorizacin con las instrucciones del
proveedor.
2. Cree una instancia del servidor, comenzando en la pgina Authentication >
Authentication > Auth. Servers de la consola de administracin.
3. Cree un territorio de autenticacin usando los ajustes de la pgina Users >
User Realms o Administrators > Admin Realms de la consola de
administracin. Para obtener instrucciones, consulte Creacin de un territorio
de autenticacin en la pgina 196.
4. Slo servidores de autenticacin local: agregue usuarios al servidor usando los
ajustes de la pgina Authentication > Auth. Servers > Seleccionar servidor
local > Users de la consola de administracin. Para obtener instrucciones,
consulte Creacin de cuentas de usuario en un servidor local de autenticacin
en la pgina 140.
5. Slo administracin de contraseas: configure las opciones de administracin
de contraseas en Habilitacin de la administracin de contraseas de LDAP
en la pgina 133.
NOTA: Un servidor de autenticacin debe poder comunicarse con el IVE. Si un

servidor de autenticacin como RSA ACE/Server no usa las direcciones IP de los
host de agente, debe poder resolver el nombre de host del IVE a travs de una
entrada DNS o una entrada en el archivo host del servidor de autenticacin.
Resumen de tareas: configuracin de servidores de autenticacin
113
NOTA: Al determinar el tipo de servidor que se debe seleccionar:
Slo puede crear una instancia de servidor eTrust Siteminder por IVE.
Si autentica el servidor Active Directory con:
Protocolo NTLM: Elija Active Directory/Windows NT Domain. Para

obtener ms informacin, consulte Configuracin de una instancia de
ACE/Server en la pgina 117.
Protocolo LDAP: Elija LDAP Server. Para obtener ms informacin,

consulte Configuracin de una instancia de servidor LDAP en la
pgina 128.
Si crea una instancia de servidor de autenticacin local para autenticar

administradores de usuarios, debe seleccionar Local Authentication.
Para obtener ms informacin, consulte Configuracin de una instancia
de servidor de autenticacin local en la pgina 138.
Definicin de una instancia de servidor de autenticacin

Use la pgina Auth. Servers para definir las instancias de servidor de autenticacin.
Los servidores de autenticacin autentican credenciales de usuario y los servidores
de autorizacin proporcionan informacin del usuario que el IVE usa para
determinar los privilegios del usuario dentro del sistema. Por ejemplo, puede
especificar una instancia de servidor de certificados para autenticar usuarios
basndose en sus atributos del certificado del lado cliente y crear entonces una
instancia de servidor LDAP para autorizar a los usuarios basndose en los valores
que se incluyen dentro de una CRL (lista de revocacin de certificados). Para
obtener ms informacin sobre servidores de autenticacin, consulte Servidores
de autenticacin y de directorios en la pgina 111.
autenticacin:
114
Definicin de una instancia de servidor de autenticacin en la pgina 115
Modificacin de una instancia de servidor de autenticacin existente en la

pgina 115

Para definir una instancia de servidor de autenticacin:
1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Elija un tipo de servidor en el men desplegable New.
3. Haga clic en New Server.
4. Dependiendo del servidor que seleccione, especifique los ajustes para la
instancia de servidor individual.
5. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener ms informacin, consulte
Definicin de directivas de autenticacin en la pgina 198.
6. Si se trata de configurar el servidor de autenticacin local, defina las cuentas de
usuario locales. Para obtener instrucciones, consulte Configuracin de una
instancia de servidor de autenticacin local en la pgina 138.
Modificacin de una instancia de servidor de autenticacin existente

Para modificar una instancia de servidor de autenticacin:
2. Haga clic en el vnculo del servidor que desea modificar.
3. Realice las modificaciones en la pgina del servidor correspondiente.
Configuracin de una instancia de servidor annimo

La caracterstica de servidor annimo permite que los usuarios accedan al IVE sin
proporcionar un nombre de usuario o contrasea. En cambio, cuando un usuario
introduce la URL de la pgina de inicio de sesin que se configur para autenticarse
en un servidor annimo, el IVE pasa por alto la pgina de inicio de sesin estndar
del IVE y muestra de inmediato la pgina de bienvenida del IVE al usuario.
Puede optar por usar la autenticacin annima si piensa que los recursos del
IVE no requieren de seguridad extrema o que las otras medidas de seguridad
proporcionadas mediante el IVE son suficientes. Por ejemplo, puede crear un rol de
usuario con acceso limitado a los recursos internos y autenticarlo con una directiva
que slo requiera que los usuarios inicien sesin desde una direccin IP que reside
dentro de la red interna. En este mtodo se presupone que si un usuario puede
acceder a su red interna, estar autorizado a ver los recursos limitados
proporcionados a travs del rol de usuario.
Esta seccin contiene la siguiente informacin acerca de los servidores annimos:
Restricciones de servidores annimos en la pgina 116
Definicin de una instancia de servidor annimo en la pgina 116

115
Restricciones de servidores annimos

Al definir y supervisar una instancia de servidor annima, tenga en cuenta que:
Slo puede agregar una configuracin de servidor annimo.
No puede autenticar administradores con un servidor annimo.
Durante la configuracin, debe elegir el servidor annimo para el servidor de

autenticacin y el servidor de directorios/atributos en la ficha Users > User
Realms > General. Para obtener ms informacin, consulte Creacin de un
territorio de autenticacin en la pgina 196.
Al crear reglas de asignacin de roles mediante la ficha Users > User

Realms > Role Mapping (como se explica en Creacin de reglas de
asignacin de roles en la pgina 199), el IVE no permite la creacin de reglas
de asignacin que se apliquen a usuarios especficos (como Joe), dado que el
servidor annimo no recopila informacin de nombres de usuario. Slo puede
crear reglas de asignacin de roles basadas en un nombre de usuario
predeterminado (*), atributos de certificado o expresiones personalizadas.
Por motivos de seguridad, es posible que desee limitar el nmero de usuarios

que inician sesin a travs de un servidor annimo en un momento
determinado. Para ello, use la opcin de la ficha Users > User Realms >
[Territorio] > Authentication Policy > Limits (donde [Territorio] es el
territorio que se configur para usar el servidor annimo con el fin de
autenticar usuarios). Para obtener ms informacin, consulte Especificacin
de las restricciones de lmite en la pgina 67.
No puede ver ni eliminar las sesiones de usuarios annimos mediante la

ficha Users (del mismo modo que puede hacerlo con otros servidores de
autenticacin), porque el IVE no puede mostrar datos de sesiones individuales
sin recopilar nombres de usuario.
Definicin de una instancia de servidor annimo

Para definir un servidor annimo:
2. Siga uno de estos pasos:
Para crear una nueva instancia de servidor en el IVE, seleccione

Anonymous Server en la lista New y haga clic en New Server.
Para actualizar una instancia de servidor existente, haga clic en el vnculo

correspondiente de la lista Authentication/Authorization Servers.
3. Especifique un nombre para identificar la instancia de servidor.

5. Especifique los territorios que debe usar el servidor para autorizar usuarios.
Para obtener ms informacin, consulte Definicin de directivas de
autenticacin en la pgina 198.
116
Configuracin de una instancia de ACE/Server

Al autenticar usuarios con un RSA ACE/Server, los usuarios pueden iniciar sesin
mediante dos mtodos:
Con un token de hardware y la pgina de inicio de sesin estndar del IVE:

El usuario busca la pgina de inicio de sesin estndar del IVE, introduce su
nombre de usarlo y contrasea, que consta de la concatenacin del PIN y el
valor actual del token de hardware de RSA SecurID. El IVE reenva las
credenciales del usuario a ACE/Server.
Con un token de software y la pgina de inicio de sesin personalizada del

IVE de SoftID: El usuario busca la pgina de inicio de sesin personalizada de
SoftID. Luego, usando el complemento SoftID, introduce su nombre de usuario
y PIN. El complemento SoftID genera una frase de seguridad concatenando el
PIN y token del usuario y la pasa al IVE. Para obtener ms informacin sobre la
habilitacin de las pginas de inicio personalizadas de SoftID, consulte el
manual Custom Sign-In Pages Solution Guide.
Si ACE/Server autentica de manera positiva al usuario, obtiene acceso al IVE. De lo

contrario, ACE/Server:
Deniega el acceso al sistema al usuario si las credenciales no se reconocen.
Le solicita al usuario que genere un nuevo PIN (modo Nuevo PIN) si inicia
sesin en el IVE por primera vez. (El usuario ve mensajes diferentes
dependiendo del mtodo que utilice para iniciar sesin. Si lo hace usando el
complemento SoftID, ve el mensaje de RSA para crear un nuevo PIN; de lo
contrario, ve el mensaje del IVE.)
Le solicita al usuario que introduzca el siguiente token (modo Siguiente token) si

el token introducido por el usuario no est sincronizado con el token que espera
ACE/Server. (El modo Siguiente token es transparente para los usuarios que
inician sesin usando un token de SoftID. El software de RSA SecurID pasa el
token a travs del IVE hacia ACE/Server sin interaccin del usuario.)
Redirige al usuario a la pgina de inicio de sesin estndar del IVE (slo SoftID)
si el usuario intenta iniciar sesin en la pgina RSA SecurID Authentication en
un equipo que no tiene instalado el software SecurID.
Cuando un usuario pasa al modo Nuevo PIN o Siguiente token, tiene tres minutos
para introducir la informacin necesaria antes de que el IVE cancele la transaccin
y le notifique que debe volver a introducir las credenciales.
El IVE puede manejar un mximo de 200 transacciones de ACE/Server en cualquier
momento. Una transaccin slo dura el tiempo necesario para autenticarse en
ACE/Server. Por ejemplo, cuando un usuario inicia sesin en el IVE, la transaccin
ACE/Server se inicia cuando el usuario enva su solicitud de autenticacin y termina
una vez que ACE/Server ha finalizado el procesamiento de la solicitud. El usuario
puede mantener abierta la sesin del IVE, aunque se haya cerrado la transaccin
de ACE/Server.
117
El IVE admite las siguientes caractersticas de ACE/Server: Modo Nuevo PIN, modo
Siguiente token, encriptacin DES/SDI, encriptacin AES, compatibilidad con
ACE/Server esclavo, bloqueo de nombre y clsteres. El IVE tambin admite los
modos Nuevo PIN y Siguiente token de RSA SecurID a travs del protocolo RADIUS.
NOTA: Debido a las limitaciones de la biblioteca de ACE/Server de UNIX, puede
definir slo una configuracin de ACE/Server. Para obtener informacin sobre
cmo generar un archivo de configuracin de ACE/Agent para el IVE en el servidor
ACE, consulte Generacin de un archivo de configuracin de ACE/Agent en la
pgina 119.
El IVE no admite el equilibrio de carga entre varios servidores ACE.

Esta seccin contiene la siguiente informacin acerca de ACE/Servers:
Definicin de una instancia de ACE/Server en la pgina 118
Generacin de un archivo de configuracin de ACE/Agent en la pgina 119
Definicin de una instancia de ACE/Server

NOTA: Slo puede agregar una instancia de ACE/Server.
Para definir un ACE/Server:

1. Genere un archivo de configuracin de ACE/Agent (sdconf.rec) para el IVE en
el servidor ACE. Para obtener ms informacin, consulte Generacin de un
archivo de configuracin de ACE/Agent en la pgina 119.
Para crear una nueva instancia de servidor en el IVE, seleccione ACE Server
en la lista New y haga clic en New Server.


5. Especifique un puerto predeterminado en el campo ACE Port. Tenga en cuenta
que el IVE slo usa estos ajustes si no se especifica un puerto en el archivo
sdconf.rec.
6. Importe el archivo de configuracin de RSA ACE/Agent. Asegrese de actualizar
este archivo en el IVE en cada vez que introduzca cambios en el archivo de
origen. Asimismo, si elimina el archivo de la instancia del IVE, vaya a la
aplicacin ACE Server Configuration Management, como se describe en
Generacin de un archivo de configuracin de ACE/Agent en la pgina 119
y desmarque la casilla de verificacin Sent Node Secret.
118
7. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
NOTA: Para obtener ms informacin sobre la supervisin y eliminacin de
sesiones de usuario que iniciaron sesin actualmente a travs del servidor,
consulte Supervisin de usuarios activos en la pgina 848.
Generacin de un archivo de configuracin de ACE/Agent

Si utiliza ACE/Server para la autenticacin, debe generar un archivo de
configuracin de ACE/Agent (sdconf.rec) para el IVE en el servidor ACE.
Para generar un archivo de configuracin de ACE/Agent:
1. Inicie la aplicacin ACE/Server Configuration Management y haga clic en
Agent Host.
2. Haga clic en Add Agent Host.
3. En Name, introduzca un nombre para el agente del IVE.
4. En Network Address, introduzca la direccin IP del IVE.
5. Introduzca un Site configurado en el servidor ACE.
6. En Agent Type, seleccione Communication Server.
7. En Encryption Type, seleccione DES.
8. Verifique que Sent Node Secret no est seleccionado (al crear un
agente nuevo).
La primera vez que el servidor ACE autentica correctamente una solicitud
enviada por el IVE, el servidor ACE selecciona Sent Node Secret. Si
posteriormente desea que el servidor ACE enve un nuevo nodo secreto al
IVE en la siguiente solicitud de autenticacin, haga lo siguiente:
a.
Haga clic en la casilla de verificacin Sent Node Secret para desmarcarla.
b.
Inicie sesin en la consola de administracin y elija Authentication >

Auth. Servers.
c.
Haga clic en el nombre del servidor ACE en la lista

Authentication/Authorization Servers.
119
d. En Node Verification File, seleccione la casilla de verificacin

correspondiente y haga clic en Delete. Estos pasos garantizan que el IVE y
el servidor ACE estarn sincronizados. Asimismo, si elimina el archivo de
verificacin del IVE, debe desmarcar la casilla de verificacin Sent Node
Secret en el servidor ACE.
Si usa la autenticacin de RSA ACE/Server y cambia la direccin IP del IVE,
debe eliminar el archivo de verificacin del nodo en el IVE para que
funcione la autenticacin de ACE/Sever. Anule tambin la seleccin de los
ajustes de Sent Node Verification en ACE/Server para el IVE.
9. Haga clic en Assign Acting Servers y seleccione el servidor ACE.
10. Haga clic en Generate Config File. Al agregar el servidor ACE al IVE,
se importar este archivo de configuracin.
Configuracin de una instancia de Active Directory o dominio NT

Al autenticar usuarios con un controlador de dominio principal (PDC) de NT o
Active Directory, los usuarios inician sesin en el IVE usando el mismo nombre de
usuario y contrasea que usan para acceder a sus escritorios de Windows. El IVE
admite la autenticacin de Windows NT y Active Directory usando la autenticacin
NTLM o Kerberos.
Si configura un servidor Active Directory nativo, puede recuperar informacin del
grupo del servidor para usarla en las reglas de asignacin de roles del territorio.
En este caso, se especifica el servidor Active Directory como el servidor de
autenticacin del territorio y se crea una regla de asignacin de roles basada en la
asociacin del grupo. El IVE muestra todos los grupos del controlador de dominio
configurado y sus dominios de confianza.
El IVE proporciona casillas de verificacin separadas para cada uno de los
protocolos de autenticacin principal: Kerberos, NTLMv2 y NTLMv1, le permiten
seleccionar o pasar por alto cada uno de estos protocolos, independiente uno de
otro. Este control ms granular del proceso de autenticacin evita un aumento
innecesario de la directiva de recuento de inicios de sesin fallidos en Active
Directory y permite ajustar con mayor precisin los protocolos, basndose en los
requisitos del sistema.
Para obtener ms informacin, consulte Creacin de reglas de asignacin de roles
en la pgina 199.
120
NOTA:
El IVE reconoce las relaciones de confianza en entornos Active Directory

y Windows NT.
Al enviar credenciales de usuario a un servidor de autenticacin de Active

Directory, el IVE usa cualquiera de los protocolos de autenticacin
especificados en la pgina New Active Directory/Windows NT. El IVE ordena
de forma predeterminada los protocolos de autenticacin. En otras palabras,
si seleccion las casillas de verificacin Kerberos y NTLMv2, el IVE enva las
credenciales a Kerberos. Si Kerberos tiene xito, el IVE no enva las
credenciales a NTLMv2. Si Kerberos no es compatible o falla, el IVE usa
NTLMv2 como siguiente protocolo. La configuracin establece un efecto
de cascada si selecciona varias casillas de verificacin. Para obtener ms
informacin, consulte Definicin de directivas de recursos: Recursos de
archivos para UNIX/NFS en la pgina 485.
El IVE admite grupos locales de dominio, grupos globales de dominio y grupos

universales definidos en el bosque de Active Directory. Tambin admite los
grupos locales de dominio y grupos globales de dominio en servidores NT4.
El IVE slo permite grupos de seguridad de Active Directory, no grupos de

distribucin. Los grupos de seguridad le permiten usar un tipo de grupo no
slo para asignar derechos y permisos, sino tambin como una lista de
distribucin para correo electrnico.
Si se configuran varios servidores Active Directory en un IVE, se debe asociar

cada uno de ellos con un nombre de cuenta de equipo nico y diferente. No
debe usarse el mismo nombre de cuenta de equipo en todos los servidores.
Esta seccin contiene la siguiente informacin acerca de los servidores Active

Directory y dominio NT:
Definicin de una instancia de servidor Active Directory o dominio de

Windows NT en la pgina 121
Autenticacin de usuarios de varios dominios en la pgina 124
Compatibilidad con consulta de grupos de Active Directory y NT en la

pgina 125
Definicin de una instancia de servidor Active Directory o dominio de Windows NT

Para definir un servidor Active Directory o dominio de Windows NT:
Para crear una nueva instancia de servidor en el IVE, seleccione Active

Directory/Windows NT en la lista New y haga clic en New Server.

Configuracin de una instancia de Active Directory o dominio NT 121

4. Especifique el nombre o direccin IP del controlador de dominio principal
o servidor Active Directory.
5. Especifique la direccin IP del controlador de dominio de respaldo o servidor
Active Directory. (opcional)
6. Introduzca el nombre de dominio de Active Directory o Windows NT. Por
ejemplo, si el nombre de dominio de Active Directory es us.amr.asgqa.net y
desea autenticar usuarios que pertenecen al dominio US, introduzca US en el
campo de dominio.
7. Si desea especificar un nombre de equipo, introdzcalo en el campo Computer
Name. El campo de nombre del equipo es donde especifica el nombre que el
IVE usa para unir el dominio de Active Directory especificado como un equipo.
De lo contrario, deje el identificador predeterminado que identifica de forma
inequvoca el sistema.
NOTA: Puede que advierta que el nombre del equipo se llen previamente con una
entrada en formato vcNNNNHHHHHHHH, donde, en un sistema IVS, NNNN es IVS ID
(suponiendo que tiene una licencia IVS) y HHHHHHHH es la representacin
hexadecimal de la direccin IP del IVE. Un nombre exclusivo, ya sea el
proporcionado de forma predeterminada o uno de su eleccin, puede identificar
ms fcilmente sus sistemas en Active Directory. En un sistema que no es IVS, los
primeros seis caracteres del nombre sern vc0000 porque no hay un IVS ID que
mostrar. Por ejemplo, el nombre podra ser vc0000a1018dF2 para un sistema
que no es IVS.
En un entorno de clsteres con el mismo servidor de autenticacin AD, este

nombre tambin es nico entre todos los nodos de clster y el IVE muestra todos
los identificadores para todos los nodos de clster conectados.
8. Seleccione la casilla de verificacin Allow domain to be specified as part of

username para permitir que los usuarios inicien sesin introduciendo un
nombre de dominio en el campo Username con el formato:
dominio\nombredeusuario.
9. Seleccione la casilla de verificacin Allow trusted domains para obtener la
informacin de grupo de todos los dominios de confianza dentro de un bosque.
122
10. En Admin Username y Admin Password, introduzca un nombre de usuario y

una contrasea de administrador para el servidor AD o NT.
NOTA:
Asegrese de que el administrador especifique si es un administrador de

dominio en el mismo dominio que el servidor AD o NT.
No incluya un nombre de dominio con el nombre de usuario de administrador

de servidor en el campo Admin Username.
Despus de guardar los cambios, el IVE enmascara la contrasea del

administrador usando cinco caracteres de asterisco, independientemente de
la longitud de la contrasea.
11. En Authentication Protocol, especifique qu protocolo debe usar el IVE

durante la autenticacin.
12. En Kerberos Realm Name:
Seleccione Use LDAP to get Kerberos realm name si desea que el IVE
recupere el nombre del territorio de Kerberos desde el servidor Active
Directory usando las credenciales de administrador especificadas.
Introduzca el nombre del territorio de Kerberos en el campo Specify

Kerberos realm name si lo conoce.
13. Haga clic en Test Configuration para verificar los ajustes de configuracin del
servidor Active Directory, como que exista el dominio especificado, que los
controladores especificados sean controladores de dominio de Active Directory,
que funcione el protocolo de autenticacin seleccionado, etc. (opcional)
Creacin de un territorio de autenticacin en la pgina 196.
NOTA:
Para obtener ms informacin sobre la supervisin y eliminacin de sesiones

de usuario que iniciaron sesin actualmente a travs del servidor, consulte
La consola de administracin proporciona las ltimas estadsticas de acceso

para cada cuenta de usuario en varias fichas Users de toda la consola,
en un conjunto de columnas llamadas Last Sign-in Statistic. Los informes
de estadsticas incluyen la fecha y hora del ltimo inicio de sesin exitoso
de cada usuario, la direccin IP del usuario y el tipo y versin del agente
o explorador.
Autenticacin de usuarios de varios dominios

El IVE permite la autenticacin de varios dominios de Active Directory y Windows
NT. El IVE autentica usuarios en el dominio que configure en la pgina
Authentication > Auth. Servers > New Active Directory/Windows NT, usuarios
en dominios secundarios y usuarios en todos los dominios de confianza del
dominio configurado.
Despus de especificar la direccin de un controlador de dominio y un dominio
predeterminado en la configuracin de servidor de Active Directory del IVE, los
usuarios del dominio predeterminado se autentican en el IVE slo con su nombre
de usuario o con el dominio predeterminado y el nombre de usuario en formato
defaultdomain\username.
Cuando habilita la autenticacin de un dominio de confianza, los usuarios de
dominios de confianza o secundarios se autentican en el IVE usando el nombre
de un dominio de confianza o secundario ms el nombre de usuario en formato
trusteddomain\username. Tenga en cuenta que la autenticacin del dominio de
confianza aumenta el tiempo de respuesta del servidor.
Autenticacin de varios dominios de Windows 2000 y Windows 2003

El IVE admite la autenticacin de Active Directory basado en Kerberos con los
controladores de dominio de Windows 2000 y Windows 2003. Cuando un usuario
inicia sesin en el IVE, el IVE lleva a cabo la autenticacin de Kerberos e intenta
buscar el nombre de territorio de Kerberos para el controlador de dominio,
as como tambin todos los territorios de confianza y secundarios, mediante
llamadas LDAP.
Como alternativa, puede especificar el nombre del territorio de Kerberos al
configurar un servidor de autenticacin de Active Directory, pero no se recomienda
este mtodo por dos motivos:
No se puede especificar ms de un nombre de territorio. El IVE no puede

autenticar en un territorio secundario o de confianza del territorio que especific.
Si escribi de forma incorrecta el nombre del territorio, el IVE no puede

autenticar usuarios en el territorio adecuado.
Autenticacin de varios dominios de Windows NT4

El IVE no es compatible con la autenticacin basada en Kerberos en los
controladores de dominio de Windows NT4. En lugar de la autenticacin Kerberos,
el IVE usa la autenticacin NTLM.
NOTA:
124
Para la autenticacin de usuario, el IVE conecta el servidor del controlador

de dominio predeterminado usando el nombre del equipo en formato
<IVE-IPaddress>.
Si la configuracin DNS en el controlador de dominio de Windows NT4

cambia, asegrese de que el IVE todava pueda resolver nombres (dominios
secundarios y de confianza) usando WINS, DNS o el archivo de Hosts,
que pudieron resolver los nombres antes del cambio de configuracin.
Normalizacin de usuario de NT
Con el fin de admitir la autenticacin de varios dominios, el IVE usa las credenciales
de NT normalizadas al comunicarse con un controlador de dominio de Active
Directory o NT4 para la autenticacin. Las credenciales de NT normalizadas
incluyen el nombre del dominio y del usuario: domain\username.
Independientemente de la forma en que el usuario inicia sesin en el IVE, ya sea
slo con un nombre de usuario o con el formato domain\username, el IVE siempre
trata el nombre de usuario en formato domain\username.
Cuando un usuario intenta autenticarse usando slo su nombre de usuario,
el IVE siempre normaliza sus credenciales de NT como defaultdomain\username.
La autenticacin es correcta slo si es usuario es miembro del dominio
predeterminado.
Para un usuario que inicia sesin en el IVE usando el formato domain\username,
el IVE siempre intenta autenticar al usuario como miembro del dominio que ste
especifica. La autenticacin es correcta slo si el dominio especificado por el
usuario es un dominio de confianza o secundario del dominio predeterminado.
Si el usuario especifica un dominio que no es de confianza o no es vlido,
la autenticacin falla.
Dos variables, <NTUser> y <NTDomain>, permiten que se refiera de forma individual
a los valores de dominio y nombre de usuario de NT. El IVE llena estas dos variables
con la informacin de dominio y nombre de usuario de NT.
NOTA: Al usar reglas de asignacin de roles preexistentes o al escribir una nueva
para la autenticacin de Active Directory donde USER = someusername, el IVE
trata esta regla semnticamente como NTUser = someusername AND NTDomain =
defaultdomain. Esto permite que el IVE funcione a la perfeccin con las reglas de
asignacin de roles preexistentes.
Compatibilidad con consulta de grupos de Active Directory y NT

El IVE admite la consulta de grupos de usuarios en los grupos locales de dominio,
globales de dominio y universales en el bosque de Active Directory, y en los grupos
locales de dominio y globales de dominio para servidores NT4.
NOTA: Para que la consulta de grupos de NT/AD funcione, el IVE primero intenta
conectarse al dominio usando el nombre de equipo predeterminado. Para que esta
operacin sea correcta, debe especificar credenciales de administrador de
dominio vlidas en la configuracin del servidor Active Directory en el IVE.
Requisitos de consultas de Active Directory

El IVE admite la consulta de grupos de usuarios en los grupos locales de dominio,
globales de dominio y universales en el dominio predeterminado, dominios
secundarios y todos los dominios de confianza. El IVE obtiene la asociacin del
grupo mediante uno de los tres mtodos que tienen capacidades diferentes:
Informacin del grupo en el contexto de seguridad del usuario: Devuelve

informacin sobre los grupos globales de dominio del usuario.
Informacin del grupo obtenida mediante las llamadas de bsqueda LDAP:

Devuelve informacin sobre los grupos globales de dominio del usuario e
informacin sobre los grupos universales del usuario si el IVE consulta al
servidor de catlogos global.
Informacin del grupo usando las llamadas de RCP nativas: Devuelve

informacin sobre el grupo local de dominio del usuario.
Con respecto a las reglas de asignacin de roles, el IVE intenta la consulta de grupos
en el siguiente orden:
El IVE comprueba los grupos globales de dominio usando el contexto de

seguridad del usuario.
Si el IVE no encuentra que el usuario sea un miembro de alguno de los grupos a

los que se hace referencia en las reglas de asignacin de roles, el IVE realiza una
consulta de LDAP para determinar la asociacin del grupo del usuario.
Si el IVE no encuentra que el usuario sea un miembro de alguno de los grupos a

los que se hace referencia en las reglas de asignacin de roles, el IVE realiza una
consulta de RPC para determinar la asociacin del grupo del dominio local.
Requisitos de consulta de grupos de NT4

El IVE admite la consulta de grupos en los grupos locales de dominio y globales
de dominio creados en el dominio predeterminado, as como los dominios
secundarios y otros de confianza. El IVE obtiene la informacin del grupo global
de dominio a partir del contexto de seguridad del usuario y la informacin local de
dominio usando las llamadas RCP. El IVE usa llamadas de bsqueda que no estn
basadas en LDAP en el entorno NT4.
Configuracin de una instancia de servidor de certificados

La caracterstica de servidor de certificados permite que los usuarios se autentiquen
basndose en los atributos incluidos en los certificados del lado cliente. Puede usar
el servidor de certificados por s solo o en conjunto con otro servidor para
autenticar usuarios y asignarlos a roles.
Por ejemplo, puede optar por autenticar usuarios basndose exclusivamente en sus
atributos de certificados. Si el IVE determina que el certificado del usuario es vlido,
inicia la sesin de usuario basado en los atributos del certificado que especifique y
no le solicita al usuario que introduzca un nombre de usuario o contrasea.
Puede optar por autenticar a los usuarios pasando los atributos del certificado del
lado cliente a un segundo servidor de autenticacin (como LDAP). En este caso,
el servidor de certificados primero determina si el certificado del usuario es vlido.
Luego, el IVE puede usar las reglas de asignacin de roles en el nivel del territorio
para comparar los atributos del certificado con los atributos de LDAP del usuario.
Si no encuentra la coincidencia correspondiente, el IVE puede denegar o limitar el
acceso del usuario segn sus especificaciones.
126
NOTA: Al usar certificados del lado cliente, se recomienda encarecidamente

instruir a los usuarios finales para que cierren sus exploradores de Web despus
de cerrar la sesin en el IVE. De lo contrario, otros usuarios pueden usar las
sesiones abiertas en el explorador para obtener acceso a recursos protegidos por
el certificado en el IVE sin volver a autenticarse. (Despus de cargar un certificado
del lado cliente, tanto Internet Explorer como Netscape colocan las credenciales
y claves privadas del certificado en la memoria cach. El explorador guarda esta
informacin en memoria cach hasta que el usuario cierra el explorador (o en
algunos casos, hasta que se reinicia la estacin de trabajo). Para obtener ms
detalles, consulte: http://support.microsoft.com/?kbid=290345.) Para recordarles a
los usuarios que cierren sus exploradores, puede modificar el mensaje de cierre de
sesin en la ficha Authentication > Authentication > Signing In Pages.
Al definir un servidor de certificados en el IVE, debe realizar los siguientes pasos:

1. Use los ajustes de la ficha System > Configuration > Certificates > CA
Certificates para importar el certificado de CA utilizado para firmar los
certificados del lado cliente.
2. Cree una instancia de servidor de certificados:
a.
Dirjase a Authentication > Auth. Servers.
b.
Seleccione Certificate Server en la lista New y haga clic en New Server.
c.
Especifique un nombre para identificar la instancia de servidor.
d. En el campo User Name Template, especifique cmo debe construir el

nombre de usuario el IVE. Puede usar una combinacin de variables de
certificados dentro de corchetes angulares y texto plano. Para obtener una
lista de las variables de certificados, consulte Variables del sistema y
ejemplos en la pgina 1046.
NOTA: Si elige un atributo de certificado con ms de un valor, el IVE usa el primer

valor coincidente. Por ejemplo, si introduce <certDN.OU> y el usuario tiene dos
valores para el atributo (ou=management, ou=sales), el IVE usa el valor
management. Para usar todos los valores, agregue el atributo SEP a la variable.
Por ejemplo, si introduce <certDN.OU SEP=:> el IVE usa management:sales.
e.
Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,

127
3. Si desea verificar los atributos del certificado en un servidor LDAP, use los
ajustes de la pgina Authentication > Auth. Servers para crear una instancia
de servidor LDAP. Tenga en cuenta que debe usar la seccin Finding user
entries en la pgina de configuracin de LDAP para recuperar los atributos
especficos del usuario que desea verificar mediante el certificado.
4. Use los ajustes de las fichas Users > User Realms > Nombre de territorio >
General o Administrators > Admin Realms > Nombre de territorio > General
para especificar los territorios que debe usar el servidor de certificados para
autenticar a los usuarios. (Tambin puede usar los ajustes de estas fichas para
especificar los territorios que debe usar un servidor LDAP para verificar los
atributos del certificado.)
5. Use los ajustes de la pgina Authentication > Authentication > Signing In
Policies para asociar los territorios configurados en el paso anterior con las URL
de inicio de sesin.
6. Si desea restringir el acceso de los usuarios a los territorios, roles o directivas de
recursos basndose en los atributos del certificado individual, use los ajustes
descritos en Especificacin de las restricciones de acceso para certificados en
la pgina 65.
Configuracin de una instancia de servidor LDAP

El IVE admite dos opciones de autenticacin especficas de LDAP:
Unencrypted, en que el IVE enva el nombre de usuario y la contrasea a LDAP

Directory Service en texto simple y no encriptado.
LDAPS, en que el IVE encripta los datos en la sesin de autenticacin de LDAP

usando el protocolo de nivel de socket seguro (SSL) antes de enviarlos a LDAP
Directory Service.
El IVE realiza la validacin de entrada sustancial para los siguientes elementos:
128
Servidor LDAP: El IVE muestra una advertencia si el servidor no est

disponible.
Puerto LDAP: El IVE muestra una advertencia si el servidor LDAP no est

disponible.
Credenciales de administrador: El IVE genera un error si falla la verificacin

de credenciales del administrador.
DN base para usuario: El IVE genera un error si falla la bsqueda de nivel base
en el valor DN base.
DN base para grupos: El IVE genera un error si falla la bsqueda de nivel base
en el valor DN base.
Esta seccin contiene la siguiente informacin acerca de los servidores LDAP:
Definicin de una instancia de servidor LDAP en la pgina 129
Configuracin de los atributos de bsqueda de LDAP para creadores de

reuniones en la pgina 132
Supervisin y eliminacin de sesiones de usuario activas en la pgina 132
Habilitacin de la administracin de contraseas de LDAP en la pgina 133
Definicin de una instancia de servidor LDAP

Para definir una instancia de servidor LDAP:
Para crear una nueva instancia de servidor en el IVE, seleccione LDAP

Server en la lista New y haga clic en New Server.


4. Especifique el nombre o la direccin IP del servidor LDAP que el IVE usa para
validar a los usuarios.
5. Especifique el puerto en que escucha el servidor LDAP. Por lo general, es el
puerto 389 cuando usa una conexin sin encriptar y el puerto 636 cuando
usa SSL.
6. Especifique los parmetros de los servidores LDAP de respaldo (opcional).
El IVE usa los servidores especificados para el procesamiento de conmutacin
por error; cada solicitud de autenticacin se enruta primero al servidor LDAP
principal y luego a los servidores de respaldo especificados, si el servidor
principal no est disponible.
NOTA: Los servidores LDAP de respaldo deben tener la misma versin que el
servidor LDAP principal. Tambin se recomienda que especifique la direccin IP
de un servidor LDAP de respaldo en lugar de su nombre de host, lo que puede
acelerar el procesamiento de la conmutacin por error, ya que se elimina la
necesidad de resolver el nombre de host en una direccin IP.
7. Especifique el tipo de servidor LDAP en que desea autenticar los usuarios.

8. Especifique si la conexin entre el IVE y LDAP Directory Service debe estar
desencriptada, usar SSL (LDAP) o usar TLS.
9. Especifique la cantidad de tiempo que desea que el IVE espere una conexin
con el servidor LDAP principal y luego con cada servidor LDAP de respaldo.
Configuracin de una instancia de servidor LDAP 129
10. Especifique la cantidad de tiempo que desea que el IVE espere los resultados de
la bsqueda de un servidor LDAP conectado.
11. Haga clic en Test Connection para verificar la conexin entre el dispositivo IVE
y los servidores LDAP especificados. (opcional)
12. Seleccione la casilla de verificacin Authentication required? si el IVE debe
autenticarse en el directorio LDAP para realizar una bsqueda o para cambiar
las contraseas usando la caracterstica de administracin de contraseas.
Luego, introduzca un DN y contrasea de administrador. Para obtener ms
informacin acerca de la administracin de contraseas, consulte Habilitacin
de la administracin de contraseas de LDAP en la pgina 133. Por ejemplo:
CN=Administrator,CN=Users,DC=eng,DC=Juniper,DC=com
13. En Finding user entries, especifique:
Base DN en el que desea comenzar a buscar entradas de usuario.

Por ejemplo:
DC=eng,DC=Juniper,DC=com
Filter si desea ajustar con mayor precisin la bsqueda. Por ejemplo:

samAccountname=<username> o cn=<username>
Incluya <username> en el filtro para usar el nombre de usuario

introducido en la pgina de inicio de sesin de la bsqueda.
Especifique un filtro que devuelva 0 1 DN de usuario por usuario; el
IVE usa el primer DN devuelto si se obtiene ms de 1 DN de resultado.
14. El IVE admite los grupos dinmicos y estticos. (Tenga en cuenta que el IVE
slo admite grupos dinmicos con servidores LDAP). Para habilitar la consulta
de grupos, debe especificar cmo el IVE realiza consultas de grupos en el
servidor LDAP. En Determining group membership, especifique:
Base DN en el que desea comenzar a buscar grupos de usuarios.
Filter si desea ajustar con mayor precisin la consulta de grupos

de usuarios.
Member Attribute para identificar a todos los miembros de un grupo

esttico. Por ejemplo:
member
uniquemember (especfico de iPlanet)
Reverse group search para comenzar la bsqueda del miembro en lugar

del grupo. Esta opcin est disponible slo para tipos de servidor de Active
Directory.
Query Attribute para especificar una consulta LDAP que devuelve los
miembros de un grupo dinmico. Por ejemplo:
memberURL
130
Nested Group Level para especificar la cantidad de niveles dentro de un

grupo para buscar el usuario. Tenga en cuenta que mientras mayor sea el
nmero, mayor ser el tiempo de la consulta; por lo tanto, se recomienda
que especifique una bsqueda de no ms de 2 niveles de profundidad.
Nested Group Search para buscar por:
Nested groups in the LDAP Server Catalog. Esta opcin es ms

rpida, ya que permite buscar dentro de los lmites implcitos del
grupo anidado.
Search all nested groups. Con esta opcin, IVE busca primero en el
catlogo de servidores. Si el IVE no encuentra una coincidencia en el
catlogo, consulta LDAP para determinar si un miembro del grupo es
un subgrupo.
NOTA: Dado que el IVE busca en el servidor de catlogos para determinar si un
miembro o un grupo principal es un objeto de usuario o un objeto de grupo, debe

agregar al catlogo de servidores tanto los grupos principales como todos los
secundarios (anidados).
15. En Bind Options, seleccione:
Simple bind para enviar las credenciales del usuario en modo transparente
(sin encriptado) a LDAP Directory Service.
StartTLS bind para encriptar las credenciales de un usuario usando el

protocolo de Seguridad de la capa de transporte (TLS) antes de que el IVE
enve los datos a LDAP Directory Service.
Si desea crear un marcador de archivo de Windows que se asigne al directorio
principal LDAP de un usuario, consulte Creacin de marcadores de Windows que
se asignan a servidores LDAP en la pgina 475.
NOTA: El IVE admite la bsqueda de referencias si est habilitado en el servidor

LDAP.
Configuracin de los atributos de bsqueda de LDAP para creadores de reuniones

Use las opciones de la ficha Meetings para especificar atributos LDAP individuales
que puede usar el creador de una reunin para buscar usuarios del IVE al programar
una reunin.
Para configurar los atributos de bsqueda de Secure Meeting:
2. Haga clic en una instancia de servidor LDAP.
3. Haga clic en la ficha Meetings.
4. En el campo User Name, introduzca el atributo de nombre de usuario para este
servidor. Por ejemplo, introduzca SamAccountName para un servidor Active
Directory o uid para un servidor iPlanet.
5. En el campo Email Address, introduzca el atributo de correo electrnico para
este servidor.
6. En el campo Display Name, Attributes, introduzca cualquier atributo LDAP
adicional cuyo contenido desee que los creadores de reuniones puedan ver
(opcional). (Por ejemplo, para ayudar al creador de la reunin a distinguir
fcilmente entre varios invitados con el mismo nombre, es posible que
desee exponer un atributo que identifique los departamentos de usuarios
individuales). Introduzca los atributos adicionales, uno por lnea usando el
formato: DisplayName,AttributeName. Puede introducir hasta 10 atributos.
Supervisin y eliminacin de sesiones de usuario activas

Para obtener ms informacin sobre la supervisin y eliminacin de sesiones
de usuario que iniciaron sesin actualmente a travs del servidor, consulte
NOTA: La consola de administracin proporciona las ltimas estadsticas de acceso
para cada cuenta de usuario en varias fichas Users de toda la consola, en un

conjunto de columnas llamadas Last Sign-in Statistic. Los informes de
estadsticas incluyen la fecha y hora del ltimo inicio de sesin exitoso de cada
usuario, la direccin IP del usuario y el tipo y versin del agente o explorador.
132
Habilitacin de la administracin de contraseas de LDAP

La caracterstica de administracin de contraseas del IVE permite que los usuarios
que se autentican mediante un servidor LDAP administren sus contraseas
mediante el IVE usando las directivas definidas en el servidor LDAP. Por ejemplo, si
un usuario intenta iniciar sesin en el IVE con una contrasea LDAP que vencer, el
IVE captura la notificacin de contrasea vencida, la presenta al usuario mediante
la interfaz del IVE y devuelve la respuesta del usuario al servidor LDAP sin solicitar
que el usuario inicie sesin en el servidor LDAP por separado.
Los usuarios, administradores y administradores de ayuda tcnica que trabajan en
entornos con contraseas que vencen, pueden considerar que la caracterstica de
administracin de contraseas es muy til. Cuando no se informa correctamente
a los usuarios de que sus contraseas vencern, pueden cambiarlas ellos mismos
mediante el IVE en lugar de llamar a Ayuda tcnica.
La caracterstica de administracin de contraseas permite que los usuarios
cambien sus contraseas cuando se les solicite o cuando lo deseen. Por ejemplo,
durante el proceso de inicio de sesin, el IVE puede informar al usuario que su
contrasea est vencida o por vencer. Si est vencida, el IVE le solicita al usuario
que cambie su contrasea. Si la contrasea no ha vencido, el IVE puede permitir
que el usuario inicie sesin en el IVE usando la contrasea existente. Despus de
haber iniciado sesin, puede cambiar su contrasea desde la pgina Preferences.
Una vez habilitada, el IVE realiza una serie de consultas para determinar la
informacin de cuentas de usuario, como cundo se configur por ltima vez la
contrasea, si la cuenta est vencida, etc. El IVE realiza esta accin usando su
cliente interno LDAP o Samba. Muchos servidores, como Microsoft Active Directory
o Sun iPlanet, ofrecen una consola de administracin para configurar las opciones
de cuentas y contraseas.
La administracin de contraseas basada en LDAP funciona slo con tres tipos de
servidores LDAP:
Microsoft Active Directory
Sun Microsystems i-Planet
Novell e-Directory
La administracin de contraseas basada en LDAP no funciona en servidores LDAP

como OpenLDAP.
El IVE aplica las directivas de contrasea leyendo sus atributos en el servidor LDAP.
Por lo tanto, para que la administracin de contraseas funcione de forma
adecuada, se deben configurar correctamente los atributos de la directiva de
contraseas en el servidor backend.
Para Active Directory, los atributos de la directiva de contraseas se pueden

configurar en el nivel de contenedor de entrada de usuario o en el nivel de
cualquier organizacin sobre el contenedor de usuario. Si estos atributos se
configuran en varios niveles, el nivel ms cercano al nodo de usuario tiene
la prioridad.
El IVE no admite las directivas de contraseas personalizadas.
La caracterstica de administracin de contraseas no es compatible con el

catlogo global de Active Directory porque los atributos de la directiva de
contraseas no estn completamente especificados en este catlogo.
El IVE depende del servidor backend para localizar con exactitud la causa del error
cuando falla una operacin de cambio de contrasea. Sin embargo, aunque los
servidores LDAP pueden informar errores de forma precisa a los operadores
humanos, no siempre lo hacen al comunicarse de forma programtica con sistemas
como el IVE. Por lo tanto, puede que ocasionalmente los errores comunicados sean
genricos o crpticos.
Esta seccin incluye los siguientes temas con informacin sobre la caracterstica de
administracin de contraseas de LDAP:
Resumen de tareas: habilitacin de la administracin de contraseas

de LDAP en la pgina 134
Directorios y servidores LDAP admitidos en la pgina 134
Funciones de administracin de contraseas de LDAP admitidas en la

pgina 136
Resumen de tareas: habilitacin de la administracin de contraseas

de LDAP
Para habilitar la administracin de contraseas mediante el IVE, debe:
1. Crear una instancia del servidor LDAP mediante la pgina Authentication >
Auth. Servers de la consola de administracin.
2. Asociar el servidor LDAP con un territorio mediante la pgina
Administrators/Users > User Realms > [Territorio] > General de la consola
de administracin.
3. Habilitar la administracin de contraseas para el territorio en la pgina
Administrators/Users > User Realms > [Territorio] > Authentication
Policy >Password de la consola de administracin. Tenga en cuenta que
la opcin Enable Password Management slo aparece si el servidor de
autenticacin del territorio es un servidor LDAP o NT/AD.
Directorios y servidores LDAP admitidos

El IVE admite la administracin de contraseas con los siguientes directorios LDAP:
134
Microsoft Active Directory/Windows NT
Sun iPlanet
Novell eDirectory
Directorios LDAP genricos, como IBM Secure Directory y OpenLDAP
Adems, el IVE admite la administracin de contraseas con los siguientes

directorios de Windows:
Microsoft Active Directory 2003
Windows NT 4.0
Las siguientes secciones indican problemas especficos relacionados con los tipos
de servidores individuales.
Los cambios en la directiva de seguridad del dominio de Active Directory

pueden demorar 5 minutos o ms en propagarse entre los controladores de
dominios de Active Directory. Adems, esta informacin no se propaga al
controlador de dominio en que se configur originalmente para el mismo
perodo de tiempo. Esta es una limitacin de Active Directory.
Al cambiar las contraseas en Active Directory mediante LDAP, el IVE cambia

automticamente a LDAPS, aunque LDAPS no est configurado como mtodo
LDAP. Para admitir LDAPS en el servidor Active Directory, debe instalar un
certificado SSL vlido en el almacn de certificados personal del servidor. Tenga
en cuenta que el certificado debe estar firmado por una CA de confianza y el
CN en el campo Subject del certificado debe contener el nombre de host exacto
del servidor Active Directory, por ejemplo: adsrv1.company.com. Para instalar el
certificado, seleccione la combinacin de certificados en la consola de
administracin de Microsoft (MMC).
La opcin Account Expires de la ficha User Account Properties slo cambia

cuando vence la cuenta, no cuando vence la contrasea. Como se explica en
Funciones de administracin de contraseas de LDAP admitidas en la
pgina 136, Microsoft Active Directory calcula el vencimiento de la contrasea
usando los valores Maximum Password Age y Password Last Set recuperados
de los objetos Directiva de usuarios y LDAP de directiva de seguridad del
dominio.
Sun iPlanet
Al seleccionar la opcin User must change password after reset en el servidor
iPlanet, tambin se debe restablecer la contrasea del usuario antes de que esta
funcin surta efecto. Esta es una limitacin de iPlanet.
General
El IVE slo muestra una advertencia sobre el vencimiento de la contrasea si sta se
programa para vencer en 14 das o menos. El IVE muestra el mensaje durante cada
intento de inicio de sesin en el IVE. El mensaje de advertencia contiene el nmero
de das, horas y minutos restantes que el usuario tiene para cambiar su contrasea
antes de que venza en el servidor. El valor predeterminado es 14 das; sin embargo,
puede cambiarlo mediante la pgina de configuracin de Administrators|Users >
Admin Realms|User Realms > Authorization > Password de la consola de
administracin.
Funciones de administracin de contraseas de LDAP admitidas

La siguiente matriz describe las funciones de administracin de contraseas
que admite Juniper Networks, sus nombres de funcin correspondientes en
los directorios LDAP individuales y cualquier detalle adicional pertinente. Estas
funciones se deben configurar con el servidor LDAP en s antes de que el IVE pueda
pasar los mensajes, funciones y restricciones correspondientes a los usuarios
finales. Al autenticar en un servidor LDAP genrico, como IBM Secure Directory,
el IVE slo admite la autenticacin y permite que los usuarios cambien sus
contraseas.
Tabla 7: Funciones de administracin de contraseas admitidas
Funcin
Active Directory
iPlanet
Novell eDirectory
Genrico
Autenticar usuario
unicodePwd
userPassword
userPassword
userPassword
Permitir que el
usuario cambie la
contrasea si est
habilitado
El servidor nos informa

de la respuesta de enlace
(usa ntSecurityDescriptor)
Si passwordChange ==
ON
Si passwordAllowChange
== TRUE
Cerrar sesin despus S

de cambiar la
contrasea
136
Forzar el cambio de
contrasea en el
siguiente inicio de
sesin
Si pwdLastSet == 0
Si passwordMustChange
== ON
Si pwdMustChange ==
TRUE
Notificacin de
contrasea vencida
userAccountControl==
0x80000
Si la respuesta de enlace
incluye OID
Compruebe el valor de
fecha/hora en
2.16.840.1.113730.3.4.4
== 0
passwordExpirationTime
Notificacin de
vencimiento de
contrasea (en X
das/horas)
si pwdLastSet - now() <

maxPwdAge - 14 das
Si la respuesta de enlace
incluye control OID
Si now() passwordExpirationTime<
14 das
2.16.840.1.113730.3.4.5
(maxPwdAge se lee desde
(El IVE muestra una
(contiene fecha/hora)
los atributos del dominio)
advertencia si es menos de
(El
IVE
muestra
una
(El IVE muestra una
advertencia si es menos de advertencia si es menos de 14 das)
14 das)
14 das)
Impedir la
autenticacin si la
"cuenta est
inhabilitada o
bloqueada"
userAccountControl==
0x2 (Inhabilitada)
accountExpires
userAccountControl ==
0x10 (Bloqueada)
lockoutTime
Cdigo de error de enlace:

53 "Cuenta desactivada"
19 "Excede el lmite de
recuperacin de
contrasea"

53 "Cuenta vencida"
53 "Bloqueo de inicio de
sesin"
Reconocer "historial
de contraseas"
El servidor lo indica en la
respuesta de enlace
respuesta de enlace
respuesta de enlace
Aplicar longitud de
contrasea mnima
Si se configura, el IVE
muestra un mensaje que
informa al usuario
minPwdLength
informa al usuario
passwordMinLength
informa al usuario
passwordMinimumLength
Tabla 7: Funciones de administracin de contraseas admitidas (continuacin)

Funcin
Active Directory
iPlanet
Impedir que el
usuario cambie las
contraseas
demasiado rpido
Si pwdLastSet - now() <

minPwdAge, entonces se
inhabilita
Si passwordMinAge > 0,
respuesta de enlace
entonces si now() es
anterior que
passwordAllowChangeTime,
entonces se inhabilita
Novell eDirectory
Reconocer
"complejidad de
contraseas"
Si pwdProperties == 0x1, El servidor lo indica en la

respuesta de enlace
entonces se habilita.
Complejidad se refiere a
que la nueva contrasea no
contenga el nombre de
usuario, el nombre o
apellido y que contenga
caracteres de 3 de las 4
siguientes categoras:
maysculas del alfabeto
ingls, minsculas del
alfabeto ingls, dgitos y
caracteres no alfabticos
(por ejemplo, !, $, %)
Genrico
respuesta de enlace
Matriz de almacenamiento de contraseas de AD/NT

La siguiente matriz describe las funciones de administracin de contraseas
admitidas por Juniper Networks.
Tabla 8: Matriz de almacenamiento de contraseas de AD/NT
Funcin
Active Directory Active Directory 2003 Windows NT
Autenticar usuario
Permitir que el usuario cambie la contrasea si est habilitado

y con licencia
Cerrar sesin despus de cambiar la contrasea
Forzar el cambio de contrasea en el siguiente inicio de sesin S
Notificacin de contrasea vencida
Cuenta inhabilitada
Cuenta vencida
Solucin de problemas de administracin de contraseas de LDAP en el IVE

Al solucionar problemas, proporcione cualquier registro pertinente del IVE, registros
de servidor, informacin de configuracin y el seguimiento de TCP del IVE. Si usa
LDAPS, cambie a la opcin de LDAP Unencrypted en la configuracin del servidor
LDAP del IVE mientras realiza seguimiento del TCP de LDAP.
Configuracin de una instancia de servidor de autenticacin local

El IVE permite crear una o ms bases de datos de usuarios locales que se
autenticaron usando el IVE. Es posible que desee crear registros de usuarios locales
para usuarios que normalmente se verifican en un servidor de autenticacin
externo que planea inhabilitar o si desea crear un grupo de usuarios temporales.
Tenga en cuenta que todas las cuentas de administrador se almacenan como
registros locales, pero puede optar por autenticar administradores mediante un
servidor externo usando las instrucciones de Definicin de directivas de
autenticacin local:
Definicin de una instancia de servidor de autenticacin local en la

pgina 138

pgina 140
Administracin de cuentas de usuario en la pgina 142
Delegacin de derechos de administracin de usuarios a usuarios finales en

la pgina 142
Definicin de una instancia de servidor de autenticacin local

Al definir una nueva instancia de servidor de autenticacin local, debe dar
un nombre nico al servidor y configurar las opciones de contrasea y su
administracin. Estas opciones de contrasea permiten controlar su longitud,
composicin de caracteres y exclusividad. Si lo desea, puede permitir que los
usuarios cambien sus contraseas y obligarlos a cambiarlas despus de un nmero
especificado de das. Tambin puede solicitar que el usuario cambie la contrasea
dentro de determinado nmero de das de su fecha de vencimiento.
Para definir una instancia de servidor de autenticacin local:
Para crear una nueva instancia de servidor en el IVE, seleccione Local

Authentication en la lista New y haga clic en New Server.

3. Especifique un nombre para identificar la nueva instancia de servidor o para

editar el nombre actual de un servidor existente.
138
4. Especifique las opciones de contrasea:

a.
En Password options, configure la longitud mnima de caracteres para las

contraseas.
b.
Configure la longitud mxima de caracteres para las contraseas

(opcional). La longitud mxima no puede ser inferior a la longitud mnima.
No existe un lmite mximo para la longitud.
NOTA:
Si la longitud mxima configurada en el servidor de autenticacin es menor

que la longitud mxima especificada en el IVE, puede recibir un error si
introduce una contrasea mayor que la especificada en el servidor de
autenticacin. La consola de administracin permite introducir contraseas
de cualquier longitud, pero el mximo del servidor de autenticacin
determina la validez de la longitud de la contrasea.
Si desea que todas las contraseas tengan la misma longitud de caracteres,

configure el mximo y el mnimo en el mismo valor.
c.
Habilite la casilla de verificacin Password must have at least_digits y

especifique el nmero de dgitos de una contrasea (opcional). No exija
ms valores que los del valor de la opcin Maximum length.
d. Habilite la casilla de verificacin Password must have at least_letters

especifique el nmero de letras de una contrasea (opcional). No exija ms
letras que las del valor de la opcin Maximum length. Si habilita la opcin
anterior, el total combinado de dos opciones no puede exceder el valor
especificado en la opcin Maximum length.
e.
Habilite la casilla de verificacin Password must have mix of UPPERCASE

and lowercase letters si desea que todas las contraseas contengan una
mezcla de letras maysculas y minsculas (opcional).
NOTA: Exija que las contraseas tengan al menos dos letras si tambin requieren
una mezcla de maysculas y minsculas.
f.
Habilite la casilla de verificacin Password must be different from

username si la contrasea no puede ser igual que el nombre de
usuario (opcional).
g.
Habilite la casilla de verificacin New passwords must be different from

previous password si la contrasea nueva no puede ser igual que la
contrasea anterior (opcional).
139
5. Especifique las opciones de administracin de contraseas:

a.
En Password management, habilite la casilla de verificacin Allow users

to change their passwords si desea que los usuarios puedan cambiar sus
contraseas (opcional).
b.
Habilite la casilla de verificacin Force password change after _ days y

especifique el nmero de das en que vence una contrasea (opcional).
NOTA: El valor predeterminado es 64 das, pero puede configurar este valor en
cualquier nmero que desee.

c.
Habilite la casilla de verificacin Prompt users to change their password _

days before current password expires y proporcione el nmero de das
antes de que el vencimiento de la contrasea le pregunte al usuario
(opcional).
NOTA: El valor predeterminado es 14 das, pero puede configurar el valor en

cualquier nmero hasta el indicado en la opcin anterior.
aparecen las fichas Users y Admin Users.
NOTA: Despus de configurar las opciones de contrasea y su administracin,
es probable que deba especificar los territorios que debe usan el servidor para
autenticar y autorizar administradores y usuarios. Use la pgina Enable Password
Management option on the Administrators|Users > Admin Realms|User
Realms > Territorio > Authentication Policy > Password para especificar si el
territorio hereda o no los ajustes de administracin de contraseas de la instancia
de servidor de autenticacin local. Para obtener ms informacin sobre la
habilitacin de administracin de contraseas, consulte Especificacin de las
restricciones de acceso para contraseas en la pgina 66.
Creacin de cuentas de usuario en un servidor local de autenticacin

Cuando cree una instancia de servidor de autenticacin local, debe definir los
registros de usuario local para esa base de datos. Un registro de usuario local consta
de un nombre de usuario, el nombre completo del usuario y la contrasea de ste.
Es posible que desee crear registros de usuarios locales para usuarios que
normalmente se verifican en un servidor de autenticacin externo que desea
inhabilitar o si desea crear rpidamente un grupo de usuarios temporales.
Para crear registros de usuarios locales para un servidor de autenticacin local:
2. Haga clic en la base de datos del IVE en la que desee agregar una cuenta
de usuario.
3. Seleccione la ficha Users y haga clic en New.
140
4. Introduzca un nombre de usuario y el nombre completo del usuario Nota:
No incluya ~~ en un nombre de usuario.
Si desea cambiar el nombre de usuario despus de crear la cuenta, deber

crear una cuenta completamente nueva.
5. Introduzca y confirme la contrasea. Asegrese de que la contrasea que

introduzca contiene las opciones de contrasea especificadas para la instancia
de servidor de autenticacin local asociada.
6. Seleccione One-time use (disable account after the next successful sign-in)
si desea limitar al usuario a un solo inicio de sesin. Despus de un inicio de
sesin correcto, el estado del inicio de sesin del usuario se configura en
Disabled y el usuario recibe un mensaje de error cuando intenta iniciar sesin
posteriormente. No obstante, puede restablecer manualmente esta opcin en la
consola de administracin para que permita que el mismo usuario inicie sesin
nuevamente. Si deja esta opcin sin marcar, quiere decir que crear un usuario
permanente.
7. Seleccione Enabled si no la ha seleccionado. Los administradores usan esta
opcin para habilitar o inhabilitar de forma selectiva a cualquier usuario (nico
o permanente). Se selecciona de forma predeterminada. Si la opcin One-time
use est marcada, esta opcin cambia a Disabled despus de que el usuario
inicia sesin correctamente. Si un usuario nico o permanente inicia sesin
y inhabilita esta opcin, se cerrar de inmediato la sesin del usuario en el
sistema y recibir un mensaje de error.
8. Seleccione Require user to change password at next sign in si desea obligar al
usuario a que cambie su contrasea en el siguiente inicio de sesin.
NOTA: Si obliga al usuario a cambiar la contrasea, tambin debe habilitar la

opcin Allow users to change their passwords. Use las opciones de la pgina
Administrators|Users > Admin Realms|User Realms > [Territorio] >
Authentication Policy > Password para especificar los territorios que deben
heredar las capacidades de administracin de contraseas del servidor.
9. Haga clic en Save Changes. El registro del usuario se agrega a la base de datos
del IVE.
NOTA: La consola de administracin proporciona las ltimas estadsticas de acceso
para cada cuenta de usuario en varias fichas Users de toda la consola, en un

conjunto de columnas llamadas Last Sign-in Statistic. Los informes de
estadsticas incluyen la fecha y hora del ltimo inicio de sesin exitoso de cada
usuario, la direccin IP del usuario y el tipo y versin del agente o explorador.
141
Administracin de cuentas de usuario

Para administrar una cuenta de usuario local:
2. Haga clic en el vnculo de servidor correspondiente en la lista
4. Realice alguna de las siguientes tareas:
Introduzca un nombre de usuario en el campo Show users named y haga

clic en Update para buscar un usuario especfico.
O bien, puede usar un asterisco (*) como comodn, donde * representa
cualquier nmero de cero o ms caracteres. Por ejemplo, si desea buscar
todos los nombres de usuario que contienen las letras jo, escriba *jo* en el
Show users named field. La bsqueda distingue maysculas de
minsculas. Para volver a mostrar la lista completa de cuentas, introduzca
un * o elimine el contenido del campo y haga clic en Update.
Introduzca un nmero en el campo Show N users y haga clic en Update

para controlar el nmero de usuarios que aparece en la pgina.
Haga clic en la casilla de verificacin que se encuentra al lado de los

usuarios individuales y haga clic en Delete para terminar sus sesiones
en el IVE.
Delegacin de derechos de administracin de usuarios a usuarios finales

Es posible crear administradores de usuarios para otorgar algunas capacidades de
administracin individuales en el IVE. Los administradores de usuarios no pueden
administrar asignaciones de territorios ni de roles. Por lo tanto, se recomienda
habilitar la caracterstica Administracin de usuarios slo si las reglas de asignacin
de roles del territorio permiten que usuarios no coincidentes (*) inicien sesin en
el IVE, de modo que el administrador de usuarios pueda agregar correctamente
nuevos usuarios sin la interferencia del administrador. (Cuando las asignaciones de
roles son automticas, el administrador de usuarios no necesita que el
administrador asigne manualmente nuevos usuarios a un rol.)
Un usuario que es administrador de usuarios puede agregar nuevos usuarios,
cambiar contraseas y eliminar usuarios existentes. Puede delegar estas
capacidades en administradores de usuarios por servidor de autenticacin local.
Por ejemplo, puede otorgar al personal administrativo la capacidad de agregar
usuarios invitados para uso temporal o nico.
142
Para delegar los derechos de administracin de usuarios a un usuario final:

2. Seleccione la instancia de servidor de autenticacin local que desea que
administre el administrador de usuarios y haga clic en la ficha Admin Users.
NOTA: Los administradores de usuarios slo pueden administrar servidores de
autenticacin local.
3. Introduzca el Username del usuario que desea que administre las cuentas del
servidor de autenticacin seleccionado. No es necesario agregar a este usuario
como usuario local en el servidor.
NOTA: Tenga cuidado al introducir el nombre de usuario del administrador de
usuarios; debe ser idntico.
4. Seleccione el Authentication Realm que el administrador de usuarios asigna

cuando inicia sesin en el IVE.
5. Haga clic en Add. El IVE agrega al nuevo administrador de usuarios a la lista
User Admins usando el formato: username@servername.
6. Si el administrador de usuarios especificado se asigna a varios territorios, repita
opcionalmente los pasos del 3 al 5 para cada territorio, de modo que el usuario
administrador pueda administrar el servidor independientemente de la cuenta
que use para iniciar sesin en el IVE.
7. Para revocar los derechos de administracin del usuario, seleccione el nombre
de la lista User Admins y haga clic en Remove.
NOTA: Para obtener informacin sobre la administracin de usuarios en la pgina

principal de puerta de enlace segura, consulte el tema Adding and Modifying
Users en la ayuda para el usuario final, que se encuentra disponible al iniciar
sesin en el IVE como usuario final.
143
Configuracin de una instancia de servidor NIS

Al autenticar usuarios con un servidor UNIX/NIS, el IVE verifica que el nombre
de usuario y la contrasea introducidos mediante la pgina de inicio de sesin
correspondan con un ID de usuario y contraseas vlidos en el servidor NIS.
Tenga en cuenta que el nombre de usuario enviado al IVE no puede contener
dos smbolos de tilde consecutivos (~~).
NOTA: Slo puede usar la autenticacin NIS con el IVE si sus contraseas se
almacenan en el servidor NIS usando los formatos Crypt o MD5. Tenga asimismo
en cuenta que slo puede agregar una configuracin de servidor NIS al IVE, pero
puede usarla para autenticar cualquier nmero de territorios.
Para definir una instancia de servidor NIS:

Para crear una nueva instancia de servidor en el IVE, seleccione NIS Server
en la lista New y haga clic en New Server.


4. Especifique el nombre o direccin IP del servidor NIS.
5. Especifique el nombre de dominio del servidor NIS.
144
Configuracin de una instancia de servidor NIS
Configuracin de una instancia de servidor de RADIUS

Un servidor de servicio de autenticacin remota de usuarios de acceso telefnico
Remote Authentication Dial-In User Service (RADIUS) es un tipo de servidor que
permite centralizar la autenticacin y contabilidad de usuarios remotos. Al usar un
servidor RADIUS para autenticar usuarios del IVE, debe configurarlo para que
reconozca al IVE como un cliente y especificar un secreto compartido que use el
servidor RADIUS para autenticar una solicitud de cliente.
El IVE admite los esquemas de autenticacin RADIUS estndar, incluyendo:
Access-Request
Access-Accept
Access-Reject
Access-Challenge
El IVE Tambin admite RSA ACE/Server usando el protocolo RADIUS y un token de

SecurID (disponible en Security Dynamics). Si usa SecurID para autenticar usuarios,
los usuarios deben proporcionar su ID y una concatenacin de un PIN y el valor
de token.
Al definir un servidor RADIUS, el IVE otorga a los administradores la capacidad
de usar expresiones de desafo en cdigo fuente (predeterminado) que admiten
Defender 4.0 y algunas implementaciones de servidor RADIUS (como Steel-Belted
RADIUS y RSA RADIUS) o para introducir expresiones de desafo personalizadas
que permitan que el IVE funcione con distintas implementaciones RADIUS y nuevas
versiones del servidor RADIUS, como Defender 5.0. El IVE busca la respuesta en el
paquete Access-Challenge del servidor y enva al usuario el correspondiente desafo
Siguiente token, Nuevo PIN o Cdigo genrico.
Este tema contiene la siguiente informacin sobre el servidor RADIUS:
Experiencia de los usuarios de RADIUS en la pgina 146
Configuracin del IVE para trabajar con el servidor backend RADIUS en la

pgina 147
Habilitacin de la contabilidad RADIUS en la pgina 151
145
Experiencia de los usuarios de RADIUS

La experiencia del usuario vara dependiendo de si usa un servidor RADIUS como
Steel-Belted RADIUS, PassGo Defender RADIUS o la autenticacin CASQUE.
Uso de un servidor PassGo Defender RADIUS

Si usa un servidor PassGo Defender RADIUS, el proceso de inicio de sesin del
usuario es:
1. El usuario inicia sesin en el IVE con un nombre de usuario y una contrasea.
El IVE reenva estas credenciales a Defender.
2. Defender enva una cadena de desafo nica al IVE y el IVE la muestra
al usuario.
3. El usuario introduce la cadena de desafo en un token de Defender y ste
genera una cadena de respuesta.
4. El usuario introduce la cadena de respuesta en el IVE y hace clic en Sign In.
Uso de la autenticacin CASQUE

La autenticacin CASQUE usa un mecanismo de autenticacin de desafo/respuesta
basado en token que emplea un reproductor CASQUE instalado en el sistema
cliente. Una vez configurado con la autenticacin CASQUE, el servidor RADIUS
emite un desafo con una respuesta que coincide con la expresin de desafo
personalizada (:([0-9a-zA-Z/+=]+):). El IVE genera una pgina intermedia que inicia
automticamente el reproductor CASQUE instalado en el sistema del usuario.
NOTA: Si el reproductor CASQUE no se inicia automticamente, haga clic en el
vnculo Launch CASQUE Player.
Los usuarios deben usar sus token de respondedor ptico CASQUE para generar el
cdigo de paso correspondiente, introducirlo en el campo Response y hacer clic en
Sign In.
Figura 23: Pgina CASQUE Authentication Challenge/Response con reproductor
CASQUE
146
Configuracin del IVE para trabajar con el servidor backend RADIUS

Esta seccin incluye las siguientes instrucciones para configurar el IVE y el servidor
RADIUS para que funcionen en conjunto:
Definicin de una instancia de servidor RADIUS del IVE en la pgina 147
Configuracin del servidor RADIUS para reconocer el IVE en la pgina 150
Definicin de una instancia de servidor RADIUS del IVE

Para configurar una conexin con el servidor RADIUS en el IVE:
Para crear una nueva instancia de servidor en el IVE, seleccione Radius

Server en la lista Newy haga clic en New Server.

3. En la parte superior de la pgina Radius Server, especifique un nombre para

identificar la instancia de servidor.
4. En el campo NAS-Identifier, introduzca el nombre que identifica al cliente del
servidor de acceso de red (NAS) del IVE que se comunica con el servidor
RADIUS. Si deja este campo vaco, el IVE usa el valor especificado en el campo
Hostname de la pgina System > Network > Overview de la consola de
administracin. Si no se especifica un valor en el campo Hostname, el IVE usa
el valor Juniper IVE.
5. Especifique el nombre o direccin IP en el cuadro de texto del servidor
RADIUS.
6. Introduzca el valor del puerto de autenticacin para el servidor RADIUS. Por lo
general, este puerto es el 1812, pero algunos servidores heredados podran usar
el 1645.
7. Introduzca una cadena para el secreto compartido. Tambin debe introducir
esta cadena al configurar el servidor RADIUS para que reconozca el equipo IVE
como un cliente.
8. Introduzca el valor del puerto de contabilidad para el servidor RADIUS. Por lo
general, este puerto es el 1813, pero algunos servidores heredados podran usar
el 1646.
9. Introduzca la direccin IP de NAS. Esto permite controlar el valor de direccin
IP de NAS aprobado para solicitudes RADIUS. Si deja esta campo vaco, la
direccin IP interna del IVE se aprobar para las solicitudes de RADIUS. Si
configura la direccin IP de NAS, se aprobar el valor, independientemente del
nodo de clster que enva la solicitud.
10. Introduzca el intervalo de tiempo que el IVE espera una respuesta del servidor
RADIUS antes del vencimiento de la conexin.
147
11. Introduzca el nmero de veces que el IVE intentar establecer una conexin
despus del primer intento fallido.
12. Seleccione la casilla de verificacin Users authenticate using tokens or
one-time passwords si no desea enviar la contrasea introducida por el
usuario a otras aplicaciones habilitadas para SSO. Por lo general, esta opcin se
selecciona si el usuario enva las contraseas de uso nico al IVE. Para obtener
ms informacin, consulte Informacin general de credenciales de inicios de
sesin mltiples en la pgina 226.
13. En la seccin Backup Server, introduzca un servidor RADIUS secundario para
que el IVE lo use si el servidor principal (definido en esta instancia) no se
encuentra disponible. Para el servidor secundario, introduzca el servidor:
a.
Nombre o direccin IP
b.
Puerto de autenticacin
c.
Secreto compartido
d. Puerto de contabilidad
14. Si desea realizar seguimiento de la actividad del usuario del IVE mediante esta
instancia del servidor RADIUS, introduzca la siguiente informacin en la
seccin Radius Accounting:
a.
En el campo User-Name, especifique la informacin del usuario que

el IVE debe enviar al servidor de contabilidad RADIUS. Puede introducir
cualquiera de las variables de sesin aplicables descritas en Variables del
sistema y ejemplos en la pgina 1046. Las variables aplicables incluyen
aquellas se configuran despus de que el usuario inicia sesin y asigna un
rol. Las variables predeterminadas de este campo son:
<username> registra el nombre de usuario del IVE del usuario en el
servidor de contabilidad.
<REALM> registra el territorio del IVE del usuario en el servidor de
contabilidad.
b.
148
<ROLE> registra el rol del IVE del usuario en el servidor de

contabilidad. Si se asigna al usuario a ms de un rol, el IVE usa comas
para separarlos.
Agregue un Interim Update Level (en minutos). El nivel de actualizacin

provisional le permite lograr una facturacin ms precisa para clientes de
sesin en vivo prolongada y en caso de un error en la red. Para obtener
ms informacin, consulte Comprensin de la caracterstica de
actualizacin provisional en la pgina 160.
15. Seleccione la casilla de verificacin Use NC assigned IP Address for FRAMEDIP-ADDRESS attribute value in Radius Accounting para usar la direccin IP
devuelta del IVE para el atributo Framed-IP-Address.
Se graban dos direcciones IP: una antes de la autenticacin con el IVE y otra
devuelta por Network Connect despus de la autenticacin. Seleccione esta
opcin para usar la direccin IP de Network Connect para el atributo FramedIP-Address en lugar de la direccin IP autenticada previamente (original).
16. (opcional) Haga clic en New Radius Rule para agregar una regla de desafo
personalizado que determine la accin que se debe tomar para un paquete
entrante.
Cuando un usuario introduce su nombre de usuario y contrasea, la solicitud de
autorizacin inicial se enva al servidor. El servidor puede responder con un
paquete de desafo o de rechazo. En la ventana Add Custom Radius Challenge
Rule, seleccione el tipo de paquete (desafo o rechazo) y especifique la accin
que se debe tomar. Por ejemplo, puede mostrar una pgina de inicio de sesin
con un mensaje de error especfico para el usuario o enviar automticamente
un paquete ACCESS-REQUEST de vuelta al servidor.
Para crear una regla de desafo personalizado:
a.
Seleccione el tipo de paquete entrante:
Access Challenge: enviado por el servidor RADIUS solicitando ms

informacin para permitir el acceso
Access Reject: enviado por el servidor RADIUS que rechaza el acceso
b.
Especifique una expresin para evaluar, segn el atributo de Radius y haga

clic en Add. Si especifica ms de una expresin, las expresiones se unen
con AND en conjunto: Para eliminar una expresin, haga clic en el icono
de eliminacin junto a la expresin.
c.
Elija la accin que debe tomar, seleccionando uno de los siguientes botones
de radio:
show NEW PIN page: El usuario debe introducir un nuevo PIN para
su token
show NEXT TOKEN page: El usuario debe introducir el siguiente

cdigo de token
show GENERIC LOGIN page: Muestra una pgina adicional al

usuario en respuesta a un desafo de acceso enviado por el servidor.
En ocasiones, un servidor RADIUS devuelve un paquete de desafo
y requiere que el usuario introduzca informacin adicional para
continuar el proceso de inicio de sesin. Por ejemplo, un servidor
recibe el nombre de usuario y contrasea iniciales y enva un mensaje
SMS al telfono mvil del usuario con una contrasea nica (OTP).
El usuario introduce la OPT en la pgina de inicio de sesin genrica.
149
show user login page with error: Muestra la pgina de inicio de sesin
estndar con un mensaje de error incrustado. Esta opcin permite
pasar por alto la cadena de mensaje estndar enviada por el IVE y
muestra un mensaje de error personalizado al usuario. Introduzca el
mensaje personalizado en el cuadro de texto Error Message. No existe
un lmite mximo de caracteres para este mensaje.
send ACCESS REQUEST with additional attributes: Enva una

ACCESS-REQUEST con el par de atributo/valor especificado. Seleccione
un atributo, introduzca su valor y haga clic en Add. Para eliminar un
atributo, haga clic en el icono junto al par de atributo/valor.
d. Haga clic en Save Changes para guardar las modificaciones y luego en

Close para cerrar esta ventana.
Las reglas personalizadas aparecen en la tabla bajo la seccin Custom
Radius Authentication Rule. Para eliminar una regla, seleccione la casilla
de verificacin junto a la regla y haga clic en Delete.
18. Especifique los territorios que debe usar el servidor para autenticar,
autorizar u otorgar cuentas a los administradores y usuarios. Para obtener
ms informacin, consulte Definicin de directivas de autenticacin en la
pgina 198.
sesiones de usuario de este servidor que iniciaron sesin actualmente, consulte
Configuracin del servidor RADIUS para reconocer el IVE

Debe configurar el servidor RADIUS para que reconozca el IVE especificando:
150
El nombre de host otorgado al IVE.
La direccin IP de red del IVE.
El tipo de cliente del IVE, si corresponde. Si esta opcin est disponible,

seleccione el servidor de transaccin nico o su equivalente.
El tipo de encriptacin para usar en la autenticacin de la comunicacin con

el cliente. Esta opcin debe corresponder con el tipo de cliente.
El secreto compartido introducido en la consola de administracin para el

servidor RADIUS en la pgina Authentication > Auth. Servers > Radius
Server.
Habilitacin de la contabilidad RADIUS

Puede configurar el IVE para enviar mensajes de inicio y detencin de sesin a
un servidor de contabilidad RADIUS. El IVE reconoce dos categoras de sesiones:
sesiones del usuario y subsesiones. Una sesin de usuario puede contener varias
subsesiones. El IVE reconoce los siguientes tipos de subsesiones:
JSAM
WSAM
Network Connect
El IVE enva un mensaje de inicio de sesin cuando el usuario inicia sesin de

forma satisfactoria y el IVE le asigna un rol. El IVE enva un mensaje de inicio de
subsesin cuando sta se activa; por ejemplo, despus de iniciar JSAM. El IVE enva
un mensaje de detencin de subsesin cuando hay una solicitud explcita del
usuario para terminar una subsesin o si el usuario termina la sesin de usuario.
Siempre que una sesin de usuario termina, el IVE enva un mensaje de detencin
de sesin de usuario al servidor de contabilidad. Una sesin de usuario termina
siempre que el usuario:
Cierra sesin manualmente en el IVE
Se acaba el tiempo del IVE debido a inactividad o por exceder la longitud

mxima de sesin
Se deniega el acceso debido a las restricciones a nivel de rol de Host Checker o

Cache Cleaner
Un administrador fuerza el cierre de sesin del IVE o debido a una evaluacin

de directiva dinmica
El IVE tambin enva mensajes de detencin para todas las subsesiones activas. Los
mensajes de detencin para las subsesiones preceden a los mensajes de detencin
para la sesin de usuario.
.
NOTA: Si los usuarios inician sesin en un clster del IVE, los mensajes de
contabilidad de RADIUS pueden mostrar a los usuarios que inician sesin en
un nodo y cierran sesin en otro.
151
Las siguientes tres tablas describen los atributos que son comunes para los
mensajes de inicio y detencin, atributos que son exclusivos para iniciar mensajes
y atributos que son exclusivos para detenerlos.
Tabla 9: Atributos comunes para mensajes de inicio y detencin
Atributo
Descripcin
User-Name (1)
Cadena que el administrador del IVE especifica durante la

configuracin del servidor RADIUS.
NAS-IP-Address (4)
Direccin IP del IVE.
NAS-Port (5)
El IVE configura este atributo en 0 si el usuario inici sesin usando

un puerto interno o en 1 si fue un puerto externo.
Framed-IP-Address (8)
Direccin IP de origen del usuario.
NAS-Identifier (32)
Nombre configurado para el cliente del IVE bajo la configuracin

del servidor RADIUS.
Acct-Status-Type (40)
El IVE configura este atributo en 1 para un mensaje de inicio o en 2

para un mensaje de detencin en una sesin de usuario o en una
subsesin.
Acct-Session-Id (44)
ID de contabilidad nico que coincide con los mensajes de inicio

y detencin correspondientes a una sesin de usuario o a una
subsesin.
Acct-Multi-Session-Id (50)
ID de contabilidad nico que puede usar para vincular varias

sesiones relacionadas. Cada sesin vinculada debe tener un
Acct-Session-Id nico y el mismo Acct-Multi-Session-Id.
Acct-Link-Count (51)
El recuento de vnculos en una sesin de varios vnculos en el

momento en que el IVE genera el registro de contabilidad.
Tabla 10: Atributos de inicio

Atributo
Descripcin
Acct-Authentic (45)
El IVE configura este atributo en:

RADIUS: si el usuario se autentica en un servidor RADIUS.
Local: si el usuario se autentica en un servidor de autenticacin
local.
Remote: para todo lo dems.
Tabla 11: Atributos de detencin

Atributo
Descripcin
Acct-Session-Time (46)
Duracin de la sesin del usuario o de la subsesin.
Acct-Terminate-Cause (49)
El IVE usa uno de los siguientes valores para especificar el evento

que provoc el trmino de una sesin de usuario o de una
subsesin:
User Request (1): el usuario cierra sesin manualmente.
Idle Timeout (4): tiempo de espera por inactividad del usuario.
Session Timeout (5): tiempo de espera de sesin mximo del
usuario.
Admin Reset (6): se fuerza la salida del usuario de la pgina
Active Users.
152
Tabla 11: Atributos de detencin (continuacin)

Atributo
Descripcin
Acct-Input-Octets
Recuento basado en octetos del nivel de sesin de JSAM/WSAM/NC

cuando se termin la sesin y del nivel de sesin del usuario
cuando la sesin termin y lleg la hora de la actualizacin
provisional. Del IVE al cliente.
Acct-Output-Octets
Recuento basado en octetos del nivel de sesin de JSAM/WSAM/NC

cuando se termin la sesin y del nivel de sesin del usuario
cuando la sesin termin y lleg la hora de la actualizacin
provisional. Del cliente al IVE.
Para distinguir entre una sesin de usuario y las subsesiones que contiene, examine
Acct-Session-Id y Acct-Multi-Session-Id. En una sesin de usuario, los dos atributos
son iguales. En una subsesin, Acct-Multi-Session-Id es la misma que la sesin de
usuario principal, y el IVE indica la subsesin usando uno de los siguientes sufijos
en Acct-Session-Id:
JSAM para sesiones JSAM
WSAM para sesiones WSAM
NC para sesiones Network Connect
Atributos de RADIUS admitidos

Los siguientes atributos de RADIUS se admiten en la asignacin de roles de
RADIUS. Para obtener ms informacin, consulte las descripciones completas
(de las que derivaron estas descripciones) en el sitio Web de FreeRADIUS en
http://www.freeradius.org/rfc/attributes.html.
Tabla 12: Atributos de asignacin de roles de RADIUS
Atributo
Descripcin
ARAP-Challenge-Response
Enviado en un paquete Access-Accept con FramedProtocol de ARAP, e incluye la respuesta al desafo de

acceso telefnico del cliente.
ARAP-Features
Enviado en un paquete Access-Accept con FramedProtocol de ARAP. Incluye informacin de la

contrasea que el NAS debe enviar al usuario en un
paquete de marcadores de caractersticas de ARAP.
ARAP-Password
Enviado en un paquete Access-Request que contiene

Framed- Protocol de ARAP. Slo se debe incluir una
User-Password, CHAP-Password o ARAP-Password en
Access-Request, o uno o ms EAP-Messages.
ARAP-Security
Identifica el mdulo de seguridad de ARAP que se

usar en un paquete Access-Challenge.
ARAP-Security-Data
Contiene un desafo o respuesta del mdulo de

seguridad, y se encuentra en los paquetes AccessChallenge y Access-Request.
ARAP-Zone-Access
Indica cmo usar la lista de zonas de ARAP para

el usuario.
Access-Accept
Proporciona informacin de configuracin especfica

necesaria para iniciar la entrega del servicio al usuario.
153
Tabla 12: Atributos de asignacin de roles de RADIUS (continuacin)
154
Atributo
Descripcin
Access-Challenge
Para enviar al usuario una solicitud que requiera una

respuesta, el servidor RADIUS debe responder a
Access-Request transmitiendo un paquete con el
campo Code configurado en 11 (Access-Challenge).
Access-Reject
Si cualquier valor de los atributos recibidos no es

aceptable, entonces el servidor RADIUS debe
transmitir un paquete con el campo Code configurado
en 3 (Access-Reject).
Access-Request
Destaca informacin que especifica el acceso de

usuario a un NAS especfico y cualquier servicio
solicitado para ese usuario.
Accounting-Request
Destaca informacin usada para proporcionar

contabilidad para un servicio prestado al usuario.
Accounting-Response
Reconoce que Accounting-Request se ha recibido

y grabado correctamente.
Acct-Authentic
Indica cmo se autentic al usuario, ya sea mediante

RADIUS, NAS en s u otro protocolo de autenticacin
remota.
Acct-Delay-Time
Indica la cantidad de segundos que el cliente ha

intentado enviar este registro.
Acct-Input-Gigawords
Indica la cantidad de veces que el contador Acct-InputOctets se ha ajustado a 2^32 durante el transcurso de
la prestacin de este servicio.
Acct-Input-Octets
Indica la cantidad de octetos que se han recibido

desde el puerto durante la sesin actual.
Acct-Input-Packets
Indica la cantidad de paquetes que se han recibido

desde el puerto durante la sesin proporcionada a un
usuario enmarcado.
Acct-Interim-Interval
Indica el nmero de segundos entre cada actualizacin

provisional en segundos para esta sesin especfica.
Acct-Link-Count
El recuento de vnculos conocidos que han estado

en una determinada sesin de varios vnculos en el
momento en que se genera del registro de
contabilidad.
Acct-Multi-Session-Id
ID de contabilidad nico para facilitar la vinculacin

junto con sesiones mltiples relacionadas en un
archivo de registro.
Acct-Output-Gigawords
Indica la cantidad de veces que el contador AcctOutput-Octets se ha ajustado en 2^32 durante la

sesin actual.
Acct-Output-Octets
Indica la cantidad de octetos que se han enviado

al puerto durante esta sesin.
Acct-Output-Packets
Indica la cantidad de paquetes que se han enviado al

puerto durante esta sesin a un usuario enmarcado.
Acct-Session-Id
ID de contabilidad nico para facilitar la coincidencia

de los registros de inicio y detencin en un archivo
de registro.
Acct-Session-Time
Indica la cantidad de segundos que el usuario ha

recibido el servicio.

Atributo
Descripcin
Acct-Status-Type
Indica si esta Accounting-Request marca el inicio del

servicio del usuario (Inicio) o el trmino (Detencin).
Acct-Terminate-Cause
Indica cmo se termin la sesin.
Acct-Tunnel-Connection
Indica el identificador asignado a la sesin de tnel.
Acct-Tunnel-Packets-Lost
Indica el nmero de paquetes perdidos en un vnculo

determinado.
CHAP-Challenge
Contiene el CHAP Challenge enviado por el NAS al

usuario del protocolo de autenticacin de
establecimiento de conexin por desafo (CHAP) PPP.
CHAP-Password
El valor de respuesta proporcionado por un usuario

del protocolo de autenticacin de establecimiento
de conexin por desafo (CHAP) PPP en respuesta
al desafo.
Callback-Id
El nombre de la ubicacin a la que se llamar, para ser

interpretada por NAS.
Callback-Number
La cadena de marcacin que se usar para

retrollamada.
Called-Station-Id
Permite que el NAS enve el nmero de telfono al que

llam el usuario, usando la identificacin del nmero
marcado (DNIS) o una tecnologa similar.
Calling-Station-Id
Permite que el NAS enve el nmero de telfono del

que provino la llamada, usando la identificacin
automtica del nmero (ANI) o una tecnologa similar.
Class
Enviado por el servidor al cliente en Access-Accept

y luego enviado sin modificaciones por el cliente al
servidor de contabilidad como parte del paquete
Accounting-Request, si se admite la contabilidad.
Configuration-Token
Para uso en grandes redes de autenticacin distribuida

basadas en proxy.
Connect-Info
Enviado desde NAS para indicar la naturaleza de la

conexin del usuario.
EAP-Message
Encapsula los paquetes del protocolo de acceso

extendido [3] para permitir que NAS autentique a los
usuarios de marcado telefnico mediante EAP sin
tener que comprender el protocolo EAP.
Filter-Id
El nombre de la lista del filtro para este usuario.
Framed-AppleTalk-Link
El nmero de red de AppleTalk usado para el vnculo

serie con el usuario, que es otro enrutador AppleTalk.
Framed-AppleTalk-Network
El nmero de red de AppleTalk en que NAS puede

investigar la asignacin a un nodo de AppleTalk para
el usuario.
Framed-AppleTalk-Zone
La zona predeterminada de AppleTalk que se usar

para este usuario.
Framed-Compression
Un protocolo de compresin que se usar para el

vnculo.
Framed-IP-Address
La direccin que se configurar para el usuario.
Framed-IP-Netmask
La submscara IP que se configurar para el usuario

cuando sea un enrutador en una red.
155
156
Atributo
Descripcin
Framed-IPv6-Pool
Contiene el nombre de un grupo asignado utilizado

para asignar un prefijo IPv6 para el usuario.
Framed-IPv6-Route
Informacin de enrutamiento que se configurar para

el usuario en NAS.
Framed-IPX-Network
El nmero de red IPX que se configurar para

el usuario.
Framed-MTU
La unidad de transmisin mxima que se configurar

para el usuario, cuando no la negocia por otros medios
(como PPP).
Framed-Pool
El nombre de un grupo de direccin asignado utilizado

para asignar una direccin para el usuario.
Framed-Protocol
El marco que se usar para el acceso enmarcado.
Framed-Route
Informacin de enrutamiento que se configurar para

el usuario en NAS.
Framed-Routing
El mtodo de enrutamiento para el usuario, cuando

ste es un enrutador en una red.
Idle-Timeout
Configura el nmero mximo de segundos

consecutivos de conexin inactiva permitida para el
usuario antes del trmino de la sesin o mensaje.
Keep-Alives
Use SNMP en lugar de keep-alives.
Login-IP-Host
Indica el sistema al que se conectar el usuario,

cuando se incluye el atributo Login-Service.
Login-LAT-Group
Contiene una cadena que identifica los cdigos

del grupo LAT que este usuario tiene autorizacin
para usar.
Login-LAT-Node
Indica el nodo con que el usuario se conectar

automticamente mediante LAT.
Login-LAT-Port
Indica el puerto con que el usuario se conectar

mediante LAT.
Login-LAT-Service
Indica el sistema con que el usuario se conectar

mediante LAT.
Login-Service
Indica el servicio que se usar para conectar al usuario

al host de inicio de sesin.
Login-TCP-Port
Indica el puerto TCP con que se conectar el usuario,

cuando tambin est presente el atributo LoginService.
MS-ARAP-Challenge
Slo presente en un paquete Access-Request que

contiene un atributo Framed-Protocol con el valor 3
(ARAP).
MS-ARAP-Password-Change-Reason
Indica la razn para el cambio de contrasea iniciada

por el servidor.
MS-Acct-Auth-Type
Representa el mtodo usado para autenticar al usuario

de acceso telefnico.
MS-Acct-EAP-Type
Representa el tipo de protocolo de autenticacin

extensible (EAP) [15] usado para autenticar al usuario
de acceso telefnico.

Atributo
Descripcin
MS-BAP-Usage
Describe si se permite, inhabilita o requiere el uso

de BAP en llamadas nuevas con varios enlaces.
MS-CHAP-CPW-1
Permite que el usuario cambie la contrasea si

ha vencido.
MS-CHAP-CPW-2

ha vencido.
MS-CHAP-Challenge
Contiene el desafo enviado por NAS al usuario del

protocolo de autenticacin de establecimiento de
conexin por desafo de Microsoft (MS-CHAP).
MS-CHAP-Domain
Indica el dominio de Windows NT en que se autentic

el usuario.
MS-CHAP-Error
Contiene los datos de error relacionados con el

intercambio MS-CHAP anterior.
MS-CHAP-LM-Enc-PW
Contiene la contrasea de Windows NT encriptada

con el hash de contrasea anterior de LAN Manager.
MS-CHAP-MPPE-Keys
Contiene dos claves de sesin para uso con el

protocolo de encriptacin punto a punto de
Microsoft (MPPE).
MS-CHAP-NT-Enc-PW
Contiene la nueva contrasea de Windows NT

encriptada con el hash de contrasea anterior de
Windows NT.
MS-CHAP-Response
Contiene el valor de respuesta proporcionado por

el usuario del protocolo de autenticacin de
establecimiento de conexin por desafo (MS-CHAP)
PPP en respuesta al desafo.
MS-CHAP2-CPW

ha vencido.
MS-CHAP2-Response
Contiene el valor de respuesta proporcionado por un

interlocutor MS- CHAP-V2 en respuesta al desafo.
MS-CHAP2-Success
Contiene una cadena de respuesta del autenticador de

42 octetos.
MS-Filter
Se usa para transmitir filtros de trfico.
MS-Link-Drop-Time-Limit
Indica el tiempo (en segundos) que un vnculo debe

subutilizarse antes de desecharse.
MS-Link-Utilization-Threshold
Representa el porcentaje de utilizacin de banda

ancha disponible en que debe clasificarse el vnculo
antes de que est listo para su trmino.
MS-MPPE-Encryption-Policy
Significa si se permite o requiere el uso de la

encriptacin.
MS-MPPE-Encryption-Types
Significa los tipos de encriptacin disponible para uso

con MPPE.
MS-MPPE-Recv-Key
Contiene una clave de sesin para uso con el protocolo

de encriptacin punto a punto de Microsoft (MPPE).
MS-MPPE-Send-Key
Contiene una clave de sesin para uso con el protocolo

de encriptacin punto a punto de Microsoft (MPPE).
MS-New-ARAP-Password
Transmite la nueva contrasea de ARAP durante una

operacin de cambio de contrasea de ARAP.
157
158
Atributo
Descripcin
MS-Old-ARAP-Password
Transmite la contrasea de ARAP antigua durante una

operacin de cambio de contrasea de ARAP.
MS-Primary-DNS-Server
Indica la direccin del servidor de nombre de dominio

(DNS) principal [16, 17] que usar el interlocutor PPP.
MS-Primary-NBNS-Server
Indica la direccin del servidor de nombre NetBIOS

(NBNS) principal [18] que usar el interlocutor PPP.
MS-RAS-Vendor
Indica el fabricante del equipo cliente RADIUS.
MS-RAS-Version
Indica la versin del software cliente RADIUS.
MS-Secondary-DNS-Server
Indica la direccin del servidor DNS secundario que

usar el interlocutor PPP.
MS-Secondary-NBNS-Server
Indica la direccin del servidor DNS secundario que

usar el interlocutor PPP.
NAS-IP-Address
Indica la direccin IP de identificacin de NAS que

solicita autenticacin del usuario, que debe ser nica
para NAS dentro del alcance del servidor RADIUS.
NAS-Identifier
Contiene una cadena que identifica el NAS que origina

Access-Request.
NAS-Port
Indica el nmero de puerto fsico del NAS que est

autenticando al usuario.
NAS-Port-Id
Contiene una cadena de texto que identifica el puerto

del NAS que est autenticando al usuario.
NAS-Port-Type
Indica el tipo de puerto fsico del NAS que est

autenticando al usuario.
Password-Retry
Indica la cantidad de intentos de autenticacin que

tiene permitido un usuario antes de desconectarse.
Port-Limit
Configura el nmero mximo de puertos que NAS

proporcionar al usuario.
Prompt
Indica a NAS si debe mostrar en pantalla o no la

respuesta del usuario a medida que la introduce.
Proxy-State
Un servidor proxy puede enviar este atributo a otro

servidor al reenviar Access-Request. Este atributo se
debe devolver sin modificar en Access-Accept,
Access-Reject o Access-Challenge.
Reply-Message
El texto que se puede mostrar al usuario.
Service-Type
El tipo de servicio que el usuario ha solicitado o el tipo

de servicio que se le proporciona.
Session-Timeout
Configura el nmero mximo de segundos de servicio

que se proporcionarn al usuario antes del trmino de
la sesin o mensaje.
State
Un paquete debe tener slo cero o un atributo Select.

El uso del atributo State depende de la
implementacin.
Telephone-number
El uso de los atributos de RADIUS Calling-Station-Id

y Called-Station-Id, la autorizacin y los atributos de
tnel posteriores se pueden basar en el nmero de
telfono que origina la llamada o el nmero al que
se llama.

Atributo
Descripcin
Termination-Action
La accin de NAS debe realizarse cuando se completa

el servicio especificado.
Tunnel-Assignment-ID
Indica al iniciador de tnel el tnel en particular al que

se asignar una sesin.
Tunnel-Client-Auth-ID
Especifica el nombre usado por el iniciador de tnel

durante la fase de autenticacin del establecimiento
del tnel.
Tunnel-Client-Endpoint
Contiene la direccin del trmino del iniciador

del tnel.
Tunnel-Link-Reject
Marca el rechazo del establecimiento de un nuevo

vnculo en un tnel existente.
Tunnel-Link-Start
Marca la creacin de un vnculo de tnel.
Tunnel-Link-Stop
Marca la destruccin de un vnculo de tnel.
Tunnel-Medium-Type
El medio de transporte para usar al crear un tnel para

esos protocolos (como L2TP) que pueden operar en
varios transportes.
Tunnel-Medium-Type
El medio de transporte para usar al crear un tnel para

esos protocolos (como L2TP) que pueden operar en
varios transportes.
Tunnel-Password
Una contrasea que se usar para autenticarse en un

servidor remoto.
Tunnel-Preference
Si el servidor RADIUS devuelve ms de un conjunto de

atributos de encapsulamiento en el iniciador de tnel,
debe incluir este atributo en cada conjunto para
indicar la preferencia relativa asignada a cada tnel.
Tunnel-Private-Group-ID
El ID de grupo para una sesin encapsulada en

particular.
Tunnel-Reject
Marca el rechazo del establecimiento de un tnel con

otro nodo.
Tunnel-Server-Auth-ID
Especifica el nombre usado por el terminador de tnel

durante la fase de autenticacin del establecimiento
del tnel.
Tunnel-Server-Endpoint
La direccin del trmino de servidor del tnel.
Tunnel-Start
Marca el establecimiento de un tnel con otro nodo.
Tunnel-Stop
Marca la destruccin de un tnel hacia o desde otro

nodo.
Tunnel-Type
Los protocolos de encapsulamiento que se usarn

(en caso de un iniciador de tnel) o el protocolo de
encapsulamiento en uso (en caso de un terminador
de tnel).
User-Name
El nombre del usuario que se autenticar.
User-Password
La contrasea del usuario que se autenticar o los

comentarios de ste posteriores a Access-Challenge.
159
Comprensin de los problemas de los clsteres

Cada nodo de clster sin consolidacin enva mensajes de contabilidad al servidor
RADIUS. La contabilidad de RADIUS en el IVE presupone lo siguiente:
Si el clster es activo/pasivo, todos los usuarios se conectan a un nodo a la vez.
Si el clster es activo/activo y no usa un equilibrador, los usuarios se conectan a

nodos diferentes, pero son estticos.
Si el clster es activo/activo y usa un equilibrador, ste normalmente obliga una

IP de origen persistente. En este caso, los usuarios siempre se conectan al
mismo nodo.
El IVE no admite el equilibrio de la carga para RADIUS.
Comprensin de la caracterstica de actualizacin provisional

Si desea que un servidor reciba mensajes de contabilidad provisionales, puede
configurar de manera esttica un valor provisional en el cliente, en cuyo caso,
el valor configurado localmente sobrescribe cualquier valor que pudiera incluirse
en el mensaje de RADIUS Access-Accept.
El recuento de octetos informado en los mensajes de contabilidad es el total
acumulado desde el inicio de la sesin de usuario.
El recuento de bytes de actualizacin provisional slo se admite basndose en una
sesin de usuario, no en sesiones SAM o NC.
El intervalo de actualizacin provisional mnima es de 15 minutos. Puede que las
estadsticas de datos (bytes de entrada y de salida) para la contabilidad de RADIUS
no se enven a una sesin J-SAM/W-SAM/NC si sta es menor que cinco minutos y
las aplicaciones mantienen las conexiones abiertas en todo momento.
Configuracin de una instancia de servidor eTrust SiteMinder

Al configurar el IVE para autenticar usuarios con un servidor de directivas eTrust
SiteMinder, el IVE pasa las credenciales del usuario a SiteMinder durante la
autenticacin. Una vez que SiteMinder recibe las credenciales, puede usar la
autenticacin estndar de nombre de usuario y contrasea, tokens de ACE SecurID
o certificados del lado cliente para autenticar las credenciales (como se explica en
Autenticacin mediante los diferentes esquemas de autenticacin en la
pgina 163).
El IVE tambin pasa un recurso protegido en SiteMinder durante la autenticacin
para determinar qu territorio de SiteMinder debe usar para autenticar al usuario.
Cuando el IVE pasa el recurso protegido, SiteMinder autoriza la URL del usuario en
el territorio asociado con el recurso y permite que el usuario acceda sin problemas
a cualquier recurso cuyos niveles de proteccin sean iguales o inferiores a los
recursos del IVE que se pasaron (como se explica en Configuracin del IVE para
otorgar a los usuarios diferentes recursos protegidos en la pgina 173). Si el
usuario intenta acceder a un recurso Web con un nivel de proteccin mayor,
SiteMinder o el IVE se encarga de la solicitud (como se explica en Reautenticacin
de usuarios con niveles insuficientes de proteccin en la pgina 164).
160
Este tema incluye la siguiente informacin sobre servidores eTrust SiteMinder:
Informacin general sobre eTrust SiteMinder en la pgina 161
Configuracin de SiteMinder para que funcione con el IVE en la pgina 165
Configuracin del IVE para que funcione con SiteMinder en la pgina 172
Informacin general sobre eTrust SiteMinder

El IVE habilita el inicio de sesin nico (SSO) del IVE en recursos protegidos por
SiteMinder usando las cookies de SMSESSION. Una cookie de SMSESSION es un
token de seguridad que encapsula la informacin de sesin de SiteMinder.
Dependiendo de la configuracin, el agente Web de SiteMinder o el IVE crea una
cookie de SMSESSION y la publica en las siguientes ubicaciones para que el usuario
no tenga que volver a autenticarse si desea acceder a recursos adicionales:
El IVE: Si el usuario intenta acceder a un recurso de SiteMinder desde dentro de

su sesin del IVE (por ejemplo, desde la pgina de exploracin de archivos del
IVE), el IVE pasa la cookie de SMSESSION en memoria cach al agente Web
para su autenticacin.
El explorador de Web del usuario: Si el usuario intenta acceder a un recurso

de SiteMinder desde fuera de su sesin del IVE (por ejemplo, al usar un recurso
protegido en un agente estndar), SiteMinder usa la cookie de SMSESSION en
memoria cach almacenada en el explorador de Web para autenticar/autorizar
al usuario.
Si habilita la opcin Automatic Sign-In (como se explica en Automatic Sign-In en

la pgina 177), el IVE puede usar una cookie de SMSESSION generada por otro
agente para habilitar el inicio de sesin nico de un recurso de SiteMinder en el IVE.
Cuando un usuario accede a la pgina de inicio de sesin del IVE con una cookie de
SMSESSION, el IVE verifica la cookie de SMSESSION. Tras la verificacin correcta,
el IVE establece una sesin del IVE para el usuario. Puede usar los siguientes
mecanismos de autenticacin para habilitar el inicio de sesin automtico
mediante el IVE:
Agente personalizado: El IVE autentica al usuario en el servidor de directivas y

genera una cookie de SMSESSION. Cuando selecciona esta opcin, puede
habilitar SSO en otros agentes SiteMinder que usan el mismo servidor de
directivas. Para habilitar SSO en estos agentes, actualice cada uno de ellos para
aceptar cookies de terceros (como se explica en Authenticate using custom
agent en la pgina 178). Si selecciona esta opcin y el usuario introduce su
sesin del IVE con una cookie de SMSESSION, el IVE intenta iniciar sesin
automticamente cuando el usuario introduce la sesin del IVE.
Publicacin en HTML: El IVE publica credenciales en un agente Web estndar

que haya configurado. El agente Web crea entonces cookies de SMSESSION.
Si selecciona esta opcin, no puede usar los modos Nuevo PIN de SecurID ni
Siguiente token o la autenticacin de certificados del lado cliente (como se
explica en Authenticate using HTML form post en la pgina 179). Si
selecciona esta opcin y el usuario introduce su sesin del IVE con una cookie
de SMSESSION, el IVE intenta iniciar sesin automticamente cuando el
usuario introduce la sesin del IVE.
161
Autenticacin delegada: El IVE delega la autenticacin a un agente estndar. Si

esta opcin est habilitada, el IVE intenta determinar la URL de FCC asociada
con el recurso protegido. El IVE redirige al usuario a la URL de FCC con la URL
de inicio de sesin del IVE como TARGET. Despus de una autenticacin
correcta, se redirige al usuario de vuelta al IVE con una cookie de SMSESSION y
el IVE realiza un inicio de sesin automtico para el usuario (como se explica en
Delegate authentication to a standard agent en la pgina 180).
NOTA:
162
En el momento de esta impresin, Juniper Networks admite el servidor eTrust

SiteMinder versin 6.0 y 5.5 con versiones de agente estndar 6 y 5QMR5. Si
ejecuta agentes anteriores a los admitidos, puede experimentar problemas de
validacin de las cookies, incluyendo entradas cruzadas de registro y tiempos
de espera de usuario intermitentes.
Puede elegir la versin de servidor eTrust SiteMinder que desea que sea
compatible cuando cree una instancia de servidor. Puede elegir la versin 5.5,
que admite las versiones 5.5 y 6.0, o puede elegir la versin 6.0, que slo
admite la versin 6.0. No existe diferencia en la funcionalidad de servidor
de autenticacin SiteMinder segn en la versin que seleccione. Esta opcin
controla la versin de Netegrity SDK que se debe usar. Se recomienda que
haga coincidir el modo de compatibilidad con la versin del servidor de
directivas.
Al usar SiteMinder para llevar a cabo la autenticacin, los servidores de

directivas principal y de respaldo deben ejecutar la misma versin de software
del servidor SiteMinder. No se admite una implementacin mixta (en que el
servidor principal ejecute una versin de software de servidor diferente que la
de respaldo).
SiteMinder no almacena la direccin IP en la cookie de SMSESSION y por lo

tanto no puede pasarla al dispositivo IVE.
SiteMinder enva la cookie de SMSESSION al IVE como una cookie persistente.

Para maximizar la seguridad, el IVE restablece la cookie persistente como una
cookie de sesin una vez que se completa la autenticacin.
Al usar SiteMinder para la autenticacin, el IVE descarta cualquier sesin y

tiempo de espera por inactividad del IVE y usa la informacin configurada a
travs del territorio de SiteMinder.
Al usar SiteMinder para la autenticacin, los usuarios deben acceder al IVE

usando un nombre de dominio totalmente clasificado. Ello se debe a que la
cookie de SMSESSION de SiteMinder slo se enva para el dominio en que se
configur. Si los usuarios acceden al IVE usando una direccin IP, pueden
recibir un error de autenticacin y se les solicitar que se autentiquen
nuevamente.
El IVE registra cualquier cdigo de error de SiteMinder en la pgina System >

Log/Monitoring > User Access. Para obtener informacin sobre los cdigos
de error de SiteMinder, consulte la documentacin de SiteMinder.
Autenticacin mediante los diferentes esquemas de autenticacin

Dentro de SiteMinder, un esquema de autenticacin es una forma de recopilar
credenciales de usuario y determinar la identidad de un usuario. Puede crear
distintos esquemas de autenticacin y asociar niveles de proteccin diferentes con
cada uno. Por ejemplo, puede crear dos esquemas: uno que autentica usuarios
basndose exclusivamente en los certificados del lado cliente del usuario y les
proporciona un nivel de proteccin bajo, y otro que usa la autenticacin del token
de ACE SecurID y ofrece a los usuarios un nivel de proteccin superior. El IVE
funciona con los siguientes tipos de esquemas de autenticacin de SiteMinder:
Basic username and password authentication: El nombre y contrasea del

usuario se pasan al servidor de directivas SiteMinder. El servidor de directivas
puede autenticarlos o pasarlos a otro servidor para su autenticacin.
ACE SecurID token authentication: El servidor de directivas SiteMinder

autentica usuarios basndose en un nombre de usuario y contrasea generada
por un token de ACE SecurID.
Client-side certificate authentication: El servidor de directivas SiteMinder

autentica usuarios basndose en sus credenciales de certificado del lado
cliente. Si elige este mtodo de autenticacin, el explorador de Web muestra
una lista de certificados de cliente de los usuarios que puede seleccionar.
NOTA:
Si elige autenticar usuarios con este mtodo, debe importar el certificado

cliente al IVE mediante la ficha System > Certificates > Trusted Client CAs.
Para obtener ms informacin, consulte Uso de CA de cliente de confianza
en la pgina 758.
Si no desea mostrar la pgina de inicio estndar del IVE a los usuarios,

puede cambiarla usando la caracterstica de pginas de inicio personalizables.
Para obtener ms informacin, consulte el manual Custom Sign-In Pages
Solution Guide.
La autenticacin de certificados del lado cliente de SiteMinder se realiza

aparte de la autenticacin de certificados del lado cliente del IVE. Si elige
ambas opciones, el IVE autentica primero usando los parmetros de
configuracin del IVE. Si lo hace de forma correcta, pasa los valores del
certificado a SiteMinder para su autenticacin.
Para obtener ms informacin, consulte:
Creacin de un esquema de autenticacin de SiteMinder para el IVE en la

pgina 167
Configuracin del IVE para que funcione con varios esquemas de

autenticacin en la pgina 172
163
Reautenticacin de usuarios con niveles insuficientes de proteccin

Durante la configuracin del IVE, debe especificar un recurso protegido con el fin
de controlar el nivel de proteccin permitido en la sesin de SiteMinder del usuario,
como se explica en Informacin general sobre eTrust SiteMinder en la
pgina 161. No obstante, si el usuario intenta acceder a un recurso Web que
requiere un mayor nivel de proteccin que el autorizado, el IVE tambin puede
manejar la reautenticacin dirigindolo a una pgina intermedia (siempre que se
haya habilitado la opcin Resource for insufficient protection level durante la
configuracin del IVE). Para obtener ms informacin, consulte Resource for
insufficient protection level en la pgina 182.
La pgina intermedia del IVE contiene dos opciones:
Continue: Cuando el usuario selecciona esta opcin, el IVE cierra su sesin

actual, le solicita las credenciales que requiere el recurso de nivel superior
y lo dirige a la pgina que intenta acceder si se autentican sus credenciales.
(Tenga en cuenta que si el usuario est ejecutando Host Checker o Cache
Cleaner y no opta por introducir sus credenciales cuando el IVE le solicita una
nueva autenticacin, la aplicacin Host Checker o Cache Cleaner contina
ejecutndose en el sistema del usuario hasta que caduca su sesin en el IVE.)
Cancel: Cuando el usuario selecciona esta opcin, es redirigido a la pgina

anterior.
De lo contrario, si elige no volver a autenticarse mediante el IVE, el proceso de

reautenticacin depender de si el servidor de directivas devuelve o no una URL
de esquema de autenticacin al usuario. Si el servidor de directivas:
No devuelve una URL de esquema de autenticacin: El IVE devuelve un

mensaje de error de validacin al usuario y realiza la reautenticacin mediante
la pgina de inicio de sesin estndar del IVE. Al usuario se le solicita que
vuelva a iniciar sesin, pero se asigna su nivel de proteccin original y es
posible que an no pueda iniciar sesin en la pgina deseada.
Devuelve una URL de esquema de autenticacin: El IVE redirige al agente

Web que especifique en el IVE para manejar la reautenticacin.
Para obtener ms informacin sobre cmo hacer que el IVE maneje la

reautenticacin, consulte Creacin de un esquema de autenticacin de SiteMinder
para el IVE en la pgina 167.
164
Determinacin del nombre de usuario del usuario

Con la disponibilidad de esquemas de autenticacin y puntos de inicio de sesin
diferentes, el IVE puede obtener un nombre de usuario de varios orgenes, como un
encabezado de servidor de directivas, un atributo de certificado o de la pgina de
inicio de sesin del IVE. A continuacin aparecen varios mtodos que un usuario
puede emplear para acceder al IVE y cmo el IVE determina el nombre de usuario
de cada uno. Cuando un usuario:
Inicia sesin mediante la pgina de inicio de sesin estndar del IVE: El IVE
primero comprueba el nombre de usuario que devuelve el servidor de directivas
en su encabezado de respuesta OnAuthAccept. Si SiteMinder no define un
nombre de usuario, el IVE usa el nombre que el usuario introdujo durante el
inicio de sesin. En caso contrario, si ni SiteMinder ni el usuario proporcionan
un nombre de usuario porque el usuario se autentica usando un certificado
cliente, el IVE usa el valor UserDN configurado por el servidor de directivas.
Inicia sesin automticamente en el IVE usando las credenciales de

SiteMinder: El IVE primero comprueba el nombre de usuario que devuelve
el servidor de directivas en su encabezado de respuesta OnAuthAccept. Si
SiteMinder no define un nombre de usuario, el IVE comprueba la cookie de
SMSESSION. De lo contrario, si SiteMinder no completa el encabezado de
respuesta o cookie de SMSESSION con un nombre de usuario, el IVE
comprueba el valor UserDN en la cookie de SMSESSION.
Una vez que el IVE determina el nombre de usuario que usar, lo guarda en la
memoria cach de su sesin y hace referencia a ste cuando el usuario desea
obtener acceso a recursos adicionales (como se explica en Informacin general
sobre eTrust SiteMinder en la pgina 161).
Para devolver siempre el nombre de usuario correcto al IVE, debe configurar la
respuesta OnAuthAccept en el servidor de directivas SiteMinder, como se explica en
Creacin de un par de regla/respuesta para pasar nombres de usuario al IVE en la
pgina 170.
Configuracin de SiteMinder para que funcione con el IVE

Los siguientes procedimientos describen cmo configurar un servidor de directivas
SiteMinder para que funcione con el IVE. stas no son las instrucciones completas
de SiteMinder, sino que slo pretenden ayudarle a que SiteMinder funcione con el
IVE. Para obtener informacin detallada de la configuracin de SiteMinder, consulte
la documentacin que se proporciona con el servidor de directivas SiteMinder.
NOTA: Las instrucciones que se muestran aqu son para la versin 5.5 del servidor
de directivas SiteMinder. Las instrucciones pueden variar levemente si usa una
versin de producto diferente.
Para configurar SiteMinder para que funcione con el IVE, debe realizar los
siguientes procedimientos:
1. Configuracin del agente de SiteMinder en la pgina 166
2. Creacin de un esquema de autenticacin de SiteMinder para el IVE en la
pgina 167
165
3. Creacin de un dominio de SiteMinder para el IVE en la pgina 169

4. Creacin de un territorio de SiteMinder para el IVE en la pgina 169
5. Creacin de un par de regla/respuesta para pasar nombres de usuario al IVE
en la pgina 170
6. Creacin de una directiva de SiteMinder en el dominio en la pgina 172
Configuracin del agente de SiteMinder

Un agente de SiteMinder filtra las solicitudes del usuario para aplicar los controles
de acceso. Por ejemplo, cuando un usuario solicita un recurso protegido, el agente
pide al usuario las credenciales basndose en un esquema de autenticacin y enva
las credenciales al servidor de directivas SiteMinder. Un agente Web es simplemente
un agente que funciona con un servidor Web. Al configurar SiteMinder para que
funcione con el IVE, debe configurar el IVE como un agente Web en la mayora de
los casos.
NOTA: Si selecciona la opcin Delegate authentication to a standard agent, debe
configurar las siguientes opciones en el objeto de configuracin del agente Web
estndar que hospeda la URL de FCC:
EncryptAgentName=no
FCCCompatMode=no
Para configurar el IVE como un agente Web en el servidor de directivas SiteMinder:

1. En la interfaz de administracin de SiteMinder, elija la ficha System.
2. Haga clic con el botn secundario en Agents y elija Create Agent.
3. Introduzca un nombre para el agente Web y (opcionalmente) una descripcin.
Tenga en cuenta que debe introducir este nombre al crear un territorio de
SiteMinder, (como se explica en Creacin de un territorio de SiteMinder para el
IVE en la pgina 169) y al configurar el IVE (como se explica en Agent Name,
Secret en la pgina 175).
4. Debe seleccionar la opcin Support 5.x agents de compatibilidad con el IVE.
5. En Agent Type, seleccione SiteMinder y Web Agent de la lista desplegable.
Debe seleccionar este ajuste de compatibilidad con el IVE.
6. En IP Address or Host Name, introduzca el nombre o la direccin IP del IVE.
7. En el campo Shared Secret, introduzca y confirme un secreto para el agente
Web. Tenga en cuenta que debe introducir este secreto al configurar el IVE
(como se explica en Agent Name, Secret en la pgina 175).
8. Haga clic en OK.
166
Creacin de un esquema de autenticacin de SiteMinder para el IVE

Dentro de SiteMinder, el esquema de autenticacin proporciona una forma de
recopilar credenciales y determinar la identidad de un usuario.
Para configurar el esquema de autenticacin de SiteMinder para el IVE:
1. En la interfaz de administracin de SiteMinder, elija la ficha System.
2. Haga clic con el botn secundario en Authentication Schemes y elija Create
Authentication Scheme.
3. Introduzca un nombre para el esquema y (opcionalmente) una descripcin.
Tenga en cuenta que debe introducir este nombre al configurar el territorio de
SiteMinder (como se explica en Creacin de un territorio de SiteMinder para el
IVE en la pgina 169).
4. En Authentication Scheme Type, seleccione una de las siguientes opciones:
Basic Template
HTML Form Template
SecurID HTML Form Template1
X509 Client Cert Template
X509 Client Cert and Basic Authentication
NOTA:
El IVE slo admite los tipos de esquemas de autenticacin que se

indican aqu.
Debe seleccionar HTML Form Template si desea que el IVE se encargue de

la reautenticacin (como se describe en Reautenticacin de usuarios con
niveles insuficientes de proteccin en la pgina 164).
Si selecciona X509 Client Cert Template o X509 Client Cert and Basic
Authentication, debe importar el certificado al IVE mediante la ficha
System > Certificates > Trusted Client CAs. Para obtener ms informacin,
consulte Uso de CA de cliente de confianza en la pgina 758.
5. Introduzca un nivel de proteccin para el esquema. Tenga en cuenta que este

nivel de proteccin se lleva a cabo en el territorio de SiteMinder que asoci con
este esquema. Para obtener ms informacin, consulte Creacin de un
territorio de SiteMinder para el IVE en la pgina 169.
6. Seleccione Password Policies Enabled for this Authentication Scheme si
desea volver a autenticar a los usuarios que solicitan recursos con un nivel
de proteccin superior al que tienen autorizado el acceso.
1. Si usa la autenticacin de SecurID, debe elegir la plantilla de formulario HTML de SecurID (en lugar de la
plantilla de SecurID). Al elegir esta opcin se habilita el servidor de directivas para que enve cdigos de error
de inicio de sesin de ACE al IVE.
167
7. En la ficha Scheme Setup, introduzca las opciones requeridas por el tipo de

esquema de autenticacin.
Si desea que el IVE vuelva a autenticar usuarios que solicitan recursos con un
nivel de proteccin superior al que tienen autorizado el acceso, debe introducir
los siguientes ajustes:
En Server Name, introduzca el nombre de host del IVE (por ejemplo,

ventas.suempresa.net).
Seleccione la casilla de verificacin Use SSL Connection.
En Target, introduzca la URL de inicio de sesin del IVE que se define en

la primera vieta de este paso ms el parmetro ive=1 (por ejemplo,
/highproturl?ive=1). (El IVE debe tener una directiva de inicio de sesin
que use */highproturl como la URL de inicio de sesin y que slo utilice el
territorio de autenticacin de SiteMinder correspondiente.)
NOTA: Al guardar los cambios, ive=1 desaparece del objetivo. Esto es normal.
El servidor de directivas incluye ive=1 en la URL completa del esquema de
autenticacin que enva al IVE, para que pueda verla en el campo Parameter de
la ficha Advanced.
Anule la seleccin de la casilla de verificacin Allow Form Authentication

Scheme to Save Credentials.
Deje Additional Attribute List en blanco.
8. Haga clic en OK.

NOTA:
168
Si cambia el esquema de autenticacin de SiteMinder en el servidor de

directivas, debe borrar la memoria cach usando la opcin Flush Cache de la
ficha Advanced.
Para obtener informacin sobre la configuracin del IVE para manejar varios
esquemas de autenticacin, consulte Configuracin del IVE para que
funcione con varios esquemas de autenticacin en la pgina 172.
Creacin de un dominio de SiteMinder para el IVE

Dentro de SiteMinder, el dominio de directivas es un grupo lgico de recursos
asociados con uno o ms directorios de usuarios. Los dominios de directivas
contienen territorios, respuestas y directivas. Al configurar el IVE para que funcione
con SiteMinder, debe otorgar acceso a los usuarios del IVEa los recursos de
SiteMinder dentro de un territorio y agruparlo en un dominio.
Para configurar un dominio de SiteMinder para el IVE, en la interfaz de
administracin de SiteMinder, elija la ficha System, haga clic con el botn
secundario en Domains y elija Create Domain. O bien, haga clic en Domains y
elija un dominio de SiteMinder existente. Tenga en cuenta que debe agregar un
territorio a este dominio (como se explica en Creacin de un territorio de
SiteMinder para el IVE en la pgina 169).
Creacin de un territorio de SiteMinder para el IVE

Dentro de SiteMinder, un territorio es un clster de recursos dentro de un dominio
de directivas agrupadas de acuerdo con los requisitos de seguridad. Al configurar
SiteMinder para que funcione con el IVE, debe definir los territorios para
determinar a qu recursos pueden acceder los usuarios del IVE.
Para configurar un territorio de SiteMinder para el IVE:
1. En la interfaz de administracin de SiteMinder, elija la ficha Domains.
2. Expanda el dominio que cre para el IVE. Para obtener ms informacin,
consulte Creacin de un dominio de SiteMinder para el IVE en la pgina 169.
3. Haga clic con el botn secundario en Realms y elija Create Realm.
4. Introduzca un nombre y (opcionalmente) una descripcin para el territorio.
5. En el campo Agent, seleccione el agente Web que cre para el IVE. Para
obtener ms informacin, consulte Configuracin del agente de SiteMinder
en la pgina 166.
6. En el campo Resource Filter, introduzca un recurso protegido. Este recurso
hereda el nivel de proteccin especificado en el esquema de autenticacin
correspondiente. Para el nivel de proteccin predeterminado, introduzca
/ive-authentication. Tenga en cuenta que debe introducir este recurso al
configurar el IVE (como se explica en Protected Resource en la pgina 175).
O bien, si usa directivas de inicio de sesin con URL no predeterminadas como
*/nete o */cert, debe tener los filtros de recursos correspondientes en la
configuracin de SiteMinder.
7. En la lista Authentication Schemes, seleccione el esquema que cre para
el IVE (como se explica en Creacin de un esquema de autenticacin de
SiteMinder para el IVE en la pgina 167).
8. Haga clic en OK.
169
Creacin de un par de regla/respuesta para pasar nombres de usuario

al IVE
Dentro de SiteMinder, puede usar reglas para activar respuestas cuando ocurren
eventos de autenticacin o autorizacin. Una respuesta pasa los atributos DN, texto
fijo o respuestas activas personalizadas del servidor de directivas SiteMinder a un
agente de SiteMinder. Al configurar SiteMinder para que funcione con el IVE, debe
crear una regla que se active cuando un usuario se autentica de forma correcta.
A continuacin, debe crear una respuesta correspondiente que pase el nombre de
usuario del usuario al agente Web del IVE.
Para crear una regla nueva:
2. Expanda el dominio que cre para el IVE (como se explica en Creacin de un
dominio de SiteMinder para el IVE en la pgina 169) y expanda Realms.
3. Haga clic con el botn secundario en el territorio que cre para el IVE (como se
explica en Creacin de un territorio de SiteMinder para el IVE en la
pgina 169) y elija Create Rule under Realm.
4. Introduzca un nombre y (opcionalmente) una descripcin para la regla.
5. En Action, elija Authentication Events y OnAuthAccept en la lista desplegable.
6. Seleccione Enabled.
7. Haga clic en OK.
Para crear una respuesta nueva:
dominio de SiteMinder para el IVE en la pgina 169).
3. Haga clic con el botn secundario en Responses y seleccione Create Response.
4. Introduzca un nombre y (opcionalmente) una descripcin para la respuesta.
5. Seleccione SiteMinder y el agente Web del IVE (como se explica en
Configuracin del agente de SiteMinder en la pgina 166).
6. Haga clic en Create.
7. En la lista Attribute, elija WebAgent-HTTP-Header-Variable.
8. En Attribute Kind, seleccione Static.
9. En Variable Name, introduzca IVEUSERNAME.
10. En Variable Value, introduzca un nombre de usuario.
11. Haga clic en OK.
170
Creacin de atributos de usuario de SiteMinder para la asignacin de

roles del IVE
Si crea atributos de usuario de SiteMinder en un servidor de directivas SiteMinder,
puede usar esos atributos de usuario en las reglas de asignacin de roles del IVE
para asignar usuarios a las funciones. Por ejemplo, quizs desee asignar un usuario
a varios roles del IVE en funcin del departamento en el que trabaje. Para usar un
atributo de usuario de SiteMinder en una regla de asignacin de roles, debe hacer
referencia al nombre de la cookie que se incluye en la cookie del atributo de usuario
de SiteMinder.
El siguiente procedimiento es necesario slo si desea usar atributos de usuario de
SiteMinder en las reglas de asignacin de roles del IVE.
Para crear atributos de usuario en un servidor SiteMinder:
dominio de SiteMinder para el IVE en la pgina 169).
3. Haga clic con el botn derecho del ratn en Responses y seleccione Create
Response.
4. Introduzca un nombre y (opcionalmente) una descripcin para la respuesta.
5. Seleccione SiteMinder y el agente Web del IVE (como se explica en
Configuracin del agente de SiteMinder en la pgina 166).
6. Haga clic en Create.
7. En la lista Attribute, elija WebAgent-HTTP-Cookie-Variable.
8. En Attribute Kind, seleccione User Attribute.
9. Para Cookie Name, introduzca un nombre para la cookie, como department.
Puede hacer referencia al nombre de esta cookie en una regla de asignacin de
roles del IVE.
10. Para Attribute Name, introduzca el nombre del atributo en el directorio de
usuarios de SiteMinder. (ste se refiere al atributo en el servidor LDAP que usa
SiteMinder).
11. Haga clic en OK.
12. Asigne la respuesta de User Attribute a un tipo de regla de OnAuthAccept.
(Consulte Creacin de un par de regla/respuesta para pasar nombres de
usuario al IVE en la pgina 170.)
13. Haga referencia al nombre de la cookie en la regla de asignacin de roles para
un territorio del IVE que usa el servidor de directivas SiteMinder. Para obtener
instrucciones, consulte Uso de atributos de usuario de SiteMinder para la
asignacin de roles del IVE en la pgina 184.
171
Creacin de una directiva de SiteMinder en el dominio

Dentro de SiteMinder, una directiva asocia usuarios con reglas. Para configurar una
directiva de SiteMinder en un dominio, en la interfaz de administracin de
SiteMinder, elija la ficha Domains, seleccione el dominio al que desea agregar una
directiva, haga clic con el botn derecho del ratn en Policies y elija Create Policy.
Configuracin del IVE para que funcione con SiteMinder

Esta seccin incluye las siguientes instrucciones para configurar el IVE de modo que
funcione con un servidor de directivas SiteMinder:

autenticacin en la pgina 172
Configuracin del IVE para otorgar a los usuarios diferentes recursos

protegidos en la pgina 173
Definicin de una instancia de servidor eTrust SiteMinder en la pgina 174
Definicin de un territorio de SiteMinder para el inicio de sesin automtico

en la pgina 185

autenticacin
Para configurar el IVE de modo que funcione con varios esquemas de autenticacin
de SiteMinder, debe:
1. Configurar los esquemas de autenticacin en el servidor de directivas
SiteMinder. Para obtener instrucciones, consulte Creacin de un esquema de
autenticacin de SiteMinder para el IVE en la pgina 167.
2. Crear una instancia del servidor de directivas SiteMinder del IVE para todos los
esquemas de autenticacin que desee usar. Para obtener instrucciones,
consulte Definicin de una instancia de servidor eTrust SiteMinder en la
pgina 174.
3. Especificar los territorios del IVE que debe usar la instancia del servidor de
directivas SiteMinder del IVE para autenticar y autorizar a los administradores
y usuarios. Para obtener instrucciones, consulte Creacin de un territorio de
4. Para cada recurso protegido en el servidor de directivas SiteMinder, cree una
directiva de inicio de sesin del IVE. En la pgina Authentication >
Authentication > Signing In Policies > New Sign-In Policy:
172
Especifique una URL de inicio de sesin del IVE que coincida con la URL de
recurso protegido de SiteMinder en el servidor de directivas. Haga coincidir
parte de la ruta de la URL con el filtro de recursos de SiteMinder en la
configuracin del territorio de SiteMinder. Por ejemplo, puede especificar
*/ACE/ como URL de inicio de sesin del IVE para que coincida con una
URL de SiteMinder de XYZ/ACE, donde XYZ es el nombre de un territorio.
Seleccione el territorio del IVE que especific que debe usar el servidor de
directivas SiteMinder.
Para obtener instrucciones, consulte Configuracin de directivas de inicio de

sesin en la pgina 214.
El usuario inicia sesin en el IVE usando una de las URL de inicio de sesin del IVE.
El IVE enva la URL del recurso protegido a SiteMinder, y segn el recurso,
SiteMinder determina qu tipo de esquema usar para autenticar al usuario. El IVE
recopila las credenciales que requiere el esquema de autenticacin y las pasa a
SiteMinder para su autenticacin.
Configuracin del IVE para otorgar a los usuarios diferentes recursos

protegidos
Para configurar el IVE para que otorgue acceso a los usuarios a varios recursos
protegidos por SiteMinder (y por asociacin, diferentes niveles de proteccin),
debe:
1. Defina los recursos que el servidor SiteMinder debe proteger. Cada uno de estos
recursos hereda un nivel de proteccin de un esquema de autenticacin de
SiteMinder correspondiente. Para obtener instrucciones, consulte Creacin de
un territorio de SiteMinder para el IVE en la pgina 169.
2. Cree una instancia del servidor de directivas SiteMinder del IVE para todos los
recursos protegidos y los niveles de proteccin correspondientes que desea
permitir. Para obtener instrucciones, consulte Definicin de una instancia de
servidor eTrust SiteMinder en la pgina 174.
3. Especifique qu territorio del IVE debe usar la instancia del servidor de
directivas SiteMinder del IVE. Para obtener instrucciones, consulte Creacin de
un territorio de autenticacin en la pgina 196.
4. Para cada recurso en el servidor de directivas SiteMinder, cree una directiva de
inicio de sesin del IVE de cada filtro de recursos del nivel de territorio. En la
pgina de configuracin de la directiva de inicio de sesin, especifique:
Una URL de inicio de sesin del IVE que coincida con la URL de recurso
protegido del servidor de directivas. Haga coincidir parte de la ruta de la
URL con el filtro de recursos de SiteMinder. Por ejemplo, puede definir las
siguientes URL:
https://employees.yourcompany.com/sales
https://employees.yourcompany.com/engineering
Cuando los usuarios inician sesin en la primera URL, pueden acceder al

recurso protegido sales, y cuando inician sesin en la segunda URL,
puede acceder al recurso protegido engineering.
Para definir un recurso predeterminado (ive-authentication), introduzca * en
la ruta de la URL.
173
Seleccione el territorio del IVE que especific que debe usar el servidor de
directivas SiteMinder.
Para obtener instrucciones, consulte Configuracin de directivas de inicio de

Durante la produccin, el usuario inicia sesin en el IVE usando una de las
siguientes URL. El IVE extrae el recurso protegido de la URL y autentica al usuario
en el territorio adecuado.
Definicin de una instancia de servidor eTrust SiteMinder

Dentro del IVE, una instancia de SiteMinder es un conjunto de ajustes de
configuracin que definen la forma en que el IVE interacta con el servidor de
directivas SiteMinder. Despus de definir la instancia de servidor de SiteMinder,
especifique los territorios del IVE que debe usar la instancia del servidor de
directivas SiteMinder del IVE para autenticar y autorizar a administradores y
usuarios. Para obtener instrucciones, consulte Creacin de un territorio de
Definicin de una instancia de servidor eTrust SiteMinder
Para crear una nueva instancia de servidor en el IVE, seleccione SiteMinder

Server en la lista New y haga clic en New Server.

3. Configure el servidor usando los ajustes descritos en la Tabla 13.

4. Para agregar los atributos de usuario de SiteMinder a la instancia de servidor de
SiteMinder:
a.
Haga clic en Server Catalog para que aparezca el catlogo de servidores.
b.
Introduzca el nombre de la cookie del atributo de usuario de SiteMinder en

el campo Attribute del catlogo de servidores y haga clic en Add Attribute.
(Para obtener ms informacin sobre las cookies de atributos de usuario de
SiteMinder, consulte Creacin de atributos de usuario de SiteMinder para
la asignacin de roles del IVE en la pgina 171.)
c.
Al terminar de agregar los nombres de las cookies, haga clic en OK.

El IVE muestra los nombres de las cookies de los atributos de usuario
de SiteMinder en la lista Attribute de la pgina Role Mapping Rule. Para
obtener instrucciones sobre la configuracin, consulte Uso de atributos de
usuario de SiteMinder para la asignacin de roles del IVE en la
pgina 184.
174
6. Configure las opciones de configuracin avanzada de SiteMinder (opcional)

usando los ajustes descritos en la Tabla 14.
sesiones de usuarios que hayan iniciado sesin a travs del servidor, consulte
Tabla 13: Opciones de configuracin de eTrust SiteMinder

Opcin
Descripcin
Name
Introduzca un nombre para identificar la instancia de servidor.
Policy Server
Introduzca el nombre o la direccin IP del servidor de directivas

SiteMinder que desea usar para autenticar usuarios.
Backup Server(s),
Failover Mode
Introduzca una lista delimitada por comas de los servidores de

directivas de respaldo (opcional). A continuacin, elija un modo de
conmutacin por error:
Seleccione Yes para el que el dispositivo IVE use el servidor de
directivas principal, excepto que falle.
Seleccione No para que el dispositivo IVE distribuya la carga entre
todos los servidores de directivas especificados.
Agent Name,
Secret
Introduzca un secreto compartido y el nombre del agente especificado

en Configuracin del agente de SiteMinder en la pgina 166. Tenga en
cuenta que distinguen maysculas de minsculas.
Compatible with
Elija un una versin de servidor SiteMinder. La versin 5.5 admite las

versiones 5.5 y 6.0. La versin 6.0 admite slo la versin 6.0 de la API
del servidor SiteMinder. El valor predeterminado es servidores de
directivas 5.5.
On logout, redirect to Especifique una URL a la que se redirigir a los usuarios cuando cierren
sesin en el IVE (opcional). Si deja este campo vaco, los usuarios vern
la pgina de inicio predeterminada del IVE.
Nota: El campo On logout, redirect to se incluye en la versin del
producto para compatibilidad con versiones anteriores, pero est
prevista su eliminacin. Si desea redirigir a los usuarios a una pgina
de inicio de sesin diferente cuando cierren sesin, se recomienda
encarecidamente usar la caracterstica de pginas de inicio de sesin
personalizables. Para obtener ms informacin, consulte el manual
Custom Sign-In Pages Solution Guide.
Protected Resource
Especifique el recurso protegido predeterminado que se especific en

Creacin de un territorio de SiteMinder para el IVE en la pgina 169.
Si no crea directivas de inicio de sesin para SiteMinder, el IVE usa esta
URL predeterminada para configurar el nivel de proteccin del usuario
para la sesin. El IVE tambin usa la URL predeterminada si desea
seleccionar la opcin Automatic Sign-In. Si los usuarios inician sesin
en la URL * (pgina de inicio predeterminada del IVE), introduzca
cualquier URL (/IVE-authentication es el valor predeterminado) para
configurar el nivel de proteccin en el valor predeterminado del IVE.
Si crea directivas de inicio de sesin para SiteMinder, el IVE usa estas
directivas de inicio de sesin en lugar de la URL predeterminada.
Nota: Debe introducir una barra diagonal (/) al comienzo del recurso
(por ejemplo, /ive-authentication).
175
Tabla 13: Opciones de configuracin de eTrust SiteMinder (continuacin)

Opcin
Descripcin
Resource Action
(Slo lectura) Para nuevas instancias de servidor SiteMinder, el IVE

configura la accin del recurso en GET. Si la instancia de SiteMinder
se actualiza de una instancia 3.x, el IVE usa la accin del recurso
(por ejemplo, GET, POST o PUT) que eligi previamente. Tenga en
cuenta que para cambiar una accin de recurso existente a GET, debe
eliminar la instancia de servidor SiteMinder y crear una nueva instancia
que use GET.
Ajustes de cookies de SMSESSION

Cookie Domain
Introduzca el dominio de cookies del IVE. (Un dominio de cookies es el

dominio en que las cookies del usuario estn activas; el IVE enva las
cookies al explorador del usuario en este dominio).
Nota:
Varios dominios deben usar un punto inicial y estar separados por
coma. Por ejemplo: .ventas.miorg.com, .marketing.miorg.com

Los nombres de dominio distinguen maysculas de minsculas.
No puede usar caracteres comodn.
Por ejemplo, si define .juniper.net, el usuario debe acceder al IVE

como http://ive.juniper.net para asegurarse de que su cookie de
SMSESSION se enve de vuelta al IVE.
176
Protocol
(Slo lectura) Indica que el IVE usa el protocolo HTTPS para enviar
cookies al explorador de Web del usuario.
IVE Cookie Domain
Introduzca los dominios de Internet a los que el IVE enva la cookie de

SMSESSION usando las mismas pautas descritas en el campo Cookie
Domain. (Un dominio de cookies de IVE habilita un inicio de sesin
nico en varios dominios de cookies. Permite que la informacin del
usuario se transfiera cuando se dirjase de un dominio a otro). Si
configur un proveedor de cookies para permitir inicios de sesin
nicos en varios dominios de cookies, introduzca el dominio o el
proveedor de cookies. De lo contrario, introduzca los dominios de
los agentes Web para los que se desean inicios de sesin nicos.
Por ejemplo: .juniper.net
Protocol
Elija HTTPS para enviar las cookies de forma segura si otros agentes
Web se configuran para aceptar cookies seguras o HTTP para enviar las
cookies de una forma no segura.

Opcin
Descripcin
Ajustes de autenticacin de SiteMinder

Automatic Sign-In
Seleccione la opcin Automatic Sign-In para que los usuarios que

tienen una cookie de SMSESSION vlida inicien sesin
automticamente en el IVE. Luego, seleccione el territorio de
autenticacin al que se asignarn los usuarios. Si selecciona esta opcin,
tenga en cuenta que:
Si el nivel de proteccin asociado con una cookie de SMSESSION del
usuario es diferente del nivel de proteccin del territorio del IVE, el

IVE usa el nivel de proteccin asociado con la cookie.
Para habilitar un inicio de sesin nico de otro agente Web en el IVE,
el IVE debe validar una cookie de SMSESSION existente creada por

un agente Web estndar.
El IVE admite las siguientes limitaciones de territorio y rol con la
caracterstica Automatic Sign-in: Host Checker, Cache Cleaner,

direccin IP, explorador, y comprobaciones de lmite de usuarios
simultneos. Las restricciones de certificado y contrasea no se
admiten puesto que no se pueden aplicar a los usuarios que inician
sesin automticamente.
El IVE no admite la caracterstica Automatic Sign-in para los roles de
administrador. Esta caracterstica slo se encuentra disponible para

los usuarios finales.
Al seleccionar la opcin Automatic Sign-In, tambin debe configurar las
siguientes subopciones:
To assign user roles, use this authentication realm
Seleccione un territorio de autenticacin para los usuarios que inician

sesin automticamente. El IVE asigna al usuario a un rol basndose
en las reglas de asignacin de roles definidas en el territorio
seleccionado.
Nota: Si asigna usuarios a roles basndose en el nombre de usuario,
consulte Determinacin del nombre de usuario del usuario en la
pgina 165 para obtener informacin sobre qu nombre de usuario
usa el IVE.
177

Opcin
Descripcin
If Automatic Sign In fails, redirect to
Introduzca una URL alternativa para los usuarios que inician sesin
en el IVE mediante el mecanismo de inicio de sesin automtico que
se explica en Automatic Sign-In en la pgina 177. El IVE redirige a
los usuarios a la URL especificada si el IVE no realiza la autenticacin
y no se recibe una respuesta de redireccionamiento del servidor de
directivas SiteMinder. Si deja este campo vaco, se solicita a los
usuarios que vuelvan a iniciar sesin en el IVE.
Nota:
Los usuarios que inician sesin a travs de la pgina de inicio de
sesin del IVE siempre son redirigidos a la pgina de inicio de

sesin del IVE si se produce un error en la autenticacin.
Si usa la opcin de UI personalizables (Custom Pages) que se
explica en el manual Custom Sign-In Pages Solution Guide, tenga en

cuenta que el IVE redirige a welcome.cgi en dos casos diferentes.
Debe representar ambos casos especiales en la pgina
personalizada:
Tiempos de espera por sesin y por inactividad:
/dana-na/auth/welcome.cgi?p=timed-out
Error en la validacin de la cookie:
/dana-na/auth/welcome.cgi?p=failed
Si usa una directiva de acceso slo con autorizacin, debe introducir una
URL alternativa en este campo sin importar si selecciona la opcin
Automatic Sign In. Los usuarios son redirigidos a esta URL cuando falla
la validacin de la cookie de SMSESSION o si no existen cookies de
SMSESSION. Para obtener ms informacin sobre las directivas de
acceso slo con autorizacin.
Authenticate using
custom agent
Elija esta opcin si desea llevar a cabo la autenticacin usando el agente

Web personalizado del IVE. Tenga en cuenta que si selecciona esta
opcin, tambin debe:
Actualizar todos los agentes Web estndar en la versin de
mantenimiento trimestral (QMR) del agente de Siteminder para

aceptar las cookies creadas por el IVE. Si ejecuta los agentes Web de
SiteMinder versin 5, use el parche urgente QMR5. El IVE es
compatible con la versin 5.x y posterior de los agentes de
SiteMinder. Las versiones anteriores de los agentes de SiteMinder son
susceptibles a errores en la validacin de la cookie.
Configure el atributo Accept Third Party Cookie (AcceptTPCookie) en
Yes en el archivo de configuracin del agente Web (webagent.conf) o

en 1 en el registro de Windows para el servidor Web IIS. La ubicacin
del atributo depende de la versin de SiteMinder y del servidor Web
que use. Para obtener ms informacin, consulte la documentacin
proporcionada con el servidor SiteMinder.
178

Opcin
Descripcin
Authenticate using
HTML form post
Elija esta opcin si desea publicar las credenciales de usuario en un

agente Web estndar que haya configurado en lugar de contactarse
directamente con el servidor de directivas SiteMinder. Si selecciona esta
opcin, el agente Web se contacta con el servidor de directivas para
determinar la pgina de inicio de sesin correspondiente para mostrar
al usuario. Para configurar el IVE para que acte como un explorador
que publica las credenciales en el agente Web estndar, debe introducir
la informacin definida a continuacin. La forma ms fcil de buscar
esta informacin es:
1. Abrir un explorador de Web e introducir la URL del agente Web
estndar que desea usar. Por ejemplo, http://webagent.juniper.net
2. Anote la URL de la pgina de inicio de sesin de SiteMinder que
aparece. Por ejemplo:
http://webagent.juniper.net/siteminderagent/forms/login.fcc?TYPE=
33554433&REALMOID=06-2525fa65-5a7f-11d5-9ee00003471b786c&GUID=&SMAUTHREASON=0&TARGET=$SM$http
%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%2ejsp
3. Extraiga la informacin de la URL para introducirla en los campos que
aparecen a continuacin.
Nota:
No puede usar los modos Nuevos PIN de SecurID y Siguiente token,
la autenticacin de certificados del lado cliente ni las capturas SNMP

con la opcin Authenticate using HTML form post.
La opcin Authorize While Authenticating no se puede aplicar con
la opcin HTML form post.

Puede autenticar usuarios usando esta opcin, pero si desea
autorizarlos, debe seleccionar Authenticate using custom agent.

Al seleccionar la opcin Authenticate using HTML form post, tambin
debe configurar las siguientes subopciones:
Target
URL en el servidor Web externo habilitado por eTrust. En la URL de la

pgina de inicio de sesin del agente Web, el destino aparece despus
de &TARGET=$SM$. Por ejemplo, en la URL que aparece en
Authenticate using HTML form post en la pgina 179, el destino es:
http%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%2ejsp
Despus de convertir caracteres especiales (%3a=dos puntos,

%2f=barra diagonal, %2e=punto), el objetivo final es:
http://webagent.juniper.net/portal/index.jsp
Protocol
Protocolo para la comunicacin entre IVE y el agente Web

especificado. Use HTTP para la comunicacin no segura o HTTPS
para la comunicacin segura. En la URL de la pgina de inicio de
sesin del agente Web, el protocolo aparece primero. Por ejemplo,
en la URL que aparece en Authenticate using HTML form post en la
pgina 179, el protocolo es HTTP.
179

Opcin
Descripcin
Web Agent
Nombre del agente Web desde el cual el IVE obtendr las cookies de
SMSESSION. No se permite una direccin IP para este campo.
(Especificar la direccin IP como el agente Web evita que algunos
exploradores acepten cookies). En la URL de la pgina de inicio de
sesin del agente Web, ste aparece despus del protocolo. Por
ejemplo, en la URL que aparece en Authenticate using HTML form
post en la pgina 179, el agente Web es: webagent.juniper.net
Port
Puerto 80 para HTTP o puerto 443 para HTTPS.

Path
Ruta de la pgina de inicio de sesin del agente Web. Tenga en cuenta

que la ruta debe comenzar con un carcter de barra diagonal (/). En la
URL de la pgina de inicio de sesin del agente Web, la ruta aparece
despus del agente Web. Por ejemplo, en la URL que aparece en
Authenticate using HTML form post en la pgina 179, la ruta es:
/siteminderagent/forms/login.fcc
Parameters
Parmetros posteriores que se envan cuando un usuario inicia

sesin. Las variables comunes de SiteMinder que puede usar son
_ _USER_ _, _ _PASS_ _ y _ _TARGET_ _. Estas variables se reemplazan
por el nombre de usuario y la contrasea introducidos por el usuario
en la pgina de inicio de sesin del agente Web y por el valor
especificado en el campo Target. Existen parmetros
predeterminados para login.fcc; si ha efectuado personalizaciones,
es posible que deba cambiar estos parmetros.
Delegate
authentication to
a standard agent
Elija esta opcin si desea delegar la autenticacin a un agente estndar.

Cuando el usuario accede a la pgina de inicio de sesin del IVE, el IVE
determina la URL de FCC asociada con el esquema de autenticacin del
recurso protegido. El IVE redirige al usuario a esa URL, ajustando la URL
de inicio de sesin del IVE como destino. Despus de realizar una
autenticacin correcta con el agente estndar, se configura una cookie
de SMSESSION en el explorador del usuario y se redirige de vuelta al
IVE. El IVE inicia la sesin del usuario automticamente y establece una
sesin del IVE. Para obtener informacin sobre la configuracin del
esquema de autenticacin, consulte Creacin de un esquema de
autenticacin de SiteMinder para el IVE en la pgina 167.
NOTA:
Debe habilitar la opcin Automatic Sign-In para usar esta
caracterstica.
Si habilita esta opcin y un usuario ya tiene una cookie de
SMSESSION vlida cuando intenta acceder a un recurso, el IVE

intenta iniciar sesin automticamente usando la cookie de
SMSESSION existente. Si la cookie no es vlida, el IVE borra la cookie
de SMSESSION y las cookies del IVE correspondientes y presenta al
usuario una pgina de tiempo de espera. El IVE delega
correctamente la autenticacin cuando el usuario hace clic en la
opcin volver a iniciar sesin.
Si selecciona esta opcin, el esquema de autenticacin debe tener
una URL de FCC asociada.
180

Opcin
Descripcin
Authorize requests
against SiteMinder
policy server
Seleccione esta opcin si desea usar las reglas del servidor de directivas
SiteMinder para autorizar las solicitudes del recurso Web del usuario. Si
selecciona esta opcin, asegrese de crear las reglas correspondientes
en SiteMinder que comiencen con el nombre del servidor, seguido de
una barra diagonal, como: "www.yahoo.com/", "www.yahoo.com/*" y
"www.yahoo.com/r/f1". Para obtener ms informacin, consulte la
documentacin proporcionada con el servidor SiteMinder.
Si utiliza una directiva de acceso slo con autorizacin, debe seleccionar
esta opcin e introducir valores para las tres siguientes opciones
(se describen a continuacin) para que funcione correctamente la
caracterstica de proxy inverso. Para obtener ms informacin sobre
las directivas de acceso slo con autorizacin, consulte Definicin de
directivas de acceso slo con autorizacin en la pgina 215.
If authorization fails,
redirect to
Introduzca una URL alternativa a la que se redirigirn los usuarios si el

IVE no autoriza y no se recibe una respuesta de redireccionamiento del
servidor de directivas SiteMinder. Si deja este campo vaco, se solicita a
los usuarios que vuelvan a iniciar sesin en el IVE.
Nota:
Si usa una directiva de acceso slo con autorizacin, debe
introducir una URL alternativa en este campo sin importar si

selecciona la opcin Authorize requests against SiteMinder policy
server. Los usuarios son redirigidos a esta URL cuando se produce
un error de denegacin de acceso. Para obtener ms informacin
sobre las directivas de acceso slo con autorizacin, consulte
Definicin de directivas de acceso slo con autorizacin en la
pgina 215.
181

Opcin
Descripcin
Resource for
insufficient
protection level
Introduzca un recurso en el agente Web al que el IVE redirigir a los

usuarios cuando no tengan los permisos correspondientes.
Cuando un usuario accede a un recurso con un nivel de proteccin
mayor que el de la cookie de SMSESSION, obtiene una pgina de inicio
de sesin seguro. Tras volver a autenticarse, obtiene una cookie de
SMSESSION con un mayor nivel de proteccin y es redirigido a una
pgina Web. El tipo de pgina Web que muestra el IVE depende del
mtodo utilizado para volver a autenticar usuarios*:
Un agente Web estndar con "FCCCompatMode = yes"
Si configura el modo de compatibilidad con el recopilador de

credenciales de formularios (FCC) del agente Web** en Yes, los
usuarios sern redirigidos a la pgina que especifique en el campo
Resource for insufficient protection level.
Nota:
- Debe redirigir a los usuarios a una pgina en el agente Web
estndar. El IVE no puede dirigir al usuario al recurso original que
desea acceder.
- No es necesario que introduzca toda la URL que lleva al recurso (por
ejemplo:
https://ventas.suempresa.com/,DanaInfo=www.stdwebagent.com+inde
x.html): slo debe introducir el recurso (index.html).
Un agente Web estndar con "FCCCompatMode = no"
Si configura el modo de compatibilidad con el recopilador de

credenciales de formularios (FCC) del agente Web** en Yes, los
usuarios sern redirigidos a la pgina que especifique en el campo
Resource for insufficient protection level. O bien, si deja este
campo vaco, el usuario es redirigido al recurso original que desea
acceder.
El IVE
Si vuelve a autenticar usuarios mediante el IVE, los usuarios son

redirigidos a la pgina intermedia del IVE descrita en
Reautenticacin de usuarios con niveles insuficientes de proteccin
en la pgina 164. Tenga en cuenta que si desea que el IVE redirija al
usuario al recurso original que deseaba acceder, debe habilitar la
opcin Browser request follow through en la pgina Users > User
Roles > [Territorio] > General > Session Options de la consola de
administracin. (Si deja este campo vaco, pero no habilita la opcin
Browser request follow through, el IVE redirige al usuario a la pgina
de marcadores estndar del IVE.)
* Para obtener ms informacin sobre cmo especificar un mtodo de
reautenticacin, consulte Creacin de un esquema de autenticacin de
SiteMinder para el IVE en la pgina 167.
** Cuando un usuario realiza una solicitud a un recurso protegido,
SiteMinder lo enruta a un recolector de credenciales de formularios
(FCC) que invoca un formulario Web en el servidor de directivas para
recopilar las credenciales.
Ignore authorization
for files with
extensions
182
Introduzca las extensiones de archivo correspondientes a los tipos que

no requieren autorizacin. Debe introducir las extensiones de cada tipo
de archivo que desea pasar por alto, separndolos con una coma. Por
ejemplo, introduzca .gif, .jpeg, .jpg, .bmp para pasar por alto varios
tipos de imgenes. No puede usar caracteres comodn (como *, *.* o .*)
para pasar por alto un rango de tipos de archivo.
Tabla 14: Opciones de configuracin avanzada de eTrust SiteMinder

Opcin
Descripcin
Poll Interval
Introduzca el intervalo en que el IVE sondea el servidor de directivas

Siteminder para comprobar una clave nueva.
Max. Connections
Controla el nmero mximo de conexiones simultneas que el IVE

puede establecer con el servidor de directivas. El ajuste predeterminado
es 20.
Max. Requests/
Connection
Controla el nmero mximo de solicitudes que la conexin del servidor

de directivas maneja antes de que el IVE finalice la conexin. Si fuese
necesario, realice ajustes para mejorar el funcionamiento. El ajuste
predeterminado es 1000.
Idle Timeout
Controla el nmero mximo de minutos que una conexin con el

servidor de directivas puede permanecer inactiva (la conexin no
maneja solicitudes) antes de que el IVE finalice la conexin. El ajuste
predeterminado none indica que no existe un lmite de tiempo.
Authorize while
Authenticating
Especifica que el IVE debe buscar atributos de usuario en el servidor de

directivas inmediatamente despus de la autenticacin para determinar
si el usuario est realmente autenticado. Por ejemplo, si el servidor
eTrust autentica usuarios basndose en un ajuste del servidor LDAP,
puede seleccionar esta opcin para indicar que el IVE debe autenticar
usuarios mediante el servidor eTrust y autorizarlos mediante el servidor
LDAP antes de otorgarles acceso. Si el usuario no realiza la autenticacin
o autorizacin, ser redirigido a la pgina configurada en el servidor
de directivas.
Nota:
Si no selecciona esta opcin y tiene opciones de autorizacin
configuradas mediante la ficha Policy Users > Exclude de la utilidad

de configuracin del servidor de directivas, un usuario al que haya
denegado el acceso puede autenticarse correctamente en el IVE.
El IVE comprueba sus derechos de autorizacin y deniega el acceso
slo cuando el usuario intenta acceder a un recurso protegido.
El IVE enva el mismo recurso al servidor de directivas para su
autorizacin y autenticacin.
Esta opcin no se admite con la opcin Authenticate using HTML
form post descrita en Authenticate using HTML form post en la

pgina 179 o la opcin Automatic sign-in descrita en Automatic
Sign-In en la pgina 177.
Enable Session Grace
Period,
Validate cookie every
N seconds
Puede eliminar el nivel mximo de verificacin de la cookie de

SMSESSION de un usuario cada vez que ste solicita el mismo recurso
indicando que el IVE debe considerar vlida la cookie por un perodo de

tiempo determinado. Durante dicho perodo, el IVE supone que la
cookie en memoria cach es vlida en lugar de volver a validarla en el
servidor de directivas. Si no selecciona esta opcin, el IVE comprueba la
cookie de SMSESSION del usuario en cada solicitud. Tenga en cuenta
que el valor introducido no afecta a la sesin ni la comprobacin del
tiempo de espera por inactividad.
183
Tabla 14: Opciones de configuracin avanzada de eTrust SiteMinder (continuacin)

Opcin
Descripcin
Ignore Query Data
De forma predeterminada, cuando un usuario solicita un recurso, el IVE

enva toda la URL para ese recurso al servidor de directivas (incluido el
parmetro de consulta, si hubiese alguno). Por ejemplo, el IVE puede
enviar la siguiente URL al servidor de directivas:
http://foo/bar?param=value. (Los datos de la consulta aparecen despus
del carcter ? en la URL. Dentro de esta URL, param=value representa el
parmetro de consulta.)
El IVE coloca en memoria cach el resultado de la solicitud de
autorizacin durante 10 minutos, incluyendo el parmetro de consulta.
Si el usuario solicita el mismo recurso que se especific en la URL en
memoria cach, la solicitud arroja un error pues una parte de la consulta
de la URL en memoria cach no coincide con la nueva solicitud. El IVE
deber volver a contactarse con el servidor de directivas para efectuar
una solicitud que incluya el nuevo parmetro de consulta.
Si selecciona la opcin Ignore Query Data, el IVE no coloca en memoria
cach el parmetro de consulta en la URL. Por lo tanto, si un usuario
solicita el mismo recurso como se especific en la URL en memoria
cach, la solicitud no debe arrojar un error. Por ejemplo, si habilita la
opcin Ignore Query Data, las siguientes URL se consideran el mismo
recurso:
http://foo/bar?param=value1
http://foo/bar?param=value2
Habilitar esta opcin puede mejorar el rendimiento.

Accounting Port
El valor introducido en este campo debe coincidir con el valor del puerto
de contabilidad introducido mediante la consola de administracin del
servidor de directivas. De forma predeterminada, este campo coincide
con el ajuste predeterminado 44441 del servidor de directivas.
Authentication Port
de autenticacin introducido mediante la consola de administracin del
Authorization Port
de autorizacin introducido mediante la consola de administracin del
Flush Cache
Se usa para borrar la memoria cach del recurso del IVE, que guarda
en memoria cach la informacin de autorizacin del recurso durante
10 minutos.
Uso de atributos de usuario de SiteMinder para la asignacin de roles

del IVE
Despus de crear atributos de usuario en un servidor de directivas SiteMinder
(consulte Creacin de atributos de usuario de SiteMinder para la asignacin de
roles del IVE en la pgina 171), puede usarlos en las reglas de asignacin de roles
para un territorio que usa el servidor de directivas de SiteMinder.
184
Para usar los atributos de usuario de SiteMinder para la asignacin de roles del IVE:
1. En la consola de administracin, elija Administrators > Admin Realms o
Users > User Realms.
2. En la ficha General de la pgina Authentication Realms correspondientee al
territorio del IVE que usa el servidor de directivas SiteMinder, elija Same as
Above en la lista Directory/Attribute. (Para obtener instrucciones, consulte
Creacin de un territorio de autenticacin en la pgina 196.)
NOTA: Si elige LDAP en la lista Directory/Attribute en lugar de Same as Above,
puede usar los atributos de SiteMinder y LDAP en las reglas de asignacin de roles.
3. En la ficha Role Mapping del IVE, cree una regla basada en los atributos de
usuario del IVE que hacen referencia a una cookie de atributo de usuario de
SiteMinder.
Por ejemplo, para hacer referencia a una cookie de atributo de usuario de
SiteMinder llamada department, agregue department a la lista de atributos de
usuario del IVE en la ficha Role Mapping del IVE. Luego, especifique un valor
para la cookie de atributo de usuario de SiteMinder, como sales. Para obtener
instrucciones, consulte Creacin de reglas de asignacin de roles en la
pgina 199.
Tambin puede usar la siguiente sintaxis para hacer referencia a una cookie de
atributo de usuario SiteMinder en una expresin personalizada para una regla
de asignacin de roles:
userAttr.<cookie-name>
Por ejemplo:
userAttr.department = ("sales" and "eng")
Definicin de un territorio de SiteMinder para el inicio de sesin

automtico
El inicio de sesin automtico de SiteMinder requiere un territorio cuyo servidor
de autenticacin sea el servidor SiteMinder. Si realiza una actualizacin y ya ha
definido el territorio del inicio de sesin automtico que no especifica el servidor
SiteMinder para autenticacin, y adems ha configurado el servidor SiteMinder:
El territorio no aparece en la lista de territorios de SiteMinder bajo sus ajustes

de autenticacin en la consola de administracin.
El proceso de actualizacin crea un nuevo territorio denominado eTrust-AutoLogin-Realm que se basa en el territorio existente, pero que configura el
servidor SiteMinder como su servidor de autenticacin.
185
Para configurar el territorio SiteMinder en una instalacin nueva:

1. Seleccione Authentication > Auth. Servers.
2. Elija SiteMinder en la lista New y haga clic en New Server.
3. Especifique los ajustes que desea, segn se describe en Definicin de una
instancia de servidor eTrust SiteMinder en la pgina 174.
5. Configure el territorio, segn se describe en Creacin de un territorio de
autenticacin en la pgina 196 y seleccione el servidor SiteMinder como
6. Seleccione Authentication > Auth. Servers.
7. Elija el servidor SiteMinder que defini anteriormente.
8. En SiteMinder authentication settings, seleccione la casilla de verificacin
Automatic Sign-In.
9. Elija el territorio que acaba de configurar en la lista de territorios de
autenticacin del usuario.
NOTA: La lista de territorios de autenticacin del usuario en la pgina del servidor
SiteMinder slo muestra territorios que estn configurados para SiteMinder. Si no

ha configurado ningn territorio de SiteMinder, el men desplegable estar vaco.
Depuracin de SiteMinder y problemas del IVE

En algn momento, puede encontrar problemas en la configuracin de las
interacciones del servidor eTrust SiteMinder con el IVE. Puede usar un gran nmero
de herramientas de depuracin para identificar y resolver problemas:
186
Revise el archivo de registro del IVE. El IVE realiza un seguimiento de los

errores de validacin de cookies, solicitudes de autorizacin y sustituciones
clave.
Revise los archivos de registro de autenticacin y autorizacin del servidor

de directivas.
Revise el archivo de registro del agente Web estndar si seleccion la opcin

Authentication using HTLM Form POST.
Confirme que el IVE contiene el sufijo adecuado que defini en el campo

Cookie Domain. Si el IVE no est bien direccionado, es posible que el
explorador no dirija a la cookie de SMSESSION correcta al IVE y quizs no
pueda iniciar sesin. Debe introducir el FQDN del IVE en el explorador, no la
direccin IP del IVE, de lo contrario, fallar el inicio de sesin.
Confirme que la hora de sistema del IVE est sincronizada con la hora del
sistema del servidor SiteMinder. Si las dos horas de sistema son muy
divergentes, los ajustes de tiempo de espera pueden funcionar de forma
incorrecta, rechazando sus intentos de iniciar sesin.
En el servidor SiteMinder, confirme que haya definido las opciones Session

Timeout adecuadas max timeout y idle en el dilogo Siteminder Realm.
Si inicia sesin en el IVE y navega a un agente Web protegido por eTrust,

dirjase a la pgina de inicio de sesin de eTrust en lugar de la pgina de inicio
de sesin nico (SSO), compruebe el valor IVE Cookie Domain para confirmar
que el dominio coincide con el dominio del agente Web protegido por eTrust.
Revise los ajustes para la opcin Send Cookie Securely. Si Send Cookie
Securely se configura en yes, SSO funciona slo con sitios https:// seguros.
Si Send Cookie Securely se configura en no, SSO funciona con sitios http://
y https://.
Configuracin de una instancia de servidor de SAML

El IVE acepta las declaraciones de autenticidad generadas por una autoridad de
SAML usando un perfil de artefacto o un perfil POST. Esta caracterstica permite que
un usuario inicie sesin en un sitio de origen o portal sin pasar primero por el IVE,
acceder al IVE con un inicio de sesin nico (SSO) mediante el servidor de
consumidor SAML.
En consecuencia, el usuario que se autentica en cualquier lugar puede acceder a los
recursos ocultos del IVE sin volver a iniciar sesin.
Uso del perfil de artefacto y del perfil POST

Los dos perfiles admitidos proporcionan mtodos diferentes para realizar la misma
tarea. La meta del usuario final es iniciar sesin en todos los recursos deseados de
una sola vez, sin experimentar varias pginas de inicio de sesin para diferentes
recursos o aplicaciones. Aunque el usuario final desea transparencia, usted, el
administrador, desea garantizar la completa seguridad de los recursos del sistema,
sin importar los servidores o sitios representados.
El perfil de artefacto requiere que elabore un mensaje HTTP de respuesta
automatizada a la solicitud que el explorador pueda recuperar basndose en una
solicitud HTTP GET. Para ver los detalles de este mtodo, consulte Uso del
escenario del perfil de artefacto en la pgina 188.
El perfil POST requiere que elabore un formulario HTML que pueda contener la
declaracin SAML y que se pueda enviar mediante una accin del usuario final o
una accin de script, usando el mtodo HTTP POST. Para ver los detalles de este
mtodo, consulte Uso del escenario del perfil POST en la pgina 189.
187
Uso del escenario del perfil de artefacto

En general, el servidor SAML admite el siguiente escenario de perfil de artefacto:
1. El usuario accede a un sitio Web mediante un explorador. El sitio de origen
podra ser un portal corporativo que usa un sistema de administracin de
acceso con autenticacin del IVE.
2. El sitio de origen solicita al usuario su nombre de usuario y contrasea.
3. El usuario proporciona esta informacin, con lo cual el sitio de origen se
autentica mediante una llamada a un directorio LDAP u otro servidor de
autenticacin.
4. El usuario hace clic en el vnculo del sitio de origen, que dirige a un recurso en
un servidor que est protegido de forma oculta del IVE.
5. El vnculo redirige al usuario a la URL de servicio de transferencia entre sitios
en el sitio de origen. El sitio de origen extrae un mensaje de declaracin de
autenticacin de su memoria cach y lo adjunta en un mensaje SOAP. El sitio
de origen elabora un artefacto SAML (cadena Base64) que devuelve al
explorador en una URI junto con la direccin de destino y declaracin.
6. El sitio de destino consulta la declaracin autenticada del sitio de origen,
basndose en el artefacto que recibe del sitio de origen.
7. Si el tiempo transcurrido se encuentra dentro del tiempo permitido de
desviacin del reloj, el IVE acepta la declaracin como una autenticacin vlida
y el usuario cumple cualquier otra restriccin de directiva del IVE, el IVE otorga
acceso al usuario al recurso solicitado.
Las tareas principales que debe completar para admitir el IVE como la parte de
confianza con el perfil de artefacto son:
188
Implementar el servicio de declaracin del consumidor, que:
Recibe la URL de redireccionamiento que contiene el artefacto
Genera y enva la solicitud de SAML
Recibe y procesa la respuesta de SAML
Integrar el servicio de declaracin del consumidor con el proceso existente del

IVE, que:
Asigna la declaracin de SAML a un usuario local
Crea una sesin de usuario del IVE
Realiza una autorizacin local
Sirve el recurso o deniega el acceso
Uso del escenario del perfil POST

Por lo general, el servidor SAML admite el escenario del perfil POST, del siguiente
modo:
1. El usuario final accede al sitio Web de origen, de ahora en adelante conocido
como sitio de origen.
2. El sitio de origen verifica si el usuario tiene o no una sesin actual.
3. Si no la tiene, el sitio de origen solicita al usuario que introduzca las
credenciales de usuario.
4. El usuario proporciona las credenciales, por ejemplo, el nombre de usuario y la
contrasea.
5. Si la autenticacin es correcta, el servidor de autenticacin del sitio de origen
crea una sesin para el usuario y muestra la pgina de bienvenida
correspondiente de la aplicacin del portal.
6. El usuario selecciona una opcin del men o un vnculo que dirige a un recurso
o aplicacin en un sitio Web de destino.
7. La aplicacin del portal dirige la solicitud al servicio de transferencia local entre
sitios, que se puede alojar en el sitio de origen. La solicitud contiene la URL del
recurso en el sitio de destino; en otras palabras, la TARGET URL.
8. El servicio de transferencia entre sitios enva el formulario HTML de vuelta al
explorador. HTML FORM contiene una respuesta SAML, dentro de la cual hay
una declaracin de SAML. La respuesta se puede firmar digitalmente. Por lo
general, el HTML FORM contendr una accin de entrada o envo que resultar
en un HTTP POST. ste puede ser un botn Submit en que el usuario puede
hacer clic o un script que inicie de manera programtica HTTP POST.
9. El explorador, debido a una accin del usuario o por una accin de envo
automtico, enva un HTTP POST que contiene la respuesta SAML al servicio
de declaracin del consumidor del sitio Web de destino.
10. El consumidor de la declaracin de la parte que responde (en este caso,
en el sitio Web de destino) valida la firma digital en la respuesta de SAML.
11. Si es vlida, el consumidor de declaracin enva un redireccionamiento al
explorador, lo que hace que ste acceda al recurso TARGET.
12. El IVE, en el sitio de destino, verifica que el usuario est autorizado a acceder al
sitio de destino y al recurso TARGET.
13. Si el usuario tiene autorizacin para acceder al sitio de destino y al recurso
TARGET, el IVE devuelve el recurso TARGET al explorador.
189
Las tareas principales que debe completar para admitir el IVE como la parte de
confianza con el perfil POST son:
Implementar el servicio de declaracin de consumidor que recibe y procesa el

formulario POST.
Integrar el servicio de declaracin del consumidor con el proceso existente del

IVE, que:
Asigna la declaracin de SAML a un usuario local
Crea una sesin de usuario del IVE
Realiza una autorizacin local
Sirve el recurso o deniega el acceso
Comprensin de las declaraciones

Cada parte en la comunicacin de la respuesta a la solicitud debe respetar
determinados requisitos que proporcionan una infraestructura predecible para que
las declaraciones y artefactos se puedan procesar de forma correcta.
El artefacto es una cadena codificada por Base64 de 40 bytes. Un artefacto

acta como un token que hace referencia a una declaracin en el sitio de
origen, de modo que el portador del artefacto, el IVE, pueda autenticar a un
usuario que firm en el sitio de origen y que desea acceder al recurso protegido
por el IVE. El sitio de origen enva el artefacto al IVE en un redireccionamiento,
despus de que el usuario intenta acceder a un recurso protegido por el IVE.
El artefacto contiene:
TypeCode: Cdigo hexadecimal de 0x0001 de 2 bytes que identifica el tipo
de artefacto.
SourceID: Cadena encriptada de 20 bytes que determina la identidad

y ubicacin del sitio de origen. El IVE mantiene una tabla de valores de
SourceID y la URL del respondedor SAML correspondiente. El IVE y el sitio
de origen comunican esta informacin en un canal posterior. Al recibir un
artefacto SAML, el IVE determina si SourceID pertenece o no a un sitio de
origen conocido, y, si es as, obtiene la ubicacin del sitio antes de enviar
una solicitud SAML. El sitio de origen genera SourceID realizando los
clculos del hash SHA-1 de la URL propia del sitio de origen.
AssertionHandle: Valor aleatorio de 20 bytes que identifica una declaracin
almacenada o generada por el sitio de origen. Al menos 8 bytes de este

valor deben obtenerse de un RNG o PRNG con seguridad criptogrfica.
El servicio de transferencia entre sitios es la URL del proveedor de identidades

en el sitio de origen (no el IVE). Su especificacin de esta URL en la consola de
administracin habilita el IVE para elaborar una solicitud de autenticacin en el
sitio de origen, que mantiene en memoria cach las credenciales del usuario.
La solicitud es similar al siguiente ejemplo:
GET http://<inter-site transfer host name and path>?TARGET=<Target><HTTPVersion><other HTTP 1.0 or 1.1 components>
190
En el ejemplo anterior, <el nombre de host y la ruta de transferencia entre sitios>

consta de los componentes de nombre de host, nmero de puerto y ruta de la
URL de transferencia entre sitios en el origen y donde Target=<Target>
especifica el recurso de destino objetivo en el sitio de destino (IVE protegido).
Puede que la solicitud tenga la siguiente apariencia:
GET http://10.56.1.123:8002/xferSvc?TARGET=http://www.dest.com/sales.htm
El servicio de transferencia entre sitios redirige el explorador del usuario al

servicio de declaracin del consumidor en el sitio de destino: en este caso,
el IVE. La respuesta HTTP del servicio de transferencia entre sitios del sitio
de origen debe tener el siguiente formato:
<HTTP-Version> 302 <Reason Phrase>
<other headers>
Location: http://<assertion consumer host name and path>?<SAML
searchpart><other HTTP 1.0 or 1.1 components>
En el ejemplo anterior, <el nombre de host y la ruta de la declaracin de

consumidor> proporcionan los componentes de nombre de host, nmero de
puerto y ruta de una URL de declaracin del consumidor en el sitio de destino y
donde <SAML searchpart>= TARGET=<Target> SAMLart=<SAML artifact>
consta de una descripcin objetivo, que debe incluirse en el componente
<SAML searchpart>. Por lo menos debe incluirse un artefacto SAML en el
componente <SAML searchpart> de SAML. La parte de la declaracin puede
incluir varios artefactos SAML.
NOTA:
Puede usar el cdigo de estado 302 para indicar que el recurso solicitado
reside temporalmente en una URL diferente.
Si <SAML searchpart> contiene ms de un artefacto, todos los artefactos

deben compartir el mismo SourceID.
Puede que el redireccionamiento tenga este aspecto:

HTTP/1.1 302 Found
Location:
http://www.ive.com:5802/artifact?TARGET=/www.ive.com/&SAMLart=artifact
El explorador del usuario accede al servicio de declaracin del consumidor, con

un artefacto SAML que representa la informacin de autenticacin del usuario
adjunta a la URL.
La solicitud HTTP debe aparecer del siguiente modo:
GET http://<assertion consumer host name and path>?<SAML searchpart>
<HTTP-Version><other HTTP 1.0 or 1.1 request components>
En el ejemplo anterior, <el nombre de host y la ruta de la declaracin del

consumidor> proporcionan los componentes de nombre de host, nmero de
puerto y ruta de una URL de declaracin de consumidor en el sitio de destino.
191
<SAML searchpart>= TARGET=<Target>SAMLart=<SAML artifact>
Es IMPRESCINDIBLE incluir una nica descripcin de objetivo en el

componente <SAML searchpart>. Se DEBE incluir al menos un artefacto SAML
en el componente <SAML searchpart>; PUEDEN incluirse varios artefactos
SAML. Si se transporta ms de un artefacto dentro de <SAML searchpart>, todos
los artefactos DEBEN tener el mismo SourceID.
No debe exponer la URL de declaracin del consumidor, excepto sobre SSL 3.0
o TLS 1.0. De lo contrario, los artefactos transmitidos podran estar disponibles
en texto plano para un atacante.
El issuer value normalmente es la URL del sitio de origen. Puede especificar la

variable <ISSUER> que devolver el valor del emisor de la declaracin.
El user name template es una referencia al elemento identificador del nombre

de SAML, que permite que la parte de la declaracin proporcione un formato
para el nombre de usuario. La especificacin de SAML permite valores en los
siguientes formatos:
Unspecified: Indica que la interpretacin del contenido queda a discrecin

de las implementaciones individuales. En este caso, puede usar la variable
assertionName.
Email Address: Indica que el contenido est en el formato de una direccin

de correo electrnico. En este caso, puede usar la variable assertionName.
X.509 Subject Name: Indica que el contenido est en el formato de un

nombre de sujeto X.509. En este caso, puede usar la variable
assertionNameDN.<RDN>.
Windows Domain Qualified Name: Indica que el contenido es una cadena

en el formato NombreDeDominio\NombreDeUsuario.
Debe definir la plantilla de nombre de usuario para aceptar el tipo de nombre de

usuario que contiene la declaracin de SAML.
Para evitar la intercepcin en el artefacto SAML, los sitios de origen y destino

deben sincronizar sus relojes de la forma ms precisa posible. El IVE
proporciona un atributo Allowed Clock Skew que seala la diferencia horaria
mxima entre el IVE y el sitio de origen. El IVE rechaza cualquier declaracin
cuyo tiempo exceda la desviacin del reloj permitida.
Creacin de una nueva instancia de servidor SAML

Para crear una nueva instancia de servidor SAML y configurar los elementos
comunes:
1. En la consola de administracin, seleccione Authentication > Auth. Servers.
2. Seleccione SAML Server en la lista New y haga clic en New Server.
4. En Settings, especifique la Source Site Inter-Site Transfer Service URL.
192
5. Especifique el issuer value para el sitio de origen. Normalmente, la URI o

nombre de host del emisor de la declaracin.
6. Especifique la user name template, que es una cadena de asignacin de la
declaracin de SAML para un territorio de usuario del IVE. Por ejemplo,
introduzca <assertionNameDN.CN>, que deriva el nombre de usuario del valor
CN en la declaracin. Para obtener ms informacin sobre los valores
permitidos para este objeto, consulte Configuracin de una instancia de
servidor de SAML en la pgina 187.
7. Especifique el valor Allowed Clock Skew, en minutos. Este valor determina la
diferencia mxima permitida en tiempo entre el reloj del IVE y el reloj del sitio
de origen.
8. Proceda a definir la configuracin para el perfil de artefacto, segn se describe
en Configuracin de la instancia de servidor SAML para usar el perfil
de artefacto en la pgina 193 o para el perfil POST como se describe en
Configuracin de la instancia de servidor SAML para usar el perfil POST en la
pgina 194.
Configuracin de la instancia de servidor SAML para usar el perfil

de artefacto
Para configurar el servidor SAML para que use el perfil de artefacto, retome el
siguiente procedimiento desde el paso anterior en Creacin de una nueva
instancia de servidor SAML en la pgina 192.
1. En la pgina New SAML Server, introduzca Source ID. El ID de origen es el
identificador de 20 bytes que el IVE usa para reconocer una declaracin de
un sitio de origen determinado.
2. Introduzca la Source SOAP Responder Service URL. Esta URL debe
especificarse en forma de HTTPS: protocolo.
3. Elija el tipo de SOAP Client Authentication.
Si elige HTTP Basic, debe introducir el nombre y la contrasea, y confirmar

la contrasea.
Si elige SSL Client Certificate, elija un certificado del IVE en el men

desplegable.
La ficha Settings permite modificar cualquiera de los ajustes relativos a la
instancia de servidor SAML y el perfil de artefacto. La ficha Users indica los
usuarios vlidos del servidor.
193
Configuracin de la instancia de servidor SAML para usar el perfil POST

Para configurar el servidor SAML de modo que use el perfil POST, retome el
siguiente procedimiento desde el paso anterior en Creacin de una nueva
instancia de servidor SAML en la pgina 192.
1. En la pgina New SAML Server, seleccione la opcin Post.
2. Introduzca el nombre o ubicacin del certificado de firma de respuesta. Este es
el certificado de firma con formato PEM, que se carga para la verificacin de
firma de la respuesta de SAML.
El certificado que seleccione debe ser el mismo que us para firmar la
respuesta de SAML en el sitio de origen. El sitio de origen puede enviar este
certificado junto con la respuesta de SAML, dependiendo de la configuracin
del sitio de origen. De forma predeterminada, el sistema realiza la verificacin
de firma de la respuesta de SAML, primero en el certificado configurado
localmente. Si un certificado no se configur localmente en el servidor de
autenticacin SAML, el sistema lleva a cabo la verificacin de la firma en el
certificado que se incluye en la respuesta de SAML del sitio de origen.
3. Seleccione la opcin Enable Signing Certificate status checking si desea que
el IVE pueda comprobar la validez del certificado de firma configurado en el
perfil POST del servidor de autenticacin SAML. Es posible que el certificado
haya vencido, si fue revocado.
4. Si ya tiene un certificado cargado y desea usar otro, encuentre el certificado y
haga clic en Delete. Ahora, puede instalar otro certificado.
La ficha Settings permite modificar cualquiera de los ajustes relativos a la
instancia de servidor SAML y el perfil de artefacto. La ficha Users indica los
usuarios vlidos del servidor.
194
Captulo 8
Un territorio de autenticacin especifica las condiciones que los usuarios deben
cumplir para iniciar sesin en el IVE. Un territorio consiste en un grupo de recursos
de autenticacin, que incluye:
Un servidor de autenticacin, que verifica que el usuario es quien dice ser.

El IVE reenva las credenciales que enva el usuario a travs de la pgina de
inicio de sesin a un servidor de autenticacin. Para obtener ms informacin,
consulte Servidores de autenticacin y de directorios en la pgina 111.
Un servidor de directorios, que corresponde a un servidor LDAP que le

proporciona al IVE informacin del usuario y del grupo que ste utiliza para
asignar usuarios a uno o ms roles. Para obtener ms informacin, consulte
Servidores de autenticacin y de directorios en la pgina 111.
Una directiva de autenticacin, que especifica los requisitos de seguridad del

territorio que debern cumplirse para que el IVE enve las credenciales del
usuario a un servidor de autenticacin para verificarlas. Para obtener ms
informacin, consulte Definicin de directivas de autenticacin en la
pgina 198.
Reglas de asignacin de roles, que son condiciones que un usuario debe

cumplir para que el IVE lo asigne a uno o ms roles. Estas condiciones se basan
en la informacin del usuario devuelta por el servidor de directorios del
territorio o en el nombre de usuario. Para obtener ms informacin, consulte
Creacin de reglas de asignacin de roles en la pgina 199.
Esta seccin contiene la siguiente informacin acerca de los territorios de

autenticacin:
Licencia: disponibilidad de territorios de autenticacin en la pgina 196
Creacin de un territorio de autenticacin en la pgina 196
Definicin de directivas de autenticacin en la pgina 198
Creacin de reglas de asignacin de roles en la pgina 199
Personalizacin de vistas de UI de territorios de usuario en la pgina 209
195
Licencia: disponibilidad de territorios de autenticacin

Los territorios de autenticacin forman parte integral de la estructura de
administracin de acceso del IVE, por lo que estn disponibles en todos los
productos Secure Access. Sin embargo, tenga presente que no hay disponibles
expresiones personalizadas en el dispositivo SA 700 y que slo estn disponibles en
todos los dems productos Secure Access previa adquisicin de una licencia
especial. Por lo tanto, al crear un territorio, no todos los administradores pueden
crear reglas de avanzadas de asignacin de roles mediante expresiones
personalizadas.
Creacin de un territorio de autenticacin

Para crear un territorio de autenticacin:
1. En la consola de administracin, seleccione Administrators > Admin Realms
o Users > User Realms.
2. En la pgina Authentication Realms correspondiente, haga clic en New.
Tambin puede seleccionar un territorio y hacer clic en Duplicate para basar su
territorio en uno ya existente.
3. Introduzca un nombre para identificar este territorio y (opcionalmente) una
descripcin.
4. Si copia un territorio existente, haga clic en Duplicate. Luego, si desea
modificar alguno de los ajustes, haga clic en el nombre del territorio y pase al
modo de edicin.
5. Seleccione When editing, start on the Role Mapping page si desea que quede
seleccionada la ficha Role Mapping al abrir el territorio para su edicin.
6. En Servers, especifique:
Un servidor de autenticacin, que se utiliza para autenticar usuarios que

inician sesin en este territorio.
Un servidor de directorio o atributos, que se utiliza para recuperar

informacin sobre atributos de usuarios o grupos para las normas de
asignacin de roles y directivas de recursos. (opcional)
Un servidor de contabilidad RADIUS, que se utiliza para hacer seguimiento

de los inicios y cierres de sesin del usuario en el IVE (opcional).
NOTA: Si el servidor LDAP est inactivo, la autenticacin del usuario falla. Puede
encontrar mensajes y advertencias en los archivos de registro de eventos. Con un
servidor de atributos inactivo, la autenticacin de usuario no falla, sino que la lista
de grupos o atributos para la asignacin de roles y evaluacin de directivas est
vaca.
196
Licencia: disponibilidad de territorios de autenticacin
Captulo 8: Territorios de autenticacin
7. Si desea enviar las credenciales secundarias de los usuarios a un recurso

habilitado por SSO o habilitar una autenticacin de dos factores para acceder al
IVE (segn lo explicado en Informacin general de credenciales de inicios de
sesin mltiples en la pgina 226), seleccione Additional authentication
server. Despus:
a.
Seleccione el nombre del servidor de autenticacin secundario. Tenga en

cuenta que no puede elegir un servidor annimo, un servidor de
certificados ni un servidor eTrust SiteMinder.
b.
Seleccione Username is specified by user on sign-in page si desea pedir

al usuario que enve de forma manual su nombre de usuario al servidor
secundario durante el proceso de inicio de sesin del IVE. De lo contrario,
si desea enviar automticamente un nombre de usuario a un servidor
secundario, introduzca texto esttico o una variable vlida en el campo
predefined as. De forma predeterminada, el IVE enva la variable de sesin
<username>, que contiene el mismo nombre de usuario usado para iniciar
sesin en el servidor de autenticacin primario.
c.
Seleccione Password is specified by user on sign-in page si desea pedir al

usuario que enve de forma manual su contrasea al servidor secundario
durante el proceso de inicio de sesin del IVE. De lo contrario, si desea
enviar automticamente una contrasea a un servidor secundario,
introduzca texto esttico o una variable vlida en el campo predefined as.
d. Seleccione End session if authentication against this server fails si

desea controlar el acceso al IVE segn la autenticacin correcta de
las credenciales secundarias del usuario. Cuando se selecciona, la
autenticacin falla si tambin fallan las credenciales secundarias del
usuario.
8. Si desea usar la evaluacin dinmica de directivas para este territorio (como
se explica en Evaluacin dinmica de directivas en la pgina 57), seleccione
Dynamic policy evaluation a fin de habilitar un temporizador automtico para
la evaluacin dinmica de directivas de la directiva de autenticacin, reglas de
asignacin de roles y restricciones de roles de este territorio. Despus:
a.
Use la opcin Refresh interval para especificar la frecuencia con que desea
que el IVE debe llevar a cabo una evaluacin automtica de directivas a
todos los usuarios de territorios actualmente en sesin. Especifique los
minutos (de 5 a 1440).
b.
Seleccione Refresh roles para actualizar los roles de todos los usuarios de
este territorio. (Esta opcin no controla el mbito del botn Refresh Now.)
c.
Seleccione Refresh resource policies para actualizar las directivas de

recursos (sin incluir Meeting ni Email Client) para todos los usuarios de este
territorio. (Esta opcin no controla el mbito del botn Refresh Now.)
NOTA: Si selecciona Dynamic policy evaluation y no selecciona Refresh roles ni

Refresh resource policies, el IVE slo evala la directiva de autenticacin del
territorio, reglas de asignacin de roles y las restricciones de roles.
Creacin de un territorio de autenticacin
197
d. Haga clic en Refresh Now para evaluar manualmente la directiva de

autenticacin, las reglas de asignacin de roles, las restricciones de roles,
los roles de usuario y las directivas de recursos del territorio de todos los
usuarios del territorio actualmente en sesin. Use este botn si desea hacer
cambios a una directiva de autenticacin, a reglas de asignacin de roles,
a restricciones de roles o a directivas de recursos, y si desea actualizar
inmediatamente los roles de los usuarios de este territorio.
NOTA: Debido a que la evaluacin dinmica de directivas puede tener un impacto
en el rendimiento del sistema, tenga presentes las siguientes pautas:
Debido a que la actualizacin automtica (con temporizador) de los roles de

usuario y de las directivas de recursos puede afectar al rendimiento del
sistema, puede mejorarlo inhabilitando una de las opciones Refresh roles y
Refresh resource policies, o ambas, para reducir el mbito de la
actualizacin.
Para mejorar el rendimiento, configure la opcin Refresh interval para un

perodo mayor.
Use el botn Refresh Now en ocasiones en que los usuarios no puedan verse
afectados.
9. Haga clic en Save Changes para crear el territorio en el IVE. Aparecen las fichas
General, Authentication Policy y Role Mapping del territorio de autenticacin.
10. Realice los siguientes pasos de configuracin:
a.
Configure una o ms reglas de asignacin de roles como se describe en

Creacin de reglas de asignacin de roles en la pgina 199.
b.
Configure una directiva de autenticacin para el territorio como se describe

en Definicin de directivas de autenticacin en la pgina 198.
Definicin de directivas de autenticacin

Una directiva de autenticacin corresponde a un conjunto de reglas que controla un
aspecto de la administracin de acceso: si se debe presentar o no a un usuario una
pgina de inicio de sesin de un territorio. Una directiva de autenticacin forma
parte de la configuracin de un territorio de autenticacin, que especifica reglas
para que el IVE considere antes de presentar una pgina de inicio de sesin a un
usuario. Si ste cumple los requisitos especificados por la directiva de autenticacin
del territorio, el IVE presenta la pgina de inicio de sesin correspondiente al
usuario; luego, reenva las credenciales del usuario al servidor de autenticacin
correspondiente. Si este servidor autentica correctamente al usuario, el IVE pasa al
proceso de evaluacin de roles.
198
Definicin de directivas de autenticacin
Para especificar una directiva de territorio de autenticacin:

2. En la pgina Authentication Realms correspondiente, haga clic en un territorio
y en la ficha Authentication Policy.
3. En la pgina Authentication Policy, configure una o ms de las opciones de
administracin de acceso en las siguientes secciones:

en la pgina 60

pgina 62

pgina 65

pgina 66

pgina 67

pgina 671
Especificacin de las restricciones de lmite en la pgina 67
Creacin de reglas de asignacin de roles

Las reglas de asignacin de roles son condiciones que un usuario debe cumplir para
que el IVE lo asigne a uno o ms roles. Estas condiciones se basan ya sea en la
informacin del usuario devuelta por el servidor de directorio del territorio o en el
nombre de usuario. Debe especificar directivas de asignacin de roles en el
siguiente formato:
If the specified condition is|is not true, then map the user to the selected roles.
1. No disponible en territorios de administrador.

Creacin de reglas de asignacin de roles 199
Cree una regla de asignacin de roles en la ficha Role Mapping de un territorio de

autenticacin. (En el caso de los administradores, cree reglas de asignacin de roles
en la ficha Administrators > Admin Realms > [Territorio] > Role Mapping. En el
caso de los usuarios, cree reglas de asignacin de roles en la ficha Users > User
Realms > [Territorio] > Role Mapping.) Al hacer clic en New Rule en esta ficha,
aparece la pgina Role Mapping Rule con un editor en lnea para definir la regla.
Este editor lo gua por los tres pasos de la creacin de una regla:
1. Especifique el tipo de condicin en que desea basar la regla. Las opciones son:
Nombre de usuario
Atributo de usuario
Certificado o atributo de certificado
Asociacin de grupo
Expresiones personalizadas
2. Especifique la condicin que desea evaluar, que consiste en:

a.
Especificar uno o ms nombres de usuarios, atributos de usuario, atributos

de certificado, grupos (LDAP) o expresiones dependiendo del tipo de
condicin seleccionada en el paso 1.
b.
Especificar a qu deben equivaler los valores, lo que puede incluir una lista
de nombres de usuario, valores de atributos de usuario de un servidor
RADIUS o LDAP, valores de certificado del lado cliente (estticos o
comparados con atributos de LDAP), grupos de LDAP o expresiones
personalizadas predefinidas.
3. Especifique los roles que se deben asignar al usuario autenticado.

El IVE compila una lista de roles vlidos que se pueden asignar al usuario, que se
especifican mediante las reglas de asignacin de roles que cumple el usuario. A
continuacin, el IVE evala la definicin de cada rol a fin de determinar si el usuario
cumple las restricciones de roles. El IVE usa esta informacin para recopilar una
lista de roles vlidos, que corresponden a roles cuyos requisitos cumple el usuario.
Finalmente, el IVE lleva a cabo una combinacin permisiva de los roles vlidos o
presenta una lista de roles vlidos para el usuario, dependiendo de la configuracin
especificada en la ficha Role Mapping del territorio.
Para obtener ms informacin sobre roles, consulte Roles de usuario en la
pgina 69. Para obtener ms informacin sobre la especificacin de reglas de
asignacin de roles, consulte Cmo especificar reglas de asignacin de roles para
un territorio de autenticacin en la pgina 201.
200
Cmo especificar reglas de asignacin de roles para un territorio de autenticacin

Al crear una nueva regla que use atributos de usuario de LDAP o SiteMinder,
informacin de grupo de LDAP o expresiones personalizadas, debe usar el catlogo
de servidores. Para obtener ms informacin sobre este catlogo, consulte Uso del
catlogo de servidores LDAP en la pgina 203.
Para especificar las reglas de asignacin de roles para un territorio de autenticacin:
2. En la pgina Authentication Realms correspondiente, seleccione un territorio
y haga clic en la ficha Role Mapping.
3. Haga clic en New Rule para acceder a la pgina Role Mapping Rule, que
proporciona un editor en lnea para definir la regla.
4. En la lista Rule based on, seleccione una de las siguientes opciones:
Username: Username es el nombre de usuario de IVE introducido en la

pgina de inicio de sesin. Elija esta opcin si desea asignar usuarios a
roles segn los nombres de usuario del IVE. Este tipo de regla est
disponible para todos los territorios.
User attribute: User attribute es un atributo de usuario procedente de un

servidor RADIUS, LDAP o SiteMinder. Elija esta opcin si desea asignar
usuarios a roles segn un atributo del servidor correspondiente. Este tipo
de regla est disponible slo para territorios que usen un servidor RADIUS
como servidor de autenticacin o que usen un servidor LDAP o SiteMinder
como servidor de autenticacin o de directorio. Despus de elegir la opcin
User attribute, haga clic en Update para que aparezca la lista Attribute y el
botn Attributes. Haga clic en el botn Attributes para que aparezca el
catlogo de servidores.
Para agregar atributos de usuario de SiteMinder, introduzca el nombre

de la cookie de atributos de usuario de SiteMinder en el campo
Attribute del catlogo de servidores y haga clic en Add Attribute. Al
terminar de agregar los nombres de las cookies, haga clic en OK. El IVE
muestra los nombres de las cookies de los atributos de usuario de
SiteMinder en la lista Attribute de la pgina Role Mapping Rule.
Para obtener informacin sobre el uso del catlogo de servidores para

agregar los atributos de usuario de LDAP, consulte Uso del catlogo de
servidores LDAP en la pgina 203).
Certificate or Certificate attribute: Certificate o Certificate attribute es un

atributo compatible con el certificado de lado del cliente del usuario. Elija
esta opcin si desea asignar usuarios a roles segn atributos de certificados.
La opcin Certificate est disponible para todos los territorios; la opcin
Certificate attribute est disponible slo para territorios que usen LDAP
como servidor de autenticacin o de directorio. Despus de elegir esta
opcin, haga clic en Update para que aparezca el cuadro de texto Attribute.
Group membership: Group membership es informacin de grupo de un

servidor LDAP o Active Directory que se agrega a la ficha Groups del
catlogo de servidores. Elija esta opcin si desea asignar usuarios a roles
segn la informacin de grupo de LDAP o Active Directory. Este tipo de
regla est disponible para territorios que usan un servidor LDAP como
servidor de autenticacin o de directorio, o que usan un servidor Active
Directory para autenticacin. (Tenga en cuenta que no puede especificar un
servidor Active Directory como servidor de autorizacin para un territorio.)
Custom Expressions: Custom Expressions es una o varias expresiones

personalizadas que se definen en el catlogo de servidores. Elija esta
opcin si desea asignar usuarios a roles segn expresiones personalizadas.
Este tipo de regla est disponible para todos los territorios. Despus de
elegir esta opcin, haga clic en Update para que aparezcan las listas
Expressions. Haga clic en el botn Expressions para que aparezca la ficha
Expressions del catlogo de servidores.
NOTA: Si agrega ms de una expresin personalizada a la misma regla, el IVE crea

una regla OR para dichas expresiones. Por ejemplo, puede agregar las siguientes
expresiones a una sola regla:
Expresin 1: cacheCleanerStatus = 1
Expresin 2: loginTime = (8:00AM TO 5:00PM)
Segn estas expresiones, un usuario coincidira con esta regla si el Cache Cleaner
se estaba ejecutando en su sistema O (OR) si inici sesin en el IVE entre las 8:00
y las 5:00.
5. En Rule, especifique la condicin que desea evaluar, que corresponde al tipo de
regla que seleccione y consiste en:
a.
Especificar uno o ms nombres de usuario, nombres de cookies de

atributos de usuario de SiteMinder, atributos de usuario de RADIUS o LDAP,
atributos de certificado, grupos de LDAP o expresiones personalizadas.
b.
Especificar a qu deben equivaler los valores, lo que puede incluir una lista
de nombres de usuario del IVE, valores de atributos de usuario de un
servidor RADIUS, SiteMinder o LDAP, valores de certificado del lado cliente
(estticos o valores de atributos de LDAP), grupos de LDAP o expresiones
personalizadas predefinidas.
Por ejemplo, puede escoger una cookie de atributos de usuario de
SiteMinder llamada department de la lista Attribute, elija is en la lista de
operadores e introduzca "sales" y "eng" en el cuadro de texto.
Tambin puede introducir una regla de expresin personalizada que se
refiera a la cookie de atributos de usuario de SiteMinder llamada
department:
userAttr.department = ("sales" and "eng")
202
6. En ...then assign these roles:

a.
Especifique los roles que se deben asignar al usuario autenticado

agregndolos a la lista Selected Roles.
b.
Seleccione Stop processing rules when this rule matches si desea que el
IVE deje de evaluar las reglas de asignacin de roles si el usuario cumple las
condiciones especificadas para esta reglas.
7. Haga clic en Save Changes para crear la regla en la ficha Role Mapping.
Una vez finalizada la creacin de las reglas:
Ordnelas segn la forma en que quiere que el IVE las evale. Esta tarea es
especialmente importante si desea detener el procesamiento de las reglas
de asignacin de roles una vez encontrada una coincidencia.
Especifique si desea o no combinar ajustes para todos los roles asignados.

Consulte Pautas de combinacin permisiva en la pgina 72.
Uso del catlogo de servidores LDAP

El catlogo de servidores LDAP corresponde a una ventana secundaria a travs de
la cual puede especificar informacin de LDAP adicional para que el IVE la use al
asignar usuarios a roles, como:
Attributes: La ficha Server Catalog Attributes muestra una lista de atributos de

LDAP, como cn, uid, uniquemember y memberof. Esta ficha est disponible slo
al acceder al catlogo de servidores de un servidor LDAP. Puede usar esta ficha
para administrar los atributos del servidor LDAP agregando valores
personalizados al catlogo de servidores del IVE o borrando valores de l. Tenga
en cuenta que el IVE mantiene una copia local de los valores del servidor LDAP;
los atributos no se agregan al diccionario del servidor LDAP ni se eliminan
de l.
Groups: La ficha Server Catalog Groups proporciona un mecanismo que

permite recuperar fcilmente informacin de grupo de un servidor LDAP y
agregarla al catlogo de servidores del IVE del servidor. Especifique BaseDN de
sus grupos y, de forma opcional, un filtro para iniciar la bsqueda. Si no conoce
el contenedor exacto de sus grupos, puede especificar la raz del dominio como
BaseDN, como dc=juniper, dc=com. La pgina de bsqueda muestra una lista de
grupos de su servidor, en la cual puede escoger los grupos que desea agregar a
la lista Groups.
NOTA: El valor de BaseDN especificado en la pgina de configuracin del servidor

LDAP en Finding user entries corresponde al valor predeterminado de BaseDN.
El valor predeterminado del filtro es (cn=*).
Tambin puede usar la ficha Groups para especificar grupos. Debe especificar
el Nombre completo totalmente calificado (FQDN) de un grupo, como
cn=Gerentesdecalidad, ou=HQ, ou=Juniper, o=com, c=US, pero puede
asignar una etiqueta para este grupo que aparece en la lista Groups. Tenga en
cuenta que slo puede acceder a esta ficha si accede al catlogo de servidores
de un servidor LDAP.
Expressions: La ficha Server Catalog Expressions proporciona un mecanismo

que permite escribir expresiones personalizadas para la regla de asignacin de
roles. Para obtener ms informacin sobre expresiones personalizadas,
consulte Escritura de expresiones personalizadas en la pgina 1041.
Para er el catlogo de servidores LDAP:

1. Despus de elegir la opcin User attribute de la pgina Role Mapping Rule
(consulte Cmo especificar reglas de asignacin de roles para un territorio de
autenticacin en la pgina 201), haga clic en Update para que aparezca la lista
Attribute y el botn Attributes.
2. Haga clic en el botn Attributes para que aparezca el catlogo de servidores
LDAP. (Tambin puede hacer clic en Groups despus de elegir la opcin Group
membership o hacer clic en Expressions despus de elegir la opcin Custom
Expressions.)
Figura 24: Catlogo de servidores > Ficha Attributes: Agregar un atributo para LDAP
204
Figura 25: El atributo agregado al catlogo de servidores est disponible para la regla de
asignacin de roles
Figura 26: Catlogo de servidores > Ficha Groups: Agregar grupos de LDAP
206
Figura 27: Catlogo de servidores > Ficha Groups: Agregar grupos de Active Directory
Figura 28: Catlogo de servidores > Ficha Expressions: Agregar una expresin
personalizada
208
Figura 29: La expresin personalizada agregada al catlogo de servidores est

disponible para la regla de asignacin de roles
Personalizacin de vistas de UI de territorios de usuario

Puede usar las opciones de personalizacin de la pgina User Authentication
Realms para ver rpidamente los ajustes asociados con un territorio o conjunto de
territorios especfico. Por ejemplo, puede ver las reglas de asignacin de roles que
asoci con todos los territorios de sus usuarios. Adems, puede usar estas vistas
personalizadas para conectarse fcilmente con las directivas de autenticacin, los
servidores, las reglas de asignacin de roles y los roles asociados con los territorios
de usuario.
Para ver un subconjunto de datos de la pgina User Authentication Realms:
1. Dirjase a Users > User Realms.
2. Seleccione una de las siguientes opciones del men View:
Overview: Muestra los servidores de autenticacin y los ajustes de

evaluacin dinmica de directivas que configur para los territorios de
usuarios especificados. Tambin puede usar este ajuste para conectarse
con las pginas especificadas de configuracin de servidores.
209
Authentication Policy: Muestra las restricciones de Host Checker y de

Cache Cleaner que habilit para los territorios de usuarios especificados.
Tambin puede usar este ajuste para conectarse con las pginas
especificadas de configuracin de Host Checker y de Cache Cleaner.
Role Mapping: Muestra las condiciones de reglas y asignaciones de roles

correspondientes que habilit para los territorios de usuarios especificados.
especificadas de configuracin de condiciones de reglas y de asignacin
de roles.
Servers: Muestra los nombres de los servidores de autenticacin y los tipos

correspondientes que habilit para los territorios de usuarios especificados.
especificadas de configuracin de servidores.
Roles: Muestra las asignaciones de roles y los ajustes de combinacin

permisiva correspondientes que habilit para los territorios de usuarios
especificados.
3. Seleccione una de las siguientes opciones de la lista for:
All realms: Muestra los ajustes seleccionados para todos los territorios
de usuarios.
Selected realms: Muestra los ajustes seleccionados para los territorios de

usuarios que eligi. Si selecciona esta opcin, marque una o ms de las
casillas de verificacin de la lista Authentication Realm.
210
Captulo 9
Directivas de inicio de sesin

Las directivas de inicio de sesin definen las URL que los usuarios y los
administradores utilizan para acceder a IVE y las pginas de inicio de sesin que
ven. El IVE tiene dos tipos de directivas de inicio de sesin: una para usuarios y otra
para administradores. Cuando se configuran las directivas de inicio de sesin se
asocian territorios, pginas de inicio de sesin y direcciones URL.
Por ejemplo, con el fin de permitir a todos los usuarios iniciar sesin en el IVE,
se deben agregar todos los territorios de autenticacin de usuario a la directiva de
inicio de sesin del usuario. Puede tambin optar por modificar la URL estndar
que los usuarios finales utilizan para tener acceso al IVE y la pgina de inicio de
sesin que ellos ven. O bien, si tiene una licencia adecuada, puede crear directivas
de inicio de sesin para mltiples usuarios, habilitando a diferentes usuarios para
iniciar sesin en diferentes URL y pginas.
Adems, los dispositivos equipados con una licencia Secure Meeting vienen con una
URL de reunin. Puede usar esta URL para controlar la pgina de inicio de sesin
que los usuarios ven cuando inician sesin en una reunin en el dispositivo IVE. Si
tiene la licencia apropiada, tambin puede crear pginas de inicio de sesin para
reunin adicionales, habilitando diferentes usuarios de Secure Meeting para que
inicien sesin en diferentes URL y pginas.
Puede crear mltiples directivas de inicio de sesin, asociando diferentes pginas
de inicio de sesin a diferentes URL. Cuando configure una directiva de inicio de
sesin debe asociarla a uno o ms territorios. As, slo los miembros del territorio o
territorios de autenticacin especificados pueden iniciar sesin con la URL definida
en la directiva. En la directiva de inicio de sesin, tambin puede definir diferentes
pginas de inicio de sesin que asociar a diferentes URL.
Por ejemplo, puede crear directivas de inicio de sesin que especifiquen
lo siguiente:
Los miembros del territorio Partners pueden iniciar sesin en el IVE con la
URL: partner1.yourcompany.com y partner2.yourcompany.com. Los usuarios que
inician sesin en la primera URL ven la pgina de inicio partners1, aquellos
que inician sesin en la segunda URL ven la pgina de inicio de sesin
partners2.
Los miembros del territorio Local (local) y Remote (remoto) pueden iniciar
sesin en el IVE con la URL: employees.yourcompany.com. Cuando lo hacen, ven
la pgina de inicio de sesin Employees.
211
Los miembros del territorio Admin Users pueden iniciar sesin en el IVE con
la URL: access.yourcompany.com/super. Cuando lo hacen, ven la pgina de
inicio de sesin Administrators.
Al definir las directivas de inicio de sesin, puede utilizar diferentes nombres de

host (como partners.yourcompany.com y partners.yourcompany.com) o diferentes
rutas (como partners.yourcompany.com y partners.yourcompany.com) para distinguir
entre las URL.
NOTA: Si un usuario trata de iniciar sesin mientras hay otra sesin de usuario
activa con las mismas credenciales de inicio de sesin, el IVE muestra una pgina
de advertencia que muestra la direccin IP de la sesin existente y dos botones:
Continue y Cancel. Al hacer clic en el botn Cancel, el usuario termina el proceso
de inicio de sesin actual y es enviado nuevamente a la pgina Sign-in. Al hacer
clic en el botn Continue, el IVE crea la nueva sesin de usuario y finaliza la
sesin existente.
NOTA: Al activar mltiples URL de inicio de sesin, tenga en cuenta que en algunos
casos el IVE debe usar cookies en el equipo del usuario para determinar qu
URL de inicio de sesin y pgina de inicio de sesin correspondiente mostrar
al usuario. El IVE crea estas cookies cuando el usuario inicia sesin en el IVE.
(Cuando un usuario inicia sesin en el IVE, el IVE responde con una cookie que
incluye el territorio de inicio de sesin de la URL. Entonces el IVE adjunta esta
cookie a cada solicitud del IVE que el usuario hace). Generalmente, estas cookies
aseguran que el IVE muestre al usuario la URL y la pgina de inicio de sesin
correctas. Por ejemplo, si un usuario inicia sesin en el IVE con la URL
http://yourcompany.net/employees y luego su sesin caduca, el IVE usa
la cookie para determinar que debe mostrar la URL de inicio de sesin
http://yourcompany.net/employees y la pgina correspondiente al usuario cuando
solicita otro recurso del IVE.
No obstante, en casos aislados, es posible que la cookie del equipo del usuario no
coincida con el recurso al que se trata de tener acceso. El usuario puede iniciar
sesin en una URL y luego tratar de tener acceso a un recurso que est protegido
por una URL diferente. En este caso, el IVE muestra la URL de inicio de sesin y la
pgina de inicio de sesin correspondiente que el usuario utiliz recientemente.
Por ejemplo, un usuario puede iniciar sesin en el IVE con la URL de inicio de
sesin http://yourcompany.net/employees. A continuacin puede tratar de tener
acceso a un recurso del IVE mediante un vnculo en un servidor externo, como
https://yourcompany.net/partners/dana/term/winlaunchterm.cgi?host=<termsrvIP >.
Tambin puede tratar de abrir un marcador que haya creado durante otra sesin,
como
https://yourcompany.net/partners/,DanaInfo=.awxyBmszGr3xt1r5O3v.,SSO=U+.
En estos casos, el IVE mostrar la URL y la pgina de inicio de sesin
http://yourcompany.net/employees al usuario, en lugar de la URL o pgina de inicio
de sesin asociadas al vnculo externo o marcador guardado al que se est
tratando de tener acceso.
212
Captulo 9: Directivas de inicio de sesin
Esta seccin contiene la siguiente informacin sobre las directivas de inicio

de sesin:
Licencia: Disponibilidad de directivas y pginas de inicio de sesin en la

pgina 213
Resumen de tareas: Configuracin de directivas de inicio de sesin en la

pgina 213
Configuracin de directivas de inicio de sesin en la pgina 214
Configuracin las pginas de inicio de sesin en la pgina 220
Licencia: Disponibilidad de directivas y pginas de inicio de sesin

Las directivas de inicio de sesin son una parte integral de la estructura de
administracin de acceso del IVE y, por lo tanto, estn disponibles en todos
los productos Secure Access. Sin embargo, tenga en cuenta que las siguientes
caractersticas avanzadas de inicio de sesin no estn disponibles en el
dispositivo SA 700:
La capacidad de crear mltiples directivas de inicio de sesin
La capacidad de crear pginas de inicio de sesin para usuarios de

Secure Meeting
La capacidad de crear y cargar pginas de inicio de sesin personalizadas

en el IVE
Resumen de tareas: Configuracin de directivas de inicio de sesin

Para configurar directivas de inicio de sesin debe:
1. Crear un territorio de autenticacin a travs de una de las pginas
Administrators > Admin Realms o Users > User Realms de la consola
de administracin.
2. (Opcional) Modificar una pgina de inicio de sesin existente o crear una nueva
utilizando las opciones de la pgina Authentication > Signing In > Sign-in
Pages de la consola de administracin.
3. Especificar una directiva de inicio de sesin que asocie un territorio, una URL
de inicio de sesin y una pgina de inicio de sesin a los ajustes de la pgina
Authentication > Signing In > Sign-in Policies de la consola de
administracin.
4. Si distingue entre URL mediante nombres de host, debe asociar cada nombre
de host con su propio certificado o cargar un certificado comodn en el IVE
utilizando las opciones de la pgina System > Configuration > Certificates >
Device Certificates.
Licencia: Disponibilidad de directivas y pginas de inicio de sesin
213
Configuracin de directivas de inicio de sesin

Las directivas de inicio de sesin definen las URL que los usuarios y los
administradores pueden utilizar para tener acceso al IVE, tal como se explic en
Directivas de inicio de sesin en la pgina 211.
Esta seccin contiene la siguiente informacin sobre las directivas de inicio
de sesin:
Definicin de las directivas de inicio de sesin en la pgina 214
Definicin de las directivas de inicio de sesin de reunin en la pgina 217
Especificacin del orden de evaluacin de las directivas de inicio de sesin en

la pgina 219
Habilitacin y inhabilitacin de directivas de inicio de sesin en la pgina 219
Definicin de las directivas de inicio de sesin

Para crear o configurar directivas de administrador o de inicio de sesin de usuario:
1. En la consola de administracin, seleccione Authentication > Signing In >
Sign-in Policies.
2. Para crear una nueva directiva de inicio de sesin haga clic en New URL.
Tambin puede editar una directiva existente haciendo clic en una URL en la
columna Administrator URLs o User URLs.
3. Seleccione Users o Administrators para especificar el tipo de usuario que
puede iniciar sesin en el IVE con la directiva de acceso.
4. En el campo Sign-in URL, introduzca la URL que desea asociar a la directiva.
Use el formato <host>/<path> en que <host> es el nombre de host del IVE y
<path> es cualquier cadena que desee que los usuarios introduzcan. Por
ejemplo: partner1.yourcompany.com/outside. Para especificar varios host use el
carcter comodn *. Por ejemplo:
Para especificar que todas las URL de administrador deben usar la pgina
de inicio de sesin, introduzca */admin.
NOTA: Slo puede utilizar caracteres comodn (*) al comienzo de la parte del
nombre de host en la URL. El IVE no reconoce comodines en la ruta de la URL.

5. Introduzca una Description para la directiva (opcional).
6. En la lista Sign-in Page, seleccione la pgina de inicio de sesin que desea
asociar a la directiva. Puede seleccionar la pgina predeterminada que viene
con el IVE, una variacin de la pgina de inicio de sesin estndar o una pgina
personalizada que cree con la caracterstica UI personalizable. Para obtener
ms informacin, consulte Configuracin de las pginas de inicio de sesin
estndares en la pgina 221.
214
7. (Slo URL del usuario) En el campo Meeting URL, seleccione la URL de reunin
que usted quiere asociar a esta directiva de inicio de sesin. El IVE aplica la URL
de reunin especificada a cualquier reunin creada por un usuario que inicia
sesin en esta URL de usuario.
8. En Authentication realm, especifique qu territorio se asigna a la directiva
y cmo los usuarios y administradores deben elegir entre los territorios.
Si selecciona:
User types the realm name: El IVE asigna la directiva de inicio de sesin
a todos los territorios de autenticacin, pero no proporciona una lista de
territorios entre los cuales el usuario o el administrador puedan elegir, sino
que el usuario o administrador deben introducir manualmente su nombre
de territorio en la pgina de inicio de sesin.
User picks from a list of authentication realms: El IVE slo asigna la

directiva de inicio de sesin a los territorios de autenticacin que se
seleccionen. El IVE presenta esta lista de territorios al usuario o
administrador cuando ste inicia sesin en el IVE y le permite elegir un
territorio de la lista. (Tenga en cuenta que el IVE no muestra una lista
desplegable de territorios de autenticacin si la URL slo se asigna a un
territorio, sino que utiliza automticamente el territorio especificado.)
NOTA: Si permite al usuario seleccionar de entre varios territorios y uno ellos

utiliza un servidor de autenticacin annimo, el IVE no mostrar ese territorio en
la lista desplegable de territorios. Para asignar eficazmente su directiva de inicio
de sesin a un territorio annimo, slo debe agregar ese territorio a la lista
Authentication realm.
Definicin de directivas de acceso slo con autorizacin

El acceso slo con autorizacin es similar a un proxy inverso. Generalmente, un
proxy inverso es un servidor proxy que se instala frente a servidores web. Todas
las conexiones provenientes de Internet dirigidas a uno de los servidores web son
enrutadas a travs del servidor proxy, que puede abordar la peticin por s mismo
o transmitirla completa o parcialmente al servidor web principal.
Con un acceso slo con autorizacin, se selecciona el rol del usuario. El IVE acta
como un servidor proxy inverso y realiza la autorizacin respecto al servidor
Netegrity SiteMinder para cada peticin.
Por ejemplo, la caracterstica de acceso slo con autorizacin satisface las
siguientes necesidades empresariales:
Si tiene un servidor de administracin de directivas AAA de terceros

(como Netegrity), el IVE acta como un agente slo de autorizacin.
Si las sesiones de usuario son administradas por un sistema de administracin

de sesiones de terceros, no es necesario duplicar la administracin de sesiones
de usuario en el IVE.
215
Con acceso slo con autorizacin, no hay SSO desde el IVE. Su infraestructura de
AAA de terceros controla el SSO.
NOTA: Antes de definir esta directiva, primero debe configurar su servidor
Netegrity y definir los nombres de host en la pgina de configuracin de red.

Tambin debe especificar ajustes en la seccin SiteMinder authorization settings
de la pgina del servidor de autenticacin de SiteMinder. Los usuarios son
dirigidos a la URL especificada en el campo If Automatic Sign In fails, redirect to
cuando la validacin de la cookie SMSESSION falla o si dicha cookie no existe. Los
usuarios son dirigidos a la URL especificada en el campo If authorization fails,
redirect to cuando se produce un error de acceso denegado. Para obtener ms
informacin, consulte Definicin de una instancia de servidor eTrust SiteMinder
en la pgina 174.
Para crear o configurar directivas de acceso slo con autorizacin:
1. En la consola de administracin, elija Authentication > Signing In > Sign-in
Policies.
2. Para crear una nueva directiva de acceso slo con autorizacin, haga clic en
New URL y seleccione authorization only access. Tambin puede editar una
directiva existente haciendo clic en una URL en la columna Virtual Hostname.
3. En el campo Virtual Hostname, introduzca el nombre que se asigna a la
direccin IP del IVE. El nombre debe ser nico entre todos los nombres de
hosts virtuales usados en el modo del nombre de host del proxy pass-through.
El nombre de host se usa para acceder a la aplicacin backend introducida
en el campo Backend URL. No incluya el protocolo (por ejemplo, http:) en
este campo.
Por ejemplo, si el nombre de host virtual es miaplic.nombrehostive.com y la URL
backend es http://www.xyz.com:8080/, una peticin a
https://miaplic.nombrehostive.com/test1 a travs del IVE se convierte en una
peticin a http://www.xyz.com:8080/test1. La respuesta de la peticin
convertida se enva al explorador Web original que hizo la peticin.
4. En el campo Backend URL, introduzca la URL para el servidor remoto. Debe
especificar el protocolo, nombre de host y puerto del servidor. Por ejemplo,
http://www.midominio.com:8080/*.
Si las peticiones coinciden con el nombre de host del campo Virtual
Hostname, la peticin se transforma en la URL especificada en el campo
Backend URL. El cliente es dirigido a la URL backend sin saberlo.
5. Introduzca una Description para esta directiva (opcional).
6. Seleccione el servidor Netegrity SiteMinder del men desplegable
Authorization Server.
216
7. Seleccione un rol de usuario en el men desplegable Role Option.

Slo las siguientes opciones de rol de usuario se aplican al acceso slo con
autorizacin.
Permitir exploracin de sitios Web SSL no fiables (Users > User Roles >
Nombre de rol > Web > Options > View advanced options)
Tiempo de espera de conexin de HTTP (Users > User Roles > Nombre
de rol > Web > Options > View advanced options)
Restricciones de IP de origen (Users > User Roles > Nombre de rol >
General > Restrictions)
Restricciones de exploracin (Users > User Roles > Nombre de rol >
Para obtener ms informacin sobre estas opciones de rol, consulte

Configuracin de opciones avanzadas de exploracin web en la pgina 419,
Especificacin de las restricciones de acceso de la direccin IP de origen en la
pgina 60 y Especificacin de las restricciones de acceso para exploradores
en la pgina 62.
8. Haga clic en Save Changes para guardar sus ediciones.
Definicin de las directivas de inicio de sesin de reunin

Para crear o configurar directivas de inicio de sesin de reunin
1. En la consola de administracin, seleccione Authentication >
Authentication > Signing In Policies.
2. Para crear una nueva directiva de inicio de sesin haga clic en New URL.
Tambin puede editar una directiva existente haciendo clic en una URL en la
columna Meeting URLs.
3. Seleccione Meeting.
4. En el campo Sign-in URL, introduzca la URL que desea asociar a la directiva de
reunin. Use el formato <host>/<path> en que <host> es el nombre de host del
IVE y <path> es cualquier cadena que desee que los usuarios introduzcan. Por
ejemplo: Partner1.YourCompany.com/OnlineConference. Cuando cree la URL de
reunin, tenga en cuenta que:
No es posible modificar la URL de la URL de reunin predeterminada

(*/meeting) que viene con el producto.
Si desea habilitar a los usuarios para iniciar sesin en las reuniones con
todos los nombres de host definidos en la URL de usuario asociada, use
el carcter comodn * en su definicin de URL de reunin. Por ejemplo,
podra asociar los siguientes host a la URL de usuario.
YourInternalServer.YourCompany.net
YourExternalServer.YourCompany.com
217
Posteriormente, si crea una definicin de URL de reunin

*/OnlineConference y la asocia a la URL de usuario, los usuarios
pueden tener acceso a la pgina de inicio de sesin de reunin con
las siguientes URL:
http://YourInternalServer.YourCompany.net/OnlineConference
http://YourExternalServer.YourCompany.com/OnlineConference
Si crea una URL de reunin que incluye el carcter comodn * y activa las
notificaciones de correo electrnico, el IVE crea la URL de reunin en el
correo electrnico de notificacin con el nombre de host especificado por
el usuario cuando inicia sesin en el IVE. Por ejemplo, un usuario podra
iniciar sesin en el IVE con la siguiente URL del ejemplo anterior:
http://YourInternalServer.YourCompany.net
A continuacin, si el usuario crea una reunin, el IVE especifica la siguiente

URL de inicio de sesin para esa reunin en la notificacin de correo
electrnico:
http://YourInternalServer.YourCompany.net/OnlineConference
Tenga en cuenta que puesto que el vnculo de correo electrnico hace

referencia a un servidor interno, los usuarios fuera de la red no pueden
tener acceso a la reunin.
Si slo desea habilitar a los usuarios para que inicien sesin en reuniones
con un subconjunto de los nombres de host definidos en la URL de usuario
asociada o si desea requerir que los usuarios utilicen una URL
completamente diferente para iniciar sesin en reuniones, no incluya el
carcter comodn en la definicin de la URL de reunin. En lugar de ello,
cree una definicin de URL de reunin especfica.
Por ejemplo, puede crear la siguiente definicin de URL de reunin y
asociarla a la URL de usuario del ejemplo anterior con el fin de especificar
que todas las reuniones contienen vnculos slo al servidor externo:
YourExternalServer.YourCompany.com/OnlineConference
5. Introduzca una Description para la directiva (opcional).

6. En la lista Sign-in Page, seleccione la pgina de inicio de sesin que desea que
aparezca a todos los usuarios cuando tengan acceso a las reuniones con esta
directiva. Puede seleccionar las pginas predeterminadas que vienen con el
IVE, una variacin de las pginas de inicio de sesin estndar o pginas
personalizadas que cree con la caracterstica UI personalizable. Para obtener
ms informacin, consulte Configuracin de las pginas de inicio de sesin
estndares en la pgina 221.
218
Habilitacin y inhabilitacin de directivas de inicio de sesin

Para habilitar y inhabilitar directivas de inicio de sesin:
Policies.
2. Para habilitar o inhabilitar:
Una directiva individual: Marque la casilla de verificacin al lado de la

directiva que desea cambiar y haga clic en Enable o Disable.
Todas las directivas de usuario y reunin: Seleccione o anule la seleccin

de la casilla de verificacin Restrict access to administrators only al inicio
de la pgina.
Especificacin del orden de evaluacin de las directivas de inicio de sesin

El IVE evala las directivas de inicio de sesin en el mismo orden en que las
enumera en la pgina Sign-in Policies. Cuando encuentra una URL que coincide
exactamente, deja de realizar la evaluacin y presenta las pginas de inicio de
sesin correspondientes al administrador o al usuario. Por ejemplo, puede definir
dos directivas de inicio de sesin de administrador con dos URL diferentes.
La primera directiva utiliza la URL */admin y se asigna a la pgina de inicio de

sesin del administrador predeterminada.
La segunda directiva utiliza la URL yourcompany.com/admin y se asigna a una

pgina de inicio de sesin del administrador personalizada.
Si indica las directivas en este orden en la pgina Sign-in Policies, el IVE nunca
evala ni utiliza la segunda directiva porque la primera URL abarca la segunda.
Aunque un administrador inicie sesin con la URL yourcompany.com/admin, el IVE
muestra la pgina de inicio de sesin del administrador predeterminada. Sin
embargo, si indica las directivas en el orden opuesto, el IVE muestra la pgina de
inicio de sesin de administrador personalizada a los administradores que tienen
acceso al IVE con la URL yourcompany.com/admin.
Tenga en cuenta que el IVE slo acepta caracteres comodines en la seccin de
nombre de host de la URL y compara las direcciones URL segn la ruta exacta.
Por ejemplo, puede definir dos directivas de inicio de sesin de administrador con
dos rutas de URL diferentes:
La primera directiva utiliza la URL */marketing y se asigna a una pgina de

inicio de sesin personalizada para todo el Departamento de Marketing.
La segunda directiva utiliza la URL */marketing/Joe y se asigna a una pgina de

inicio de sesin personalizada diseada exclusivamente para Joe en el
Departamento de Marketing.
219
Si indica las directivas en este orden en la pgina Sign-in Policies, el IVE

muestra a Joe su pgina de inicio personalizada cuando usa la URL
yourcompany.com/marketing/joe para tener acceso al IVE. l no ve la pgina de
inicio de sesin de Marketing, aunque est indicada y sea evaluada primero, porque
la parte de la ruta de esta URL no coincide exactamente con la URL definida en la
primera directiva.
Para cambiar el orden en que las directivas de inicio de sesin de administracin
son evaluadas:
Policies.
2. Seleccione una directiva de inicio de sesin en la lista Administrator URLs,
User URLs o Meeting URLs.
3. Haga clic en las flechas arriba y abajo para cambiar la ubicacin de la directiva
seleccionada en la lista.
Configuracin las pginas de inicio de sesin

Una pgina de inicio de sesin define las propiedades personalizadas en la pgina de
bienvenida del usuario final, como el texto de bienvenida, el texto de ayuda, el
logotipo, el encabezado y el pie de pgina. El IVE le permite crear dos tipos de
pginas de inicio de sesin para presentarlas a los usuarios y administradores.
Pginas de inicio de sesin estndar: Estas pginas son creadas por Juniper
y se incluyen con todas las versiones del IVE. Puede modificar las pginas de
inicio de sesin estndar a travs de la ficha Authentication > Signing In >
Sign-in Pages de la consola de administracin. Para obtener ms informacin,
consulte Configuracin de las pginas de inicio de sesin estndares en la
pgina 221.
Pginas de inicio de sesin personalizadas: Las pginas de inicio de sesin

personalizadas son pginas THTML que se crean con la el kit de herramientas
de plantillas y se cargan en el IVE de forma de archivos Zip. La caracterstica de
pginas de inicio de sesin personalizada es una caracterstica con licencia, que
le permite utilizar sus propias pginas en lugar de tener que modificar la pgina
de inicio de sesin incluida en el IVE.
Para obtener ms informacin sobre las pginas de inicio personalizadas, consulte

el manual Custom Sign-In Pages Solution Guide.
220
Configuracin de las pginas de inicio de sesin estndares

Las pginas de inicio de sesin estndar que vienen con el IVE incluyen:
Pgina de inicio de sesin predeterminada: El IVE muestra de forma

predeterminada esta pgina a los usuarios cuando inician sesin en el IVE.
Pgina de inicio de sesin de reunin: El IVE muestra de forma

predeterminada esta pgina a los usuarios cuando inicien sesin en una
reunin. Esta pgina slo est disponible si instala una licencia Secure Meeting
en el IVE.
Puede modificar estas pginas o crear pginas nuevas que contengan texto,
logotipos, colores y texto de mensajes de error personalizados con los ajustes
de la ficha Authentication > Signing In > Sign-in Pages de la consola de
administracin.
Para crear o modificar una pgina de inicio de sesin estndar:
1. En la consola de administracin, elija Authentication > Signing In >
Sign-in Pages.
2. Si est:
Creando una pgina nueva: Haga clic en New Page.
Modificando una pgina existente: Seleccione el vnculo que corresponde

a la pgina que desea modificar.
3. (Slo pginas nuevas) En Page Type, especifique si sta es una pgina de acceso
de administrador o usuario o una pgina de reunin.
4. Introduzca un nombre para identificar la pgina.
5. En la seccin Custom text, revise el texto predeterminado utilizado para las
diversas etiquetas de pantalla que desee. Cuando agregue texto al campo
Instructions, tenga en cuenta que se puede formatear texto y agregar vnculos
a las siguientes etiquetas HTML: , , , y <a href>. Sin embargo,
el IVE no reescribe vnculos en la pgina de inicio de sesin (puesto que el
usuario an no se ha autenticado), de tal forma que slo debe dirigirse a sitios
externos. Los vnculos a los sitios situados detrs de un cortafuegos no
funcionarn.
NOTA: Si utiliza etiquetas HTML no admitidas en su mensaje personalizado, el IVE
puede mostrar la pgina de inicio de IVE del usuario final de forma incorrecta.
6. En la seccin Header appearance, especifique un archivo de imagen con el

logotipo personalizado para el encabezado y un color de encabezado diferente.
7. En la seccin Custom error messages, revise el texto predeterminado que se
muestra a los usuarios si encuentran errores de certificado. (No disponible para
la pgina de inicio de sesin de Secure Meeting).
221
Puede incluir las variables <<host>>, <<port>>, <<protocol>> y <<request>>

y variables de atributos de usuario, como <<userAttr.cn>>, en los mensajes de
error personalizados. Tenga en cuenta que estas variables deben seguir el
formato <<variable>> para distinguirlas de las etiquetas HTML que tienen el
formato <tag>.
8. Para proporcionar instrucciones de ayuda o adicionales personalizadas para sus
usuarios, seleccione Show Help button, introduzca una etiqueta para mostrar
en el botn y especifique un archivo HTML para cargar al IVE. Tenga en cuenta
que el IVE no muestra imgenes y otros contenidos a los que se hace referencia
en esta pgina HTML. (No disponible para la pgina de inicio de sesin de
Secure Meeting).
9. Haga clic en Save Changes. Los cambios tendrn efecto inmediatamente, pero
los usuarios con sesiones activas podran necesitar actualizar sus exploradores
Web.
NOTA: Haga clic en Restore Factory Defaults para restablecer la pgina de inicio
de sesin, la pgina principal de usuario de IVE y el aspecto de la consola de
administracin.
222
Captulo 10
Inicio de sesin nico

El inicio de sesin nico (SSO) es un proceso que permite a usuarios de IVE ya
autenticados acceder a otras aplicaciones o recursos que estn protegidos por
otro sistema de administracin de accesos sin tener que volver a introducir sus
credenciales.
Esta seccin contiene la siguiente informacin sobre el inicio de sesin nico en
caractersticas:
Licencia: Disponibilidad de inicio de sesin nico en la pgina 223
Informacin general de inicio de sesin nico en la pgina 224
Informacin general de credenciales de inicios de sesin mltiples en la

pgina 226
Configuracin de SAML en la pgina 234
Configuracin de perfiles SAML SSO en la pgina 237
Licencia: Disponibilidad de inicio de sesin nico

Todos los productos Secure Access contienen algunas caractersticas de inicio de
sesin nico. Sin embargo, recuerde que las caractersticas avanzadas de inicio de
sesin nico de Remote SSO, SAML y eTrust SSO no estn disponibles en el SA 700.
Adems, las caractersticas de autenticacin bsica, intermediacin de NTLM y
Telnet SSO slo estn disponibles en el dispositivo SA 700 si usted tiene la licencia
de actualizacin Core Clientless Access.
Licencia: Disponibilidad de inicio de sesin nico
223
Informacin general de inicio de sesin nico

El IVE proporciona varios mecanismos de integracin que le permiten configurar
conexiones de SSO desde el IVE a otros servidores, aplicaciones y recursos. Los
mecanismos de SSO incluyen:
224
Remote SSO: El IVE proporciona integracin abierta con cualquier aplicacin

que utiliza una accin POST esttica dentro de un formulario HTML para que
los usuarios inicien sesin. Puede configurar el IVE para enviar credenciales de
IVE, atributos LDAP y atributos de certificados a una aplicacin Web, al igual
que para configurar cookies y encabezados, lo que permite a los usuarios tener
acceso a la aplicacin sin volver a autenticarse. Para obtener ms informacin,
consulte Informacin general de SSO remoto en la pgina 388.
SAML: El IVE proporciona integracin abierta con sistemas de administracin

de acceso seleccionados que usan el lenguaje Security Assertion Markup
Language (SAML) para comunicarse con otros sistemas. Puede permitir que los
usuarios inicien sesin en el IVE y despus inicien sesin y accedan a recursos
protegidos por el sistema de administracin de accesos sin volver a
autenticarse. Tambin puede permitir que los usuarios inicien sesin en otro
sistema de administracin de accesos y despus accedan a recursos protegidos
por el IVE, sin volver a autenticarse. Para obtener ms informacin, consulte
Configuracin de SAML en la pgina 234.
Basic authentication and NTLM intermediation to Intranet sites: El IVE le

permite enviar automticamente credenciales de usuario de IVE a otros sitios
Web y proxies dentro de la misma zona Intranet. Cuando se activa la
intermediacin de autenticacin bsica a travs de la pgina Users > Resource
Profiles > Web Applications/Pages de la consola de administracin, el IVE
enva las credenciales en cach a sitios Intranet cuyos nombres de host
terminan en el sufijo DNS configurado en la pgina System > Network >
Overview. Para aumentar al mximo la seguridad, tambin puede configurar el
IVE para usar codificacin en base 64 para proteger las credenciales en cach.
Para obtener ms informacin, consulte Definicin de una directiva
automtica de inicio de sesin nico en la pgina 397.
Active Directory server: El IVE le permite enviar automticamente credenciales

de SSO Active Directory SSO a otros sitios Web y archivos Windows
compartidos dentro de la misma zona Intranet que est protegida por
autenticacin NTLM nativa. Cuando activa esta opcin, el IVE enva
credenciales en cach a sitios Web protegidos con NTLM cuyos nombres de
host terminan en el sufijo DNS configurado en la pgina System > Network >
Overview de la consola de administracin. Para obtener ms informacin,
consulte Configuracin de una instancia de Active Directory o dominio NT en
la pgina 120.
Captulo 10: Inicio de sesin nico
eTrust SiteMinder policy server: Cuando autentica a usuarios de IVE usando

un servidor de directivas eTrust SiteMinder, puede permitirles tener acceso a
recursos protegidos de SiteMinder sin volver a autenticarse (siempre que estn
autorizados con el nivel de proteccin correcto). Adems, puede volver a
autenticar usuarios a travs de IVE si solicitan recursos para los cuales su actual
nivel de proteccin es inadecuado y puede permitir a usuarios iniciar sesin en
el servidor de directivas primero y despus tener acceso al IVE sin volver a
autenticarse. Para obtener ms informacin, consulte Configuracin de una
instancia de servidor eTrust SiteMinder en la pgina 160.
Terminal Sessions: Cuando activa la caracterstica Terminal Services para un

rol, permite a los usuarios conectarse a aplicaciones que se estn ejecutando en
un servidor de terminal Windows o servidor Citrix MetaFrame sin volver a
autenticarse. Para obtener ms informacin, consulte Terminal Services en la
pgina 563. Tambin puede transmitir un nombre de usuario al servidor
Telnet/SSH, como se explica en Terminal Services en la pgina 563.
Email clients: Cuando activa la caracterstica Email Client para un rol y

despus crea una directiva de recursos correspondiente, permite a los usuarios
tener acceso a correo electrnico basado en estndares como Outlook Express,
Netscape Communicator o Eudora de Qualcomm sin volver a autenticarse. Para
obtener ms informacin, consulte Email Client en la pgina 647.
El IVE determina qu credenciales enviar al servidor, aplicacin o recurso habilitado

con SSO basado en el mecanismo que usa para conectarse. La mayora de los
mecanismos le permiten recopilar credenciales de usuario para hasta dos
servidores de autenticacin en la pgina de inicio de sesin de IVE y despus enviar
esas credenciales durante SSO. Para obtener ms informacin, consulte
pgina 226.
Los mecanismos restantes (SAML, eTrust SiteMinder y Email Client) usan mtodos
nicos para activar SSO desde el IVE a la aplicacin admitida. Para obtener ms
informacin, consulte:
Configuracin de una instancia de servidor eTrust SiteMinder en la

pgina 160
Email Client en la pgina 647
225
Informacin general de credenciales de inicios de sesin mltiples

Cuando configura un territorio de autenticacin, puede activar hasta dos servidores
de autenticacin para el territorio. Activar dos servidores de autenticacin le
permite exigir dos conjuntos diferentes de credenciales; uno para el IVE y otro para
su recurso habilitado con SSO, sin necesidad de que el usuario introduzca el
segundo conjunto de credenciales cuando tiene acceso al recurso. Tambin le
permite exigir autenticacin de dos factores para tener acceso al IVE.
Esta seccin contiene la siguiente informacin sobre credenciales de inicios de
sesin mltiples:
Resumen de tareas: configuracin de mltiples servidores de autenticacin

en la pgina 226
Resumen de tareas: Activacin de SSO para recursos protegidos por

autenticacin bsica en la pgina 227
Resumen de tareas: Activacin de SSO para recursos protegidos por NTLM en

la pgina 227
Ejecucin de credenciales de inicios de sesin mltiples en la pgina 229
Resumen de tareas: configuracin de mltiples servidores de autenticacin

Para activar mltiples servidores de autenticacin:
1. Cree instancias de servidor de autenticacin como se indica en la pgina
Authentication > Auth. Servers de la consola de administracin. Para obtener
instrucciones sobre la configuracin, consulte Definicin de una instancia de
servidor de autenticacin en la pgina 114.
2. Asocie los servidores de autenticacin con un territorio usando configuraciones
en las siguientes pginas para la consola de administracin:
Users > User Realms > Seleccionar territorio > General
Administrators > Admin Realms > Seleccionar territorio > General
Para obtener instrucciones sobre la configuracin, consulte Creacin de un

territorio de autenticacin en la pgina 196.
3. (Opcional) Especifique restricciones de longitud de contraseas para el servidor
de autenticacin secundario usando configuraciones en las siguientes pginas
de la consola de administracin:
Password

Authentication Policy > Password
Para obtener instrucciones sobre la configuracin, consulte Especificacin de

las restricciones de acceso para contraseas en la pgina 66.
226
Resumen de tareas: Activacin de SSO para recursos protegidos por autenticacin

bsica
Para activar el inicio de sesin nico en servidores Web y proxies Web que estn
protegidos por autenticacin bsica, debe:
1. Especificar un IVE nombre de host que termina con el mismo prefijo que su
recurso protegido usando configuraciones en la pgina System > Network >
Overview de la consola de administracin. (El IVE comprueba los nombres de
host para asegurar que slo est activando SSO a sitios dentro de la misma
Intranet.)
2. Permitir que los usuarios accedan a recursos Web, especificar los sitios a los
cuales desea que el IVE enve credenciales, crear directivas automticas que
permiten el inicio de sesin nico de intermediacin de autenticacin bsica
y crear marcadores a los recursos seleccionados usando configuraciones en la
pgina Users > Resource Profiles > Web Application/Pages > [Perfil] de la
consola de administracin.
3. Si desea que los usuarios tengan acceso a servidores Web mediante un proxy,
configure el IVE para reconocer los servidores y proxies adecuados usando
configuraciones en las siguientes pginas de la consola de administracin:
a.
Use configuraciones de la pgina Users > Resource Policies > Web >
Web proxy > Servers para especificar qu servidores Web desea proteger
con el proxy.
b.
Web proxy > Policies para especificar qu proxies desea usar y qu
servidores (arriba) desea que protejan los proxies. Puede especificar
recursos individuales en el servidor o el servidor entero.
Resumen de tareas: Activacin de SSO para recursos protegidos por NTLM

NOTA: El IVE admite proxies Web que realizan autenticacin NTLM. Sin embargo,
no se admite el siguiente caso. existe un proxy entre el IVE y el servidor de backend y ste realiza la autenticacin de NTLM.
Para activar inicio de sesin nico en servidores Web, servidores de archivo

Windows y proxies Web que estn protegidos por NTLM, debe:
1. Especificar un nombre de host de IVE que termine con el mismo sufijo que su
recurso protegido usando configuraciones en la pgina System > Network >
Overview de la consola de administracin. (El IVE comprueba los nombres de
host para asegurar que slo est activando SSO a sitios situados dentro de la
misma Intranet.)
Informacin general de credenciales de inicios de sesin mltiples 227
2. Permitir que los usuarios tengan acceso al tipo correspondiente de recursos

(Web o archivo), especificar los sitios o servidores a los cuales desea que el IVE
enve credenciales, crear directivas automticas que permitan el inicio de
sesin nico con NTLM y crear marcadores a los recursos seleccionados usando
configuraciones de las siguientes pginas de la consola de administracin:
Users > Resource Profiles > Web Application/Pages > [Perfil]
Users > Resource Profiles > File Browsing Resource Profiles > [Perfil]
3. Si desea que los usuarios tengan acceso a servidores Web mediante un proxy,
configure el IVE para reconocer los servidores y proxies adecuados usando
configuraciones en las siguientes pginas de la consola de administracin:
228
a.
Web proxy > Servers para especificar qu servidores Web desea proteger
con el proxy.
b.
Web proxy > Policies para especificar qu proxies desea usar y qu
servidores (arriba) desea que protejan los proxies. Puede especificar
recursos individuales en el servidor o el servidor entero.
Ejecucin de credenciales de inicios de sesin mltiples

El siguiente diagrama ilustra el proceso que el IVE usa para recopilar y autenticar
mltiples credenciales de usuario y enviarlas a recursos habilitados con SSO.
Cada uno de los pasos del diagrama se describe con ms detalle en las secciones
siguientes.
Figura 30: Recopilacin y envo de credenciales desde mltiples servidores
Paso 1: El IVE recoge las credenciales principales del usuario

Cuando el usuario inicia sesin en el IVE, el IVE le solicita introducir sus
credenciales de servidor principales. El IVE guarda estas credenciales para enviar
al recurso de SSO posteriormente, si es necesario. Observe que el IVE guarda las
credenciales exactamente como el usuario las introduce, y que no incluye
informacin adicional como, por ejemplo, el dominio del usuario.
Paso 2: El IVE recoge o genera las credenciales secundarias del usuario

Puede configurar el IVE para recopilar manualmente o generar automticamente
el conjunto de credenciales secundario del usuario. Si configura el IVE para:
Recopilar manualmente las credenciales secundarias del usuario: El usuario

debe introducir sus credenciales secundarias despus de introducir sus
credenciales principales.
Generar automticamente las credenciales del usuario: El IVE enva

los valores que especific en la consola de administracin durante la
configuracin. De forma predeterminada, el IVE usa las variables de
<username> y <password>, que mantienen el nombre de usuario y contrasea
introducidos por el usuario para el servidor de autenticacin principal.
Por ejemplo, puede configurar un servidor LDAP como su servidor de autenticacin

principal y un servidor Active Directory como su servidor de autenticacin
secundario. Despus, puede configurar el IVE para inferir el nombre de usuario
de Active Directory, pero requerir que el usuario introduzca manualmente su
contrasea de Active Directory. Cuando el IVE infiere el nombre de usuario de
Active Directory, simplemente toma el nombre introducido para el servidor LDAP
(por ejemplo, JDoe@LDAPServer) y lo reenva al Active Directory (por ejemplo,
JDoe@ActiveDirectoryServer).
Paso 3: El IVE autentica las credenciales principales

Despus de que el IVE recopila todas las credenciales requeridas, autentica el
primer conjunto de credenciales del usuario respecto al servidor de autenticacin
principal. Despus:
Si las credenciales se autentican correctamente, el IVE las almacena en las

variables de sesin <username> y <password> y contina para autenticar las
credenciales secundarias.
NOTA: Si autentica contra un servidor RADIUS que acepta contraseas dinmicas

y con tiempo, puede elegir no almacenar contraseas de usuario usando la
variable de sesin IVE. Para obtener ms informacin, consulte Configuracin de
una instancia de servidor de RADIUS en la pgina 145.
Si las credenciales no se autentican correctamente, el IVE deniega el acceso del

usuario al IVE.
Paso 4: El IVE autentica las credenciales secundarias

Despus de autenticar las credenciales principales, el IVE autentica las credenciales
secundarias. Seguidamente:
Si las credenciales se autentican correctamente, el IVE las almacena en las

variables de sesin <username[2]> y <password[2]> y permite al usuario tener
acceso al IVE. Tambin puede tener acceso a estas variables usando la sintaxis
<username@SecondaryServer> y <password@SecondaryServer>.
NOTA: Si autentica con un servidor RADIUS que acepta contraseas dinmicas y

con caducidad, puede optar por no almacenar contraseas de usuario usando la
variable de sesin del IVE. Para obtener ms informacin, consulte Configuracin
de una instancia de servidor de RADIUS en la pgina 145.
230
Si las credenciales no se autentican correctamente, el IVE no las guarda.

Dependiendo de cmo configura su territorio de autenticacin, el IVE puede
permitir o denegar al usuario el acceso al IVE si sus credenciales secundarias no
se autentican correctamente.
NOTA: Puede detectar que ha fallado la autenticacin secundaria creando una

expresin personalizada que comprueba si hay una variable user@secondaryAuth
vaca. Quizs le interese hacer para poder asignar usuarios a roles que dependan
de una autenticacin correcta. Por ejemplo, la siguiente expresin asigna a
usuarios al rol MoreAccess si se hizo la autenticacin correcta en el servidor de
autenticacin secundario ACE server:
user@{ACE Server} != "" then assign role MoreAccess
Observe que se muestra Ace server entre llaves dado que el nombre del servidor
de autenticacin contiene espacios.
Paso 5: El IVE enva las credenciales a un recurso con SSO habilitado

Despus de que un usuario ha iniciado sesin correctamente en el IVE, puede
intentar tener acceso a un recurso habilitado con SSO usando un marcador
preconfigurado u otro mecanismo de acceso. Despus, dependiendo de a qu tipo
de recurso intenta acceder el usuario, el IVE enva diferentes credenciales. Si el
usuario est intentando tener acceso a un recurso:
Web SSO, Terminal Services o Telnet/SSH: El IVE enva las credenciales que
especifica mediante la consola de administracin como <username> (que enva
las credenciales principales del usuario al recurso) o <username[2]> (que enva
las credenciales secundarias del usuario al recurso). O si el usuario ha
introducido un nombre de usuario y contrasea diferentes a travs de la
consola de usuario final, el IVE enva las credenciales especificadas por
el usuario.
NOTA: El IVE no admite envo de credenciales del servidor ACE, servidor de
certificados o de servidor annimo a un recurso Web SSO, terminal services o

Telnet/SSH. Si configura el IVE para enviar credenciales desde uno de estos tipos
de servidores de autenticacin principal, el IVE enviar credenciales desde el
servidor de autenticacin secundario del usuario. Si estas credenciales fallan,
el IVE solicita al usuario que introduzca manualmente su nombre de usuario
y contrasea.
Recursos protegidos por un servidor Web, servidor Windows o proxy Web

que est usando autenticacin NTLM: El IVE enva credenciales al servidor
backend o proxy que est protegiendo el recurso Web o de archivo. Observe
que no puede desactivar la autenticacin NTLM mediante el IVE: Si un usuario
intenta tener acceso a un recurso que est protegido por NTLM, el IVE
intermedia automticamente el desafo de autenticacin y enva credenciales
en el siguiente orden:
a.
(recursos de archivos Windows solamente) Credenciales especificadas

por administrador: Si crea un perfil de recurso que especifica credenciales
para un recurso de archivo Windows y el usuario despus tiene acceso al
recurso especificado, el IVE enva las credenciales especificadas.
b.
Credenciales en cach: Si el IVE no enva credenciales especificadas por el

administrador o las credenciales fallan, el IVE determina si ha almacenado
credenciales para el usuario y recurso especificados en su cach. (Consulte
ms adelante para obtener informacin cuando el IVE guarda en cach
credenciales.) Si est disponible, el IVE enva sus credenciales
almacenadas.
c.
Credenciales principales: Si el IVE no enva credenciales en cach o las

credenciales fallan, el IVE enva las credenciales principales del usuario del
IVE siempre que se cumplan las siguientes condiciones:
El recurso est en la misma zona Intranet que el IVE (es decir, el

nombre de host del recurso termina en el sufijo DNS configurado en
la pgina System > Network > Overview de la consola de
administracin).
(proxies Web solamente) Ha configurado el IVE para reconocer el proxy

Web mediante configuraciones en las pginas Users > Resource
Policies > Web > Web Proxy de la consola de administracin.
Las credenciales no son credenciales de ACE.
(Credenciales de RADIUS solamente) Se especifica en la pgina de

configuracin de RADIUS que el servidor RADIUS no acepte
contraseas de un solo uso.
d. Credenciales secundarias: Si las credenciales secundarias fallan, el IVE

determina si tiene credenciales secundarias para el usuario. Si est
disponible, el IVE enva las credenciales secundarias del usuario de IVE
siempre que se cumplan las condiciones descritas para las credenciales
principales.
232
e.
ltimas credenciales introducidas: Si el IVE no enva credenciales

secundarias o si las credenciales fallan, el IVE determina si ha almacenado
credenciales para el usuario especificado y un recurso diferente en su
cach. (Consulte ms adelante para obtener informacin cuando el IVE
guarda en cach credenciales.) Si est disponible, el IVE enva las
credenciales almacenadas siempre que se cumplan las condiciones
descritas para las credenciales principales.
f.
Credenciales especificadas por el usuario (peticin): Si el IVE no enva

las ltimas credenciales introducidas o si las credenciales fallan, el IVE pide
al usuario que introduzca manualmente sus credenciales en la pgina de
inicio de sesin del intermediario. Si el usuario selecciona la casilla de
verificacin Remember password?, el IVE guarda en cach las credenciales
especificadas por el usuario y, si es necesario, las reenva cuando el usuario
intenta tener acceso al mismo recurso nuevamente. Observe que cuando el
IVE guarda en cach estas credenciales, recuerda al usuario y recurso
especficos, incluso despus de que el usuario cierra la sesin del IVE.
Recurso protegido por un servidor Web o proxy Web usando autenticacin

bsica: El IVE enva credenciales en el siguiente orden al servidor o proxy
backend que est protegiendo el recurso Web:
a.
Credenciales en cach: Si el IVE no enva credenciales especificadas por el

administrador o las credenciales fallan, el IVE determina si ha almacenado
credenciales para el usuario y recurso especificados en su cach. (Consulte
ms arriba para obtener informacin cuando el IVE guarda en cach
credenciales.) Si est disponible, el IVE enva sus credenciales
almacenadas.
b.
Credenciales principales: Si el IVE no enva credenciales en cach o las

credenciales fallan, el IVE enva las credenciales principales del usuario del
IVE siempre que se cumplan las siguientes condiciones:
c.
El recurso est en la misma zona Intranet que el IVE (es decir, el

nombre de host del recurso termina en el sufijo DNS configurado en
la pgina System > Network > Overview de la consola de
administracin).
(proxies Web solamente) Ha configurado el IVE para reconocer el proxy

Web mediante configuraciones en las pginas Users > Resource
Policies > Web > Web Proxy de la consola de administracin.
Las credenciales no son credenciales de ACE.
(Credenciales de RADIUS solamente) Se especifica en la pgina de

configuracin de RADIUS que el servidor RADIUS no acepte
contraseas de un solo uso.
Credenciales secundarias: Si las credenciales secundarias fallan, el IVE

determina si tiene credenciales secundarias para el usuario. Si est
disponible, el IVE enva las credenciales secundarias del usuario de IVE
siempre que se cumplan las condiciones descritas para las credenciales
principales.
d. ltimas credenciales introducidas: Si el IVE no enva credenciales

secundarias o si las credenciales fallan, el IVE determina si ha almacenado
credenciales para el usuario especificado y un recurso diferente en su
cach. (Consulte ms adelante para obtener informacin cuando el IVE
guarda en cach credenciales.) Si est disponible, el IVE enva las
credenciales almacenadas siempre que se cumplan las condiciones
descritas para las credenciales principales.
e.
Credenciales especificadas por el usuario (peticin): Si el IVE no enva

las ltimas credenciales introducidas o si las credenciales fallan, el IVE pide
al usuario introducir manualmente sus credenciales en la pgina de inicio
de sesin del intermediario. Si el usuario selecciona la casilla de
verificacin Remember password?, el IVE guarda en cach las credenciales
especificadas por el usuario y, si es necesario, las reenva cuando el usuario
intenta tener acceso al mismo recurso nuevamente. Observe que cuando el
IVE guarda en cach estas credenciales, recuerda al usuario y recurso
especficos, incluso despus de que el usuario cierra la sesin del IVE.
NOTA:
El IVE no admite el mecanismo de autenticacin de credenciales mltiples

descrito en esta seccin con los mecanismos de Email client y SAML SSO.
Si no puede definir un servidor annimo, servidor de certificado o servidor

eTrust SiteMinder como un servidor de autenticacin secundario.
Si define un servidor eTrust SiteMinder como su servidor de autenticacin

principal, no puede definir un servidor de autenticacin secundario.
El IVE admite autenticacin bsica y el esquema de desafo/respuesta de

NTLM para HTTP cuando tiene acceso a aplicaciones Web, pero no admite la
autenticacin de plataformas cruzadas basada en HTTP mediante el protocolo
de negociacin.
Para obtener ms informacin sobre cmo el IVE usa autenticacin mltiple dentro
del proceso de autenticacin y autorizacin ms grande de IVE, consulte Vista
general de las directivas, reglas, restricciones y condiciones en la pgina 52.
Configuracin de SAML
El IVE le permite transmitir informacin de usuario y estado de sesin entre el IVE
y otro sistema de administracin de accesos fiable que admita (SAML). SAML
proporciona un mecanismo para que dos sistemas diferentes creen e intercambien
informacin de autenticacin y autorizacin usando un marco XML, minimizando
la necesidad de que los usuarios tengan que volver a introducir sus credenciales
cuando tienen acceso a mltiples aplicaciones o dominios1. El IVE admite SAML
versin 1.1.
Los intercambios de SAML dependen de una relacin fiable entre dos sistemas
o dominios. En los intercambios, un sistema acta como una autoridad SAML
(tambin llamada parte confirmadora o respondedor SAML) que confirma la
informacin sobre el usuario. El otro sistema acta como una parte receptora
(tambin llamada receptor SAML) que confa en la declaracin (tambin llamada
confirmacin) proporcionada por la autoridad SAML. Si elige confiar en la autoridad
SAML, la parte receptora autentica o autoriza al usuario basado en la informacin
proporcionada por la autoridad SAML.
El IVE admite dos contextos de caso de uso de SAML:
The IVE as the SAML authority: El usuario inicia sesin en un recurso

mediante el IVE primero, y todos los otros sistemas son receptores de SAML,
que confan en el IVE para autenticacin y autorizacin del usuario. En este
contexto, el IVE puede usar un perfil de artefacto o un perfil POST. Para obtener
ms informacin, consulte Configuracin de perfiles SAML SSO en la
pgina 237.
1. El Secure Access Markup Language es desarrollado por Security Services Technical Committee (SSTC) de la
organizacin de estndares OASIS. Para obtener informacin general tcnica de SAML, consulte el sitio Web de
OASIS: http://www.oasis-open.org/committees/download.php/5836/sstc-saml-tech-overview-1.1-draft-03.pdf
234
The IVE as the SAML receiver: El usuario inicia sesin en otro sistema en la red
primero, y el IVE es el receptor SAML, que confa en el otro sistema para
autenticacin y autorizacin del usuario.
Por ejemplo, en el primer contexto, un usuario autenticado de IVE llamado John

Smith puede intentar tener acceso a un recurso protegido por un sistema de
administracin de accesos. Cuando lo hace, el IVE acta como una autoridad SAML
y declara Este usuario es John Smith. Fue autenticado usando un mecanismo de
contrasea. El sistema de administracin de accesos (la parte receptora) recibe
esta declaracin y elige confiar en el IVE (y por lo tanto, confiar en que el IVE ha
identificado adecuadamente al usuario). El sistema de administracin de accesos
puede an elegir denegar el acceso al usuario al recurso solicitado (por ejemplo,
debido a que John Smith tiene privilegios de acceso insuficientes en el sistema),
al tiempo que confa en la informacin enviada por el IVE.
En el segundo contexto, John Smith inicia sesin en el portal de su empresa y es
autenticado usando un servidor LDAP tras el cortafuegos de la empresa. En el portal
seguro de la empresa, John Smith hace clic en un vnculo a un recurso protegido por
el IVE. Ocurre el siguiente proceso:
1. El vnculo redirecciona a John Smith a un Servicio de transferencia entre sitios
del portal de la empresa, que construye una URL de artefacto. La URL de
artefacto contiene una referencia a una confirmacin de SAML almacenada en
la cach del portal de la empresa.
2. El portal enva la URL al IVE, que puede decidir si incluye o no el vnculo a la
referencia.
3. Si el IVE establece el vnculo a la referencia, el portal enva un mensaje SOAP
que contiene la confirmacin de SAML (un mensaje XML que contiene las
credenciales del usuario) al IVE, que puede decidir entonces si permite o no al
usuario tener acceso al recurso solicitado.
4. Si el IVE permite el acceso del usuario, el IVE presenta al usuario el recurso
solicitado.
5. Si el IVE rechaza la confirmacin de SAML o las credenciales del usuario, el IVE
responde al usuario con un mensaje de error.
Cuando configure el IVE, puede usar SAML para:
Single sign-on (SSO) authentication: En una transaccin de SAML SSO, un

usuario autenticado inicia sesin sin problemas en otro sistema sin volver a
enviar sus credenciales. En este tipo de transaccin, el IVE puede ser la
autoridad SAML o el receptor SAML. Cuando acta como la autoridad SAML,
el IVE hace una declaracin de autenticacin, que declara el nombre de usuario
del usuario y cmo fue autenticado. Si la parte receptora (llamada servicio de
confirmacin de usuarios en las transacciones de SAML SSO) opta por confiar en
el IVE, el usuario inicia sesin sin problemas en el servicio de confirmacin de
usuarios usando el nombre de usuario contenido en la declaracin.
235
Cuando acta como el receptor SAML, el IVE solicita la confirmacin de

credenciales de la autoridad SAML, que es el sistema de administracin de
accesos, como LDAP u otro servidor de autenticacin. La autoridad SAML enva
una confirmacin mediante un mensaje SOAP. La confirmacin es un conjunto
de declaraciones XML que el IVE debe interpretar, basado en los criterios que el
administrador de IVE ha especificado en una definicin de instancia de
servidor SAML. Si el IVE elige confiar en la parte confirmadora, el IVE permite
al usuario iniciar sesin sin problemas usando las credenciales contenidas en la
confirmacin de SAML.
Access control authorization: En una transaccin de control de acceso de

SAML, el IVE pregunta a un sistema de administracin de accesos si el usuario
tiene acceso. En este tipo de transaccin, el IVE es la parte receptora (tambin
llamada punto de aplicacin de directiva en transacciones de control de
acceso). Consume y aplica una declaracin de decisin de autorizacin
proporcionada por el sistema de administracin de accesos (autoridad SAML),
que declara a qu puede acceder el usuario. Si la autoridad SAML (tambin
llamada punto de decisin de directiva en transacciones de control de acceso)
declara que el usuario de IVE tiene suficientes privilegios de acceso, el usuario
puede tener acceso al recurso solicitado.
NOTA:
236
El IVE no admite declaraciones de atributos, que declaran detalles especficos

sobre el usuario (como que John Smith es miembro de un grupo Gold).
El IVE no genera declaraciones de decisin de autorizacin: slo las consume.
Adems de proporcionar acceso a los usuarios a una URL basada en la

declaracin de decisin de autorizacin devuelta por una autoridad SAML, el
IVE tambin le permite definir los derechos de acceso del usuario a una URL
usando mecanismos slo de IVE (ficha Users > Resource Profiles > Web
Applications/Pages). Si define controles de acceso a travs del IVE al igual que
a travs de una autoridad SAML, ambas fuentes deben otorgar acceso a una
URL para que el usuario pueda tener acceso a ella. Por ejemplo, puede
configurar una directiva de acceso de IVE que deniega a los miembros del rol
Users acceso a www.google.com, pero configurar otra directiva de SAML que
basa los derechos de acceso del usuario en un atributo en un sistema de
administracin de accesos. Incluso si el sistema de administracin de accesos
permite a los usuarios tener acceso a www.google.com, an se puede denegar
el acceso a los usuarios basado en la directiva de acceso de IVE.
Cuando se pregunta si un usuario puede tener acceso a un recurso, los

sistemas de administracin de acceso que admiten SAML pueden devolver
una respuesta de permiso, denegacin o indeterminada. Si el IVE recibe una
respuesta indeterminada, deniega el acceso del usuario.
Puede que los tiempos de espera de la sesin en el IVE y su sistema de

administracin de accesos no se coordinen entre s. Si la cookie de la sesin
del sistema de administracin de accesos del usuario caduca antes que su
cookie de IVE (DSIDcookie), se pierde el inicio de sesin nico entre los dos
sistemas. El usuario est obligado a iniciar sesin nuevamente cuando caduca
el tiempo de sesin del sistema de administracin de accesos.
Creacin de una directiva de control de acceso en la pgina 245
Creacin de una relacin de confianza entre sistemas habilitados por

SAML en la pgina 249
Configuracin de una instancia de servidor de SAML en la pgina 187
Resumen de tareas: Configuracin de SAML mediante el IVE en la

pgina 254
Configuracin de perfiles SAML SSO

Cuando activa transacciones de SSO para un sistema de administracin de accesos
fiable, debe indicar si el sistema de administracin de accesos debe extraer
informacin de usuario del IVE o si el IVE debe enviarla al sistema de
administracin de accesos. Usted indica qu mtodo de comunicacin deben usar
los dos sistemas al seleccionar un perfil durante la configuracin. Un perfil es un
mtodo que dos sitios fiables usan para transferir una declaracin de SAML. Cuando
configure el IVE, puede elegir usar un perfil de artefacto o perfil POST.
Creacin de un perfil de artefacto

Cuando elige comunicarse usando el perfil de artefacto (tambin llamado
Explorador/Artefacto), el servidor de administracin de accesos fiable extrae
informacin de autenticacin del IVE, como se muestra en Figura 31.
Figura 31: Perfil de artefacto
237
El IVE y el servicio de confirmacin de usuarios (ACS) usan el siguiente proceso

para transmitir informacin:
1. El usuario intenta acceder a un recurso: Un usuario inicia sesin en el IVE
e intenta tener acceso a un recurso protegido en un servidor Web.
2. El IVE enva una solicitud HTTP o HTTPS GET al ACS: El IVE intercepta la
solicitud y comprueba si ha realizado la operacin SSO necesaria para cumplir
la solicitud. Si no lo ha hecho, el IVE crea una declaracin de autenticacin y
transmite una variable de consulta HTPP llamada artefacto al servicio de
confirmacin de usuarios.
Un perfil de artefacto es una cadena codificada en base 64 que contiene el ID de
origen del sitio de origen (es decir, una cadena de 20 bytes que hace referencia
al IVE) y genera al azar una cadena que acta como un ttulo de la declaracin
de autenticacin. (Observe que un ttulo caduca 5 minutos despus de enviar el
artefacto, de manera que si el servicio de confirmacin de usuarios responde
despus de 5 minutos, el IVE no enva una declaracin. Tambin observe que
el IVE descarta un ttulo despus de su primer uso para evitar que sea usado
dos veces.)
3. El ACS enva una solicitud SAML al IVE: El servicio de confirmacin de
usuarios usa el ID de origen enviado en el paso anterior para determinar la
ubicacin del IVE. Seguidamente, el servicio de confirmacin de usuarios enva
una solicitud de declaracin en un mensaje SOAP a la siguiente direccin en
el IVE:
https://<IVEhostname>/dana-ws/saml.ws
La solicitud incluye el ttulo de la declaracin transmitido en el paso anterior.

NOTA: El IVE slo admite artefactos de tipo 0x0001. Este tipo de artefacto
transmite una referencia a la ubicacin del sitio de origen (es decir, el ID de origen
del IVE), en lugar de enviar la ubicacin en s. Para manejar artefactos de tipo
0x0001, el servicio de confirmacin de usuarios deben mantener una tabla que
asigna ID de origen a las ubicaciones de sitios de origen de socios.
4. El IVE enva una declaracin de autenticacin al ACS: El IVE usa el ttulo de

la declaracin en la solicitud para encontrar la declaracin correcta en la cach
del IVE y despus enva la declaracin de autenticacin adecuada de vuelta al
servicio de confirmacin de usuarios. La declaracin que no ha iniciado sesin
contiene la identidad del usuario y el mecanismo que usa para iniciar sesin en
el IVE.
5. El ACS enva una cookie al IVE: El servicio de confirmacin de usuarios acepta
la declaracin y, despus, enva una cookie de vuelta al IVE que permite la
sesin del usuario.
6. El IVE enva la cookie al servidor Web: El IVE guarda en cach la cookie para
manejar futuras solicitudes. Seguidamente, el IVE enva la cookie en una
solicitud HTTP al servidor Web cuyo nombre de dominio coincide con el
dominio en la cookie. El servidor Web abre la sesin sin pedir credenciales
al usuario.
238
NOTA: Si configura el IVE para usar perfiles de artefacto, debe instalar el

certificado de servidor Web de IVE en el servicio de confirmacin de usuarios
(como se explica en Configuracin de certificados en la pgina 250).
Para escribir una directiva de recurso de perfil de artefacto de SAML SSO:

1. En la consola de administracin, dirjase a Users > Resource Policies > Web.
2. Si su vista de administrador an no est configurada para mostrar directivas de
SAML, haga las siguientes modificaciones:
a.
Haga clic en el botn Customize en la esquina superior derecha de

la pgina.
b.
Seleccione la casilla de verificacin SSO.
c.
Seleccione la casilla de verificacin SAML ubicada debajo de la casilla de

verificacin SSO.
d. Haga clic en OK.

3. Seleccione la ficha SSO > SAML.
4. Haga clic en New Policy.
5. En la pgina New Policy, introduzca:
a.
Un nombre para identificar esta directiva.
b.
Una descripcin de la directiva (opcional).
6. En la seccin Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener ms informacin, consulte Especificacin de los
recursos para una directiva de recursos en la pgina 103. Para habilitar la
coincidencia segn IP o la coincidencia que distingue entre maysculas y
minsculas para estos recursos, consulte Escritura de una directiva de recursos
proxy web en la pgina 456.
7. En la seccin Roles, especifique:
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
239
8. En la seccin Action, especifique:
Use the SAML SSO defined below: El IVE ejecuta una solicitud de inicio de
sesin nico (SSO) a la URL especificada usando los datos especificados en
la seccin SAML SSO details. El IVE hace la solicitud de SSO cuando un
usuario intenta tener acceso a un recurso de SAML especificad en la lista
de Resources.
Do NOT use SAML: El IVE no ejecuta una solicitud de SSO.
Use Detailed Rules: Para especificar una o ms reglas detalladas para

esta directiva.
9. En la seccin SAML SSO Details, especifique:
SAML Assertion Consumer Service URL: Introduzca la URL que el IVE

debe usar para comunicarse con el servicio de confirmacin de usuarios
(es decir, el servidor de administrador de accesos). Por ejemplo,
https://<hostname>:<port>/dana-na/auth/saml-consumer.cgi. (Observe que
el IVE tambin utiliza este campo con objeto de determinar el receptor
SAML para sus confirmaciones.)
NOTA: Si introduce una URL que comienza con HTTPS, debe instalar la CA raz del
servicio de confirmacin de usuarios en el IVE (como se explica en Configuracin
de certificados en la pgina 250).
Profile: Seleccione Artifact para indicar que el servicio de confirmacin de

usuarios debe extraer informacin del IVE durante transacciones de SSO.
Source ID: Introduzca el ID de origen para el IVE. Si introduce una:
Cadena de texto plano: El IVE la convierte, agrega o trunca a una

cadena de 20 bytes.
Cadena codificada en base 64: El IVE la decodifica y se asegura de que

es de 20 bytes.
Si su sistema de administracin de accesos requiere ID de origen

codificados de base 64, puede crear una cadena de 20 bytes y, despus,
usarla como una herramienta como OpenSSL para codificarla en base 64.
NOTA: El identificador de IVE (es decir, ID de origen) debe asignar a la siguiente
URL en el servicio de confirmacin de usuarios (como se explica en
Configuracin de URL de aplicacin fiable en la pgina 249):
https://<IVEhostname>/dana-ws/saml.ws
Issuer: Introduzca una cadena nica que el IVE pueda usar para identificar
cuando genere confirmaciones (por lo general, su nombre de host).
NOTA: Debe configurar el servicio de confirmacin de usuarios para que reconozca
la cadena nica de IVE (como se explica en Configuracin de un emisor en la

pgina 250).
240
10. En la seccin User Identity, especifique cmo el IVE y el servicio de

confirmacin de usuarios deben identificar al usuario:
Subject Name Type: Especifique qu mtodo el IVE y el servicio de

confirmacin de usuarios deben utilizar para identificar al usuario:
DN: Enve el nombre de usuario en el formato de un atributo de DN

(nombre completo).
Email Address: Enve el nombre de usuario en el formato de una

direccin de correo electrnico.
Windows: Enve el nombre de usuario en el formato de un nombre de

usuario de dominio calificado de Windows.
Other: Enve el nombre de usuario en otro formato acordado por el IVE

y el servicio de confirmacin de usuarios.
Subject Name: Use las variables descritas en Variables del sistema y

ejemplos en la pgina 1046 para especificar el nombre de usuario que el
IVE debe transmitir al servicio de confirmacin de usuarios. O introduzca
texto esttico.
NOTA: Debe enviar un nombre de usuario o atributo que el servicio de

confirmacin de usuarios reconocer (como se explica en Configuracin de la
identidad de usuario en la pgina 253).
11. En la seccin Web Service Authentication, especifique el mtodo de

autenticacin que el IVE debe usar para autenticar el servicio de confirmacin
de usuarios:
None: No autentique el servicio de confirmacin de usuarios.
Username: Autentique el servicio de confirmacin de usuarios usando un

nombre de usuario y contrasea. Introduzca el nombre de usuario y
contrasea que el servicio de confirmacin de usuarios debe enviar al IVE.
Certificate Attribute: Autentique el servicio de confirmacin de usuarios

usando atributos de certificados. Introduzca los atributos que el servicio de
confirmacin de usuarios debe enviar al IVE (un atributo por lnea). Por
ejemplo, cn=sales. Debe usar valores que coincidan con los valores
contenidos en el certificado del servicio de confirmacin de usuarios.
NOTA: Si selecciona esta opcin, debe instalar CA raz del servicio de confirmacin
de usuarios en el IVE (como se explica en Configuracin de certificados en la

pgina 250).
12. Cookie Domain: Introduzca una lista de dominios separados por coma a los
cuales enviar la cookie de SSO.
241

14. En la pgina SAML SSO Policies, ordene las directivas en el orden en el que
desee que el IVE las evale. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la accin especificada y detiene las
directivas de procesamiento.
Creacin de un perfil POST

Cuando opta por comunicarse usando un perfil POST (tambin llamado perfil
Explorador/POST), el IVE enva datos de autenticacin al sistema de
administracin de accesos usando un comando POST HTTP a travs de una
conexin SSL 3.0, como se muestra en la Figura 32.
Figura 32: Perfil POST
El IVE y un sistema de administracin de accesos (AM) usan el siguiente proceso

2. El IVE publica una declaracin: El IVE intercepta la solicitud y comprueba si
ha ejecutado la operacin SSO necesaria para cumplir la solicitud. Si no lo ha
hecho, el IVE crea una declaracin de autenticacin, la firma digitalmente, y la
publica directamente el servidor de administracin de accesos. Dado que la
declaracin est firmada, el servidor de administracin de accesos debe confiar
en la autoridad de certificado que fue utilizada para emitir el certificado.
Observe que debe configurar qu certificado usa el IVE para firmar la
declaracin.
3. El AM establece una sesin: Si el usuario tiene los permisos adecuados, el
servidor de administracin de accesos enva una cookie devuelta al IVE que
permite la sesin del usuario.
4. El IVE enva la cookie al servidor Web: El IVE guarda en cach la cookie para
manejar futuras solicitudes. Seguidamente, el IVE enva la cookie en una
solicitud HTTP al servidor Web cuyo nombre de dominio coincide con el
dominio en la cookie. El servidor Web abre la sesin sin pedir credenciales
al usuario.
242
NOTA: Si configura el IVE para usar perfiles POST, debe instalar la CA raz del
servicio de confirmacin de usuarios en el IVE y determinar qu mtodo usa el
servicio de confirmacin de usuarios para aprobar el certificado (como se explica
en Configuracin de certificados en la pgina 250).
Para escribir una directiva de recurso de perfil de POST SSO SAML:

a.

la pgina.
b.
c.
Seleccione la casilla de verificacin SAML ubicada debajo de la casilla de

verificacin SSO.
d. Haga clic en OK.

3. Seleccione la ficha SSO > SAML.
5. En la pgina SAML SSO Policy, introduzca:
a.
b.

Available roles.
243
Use the SAML SSO defined below: El IVE ejecuta una solicitud de inicio de
sesin nico (SSO) a la URL especificada usando los datos especificados en
la seccin SAML SSO details. El IVE hace la solicitud de SSO cuando un
usuario intenta tener acceso a un recurso de SAML especificad en la lista
de Resources.
Do NOT use SAML: El IVE no ejecuta una solicitud de SSO.
Use Detailed Rules: Para especificar una o ms reglas detalladas que se

apliquen a esta directiva.
9. En la seccin SAML SSO Details, especifique:
SAML Assertion Consumer Service URL: Introduzca la URL que el IVE

debe usar para comunicarse con el servicio de confirmacin de usuarios
(es decir, el servidor de administrador de accesos). Por ejemplo,
https://hostname/acs.
Profile: Seleccione POST para indicar que el IVE debe introducir

informacin en el servicio de confirmacin de usuarios durante
transacciones de SSO.
Issuer: Introduzca una cadena nica que el IVE pueda usar para identificar
cuando genere confirmaciones (por lo general, su nombre de host).
NOTA: Debe configurar el servicio de confirmacin de usuarios para que reconozca
la cadena nica de IVE (como se explica en Configuracin de un emisor en la

pgina 250).
Signing Certificate: Especifique qu certificado el IVE debe usar para

firmar sus confirmaciones.
10. En la seccin User Identity, especifique cmo el IVE y el servicio de

confirmacin de usuarios deben identificar al usuario:
244
Subject Name Type: Especifique qu mtodo el IVE y el servicio de

confirmacin de usuarios deben utilizar para identificar al usuario:

(nombre completo).



y el servicio de confirmacin de usuarios.

IVE debe transmitir al servicio de confirmacin de usuarios. O introduzca
texto esttico.
NOTA: Debe enviar un nombre de usuario o atributo que el servicio de

confirmacin de usuarios reconocer (como se explica en Configuracin de la
identidad de usuario en la pgina 253).
11. Cookie Domain: Introduzca una lista de dominios separados por coma a los
cuales enviar la cookie de SSO.
13. En la pgina SAML SSO Policies, ordene las directivas en el orden en el que
Creacin de una directiva de control de acceso

Cuando activa transacciones de control de acceso para un sistema de
administracin de accesos fiable, el IVE y el sistema de administracin de
accesos intercambian informacin usando el mtodo indicado en la Figura 33.
Figura 33: Directivas de control de acceso
245
El IVE y un sistema de administracin de accesos (AM) usan el siguiente proceso

2. El IVE publica una consulta de decisin de autorizacin: Si el IVE ya ha
hecho una solicitud de autorizacin y an es vlida, el IVE usa esa solicitud.
(La solicitud de autorizacin es vlida para el perodo de tiempo especificado en
la consola de administracin.) Si no tiene una solicitud de autorizacin vlida,
el IVE publica una consulta de decisin de autorizacin para acceder al sistema
de administracin de accesos. La consulta contiene la identidad del usuario y el
recurso que el sistema de administracin de accesos necesita autorizar.
3. El AM publica una declaracin de decisin de autorizacin: El sistema de
administracin de accesos enva un POST HTTPS que contiene un mensaje
SOAP con la declaracin de decisin de autorizacin. La declaracin de decisin
de autorizacin contiene un resultado de permiso, denegacin o
indeterminado.
4. El IVE enva la solicitud al servidor Web: Si la declaracin de decisin de
autorizacin devuelve un resultado de permiso, el IVE permite el acceso al
usuario. Si no lo hace, el IVE presenta una pgina de error al usuario indicando
que no tiene los permisos de acceso adecuados.
NOTA: Si configura el IVE para usar transacciones de control de acceso, debe

instalar la CA raz del servicio Web de SAML en el IVE (como se explica en
Configuracin de certificados en la pgina 250).
Para escribir una directiva de recurso de Control de acceso de SAML:

a.

la pgina.
b.
Seleccione la casilla de verificacin SAML ACL ubicada debajo de la casilla

de verificacin Access.
c.
Haga clic en OK.
3. Seleccione la ficha Access > SAML ACL.

4. En la pgina SAML Access Control Policies, haga clic en New Policy.
246
a.
b.

Available roles.
Use the SAML Access Control checks defined below: El IVE ejecuta una
comprobacin de control de acceso a la URL especificada usando los datos
especificados en la seccin SAML Access Control Details.
Do not use SAML Access: El IVE no ejecuta una comprobacin de control

de acceso.
Use Detailed Rules: Para especificar una o ms reglas detalladas para

esta directiva.
9. En la seccin SAML Access Control Details, especifique:
SAML Web Service URL: Introduzca la URL del servidor SAML del sistema
de administracin de accesos. Por ejemplo, https://hostname/ws.
Issuer: Introduzca el nombre de host del emisor, que suele ser el nombre
de host del sistema de administracin de accesos.
NOTA: Debe introducir una cadena nica que el servicio Web de SAML Web utiliza
para identificarse en confirmaciones de autorizacin (como se explica en
Configuracin de un emisor en la pgina 250).
247
10. En la seccin User Identity, especifique cmo deben identificar al usuario el

IVE y el servicio Web de SAML:
Subject Name Type: Especifique qu mtodo deben utilizar el IVE y el

servicio Web de SAML para identificar al usuario:

(nombre completo).



y el servicio Web de SAML.

IVE debe transmitir al servicio Web de SAML. O introduzca texto esttico.
NOTA: Debe enviar un nombre de usuario o atributo que el servicio Web de SAML
reconocer (como se explica en Configuracin de la identidad de usuario en la
pgina 253).
11. En la seccin Web Service Authentication, especifique el mtodo de

autenticacin que el servicio Web de SAML debe usar para autenticar el IVE:
None: No autentique el IVE.
Username: Autentique el IVE usando un nombre de usuario y contrasea.

Introduzca el nombre de usuario y contrasea que el IVE debe enviar al
servicio Web.
Certificate Attribute: Autentique el IVE usando un certificado firmado por

una autoridad de certificado fiable. Si tiene ms de un certificado instalado
en el IVE, use la lista desplegable para seleccionar qu certificado enviar al
servicio Web.
NOTA: Si selecciona esta opcin, debe instalar el certificado del servidor Web de
IVE en el servidor Web del sistema de administracin de accesos y determinar
qu mtodo usa el servicio Web de SAML para aprobar el certificado (como se
explica en Configuracin de certificados en la pgina 250).
248
12. En la seccin Options, especifique:
Maximum Cache Time: Puede eliminar el nivel mximo de generacin de

una decisin de autorizacin cada vez que el usuario solicita la misma URL
indicando que el IVE debe guardar en cach las respuestas de autorizacin
del sistema de administracin de accesos. Introduzca la cantidad de tiempo
que el IVE debe guardar en cach las respuestas (en segundos).
Ignore Query Data: De forma predeterminada, cuando un usuario solicita

un recurso, el IVE enva toda la URL para ese recurso (incluido el parmetro
de consulta) al servicio Web de SAML y guarda en cach URL. Puede
especificar que el IVE debe eliminar la cadena de consulta de la URL antes
de solicitar autorizacin o guardar en cach la respuesta de autorizacin.

14. En la pgina SAML Access Control Policies, ordene las directivas en el orden
en el que desee que el IVE las evale. Tenga presente que una vez que el IVE
compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la accin especificada
y detiene las directivas de procesamiento.
Creacin de una relacin de confianza entre sistemas habilitados por SAML

Para asegurar que los sistemas habilitados por SAML estn solamente
transmitiendo informacin entre fuentes fiables, debe crear una relacin fiable
entre las aplicaciones que estn enviando y recibiendo informacin. Para crear una
relacin fiable entre el IVE y otra aplicacin habilitada por SAML, debe configurar
los siguientes tipos de informacin en cada sistema:
Configuracin de URL de aplicacin fiable en la pgina 249
Configuracin de un emisor en la pgina 250
Configuracin de certificados en la pgina 250
Configuracin de la identidad de usuario en la pgina 253
Configuracin de URL de aplicacin fiable

En una relacin fiable, debe proporcionar los sistemas habilitados por SAML con las
URL que necesitan para comunicarse con otras. En algunas transacciones,
solamente el sistema que inicia la transaccin (el IVE) necesita conocer la URL del
otro sistema. (El IVE usa la URL para iniciar la transaccin.) En otras transacciones
(las transacciones SSO que usan perfiles de artefactos), necesita configurar cada
sistema con la URL del otro.
249
A continuacin se presenta una lista con los diferentes tipos de transacciones y URL
que debe configurar para cada cual:
Transacciones de SSO: Perfil de artefacto: En el IVE, debe introducir la URL

del servicio de confirmacin de usuarios. Por ejemplo: https://hostname/acs
Adems, debe introducir la siguiente URL para el servicio de confirmacin de
usuarios del IVE: https://<IVEhostname>/dana-ws/saml.ws
Transacciones de SSO: Perfil POST: En el IVE, debe introducir la URL del

servicio de confirmacin de usuarios. Por ejemplo: https://hostname/acs
Transacciones de control de accesos: En el IVE, debe introducir la URL del

servicio Web de SAML. Por ejemplo: https://hostname/ws
Configuracin de un emisor
Antes de aceptar una declaracin de otro sistema, una entidad habilitada por SAML
debe confiar en el emisor de la declaracin. Puede controlar en qu emisores confa
un sistema especificando cadenas nicas de los emisores fiables durante la
configuracin del sistema. (Cuando enva una declaracin, un emisor se identifica a
s mismo al incluir su cadena nica en la declaracin. Las aplicaciones habilitadas
por SAML generalmente usan nombres de hosts para identificar emisores, pero el
estndar SAML permite que las aplicaciones usen cualquier cadena.) Si no configura
un sistema para reconocer una cadena nica de un emisor, el sistema no aceptar
esas declaraciones del emisor.
A continuacin se presenta una lista con los diferentes tipos de transacciones y
emisores que debe configurar para cada cual:
Transacciones de SSO: Debe especificar una cadena nica en el IVE (por lo

general, su nombre de host) que puede usar para identificarse a s mismo y
despus, configurar el sistema de administracin de accesos para reconocer
esa cadena.
Transacciones de SSO: Debe especificar una cadena nica en el sistema de

administracin de accesos (por lo general, su nombre de host) que puede
usar para identificarse a s mismo y despus, configurar el IVE para reconocer
esa cadena.
Configuracin de certificados
Dentro de las transacciones de SSL, el servidor debe presentar un certificado al
cliente y despus el cliente debe comprobar (como mnimo) que confa en la
autoridad de certificado que emiti el certificado del servidor antes de aceptar la
informacin. Puede configurar todas las transacciones de SAML de IVE para usar
SSL (HTTPS). Las siguientes secciones tienen una lista de los diferentes tipos de
transacciones y requisitos de certificados para cada una.
250
Configuracin de transacciones de SSO: Perfil de artefacto

Las transacciones de perfil de artefacto implican numerosas comunicaciones que
van y vienen entre el IVE y el sistema de administracin de accesos. Los mtodos
que utiliza para transmitir datos y autenticar los dos sistemas afectan a los
certificados que debe instalar y configurar. A continuacin encontrar una lista de
las diferentes opciones de configuracin de perfil de artefacto que requieren
configuraciones especiales de certificado:
All artifact profile transactions: Independientemente de la configuracin del

perfil de artefacto, debe instalar el certificado de la CA que firm el certificado
del servidor Web de IVE en el sistema de administracin de accesos. (El IVE
requiere que el sistema de administracin de accesos use una conexin SSL
cuando solicite una declaracin de autenticacin. En una conexin de SSL,
el iniciador debe confiar en el sistema al cual se est conectando. Al instalar el
certificado de CA en el sistema de administracin de accesos, asegura que el
sistema de administracin de accesos confiar en la CA que emiti el
certificado del IVE.)
Sending artifacts over an SSL connection (HTTPS GET requests): Si opta por
enviar artefactos al sistema de administracin de accesos usando una conexin
de SSL, debe instalar el certificado de CA raz del sistema de administracin de
accesos en el IVE. (En una conexin de SSL, el iniciador debe confiar en el
sistema al cual se est conectando). Al instalar el certificado de CA del sistema
de administracin de accesos en el IVE, asegura que el IVE confiar en la CA
que emiti el certificado del sistema de administracin de accesos.) Puede
instalar la CA raz desde la pgina System > Configuration > Certificates >
Trusted Client CAs en la consola de administracin. Para obtener ms
informacin, consulte Uso de CA de cliente de confianza en la pgina 758.
Si no desea enviar artefactos a travs de una conexin SSL, no necesita instalar
ningn certificado adicional.
Para activar comunicaciones basadas en SSL desde el IVE para el sistema de
administracin de accesos, introduzca una URL que comience con HTTPS en
el campo SAML Assertion Consumer Service URL durante la configuracin
de IVE. Tambin puede necesitar activar SSL en el sistema de administracin
de accesos.
Transactions using certificate authentication: Si opta por autenticar el

sistema de administracin de accesos usando un certificado, debe:
Instalar el certificado de CA raz del sistema de administracin de accesos

en el IVE. Puede instalar la CA raz desde la pgina System >
Configuration > Certificates > Trusted Client CAs en la consola de
administracin. Para obtener ms informacin, consulte Uso de CA de
cliente de confianza en la pgina 758.
Especifique qu valores de certificado debe usar el IVE para validar el

sistema de administracin de accesos. Debe usar valores que coincidan
con los valores contenidos en el certificado del sistema de administracin
de accesos.
Si no opta por autenticar el sistema de administracin de accesos, o elige usar

autenticacin de nombre de usuario/contrasea, no necesita instalar ningn
certificado adicional.
251
Configuracin de transacciones de SSO: Perfil POST

En una transaccin de perfil POST, el IVE enva declaraciones de autenticacin
firmadas al sistema de administracin de accesos. Por lo general, las enva a travs
de una conexin SSL (recomendado), pero en algunas configuraciones, el IVE puede
enviar declaraciones mediante una conexin HTTP estndar. A continuacin
encontrar una lista de las diferentes opciones de configuracin de perfil POST que
requieren configuraciones especiales de certificado:
All POST profile transactions: De forma independiente de la configuracin del

perfil POST, debe especificar qu certificado debe usar el IVE para firmar sus
declaraciones. Puede elegir un certificado en la pgina Users > Resource
Policies > Web > SSO SAML > [Directiva] > General en la consola de
administracin. Para obtener ms informacin, consulte Configuracin de
SAML en la pgina 234. Despus, debe instalar el certificado del dispositivo de
IVE en el sistema de administracin de accesos. Puede descargar el certificado
del IVE desde la pgina System > Configuration > Certificates > Device
Certificates > [Certificado] > Certificate Details.
Sending Sending POST data over an SSL connection (HTTPS): Si elige enviar
declaraciones al sistema de administracin de accesos usando una conexin de
SSL, debe instalar el certificado de CA raz del sistema de administracin de
accesos en el IVE. (En una conexin de SSL, el iniciador debe confiar en el
sistema al cual se est conectando). Al instalar en el IVE el certificado del
sistema de administracin de accesos, asegura que el IVE confiar en la CA que
emiti el certificado del sistema de administracin de accesos.) Puede instalar
la CA raz desde la pgina System > Configuration > Certificates > Trusted
Client CAs en la consola de administracin. Para obtener ms informacin,
consulte Uso de CA de cliente de confianza en la pgina 758. Si no desea
enviar declaraciones post a travs de una conexin SSL, no necesita instalar
ningn certificado adicional.
Para activar comunicaciones basadas en SSL desde el IVE para el sistema de
administracin de accesos, introduzca una URL que comience con HTTPS en
el campo SAML Assertion Consumer Service URL durante la configuracin
de IVE. Tambin puede necesitar activar SSL en el sistema de administracin
de accesos.
Configuracin de transacciones de control de acceso

En una transaccin de control de acceso, el IVE publica una consulta de decisin
de autorizacin en el sistema de administracin de accesos. Para asegurar que el
sistema de administracin de accesos responda a la consulta, debe determinar qu
opciones de certificado requiere su configuracin. A continuacin encontrar una
lista de las diferentes opciones de configuracin de control de acceso que requieren
configuraciones especiales de certificado:
252
Sending authorization data over an SSL connection: Si opta por conectarse

al sistema de administracin de accesos usando una conexin de SSL, debe
instalar el certificado de CA raz del sistema de administracin de accesos en el
IVE. (En una conexin de SSL, el iniciador debe confiar en el sistema al cual se
est conectando). Al instalar en el IVE el certificado del sistema de
administracin de accesos, se garantiza que el IVE confiar en la CA que emiti
el certificado del sistema de administracin de accesos.) Puede instalar la CA
raz desde la pgina System > Configuration > Certificates > Trusted Client
CAs en la consola de administracin. Para obtener ms informacin, consulte
Uso de CA de cliente de confianza en la pgina 758.
Transactions using certificate authentication: Si opta por usar autenticacin

de certificados, debe configurar el sistema de control de acceso para confiar en
la CA que emiti el certificado del IVE. Opcionalmente, puede tambin optar
por aceptar el certificado basado en las siguientes opciones adicionales:
Cargar la clave pblica del certificado del IVE en el sistema de

administracin de accesos.
Validar el IVE usando atributos de certificado especficos.
Estas opciones requieren que especifique qu certificado debe transmitir el

IVE al sistema de administracin de accesos. Puede elegir un certificado en la
pgina Users > Resource Policies > Web > SAML ACL > [Directiva] >
General en la consola de administracin. Para obtener ms informacin,
consulte Configuracin de perfiles SAML SSO en la pgina 237.
Para determinar cmo configurar su sistema de administracin de accesos
para validar el certificado del IVE, consulte la documentacin del sistema de
administracin de accesos. Si su sistema de administracin de accesos no
requiere autenticacin de certificado, o si usa autenticacin de nombre de
usuario/contrasea, no necesita configurar el IVE para transmitir un certificado
al servidor de administracin de accesos. Si no especifica un mtodo fiable, su
sistema de administracin de accesos puede aceptar solicitudes de autorizacin
desde cualquier sistema.
Configuracin de la identidad de usuario

En una relacin fiable, las dos entidades deben acordar una forma de identificar
usuarios. Puede elegir compartir un nombre de usuario en sistemas, seleccionar un
LDAP o atributo de usuario de certificado para compartir entre sistemas o incruste
los datos directamente en el cdigo fuente de ID de usuario. (Por ejemplo, puede
elegir configurar el campo Subject Name con el nombre "invitado" con el fin de
permitir el acceso rpido en los sistemas).
Para asegurar que dos sistemas estn transmitiendo informacin comn sobre
usuarios, debe especificar qu informacin debe transmitir el IVE usando opciones
en la seccin User Identity de la pgina Users > Resource Policies > Web >
SAML SSO > [Directiva] > General (para obtener ms informacin, consulte
Configuracin de SAML en la pgina 234) y la pgina Users > Resource
Policies > Web > SAML ACL > [Directiva] > General de la consola de
administracin. Elija un nombre de usuario o atributo que reconozca el sistema
de administracin de accesos.
253
Resumen de tareas: Configuracin de SAML mediante el IVE

Para configurar el SAML mediante el IVE, debe:
1. Configure una directiva de recurso Web para una URL mediante las fichas
Users > Resource Policies > Web > SAML ACL y Users > Resource
Policies > Web > SAML SSO en la consola de administracin. Para obtener
ms informacin, consulte Configuracin de SAML en la pgina 234.
2. Dentro de la directiva, proporcione informacin sobre el IVE, el sistema de
administracin de accesos fiable y el mecanismo que debe usar para compartir
informacin, segn se explica en Creacin de una relacin de confianza entre
sistemas habilitados por SAML en la pgina 249.
3. D acceso a los usuarios de IVE de un rol a la directiva de recursos Web
mediante la ficha Users > User Roles > Seleccionar rol > General de la
consola de administracin. Para obtener instrucciones, consulte Configuracin
de las opciones generales del rol en la pgina 73.
254
Parte 3
Defensa en el punto final

Trusted Computing Group (TCG) es una organizacin sin fines de lucro fundada en
el 2003 para desarrollar, definir y promover estndares abiertos para tecnologas de
computacin y seguridad fiables con habilitacin de hardware en diversas
plataformas, dispositivos perifricos y otros. TCG tiene ms de 100 miembros entre
los que se cuentan proveedores de componentes, desarrolladores de software,
proveedores de sistemas y operadores de redes.
Trusted Network Connect (TNC) es un grupo perteneciente a TCG que cre una
arquitectura y un conjunto de estndares para verificar la integridad y el
cumplimiento de directivas en el punto final durante o despus de una solicitud de
acceso de red. Muchos de los miembros del TCG participaron en la definicin y
especificacin de la arquitectura del TNC. El TNC defini varias interfaces estndar
que permiten que componentes de distintos fabricantes funcionen juntos de
manera segura. La arquitectura del TNC est diseada para aprovechar estndares
y tecnologas establecidos, como 802 1X, RADIUS, IPsec, EAP y TLS/SSL.
Para obtener ms informacin acerca de TNC, visite
www.trustedcomputinggroup.org.
Con el uso de los siguientes componentes de defensa en el punto final, se puede
administrar y proporcionar una variedad de verificaciones en el punto final,
todo ello en el IVE.
Host Checker: Host Checker usa tecnologa basada en la arquitectura

y estndares de TNC para ofrecer un mtodo integral para determinar la
fiablilidad de los puntos finales. Host Checker es un componente nativo del IVE
que puede usar para realizar comprobaciones de los puntos finales en los hosts
que se conectan al IVE. Host Checker comprueba las aplicaciones, archivos,
procesos, puertos, claves de registro y DLL personalizadas de terceros, as como
el nombre de NetBIOS, direccin MAC o certificado del equipo cliente y niega
o permite el acceso de acuerdo con los resultados de las comprobaciones.
Cuando se cuenta con la licencia adecuada, tambin se puede usar Host
Checker para descargar software avanzado de deteccin de malware
directamente en el equipo del usuario. Cuando el equipo del usuario no cumple
con los requisitos especificados, se pueden mostrar instrucciones de correccin
a los usuarios para que puedan adecuar sus equipos. Para obtener ms
informacin, consulte Host Checker en la pgina 257.
Por ejemplo, se puede escoger que se detecten virus antes de otorgar acceso
a cualquiera de los territorios del IVE, lanzar el software en el sistema si es
necesario, asignar el usuario a roles segn las directivas particulares que estn
definidas en su propia DLL y despus restringir ms el acceso a los distintos
recursos de acuerdo con la existencia de un software de deteccin de spyware.
255
Cache Cleaner (slo Windows): Cache Cleaner es un componente nativo del

IVE que se puede usar para eliminar datos residuales, como cookies, archivos
temporales o cachs de aplicaciones del equipo de un usuario cuando termina
una sesin del IVE. Cache Cleaner ayuda proteger el sistema del usuario
evitando que usuarios posteriores encuentren copias temporales de archivos
que haya visto el usuario anterior y evitando que los exploradores web
almacenen de manera permanente los nombres de usuario, claves y
direcciones web que se introducen en los formularios. Para obtener ms
informacin, consulte Cache Cleaner en la pgina 331.
Esta seccin contiene la siguiente informacin sobre la defensa en el punto final:
256
Host Checker en la pgina 257
Cache Cleaner en la pgina 331
Captulo 11
Host Checker
Host Checker es un agente del lado cliente que realiza comprobaciones de los
puntos finales en los hosts que se conectan al IVE. Puede invocar el Host Checker
antes de mostrar al usuario la pgina de inicio de sesin del IVE y cuando evale
una regla de asignacin de roles o una directiva de recursos.
La arquitectura TNC dentro de Host Checker

Todas las reglas de Host Checker se implementan a travs de IMC (recopiladores de
medicin de integridad) e IMV (comprobadores de medicin de integridad) basados
en la arquitectura abierta de TNC (Trusted Network Computing).
Los IMC son mdulos de software que Host Checker ejecuta en el equipo cliente.
Los IMC son responsables de recopilar la informacin de, por ejemplo, antivirus,
antispyware, administracin de parches, cortafuegos y otra informacin de
seguridad y de configuracin para un equipo cliente.
Los IMV son mdulos de software que se ejecutan en el IVE y que son responsables
de comprobar un aspecto en particular de la integridad de un punto final.
El IVE y Host Checker administran el flujo de informacin entre los pares
concordantes de IMV e IMC. Cada IMV presente en el IVE trabaja con el
correspondiente IMC en el equipo cliente para comprobar que el ste cumpla
con las reglas de Host Checker.
Tambin puede configurar Host Checker para supervisar los IMC de terceros
instalados en los equipos cliente usando IMV de terceros que se instalan en
un servidor de IMV remoto. Para obtener ms informacin, consulte Uso de
Comprobadores de medicin de integridad de terceros en la pgina 289.
NOTA:
El IVE y Host Checker cumplen con las normas emitidas por el subgrupo
Trusted Network Connect (TNC) de Trusted Computing Group. Para obtener
ms informacin acerca de IMV e IMC, visite www.trustedcomputinggroup.org.
La arquitectura TNC dentro de Host Checker
257
El IVE puede buscar propiedades de los puntos finales en los hosts usando varios
tipos de reglas; por ejemplo, reglas que comprueban la presencia e instalan
proteccin contra malware; reglas predefinidas que buscan software antivirus,
cortafuegos, malware, spyware, sistemas operativos especficos, DLL de terceros,
puertos, procesos, archivos, valores de la clave de registro, el nombre del NetBIOS,
la direccin MAC o el certificado del equipo cliente.
Vista general de Host Checker

Si el equipo del usuario no cumple con alguno de los requisitos de las directivas
de Host Checker, puede crear una pgina personalizada en HTML que muestra las
acciones correctivas al usuario. Esta pgina puede contener instrucciones
especficas y vnculos a recursos que le ayudan al usuario a lograr que su equipo
cumpla con las directivas de Host Checker.
Esta seccin contiene la siguiente informacin sobre Host Checker:
Licencia: Disponibilidad de Host Checker en la pgina 258
Resumen de tareas: Configuracin de Host Checker en la pgina 259
Creacin de directivas de Host Checker globales en la pgina 261
Habilitacin de Secure Virtual Workspace en la pgina 321
Implementacin de las directivas del Host Checker en la pgina 298
Correccin de las directivas de Host Checker en la pgina 303
Definicin de los tneles de acceso de autenticacin previa de Host Checker

en la pgina 310
Especificacin de las opciones generales de Host Checker en la pgina 314
Especificacin de las opciones de instalacin de Host Checker en la

pgina 316
Uso de registros de Host Checker en la pgina 319
Licencia: Disponibilidad de Host Checker

Host Checker es una caracterstica estndar en todos los dispositivos Secure Access.
Sin embargo, debe tener en cuenta que las expresiones personalizadas de
Host Checker, las reglas detalladas de Host Checker, la opcin de correccin de
Host Checker y otras caractersticas no estn disponibles en el dispositivo SA 700
y que slo estn disponibles en todos los dems productos Secure Access previa
adquisicin de una licencia especial. Tambin, si desea admitir ms de 25 usuarios
con las directivas avanzadas de deteccin de malware para la defensa de los puntos
finales, debe adquirir una licencia de actualizacin.
258
Vista general de Host Checker
Captulo 11: Host Checker
Resumen de tareas: Configuracin de Host Checker

Para configurar Host Checker, debe realizar las siguientes tareas:
1. Cree y habilite las directivas de Host Checker en la pgina Authentication >
Endpoint Security > Host Checker de la consola de administracin, como se
explica en Creacin de directivas de Host Checker globales en la pgina 261.
2. Si fuese necesario, configure las opciones de nivel de sistema adicionales a
travs de la pgina Authentication > Endpoint Security > Host Checker de
la consola de administracin:
Si desea mostrar la informacin de correccin a los usuarios cuando no

cumplan con los requisitos de una directiva de Host Checker, configure las
opciones de correccin en la pgina Authentication > Endpoint
Security > Host Checker de la consola de administracin, como se
explica en Correccin de las directivas de Host Checker en la pgina 303.
Para clientes de Windows, determine si ser necesario usar un tnel de

acceso de autenticacin previa entre los clientes y los servidores de
directivas o los recursos. Si fuese necesario, cree un archivo manifest.hcif
con la definicin de tnel y crguelo en la pgina Authentication >
Endpoint Security > Host Checker de la consola de administracin,
como se explica en Definicin de los tneles de acceso de autenticacin
previa de Host Checker en la pgina 310.
Si desea cambiar los ajustes predeterminados de Host Checker,

configrelos en la pgina Authentication > Endpoint Security >
Host Checker de la consola de administracin, como se explica en
Especificacin de las opciones generales de Host Checker en la
pgina 314.
3. Determine en qu niveles dentro de la estructura de administracin de acceso

del IVE desea aplicar las directivas:
Para aplicar las directivas de Host Checker cuando el usuario tenga acceso
por primera vez al IVE, implemente las directivas a nivel de territorio
usando las pginas Administrators > Admin Realms > Seleccionar
territorio > Authentication Policy > Host Checker o Users > User
Realms > Seleccionar territorio > Authentication Policy > Host Checker
de la consola de administracin.
Para permitir o negar acceso a los roles a los usuarios dependiendo de su

cumplimiento con las directivas de Host Checker, implemente las directivas
en un nivel de rol usando las pginas Administrators > Admin Roles >
Seleccionar rol > General > Restrictions > Host Checker o Users > User
Roles > Seleccionar rol > General > Restrictions > Host Checker de la
Resumen de tareas: Configuracin de Host Checker 259
Para asignar usuarios a los roles dependiendo de su cumplimiento con las

directivas de Host Checker, use las expresiones personalizadas en las
pginas Administrators > Admin Realms > Seleccionar territorio > Role
Mapping o Users > User Realms > Seleccionar territorio > Role Mapping
Para conceder o denegar el acceso de los usuarios a recursos individuales

dependiendo de su cumplimiento con las directivas Host Checker, use las
condiciones de la pgina Users > Resource Policies > Seleccionar recurso
> Seleccionar directiva > Detailed Rules > Seleccionar|Crear regla de la
Para obtener ms informacin, consulte Configuracin de las restricciones de

Host Checker en la pgina 301.
4. Especifique la manera en la que los usuarios pueden tener acceso al agente del
lado cliente de Host Checker que aplica las directivas que usted define:
Para permitir la instalacin automtica del agente del lado cliente de

Host Checker en todas las plataformas, use la pgina Administrators >
Admin Realms > Seleccionar territorio > Authentication Policy > Host
Checker o la pgina Users > User Realms > Seleccionar territorio >
Authentication Policy > Host Checker de la consola de administracin.
Para descargar el instalador de Host Checker e instalarlo manualmente en

los sistemas de usuarios de Windows, use la pgina Maintenance >
System > Installers de la consola de administracin.
Para obtener instrucciones acerca de la configuracin, consulte Especificacin

de las opciones de instalacin de Host Checker en la pgina 316.
NOTA: Los usuarios deben habilitar en sus exploradores componentes ActiveX

firmados o applets de Java firmados para que Host Checker descargue,
instale e inicie las aplicaciones de cliente.
5. Determine si desea crear registros del lado cliente. Si habilita la creacin de

registros del lado cliente a travs de la pgina System > Log/Monitoring >
Client Logs de la consola de administracin, el dispositivo IVE crea archivos de
registro en el sistema del usuario y escribe en el archivo cada vez que se ejecuta
el Host Checker. Para obtener instrucciones sobre la configuracin, consulte
Uso de registros de Host Checker en la pgina 319.
260
Resumen de tareas: Configuracin de Host Checker
Si existe ms de una sesin vlida del IVE desde el mismo sistema y se usa
Host Checker en esas sesiones, todas las sesiones finalizarn cuando un usuario se
desconecte de una de las sesiones. Para evitar esto, desactive Host Checker en las
sesiones que no lo necesitan.
NOTA: Si hay varios administradores o usuarios finales conectados a un solo IVE

desde el mismo sistema cliente y al menos uno de ellos implementa Host Checker,
podran ocurrir resultados inesperados. Por ejemplo, Host Checker podra cerrarse,
se podran perder privilegios de rol y podran ocurrir desconexiones forzadas.
Creacin de directivas de Host Checker globales

Para usar Host Checker como una herramienta de aplicacin de directivas para
administrar puntos finales, debe crear directivas de Host Checker globales a nivel
de sistema a travs de la pgina Authentication > Endpoint Security >
Host Checker de la consola de administracin y luego debe implementar las
directivas en los niveles de directivas de territorio, roles y recursos.
El IVE proporciona distintos mecanismos que puede usar para habilitar,
crear y configurar las directivas de Host Checker:
Directivas predefinidas (impiden ataques dentro de la red o la descarga de

software de deteccin de malware): El IVE viene equipado con dos tipos de
directivas predefinidas de Host Checker del lado cliente que simplemente
necesita habilitar para usarlas, ya que no es necesario crearlas ni configurarlas.
La directiva de control de conexiones impide ataques en equipos cliente que
usan Windows de otros equipos infectados en la misma red. La defensa de
punto final avanzada: Las directivas de proteccin contra malware descargan
software de proteccin contra malware en los equipos cliente antes de que los
usuarios inicien sesin en el IVE. Tenga en cuenta que estas directivas slo
funcionan en sistemas Windows. Para obtener ms informacin, consulte
Habilitacin de directivas predefinidas del lado cliente (solo en Windows) en
la pgina 262.
Reglas predefinidas (comprueban aplicaciones de terceros): Host Checker

contiene una amplia matriz de reglas predefinidas que buscan software
antivirus, cortafuegos, malware, spyware y sistemas operativos especficos de
una gran variedad de lderes de la industria. Puede habilitar una o ms de estas
reglas dentro de una directiva del lado cliente de Host Checker para garantizar
que las aplicaciones integradas de terceros que especifique se estn ejecutando
en los equipos de los usuarios de acuerdo con sus especificaciones.
Para obtener ms informacin, consulte Bsqueda de aplicaciones de terceros
usando reglas predefinidas (slo en Windows) en la pgina 268.
Reglas personalizadas (comprueban requisitos adicionales): Adems de las

reglas predefinidas, puede crear reglas personalizadas dentro de una directiva
de Host Checker para definir los requisitos que deben cumplir los equipos de
los usuarios. Al usar las reglas personalizadas, podr:
Configurar Host Checker para buscar DLL de terceros personalizadas que

realicen comprobaciones personalizadas del lado cliente.
Creacin de directivas de Host Checker globales 261
Verificar que determinados puertos estn abiertos o cerrados en el equipo

del usuario.
Confirmar que determinados procesos estn o no estn ejecutndose en el

equipo del usuario.
Comprobar que determinados archivos estn o no estn presentes en el

equipo cliente.
Evaluar la antigedad y el contenido de los archivos requeridos a travs de

sumas de comprobacin MD5.
Confirmar que las claves de registro estn configuradas en el equipo

cliente.
Comprobar el nombre del NetBIOS, las direcciones MAC o los certificados

del equipo cliente.
Evaluar el sistema operativo de cliente y los paquetes de actualizacin de la

aplicacin para garantizar que estn actualizados.
Realizar comprobaciones de la aplicacin y de versin para garantizar que

los puntos finales se estn ejecutando en el software correcto.
Para obtener ms informacin, consulte Especificacin de requisitos

personalizados usando reglas personalizadas en la pgina 276.
Aplicaciones integradas personalizadas (se implementan a travs del

servidor API): Para clientes de Windows, puede cargar una DLL J.E.D.I.
de terceros al IVE. Para obtener ms informacin, consulte Habilitacin de
directivas personalizadas del lado del servidor en la pgina 296.
Dentro de una directiva nica, puede crear diferentes requisitos de

Host Checker para Windows, Macintosh y Linux que compruebe diferentes
archivos, procesos y productos en cada sistema operativo. Tambin puede
combinar tantos tipos de comprobacin del host como quiera dentro de una
directiva nica y buscar conjuntos alternativos de reglas.
Habilitacin de directivas predefinidas del lado cliente (solo en Windows)

El IVE viene equipado con dos tipos de directivas de Host Checker del lado cliente
que simplemente necesita habilitar para usarlas, ya que no es necesario crearlas ni
configurarlas:
262
La directiva de control de conexiones previene ataques en equipos cliente que

usan Windows de otros equipos infectados en la misma red. Para obtener ms
informacin, consulte Habilitacin de las directivas de control de conexiones
en la pgina 263.
Las directivas avanzadas de deteccin de malware para la defensa de los puntos

finales descargan el software Confidence Online de Whole Security a los
equipos cliente. Este software proporciona a los usuarios proteccin contra
software malicioso, como gusanos, virus, software registrador de pulsaciones
de teclas, software de captura de pantalla y troyanos. Para obtener ms
informacin, consulte Habilitacin de directivas avanzadas de proteccin
contra malware en la pgina 264.
NOTA: Las directivas avanzadas de control de conexiones y de deteccin de

malware para la defensa de los puntos finales slo funcionan en sistemas
Windows.
Habilitacin de las directivas de control de conexiones

La directiva predefinida de control de conexiones de Host Checker evita que
equipos infectados en la misma red fsica ataquen a los equipos cliente que usan
Windows. La directiva de control de conexiones de Host Checker bloquea todas las
conexiones TCP entrantes. Esta directiva permite el trfico saliente de TCP y de
Network Connect, adems de las conexiones a servidores DNS, servidores WINS,
servidores DHCP y servidores proxy y el IVE.
NOTA: Los usuarios deben tener privilegios de administrador para que Host
Checker aplique la directiva de control de conexiones en el equipo del cliente.
Para habilitar la directiva predefinida de control de conexiones de Host Checker:

1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. En Options, seleccione la casilla de verificacin Create Host Checker
Connection Control Policy.
3. Haga clic en Save Changes. El IVE habilita la directiva de control de conexiones
de Host Checker.
NOTA: Tenga en cuenta que no puede modificar esta directiva, slo puede
habilitarla o inhabilitarla. Tambin tenga en cuenta que debido a que no puede
modificar esta directiva, el IVE no la muestra en la seccin Policies de la pgina
Authentication > Endpoint Security > Host Checker junto con las otras
directivas que s se pueden configurar.
4. Implemente la directiva de control de conexiones de Host Checker en los

niveles de directivas de territorio, rol o recurso, usando las opciones descritas
en Configuracin de las restricciones de Host Checker en la pgina 301.
NOTA: Debe evaluar o aplicar la directiva de control de conexiones a nivel de
territorio para hacer que la directiva sea eficiente en los equipos cliente.
Habilitacin de directivas avanzadas de proteccin contra malware

Si cuenta con la licencia adecuada, podr habilitar las directivas avanzadas de
deteccin de malware para la defensa de los puntos finales a travs de
Host Checker. Estas directivas descargan y ejecutan el software Confidence Online
de Whole Security en los equipos de los usuarios. Este software busca programas
maliciosos, como:
Troyanos: Los piratas informticos escriben troyanos para controlar de forma

remota el equipo infectado. Los troyanos casi siempre se instalan por s mismos
en el equipo de un usuario autorizado sin que ste lo sepa.
Software registrador de pulsaciones de teclas: Los piratas informticos

escriben software registrador de pulsaciones de teclas para espiar a un usuario
y registrar las teclas que presiona. El software registrador de pulsaciones de
teclas se instala por s mismo en el equipo de un usuario autorizado sin que
ste lo sepa.
Aplicaciones de monitorizacin: Las aplicaciones de monitorizacin son

aplicaciones de software de usuario final que monitorean y registran la
actividad del usuario. Los usuarios por lo general instalan este tipo de software
para supervisar la actividad de los nios, cnyuges y otros usuarios con los que
comparten sus equipos.
Controles remotos: Las aplicaciones de control remoto son aplicaciones

comerciales como VNC que ofrecen fcil acceso remoto a un usuario autorizado
para actividades de administracin del equipo.
Para usar el software de proteccin contra malware de Whole Security, deber

habilitar la opcin Advanced Endpoint Defense Malware Detection a nivel del
sistema y aplicarla en los niveles de directivas de territorio, rol o recurso.
No es necesario que cree o configure las directivas avanzadas de deteccin de
malware para la defensa de los puntos finales, ya que Host Checker las crea por
usted cuando habilita la opcin a nivel de sistema. Tenga en cuenta que se
recomienda que solicite y aplique la directiva avanzada de deteccin de malware
para la defensa de los puntos finales a nivel de territorio. De esta forma,
Host Checker puede descargar el software de Confidence Online a los equipos de
los usuarios y buscar posibles amenazas antes de que inicien sesin en el IVE pero
despus de iniciar sesin en Windows. Despus de que Confidence Online
comience a ejecutarse, continuar buscando y bloqueando las amenazas a travs de
la sesin del IVE del usuario.
NOTA: Los equipos de los usuarios deben tener acceso al sitio de Whole Security
(update.wholesecurity.com) para que Confidence Online pueda descargar de forma
peridica los ltimos archivos de definicin.
Para habilitar y configurar las directivas avanzadas de deteccin de malware para la

defensa de los puntos finales:
264
2. En Options, seleccione la casilla de verificacin Enable Advanced Endpoint

Defense: Malware Protection.
3. Seleccione la casilla de verificacin Enable Silent Enforcement of Signature
Scan si es que no desea que Confidence Online les notifique a los usuarios
cuando bloquea troyanos, software registrador de pulsaciones de teclas y otras
aplicaciones que considere maliciosas. (Tenga en cuenta que Confidence Online
entra al servidor de Whole Security diariamente para mantener actualizada la
lista de aplicaciones maliciosas.)
4. Seleccione la casilla de verificacin Enable User Control over disabling
Behavior Blocker si desea permitir que los usuarios escojan si quieren o no
bloquear las aplicaciones de monitorizacin, el software de control remoto
y otras aplicaciones potencialmente legtimas. Si selecciona esta opcin,
los usuarios pueden ver y controlar las aplicaciones bloqueadas a travs
del.icono de Confidence Online que se encuentra en la bandeja del sistema.
(Para obtener ms informacin, consulte el sistema de ayuda de usuario final
de Confidence Online.) Si no selecciona esta opcin, Confidence Online
simplemente bloquear estas aplicaciones sin la interaccin del usuario.
NOTA:
Category 1 and Category 2 Signature Scans: Los usuarios restringidos,

los usuarios avanzados y los administradores pueden instalar y ejecutar la
caracterstica de anlisis en Confidence Online. La caracterstica de anlisis es
compatible con los sistemas Windows NT4, Windows 2000 y Windows XP.
Behavior Blocker: Slo los administradores pueden instalar y ejecutar la

caracterstica de bloqueo de comportamiento en Confidence Online.
La caracterstica de bloqueo de comportamiento se admite en los sistemas
Windows 2000 y Windows XP.
5. Haga clic en Save Changes. El IVE habilita las siguientes directivas avanzadas
de deteccin de malware para la defensa de los puntos finales:
Advanced Endpoint Defense: Malware Protection.Behavior Blocker: Esta

directiva fue creada por Whole Security. Habilita el software bloqueador de
comportamiento para bloquear software registrador de pulsaciones de
teclas y de captura de pantallas y otras aplicaciones que intenten espiar las
sesiones del usuario.
Advanced Endpoint Defense: Malware Protection.Category One Threats

(Trojan Horses and Key Loggers): Esta directiva fue creada por Whole
Security. Habilita el software de Confidence Online para bloquear
programas troyanos, spyware, malware y otras aplicaciones maliciosas.
Advanced Endpoint Defense: Malware Protection.Category Two Threats

(Monitoring Applications and Remote Controls): Esta directiva fue creada
por Whole Security. Habilita el software de Confidence Online para
bloquear aplicaciones de monitorizacin, software control remoto y otras
aplicaciones potencialmente legtimas.
Cada una de estas directivas incluye instrucciones para la correccin que

muestran un mensaje a los usuarios si no cumplen con la directiva
especificada. El mensaje comunica a los usuarios que deben seguir las
instrucciones en la ventana emergente para realizar las correcciones en sus
equipos.
6. Implemente las directivas avanzadas de deteccin de malware para la defensa
de los puntos finales a niveles de directivas de territorio, rol o recurso usando
las opciones descritas en Configuracin de las restricciones de Host Checker
en la pgina 301. (Debe evaluar o aplicar al menos una directiva de deteccin
de malware para la defensa de los puntos finales a nivel de territorio para hacer
que la directiva sea eficiente en los equipos cliente.)
NOTA: Cuando aplique las directivas de deteccin de malware para la defensa de

los puntos finales, tenga en cuenta que:
No puede modificar estas directivas; slo puede habilitarlas o inhabilitarlas.

Tambin, debido a que no puede modificar estas directivas, el IVE no las
muestra en la seccin Policies de la pgina Authentication > Endpoint
Security > Host Checker junto con las otras directivas que s puede
configurar.
Si sus licencias de usuario simultneas para el IVE y Whole Security no

concuerdan, estar limitado a la cantidad menor de licencias entre las dos.
Por ejemplo, si tiene una licencia que permite 100 usuarios de IVE
simultneos y otra licencia que permite 50 usuarios de Whole Security
simultneos, esta limitacin le permitir que slo 50 usuarios tengan acceso
de forma simultnea a un IVE habilitado con las directivas de deteccin de
malware para la defensa de los puntos finales.
Si cuenta con licencias GINA y Whole Security, debe recordar que GINA se
ejecuta antes de que el usuario inicie sesin en Windows y que la descarga del
software Confidence Online de Whole Security ocurre despus de que el
usuario inicia sesin en Windows. Por lo tanto, Whole Security no realiza la
proteccin contra malware establecida hasta despus que Windows inicia
sesin. Si usa Network Connect, Host Checker, GINA y Whole Security,
pero el usuario final no est en modo de usuario cuando su sistema intenta
iniciar Host Checker, es posible que reciba mensajes de error. Asegrese de
que el sistema est configurado para iniciar GINA antes del inicio de sesin de
Windows y para iniciar Whole Security despus del inicio de sesin.
NOTA: La caracterstica Confidence Online de Whole Security que admite Host

Checker actualmente no se puede traducir a otros idiomas. Para obtener ms
informacin acerca de la localizacin del IVE, consulte Traduccin de la interfaz
de usuario en la pgina 1029.
266
Creacin y configuracin de nuevas directivas del lado cliente

Puede crear una variedad de directivas a travs del cliente Host Checker que
pueden buscar software antivirus, cortafuegos, malware, spyware y sistemas
operativos especficos de una gran variedad de lderes de la industria. Puede crear
comprobaciones para DLL de terceros, puertos, procesos, archivos, claves de
registro y el nombre del NetBIOS, direcciones MAC o certificar el equipo cliente.
Cuando cree las directivas, debe definir el nombre de la directiva y crear reglas
predefinidas o crear reglas personalizadas que ejecuten comprobaciones
especficas. De manera opcional, puede especificar la forma en que Host Checker
debe evaluar las distintas reglas dentro de una directiva nica.
Para crear una directiva estndar del lado cliente:
2. En Policies, haga clic en New.
3. Introduzca un nombre en el campo Policy Name y luego haga clic en Continue.
(Los usuarios vern este nombre en la pgina de correccin de Host Checker si
habilita las instrucciones personalizadas para esta directiva.)
4. Cree una o ms reglas para asociarlas con la directiva siguiendo las
instrucciones de las secciones a continuacin:
Bsqueda de aplicaciones de terceros usando reglas predefinidas (slo en

Windows) en la pgina 268
Especificacin de requisitos personalizados usando reglas personalizadas

en la pgina 276
5. Especifique la forma en que Host Checker debe evaluar las distintas reglas
dentro de la directiva usando las instrucciones en Evaluacin de varias reglas
en una directiva nica de Host Checker en la pgina 284.
6. (Recomendado) Especifique las opciones de correccin para usuarios cuyos
equipos no cumplen con los requisitos especificados en la directiva.
Para obtener instrucciones, consulte Configuracin de la correccin general de
Host Checker en la pgina 305. (Si no crea instrucciones para lograr la
correccin y la directiva no se cumple, los usuarios no conocern los motivos
por los que no pueden tener acceso a sus recursos.)
7. Implemente la directiva en los niveles de directivas de territorio, rol o recurso
usando las opciones descritas en Configuracin de las restricciones de Host
Checker en la pgina 301.
Creacin y configuracin de nuevas directivas del lado cliente
267
Bsqueda de aplicaciones de terceros usando reglas predefinidas

(slo en Windows)
Host Checker viene equipado con una gran matriz de reglas predefinidas que
buscan software antivirus, cortafuegos, malware, spyware y sistemas operativos
especficos de una variedad de lderes de la industria. Puede habilitar una o ms de
estas reglas dentro de una directiva del lado cliente de Host Checker para garantizar
que las aplicaciones integradas de terceros que especifique se estn ejecutando en
los equipos de los usuarios de acuerdo con sus especificaciones. Para las reglas de
cortafuegos y antivirus, puede especificar las acciones correctivas que lograrn
automticamente que el punto final cumpla con la directiva.
Predefined: AntiVirus: Seleccione esta opcin para crear una regla que
busque el software antivirus que usted especifique y para especificar las
opciones de correccin. Consulte Configuracin de una regla de antivirus
predefinida con opciones de correccin en la pgina 269.
Predefined: Firewall: Seleccione esta opcin para crear una regla que
busque el software de cortafuegos que usted especifique y para especificar
las opciones de correccin. Consulte Configuracin de una regla de
cortafuegos predefinida con opciones de correccin en la pgina 272.
Predefined: Malware: Seleccione esta opcin para crear una regla que
busque el software de proteccin contra malware que usted especifique.
Predefined: Spyware: Seleccione esta opcin para crear una regla que
busque el software de proteccin contra spyware que usted especifique.
Consulte Configuracin de una regla predefinida de Spyware en la
pgina 273.
Predefined: OS Checks: Seleccione esta opcin para crear una regla que
busque sistemas operativos Windows y las versiones mnimas del paquete
de actualizacin que usted especifique. (Cualquier paquete de actualizacin
de versin igual o mayor a la que usted especifique cumplir con la
directiva.) Consulte
Para crear una regla de Host Checker usando reglas de comprobacin de sistemas
operativos predefinidas o reglas de malware predefinidas:
2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en
Creacin y configuracin de nuevas directivas del lado cliente en la
pgina 267 o haga clic en la seccin Policies de la pgina de una directiva
existente.
3. En Rule Settings, elija una de las siguientes opciones y haga clic en Add:
268
Predefined Malware
Predefined OS Checks
Bsqueda de aplicaciones de terceros usando reglas predefinidas (slo en Windows)
4. En la pgina Add Predefined Rule:

5. En el campo Rule Name, introduzca un identificador para la regla.
6. Bajo el Criterio, seleccione el malware o los sistemas operativos que desee
buscar y haga clic en Add. (Cuando busque sistemas operativos, tambin puede
especificar una versin del paquete de actualizacin.)
NOTA: Cuando seleccione ms de un tipo de software dentro de una regla
predefinida, Host Checker considera que la regla se cumple si cualquiera de las
aplicaciones de software seleccionadas est presente en el equipo del usuario.
7. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificacin est seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesin correctamente,
el IVE establecer la conexin nuevamente para reevaluar las asignaciones de
territorio o de roles.
NOTA: Si se elimina o detiene el servicio TNCC subyacente, el punto final puede
permanecer en la red, posiblemente sin cumplir con la directiva, hasta que se
actualice la siguiente directiva de Host Checker. Para obtener ms informacin
sobre TNCC, consulte La arquitectura TNC dentro de Host Checker en la
pgina 257.

9. De forma opcional, puede agregar reglas adicionales a la directiva, especificar
la forma en la que Host Checker evala las distintas reglas dentro de la directiva
y definir las opciones de correccin siguiendo las instrucciones en Creacin y
configuracin de nuevas directivas del lado cliente en la pgina 267.
NOTA: Para ver las aplicaciones que actualmente se admiten, vaya a
Authentication > Endpoint Security > Host Checker y cree una directiva
nueva. Puede escoger tipos de reglas predefinidas en la lista desplegable Select
Rule Type para ver una lista de las aplicaciones admitidas dentro de esa categora.
Las listas de aplicaciones pueden ser muy extensas y se actualizan en cada versin
de soporte, por lo que es til comprobar esta lista de forma peridica.
Configuracin de una regla de antivirus predefinida con opciones de correccin

Puede configurar las acciones de correccin del antivirus con Host Checker. Puede
especificar un requisito para la antigedad (en das) del ltimo anlisis exitoso en
busca de virus y puede especificar que las firmas de virus instaladas en los equipos
cliente no sean ms antiguas que un nmero especfico de actualizaciones.
Tambin puede supervisar las directivas para asegurarse de que los puntos finales
que inician sesin se mantengan en el estado de cumplimiento y para corregir el
punto final a otro rol o territorio dependiendo del estado actual.
269
Si un cliente intenta iniciar sesin y el equipo cliente no cumple los requisitos

especificados, Host Checker puede intentar corregir las deficiencias para permitir
que el cliente inicie sesin correctamente. Con la correccin de antivirus de
Host Checker, puede sugerir a un punto final que descargue los ltimos archivos
de firma de virus, active la proteccin del antivirus e inicie un anlisis de antivirus.
No todos los productos de los proveedores de software antivirus admiten todas las
opciones de correccin. Al seleccionar el botn de la opcin Require any
supported product podr ver todos los proveedores y productos disponibles que se
admiten.
Como alternativa, puede seleccionar el botn de opcin Require specific
products/vendors y seleccionar las casillas de verificacin Require any supported
product from a specific vendor o Require specific products y luego agregue un
tipo disponible a Selected Types. Aparecern las opciones de correccin y podr
determinar cules estarn disponibles para productos o proveedores especficos.
Para configurar una regla predefinida para antivirus:
existente.
3. En Rule Settings, elija Predefined: Antivirus y haga clic en Add.
4. Introduzca un nombre para esta regla de antivirus.
5. Para determinar si la revisin de System Scan admite el producto de su
proveedor de software, haga clic en these Antivirus products. Se abrir una
nueva ventana con una lista de todos los productos que admiten la
caracterstica.
6. Marque o desmarque la casilla de verificacin situada junto a Successful
System Scan must have been performed in the last _ days e introduzca
el nmero de das en el campo.
Si selecciona esta casilla de verificacin, aparecer una nueva opcin.
Si la accin correctiva para iniciar un anlisis de antivirus se ha iniciado
correctamente, puede omitir la comprobacin anterior.
7. Marque o desmarque la casilla de verificacin situada junto a Consider this
rule as passed if Full System Scan was started successfully as remediation.
8. Marque o desmarque la casilla de verificacin situada junto a Virus definition
files should not be older than _ updates. Introduzca un nmero entre 1 y 10.
Si introduce 1, el cliente debe tener la ltima actualizacin. Debe importar la
lista de firma de virus para el proveedor compatible. Consulte Configuracin
de la supervisin de la versin de la firma de virus y de la supervisin de los
datos de la evaluacin de parches en la pgina 274.
270
9. Seleccione los productos de su proveedor de antivirus usando los botones de

opcin Require any supported product o Require specific products/vendors.
La opcin Require any supported product le permite buscar cualquier
producto (en vez de solicitar que seleccione cada producto por separado).
Este botn de opcin desplegar una lista de productos en la seccin de
correccin para permitirle habilitar las opciones de correccin que son
especficas para el producto.
La opcin Require specific products/vendors permite definir el cumplimiento
al aceptar cualquier producto de un proveedor especfico (por ejemplo,
cualquier producto Symantec).
La opcin Require specific products proporciona funcionalidad que le permite
seleccionar productos individuales para definir el cumplimiento.
Despus de seleccionar los proveedores y productos, aparecern en la pgina
las opciones de correccin.
Para cada una de las acciones de correccin siguientes:
Download latest virus definition files (obtiene el ltimo archivo disponible

para el proveedor especificado)
Turn on Real Time Protection (inicia el mecanismo de anlisis de virus para

el proveedor especificado)
Start Antivirus Scan (realiza un anlisis de virus en tiempo real para el

proveedor especificado)
la casilla de verificacin est activa (se puede hacer clic) si su producto admite
la accin.
Si su producto antivirus no est admitido, puede hacer clic en los encabezados
de las columnas de correccin para determinar qu proveedores y productos
estn admitidos.
10. Si su producto est admitido, seleccione la casilla de verificacin para todas las
acciones de correccin que desee aplicar.
pgina 257.
271
12. Haga clic en Save Changes para guardar la regla de antivirus y aplicar la
correccin de antivirus.
Configuracin de una regla de cortafuegos predefinida con opciones de correccin

Puede configurar acciones de correccin para el cortafuegos con Host Checker
despus de crear una regla para cortafuegos de Host Checker que le solicite al punto
final que tenga un cortafuegos especfico instalado y ejecutndose antes de
conectarse a la red.
Despus de aplicar la regla de Host Checker con las acciones de correccin del
cortafuegos, Host Checker puede intentar habilitar el cortafuegos en el equipo
cliente si un punto final intenta iniciar sesin sin que dicho cortafuegos se est
ejecutando.
La opcin de correccin no est admitida por todos los productos de cortafuegos.
Podr ver todos los productos disponibles usando los botones de opcin Require
any supported product o Require specific products/vendors.
Para configurar una regla predefinida para cortafuegos de Host Checker:
existente.
3. En Rule Settings, elija Predefined: Firewall y haga clic en Add.
4. Introduzca un nombre para la regla del cortafuegos.
5. Seleccione los productos de su proveedor de cortafuegos usando los botones de
opcin Require any supported product o Require specific products/vendors.
La opcin Require any supported product le permite buscar cualquier
producto (en vez de solicitar que seleccione cada producto por separado).
Este botn de opcin desplegar una lista de productos en la seccin de
correccin para permitirle habilitar las opciones de correccin que son
especficas para el producto.
Cuando agregue a Selected Products un producto disponible, aparecern las
opciones de correccin y podr determinar si la opcin de correccin est
disponible para el cortafuegos que ha seleccionado.
La opcin Require specific products/vendors permite definir el cumplimiento
al aceptar cualquier producto de un proveedor especfico (por ejemplo,
cualquier producto Symantec).
272
La opcin Require specific products proporciona funcionalidad que le permite

seleccionar productos individuales para definir el cumplimiento.
Despus de seleccionar los proveedores y productos, aparecern en la pgina
las opciones de correccin. La casilla de verificacin Turn on Firewall est
activa (se puede hacer clic) si su producto admite la accin.
6. Si el cortafuegos es compatible, seleccione la casilla de verificacin Turn on
Firewall.
pgina 257.
8. Haga clic en Save Changes para guardar la regla de cortafuegos y aplicar la

correccin del cortafuegos.
Configuracin de una regla predefinida de Spyware

Puede configurar Host Checker para buscar spyware instalado en los puntos finales.
Despus de aplicar la regla de Host Checker, si un punto final intenta iniciar sesin
sin el spyware requerido, la regla de Host Checker no se cumplir.
No todos los productos de spyware admiten esta opcin. Podr ver todos los
productos disponibles usando los botones de opcin Require any supported product
o Require specific products/vendors.
Para configurar una regla predefinida para spyware de Host Checker:
existente.
273
3. En Rule Settings, elija Predefined: Spyware y haga clic en Add.

4. Introduzca un nombre para la regla del cortafuegos.
5. Seleccione una de las siguientes opciones:
6. Seleccione el botn de opcin Require any supported product para buscar
cualquier producto (en vez de solicitarle que seleccione cada producto por
separado).
7. Seleccione el botn de opcin Require specific products/vendors para
especificar el spyware que desee buscar.
8. Elija las opciones Require any supported product from a specific vendor
o Require specific products para seleccionar su spyware.
Agregue el spyware disponible desde Available Products a Selected Products.
10. Haga clic en Save Changes para guardar las reglas de spyware.
Configuracin de la supervisin de la versin de la firma de virus y de la supervisin de

los datos de la evaluacin de parches
Puede configurar Host Checker para supervisar y verificar que las firmas de virus,
los sistemas operativos, las versiones de software y los parches instalados en los
equipos cliente estn actualizados, adems de corregir esos puntos finales que no
cumplan con los criterios especificados. Host Checker usa las firmas de virus y las
versiones de evaluacin de parches de los proveedores que usted especifique para
las reglas predefinidas en una directiva de Host Checker.
Puede importar automticamente las listas actuales de supervisin de la versin de
la firma de virus o de supervisin de la versin de administracin de parches desde
el sitio de pruebas de Juniper Networks en intervalos especificados o puede
descargar los archivos desde Juniper y usar su propio servidor de pruebas.
Para entrar al sitio de pruebas de Juniper Networks y recibir actualizaciones,
debe introducir las credenciales de su cuenta de Soporte de Juniper Networks.
274
Para configurar el IVE de modo que importe automticamente las listas actuales de
supervisin de la versin de la firma de virus y de supervisin de la versin de
administracin de parches desde el sitio de pruebas de Juniper:
1. Seleccione Authentication > Endpoint Security > Host Checker.
2. Haga clic en Virus signature version monitoring o en Patch Management Info
Monitoring.
3. Seleccione los datos Auto-update virus signatures list o Auto-update Patch
Management.
4. En Download path, deje la URL existente de los sitios de pruebas donde se
almacenan las listas actuales. Las URL predeterminadas son las rutas a los sitios
de prueba de Juniper Networks:
https://download.juniper.net/software/av/uac/epupdate_hist.xml
(para listas de firmas de virus de actualizacin automtica)
https://download.juniper.net/software/hc/patchdata/patchupdate.dat
(para administracin de parches de actualizacin automtica)

5. Para Download interval, especifique la frecuencia en la que quiere que el IVE
importe de forma automtica las listas actuales.
6. Para Username y Password introduzca sus credenciales de Soporte de
Juniper Networks.
Para descargar los archivos que usar en su propio servidor de pruebas:
2. Haga clic en Virus signature version monitoring o en Patch Management Info
Monitoring.
3. Descargue las listas desde el sitio de pruebas de Juniper a un servidor de red
o unidad local en su equipo introduciendo la URL de Juniper en una ventana del
explorador.
https://download.juniper.net/software/av/uac/epupdate_hist.xml
(para listas de firmas de virus de actualizacin automtica)
https://download.juniper.net/software/hc/patchdata/patchupdate.dat
(para administracin de parches de actualizacin automtica)

4. En Manually import virus signatures list, haga clic en Browse, seleccione la
lista y luego haga clic en OK.
275

NOTA: Si usa su propio servidor de pruebas para almacenar las listas actuales,
debe cargar el certificado de raz de confianza del CA que firm el certificado del
servidor de pruebas del IVE. Para obtener ms informacin, consulte Carga de
certificados de CA del servidor de confianza en la pgina 775.
Especificacin de requisitos personalizados usando reglas

personalizadas
Si las directivas y las reglas predefinidas del lado cliente que vienen con el IVE no
satisfacen sus necesidades, puede crear reglas personalizadas dentro de una
directiva de Host Checker para definir los requisitos que los equipos de los usuarios
deben cumplir. Al usar las reglas personalizadas, podr:
configurar verificadores de integridad remota (IMV) para realizar

comprobaciones personalizadas del lado cliente.
configurar Host Checker para buscar DLL personalizadas que realicen

comprobaciones personalizadas del lado cliente.
verificar que determinados puertos estn abiertos o cerrados en el equipo del

usuario.
confirmar que determinados procesos estn o no estn ejecutndose en el

equipo del usuario.
comprobar que determinados archivos estn o no estn presentes en el equipo

cliente.
evaluar la antigedad y el contenido de los archivos requeridos a travs de

sumas de comprobacin MD5.
configurar reglas de PatchLink.
confirmar que las claves de registro estn configuradas en el equipo cliente.
confirmar el nombre del NETBIOS del equipo cliente.
confirmar las direcciones MAC del equipo cliente.
comprobar la validez del certificado de equipo que est instalado en el equipo

del usuario.
NOTA: Slo puede buscar claves de registro, DLL de terceros, nombres de

NETBIOS, direcciones MAC y certificados de equipo en equipos que ejecuten
Windows.
276
Para crear una directiva de Host Checker del lado cliente:

existente.
3. Haga clic en la lengeta correspondiente al sistema operativo para el que desee
especificar las opciones de Host Checker: Windows, Mac, Linux or Solaris.
En la misma directiva, puede especificar los diferentes requisitos de Host
Checker en cada sistema operativo. Por ejemplo, puede crear una directiva que
compruebe los diferentes archivos o procesos en cada sistema operativo.
NOTA: Debe crear directivas explcitamente para cada sistema operativo que desee
permitir. Por ejemplo, si crea una directiva para Host Checker en Windows,
pero no crea una para Mac o Linux, los usuarios que inicien sesin en el IVE desde
un equipo Mac o Linux no cumplirn con la directiva de Host Checker y, por lo
tanto, no podrn tener acceso al territorio, rol o recurso al que est aplicando
Host Checker.
4. En Rule Settings, elija las opciones en las siguientes secciones y haga clic en
Add. Aparecer la pgina Add Custom Rule para el tipo de regla.
Custom: Remote IMV: Use este tipo de regla para configurar el software de
medicin de integridad que un cliente debe ejecutar para verificar un
aspecto especial de la integridad del cliente, como su sistema operativo,
el nivel de parche o la proteccin de virus.
Integrity Measurement (slo en Windows): Use este tipo de regla para

configurar el software de medicin de integridad que un cliente debe
ejecutar para verificar un aspecto especial de la integridad del cliente,
como su sistema operativo, el nivel de parche o la proteccin de virus.
Para obtener ms informacin, consulte La arquitectura TNC dentro de
3rd Party NHC Check (solo en Windows): Use este tipo de regla para
especificar la ubicacin de un DLL personalizado. Host Checker se
comunica con el DLL para realizar comprobaciones personalizadas del lado
cliente. Si el DLL devuelve un valor acertado al Host Checker, entonces el
IVE considera que la regla se cumpli. En la pgina de configuracin de
3rd Party NHC Check:
i.
Introduzca un nombre y un proveedor para la regla de NHC Check de

terceros
ii.
Introduzca la ubicacin del DLL en los equipos cliente (ruta y nombre

de archivo).
277
iii. Haga clic en Save Changes.

NOTA: La caracterstica 3rd Party NHC Check se proporciona principalmente para
compatibilidad con versiones anteriores. Recomendamos que en su lugar use los

IMC y los IMV, como se describe en La arquitectura TNC dentro de Host Checker
en la pgina 257.
Ports: Use este tipo de regla para controlar las conexiones de red que un
cliente puede generar durante una sesin. Este tipo de reglas asegura que
determinados puertos estn abiertos o cerrados en el equipo cliente antes
de que el usuario pueda tener acceso al IVE. En la pgina de configuracin
de Ports:
i.
Introduzca un nombre para la regla del puerto.
ii.
Introduzca una lista delimitada por comas (sin espacios) de puertos

o intervalos de puertos, como: 1234,11000-11999,1235.
iii. Seleccione Required para requerir que estos puertos estn abiertos en
el equipo cliente o Deny para requerir que estn cerrados.
iv. En Optional, seleccione Monitor this rule for change in result para
supervisar continuamente el cumplimiento de la directiva de los
puntos finales. Si esta casilla de verificacin est seleccionada y ocurre
un cambio en el estado de cumplimiento de un punto final que ha
iniciado sesin correctamente, el IVE establecer la conexin
nuevamente para reevaluar las asignaciones de territorio o de roles.
v.
Process: Use este tipo de regla para controlar el software que un cliente
puede generar durante una sesin. Este tipo de reglas asegura que
determinados procesos se estn ejecutando o no en el equipo cliente antes
de que el usuario pueda tener acceso a recursos protegidos por el IVE.
En la pgina de configuracin de Processes:
i.
Introduzca un nombre para la regla del proceso.
ii.
Introduzca el nombre de un proceso (archivo ejecutable), como:

good-app.exe.
NOTA: Para sistemas Linux, Macintosh y Solaris, el proceso que se est detectando
se debe iniciar usando una ruta absoluta.
Puede usar un carcter comodn para especificar el nombre del

proceso. Por ejemplo:
good*.exe
Para obtener ms informacin, consulte Uso de un comodn o una

variable de entorno en una regla de Host Checker en la pgina 283.
278
iii. Seleccione Required para solicitar que este proceso se ejecute o Deny
para solicitar que este proceso no se ejecute.
iv. Especifique el valor de la suma de comprobacin MD5 de cada archivo
ejecutable para el que desee que se aplique la directiva (opcional).
Por ejemplo, un archivo ejecutable puede tener distintos valores de la
suma de comprobaciones MD5 en un equipo de escritorio, en un
porttil o en sistemas operativos diferentes. En un sistema que tenga
instalado OpenSSL, como muchos sistemas Macintosh, Linux y Solaris
que tienen instalado OpenSSL de forma predeterminada, puede
determinar la suma de comprobaciones MD5 usando este comando:
openssl md5 <processFilePath>
v.
File: Use este tipo de regla para asegurar que determinados archivos estn
presentes o no en el equipo cliente antes de que el usuario pueda tener
acceso al IVE. Tambin puede usar comprobaciones de archivos para
evaluar la antigedad y el contenido (a travs de las sumas de
comprobaciones MD5) de los archivos requeridos y permitir o denegar
acceso dependiendo de ello. En la pgina de configuracin de Files:
i.
Introduzca un nombre para la regla del archivo.
ii.
Introduzca el nombre de un archivo (cualquier tipo de archivo), como:

c:\temp\bad-file.txt o /temp/bad-file.txt.
Puede usar un carcter comodn para especificar el nombre del
archivo. Por ejemplo:
*.txt
Tambin puede usar una variable de entorno para especificar la ruta

del directorio al archivo. (No puede usar un carcter comodn en la ruta
del directorio.) Escriba la variable entre los caracteres <% y %>.
Por ejemplo:
<%windir%>\bad-file.txt
Para obtener ms informacin, consulte Uso de un comodn o una

variable de entorno en una regla de Host Checker en la pgina 283.
iii. Seleccione Required para solicitar que este archivo est presente en el
equipo cliente o Deny para solicitar que este archivo no est presente.
iv. Especifique la versin mnima el archivo (opcional). Por ejemplo,
si requiere que notepad.exe est presente en el cliente, puede
introducir 5.0 en el campo. Host Checker acepta la versin 5.0 y
posteriores de notepad.exe.
279
v.
Especifique la antigedad mxima (en das) para un archivo (File

modified less than n days) (opcional). Si el archivo es ms antiguo que
el nmero de das especificado, entonces el cliente no cumplir con los
requisitos de comprobacin de atributos.
NOTA: Puede usar la opcin de antigedad mxima para comprobar la antigedad
de las firmas de virus. Verifique que especifica la ruta de un archivo en el campo

File Name cuya marca de tiempo indica la fecha en la que se actualizaron las
firmas de virus por ltima vez, como la base de datos o el archivo de registro de la
firma de virus que se actualiza cada vez que la base de datos lo hace. Por ejemplo,
si usa TrendMicro, puede especificar:
C:\Program Files\Trend Micro\OfficeScan Client\TmUpdate.ini.
vi. Especifique el valor de la suma de comprobacin MD5 de cada archivo

para el que desee que se aplique la directiva (opcional). En Macintosh,
Linux y Solaris, puede determinar la suma de comprobacin MD5
usando este comando:
openssl md5 <filePath>
vii. Seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva en los puntos finales.
Si esta casilla de verificacin est seleccionada y ocurre un cambio en
el estado de cumplimiento de un punto final que ha iniciado sesin
correctamente, el IVE establecer la conexin nuevamente para
reevaluar las asignaciones de territorio o de roles.
viii. Haga clic en Save Changes.
Registry Setting (Solo en Windows): Use este tipo de regla para controlar
las imgenes, ajustes del sistema y ajustes de software del equipo
corporativo que debe tener un cliente para entrar al IVE. Este tipo de reglas
asegura que determinadas claves de registro estn configuradas en el
equipo cliente antes de que el usuario pueda tener acceso al IVE. Tambin
puede usar comprobaciones del registro para evaluar la antigedad de los
archivos requeridos y permitir o denegar acceso dependiendo de ello.
En la pgina de configuracin de Registry Settings:
i.
Introduzca un nombre para la regla de los ajustes de registro.
ii.
Seleccione una clave raz en la lista desplegable.
iii. Introduzca la ruta a la carpeta de la aplicacin para la subclave de

registro.
iv. Introduzca el nombre del valor de la clave que desee solicitar
(opcional). Este nombre aparece en la columna Name del Editor de
Registro.
v.
280
Seleccione el tipo de valor de la clave (String, Binary o DWORD) en la

lista desplegable (opcional). Este tipo aparece en la columna Type del
Editor de Registro.
vi. Especifique el valor de la clave de registro (opcional). Esta informacin

aparece en la columna Data del Editor de Registro.
Si el valor de la clave representa la versin de una aplicacin,
seleccione Minimum version para permitir la versin especificada
o versiones nuevas de la aplicacin. Por ejemplo, puede usar esta
opcin para especificar la informacin de la versin para una
aplicacin antivirus para asegurarse de que el software antivirus del
cliente es el actual. El IVE usa la clasificacin lxica si el cliente
contiene la versin especificada o una superior. Por ejemplo:
3.3.3 es ms reciente que 3.3
4.0 es ms reciente que 3.3
4.0a es ms reciente que 4.0b
4.1 es ms reciente que 3.3.1
NOTA: Si especifica slo la clave y la subclave, Host Checker simplemente
verificar que la carpeta de la subclave exista en el registro.
vii. En Optional, seleccione Monitor this rule for change in result para
supervisar continuamente el cumplimiento de la directiva de los
puntos finales. Si esta casilla de verificacin est seleccionada y ocurre
un cambio en el estado de cumplimiento de un punto final que ha
iniciado sesin correctamente, el IVE establecer la conexin
nuevamente para reevaluar las asignaciones de territorio o de roles.
Puede configurar las acciones de correccin de los ajustes de registro
con Host Checker. Si un cliente intenta iniciar sesin y el equipo cliente
no cumple con los requisitos especificados, Host Checker puede
intentar corregir las diferencias para permitir que el cliente inicie
la sesin.
viii. Seleccione la casilla de verificacin Set Registry value specified in
criteria.
ix. Haga clic en Save Changes.
NetBIOS (slo en Windows pero no incluye Windows Mobile): use este tipo
de regla para comprobar el nombre del NetBIOS del equipo cliente antes de
que el usuario pueda tener acceso al IVE. En la pgina de configuracin de
NetBIOS:
i.
Introduzca un nombre para el NetBIOS.
ii.
Introduzca una lista delimitada por comas (sin espacios) de nombres

del NetBIOS. El nombre puede tener hasta 15 caracteres. Puede usar
caracteres comodn en el nombre y no distingue maysculas de
minsculas. Por ejemplo, md*, m*xp y *xp coincidirn con MDXP.
281
iii. Seleccione Required para requerir que el nombre del NETBIOS del
equipo cliente coincida con los nombres que usted especifique,
o Deny para requerir el nombre no coincida con ninguno.
iv. Haga clic en Save Changes.
MAC Address (slo en Windows): Use este tipo de regla para comprobar las
direcciones MAC en el equipo cliente antes de que el usuario pueda tener
acceso al IVE. En la pgina de configuracin de MAC Address:
i.
Introduzca un nombre para la regla de la direccin MAC.
ii.
Introduzca una lista delimitada por comas (sin espacios) de direcciones

MAC en la forma XX:XX:XX:XX:XX:XX donde cada X es un nmero
hexadecimal. Por ejemplo:
00:0e:1b:04:40:29
Puede usar un carcter comodn * para representar una seccin de dos

caracteres de la direccin. Por ejemplo, puede usar un * para
representar las secciones 04, 40 y 29 de la direccin del ejemplo
anterior:
00:0e:1b:*:*:*
Sin embargo, no puede usar un * para representar un solo carcter.

Por ejemplo, el * en la siguiente direccin no es vlido:
00:0e:1b:04:40:*9
iii. Seleccione Required para solicitar que una direccin MAC del equipo
cliente concuerde con las direcciones que usted especifique,
o seleccione Deny para solicitar que todas las direcciones no
concuerden. Un equipo cliente tendr al menos una direccin MAC
para cada conexin de red, tal como Ethernet, inalmbrica y VPN.
El requisito de esta regla se cumple si hay una concordancia entre
cualquiera de las direcciones especificadas y cualquiera de las
direcciones MAC del equipo cliente.
NOTA: Debido a que la direccin MAC puede cambiar en algunas tarjetas de red,
esta comprobacin no garantiza que un equipo cliente cumpla los requisitos de la
directiva de Host Checker.
Machine Certificate (slo en Windows): Use este tipo de reglas para

comprobar que el equipo cliente cuente con acceso autorizado al validar el
certificado de equipo almacenado en el equipo cliente, como se explica en
Uso de CA de cliente de confianza en la pgina 758. En la pgina de
configuracin de Machine Certificate:
i.
282
Introduzca un nombre para la regla del certificado de equipo.
ii.
En la lista Select Issuer Certificate, seleccione el certificado que desee

recuperar y validar desde el equipo del usuario. O bien, seleccione Any
Certificate para omitir la comprobacin del emisor y validar solo el
certificado de equipo basado en los criterios opcionales que puede
especificar abajo.
iii. En los campos Optional (Certificate field y Expected value),

especifique cualquier criterio adicional que Host Checker deba usar
cuando verifique el certificado de equipo.
NOTA: Si se instala en el equipo cliente ms de un certificado que coincida con los
criterios especificados, el cliente de Host Checker transmite al IVE el primer
certificado que encuentra para que ste lo valide.

Uso de un comodn o una variable de entorno en una regla de Host Checker

Puede usar los siguientes comodines para especificar un nombre de archivo en una
regla de Custom File o un nombre de proceso en una regla de Custom Process:
Tabla 15: Caracteres comodn para especificar un nombre de archivo o un nombre de
proceso
Carcter comodn
Descripcin
Ejemplo
Coincide con cualquier carcter
*.txt
Coincide exactamente con un

carcter
app-?.exe
En una regla de Custom File para Windows, puede usar las siguientes variables de
entorno para especificar la ruta del directorio a un archivo:
Tabla 16: Variables de entorno para especificar una ruta del directorio en Windows
Variable de entorno
Ejemplo del valor en Windows
<%APPDATA%>
C:\Documents and Settings\jdoe\Application Data
<%windir%>
C:\WINDOWS
<%ProgramFiles%>
C:\Program Files
<%CommonProgramFiles%>
C:\Program Files\Common Files
<%USERPROFILE%>
C:\Documents and Settings\jdoe
<%HOMEDRIVE%>
C:
<%Temp%>
C:\Documents and Settings \<user name>\Local

Settings\Temp
283
En una regla de Custom File para Macintosh, Linux y Solaris, puede usar las
siguientes variables de entorno para especificar la ruta del directorio a un archivo:
Tabla 17: Variables de entorno para especificar una ruta del directorio en Macintosh,
Linux y Solaris
Ejemplo del valor en Linux
y Solaris
Variable de entorno
Ejemplo del valor en Macintosh
<%java.home%>
/System/Library/Frameworks/JavaVM /local/local/java/j2sdk1.4.1_02/
.framework/ Versions/1.4.2/Home
jre
<%java.io.tmpdir%>
/tmp
/tmp
<%user.dir%>
/Users/admin
/home-shared/cknouse
<%user.home%>
/Users/admin
/home/cknouse
NOTA: Aunque las variables de entorno tienen el mismo formato que las directivas
Toolkit Template, no son intercambiables y debe tener cuidado de no confundirlas.
Evaluacin de varias reglas en una directiva nica de Host Checker

Si escoge incluir varias reglas dentro de una directiva nica del lado cliente,
debe especificar la manera en la que Host Checker debe evaluar estas reglas.
Para especificar los requisitos de varias reglas dentro de una directiva de
Host Checker:
2. En la seccin Policies de la pgina, haga clic en una directiva existente que
incluya reglas mltiples.
3. En la seccin Require, seleccione una de las siguientes opciones:
284
All of the above rules: Seleccione esta opcin para especificar que el
equipo del usuario debe devolver un valor acertado para todas las reglas de
la directiva a fin de obtener acceso.
Any of the above rules: Seleccione esta opcin para especificar que el
equipo del usuario debe devolver un valor acertado para cualquiera de las
reglas de la directiva a fin de obtener acceso.
Custom: Seleccione esta opcin para personalizar las reglas que el equipo
del usuario debe cumplir para obtener acceso. Luego, cree la regla
personalizada usando las instrucciones del siguiente paso.
4. (Slo expresiones personalizadas) Si desea usar grupos alternativos de reglas en

la directiva, combine reglas con operadores booleanos (AND, OR, NOT) usando
las siguientes pautas:
Introduzca el nombre de las reglas en la casilla de verificacin Rules

expression.
Use los operadores AND o && para requerir que dos reglas o grupos de
reglas devuelvan un valor acertado.
Use los operadores OR o || para requerir que alguna de dos reglas o grupos
de reglas devuelva un valor acertado.
Use los operadores NOT o ! para excluir una regla.
Use parntesis para combinar grupos de reglas.
Al combinar reglas personalizadas de medicin de integridad, puede usar

las palabras clave Allow, Deny, Isolate, y NoRecommendation. Por ejemplo,
puede usar las siguientes expresiones para solicitar que un cortafuegos
personal se ejecute y para requerir que cualquiera de dos posibles antivirus
se ejecuten:
ZoneLabsFirewall AND (McAfeeAntivirus OR NortonAntivirus)
Configuracin de directivas de evaluacin de parches

Puede configurar directivas de Host Checker que comprueben el cumplimiento de
versin de los parches en las aplicaciones de escritorio, la versin del software o el
paquete de actualizacin del sistema operativo Windows de los puntos finales.
Host Checker usa una lista de las versiones de parches ms actuales de los
proveedores para reglas predefinidas en la directiva de Host Checker.
Puede obtener la informacin de versin de parches ms actual en el sitio de
pruebas de Juniper Networks. Puede descargar e importar manualmente la lista
actual en el IVE o puede importar automticamente la lista actual desde el sitio de
pruebas de Juniper Networks o su propio sitio de pruebas en los intervalos que
especifique.
Las bsquedas pueden basarse en uno o ms productos especficos o en parches
especficos, pero no en la misma directiva. Por ejemplo, con una directiva puede
buscar Internet Explorer versin 7 y el parche MSOO-039: SSL Certificate Validation
Vulnerabilities con una segunda directiva. Despus, aplique ambas directivas a los
puntos finales a nivel de rol o territorio para garantizar que el usuario tiene la ltima
versin del explorador con una parche especfico. De forma adicional, puede
especificar el nivel de gravedad de los parches que desee ignorar para los productos
Microsoft; por ejemplo, puede optar por ignorar las amenazas bajas o moderadas.
285
El IVE puede enviar instrucciones de correccin (por ejemplo, un mensaje

sealando los parches o el software que no cumple con la directiva y un vnculo
indicando el lugar donde el punto final puede obtener el parche). El IVE no hace
correcciones automticas en el caso de que un punto final no cumpla con la
directiva. No obstante, puede optar por enviar los elementos al cliente para la
correccin manual de los equipos administrados.
Cuando un punto final se conecta por primera vez con el IVE, se descargan del IMC
las ltimas versiones de los archivos y bibliotecas de datos hacia el equipo host.
La comprobacin inicial tarda entre 10 a 20 segundos en ejecutarse, dependiendo
de la velocidad del vnculo. Si est obsoleto, estos archivos se actualizan de forma
automtica en comprobaciones sucesivas. Si es la primera vez que el punto final se
conecta al IVE con la directiva de evaluacin de parches, y la conexin es Layer 2,
no se podr descargar el IMC necesario para la comprobacin Patch Assesment.
En este caso, deber configurar un rol de correccin que muestre las instrucciones
que le ordenen al usuario que reintente con la conexin Layer 3 o que se ponga en
contacto con el administrador.
Para configurar una regla personalizada de evaluacin de parches:
existente.
3. Haga clic en la ficha Windows.
4. En Rule Settings, escoja Custom: Patch assessment.
5. Haga clic en Add bajo Rule Settings. Aparecer la pgina Add Custom Rule:
Patch assessment.
6. Introduzca un nombre para la regla de la medida de integridad.
NOTA: Si una seleccin que no se aplica est incluida en una directiva,
por ejemplo, el punto final no tiene el software sealado, la regla no se
considerar y se omitir la comprobacin de esa seleccin en especial.
7. Seleccione Scan for specific products o Scan for specific patches.

Si selecciona Scan for specific products deber seleccionar tambin All
Products o Specific Products.
Si selecciona All Products, Host Checker buscar todos los parches expuestos
en el punto final.
286
Para configurar una directiva basada en todos los productos:

a.
Escoja el botn de opcin All Products.
b.
De manera opcional, haga clic en el botn Add bajo Ignore following

patches para seleccionar los parches especficos que desee ignorar para
todos los productos.
c.
d. De manera opcional para los productos Microsoft, desactive las casillas de

verificacin para determinar el nivel de gravedad de los parches que desee
ignorar. Por ejemplo, si desea buscar slo parches crticos para las opciones
seleccionadas, desactive las casillas de verificacin para Important,
Moderate, Low y Unspecified.
e.
Si selecciona Specific Products, se abrirn dos nuevos dilogos. Puede

seleccionar desde una extensa lista de productos y versiones y puede optar por
ignorar parches especficos.
Por ejemplo, si agrega Internet Explorer 6 a la lista Selected Products, puede
optar por ignorar cualquier parche que no considere esencial para el producto.
Puede ajustar de forma adicional el nivel de gravedad de parches especficos
que se ignorarn al desactivar las casillas de verificacin de gravedad para los
productos Microsoft.
Para configurar una directiva basada en productos especficos:
a.
Escoja el botn de opcin Specific Products.
b.
Seleccione software de la ventana Available products y agrguelo a la

ventana Selected products.
c.
d. De manera opcional, haga clic en el botn Add bajo Ignore following

patches para seleccionar los parches especficos que desee ignorar para los
productos elegidos.
Cuando haga clic en el botn Add, se abrir un nuevo dilogo,
que mostrar todos los parches disponibles para el software que ha
seleccionado.
e.
Seleccione los parches especficos que desee ignorar desde la ventana

Available patches y agrguelos a la ventana Selected patches.
f.
Haga clic en el botn Add bajo Add.

Cuando haga clic en el botn Add, la ventana Ignore followiing patches se
llenar con los parches que seleccion.
287
g.
De manera opcional para los productos Microsoft, desactive las casillas de

verificacin para determinar el nivel de gravedad de los parches que desee
ignorar. Por ejemplo, si desea buscar slo parches crticos para las opciones
seleccionadas, desactive las casillas de verificacin para Important,
Moderate, Low y Unspecified.
NOTA: Las casillas de verificacin de los niveles de gravedad slo se aplican a

productos Microsoft. Para otros proveedores, como Adobe, la casilla de verificacin
Unspecified determina si se ejecutar o no la comprobacin.
h. Haga clic en Save Changes.

La opcin Scan for specific patches le permite escoger desde una lista de
parches disponibles.
Para configurar una directiva basada en parches:
a.
Escoja el botn de opcin Scan for specific patches.

Cuando seleccione la opcin Scan for specific patches, se abrir un nuevo
dilogo, el que le permitir agregar parches especficos.
b.
Haga clic en el botn Add.
c.
En la ventana Available patches seleccione los parches especficos que

desee buscar y agrguelos a Selected patches.
d. Haga clic en el botn Add.

e.

Puede mostrar la informacin de correccin para los usuarios en funcin de
qu versin o parche se necesite actualizar. Por ejemplo, puede configurar una
cadena de motivos para mostrar la informacin acerca de un parche que no se
encuentra y especificar un vnculo que lleve al usuario a la pgina Web donde
puede obtener el parche.
9. Para mostrar la informacin de correccin a los usuarios, seleccione la opcin
Send Reason Strings bajo Remediation. Para obtener ms informacin sobre
esta opcin, consulte Configuracin de la correccin general de Host Checker
en la pgina 305.
288
Uso de Comprobadores de medicin de integridad de terceros

Las normas de Trusted Network Connect (TNC) permiten la aplicacin de requisitos
de seguridad para puntos finales que se conectan a redes. Los componentes del
lado cliente del TNC son los IMC y el cliente TNC (TNCC). El TNCC compila las
mediciones IMC y las enva al servidor. En el servidor, existe un grupo de
componentes equivalentes: El servidor TNC (TNCS) y los IMV. El TNCS administra
los mensajes entre los IMV y los IMC y enva las recomendaciones en funcin de los
IMV, que son los motores de directivas. Para obtener ms informacin acerca de los
IMV y los IMC, consulte La arquitectura TNC dentro de Host Checker en la
pgina 257.
El IVE y Host Checker cumplen con los estndares emitidos por TNC. Para obtener
ms informacin acerca de TNC, IMV e IMC, visite
Puede configurar Host Checker para que supervise los IMC de terceros, que
cumplen con las normas de TNC, instalados en los equipos cliente. Para hacerlo,
debe hacer lo siguiente:
1. Ejecute el instalador de Third-party Integrity Measurement Verifier (IMV)
Server en el sistema designado como servidor IMV remoto. Instale los IMV de
terceros y cree los certificados de servidor. Consulte Configuracin de un
servidor IMV remoto en la pgina 289.
2. Especifique el servidor IMV remoto para que el IVE se pueda comunicar con l.
Consulte Especificacin del servidor IMV remoto en la pgina 293.
3. Implemente la directiva de Host Checker. Consulte Implementacin de la
directiva para IMV de terceros en la pgina 295.
Configuracin de un servidor IMV remoto

Durante este paso, instalar IMV de terceros. Los IMV de terceros se instalan en el
servidor IMV remoto, no en el IVE.
Durante este paso, tambin obtendr un certificado de servidor para el servidor
IMV remoto. Importar el certificado CA de raz de confianza que genera el
certificado de servidor al IVE. Luego, el IVE autenticar el servidor IMV remoto
mediante el certificado. Si no cuenta con una autoridad de certificacin,
instale y use OpenSSL para generar un certificado CA.
Para instalar y configurar el software del servidor:
1. En la consola de administracin del IVE, escoja Maintenance > System >
Installers y descargue el instalador de Third-party Integrity Measurement
Verifier (IMV) Server.
2. Ejecute el instalador en el sistema designado como servidor IMV remoto.
3. Instale los IMV de terceros en el servidor IMV y los IMC correspondientes en los
sistemas del cliente.
289
4. Genere un certificado de servidor desde una autoridad de certificacin para

el servidor IMV remoto. El valor Subject CN del certificado de servidor debe
contener el nombre o la direccin IP real del host del servidor IMV remoto.
Para obtener ms informacin sobre la creacin de sistemas, consulte Uso de
CA del servidor de confianza en la pgina 774.
El certificado de servidor y la clave privada deben combinarse en un archivo
PKCS#12 nico y se debe encriptar con una contrasea.
Si no tiene una autoridad de certificacin, puede seguir estos pasos para crear
una CA y luego crear un certificado de servidor para el servidor IMV remoto.
NOTA: Instale la versin completa de OpenSSL. La versin light de OpenSSL no
sirve para esto.
Siga los pasos a continuacin para configurar OpenSSL:

i.
Descargue e instale OpenSSL desde este sitio:

http://www.slproweb.com/products/Win32OpenSSL.html
ii.
En el smbolo de sistema de Windows, escriba los siguientes

comandos:
cd \openssl
md certs
cd certs
md demoCA
md demoCA\newcerts
edit demoCA\index.txt
iii. Presione las teclas ALT-F y luego la tecla S para guardar el archivo.
iv. Presione las teclas ALT-F y luego la tecla X para salir del editor.
v.
En el smbolo de sistema de Windows, escriba los siguientes

comandos:
edit demoCA\serial
vi. Escriba estos nmeros en la ventana del documento: 01

vii. Presione las teclas ALT-F y luego la tecla S para guardar el archivo.
viii. Presione las teclas ALT-F y luego la tecla X para salir del editor.
ix. En el smbolo de sistema de Windows, escriba el siguiente comando:
set path=c:\openssl\bin;%path%
290
Siga los pasos a continuacin para crear una clave de CA:

x. Para crear una clave de CA, escriba el siguiente comando en el smbolo
de sistema de Windows en el directorio c:\openssl\certs:
openssl genrsa -out ca.key 1024
Debe aparecer el siguiente resultado:

Loading 'screen' into random state - done
Generating RSA private key, 1024 bit long modulus
........++++++
.++++++
e is 65537 (0x10001
Siga los pasos a continuacin para crear un certificado de CA:

i.
Escriba el siguiente comando en el smbolo de sistema de Windows en

el directorio c:\openssl\certs:
openssl req -new -x509 -days 365 -key ca.key -out
demoCA/cacert.pem
ii.
Introduzca la informacin de nombre completo (DN) apropiada para

el certificado CA. Puede dejar algunos campos en blanco si introduce
un punto.
Por ejemplo:
Country Name: US
State or Province Name: CA
Locality Name: Sunnyvale
Organization Name: XYZ
Org. Unit Name: IT
Common Name: ic.xyz.com
Email Address: user@xyz.com
iii. Para configurar el CA, escriba el siguiente comando en el smbolo de

sistema de Windows en el directorio c:\openssl\certs:
copy ca.key demoCA
notepad demoCA.cnf
iv. Cuando se le pregunte si desea crear un archivo nuevo, pulse el

botn yes.
v.
Teclee las lneas siguientes en el documento y pulse la tecla Enter al

final de cada lnea.
[ca]
default_ca = demoCA
[demoCA]
dir = ./demoCA
database = $dir/index.txt
new_certs_dir = $dir/newcerts
certificate = $dir/cacert.pem
291
serial = $dir/serial
private_key = $dir/ca.key
default_days = 365
default_md = md5
policy = policy_any
email_in_dn = no
name_opt = ca_default
cert_opt = ca_default
copy_extensions = none
[ policy_any ]
countryName = supplied
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
vi. Guarde el archivo y cierre el bloc de notas.

vii. Escriba el siguiente comando para generar una clave privada RSA para
el servidor IMV remoto:
openssl genrsa out rimvs_key.pem 1024
viii. Escriba el siguiente comando para generar un CSR para el servidor IMV
remoto:
openssl req new key rimvs_key.pem out rimvs_csr.pem
ix. Escriba las lneas siguientes:

Country Name:
State or Province Name:
Locality Name:
Organization Name:
Organizational Unit Name:
Common Name: [IPAddress]
Email Address:
A challenge password:
An optional company name:
Puede introducir cualquier valor que desee en la mayora de los campos,

pero el campo Common Name debe contener la direccin IP del equipo que
ejecuta el servidor IMV remoto. Este equipo debe tener una direccin IP
esttica.
x. Escriba el siguiente comando para generar un certificado para el
servidor IMV remoto:
openssl ca config demoCA.cnf in rimvs_csr.pem
out rimvs_cert.pem
292
xi. Presione y dos veces cuando se le solicite para generar el certificado.

Este certificado es vlido por 365 das de forma predeterminada. Si
desea modificar la duracin del certificado, cambie el parmetro
default_days en el archivo demoCA.cnf, o use el parmetro days en el
comando openssla ca para especificar una duracin distinta.
xii. Escriba el siguiente comando para agregar la clave del servidor IMV
remoto y el certificado en un archivo PKCS#12 (use su propia
contrasea):
openssl pkcs12 export in rimvs_cert.pem inkey rimvs_key.pem
passout
pass:<password> -out rimvs_p12.pem
5. En el servidor IMV remoto, escoja Programs > Juniper Networks > Remote
IMV Server > Remote IMV Server Configurator en el men Start.
6. En Client Info, haga clic en Add.
7. Configure el puerto que atender las solicitudes SOAP desde el IVE.
8. Introduzca la direccin IP del cliente, la cantidad de direcciones que se usarn
y el secreto compartido que usarn tanto el IVE como el servidor IMV remoto.
9. Si desea, cambie los ajustes de creacin de registros (el registro se genera en el
directorio de instalacin).
10. Busque el archivo PKCS#12 que gener en el sistema de archivos.
11. Especifique la contrasea asociada al certificado.
12. En la consola de administracin IVE, use la lengeta System > Configuration
> Certificates > Trusted Server CAs para importar el certificado CA de raz de
confianza de la CA que emiti el certificado para el servidor IMV remoto.
Si us OpenSSL para generar el certificado de servidor del Servidor IMV
remoto, ste es: demoCA\cacert.pem.
Si no us OpenSSL para generar este certificado, asegrese de que el archivo
que importe tiene el certificado CA (no el certificado de raz).
13. Haga clic en Import Trusted Server CA y busque el certificado de servidor que
us en el servidor IMV remoto.
14. Agregue el nuevo servidor IMV remoto en Especificacin del servidor IMV
remoto en la pgina 293.
Especificacin del servidor IMV remoto

Para especificar el servidor IMV remoto para que el IVE se pueda comunicar con l:
2. En Remote IMV, haga clic en New Server.
293
3. En la pgina New Server:

a.
Cree una etiqueta para el servidor usando los campos Name

y (opcionalmente) Description.
b.
En el campo Hostname, introduzca la direccin IP o el nombre del host

como se defini en el certificado de servidor.
c.
En el campo Port, introduzca el nmero de puerto nico que el IVE usa

para comunicarse con el servidor IMV remoto. Compruebe que ningn otro
servicio est usando est nmero de puerto.
El nmero de puerto predeterminado es el mismo que el nmero de puerto
https predeterminado. Si est ejecutando un servidor Web en el mismo
sistema que el servidor IMV remoto, introduzca un nmero de puerto
nuevo en el campo Port.
d. En el campo Shared Secret, introduzca el mismo secreto compartido que

us en la entrada de informacin del cliente en el servidor IMV remoto.
e.
4. En Remote IMV, haga clic en New IMV para especificar el IMV de terceros.
5. En la pgina New IMV:
a.
Cree una etiqueta para el IMV usando los campos Name y (opcionalmente)
Description.
b.
En el campo IMV Name, introduzca el nombre del IMV. Este nombre debe
coincidir con el nombre legible en la clave de registro conocida del IMV
en el servidor IMV remoto. Para obtener ms informacin acerca de
nombres legibles y la clave de registro conocida, visite
c.
Desde el men emergente Primary Server, seleccione el servidor IMV

remoto donde este IMV est instalado.
d. (Opcional) Desde el men emergente Secondary Server, seleccione el

servidor IMV remoto donde este IMV est instalado. El servidor secundario
acta como un conmutador por error en caso de que el servidor primario
no est disponible.
El IVE contina intentando restablecer la conexin con el servidor IMV
remoto primario y lo usa al establecer las conexiones siguientes cuando
vuelve a estar disponible.
e.
294
Implementacin de la directiva para IMV de terceros

Para usar el Host Checker como una herramienta de aplicacin de directivas para
gestionar puntos finales, debe crear directivas globales del Host Checker a nivel de
sistema a travs de la pgina Authentication > Endpoint Security > Host
Checker de la consola de administracin y luego debe implementar las directivas
en los niveles de territorio y roles.
Para implementar la directiva para IMV de terceros:
2. En Policies, haga clic en New.
3. Introduzca un nombre en el campo Policy Name y luego haga clic en Continue.
(Los usuarios vern este nombre en la pgina de correccin de Host Checker
si habilita las instrucciones personalizadas para esta directiva.)
4. En Rule Settings, elija Custom: Remote IMV y haga clic en Add.
5. En la pgina Add Custom Rule: Remote IMV:
a.
En el campo Rule Name, introduzca un identificador para la regla.
b.
En Criteria, seleccione el IMV de terceros que se asociar a esta regla.
c.
6. Especifique la forma en que Host Checker debe evaluar las distintas reglas
dentro de la directiva usando las instrucciones en Evaluacin de varias reglas
en una directiva nica de Host Checker en la pgina 284.
7. (Recomendado) Especifique las opciones de correccin para usuarios cuyos
9. Implemente la directiva en los niveles de territorio o rol usando las opciones
descritas en Configuracin de las restricciones de Host Checker en la
pgina 301.
295
Combinacin de varias reglas de medicin de integridad con

expresiones personalizadas
Puede combinar reglas de medicin de integridad mltiples en una directiva de
Host Checker nica y cada regla puede devolver uno de dos resultados: Allow para
permitir o Deny para denegar.
Una regla requerida devolver Allow si coincide y Deny si no se cumple. Una regla
Deny devolver Deny si coincide, y Allow si no se cumple. Si escoge la opcin Any of
the above rules en la directiva de Host Checker, la regla se entender como
cumplida si al menos una de las reglas devuelve Allow. Si escoge All of the above
rules, entonces la regla se entender como cumplida si todas las reglas devuelven
Allow. En cualquier caso, si el resultado de una regla de cumplimiento no se puede
completar por alguna razn, esa regla se considerar como no cumplida.
Algunos IMV de terceros tambin pueden devolver el resultado Isolate. Al usar la
opcin Any of the above rules o All of the above rules, el resultado Isolate se se
trata como si fuera Deny. Si desea tratar los resultados Isolate de forma diferente,
debe escoger la opcin Custom para usar los resultados exactos de las reglas para
determinar la respuesta final. Por ejemplo, si tiene dos reglas Sym1 y Mac1,
puede usar esta combinacin personalizada de reglas:
(Sym1 == Isolate AND Mac1 == NoRecomendation) OR
(Sym1 == NoRecommendation AND Mac1 == Allow)
Puede omitir la palabra clave Allow en la expresin predeterminada. Por ejemplo:

rule1 OR rule2
es equivalente a:
rule1 == Allow OR rule2 == Allow
Habilitacin de directivas personalizadas del lado del servidor

Para clientes de Windows, puede crear directivas de Host Checker globales que
toman un DLL-J.E.D.I. de terceros que se cargan en el IVE y se ejecutan en los
equipos cliente.
NOTA: Esta caracterstica se proporciona principalmente para compatibilidad con
versiones anteriores. Recomendamos que en su lugar use los IMC y los IMV, como
se describe en La arquitectura TNC dentro de Host Checker en la pgina 257.
Carga de un paquete de directivas de Host Checker al IVE

Para que el IVE reconozca un archivo de definicin del paquete, debe hacer
lo siguiente:
1. Ponerle al archivo de definicin del paquete el nombre MANIFEST.HCIF
e incluirlo en una carpeta llamada META-INF.
296
Combinacin de varias reglas de medicin de integridad con expresiones personalizadas
2. Crear un paquete de directivas Host Checker creando un archivo zip. El archivo

debe contener la carpeta META-INF que contiene el archivo MANIFEST.HCIF junto
con la DLL de interfaz y cualquier archivo de inicializacin. Por ejemplo,
el paquete de directivas de Host Checker puede contener:
META-INF/MANIFEST.HCIF
hcif-myPestPatrol.dll
hcif-myPestPatrol.ini
3. Cargar el o los paquetes de Host Checker al IVE siguiendo las instrucciones que
se encuentran en Habilitacin de directivas personalizadas del lado del
servidor en la pgina 296. Puede cargar varios paquetes de directivas al IVE,
cada uno con un archivo MANIFEST.HCIF diferente.
NOTA: Despus de cargar un paquete de directivas de Host Checker al IVE,
no podr modificar los contenidos del paquete en el servidor. En cambio,
deber modificar el paquete en su sistema local y luego cargar la versin
modificada al IVE.
Host Checker crea tneles para todas las definiciones de tneles en todos los
archivos MANIFEST.HCIF, siempre y cuando las definiciones sean nicas. Para
ver la lista de definiciones de tneles de acceso de autenticacin previa para un
paquete de directivas, haga clic en el nombre del paquete de directivas bajo 3rd
Party Policy en la pgina Host Checker Configuration. El IVE muestra una lista
de las definiciones de tneles bajo Host Checker Preauth Access Tunnels en la
pgina 3rd Party Policy.
4. Implemente la directiva en los niveles de directivas de territorio, rol o recurso
Checker en la pgina 301. Si desea verificar que el paquete se instal y se est
ejecutando en el equipo del cliente (y no si se cumple o no una directiva
especfica del paquete), puede usar el nombre que especific cuando carg el
paquete de directivas (por ejemplo, myPestPatrol). Para aplicar una directiva en
particular en el paquete, use la sintaxis <PackageName>.<PolicyName>.
Por ejemplo, para aplicar la directiva FileCheck en el paquete myPestPatrol,
use myPestPatrol.FileCheck. Para obtener instrucciones, consulte Configuracin
de las restricciones de Host Checker en la pgina 301.
Para permitir una directiva personalizada del Host Checker del lado del servidor:
2. En Policies, haga clic en New 3rd Party Policy.
3. Introduzca un nombre para identificar su archivo zip en el IVE.
4. Busque el directorio local donde se encuentra el archivo zip.
5. (Opcional) Especifique las instrucciones y acciones de correccin para usuarios
cuyos equipos no cumplen con los requisitos especificados en la directiva.
Combinacin de varias reglas de medicin de integridad con expresiones personalizadas
297
6. Haga clic en Save Changes. El IVE agrega las directivas definidas en el archivo
zip a la lista de directivas de la pgina del Host Checker.
7. Implemente las directivas en los niveles de directivas de territorio, rol o recurso
Checker en la pgina 301.
Implementacin de las directivas del Host Checker

Despus de crear directivas globales a travs de la pgina del Authentication >
Endpoint Security > Host Checker de la consola de administracin, puede
restringir el acceso al IVE y a los recursos requiriendo el Host Checker en las
opciones siguientes:
298
Directiva de autenticacin de territorio: Cuando los administradores o los

usuarios intentan iniciar sesin en el IVEo iniciar una sesin de Virtual
Workspace, el IVE evala la directiva de autenticacin especificada del territorio
para determinar si los requisitos de autenticacin previa incluyen al
Host Checker. Puede configurar una directiva de autenticacin de territorio
para descargar Host Checker, iniciar Host Checker y aplicar las directivas
especificadas de Host Checker para el territorio, o para no requerir Host
Checker. El usuario debe iniciar sesin en un equipo que cumpla con los
requisitos de Host Checker que se especificaron para el territorio. Si el equipo
del usuario no cumple los requisitos, entonces el IVE negar el acceso al usuario
a menos que configure acciones correctivas que ayuden al usuario a lograr que
su equipo cumpla con las directivas. Puede configurar restricciones a nivel de
territorio a travs de la pgina Administrators > Admin Realms > Seleccionar
territorio > Authentication Policy > Host Checker o la pgina Users > User
Realms > Seleccionar territorio > Authentication Policy > Host Checker de
la consola de administracin.
Rol: Cuando el IVE determina la lista de roles vlidos para las que puede
asignar un administrador o un usuario, evala las restricciones de cada rol para
determinar si requiere que el equipo del usuario se adhiera a determinadas
directivas de Host Checker. Si es as, y el equipo del usuario no sigue las
directivas de Host Checker especificadas, el IVE no asignar al usuario dichos
roles a menos que configure acciones correctivas para ayudar al usuario a
lograr que su equipo cumpla las directivas. Puede configurar la asignacin de
roles usando los ajustes de la pgina Users > User Realms > Seleccionar
territorio > Role Mapping. Puede configurar restricciones a nivel de rol en la
pgina Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Host Checker de la consola de administracin o en la pgina
Users > User Roles> Seleccionar rol > General > Restrictions >
Host Checker.
Directiva de recursos: Cuando un usuario solicita un recurso, el IVE evala las

reglas detalladas de la directiva de recursos para determinar si el recurso
requiere que el equipo del usuario se adhiera a determinadas directivas de
Host Checker. El IVE denegar acceso a los recursos si el equipo del usuario
no cumple con las directivas de Host Checker, a menos que configure acciones
correctivas para ayudarle al usuario a que logre que su equipo cumpla con las
directivas. Para implementar las restricciones de Host Checker en el nivel de
directivas de recursos, use los ajustes en la pgina Users > Resource Policies
> Seleccionar recurso > Seleccionar directiva > Detailed Rules.
Puede especificar que el IVE evale las directivas del Host Checker slo cuando el
usuario intenta tener acceso por primera vez al territorio, rol o recurso al que hace
referencia la directiva del Host Checker. Como alternativa, puede especificar que el
IVE evale de forma peridica las directivas a travs de la sesin del usuario. Si elige
evaluar peridicamente las directivas del Host Checker, el IVE asigna de forma
dinmica los usuarios a los roles y les permite acceder a nuevos recursos en funcin
de la evaluacin ms reciente.
Ejecucin de las directivas del Host Checker

Cuando el usuario intenta entrar al IVE, el Host Checker evala sus directivas en el
siguiente orden:
1. Evaluacin inicial: Cuando un usuario intenta acceder por primera vez a la
pgina de inicio de sesin del IVE, el Host Checker realiza una evaluacin
inicial. Con las reglas que especific en las directivas, el Host Checker
comprueba que el cliente cumpla los requisitos del punto final y devuelve sus
resultados al IVE. El Host Checker realiza una evaluacin inicial
independientemente de si ha implementado las directivas del Host Checker
a nivel de territorio, de rol o de directiva.
Si el usuario sale de la pgina de inicio de sesin del IVE despus de que
Host Checker se comienza a ejecutar pero antes de que inicie sesin en el IVE,
Host Checker continuar ejecutndose en el equipo del usuario hasta que se
agote el tiempo de espera del proceso de Host Checker.
Si por cualquier motivo (incluso porque el usuario cerr manualmente
Host Checker) el IVE no recibe un resultado del Host Checker, el IVE mostrar
un mensaje de error y le solicitar al usuario que vuelva a la pgina de inicio de
sesin.
En caso contrario, si el proceso de Host Checker devuelve un resultado,
el IVE sigue evaluando las directivas de nivel de territorio.
Implementacin de las directivas del Host Checker 299
2. Directivas a nivel de territorio: El IVE usa los resultados de la evaluacin inicial

del Host Checker para determinar a cul de los territorios puede tener acceso el
usuario. Despus, el IVE muestra u oculta los territorios al usuario y le permite
iniciar sesin en los territorios que habilite para la pgina de inicio de sesin
slo si cumple con los requisitos del Host Checker para cada territorio.
Si el usuario no puede cumplir las condiciones que requiere el Host Checker
para alguno de los territorios disponibles, el IVE no mostrar la pgina de inicio
de sesin, sino que muestra un mensaje de error que indica que el usuario no
tendr acceso, a menos que configure acciones correctivas para ayudar al
usuario a lograr que su equipo cumpla con las directivas.
Tenga en cuenta que el Host Checker slo realiza revisiones a nivel de territorio
cuando el usuario inicia sesin por primera vez en el IVE. Si el estado del
sistema del usuario cambia durante su sesin, el IVE no lo expulsa del territorio
actual ni le permite tener acceso a un territorio nuevo basado en el nuevo
estado del sistema.
3. Directivas a nivel de rol: Despus de que el usuario inicia sesin en un
territorio, el IVE evala las directivas a nivel de rol y asigna el usuario a los roles
si es que cumple con los requisitos del Host Checker para esos roles. Despus,
el IVE le muestra al usuario la pgina de inicio del IVE y habilita esas opciones
que permite el rol asignado.
Si el Host Checker devuelve un estado distinto durante una evaluacin
peridica, el IVE reasignar de forma dinmica los roles del usuario en funcin
de los nuevos resultados. Si el usuario pierde derechos a todos los roles
disponibles durante una de las evaluaciones peridicas, el IVE desconectar la
sesin del usuario, a menos que configure acciones correctivas para ayudar al
usuario a que logre que su equipo cumpla con las directivas.
4. Directivas a nivel de recursos: Despus de que el IVE le permite al usuario
tener acceso a la pgina de inicio, el usuario puede intentar tener acceso a un
recurso que est controlado por una directiva de recursos. Cuando lo hace,
el IVE determina si debe realizar o no la accin especificada en la directiva de
recursos basado en el ltimo informe de estado que devolvi el Host Checker.
Si el Host Checker devuelve un informe de estado distinto durante una
evaluacin peridica, el nuevo estado slo tendr efecto en los nuevos recursos
a los que el usuario intente tener acceso. Por ejemplo, si el usuario inicia de
forma correcta una sesin de Network Connect y luego no logra comprobar el
host a nivel de recursos, puede seguir teniendo acceso a la sesin abierta de
Network Connect. El IVE solo le denegar el acceso si intenta abrir una nueva
sesin de Network Connect. El IVE comprueba el ltimo estado devuelto por el
Host Checker cuando el usuario intenta tener acceso a un recurso de la web
nuevo o abrir una sesin nueva de Secure Application Manager, Network
Connect o Secure Terminal Access.
Ya sea con un resultado vlido o no, el Host Checker permanece en el cliente.
Los usuarios de Windows pueden desinstalar manualmente el agente al ejecutar el
archivo uninstall.exe que se encuentra en el directorio donde est instalado el
Host Checker. Si habilita el inicio de sesin del lado cliente a travs de la pgina
System > Log/Monitoring > Client Logs, este directorio tambin contendr un
archivo de registro, el que reescribe el IVE cada vez que se ejecuta el Host Checker.
300
Si habilita la evaluacin de directivas dinmicas para Host Checker (consulte

Comprensin de la evaluacin dinmica de directivas en la pgina 57),
el IVE evaluar las directivas de recursos implementadas a nivel de territorio cada
vez que el estado de Host Checker cambie. Si no habilita la evaluacin de directivas
dinmicas para Host Checker, el IVE no evaluar las directivas de recursos pero
s evaluar la directiva de autenticacin, las reglas de asignacin de recursos y las
restricciones de roles cada vez que el estado de Host Checker del usuario cambie.
Para obtener instrucciones sobre la configuracin, consulte Especificacin de las
opciones generales de Host Checker en la pgina 314.
Configuracin de las restricciones de Host Checker

Para especificar las restricciones de Host Checker:
1. Desplcese hasta: Authentication > Endpoint Security > Host Checker y
especifique las opciones globales que el Host Checker debe aplicar a cualquier
usuario que requiera que una directiva de autenticacin, una regla de
asignacin o una directiva de recursos del Host Checker.
2. Si desea implementar el Host Checker a nivel de territorio:
a.
b.
c.
Desplcese hasta:

Authentication Policy > Host Checker

Policy > Host Checker
Escoja una de las siguientes opciones para todas las directivas disponibles o
para directivas individuales que aparecen en la columna Available Policies:
Evaluate Policies: Evala sin aplicar la directiva en el cliente y permite

el acceso del usuario. Esta opcin no requiere que el Host Checker est
instalado durante el proceso de evaluacin, sino que se instala cuando
el usuario inicia sesin en el IVE.
Require and Enforce: Requiere y aplica la directiva en el cliente para

que el usuario pueda iniciar sesin en el territorio especificado.
Requiere que el Host Checker est ejecutando las directivas
especificadas del Host Checker para que el usuario pueda cumplir con
los requisitos de acceso. Requiere que el IVE descargue Host Checker
en el equipo cliente. Si elige esta opcin para una directiva de
autenticacin del territorio, entonces el IVE descarga Host Checker al
equipo cliente despus de que el usuario se ha autenticado y antes de
que se le asignen roles en el sistema. Al seleccionar esta opcin,
automticamente se habilita la opcin Evaluate Policies.
Seleccione la casilla de verificacin Allow access to realm if any ONE of

the selected Require and Enforce policies is passed si no desea
requerir a los usuarios que cumplan todos los requisitos en todas las
directivas seleccionadas, sino que el usuario puede tener acceso al
territorio si cumple los requisitos de cualquiera de las directivas
seleccionadas de Host Checker.
Implementacin de las directivas del Host Checker 301
3. Si desea implementar el Host Checker a nivel de rol:

a.
b.
c.
Desplcese hasta:
Restrictions > Host Checker
Host Checker
Escoja una de las siguientes opciones:
Allow all users: No requiere que el Host Checker est instalado para
que el usuario cumpla el requisito de acceso.
Allow only users whose workstations meet the requirements

specified by these Host Checker policies: Requiere que el Host
Checker est ejecutando las directivas especificadas del Host Checker
para que el usuario pueda cumplir con los requisitos de acceso.
Seleccione la casilla de verificacin Allow access to role if any ONE of the

selected Require and Enforce policies is passed si no desea requerir
a los usuarios que cumplan todos los requisitos en todas las directivas
seleccionadas, sino que el usuario puede tener acceso al rol si cumple los
requisitos de cualquiera de las directivas seleccionadas de Host Checker.
4. Si desea crear reglas de asignacin de roles basadas en el estado del Host

Checker del usuario:
a.
Desplcese hasta: Users > User Realms > Seleccionar territorio > Role
Mapping.
b.
Haga clic en New Rule, seleccione Custom Expressions en la lista Rule

based on y haga clic en Update. O bien, para actualizar una lista existente,
seleccinela desde la lista When users meet these conditions.
c.
Haga clic en Expressions.
d. Usando la variable hostCheckerPolicy, escriba una expresin personalizada

para la regla de asignacin de roles que evaluar el estado del Host
Checker. Si necesita ayuda para escribir expresiones personalizadas, utilice
los consejos que se encuentran en Expressions Dictionary. O bien,
consulte Expresiones personalizadas en la pgina 1041.
302
e.
En la seccin ...then assign these roles, seleccione los roles que el IVE
debe asignar a los usuarios cuando cumplan los requisitos especificados en
la expresin personalizada y luego haga clic en Add.
f.
Seleccione Stop processing rules when this rule matches si desea que
el IVE deje de evaluar las reglas de asignacin de roles si el usuario cumple
satisfactoriamente con los requisitos definidos en esta reglas.
5. Si desea implementar el Host Checker a nivel de directivas de recursos:

a.
Desplcese hasta: Users > Resource Policies > Seleccionar recurso >
Seleccionar directiva > Detailed Rules.
b.
Haga clic en New Rule o seleccione una regla existente desde la lista
Detailed Rules.
c.
Escriba una expresin personalizada para la regla detallada para evaluar el

estado del Host Checker usando la variable hostCheckerPolicy. Si necesita
ayuda para escribir expresiones personalizadas, utilice los consejos que se
encuentran en Conditions Dictionary. O bien, consulte Expresiones
personalizadas en la pgina 1041.
Estas opciones le permitirn controlar qu versin de una aplicacin o servicios se

ejecuta en los equipos cliente.
Correccin de las directivas de Host Checker

Puede especificar acciones correctivas generales que desee que Host Checker lleve
a cabo si un punto final no cumple con los requisitos de una directiva. Por ejemplo,
puede mostrar una pgina de correccin al usuario que contenga instrucciones
especficas y vnculos a recursos que le ayudarn a lograr que su punto final cumpla
con los requisitos de las directivas de Host Checker.
Tambin puede escoger incluir un mensaje a los usuarios (llamado una cadena de
motivos) que Host Checker o un comprobador de medicin de integridad (IMV)
devuelve y explica los motivos por los que el equipo cliente no cumple los requisitos
de las directivas de Host Checker.
Por ejemplo, el usuario puede ver una pgina de correccin que contenga las
siguientes instrucciones personalizadas, un vnculo a recursos y las cadenas de
motivos:
Your computer's security is unsatisfactory.
Your computer does not meet the following security requirements. Please follow
the instructions below to fix these problems. When you are done click Try Again.
If you choose to Continue without fixing these problems, you may not have access
to all of your intranet servers.
1. Symantec
Instructions: You do not have the latest signature files. Click here to download
the latest signature files.
Motivos: La versin del producto antivirus es muy antigua. La antigedad de las
definiciones de virus no es aceptable.
303
Para cada directiva de Host Checker, puede configurar dos tipos de acciones de
correccin:
Realizadas por el usuario: Con instrucciones personalizadas, puede informar

al usuario acerca de la directiva que no se cumpli y la forma en que puede
hacer que su equipo cumpla con ella. El usuario debe realizar acciones para
reevaluar satisfactoriamente la directiva que no se cumpli. Por ejemplo,
puede crear una pgina personalizada que incluya un vnculo a un servidor de
directivas o a una pgina Web y le permita al usuario hacer que su equipo
cumpla con las directivas.
Automtica (realizadas por el sistema): Puede configurar Host Checker para

que corrija automticamente el equipo del usuario. Por ejemplo, cuando la
directiva inicial no se cumple, puede eliminar procesos, borrar archivos o
permitir la correccin automtica a travs de un IMV (consulte La arquitectura
TNC dentro de Host Checker en la pgina 257). En Windows, tambin puede
realizar una llamada a la funcin API HCIF_Module.Remediate () dentro de un
archivo J.E.D.I. DLL de terceros. Cuando realiza acciones automticas, Host
Checker no informa a los usuarios. (No obstante, podra incluir informacin
acerca de las acciones automticas en las instrucciones personalizadas.)
Puede habilitar estas acciones correctivas tanto en las directivas del lado cliente
como de lado del servidor. Para obtener instrucciones acerca de la configuracin,
consulte Creacin y configuracin de nuevas directivas del lado cliente en la
pgina 267 o Habilitacin de directivas personalizadas del lado del servidor en la
pgina 296.
Experiencia del usuario en la correccin de Host Checker

Los usuarios pueden ver la pgina de correccin en las siguientes situaciones:
Antes de que inicien sesin:
Si habilita las instrucciones personalizadas para una directiva que no se

cumple, el IVE mostrar la pgina de correccin al usuario. El usuario tiene
dos opciones:
Tomar las acciones apropiadas para hacer que su equipo cumpla con la
directiva y luego hacer clic en el botn Try Again en la pgina de
correccin. Host Checker comprueba nuevamente si el equipo del
usuario cumple con la directiva.
Dejar su equipo en el estado actual y hacer clic en el botn Continue

para iniciar sesin en el IVE. No podr tener acceso al territorio, rol o
recurso que requiere que se cumpla con la directiva que no se cumpli.
NOTA: Si no configura el IVE con al menos un territorio que permita acceso sin
aplicar una directiva de Host Checker, el usuario debe hacer que su equipo cumpla
con la directiva antes de iniciar sesin en el IVE.
304
Si no habilita las instrucciones personalizadas para una directiva que no

se cumple, Host Checker no mostrar la pgina de correccin al usuario.
En cambio, el IVE mostrar la pgina de inicio de sesin pero no le
permitir al usuario tener acceso a ningn territorio, rol o recurso que
tenga la directiva que no se cumpli.
Despus de que inicien sesin:
(Solo en Windows) Durante una sesin, si el equipo de un usuario que

ejecuta Windows pasa a un estado de incumplimiento de los requisitos de
una directiva de Host Checker, aparecer un icono en la bandeja del
sistema junto con un mensaje emergente que informa al usuario acerca del
incumplimiento. El usuario podr hacer clic en el mensaje emergente para
ver la pgina de correccin.
(En Macintosh o Linux) Durante una sesin, si el equipo de un usuario que

ejecuta Macintosh o Linux pasa a un estado de incumplimiento con los
requisitos de una directiva de Host Checker, el IVE mostrar la pgina de
correccin para informarle al usuario acerca del no cumplimiento.
NOTA: Si el usuario oculta la pgina de correccin al configurarla como una

preferencia de usuario, slo podr continuar usando la puerta de enlace segura
si usted configura otros territorios y roles que no apliquen una directiva de Host
Checker.
Configuracin de la correccin general de Host Checker

Para especificar las acciones de correccin para una directiva de Host Checker:
2. Cree o habilite las directivas de Host Checker usando las instrucciones de
cualquiera de las siguientes secciones:

pgina 267
Habilitacin de directivas personalizadas del lado del servidor en la

pgina 296
305
3. Especifique las acciones de correccin que desee que Host Checker realice si el
equipo de un usuario no cumple con los requisitos de la directiva actual:
Enable Custom Instructions: Escriba las instrucciones que desee mostrar

al usuario en la pgina de correccin de Host Checker. Puede usar las
siguientes etiquetas de HTML para darle formato al texto y agregar vnculos
a recursos, como servidores de directivas o sitios Web: , , ,
 y <a href>. Por ejemplo:
No tiene los archivos de firmas ms recientes.
<a href="www.empresa.com">Haga clic aqu para descargar los archivos de
firmas ms recientes.</a>
NOTA: Para clientes de Windows, si incluye en estas instrucciones un vnculo a un
servidor de directivas protegido por el IVE, defina un tnel de acceso de

autenticacin previa. Para obtener ms informacin, consulte Especificacin de
las definiciones de los tneles de acceso de autenticacin previa de Host Checker
en la pgina 311.
Enable Custom Actions: Puede seleccionar una o ms directivas

alternativas que desee que Host Checker evale si el equipo de un usuario
no cumple con los requisitos de las directivas actuales. La directiva
alternativa debe ser una directiva de terceros que utilice un paquete J.E.D.I.
o una directiva de Secure Virtual Workspace. Por ejemplo, puede usar un
paquete J.E.D.I. para iniciar una aplicacin si el equipo del usuario no
cumple con los requisitos de la directiva actual. Seleccione la directiva
alternativa en la lista HC Policies y luego haga clic en Add.
Remediate: (Slo DLL de terceros) Puede seleccionar esta opcin para

realizar acciones correctivas a travs de la funcin API Remediate () en un
DLL J.E.D.I. de terceros.
NOTA: La caracterstica Remediate se proporciona principalmente para

compatibilidad con versiones anteriores. Recomendamos que en su lugar use los
IMC y los IMV, como se describe en La arquitectura TNC dentro de Host Checker
en la pgina 257.
Kill Processes: En cada lnea, introduzca el nombre de uno o ms procesos

que desee eliminar si el equipo del usuario no cumple con los requisitos de
la directiva. Puede incluir una suma de comprobaciones MD5 para el
proceso. (No puede usar caracteres comodn en el nombre del proceso.)
Por ejemplo:
keylogger.exe
MD5: 6A7DFAF12C3183B56C44E89B12DBEF56
306
Delete Files: Escriba los nombres de los archivos que desee eliminar si el
equipo del usuario no cumple con los requisitos de la directiva. (No puede
usar caracteres comodn en el nombre del archivo.) Escriba un nombre de
archivo por lnea. Por ejemplo:
c:\temp\bad-file.txt
/temp/bad-file.txt
Send reason strings: Seleccione esta opcin para mostrar un mensaje

a los usuarios (llamado una cadena de motivos) que Host Checker o un
comprobador de medicin de integridad (IMV) devuelve y explica los
motivos por los que el equipo cliente no cumple los requisitos de las
directivas de Host Checker. Esta opcin se aplica a reglas predefinidas,
reglas personalizadas y a IMV de terceros que usan extensiones en el
TNC SDK de Juniper Networks. Por ejemplo, un IMV de antivirus puede
mostrar la siguiente cadena de motivos:
La versin del producto antivirus es muy antigua. La antigedad de las
definiciones de virus no es aceptable.
NOTA: Al enviar cadenas de motivos, revela a los usuarios las comprobaciones que
el IMV realiza en el equipo cliente.

Actualizacin del complemento de evaluacin de la seguridad de puntos

finales
El complemento de evaluacin de la seguridad de puntos finales (ESAP, por sus
siglas en ingls) en el IVE comprueba si las aplicaciones de terceros en los puntos
finales cumplen con las reglas predefinidas que se configuran en una directiva de
Host Checker. (Consulte Bsqueda de aplicaciones de terceros usando reglas
predefinidas (slo en Windows) en la pgina 268.) Este complemento est incluido
en el paquete del software del sistema IVE.
Juniper Networks suele agregar al complemento mejoras, soluciones para
problemas conocidos y compatibilidad para aplicaciones de terceros. Las nuevas
versiones del complemento estn disponibles con independencia de las nuevas
versiones del paquete de software del sistema del IVE, y se publican con ms
frecuencia que ste. De ser necesario, puede actualizar el complemento en el IVE
sin tener que actualizar el paquete de software del sistema IVE.
Puede cargar hasta cuatro versiones del complemento al IVE, pero el IVE usa slo
una versin a la vez (llamada la versin activa). Si fuese necesario, puede volver a la
versin activa anterior del complemento.
307
Para actualizar el complemento de evaluacin de la seguridad de puntos finales:

1. Descargue el complemento de evaluacin de la seguridad de puntos finales
desde el Customer Support Center de Juniper Networks:
a.
Abra la siguiente pgina:

https://www.juniper.net/customers/csc/software/ive/
b.
Para tener acceso al Customer Support Center, introduzca un nombre y una

contrasea para la cuenta de Soporte de Juniper Networks.
c.
Haga clic en el vnculo ESAP.
d. Haga clic en el vnculo ESAP Download Page.

e.
Busque la versin de ESAP que necesita.
f.
Descargue el archivo comprimido del complemento a su equipo.

3. En la parte inferior de la pgina Host Checker bajo Manage Endpoint Security
Assessment Plug-In Versions:
a.
Si ha cargado anteriormente cuatro versiones del software componente,

debe borrar una de las versiones antes de que pueda cargar otra.
Seleccione la versin que desee borrar y haga clic en Delete.
b.
Si desea que el IVE comience a usar de forma activa el nuevo software

componente inmediatamente despus de cargarlo, seleccione la opcin
Set as active after upload.
c.
Haga clic en Browse, seleccione el archivo del complemento que desee

cargar al IVE y haga clic en OK.
d. Haga clic en Upload. Mientras el IVE carga y desencripta el archivo

comprimido del componente, aparecer el mensaje Loading... en la lista
de complementos bajo Manage Endpoint Security Assessment Plug-In
Versions. Si el IVE es un miembro de un clster, el IVE mostrar el mensaje
Loading... mientras el complemento se transfiere al resto de los nodos
del clster. Despus de que se instala el complemento, la fecha y la hora de
la instalacin aparecern en la lista de complementos.
308
e.
Si no selecciona la opcin Set as active after upload, active el

complemento que desee usar seleccionando la versin en la lista de
complementos y haciendo clic en Activate.
NOTA:
Si intenta activar una versin del complemento que no es compatible con

todas las reglas predefinidas ya configuradas en todas las directivas de
Host Checker, el IVE no permitir la activacin de esa versin del
complemento. Por ejemplo, si una directiva de Host Checker est configurada
para usar una regla predefinida para comprobar una versin del software
antivirus y usted intenta activar una versin del complemento que no es
compatible con esa versin del software antivirus en particular, el IVE no le
permitir activar esa versin del complemento. Para ver la lista de productos
admitidos para una versin del complemento en particular, haga clic en el
nmero de la versin del complemento bajo Manage Endpoint Security
Assessment Plug-In Versions.
Puede volver a una versin anterior del complemento despus de actualizar

a una versin posterior si selecciona la versin ms antigua como la versin
activa. Sin embargo, es posible que el regreso a la versin antigua no funcione
si modifica alguna directiva de Host Checker despus de actualizar a la ltima
versin. Se garantiza que el regreso a la versin anterior tendr xito slo si
las directivas no han cambiado.
Si actualiza el software del sistema IVE a una versin ms reciente,

o si importa un archivo de configuracin de usuario, la versin del
complemento actualmente activa no cambiar. Si desea usar una versin
diferente del complemento despus de actualizar o importar un archivo de
configuracin de usuario, debe activar esa versin del complemento de forma
manual.
Si el IVE ya tiene instaladas cuatro versiones del complemento cuando

actualiza el software del sistema del IVE a una versin ms reciente,
el IVE eliminar automticamente la versin ms antigua del complemento
e instalar, sin activarlo, el complemento incluido en el nuevo software del
sistema del IVE.
309
Definicin de los tneles de acceso de autenticacin previa de Host

Checker
Si sus directivas requieren que las reglas de Host Checker o los DLL J.E.D.I.
de terceros tengan acceso a un servidor de directivas (u otro recurso) para
comprobar el cumplimiento antes de que los usuarios se autentiquen, puede usar
uno de los siguientes mtodos para hacer que el recurso est disponible para los
clientes de Windows de Host Checker:
Implementar el servidor de directivas en un DMZ donde las reglas de Host

Checker o de los DLL J.E.D.I. de terceros puedan tener acceso al servidor
directamente en vez de pasar por el IVE: Esta implementacin es la solucin
ms simple, ya que no tiene que definir un tnel de acceso de autenticacin
previa de Host Checker a travs del IVE entre los clientes y el servidor de
directivas.
Implementar el servidor de directivas en una zona protegida detrs del IVE

(slo en Windows): Esta implementacin requiere que defina un tnel de
acceso de autenticacin previa. Un tnel de acceso de autenticacin previa
habilita las reglas de Host Checker o los DLL J.E.D.I. de terceros para obtener
acceso al servidor de directivas o a los recursos protegidos por el IVE antes de
que el IVE autentique a los usuarios. Para definir un tnel de acceso de
autenticacin previa, asocie una direccin (o nombre de host) de bucle
invertido y un puerto en el cliente con una direccin IP y un puerto en el
servidor de directivas. Agregue una o ms definiciones de tneles a un archivo
MANIFEST.HCIF y luego crguelo al IVE. Puede cargar mltiples archivos
MANIFEST.HCIF al IVE. Para todas las directivas de terceros habilitadas en un
territorio, Host Checker crea tneles para todas las definiciones de tneles en
todos los archivos MANIFEST.HCIF, siempre y cuando las definiciones sean
nicas. Para obtener instrucciones sobre la configuracin, consulte Carga de
un paquete de directivas de Host Checker al IVE en la pgina 296.
Mientras se ejecuta en un cliente de Windows, Host Checker busca una
conexin en cada direccin y puerto de bucle invertido que usted especifique
en las definiciones de los tneles. Las conexiones pueden tener su origen en
reglas integradas en Host Checker y de archivos J.E.D.I. DLL del lado del cliente
o del lado del servidor. Host Checker utiliza los tneles de acceso de
preautenticacin para remitir las conexiones hasta los servidores de directivas
del IVE o a otro recurso.
310
Figura 34: Host Checker crea un tnel desde un cliente a un servidor de directivas detrs
del IVE
NOTA: Los tneles de acceso de autenticacin previa de Host Checker son

compatibles slo con Windows.
Especificacin de las definiciones de los tneles de acceso de autenticacin previa de

Host Checker
Para clientes de Windows, puede definir un tnel de acceso de autenticacin previa
que habilite los mtodos de Host Checker o los DLL J.E.D.I. de terceros para obtener
acceso a un servidor de directivas (u otro recurso) protegido por el IVE antes de que
el usuario se autentique.
Una definicin para un tnel de acceso de autenticacin previa de Host Checker
configura el acceso a un servidor de directivas o a otro recurso. Cada definicin de
tnel consta de un par de direcciones IP y puertos: una direccin IP y un puerto de
bucle invertido en el cliente, y una direccin IP y un puerto en el servidor de
directivas.
Usted especifica una o ms definiciones de tneles en el archivo de definicin del
paquete de directivas de Host Checker. El archivo de definicin del paquete,
que debe tener el nombre MANIFEST.HCIF, detalla el nombre de un DLL de interfaz,
las directivas del Host Checker definidas en el DLL y las definiciones de los tneles
de acceso de autenticacin previa. Tenga en cuenta que si no incluye directivas en
su paquete, el Host Checker simplemente aplicar las directivas que el paquete
haya ejecutado en el cliente. Si efectivamente declara directivas a travs de este
archivo, estarn disponibles mediante la consola de administracin donde puede
implementarlas a nivel de directivas de territorio, rol o recurso.
Dentro del archivo MANIFEST.HCIF, debe incluir una definicin por lnea, con una
lnea en blanco entre cada definicin, usando el siguiente formato:
HCIF-Main: <DLLName>
HCIF-Policy: <PolicyName>
HCIF-IVE-Tunnel: <client-loopback>:port
<policy-server>:port
Definicin de los tneles de acceso de autenticacin previa de Host Checker 311
donde:
<DLLName> es el nombre del DLL de interfaz, como myPestPatrol.dll. Incluso si no
usa un DLL de interfaz, debe incluir un DLL falso como un archivo marcador de
posicin que tenga este nombre exacto.
<PolicyName> es el nombre de una directiva definida en el DLL, como myFileCheck.
Puede definir directivas mltiples usando la declaracin HCIF-Policy para cada
directiva. Si no usa un DLL de interfaz, puede usar cualquier nombre de directiva

como marcador de posicin.
La sintaxis de una definicin de tnel de acceso de Host Checker es:
HCIF-IVE-Tunnel: <client-loopback>:port
<policy-server>:port
donde:
<client-loopback> es una direccin de bucle invertido que comienza con 127.
y toma cualquiera de las siguientes formas:
Una direccin IP y un puerto que toma la forma 127.*.*.*:port. Para evitar

conflictos con JSAM, no utilice 127.0.0.1 con el puerto 80, pero s puede usar
127.0.0.1 con otros puertos. Por ejemplo: 127.0.0.1:3220
Un nombre de host que resuelva a una direccin de bucle invertido que

comience con 127. Puede usar un archivo de host local en cada equipo cliente
o un servidor DNS para resolver las direcciones de bucle invertido.
Un nombre de archivo que no resuelve una direccin de bucle invertido o que

resuelve una direccin de un bucle no invertido. En estos casos, Host Checker
ubica una direccin de bucle invertido y actualiza el archivo de host local en el
cliente con la asignacin. Tenga en cuenta que el usuario debe tener privilegios
de administrador para que Host Checker pueda modificar el archivo de host
local. Si el usuario no tiene privilegios de administrador, Host Checker no podr
actualizar el archivo de host y no podr abrir el tnel de acceso de
autenticacin previa. En ese caso, Host Checker registra un error.
<policy-server> es la direccin IP o el nombre del host del servidor de directivas
back-end. El IVE resuelve el nombre del host que se especifique.
Por ejemplo, en la siguiente definicin de tnel, 127.0.0.1:3220 es la direccin del

bucle invertido y el puerto del cliente y mysygate.company.com:5500 es el nombre
del servidor y del puerto de las directivas:
HCIF-IVE-Tunnel: 127.0.0.1:3220
mysygate.company.com:5500
O bien, puede usar un nombre de host para el cliente, como en este ejemplo:
HCIF-IVE-Tunnel: mysygate.company.com:3220
312
mysygate.company.com:5500
Recuerde este consejo cuando especifique las definiciones de los tneles:
Debe incluir una lnea en blanco entre cada lnea del archivo MANIFEST.HCIF
y puede usar un punto y coma al comienzo de una lnea para indicar un
comentario. Por ejemplo:
HCIF-Main: myPestPatrol.dll
HCIF-Policy: myFileCheck
HCIF-Policy: myPortCheck
; Tunnel definitions
HCIF-IVE-Tunnel: 127.0.0.1:3220 mysygate.company.com:5500
HCIF-IVE-Tunnel: 127.1.1.1:3220 mysygate2.company.com:5500
HCIF-IVE-Tunnel: mysygate.company.com:3220 mysygate3.company.com:5500
Los tneles de acceso de autenticacin previa de Host Checker son compatibles

slo con Windows.
Si <client-loopback> es una direccin sin bucle invertido, entonces Host Checker

no podr abrir el tnel de acceso de autenticacin previa y, en cambio,
registrar un error.
Si usa una direccin de bucle invertido distinta a 127.0.0.1 (por ejemplo,

127.0.0.2 y superiores), los clientes que usan Windows XP Service Pack 2
deben instalar el parche urgente XP SP2. Consulte:
http://support.microsoft.com/default.aspx?scid=kb;en-us;884020
NOTA: Si implementa un DLL de terceros del lado cliente o del lado del servidor,
recuerde lo siguiente:
Descomprima el paquete del DLL de terceros del lado del servidor y agregue
las definiciones de tneles al archivo MANIFEST.HCIF que contiene las
directivas para el DLL de terceros. (El DLL debe usar la misma direccin y
puerto <client-loopback> o el nombre del servidor que usted especifique en el
archivo MANIFEST.HCIF.)
Debido a que un tnel de acceso de autenticacin previa est abierto slo

cuando Host Checker se est ejecutando, un DLL de terceros puede tener
acceso a su servidor de directivas protegido por el IVE slo mientras Host
Checker se est ejecutando.
Si un DLL de terceros usa HTTPS para conectarse a su servidor de directivas a

travs de un nombre de host que se conecta adecuadamente a la direccin de
bucle invertido, no aparecern advertencias del certificado de servidor.
Sin embargo, si los DLL de terceros se conectan explcitamente a travs de
una direccin de bucle invertido, entonces s aparecern advertencias del
certificado de servidor porque el nombre del host del certificado no coincide
con la direccin de bucle invertido. (El desarrollador del DLL de terceros
puede configurar el DLL para que no haga caso a estas advertencias.)
Definicin de los tneles de acceso de autenticacin previa de Host Checker 313
Especificacin de las opciones generales de Host Checker

Puede especificar las opciones globales para el Host Checker que se aplican a
cualquier usuario que requiera que una directiva de autenticacin, una regla de
asignacin o una directiva de recursos del Host Checker.
Para especificar las opciones generales del Host Checker:
2. En Options:
En el campo Perform check every X minutes, especifique el intervalo en el

que desee que Host Checker realice la evaluacin de directivas en el equipo
cliente. Si el equipo cliente no cumple con los requisitos de las directivas de
Host Checker requeridas por una directiva de rol o de recursos, entonces el
IVE negar la solicitud del usuario asociado.
Por ejemplo, puede solicitar que un usuario ejecute una aplicacin de
antivirus de terceros para asignar un Rol A, que habilita las conexiones de
red desde una ubicacin externa. Si el equipo cliente del usuario utiliza la
aplicacin antivirus exigida en el momento de iniciar sesin en el IVE,
el usuario queda asignado al rol A y disfrutar de acceso a todas las
caractersticas habilitadas para el rol A. Sin embargo, si la aplicacin
antivirus deja de funcionar duarnte la sesin del usuario, la prxima vez
que se ejecute Host Checker, el usuario no cumplir los requisitos de
seguridad correspondientes al rol A, y por lo tanto perder todos los
privilegios de acceso asignados al rol A.
Cuando un usuario final inicia sesin en un territorio, Host Checker realiza
una comprobacin de directivas inicial, independiente de si la directiva se
aplica a nivel de Territorio, Rol o Recurso. La comprobacin de directivas
inicial establece un tiempo de inicio. Host Checker evala las directivas con
la frecuencia configurada en la opcin Perform check every X minutes
comenzando la cuenta en la comprobacin de directivas inicial. Aunque los
ajustes de frecuencia estn configurados de forma global para todas las
comprobaciones de directivas de Host Checker, no estn sincronizados
para todos los usuarios finales conectados al IVE. Cada cliente realiza sus
propias comprobaciones de directivas iniciales y comienza su propia
cuenta regresiva.
Si configura la directiva de autenticacin dentro de un territorio donde Host
Checker aplica sus directivas (en lugar de instalarlas), solamente se
aplicarn durante la fase de autenticacin previa. Despus de que un
usuario final inicia sesin y durante la duracin de la sesin del usuario,
ninguna de las comprobaciones de directivas del Host Checker afectar al
acceso al territorio, lo que significa que no es posible terminar una sesin
de usuario final de un territorio una vez que el usuario final se ha
autenticado satisfactoriamente en ese territorio.
314
Si configura una restriccin de rol donde Host Checker aplica directivas,

la aplicacin tendr lugar slo despus de la autenticacin durante la
asignacin de rol. Las restricciones de rol se aplican de forma peridica
durante la sesin del usuario final a un intervalo especificado usando el
ajuste de frecuencia de Host Checker. Si el usuario final pasa
satisfactoriamente la evaluacin de Host Checker durante la asignacin de
roles pero ms tarde deja de cumplir los requisitos durante un tiempo
despus de iniciar sesin, ese usuario especfico perder sus derechos a ese
rol. Si el usuario final pierde los derechos a todos los roles disponibles
debido a la evaluacin de directivas de Host Checker, se desconectar la
sesin del usuario final.
Si configura una regla de directivas basada en recursos donde Host Checker
aplica directivas, dichas directivas se aplicarn cuando el usuario final
intente tener acceso al servidor backend o de recursos. Para los recursos de
la web, la evaluacin de Host Checker ocurre en cada solicitud.
Para recursos SAM y STA, la evaluacin de Host Checker ocurre cuando
el IVE activa la conexin con el servidor o la aplicacin backend. Para el
acceso de Network Connect, la evaluacin de Host Checker ocurre cuando
el IVE inicia Network Connect. Las conexiones de aplicaciones existentes
que se ejecuten a travs de SAM, conexin Telnet/SSH y conexiones
Network Connect no se vern afectadas por ms evaluaciones de Host
Checker. Slo se vern afectadas las nuevas solicitudes de la web,
las nuevas aplicaciones a travs de SAM, las nuevas instancias de STA y
el inicio de Network Connect. La evaluacin de Host Checker se basa en
la comprobacin de directivas ms reciente que ocurri hace X minutos.
Por ejemplo, si configura el ajuste de frecuencia a Perform check every
five minutes y el usuario final intenta tener acceso a un recurso protegido
o intenta iniciar Network Connect cuatro minutos despus de la ltima
comprobacin, entonces la evaluacin de directivas se basa en el estado
del equipo cliente hace cuatro minutos, no al momento que el usuario final
intent tener acceso al recurso.
NOTA: Si introduce un valor cero, Host Checker slo se ejecuta en el equipo cliente
cuando el usuario inicia sesin por primera vez en el IVE.
Para la opcin Client-side process, login inactivity timeout, especifique

un intervalo para controlar el tiempo de espera en las siguientes
situaciones:
Si el usuario sale de la pgina de inicio de sesin del IVE despus de

que Host Checker se comienza a ejecutar pero antes de que inicie
sesin en el IVE, Host Checker continuar ejecutndose en el equipo
del usuario por el tiempo que usted especifique.
Si el usuario est descargando Host Checker en una conexin lenta,

aumente el intervalo para permitirle suficiente tiempo para que se
complete la descarga.
315
Seleccione Perform dynamic policy reevaluation para actualizar

automticamente los roles de usuarios individuales permitiendo la
evaluacin de directivas dinmicas para Host Checker. Host Checker puede
activar el IVE para que evale las directivas de recursos cada vez que el
estado de Host Checker de un usuario cambia. (Si no selecciona esta
opcin, el IVE no evaluar las directivas de recursos pero s evaluar la
directiva de autenticacin, las reglas de asignacin de recursos y las
restricciones de roles cada vez que el estado de Host Checker del usuario
cambie.) Para obtener ms informacin, consulte Evaluacin dinmica de
directivas en la pgina 57.
Especificacin de las opciones de instalacin de Host Checker

Si implementa alguna directiva a nivel de directivas de territorio, rol o recurso que
requiera del Host Checker, debe proporcionar un mecanismo mediante el cual el
IVE o el usuario puedan instalar Host Checker en el equipo cliente. De lo contrario,
cuando el IVE evale la directiva del Host Checker, el equipo del usuario no pasar
la evaluacin debido a que el cliente del Host Checker no est disponible para
devolver un estado vlido.
Puede usar dos mtodos para instalar Host Checker en el sistema de un usuario:
El IVE instala automticamente Host Checker: Habilite la instalacin

automtica a travs de la pgina Users/Administrators > User
Realms/Administrator Realms > [Territorio] > Authentication Policy > Host
Checker de la consola de administracin. (Para obtener instrucciones, consulte
Configuracin de las restricciones de Host Checker en la pgina 301.) Cuando
lo hace, el IVE evala la opcin a nivel de territorio cuando el usuario abre la
pgina de inicio de sesin de IVE y luego determina si la versin actual del Host
Checker est instalada en el equipo del usuario. Si el Host Checker no est
instalado, el IVE intentar instalarlo usando un mtodo de entrega de ActiveX
o Java.
Cuando un usuario de Windows inicia sesin en el IVE, ste intenta instalar
un control ActiveX en el sistema del usuario. Si el IVE instala correctamente
el control ActiveX, el control administra la instalacin del programa de
Host Checker.
Si el IVE no puede instalar el control ActiveX debido a que ste est desactivado
en el sistema del usuario, el IVE intentar instalar Host Checker usando Java.
Para hosts Macintosh y Linux, el IVE siempre usa el mtodo de entrega de Java.
El mtodo de entrega de Java requiere slo privilegios de usuario, pero Java
debe estar habilitado en el sistema del usuario. Para el explorador Firefox en
Linux, deben estar instalados el complemento y el tiempo de ejecucin de Java.
If y
316
NOTA: Debido a ciertas anomalas con JVM, es posible que Host Checker no se
instale y aparezca un mensaje de error. Si esto ocurre, haga clic en Try Again.
La instalacin siguiente debera ser satisfactoria.
Si el IVE no puede usar el mtodo de entrega de Java porque ste no est

habilitado en el sistema del usuario, el IVE mostrar un mensaje de error que
seala que no hay acceso.
NOTA: Si Microsoft Vista se est ejecutando en el sistema del usuario,
ste debe hacer clic en el vnculo de instalacin que aparece durante el proceso
de instalacin para continuar la instalacin la configuracin del cliente y
Host Checker. En todos los otros sistemas operativos Microsoft, el cliente de
configuracin y Host Checker se instalan automticamente.
El usuario o administrador instala de forma manual Host Checker (slo en

Windows): Descargue el instalador de Host Checker desde la pgina
Maintenance > System > Installers de la consola de administracin y selo
de forma manual para instalar el Host Checker en el sistema del usuario.
NOTA: Para instalar Host Checker, los usuarios deben tener los privilegios
adecuados, como se describe en el manual Client-side Changes Guide en el
Customer Support Center de Juniper Networks. Si el usuario no cuenta con estos
privilegios, use el Servicio de instalador Juniper disponible en la pgina
Maintenance > System > Installers de la consola de administracin para omitir
este requisito.
Eliminacin del control ActiveX de Juniper

Si Microsoft Windows XP se est ejecutando en el sistema del usuario y usted desea
eliminar el control ActiveX de configuracin de Juniper:
1. Abra Internet Explorer.
2. Haga clic en el botn Tools y luego en Internet Options.
3. Haga clic en Settings, luego en View Objects.
4. Seleccione JuniperSetupSP1 y presione Delete.
Si Microsoft Vista se est ejecutando en el sistema del usuario y usted desea
eliminar el control ActiveX de configuracin de Juniper:
1. Abra Internet Explorer.
2. Haga clic en el botn Tools y luego en Manage Add-ons.
3. En la lista Show, haga clic en Downloaded ActiveX controls para mostrar todos
los controles ActiveX.
4. Haga clic en JuniperSetupClient y luego en Delete.
317
Uso de Host Checker con la funcin de inicio de sesin automtica de GINA

Al usar Host Checker junto con la funcin del mdulo de Identificacin y
Autorizacin Grfica de Windows (GINA) para Network Connect se requiere que
ponga especial atencin al tipo, nivel y cantidad de elementos que se comprobarn
en el cliente antes de conceder o denegar acceso al IVE. Debido a que la funcin de
inicio de sesin de GINA se lleva a cabo antes de que Windows se haya iniciado
completamente en el cliente y, por lo tanto, antes de que el perfil de usuario de
Windows se cree, le recomendamos que adopte las siguientes prcticas cuando
cree directivas de Host Checker que usar en los clientes de Windows con la
funcin de inicio de sesin de GINA:
Puede comprobar los procesos a nivel de sistema tanto en la aplicacin en el

territorio como la evaluacin del territorio. Puede comprobar procesos a nivel
de usuario slo en la evaluacin de territorio.
Si tiene procesos a nivel de usuario en evaluacin de territorio, cree un rol de

Network Connect distinto que presente slo comprobaciones de directivas a
nivel de sistema que se puedan llevar a cabo antes de que Windows se haya
iniciado completamente en el cliente. Asegrese de que este rol le permite
conectividad a la infraestructura de Windows Domain en su red segura para
proporcionar, por ejemplo, asignacin de unidades, actualizaciones de software
y directivas de grupo. Asignar sus usuarios a este rol permite que la
autenticacin GINA se complete. Este rol se suma al rol final que quiere que se
asigne al usuario.
Host Checker debe estar instalado para el usuario del dominio que GINA de
Network Connect usa para la conexin. De lo contrario, este usuario de
dominio no puede usar GINA para iniciar sesin si se requiere de Host Checker
NOTA: No se admiten sesiones mltiples de Host Checker con GINA en el mismo

equipo.
Para obtener ms informacin acerca de la funcin de inicio de sesin automtica

de GINA, consulte Inicio de sesin automtico de Network Connect mediante
GINA en la pgina 662.
Instalacin automtica de Host Checker

Para instalar Host Checker de forma automtica en los equipos cliente:
2. En Options, seleccione Auto-upgrade Host Checker si desea que el IVE
descargue automticamente la aplicacin del Host Checker a un equipo cliente
cuando la versin de Host Checker presente en el IVE sea ms reciente que la
versin instalada en el cliente. A continuacin encontrar un resumen de lo que
sucede cuando la opcin Auto-upgrade Host Checker se selecciona o no:
318
Si Host Checker no est instalado en el equipo cliente, Host Checker se

instalar automticamente sin importar si la opcin Auto-upgrade Host
Checker se ha seleccionado o no.
Si la opcin Auto-upgrade Host Checker est seleccionada y est instalada

una versin previa del Host Checker, el Host Checker se actualizar en el
cliente de forma automtica.
Si la opcin Auto-upgrade Host Checker no est seleccionada y est

instalada una versin previa del Host Checker, el Host Checker no se
actualizar en el cliente de forma automtica.
Si selecciona la opcin Auto-upgrade Host Checker, tenga en cuenta

lo siguiente:
En Windows, el usuario debe tener privilegios de administrador para

que el IVE instale automticamente la aplicacin del Host Checker en
el cliente. Para obtener ms informacin, consulte el manual Client-side
Changes Guide en el Customer Support Center de Juniper Networks.
Si un usuario desinstala Host Checker y luego inicia sesin en un IVE

para el cual la opcin Auto-upgrade Host Checker no est habilitada,
el usuario no tendr ms acceso al Host Checker.
Instale Host Checker de forma manual

La pgina Maintenance > System > Installers de la consola de administracin
proporciona distintas aplicaciones y un servicio para descargas. Puede descargar
una aplicacin o servicio como un archivo ejecutable de Windows, el que le
permitir:
Distribuir el archivo a los equipos cliente usando las herramientas de

distribucin de software. Esta opcin le permite instalar una aplicacin
o servicio en los equipos del cliente cuyos usuarios no tienen privilegios de
administrador, lo que es necesario para instalar la aplicacin o el servicio.
Ponga el ejecutable en un repositorio seguro para que los usuarios con los
derechos de administrador apropiados puedan descargar e instalar la versin
correcta.
Descargue y ejecute un script que recupere de forma automtica la versin

adecuada del instalador desde un servidor FTP.
Uso de registros de Host Checker

Use la ficha System > Log/Monitoring > Client Logs > Settings para permitir la
creacin de registro del lado cliente para el Host Checker. Cuando habilite esta
opcin, el IVE escribe un registro del lado cliente para cualquier cliente que utilice
Host Checker. El IVE adjunta el archivo de registro cada vez que se invoca la
caracterstica durante posteriores sesiones del usuario. Esta caracterstica es til
cuando se trabaja con equipos de apoyo para solucionar problemas con la
caracterstica respectiva.
Uso de registros de Host Checker 319
NOTA: Debido a que estas configuraciones son globales, el IVE escribe un archivo
de registro para todos los clientes que usan la caracterstica para la que usted
habilit la creacin de registros del lado cliente. Adems, el IVE no elimina los
registros del lado cliente. Los usuarios deben eliminar los registros de forma
manual desde sus clientes. Para obtener ms informacin acerca del lugar donde
IVE instala los archivos de registro, consulte el manual Client-side Changes Guide en
el Customer Support Center de Juniper Networks.
Para especificar los ajustes globales de la creacin de registro del lado cliente:
1. En la consola de administracin, seleccione System > Log/Monitoring >
Client Log > Settings.
2. Seleccione las caractersticas deseadas para las cuales el IVE escribe los
registros del lado cliente.
3. Haga clic en Save Changes para guardar estos ajustes de forma global.
NOTA: Para los sistemas IVE 5.x nuevos, todas las opciones estn inhabilitadas de
forma predeterminada. Si actualiza el IVE de una configuracin 3.x, todas las

opciones de registro estn habilitadas de forma predeterminada.
Configuracin de Host Checker para Windows Mobile

Puede configurar Host Checker para que aplique las directivas para dispositivos
de mano, como PDA y telfonos inteligentes que ejecutan el sistema operativo
Windows Mobile.
NOTA: Actualmente slo se admite Windows Mobile en sus versiones 5 y 6.
Las reglas de Host Checker incluyen comprobaciones para puertos, procesos,

archivos, claves de registro, versiones del sistema operativo y certificados en el
dispositivo de mano. Tambin puede cargar y usar IMC de terceros instalados para
realizar las comprobaciones especficas de cada proveedor. Una vez creada la
directiva, Host Checker se implementa automticamente cuando el usuario se
conecta a la puerta de enlace del IVE.
Host Checker no requiere de ninguna configuracin en el dispositivo de mano.
Cuando el servidor determina que el dispositivo no cumple con la directiva,
Host Checker muestra un icono de notificacin ( ) en la bandeja del sistema.
Al hacer clic en este icono, se abre una pgina del explorador que contiene los
motivos por los que no se cumple la directiva y las instrucciones de correccin.
320
Configuracin de Host Checker para Windows Mobile
Host Checker permanece en el dispositivo de mano y no necesita descargarse cada

vez que el usuario se conecta a la puerta de enlace. Cuando la puerta de enlace se
actualiza a una versin ms reciente de Host Checker, el dispositivo de mano se
actualiza automticamente la prxima vez que el usuario se conecta a la puerta de
enlace. Para eliminar Host Checker del dispositivo de mano, utilice el subprograma
Remove Programs en el panel Settings del dispositivo.
Las directivas de Host Checker para Windows Mobile se configuran a travs de la
pgina Authentication > Endpoint Security > Host Checker de la consola de
administracin. Consulte Especificacin de requisitos personalizados usando
reglas personalizadas en la pgina 276 para obtener instrucciones acerca de la
configuracin de estas directivas.
Uso de excepciones Proxy

Los clientes del IVE analizan la lista de excepciones proxy de Internet Explorer.
Admitimos la mayora de las excepciones que admite Internet Explorer, con las
siguientes limitaciones:
Para la excepcin de la direccin IP, admitimos n.*.*.*, n.n.*.*, n.n.n.*. Por

ejemplo, 10.*.*.*, 10.10.*.*, 10.10.10.* o 10.10.10.10. No admitimos 10*
o 10.*.10.* incluso si Internet Explorer las admite.
Para la expresin de cadena, admitimos cadenas especficas, como

my.company.net o un comodn al comienzo de la cadena, por ejemplo,
*.my.company.net o *.company.net. No admitimos *.company.*, *.company*,
*.company. *.com, *.net *.com, etc.
Habilitacin de Secure Virtual Workspace

Secure Virtual Workspace garantiza la integridad de los datos de sesin del IVE en
un equipo cliente que ejecute Windows 2000 o Windows XP mediante la creacin
de espacios de trabajo protegidos en el escritorio del cliente. Al habilitar Secure
Virtual Workspace, se asegura de que cualquier usuario final que inicie sesin en la
intranet deba realizar todas las interacciones dentro de un entorno completamente
protegido. Si el producto de las aplicaciones e interacciones son datos que se
escriben en el disco o en el registro, Secure Virtual Workspace encripta esa
informacin. Cuando se finaliza la sesin del IVE, Secure Virtual Workspace
destruye toda la informacin relativa a l mismo o a la sesin, de forma
predeterminada. Sin embargo, puede configurar el estado de este tipo de
informacin para ajustarse a sus necesidades especiales. Por ejemplo, puede
permitir que los datos se mantengan a travs de las sesiones de Secure Virtual
Workspace.
El IVE sigue los estndares de limpieza y saneamiento DoD 5220.M para la
eliminacin segura de datos de Secure Virtual Workspace almacenados en el disco
duro.
Uso de excepciones Proxy 321
Secure Virtual Workspace:
Elimina los datos y recursos del espacio de trabajo cuando finaliza la sesin.
Garantiza que ningn objeto del ayudante del explorador se quede enganchado
en un proceso de Internet Explorer antes de iniciarlo.
Impide que los productos busquen en el escritorio para interceptar el trfico de

la web e indexar los contenidos.
Introduce todas sus configuraciones y operaciones de tiempo de ejecucin en

un registro del IVE.
El IVE alberga el binario del Secure Virtual Workspace, que descarga el sistema
cliente desde el IVE cada vez que el usuario se conecta. Secure Virtual Workspace
crea un sistema de archivos virtuales y un registro virtual en el cliente.
Usted define y configura las aplicaciones que pueden ejecutarse dentro de Secure
Virtual Workspace. Por ejemplo, puede configurar los siguientes tipos de
configuraciones de aplicacin:
Restringir el inicio de Internet Explorer y Outlook a Secure Virtual Workspace.
Restringir la instalacin y ejecucin de aplicaciones dentro de una sesin de

Secure Virtual Workspace. Esto garantiza que los binarios de las aplicaciones se
eliminarn por completo desde el equipo cliente despus de que la sesin
finalice.
NOTA: Secure Virtual Workspace no funciona cuando Sametime 7.5 de IBM se est
ejecutando en el escritorio predeterminado. Sametime 7.5 de IBM cambia los

usuarios automticamente al escritorio predeterminado desde el espacio de
trabajo virtual.
Caractersticas de Secure Virtual Workspace

La implementacin del IVE de Secure Virtual Workspace:
322
No requiere que el usuario de escritorio cliente tenga privilegios de

administrador para descargar y ejecutar Secure Virtual Workspace.
Admite el uso de Secure Virtual Workspace junto con Host Checker, que se
iniciar automticamente dentro del espacio de trabajo seguro.
Proporciona Secure Virtual Workspace como un mdulo J.E.D.I., para permitirle

crear directivas de Secure Virtual Workspace a nivel de territorio o rol del
usuario.
Restricciones y ajustes predeterminados de Secure Virtual Workspace

Secure Virtual Workspace impone ciertas restricciones en su uso y establece
opciones predeterminadas que se pueden modificar.
SVW no admite Cache Cleaner.
De forma predeterminada, se permite que un navegador especfico para la

plataforma se ejecute en SVW, a menos que el administrador lo restrinja
explcitamente.
El IVE no permite aplicaciones de software que actualizan las entradas de

registro HKLM en la instalacin para funcionar dentro del SVW.
El IVE no admite que las aplicaciones JSAM estndar Outlook y NetBIOS

busquen archivos a travs de SVW, ya que esas aplicaciones requieren cambios
en la clave de registro. Sin embargo, el IVE admite las aplicaciones JSAM
estndares Citrix y Lotus Notes a travs de SVW.
De forma predeterminada, el IVE no permite que algunas aplicaciones que se

ejecutan en SVW tengan acceso a dispositivos de almacenamiento externo o de
impresin. Puede permitir acceso a estos dispositivos en un territorio o rol,
si fuera necesario.
De forma predeterminada, los usuarios finales no pueden tener acceso a

recursos compartidos de red, a menos que configure el acceso a los recursos
compartidos de red a travs de una directiva de SVW.
Si los usuarios finales usan cortafuegos u otras aplicaciones que se ejecutan en

el espacio kernel, podran experimentar problemas al intentar descargar los
componentes clientes del IVE en SVW. Las aplicaciones administrativas de bajo
nivel pueden mostrar cuadros de mensaje que requieran la interaccin del
usuario. Si configura la opcin para permitir el cambio al escritorio real o
predeterminado, el usuario podra ignorar los cuadros de mensaje. Si la opcin
de cambio est inhabilitada, los usuarios no podrn solucionar el problema.
Secure Virtual Workspace no admite aplicaciones de 16 bits.
Es posible que algunos accesos directos del teclado de Windows no funcionen

bien dentro de una sesin de SVW.
Para abrir el administrador de tareas de Windows desde el SVW, no es posible

utilizar el acceso directo de teclado estndar (Ctrl+Alt+Supr), sino que deber
hacer clic con el botn derecho en la barra de tareas de Windows, que suele
estar en la parte inferior de la pantalla salvo que se cambie de posicin,
para abrir un men desplegable donde se puede seleccionar la opcin Task
Manager.
Si configura el intervalo de actualizacin de estado de Host Checker en un valor

de cero (0), Host Checker realizar la comprobacin de estado una vez y luego
terminar. Si Host Checker termina, SVW tambin lo hace. Como resultado,
el usuario final no es capaz de iniciar una sesin de SVW. Configure el intervalo
de actualizacin de estado de Host Checker a un valor distinto de cero.
Habilitacin de Secure Virtual Workspace 323
SVW slo busca unidades de sistema de archivos cuando el usuario inicia

su sesin por primera vez. Si el usuario inicia una sesin y luego agrega una
unidad (como una unidad USB), no podr tener acceso a la unidad durante
esa sesin.
Configuracin de Secure Virtual Workspace

Puede configurar Secure Virtual Workspace dentro de un contexto de un directiva
de Host Checker y todas las directivas de Secure Virtual Workspace que defina
aparecern en la lista Authentication > Endpoint Security > Secure Virtual
Workspace.
NOTA: Debido a que los datos de la sesin Secure Virtual Workspace se almacenan
en el escritorio real del usuario final, debe implementar la caracterstica de

persistencia slo si cada uno de los usuarios finales usa siempre el mismo equipo
cliente.
NOTA: No se han tomado precauciones para asegurar que no pueda configurar una
asignacin de URL de inicio de sesin a ms de un territorio configurado con una

directiva de SVW. Si configura asignaciones mltiples a ms de un territorio, los
resultados son impredecibles. Debe configurar explcitamente el escritorio virtual
seguro para permitir que slo una directiva de SVW se evale en el usuario final.
Definicin de los permisos de Secure Virtual Workspace

Puede especificar a cules dispositivos y recursos el usuario final puede tener
acceso cuando usa Secure Virtual Workspace.
Para definir una directiva de permisos nueva de Secure Virtual Workspace:
Security > Secure Virtual Workspace.
2. Haga clic en New Secure Virtual Workspace Policy.
3. Introduzca un nombre para la directiva.
4. En Permissions, marque las casillas de verificacin correspondientes para los
elementos que desee permitir:
324
Printers: Seleccione esta opcin para permitir el acceso del usuario final a
las impresoras de red.
Restricted View of Files: Cuando est establecida la opcin Restricted

View, solamente estarn disponibles en el SVW los directorios Documents
and Settings, Program Files y las carpetas del sistema de Windows dentro
de la unidad de disco del sistema, que suele ser c:.
NOTA: Si se ha establecido la opcin Restricted View of Files y los usuarios finales

tienen configuradas unidades de disco con particiones, no podrn acceder a las
aplicaciones ni a los archivos que residan en otras unidades distintas a la del
sistema (c:). Si permite que los usuarios finales realicen particiones de unidades,
no debera usar la vista restringida.
Removable Drives: Seleccinela para permitir que los usuarios finales

obtengan acceso a las unidades extrables en el equipo cliente del
usuario final.
Si un usuario final instala un dispositivo de almacenamiento extrable con
USB, podra experimentar los dos comportamientos siguientes,
dependiendo de cmo est configurada la opcin:
Si el usuario conecta el dispositivo USB antes de iniciar una sesin

SVW, el dispositivo aparecer como un disco duro fijo y el usuario no
podr leer ni escribir en el dispositivo durante una sesin de SVW,
incluso si ha configurado la opcin Removable Drives.
Si el usuario conecta el dispositivo USB despus de iniciar sesin en

SVW, el dispositivo aparecer como una unidad extrable y el usuario
podr tener acceso a l, si es que se ha configurado la opcin
Removable Drives al configurar SVW.
Network Share Access: Seleccione esta opcin para permitir el acceso del
usuario final a las unidades compartidas de red.
Switch to Real Desktop: Seleccinela para permitir que el usuario alterne

entre Secure Virtual Workspace y el escritorio cliente del usuario final.
Desktop Persistence: Seleccione esta opcin para permitir que los usuarios
finales mantengan Secure Virtual Workspace a travs de las sesiones de los
clientes slo en los sistemas de archivo NTFS.
NOTA:
La persistencia y el cambio de escritorio no se admiten en sistemas de

archivos FAT16 o FAT32.
Si selecciona esta opcin, tenga en cuenta que si hay varios usuarios usando
la misma contrasea para encriptar su espacio de trabajo SVW en el mismo
host, podran tener acceso al almacenamiento de datos persistente protegido
por esa contrasea esttica. Recomendamos que los usuarios usen
contraseas fuertes cuando aseguren el almacenamiento de datos
persistentes en SVW en sistemas de usuarios mltiples.
Virtual File Execution: Seleccinela para permitir que aplicaciones de

archivos virtualizadas se ejecuten en un entorno de Secure Virtual
Workspace. De forma predeterminada, se encriptan los archivos
ejecutables que se descargan dentro de Secure Virtual Workspace y se
impide que se ejecuten. Al seleccionar esta opcin se permite que los
archivos ejecutables se descarguen sin encriptarlos.
5. Contine para definir la directiva o haga clic en Save Changes.
Definicin de una directiva para aplicacin de Secure Virtual Workspace

Puede especificar las aplicaciones que el usuario final puede instalar o ejecutar
cuando usa Secure Virtual Workspace.
Para definir una directiva de aplicaciones nueva de Secure Virtual Workspace:
1. En la consola de administracin, elija Authentication > Endpoint Security >
Secure Virtual Workspace.
2. Haga clic en New Secure Virtual Workspace Policy o en el nombre con el
hipervnculo de una directiva de Secure Virtual Workspace existente.
4. Bajo Applications, seleccione las casillas de verificacin para los tipos de
aplicaciones que desee habilitar:
326
Control panel: Seleccinela para permitir que el usuario final tenga acceso
al panel de control de Windows dentro de Secure Virtual Workspace.
Run menu: Seleccinela para permitir que el usuario final tenga acceso
al men de ejecucin de Windows dentro de Secure Virtual Workspace.
Registry editor: Seleccinela para permitir que el usuario final tenga

acceso al editor de registro (regedt32.exe) de Windows dentro de Secure
Virtual Workspace.
Task manager: Seleccinela para permitir que el usuario final tenga acceso
al Administrador de tareas (taskmgr.exe) y a los procesos del sistema de
Windows dentro de Secure Virtual Workspace.
Command window: Seleccinela para permitir que el usuario final tenga

acceso a la ventana de Comandos (cmd.exe) de Windows y ejecute
comandos dentro de Secure Virtual Workspace.
Custom applications: Puede identificar aplicaciones personalizadas que

el usuario final puede ejecutar cuando est en Secure Virtual Workspace.
Por ejemplo, puede incluir aplicaciones internas, exploradores no
predeterminados y otros tipos de aplicaciones. Introduzca una aplicacin,
con la extensin .exe, por lnea en el cuadro de texto multilineal. Tambin
puede usar el comodn * para una clase completa de aplicaciones y puede
incluir un valor hash MD5 despus del nombre del archivo ejecutable y una
coma, telnet.exe,0414ea8.
Applications to deny: Puede identificar las aplicaciones que desee

restringir para que no las utilicen los usuarios finales de Secure Virtual
Workspace. Introduzca una aplicacin con la extensin para cada
ejecutable por cada lnea en el cuadro de texto multilineal.
NOTA:
Se le negar el acceso al usuario a todas las aplicaciones personalizadas que

no se encuentren en la lista del campo Custom applications.
Si agrega la misma aplicacin a los cuadros de texto Custom applications

y Applications to deny, la restriccin tendr prioridad y los usuarios no
podrn tener acceso a las sesiones SVW de esas aplicaciones. Recuerde que
esto puede pasar si usa comodines para especificar las aplicaciones en ambas
listas. Por ejemplo, si especifica *plore.exe en la lista de permitidos y iex*.exe
en la lista de restringidos, entonces se denegar el acceso a iexplore.exe.

Despus de definir una o ms directivas de Virtual Workspace, debe habilitarlas
como directivas de autenticacin de territorio a nivel de usuario, como se describe
en Implementacin de las directivas del Host Checker en la pgina 298.
Definicin de una directiva de seguridad de Secure Virtual Workspace

Puede especificar los niveles de encriptacin y controlar el uso de extensiones de
terceros en Internet Explorer y Outlook.
Para especificar las opciones de seguridad para una directiva de Secure Virtual
Workspace nueva:
4. Especifique el tipo de clave de encriptacin AES que el IVE usa para habilitar
Secure Virtual Workspace en el cliente. Las opciones disponibles son claves de
encriptacin de 128, 192 y 256 bits.
5. Identifique las extensiones de IE u Outlook que desee permitir incluyendo cada
DLL permitido en una lnea separada en el cuadro de texto IE/Outlook
extensions to allow. De forma predeterminada, se restringirn todas las
extensiones que no aparezcan en la lista.
Estas extensiones son pequeas aplicaciones que entran y salen de la sesin de
Secure Virtual Workspace.
Definicin de las opciones del entorno Secure Virtual Workspace

Para especificar las opciones de entorno para una directiva de Secure Virtual
Workspace nueva:
4. En Options, especifique:
La longitud mxima del tiempo (en minutos) que la sesin de Secure

Virtual Workspace de un cliente puede permanecer inactiva antes de que la
conexin con el IVE caduque.
La imagen del papel tapiz del escritorio (opcional).
El color de fondo del escritorio (opcional).
La URL de inicio de sesin que se usa para tener acceso a SVW.

Entre las URL disponibles estn la URL de inicio de sesin del usuario
predeterminada y cualquier URL que defina en Authentication > Signing
in > Sign-in Policies. La primera vez que SVW lleva al usuario al espacio
de trabajo virtual e inicia un explorador, el usuario accede al IVE desde una
URL de inicio de sesin. De forma predeterminada, la URL de inicio de
sesin es la misma que el usuario introdujo para iniciar la sesin del IVE.
Puede configurar una URL de inicio de sesin distinta a travs de
esta opcin.
NOTA: El IVE no admite nombres de host con comodines, como *.host.com/[ruta].
Definicin de la directiva de correccin de Secure Virtual Workspace

Para especificar las opciones de correccin para una directiva de Secure Virtual
Workspace nueva:
328
4. En Remediation, seleccione las opciones de correccin para usuarios cuyos

NOTA: Si no crea instrucciones para la correccin y la directiva no se cumple,

los usuarios no conocern los motivos por los que no pueden iniciar Secure Virtual
Workspace o tener acceso a los recursos locales.
Enable Custom Instructions: Seleccinela para expandir el cuadro de

texto en el que puede introducir instrucciones personalizadas, con texto
plano o HTML, que se presentarn a los usuarios finales cuando Secure
Virtual Workspace encuentre un problema con la correccin.
Enable Custom Actions: Puede seleccionar una o ms directivas

alternativas que desee que Host Checker evale si el equipo de un usuario
no cumple con los requisitos de las directivas actuales. La directiva
alternativa debe ser una directiva de terceros que use un paquete J.E.D.I.
u otra directiva de Secure Virtual Workspace. Por ejemplo, puede usar un
paquete J.E.D.I. para iniciar una aplicacin si el equipo del usuario no
cumple con los requisitos de la directiva actual. Seleccione la directiva
alternativa en la lista HC Policies y luego haga clic en Add.
Kill Processes: Seleccinela para abrir el cuadro de texto donde introduce

procesos de aplicaciones y valores hash MD5 para los proceso que desee
eliminar. Por ejemplo:
Application.exe
MD5: 6A7DFAF12C3183B56C44E89B12DBEF56
MD5: 9S3AJ912CC3183B56C44E89B12DI2AC9
Delete Files: Seleccinela para abrir el cuadro de texto donde puede

introducir los nombres de los archivos, uno por lnea, que desee borrar.
Send reason strings: Seleccinela para enviar informacin para la

correccin. Para obtener ms informacin sobre esta opcin, consulte
Configuracin de la correccin general de Host Checker en la pgina 305.
330
Captulo 12
Cache Cleaner
Cache Cleaner corresponde a un agente del lado cliente de Windows que elimina
los datos residuales, como los archivos temporales o memorias cach de
aplicaciones, que quedan en el equipo del usuario despus de una sesin del IVE.
Por ejemplo, si un usuario inicia sesin en el IVE desde un equipo pblico con
Internet y abre un documento de Microsoft Word mediante un complemento del
explorador, Cache Cleaner elimina la copia temporal del archivo Word guardada en
la memoria cach del explorador (carpeta Windows) una vez que finaliza la sesin.
Al eliminar la copia, Cache Cleaner impide que los usuarios de otro equipo pblico
encuentren y abran el documento Word despus de que el usuario del IVE finaliza
la sesin.
Cache Cleaner tambin impide que los exploradores Web guarden de forma
permanente los nombres de usuario, contraseas y direcciones Web que los
usuarios introducen en los formularios Web. Al impedir que los exploradores
guarden indebidamente en su memoria cach esta informacin, Cache Cleaner
evita que la informacin confidencial del usuario se guarde en sistemas no fiables.
NOTA: Actualmente, Cache Cleaner no admite Secure Virtual Workspace (SVW).
Este tema contiene la siguiente informacin sobre Cache Cleaner:
Licencia: Disponibilidad de Cache Cleaner en la pgina 332
Ajuste de las opciones globales de Cache Cleaner en la pgina 332
Implementacin de las opciones de Cache Cleaner en la pgina 335
Especificacin de las opciones de instalacin de Cache Cleaner en la

pgina 339
Uso de los registros de Cache Cleaner en la pgina 340
331
Licencia: Disponibilidad de Cache Cleaner

Cache Cleaner corresponde a una caracterstica estndar de todos los dispositivos
Secure Access; no es necesaria una licencia especial para su uso.
Ajuste de las opciones globales de Cache Cleaner

Al habilitar Cache Cleaner, ste borra todo el contenido descargado a travs del
motor de intermediacin de contenido del IVE del sistema de un usuario. Adems,
puede usar los ajustes de la pgina Authentication > Endpoint Security > Cache
Cleaner de la consola de administracin para borrar el contenido de los siguientes
lugares:
Specified hosts and domains: Si habilita WSAM o JSAM, es recomendable

configurar Cache Cleaner para que borre los hosts y dominios adicionales.
Cuando los usuarios exploran Internet fuera del IVE con WSAM o JSAM,
los archivos de Internet aparecen en la carpeta de archivos temporales de
Internet. Para borrar estos archivos con Cache Cleaner, debe especificar el
nombre de host correspondiente (por ejemplo, www.yahoo.com).
Specified files and folders: Si desea habilitar a sus usuarios para que puedan
acceder a aplicaciones cliente-servidor en sus sistemas locales,
es recomendable configurar Cache Cleaner para que borre los archivos y
carpetas temporales que crean las aplicaciones en los sistemas de los usuarios.
NOTA: Si configura Cache Cleaner para que elimine los archivos de un directorio,
Cache Cleaner borra todos los archivos, entre ellos los que el usuario ha guardado
explcitamente en el directorio y los que ya se encontraban ah antes de iniciarse
la sesin del IVE.
Para especificar las opciones globales de Cache Cleaner:

1. Seleccione Authentication > Endpoint Security > Cache Cleaner en la
2. En Options:
332
a.
Especifique en el campo Cleaner Frequency la frecuencia con que se debe

ejecutar Cache Cleaner. Los valores vlidos son de 1 a 60 minutos. Siempre
que se ejecuta Cache Cleaner, borra todo el contenido descargado a travs
del motor de intermediacin de contenido del IVE ms la memoria cach
del explorador, los archivos y las carpetas que especifique en las secciones
Browser Cache y Files and Folders.
b.
Especifique la frecuencia con que espera el IVE en el campo Status Update

Frequency. Los valores vlidos son de 1 a 60 minutos.
Licencia: Disponibilidad de Cache Cleaner
Captulo 12: Cache Cleaner
c.
Especifique un intervalo para controlar el tiempo de cadudidad del proceso

del lado cliente e inicie sesin en el cuadro de tiempo de espera por
inactividad en las siguientes situaciones (los valores vlidos son de 5 a 60
minutos):
Si el usuario sale de la pgina de inicio de sesin del IVE despus de

que Cache Cleaner se comienza a ejecutar, pero antes de que inicie
sesin en el IVE, Cache Cleaner continuar ejecutndose en el equipo
del usuario por el tiempo que usted especifique.
Si el usuario est descargando Cache Cleaner en una conexin lenta,

aumente el intervalo para que tenga tiempo suficiente para completar
la descarga.
d. Seleccione la casilla de verificacin Disable AutoComplete of web

addresses para impedir que el explorador use los valores presentes en la
memoria cach para escribir automticamente direcciones Web durante la
sesin del usuario del IVE. Cuando selecciona esta opcin, el IVE establece
el siguiente valor de registro Windows en 0 durante la sesin del usuario
del IVE:
HKEY_CURRENT_USER\Software\\Microsoft\\Windows\\CurrentVersion\\Ex
plorer\ AutoComplete.
Luego, al finalizar la sesin, el IVE restaura el valor de registro a su ajuste
original.
e.
Seleccione la casilla de verificacin Disable AutoComplete of usernames

and passwords para impedir que Internet Explorer escriba
automticamente las credenciales del usuario en los formularios Web con
los valores presentes en la memoria cach. Si selecciona esta opcin,
tambin inhabilita el mensaje de peticin Save Password? de los sistemas
Windows. Cuando selecciona esta opcin, el IVE establece los siguientes
valores de registro Windows en 0:
f.
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords\FormSuggest PW Ask
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\ DisablePasswordCaching
Seleccione la casilla de verificacin Flush all existing AutoComplete

Passwords para borrar las contraseas que Internet Explorer guard en la
memoria cach del sistema del usuario. Cuando selecciona esta opcin,
el IVE establece el siguiente valor de registro Windows en 0:
HKEY_CURRENT_USER \Software\\Microsoft\\Internet Explorer\\
IntelliForms\\SPW
Luego, seleccione una de las siguientes opciones:
Seleccione el botn de opcin For IVE session only para especificar

que el IVE debe restaurar las contraseas guardadas en la memoria
cach del usuario al finalizar su sesin del IVE.
333
g.
Seleccione el botn de opcin Permanently para borrar

permanentemente las contraseas del usuario guardadas en la
memoria cach.
Seleccione la casilla de verificacin Empty Recycle Bin and Recent

Documents list para vaciar la papelera de reciclaje y borrar la lista de
documentos recientes. Se elimina el contenido completo, no slo los
archivos relacionados con las sesiones del usuario.
h. Seleccione la casilla de verificacin Uninstall Cache Cleaner at logout si

desea que el IVE desinstale Cache Cleaner del equipo cliente al finalizar la
sesin de un usuario.
3. En Browser Cache, introduzca uno o ms nombres de hosts o dominios
(se permiten comodines). Al finalizar la sesin de un usuario, Cache Cleaner
elimina todo el contenido de la memoria cach del explorador que se origina
en estos servidores. Cache Cleaner tambin elimina este contenido al
ejecutarse en el intervalo de frecuencia especificado. Note que el IVE no
resuelve los nombres de host, as que introduzca todas las representaciones
posibles de un servidor, como su nombre de host, FQDN y direccin IP.
4. En Files and Folders:
a.
b.
Especifique:
El nombre de un archivo que desee que Cache Cleaner elimine.
La ruta completa de directorio hacia una carpeta cuyo contenido desee

que Cache Cleaner elimine. Si especifica un directorio, seleccione Clear
Subfolders para borrar tambin el contenido de todos los
subdirectorios dentro de este directorio.
Seleccione la casilla de verificacin Clear folders only at the end of

session si desea que Cache Cleaner borre el contenido del directorio slo al
finalizar la sesin del usuario. De lo contrario, Cache Cleaner tambin borra
archivos y carpetas en el intervalo de frecuencia especificado.
NOTA: Al especificar los archivos y las carpetas que desea borrar, tenga en cuenta
lo siguiente:
334
Cache Cleaner utiliza una cookie llamada DSPREAUTH para enviar el estado
del cliente al IVE. Si borra esta cookie del cliente del usuario, Cache Cleaner
no funciona correctamente. Para evitar problemas, no especifique directorios
de Internet Explorer, como <userhome>\Local Settings\Temporary Internet
Files\*, en la ruta del archivo o de la carpeta. Tenga en cuenta que Cache
Cleaner de todos modos borra todo el contenido de la memoria cach de
Internet Explorer del host del IVE y de los dems hosts especificados en el
cuadro Hostnames, sin importar los directorios que especifique en Files
and Folders.
En el caso del explorador Firefox, Cache Cleaner borra slo los directorios que
especifique en Files and Folders.
Si existe ms de una sesin vlida del IVE en el mismo sistema, y se usa Cache
Cleaner en esas sesiones, todas las sesiones finalizarn cuando un usuario se
desconecte de una de las sesiones. Para evitar esto, desactive Cache Cleaner en las
sesiones que no lo necesitan.
NOTA: Si varios administradores o usuarios finales estn conectados a un solo IVE

desde el mismo sistema cliente, y al menos uno de ellos implementa Cache
Cleaner, podran ocurrir resultados inesperados. Por ejemplo, Cache Cleaner
podra cerrarse, se podran perder privilegios de rol y podran ocurrir
desconexiones forzadas.
Implementacin de las opciones de Cache Cleaner

Despus de especificar los hosts, dominios, archivos y carpetas que desea borrar
mediante los ajustes de la pgina Authentication > Endpoint Security > Cache
Cleaner de la consola de administracin, puede restringir el acceso al IVE y a los
recursos requiriendo Cache Cleaner en las siguientes opciones:
Directiva de autenticacin de territorio: Si existen usuarios intentando iniciar

sesin en el IVE, ste evala la directiva de autenticacin de territorio
especificada a fin de determinar si los requisitos de autenticacin incluyen
Cache Cleaner. Puede configurar una directiva de autenticacin de territorio
para descargar Cache Cleaner, descargar y comenzar a ejecutar Cache Cleaner
o no requerir Cache Cleaner. El usuario debe iniciar sesin en un equipo que
cumpla con los requisitos de Cache Cleaner que se especificaron para el
territorio. Si el equipo del usuario no cumple con los requisitos, se le deniega el
acceso al IVE. Puede configurar restricciones a nivel de territorio en la pgina
Users > User Realms > Territorio > Authentication Policy > Cache Cleaner de
Rol: Cuando el IVE determina la lista de roles vlidos a los que puede asignar
un administrador o un usuario, evala las restricciones de cada una de ellos
para determinar si requieren la ejecucin de Cache Cleaner en la estacin de
trabajo del usuario. Si es as, y el equipo del usuario ya est ejecutando Cache
Cleaner, el IVE no asigna el usuario a dicho rol. Puede controlar los roles que el
IVE asigna a un usuario mediante los ajustes de Users > User Realms >
Seleccionar territorio > Role Mapping. Seleccione una regla o crela, y
seleccione Custom Expressions. Puede configurar restricciones a nivel de
territorio en la pgina Users > User Roles > Rol > General > Restrictions >
Cache Cleaner de la consola de administracin.
Directiva de recursos: Cuando un usuario solicita un recurso, el IVE evala las

reglas detalladas de la directiva de recursos a fin de determinar si Cache
Cleaner tiene o no que instalarse o ejecutarse en la estacin de trabajo del
usuario. El IVE deniega el acceso a los recursos si el equipo del usuario no
cumple con el requisito de Cache Cleaner. Puede implementar las restricciones
de Cache Cleaner a nivel de directiva de recursos a travs del cuadro Condition
Field de la ventana Rules. Seleccione Users > Resource Policies > Selecciona
recurso > Seleccionar directiva > Detailed Rules.
335
Puede especificar que el IVE evale las directivas de Cache Cleaner slo cuando el
usuario intenta tener acceso por primera vez al territorio, rol o recurso al que hace
referencia la directiva del Cache Cleaner. Tambin puede usar los ajustes de la ficha
Authentication > Endpoint Security > Cache Cleaner a fin de especificar que el IVE
reevale de forma peridica las directivas de la sesin del usuario. Si opta por
evaluar peridicamente las directivas de Cache Cleaner, el IVE asigna de forma
dinmica los usuarios a los roles y le permite a los usuarios obtener acceso a
nuevos recursos basado en la evaluacin ms reciente.
Ejecucin de Cache Cleaner

Cuando el usuario intenta tener acceso al IVE, ste determina el estado de Cache
Cleaner del sistema cliente y le solicita comenzar la ejecucin mediante los
siguientes procesos:
1. Evaluacin inicial: Cuando un usuario intenta abrir por primera vez la pgina
de inicio de sesin del IVE, ste determina si Cache Cleaner se est ejecutando
en el equipo del usuario. El IVE realiza una evaluacin inicial
independientemente de si ha implementado las directivas de Cache Cleaner a
nivel de territorio, rol o directiva de recursos.
Si el usuario sale de la pgina de inicio de sesin del IVE despus de que Cache
Cleaner se comienza a ejecutar, pero antes de iniciar sesin en el IVE,
Cache Cleaner contina ejecutndose en el equipo del usuario hasta que
finalice el tiempo de espera del proceso de Cache Cleaner.
Si el IVE no recibe un resultado de estado de Cache Cleaner por cualquier razn
(incluso porque el usuario introdujo sus credenciales en la pgina de inicio de
sesin), muestra un error y devuelve al usuario a la pgina de inicio de sesin.
De lo contrario, si el proceso de Cache Cleaner del IVE devuelve un estado,
el IVE sigue ejecutando las directivas a nivel de territorio.
2. Directivas a nivel de territorio: El IVE usa los resultados de la evaluacin inicial
para determinar a cul de los territorios puede tener acceso el usuario. A partir
de ese momento, el IVE muestra u oculta los territorios al usuario, y le permite
iniciar sesin en los territorios que se habiliten para la pgina de inicio de
sesin, y slo si cumple con los requisitos de Cache Cleaner correspondientes a
cada territorio. Si el usuario no puede cumplir con las condiciones que requiere
Cache Cleaner para alguno de los territorios disponibles, el IVE no muestra la
pgina de inicio de sesin, sino un error que seala que el equipo no cumple
con la directiva de punto final.
Tenga en cuenta que el IVE slo realiza revisiones a nivel de territorio de Cache
Cleaner cuando el usuario inicia sesin por primera vez en el IVE. Si el estado
del sistema del usuario cambia durante su sesin, el IVE no lo expulsa del
territorio actual ni le permite tener acceso a un territorio nuevo basado en el
nuevo estado del sistema.
336
3. Directivas a nivel de rol: Despus de que el usuario inicia sesin en un

territorio, el IVE evala las directivas a nivel de rol y asigna el usuario a los roles
si es que cumple con los requisitos de Cache Cleaner para ellos. Despus,
el IVE le muestra al usuario su pgina de inicio y habilita las opciones que
permiten los roles asignados.
Si Cache Cleaner devuelve un estado distinto durante una evaluacin peridica,
el IVE reasigna de forma dinmica a los usuarios los roles en funcin de los
nuevos resultados. Si el usuario final pierde los derechos a todos los roles
disponibles durante una de las evaluaciones peridicas, el IVE desconecta la
sesin del usuario.
4. Directivas a nivel de recursos: Despus de que el IVE le permite al usuario
tener acceso a la pgina de inicio, ste puede intentar tener acceso a un recurso
que est controlado por una directiva de recursos. Cuando lo hace, el IVE
determina si debe realizar o no la accin especificada en la directiva de
recursos basado en el ltimo informe de estado que devolvi Cache Cleaner.
Si Cache Cleaner devuelve un informe de estado distinto durante una
evaluacin peridica, el nuevo estado slo tendr efecto en los nuevos recursos
a los que el usuario intente tener acceso. Por ejemplo, si el usuario inicia de
forma correcta una sesin de Network Connect y luego no logra comprobar el
estado del host de Cache Cleaner a nivel de recursos, puede seguir teniendo
acceso a la sesin abierta de Network Connect. El IVE solo le denegar el
acceso si intenta abrir una nueva sesin de Network Connect. El IVE
comprueba el ltimo estado devuelto por Cache Cleaner cuando el usuario
intenta tener acceso a un recurso Web nuevo o abrir una sesin nueva de
Secure Application Manager, Network Connect o Secure Terminal Access.
5. Limpieza final: Cache Cleaner lleva a cabo una limpieza final y restaura los
ajustes de registro cuando:
El usuario cierra explcitamente la sesin: Cuando un usuario hace clic

en Sign Out en la pgina de inicio del IVE, Cache Cleaner lleva a cabo una
limpieza final y se desinstala del sistema del usuario.
Finaliza el tiempo de espera de la sesin: Cuando finaliza el tiempo de

espera de la sesin de un usuario, Cache Cleaner lleva a cabo una limpieza,
y luego, si el usuario vuelve a iniciar sesin, Cache Cleaner lleva a cabo otra
limpieza. Cache Cleaner est al tanto de la finalizacin del tiempo de
espera de la sesin pues comprueba de forma peridica la validez de una
sesin en el intervalo especificado en la ficha Authentication > Endpoint
Security > Cache Cleaner.
NOTA: Al comprobar la validez de una sesin de usuario, Cache Cleaner se conecta
con el IVE, accin que puede activar advertencias en cortafuegos personales.

Los usuarios deben permitir este trfico a fin de asegurar que Cache Cleaner
funcione correctamente. Tenga en cuenta adems que los usuarios con
cortafuegos personales ven una entrada de registro siempre que Cache Cleaner
borra la memoria cach.
337
Un sistema cliente se reinicia despus de una finalizacin anormal:

Si Cache Cleaner finaliza anormalmente debido a un problema de
conexin del sistema, de la sesin o de la red, Cache Cleaner lleva a cabo
una limpieza final y se desinstala del sistema del usuario despus de que se
reinicia el sistema. Tenga en cuenta que Cache Cleaner no puede registrar
datos despus de finalizar. Adems, todos los cambios hechos a los ajustes
de registro del usuario despus de la finalizacin y antes de volver a iniciar
sesin en el IVE se pierden.
Independientemente de si se est ejecutando o no, Cache Cleaner permanece en el

cliente. Los usuarios pueden desinstalar manualmente el agente ejecutando el
archivo uninstall.exe que se encuentra en el directorio donde est instalado Cache
Cleaner. Si habilita el registro en el lado cliente a travs de la pgina System >
Log/Monitoring > Client Logs > Settings, este directorio tambin contiene un
archivo de registro, que se reescribe cada vez que se ejecuta Cache Cleaner.
(Cache Cleaner no registra las entradas en el registro estndar del IVE, sino que
puede registrar datos en el archivo de texto temporal del lado cliente. Este registro
encriptado se elimina al desinstalarse Cache Cleaner.)
Especificacin de las restricciones de Cache Cleaner

Para especificar las restricciones de Cache Cleaner:
1. Seleccione Authentication > Endpoint Security > Cache Cleaner y
especifique las opciones globales que Cache Cleaner debe aplicar a cualquier
usuario que requiera Cache Cleaner en una directiva de autenticacin, una regla
de asignacin o una directiva de recursos.
2. Para implementar Cache Cleaner a nivel de territorio:
338
a.
Seleccione Users > User Realms > Seleccionar territorio >

Authentication Policy > Cache Cleaner.
b.
Elija una de las siguientes opciones:
Disable Cache Cleaner: No requiere que Cache Cleaner est instalado

o ejecutndose para que el usuario cumpla con el requisito de acceso.
Just load Cache Cleaner: No requiere que Cache Cleaner se ejecute

para que el usuario cumpla con el requisito de acceso, pero asegura
que est disponible para un uso futuro. Si elige esta opcin para una
directiva de autenticacin del territorio, el IVE descarga Cache Cleaner
al equipo cliente despus de que el usuario se ha autenticado y antes
de que se le asignen roles en el sistema.
Load and enforce Cache: Requiere que el IVE descargue y ejecute

Cache Cleaner para que el usuario cumpla con el requisito de acceso.
Si elige esta opcin para una directiva de autenticacin del territorio,
el IVE descarga Cache Cleaner al equipo cliente antes de que el usuario
tenga acceso a la pgina de inicio de sesin del IVE.
3. Para implementar Cache Cleaner a nivel de rol:

a.
b.
Restrictions > Cache Cleaner
Cache Cleaner
Seleccione la casilla de verificacin Enable de Cache Cleaner. Esta opcin

requiere que Cache Cleaner est ejecutndose para que el usuario cumpla
con el requisito de acceso.
4. Para crear reglas de asignacin de roles basado en el estado de Cache Cleaner

del usuario:
a.
Seleccione Users > User Realms > Seleccionar territorio > Role
Mapping > Seleccionar o crear regla > Expresin personalizada.
b.
Usando la variable cacheCleaner, escriba una expresin personalizada para

la regla de asignacin de roles que evaluar el estado de Cache Cleaner.
5. Para implementar Cache Cleaner a nivel de directiva de recursos:

a.
Seleccione Users > Resource Policies > Selecciona recurso > Seleccionar
directiva > Detailed Rules > Seleccionar o Crear regla > Campo de
condicin
b.
Cree una expresin personalizada en una regla detallada.
Especificacin de las opciones de instalacin de Cache Cleaner

Si implementa alguna directiva a nivel de directivas de territorio, rol o recurso que
requiera de Cache Cleaner, debe proporcionar un mecanismo mediante el cual el
IVE o el usuario pueda instalar Cache Cleaner en el equipo cliente. De lo contrario,
cuando el IVE evale la directiva de Cache Cleaner, el equipo del usuario devolver
un error debido a que el cliente de Cache Cleaner no est disponible.
Habilite la instalacin automtica a travs de la pgina Users > User Realms >
Territorio > Authentication Policy > Cache Cleaner de la consola de administracin
para permitirle al IVE intentar instalar Cache Cleaner en el sistema del usuario.
Cuando lo hace, el IVE evala la opcin a nivel de territorio cuando el usuario abre
la pgina de inicio de sesin de IVE y luego determina si la versin actual de Cache
Cleaner est instalada en el equipo del usuario. Si Cache Cleaner no est instalado,
el IVE intentar instalarlo mediante ActiveX o Java.
Cuando un usuario inicia sesin en el IVE, ste intenta instalar un control ActiveX
en el sistema del usuario. Si el IVE instala correctamente el control ActiveX,
el control administra la instalacin del programa Cache Cleaner.
Especificacin de las opciones de instalacin de Cache Cleaner 339
Si el IVE no puede instalar el control ActiveX debido a que el usuario no cuenta con
privilegios de administrador o de usuario avanzado, o debido a que ActiveX est
desactivado en el sistema del usuario, el IVE intenta instalar Cache Cleaner
mediante Java. El mtodo de Java requiere slo privilegios de usuario, pero Java
debe estar habilitado en el sistema del usuario.
NOTA: Si se est ejecutando Microsoft Vista en el sistema del usuario, ste debe
hacer clic en el enlace de configuracin que aparece durante el proceso de
instalacin para continuar instalando el cliente de configuracin y Cache Cleaner.
En todos los otros sistemas operativos Microsoft, el cliente de configuracin y
Cache Cleaner se instalan automticamente.
Si el IVE no puede usar el mtodo de Java debido a que Java est inhabilitado en el
sistema del usuario, muestra un mensaje de error que informa al usuario de que su
sistema no permite la instalacin de las aplicaciones ActiveX o Java, por lo que
algunas de las funciones de seguridad de acceso no se pueden ejecutar.
NOTA:
Para instalar Cache Cleaner, los usuarios deben contar con los privilegios
correspondientes descritos en el manual Secure Access Client-Side Changes
Guide en el Juniper Networks Customer Support Center. Si el usuario no
cuenta con privilegios, use el Servicio de instalador de Juniper disponible en la
pgina Maintenance > System > Installers de la consola de administracin
para omitir este requisito.
Los usuarios deben habilitar en sus exploradores componentes ActiveX

firmados o applets de Java firmados para que Host Checker descargue,
instale e inicie las aplicaciones de cliente.
Para obtener ms informacin sobre el control Juniper Networks ActiveX,

consulte Eliminacin del control ActiveX de Juniper en la pgina 317.
Uso de los registros de Cache Cleaner

Seleccione la ficha System > Log/Monitoring > Client Logs > Settings para
habilitar el registro del lado cliente para Cache Cleaner. Cuando habilita esta opcin,
el IVE escribe un registro del lado cliente para cualquier cliente que utilice Cache
Cleaner. El IVE adjunta el archivo de registro cada vez que la caracterstica es
invocada durante las sesiones del usuario siguientes. Esta caracterstica es til
cuando se trabaja con equipos de apoyo para solucionar problemas con la
caracterstica respectiva.
NOTA: Debido a que estas configuraciones son globales, el IVE escribe un archivo
de registro para todos los clientes que usan la caracterstica para la que se habilit
la creacin de registros del lado cliente. Adems, el IVE no elimina los registros del
lado cliente. Los usuarios deben eliminar los registros de forma manual desde sus
clientes. Para obtener ms informacin acerca del lugar donde IVE instala los
archivos de registro, consulte el manual Secure Access Client-Side Changes Guide en
el Customer Support Center de Juniper Networks.
340
Para especificar los ajustes globales de la creacin de registro del lado cliente:
1. Seleccione System > Log/Monitoring > Client Logs > Settings en la consola
de administracin.
NOTA: Para los nuevos sistemas IVE de versin 5.x, todas las opciones estn
inhabilitadas de forma predeterminada. Si actualiza el IVE de una configuracin
versin 3.x, todas las opciones de registro estn habilitadas de forma
predeterminada.
341
342
Parte 4
Acceso remoto
Esta seccin contiene la siguiente informacin acerca de cmo configurar el acceso
a diversas aplicaciones, servidores y otros recursos mediante mecanismos de
acceso remoto:
Reescritura web en la pgina 383
Reescritura de archivos en la pgina 465
Secure Application Manager en la pgina 491
Telnet/SSH en la pgina 551
Terminal Services en la pgina 563
Secure Meeting en la pgina 619
Email Client en la pgina 647
Network Connect en la pgina 655
La seccin tambin contiene la siguiente informacin sobre cmo configurar

fcilmente el acceso a aplicaciones escogidas mediante plantillas de perfil de
recursos disponibles a travs de la caracterstica de reescritura web:
Plantillas de applets de Java hospedados en la pgina 345
Plantillas de Microsoft Sharepoint en la pgina 379
343
Eleccin de un mecanismo de acceso remoto

El IVE le permite brindar un acceso seguro a una amplia variedad de aplicaciones,
servidores y otros recursos por medio de sus mecanismos de acceso remoto.
Cuando haya escogido los recursos que desea usar, podr escoger el mecanismo
de acceso adecuado (segn se explica en Puedo usar el IVE para proporcionar
seguridad en el trfico de todas las aplicaciones, servidores y pginas web de mi
empresa? en la pgina 28).
Por ejemplo, si desea proporcionar acceso seguro a Microsoft Outlook, puede
usar Secure Application Manager (SAM). Secure Application Manager proporciona
intermediacin del trfico hacia aplicaciones cliente/servidor como Microsoft
Outlook, Lotus Notes y Citrix. Asimismo, si lo que desea es proporcionar acceso
seguro a la Intranet de su empresa, puede usar la caracterstica de reescritura web.
Esta caracterstica usa el motor de intermediacin de contenido del IVE para
proporcionar intermediacin del trfico hacia las aplicaciones basadas en web y las
pginas web.
La Tabla 18 muestra una breve comparacin de tres de los mecanismos de acceso
de IVE: Network Connect, Windows Secure Application Manager (WSAM), y Java
Secure Application Manager (JSAM).
Tabla 18: Comparacin de los mtodos de acceso de cliente remoto
344
Network Connect
WSAM
JSAM
Acceso seguro a capa de red.

Acta como un tnel virtual
con IPSec activada. Es
compatible con paredes de
fuego y proxy del lado cliente.
Acceso seguro a capa de

aplicacin. Admite la
instalacin del servicio Win32
Transport Data Interface (TDI).
Es compatible con paredes de
fuego y proxy del lado cliente.
Acceso seguro a capa de

aplicacin. Reenvo de puertos
TCP basado en applet de Java
para hosts de empresa
proporcionados. Es compatible
con paredes de fuego y proxy
del lado cliente.
La instalacin se realiza
mediante controles ActiveX
para Windows y applet de Java
para Mac.
La instalacin se realiza
mediante controles ActiveX,
entrega de Java e instaladores
independientes.
Slo necesita un applet de Java

instalado en el cliente.
El aprovisionamiento necesita
un conjunto de direcciones IP
estticas para recursos de red
o un servidor DHCP presente
en la red.
que se asegure una lista de
direcciones IP, aplicaciones de
Windows y hosts de destino.
Control de acceso dependiente
de las direcciones IP.
una lista de hosts y puertos en
el nivel de grupo. Permite a los
usuarios la opcin de definir
aplicaciones cliente-servidor y
configuraciones de seguridad.
Privilegia el uso de nombres de
hosts por sobre direcciones IP.
Admite clientes Windows,

Mac y Linux.
Admite clientes Windows.
Admite clientes Windows,

Mac y Linux.
Eleccin de un mecanismo de acceso remoto
Captulo 13
Plantillas de applets de Java

hospedados
La caracterstica de carga de applets de Java del IVE le permite almacenar los
applets de Java que quiera directamente en el IVE sin utilizar otro servidor Web para
hospedarlos. Cuando use esta caracterstica, simplemente cargue los applets en el
IVE (junto con los archivos adicionales a los que hacen referencia los applets) y cree
una pgina Web simple mediante el IVE que hace referencia a los archivos. El IVE
intermedia entre la pgina Web y el contenido del applet de Java usando su Motor
de intermediacin de contenido.
Este tema contiene la siguiente informacin sobre los applets de Java en el IVE:
Licencia: disponibilidad de applets de Java hospedados en la pgina 345
Resumen de tareas: hospedaje de applets de Java en la pgina 346
Informacin general de applets de Java hospedados en la pgina 346
Definicin de perfiles de recursos: applets de Java hospedados en la

pgina 350
Caso de uso: creacin de un marcador de applet de Java Citrix JICA 9.5 en la

pgina 357
NOTA: El IVE permite hospedar applets de Java usando las plantillas de perfil de
recursos Web (descritas en estos temas) as como los perfiles de recursos de
Terminal Services. Para obtener instrucciones sobre cmo hospedar los applets de
Java mediante los perfiles de recursos de Terminal Services, consulte Definicin
de directivas automticas del applet de Java hospedado en la pgina 573.
Licencia: disponibilidad de applets de Java hospedados

La caracterstica de applets de Java hospedados es una caracterstica estndar
en todos los dispositivos de Secure Access excepto SA 700. Si usa un dispositivo
SA-700, debe instalar una licencia de actualizacin de Acceso sin cliente de ncleo
para obtener acceso a la caracterstica de applets de Java.
Licencia: disponibilidad de applets de Java hospedados
345
Resumen de tareas: hospedaje de applets de Java

applets de Java que quiera directamente en el IVE sin utilizar otro servidor Web
para hospedarlos.
Para hospedar applets de Java en el IVE:
1. Especifique los applets que desea cargar, cree marcadores en el IVE que hagan
referencia a los applets cargados y especifique las funciones que pueden tener
acceso a los marcadores usando los ajustes de la pgina Users > Resource
Profiles > Web de la consola de administracin. Para obtener instrucciones,
consulte Definicin de perfiles de recursos: applets de Java hospedados en la
pgina 350.
2. (Opcional) Para firmar los applets de Java, seleccione System >
Configuration > Certificates > Code-Signing Certificates en la consola
de administracin para cargar el certificado de Java en el IVE. Si se salta este
paso, el usuario visualizar una advertencia de certificado no fiable cada vez
que acceda al marcador correspondiente. Para obtener instrucciones, consulte
Uso de certificados de firma de cdigo en la pgina 776.
3. (Opcional) Para mejorar el rendimiento de sus aplicaciones Java:
a.
Seleccione Enable Java instrumentation caching en la pgina

Maintenance > System > Options de la consola de administracin. Esta
opcin puede mejorar el rendimiento de la descarga de aplicaciones Java.
Para obtener ms informacin, consulte Ajuste de las opciones del
b.
Despus de terminar la configuracin del IVE, coloque en cach el applet

de Java y acceda a ste como usuario final. Esta accin elimina la
coincidencia de rendimiento que se produce en el motor de intermediacin
cuando el primer usuario final accede al applet.
Informacin general de applets de Java hospedados

applets de Java que quiera directamente en el IVE sin utilizar otro servidor Web para
hospedarlos. Cuando use esta caracterstica, simplemente cargue los applets en el
IVE (junto con los archivos adicionales a los que hacen referencia los applets) y cree
una pgina Web simple mediante el IVE que hace referencia a los archivos. El IVE
intermedia entre la pgina Web y el contenido del applet de Java usando su Motor
de intermediacin de contenido.
346
Resumen de tareas: hospedaje de applets de Java
Captulo 13: Plantillas de applets de Java hospedados
Por ejemplo, quizs le interese usar el IVE para que intermedie el trfico entre un
sistema IBM AS/400 de la red y los emuladores de terminal 5250 individuales de los
equipos de los usuarios. Para configurar el IVE para que intermedie este trfico,
obtenga el applet de Java del emulador de terminal 5250. Despus, podr cargar
este applet en el IVE y crear una pgina Web simple que haga referencia al applet.
Despus de crear la pgina Web con el IVE, el IVE crear un marcador
correspondiente al que los usuarios puede acceder mediante sus pginas
principales.
NOTA:
Debe comprender cmo funcionan los applets de Java, sus parmetros

y el HTML que usar con esta caracterstica.
Para obtener ms informacin sobre los applets de Java intermedios

hospedados en un servidor externo, consulte Definicin de directivas de
recursos: applets de Java externos en la pgina 439.
Las opciones de configuracin para la caracterstica de applet de Java

hospedado se han trasladado a la pgina Users > Resource Profiles > Web de
la consola de administracin. Si actualiza el producto desde una versin
anterior a la 5.3, el IVE crea automticamente perfiles de recursos de sus
directivas de recursos antiguas. Si el marcador antiguo haca referencia a
varios applets de Java, el IVE crea un archivo contenedor nico para los
applets y asocia el archivo con el nuevo perfil de recursos.
Los siguientes temas contienen informacin sobre la carga, la habilitacin

y el acceso de los applets de Java mediante el IVE:
Carga de applets de Java al IVE en la pgina 347
Firma de applets de Java cargados en la pgina 348
Creacin de pginas HTML que hacen referencia a los applets de Java

cargados en la pgina 349
Acceso a los marcadores de applet de Java en la pgina 349
Carga de applets de Java al IVE

Puede usar los applets de Java para que intermedien el trfico en varios tipos de
aplicaciones mediante el IVE. Por ejemplo, puede cargar el applet 3270, 5250 o
Citrix Java en el IVE. Estos applets permiten que los usuarios establezcan sesiones
en los servidores de codificacin de IBM, AS/400s y Citrix MetaFrame mediante
emuladores de terminal. (Tenga en cuenta que para habilitar el cliente de Citrix Java
ICA mediante una sesin del IVE, debe cargar varios archivos Citrix .jar y .cab en
el IVE. Consulte Caso de uso: creacin de un marcador de applet de Java Citrix
JICA 9.5 en la pgina 357. O bien, configure un perfil de recursos de Citrix
Terminal Services para que hospede los applets de Java, como se explica en
Definicin de directivas automticas del applet de Java hospedado en la
pgina 573.)
347
El IVE permite cargar archivos .jar y .cab individuales o archivos de

almacenamiento .zip, .cab o .tar. Los archivos de almacenamiento pueden contener
applets de Java y los archivos a los que hacen referencia los applets. Dentro del
archivo .zip, .cab o .tar, el applet de Java debe residir en el nivel superior del archivo
de almacenamiento. Puede cargar cualquier nmero de archivos en el IVE siempre
que su tamao combinado no supere los 100 MB.
Para asegurar la compatibilidad con las mquinas virtuales de Java (JVM) de Sun y
Microsoft, debe cargar los archivos .jar y .cab en el IVE. (La JVM de Sun usa archivos
.jar, mientras que la JVM de Microsoft usa archivos .cab.)
NOTA:
Cuando carga los applets de Java en el IVE, el IVE le solicita leer un contrato
legal antes de terminar de instalar los applets. Lea este contrato con
detencin; le obliga a asumir la responsabilidad absoluta respecto de la
validez, operacin y compatibilidad de los applets de Java que carg.
Puede cargar 100 MB de applets de Java en el IVE. El IVE muestra el tamao

de cada applet que carg en el IVE en la pgina Java Applets para que pueda
determinar los applets que desea eliminar, si fuese necesario.
La carga de applets de Java requiere applets de ActiveX o Java firmados a fin

de que se habiliten dentro el explorador para descargar, instalar e iniciar las
aplicaciones cliente.
Puede cargar applets de Java en el IVE mediante los perfiles de recursos. Para
obtener instrucciones, consulte Definicin de perfiles de recursos: applets de
Java hospedados en la pgina 350.
Firma de applets de Java cargados

A diferencia de otros applets de Java a los que los usuarios pueden acceder
mediante el IVE, no es necesario que cree otra directiva de firma de cdigo para
los applets de Java que se cargan en el IVE. El IVE los firma (o vuelve a firmar)
automticamente usando el certificado de firma de cdigo correspondiente.
Un certificado de firma de cdigo (tambin denominado certificado de applet) es
un tipo de certificado del lado servidor que vuelve a firmar los applets de Java
intermediados por el IVE, como se explica en Uso de certificados de firma de
cdigo en la pgina 776.
El IVE firma (o vuelve a firmar) automticamente sus applets de Java hospedados
con el certificado de firma de cdigo que se instala mediante la pgina System >
Configuration > Certificates > Code-signing Certificates de la consola de
administracin. Si no instala un certificado de firma de cdigo en el IVE, el IVE usa
su certificado de firma automtica para firmar o volver a firmar los applets. En este
caso, los usuarios ven una advertencia de emisor de certificado no fiable siempre
que accedan a los applets de Java mediante el IVE.
NOTA: El IVE vuelve a actuar y firmar sus applets de Java cargados siempre que
cambie (es decir, importe, renueve o elimine) el certificado de firma de cdigo
correspondiente en el IVE.
348
Creacin de pginas HTML que hacen referencia a los applets de Java cargados
Cuando cargue un applet de Java en el IVE, debe crear una pgina Web simple que
haga referencia al applet. Los usuarios pueden acceder a esta pgina Web mediante
un marcador en sus pginas principales del IVE o desde servidores Web externos
(como se explica en Acceso a los marcadores de applet de Java en la pgina 349).
La pgina Web debe contener una definicin de pgina HTML simple que haga
referencia al applet de Java cargado. La pgina Web tambin puede contener
cualquier HTML y JavaScript adicional que elija. El IVE puede generar parte de la
pgina Web, incluyendo la definicin de pgina HTML y las referencias al applet de
Java. (Sin embargo, tenga en cuenta que el IVE no est al tanto de todos los
parmetros especficos del applet que requiere su applet, por lo tanto, debe buscar
y llenar estos parmetros usted mismo). Cuando el IVE genera este HTML, crea
marcadores para cualquier valor sin definir y le solicita que llene los valores
necesarios.
Puede crear estas pginas Web con los perfiles de recursos de carga de applet de
Java. Para obtener instrucciones, consulte Definicin de marcadores del applet de
Java hospedado en la pgina 352.
Acceso a los marcadores de applet de Java

Los usuarios pueden obtener acceso a los applets que carga en el IVE mediante
dos mtodos:
Bookmarks on the IVE end user console: Cuando crea una pgina Web
que hace referencia a los applets de Java cargados, el IVE crea un vnculo
correspondiente a la pgina Web y muestra ese vnculo en la seccin
Bookmarks de la consola del usuario final del IVE. Los usuarios que asignan
el rol correspondiente pueden hacer clic en el vnculo para obtener acceso al
applet de Java.
Links on external Web servers: Los usuarios pueden establecer vnculos con
los marcadores del applet de Java desde un servidor Web externo haciendo
clic en las URL correctas. Cuando el usuario introduce la URL de un marcador
(o hace clic en un vnculo externo que contiene la URL), el IVE le solicita al
usuario que introduzca su nombre de usuario y contrasea del IVE. Si se
autentica de forma correcta, el IVE le permite acceder al marcador. Puede crear
la URL en el marcador de applet de Java usando la sintaxis descrita en las
siguientes lneas:
https://IVE_hostname/dana/home/launchwebapplet.cgi?bmname=bookmark
Nombre
https://IVE_hostname/dana/home/launchwebapplet.cgi?id=<resourceID>&bmna
me=bookmarkName
349
(Puede determinar el ID de un marcador de applet de Java accediendo

a ste mediante la pgina principal del IVE y extrayendo el ID de la barra
de direcciones del explorador de Web.)
NOTA:
Aunque el IVE le permite crear varios marcadores con el mismo nombre,

se recomienda encarecidamente que use un nombre exclusivo para cada uno.
Si varios marcadores tienen el mismo nombre y un usuario accede a uno de
ellos mediante una URL que incluye el parmetro bmname, el IVE elige al azar
los marcadores con nombre idntico que mostrar al usuario. Tambin tenga
en cuenta que el parmetro bmname distingue maysculas de minsculas.
Si crea vnculos en servidores externos para marcadores del applet de Java en

el IVE y usa varias URL de inicio de sesin personalizadas, es posible que se
presenten algunas restricciones. Consulte la nota en Directivas de inicio de
Para obtener ms informacin sobre la creacin de marcadores, consulte

Definicin de marcadores del applet de Java hospedado en la pgina 352.
Definicin de perfiles de recursos: applets de Java hospedados

Para crear un recurso de perfil de applet de Java hospedado:
1. Seleccione Users > Resource Profiles > Web en la consola de administracin.
2. Haga clic en New Profile.
3. Seleccione Hosted Java Applet en la lista Type.
4. Introduzca un nombre nico y una descripcin opcional para el perfil de
recursos.
5. Seleccione el applet de Java que desea asociar con el perfil de recursos de
la lista Applet to use. O bien, si el applet que desea usar no se encuentra
disponible actualmente en la lista, haga clic en Edit Applet. Seguidamente:
a.
Haga clic en New Applet para agregar un applet a esta lista. O bien,
seleccione un applet existente y haga clic en Replace (para reemplazar un
applet existente con uno nuevo) o Delete (para eliminar un applet del IVE).
NOTA:
350
Si reemplaza un archivo existente, asegrese de que el nuevo archivo de

almacenamiento del applet contiene todos los archivos necesarios para que
el applet se inicie y ejecute correctamente. Si el HTML asociado con el applet
se refiere a archivos que no existen en el archivo de almacenamiento nuevo,
entonces el applet no funcionar correctamente.
El IVE slo permite que elimine applets que no se encuentran en uso por
un perfil de recursos Web o Terminal Services.
b.
c.
Introduzca un nombre para identificar el applet en el cuadro Name

(slo para applets nuevos y reemplazados).
Busque el applet que desea cargar en el IVE. Puede cargar applets (archivos
.jar o .cab) o archivos de almacenamiento (archivos .zip, .jar y .tar) que
contengan applets y todos los recursos que los applets necesitan (slo para
applets nuevos y reemplazados).
d. Seleccione la casilla de verificacin Uncompress jar/cab file si el archivo
que seleccion es un archivo de almacenamiento que contiene un applet
(slo para applets nuevos y reemplazados).
e.
Haga clic en OK y luego en Close Window.
NOTA: Cuando selecciona un applet en el cuadro de dilogo Java Applets, carga

software de terceros en el producto Juniper. Al hacer clic en OK, acepta los
siguientes trminos en su nombre (como comprador del equipo) o en nombre de
la organizacin que compr el producto Juniper, segn corresponda.
Al cargar software de terceros en el producto Juniper Networks, usted es

responsable de obtener todos los derechos necesarios para el uso, copia o
distribucin de dicho software en o con el producto Juniper Networks. Juniper
no es responsable de ninguna obligacin que surja del uso de dicho software
de terceros y no brindar asistencia por ste. El uso de software de terceros
puede interferir con el funcionamiento adecuado del producto o software
Juniper Networks, lo que puede anular la garanta del producto o software
Juniper Networks.
6. Use los ajustes de la seccin Autopolicy: Java Access Control para habilitar el
acceso si los applets de Java requieren conexiones de socket. Para obtener
informacin detallada, consulte Definicin de una directiva automtica de
control de acceso a Java en la pgina 404.
7. Haga clic en Save and Continue.
8. En la ficha Roles, seleccione las funciones a las que se aplica el perfil de
recursos y haga clic en Add.
Las funciones seleccionadas heredan las directivas automticas y los
marcadores creados por el perfil de recursos. Si an no se encuentra habilitada,
el IVE tambin habilita automticamente la opcin Web en la pgina Users >
User Roles > Seleccionar rol > General > Overview de la consola de
administracin y la opcin Allow Java Applets de la pgina Users > User
Roles > Seleccionar rol > Web > Options de la consola de administracin para
todas las funciones que seleccione.
10. Cree marcadores en la ficha Bookmarks usando las instrucciones de
Definicin de marcadores del applet de Java hospedado en la pgina 352.
351
Definicin de marcadores del applet de Java hospedado

Debe crear marcadores para los applets de Java hospedados a fin de permitir
que los usuarios accedan a los applets. Para obtener ms informacin sobre los
marcadores del perfil de recursos, consulte Definicin de marcadores en la
pgina 98.
Para configurar los marcadores del perfil de recursos del applet de Java hospedado:
1. Seleccione Users > Resource Profiles > Web > Seleccionar perfil
de recurso > Bookmarks en la consola de administracin.
2. Haga clic en el vnculo correspondiente de la columna Bookmark si desea
modificar un marcador existente. O bien haga clic en New Bookmark para
crear un marcador adicional.
NOTA: Aunque por lo general es ms fcil crear un marcador de sesin de perfil de
recursos mediante la pgina de configuracin del perfil de recursos, puede optar

por crear una con la pgina de roles de usuario si ya ha creado un perfil de
recursos. Para obtener instrucciones, consulte Creacin de marcadores de applets
de Java hospedados mediante la pgina de roles de usuario en la pgina 353.
3. Introduzca un nombre y una descripcin opcional para el marcador. Esta
informacin aparece en la pgina principal del IVE. (De forma predeterminada,
el IVE nombra al marcador con el mismo nombre que el perfil de recursos
correspondiente.)
NOTA: Se recomienda encarecidamente que use un nombre exclusivo para cada
marcador con el fin de dejar en claro a los usuarios el vnculo al que acceden.
Consulte Creacin de pginas HTML que hacen referencia a los applets de Java
cargados en la pgina 349.
4. Haga clic en Generate HTML para crear una definicin de pgina HTML que
incluya referencias a sus applets de Java. A continuacin, llene todos los
atributos y parmetros requeridos usando las pautas de los siguientes temas:
Atributos necesarios para los applets de Java cargados en la pgina 354
Parmetros necesarios para los applets de Java cargados en la pgina 356
Si usa un HTML generado por el IVE, asegrese de buscar en el cdigo HTML

para __PLEASE_SPECIFY__ y actualice el cdigo segn corresponda.
Tambin puede agregar ms cdigo HTML o Javascript a esta definicin de
pgina Web. El IVE vuelve a escribir todo el cdigo que introduce en este
campo.
NOTA: Asegrese de introducir un HTML nico en este campo. Si crea dos
marcadores que contienen el mismo cdigo HTML, el IVE elimina uno de los
marcadores de la vista del usuario final. An podr ver ambos marcadores,
pero en la consola del administrador.
352
5. Indique esos atributos en el cuadro Multi-Valued User Attributes si el cdigo

HTML contiene atributos que se pueden expandir a varios valores (como
userAttr.hostname o userAttr.ports). Cuando el usuario inicia sesin en el IVE,
el IVE evala estos atributos y crea marcadores separados, segn sea necesario,
basndose en cada uno de los valores individuales. Si usa un atributo que se
expande a varios valores, pero no introduce ese atributo en este cuadro, el IVE
crea un marcador nico basndose en el primer valor del atributo.
6. En las opciones de Display, haga clic en Bookmark opens new window para
permitir que el IVE abra automticamente el recurso Web en una nueva
ventana del explorador. Tenga en cuenta que esta funcionalidad se aplica
slo a los marcadores de rol y no a los marcadores creados por el usuario.
A continuacin, seleccione las siguientes opciones si desea ocultar los
elementos UI al usuario:
Do not display the browser address bar: Seleccione esta opcin para
eliminar la barra de direcciones de la ventana del explorador. Esta
caracterstica fuerza todo el trfico web a travs del IVE impidiendo que
los usuarios del rol especificado escriban una nueva URL en la barra de
direcciones, lo que pasa por alto al IVE.
Do not display the browser toolbar: Seleccione esta opcin para eliminar
el men y la barra de herramientas del explorador. Esta caracterstica
elimina todos los mens, botones de exploracin y marcadores de la
ventana del explorador para que el usuario navegue slo a travs del IVE.
7. En Roles, especifique las funciones para las que desea mostrar el marcador
si configurar el marcador mediante las pginas de perfiles de recursos:
ALL selected roles: Seleccione esta opcin para mostrar el marcador en

todos los roles asociados con el perfil de recursos.
Subset of selected roles: Seleccione esta opcin para mostrar el marcador

en un subconjunto de los roles asociados con el perfil de recursos.
Seleccione los roles de la lista ALL Selected Roles y haga clic en Add para
moverlos a la lista Subset of selected roles.
Creacin de marcadores de applets de Java hospedados mediante la

pgina de roles de usuario
Por lo general, es ms fcil crear un marcador de applets de Java hospedados
mediante las pginas de configuracin de perfiles de recursos, como se explic
en el tema anterior. No obstante, puede optar por crear un marcador de sesin del
perfil de recursos a travs de la pgina de roles de usuario con las siguientes
instrucciones:
1. Seleccione Users > Roles > Seleccionar rol > Web > Bookmarks en la
2. Haga clic en New Bookmark.
3. Seleccione Pick a Web Resource Profile en la lista Type. (El IVE no muestra
esta opcin si no ha creado un perfil de recursos del applet de Java hospedado.)
353
4. Seleccione un perfil de recursos existente.

5. Haga clic en OK. (Si an no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociacin de forma automtica. El IVE tambin
habilita cualquier directiva de control de acceso para el rol que requiere el perfil
de recursos.)
6. Si este rol an no ha sido asociado con el perfil de recursos seleccionado, el IVE
muestra un mensaje informativo. Si ve este mensaje, haga clic en Save
Changes para agregar este rol a la lista de roles del perfil de recursos y para
actualizar las directivas automticas del perfil, segn se requiera. A
continuacin, repita el paso anterior para crear el marcador.
7. Use las instrucciones de Definicin de marcadores del applet de Java
hospedado en la pgina 352 para configurar los ajustes del marcador.
NOTA: Al crear un marcador de perfil de recursos mediante la pgina de roles de
usuario (en lugar de la pgina de perfiles de recursos estndar), el IVE slo asocia
el marcador generado con el rol seleccionado. El IVE no asigna el marcador con
todos los roles asociados con el perfil de recursos seleccionado.
Atributos necesarios para los applets de Java cargados

Cuando crea un marcador de applets de Java mediante el IVE, debe definir los
siguientes atributos y sus valores correspondientes. Si usa la caracterstica Generate
HTML, el IVE llena parte de esta informacin y agrega PLEASE_SPECIFY a los
atributos cuyos valores debe especificar. Al especificar atributos y sus valores
correspondientes, use el formato attribute=value.
NOTA: El IVE genera los parmetros que sabe que necesitar. Sin embargo, tenga
en cuenta que el IVE no est al tanto de todos los parmetros especficos que
requiere su applet; por lo tanto, debe buscar y llenar estos parmetros usted
mismo.
Los atributos que requiere el IVE son:
code: indica qu clase de archivo invocar en el applet de Java. Use este valor
para designar la funcin principal del applet de Java. Ejemplo:

applet code="com.citrix.JICA"
codebase: indica si el explorador Web puede buscar el applet. Use la variable

<<CODEBASE>>, que designa la ubicacin en el IVE donde el IVE almacena el
applet de Java. Cuando introduzca la ruta de un archivo, tenga en cuenta que

<<CODEBASE>> incluye una barra diagonal al final, lo que significa que el
siguiente ejemplo funciona:
<img src="<<CODEBASE>>path/to/file">
Mientras que este ejemplo no funciona:

<img src="<<CODEBASE>>/path/to/file">
354
archive: indica qu archivo de almacenamiento (es decir, archivo .jar, .cab o .zip)
debe buscar el explorador de Web. Ejemplo:

archive="JICAEngN.jar"
Adems de los atributos requeridos que se indicaron con anterioridad, puede usar
los siguientes atributos opcionales al crear un marcador de applet de Java:
name: especifica una etiqueta para el applet de Java. Ejemplo:

name="CitrixJICA"
host: especifica, para las sesiones de terminal, el servidor al que debe

conectarse el IVE.
port: especifica, para las sesiones de terminal, el puerto al que debe conectarse
el IVE.
width and height: indica el tamao de la ventana del applet de Java. Ejemplo:
width="640" height="480"
align: indica la alineacin de la ventana del applet de Java dentro de la ventana
del explorador. Ejemplo:

align="top"
NOTA: Cuando defina atributos y sus valores correspondientes, tenga en cuenta

lo siguiente:
Se recomienda encarecidamente que no incluya el parmetro

useslibrarycabbase en el cdigo HTML, porque provoca que el archivo cab
se instale permanentemente en el equipo del usuario. Si con posterioridad
cambia un archivo cab en el IVE, todos los usuarios debern eliminar
manualmente los archivos cab de sus equipos para obtener la nueva versin
del IVE.
No se admiten las etiquetas de applet que se crean mediante la funcin

document.write porque el cdigo HTML dinmico interfiere con el analizador
sintctico del IVE.
No se admiten los vnculos relativos a URL, documentos o imgenes en el

cdigo HTML, ya que los vnculos se dividiran cuando el usuario intentara
obtener acceso a ellos desde la consola del usuario final del IVE. En cambio,
debe incluir vnculos absolutos. Si realiza una vinculacin a un documento o
imagen incluida en el archivo zip, use la variable <<CODEBASE>> que indica
que el IVE puede encontrar el archivo en el archivo de almacenamiento zip
cargado en el IVE. Por ejemplo:
<img src="<<CODEBASE>>yourcompany_logo.gif" alt="YourCompany">
355
Parmetros necesarios para los applets de Java cargados

Cuando crea un marcador de applets de Java mediante el IVE, debe especificar los
parmetros y valores que el IVE debe pasar al applet de Java. Estos parmetros son
completamente especficos del applet. Al especificar parmetros y sus valores
correspondientes, use el siguiente formato:
<param name=parameterName value=valueName>
Donde todo el texto es literal excepto parameterName y valueName.

Puede usar las variables del IVE para pasar los valores al applet de Java encerrando
los nombres de variables entre parntesis angulados dobles. Por ejemplo, puede
elegir pasar los valores <<username>> y <<password>> al applet de Java. Para
obtener una lista de las variables disponibles en el IVE, consulte Variables del
sistema y ejemplos en la pgina 1046.
NOTA: Al usar la caracterstica de carga de applet de Java, si incluye el token de

<password> dentro del cdigo HTML generado, aparece como texto puro si ve el
origen en la ventana del explorador que inicia el applet. Este comportamiento no
se puede cambiar porque el IVE no controla la forma en que el applet de Java
procesa la contrasea. No se recomienda el uso del token <<password>> en el
cdigo HTML.
Si encuentra una pgina Web que contiene un applet que desea usar, vaya al sitio de
demostracin y vea el origen en la pgina que ejecuta el applet de Java. Dentro del
origen, busque la etiqueta applet. Elija el atributo code en el origen y determine si
contiene algn parmetro especial que deba pasar al explorador. En la mayora de
los casos, debe copiar y pegar el atributo code y sus parmetros correspondientes
directamente en el campo HTML del marcador del IVE. Sin embargo, tenga en
cuenta que si el parmetro hace referencia a un recurso en el servidor Web local,
no podr copiar y pegar la referencia en el marcador del IVE porque el IVE no tiene
acceso a los otros recursos locales del servidor Web. Al copiar y pegar parmetros
de otro origen, siempre compruebe los valores de los parmetros.
356
Caso de uso: creacin de un marcador de applet de Java Citrix

JICA 9.5
Este tema analiza cmo habilitar el acceso a un servidor Citrix Metaframe mediante
el IVE usando la versin 9.5 de Java del cliente Citrix ICA (JICA).
NOTA:
Adems del mtodo descrito aqu, tambin puede usar los perfiles de recursos
de Terminal Services para hospedar las versiones de Java de los clientes Citrix
ICA en el IVE. Para obtener instrucciones, consulte Definicin de directivas
automticas del applet de Java hospedado en la pgina 573.
El IVE admite varios mecanismos para la intermediacin de trfico entre un

servidor y cliente Citrix, incluyendo Terminal Services, JSAM, WSAM, Network
Connect y las caractersticas de applets de Java hospedados. Para determinar
qu mecanismo funciona mejor con su entorno, consulte Comparacin de
los mecanismos de acceso del IVE para la configuracin de Citrix en la
pgina 362.
Para permitir que el cliente Citrix JICA 9.5 pueda usar caracterstica de carga de
applets de Java:
1. Importe los certificados de firma de cdigo como se explic en Uso de
certificados de firma de cdigo en la pgina 776.
2. Descargue JICAcomponents.zip desde la pgina de descargas citrix.com.
3. Cree un perfil de recursos de applet de Java mediante la pgina Users >
Resource Profiles > Web de la consola de administracin. Al definir el perfil
de recursos:
a.
Cargue el archivo contenedor de Citrix almacenado en el IVE.
b.
Cuando cargue el applet, seleccione la casilla de verificacin Uncompress

jar/cab file porque el archivo contenedor incluye varios archivos jar y cab.
c.
Especifique cualquier servidor Metaframe al que puedan conectarse estos

applets.
d. Asigne el perfil de recursos a las funciones adecuadas.

(Para obtener informacin detallada, consulte Definicin de perfiles de
recursos: applets de Java hospedados en la pgina 350.)
4. Genere la pgina Web para el marcador en la ficha Bookmarks del perfil de
recursos. El IVE inserta automticamente todos los archivos .jar en la pgina
Web correspondiente. (JICA 95 admite slo JVM de Sun, por lo que no hay
archivos cab.) Especifique los parmetros para el cliente Citrix usando los
siguientes ejemplos como pauta. (Tenga en cuenta que el marcador de
Ejemplo de applet JICA 9.5 en la pgina 358 puede contener referencias
a los archivos jar y cab presentes en el archivo zip).
Caso de uso: creacin de un marcador de applet de Java Citrix JICA 9.5
357
Ejemplo de applet JICA 9.5

<html>
<head>
<title>jica95 Applet</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<!-Notas:
1) << CODEBASE >> es un valor de sistema que se reemplazar en el momento en
que se inicie el applet. No modifique este valor.
2) Modifique los valores restantes, segn sea necesario.
3) Asegrese de que todos los nombres/valores de atributos estn encerrados en
comillas dobles.
-->
<body>
<applet code="com.citrix.JICA"
codebase="<< CODEBASE >>"
archive="JICA-browseN.jar,JICA-cdmN.jar,JICA-clipboardN.jar,JICAconfigN.jar,JICA-coreN.jar,JICA-printerN.jar,JICA-seamlessN.jar,JICA-sicaN.jar,JICAzlcN.jar,JICAEngN.jar,cryptojN.jar,sslN.jar,JICA-audioN.jar"
name="jica95" align="top">
<param name="code" value="com.citrix.JICA">
<param name="codebase" value="<< CODEBASE >>">
<param name="archive" value="JICA-browseN.jar,JICA-cdmN.jar,JICAclipboardN.jar,JICA-configN.jar,JICA-coreN.jar,JICA-printerN.jar,JICA-seamlessN.jar,JICAsicaN.jar,JICA-zlcN.jar,JICAEngN.jar,cryptojN.jar,sslN.jar,JICA-audioN.jar">
<param name="cabbase" value="">
<param name="name" value="jica95">
<param name="width" value="640">
<param name="height" value="480">
<param name="align" value="top">
<!-Especifique parmetros adicionales aqu despus del comentario.
<param name="paramname" value="paramvalue">
-->
<param name="Address" value="__PLEASE_SPECIFY__">
<param name="Username" value="<< user >>">
<param name="password" value="<< password >>">
<param name="EncryptionLevel" value="1">
<param name="BrowserProtocol" value="HTTPonTCP">
</applet>
</body>
</html>
358
Ejemplo de JICA 8.x

Los siguientes ejemplos incluyen cdigo HTML generado para el cliente 8.x JICA,
que es compatible con JVM de Sun y MS:
<html>
<head>
<title>CitrixJICA Applet.</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<!-Notas:
1) << CODEBASE >> es un valor de sistema que se
reemplazar en el momento en que se inicie el applet.
No modifique este valor.
2) Modifique los valores restantes, segn sea necesario.
3) Asegrese de que todos los nombres/valores de atributos estn
encerrados en comillas dobles.
-->
<body>
<applet code="com.citrix.JICA"
codebase="<< CODEBASE >>"
archive="JICAEngN.jar,JICA-sicaN.jar,cryptojN.jar,JICA-configN.jar,JICAcoreN.jar"
name="CitrixJICA" align="top">
<param name="code" value="com.citrix.JICA">
<param name="codebase" value="<< CODEBASE >>">
<param name="archive" value="JICAEngN.jar,JICA-sicaN.jar,cryptojN.jar,JICAconfigN.jar,JICA-coreN.jar">
<param name="cabbase" value="cryptojM.cab,JICAconfigM.cab,JICAEngM.cab,JICA-sicaM.cab,JICA-coreM.cab">
<param name="name" value="CitrixJICA">
<param name="width" value="640">
<param name="height" value="480">
<param name="align" value="top">
<!-Especifique parmetros adicionales aqu despus del comentario.
<param name="paramname" value="paramvalue">
-->
<param name="Address" value="__PLEASE_SPECIFY__">
<param name="Username" value="<< user >>">
<param name="password" value="<< password >>">
<param name="EncryptionLevel" value="1">
<param name="BrowserProtocol" value="HTTPonTCP">
</applet>
</body>
</html>
359
360
Captulo 14: Plantillas de Citrix
Captulo 14
Plantillas de Citrix
servidor y cliente Citrix, incluido el proxy Juniper Networks Citrix Terminal
Services, JSAM, WSAM, Network Connect y las caractersticas de applets de
Java hospedados.
La plantilla Web de Citrix le permite configurar fcilmente el acceso a un servidor
Citrix mediante el proxy Juniper Networks Citrix Terminal Services, JSAM o WSAM.
La plantilla Web de Citrix es un perfil de recursos que controla el acceso a las
aplicaciones de Citrix y configura los ajustes de Citrix segn sea necesario. Las
plantillas Web de Citrix reducen considerablemente el tiempo de configuracin
agrupando los ajustes de configuracin en un solo lugar y llenando previamente
una variedad de ajustes de directivas de recursos para usted dependiendo del tipo
de configuracin de Citrix que seleccione.
Debe usar la plantilla Web de Citrix si ya tiene instalada la interfaz Web de Citrix
en su entorno o si usa un servidor Web para hospedar los archivos ICA. Consulte
Perfiles de recursos en la pgina 91.
Este tema contiene la siguiente informacin sobre las plantillas de Citrix:
Informacin general sobre las plantillas Web de Citrix en la pgina 361
Comparacin de los mecanismos de acceso del IVE para la configuracin de

Citrix en la pgina 362
Creacin de perfiles de recursos mediante aplicaciones Web de Citrix en la

pgina 365
Informacin general sobre las plantillas Web de Citrix

Debido a sus configuraciones altamente simplificadas, las plantillas corresponden
al mtodo ideal de configuracin de Citrix si desea entregar applets ActiveX o Java
desde un servidor Web de terceros a travs del IVE.
Las plantillas Web de Citrix simplifican la configuracin detectando
automticamente el uso del cliente Web de Citrix o del applet de Citrix Java,
y empleando el mecanismo de acceso correspondiente del IVE segn corresponda.
Por ejemplo, si tiene configurada la interfaz Web de Citrix para entregar un cliente
Java, el IVE usa automticamente su motor de reescritura Java para el trfico de
tnel. Si tiene configurada la interfaz Web de Citrix para entregar un cliente
ActiveX, el IVE usa su caractersticas de Citrix Terminal Services, JSAM o WSAM
(dependiendo de la opcin que seleccione) para el trfico de tnel.
Informacin general sobre las plantillas Web de Citrix
361
Se recomienda encarecidamente el uso de las plantillas de Citrix en lugar de las

opciones de configuracin tradicionales de directivas de rol y recursos disponibles
a travs del IVE.
NOTA: No admitimos guardar un acceso directo a la aplicacin de Citrix en el

escritorio a travs del IVE cuando la direccin IP de bucle invertido se ejecuta en
el cliente. Si hace doble clic en este acceso directo, aparece un error ya que no usa
WSAM ni JSAM.
Comparacin de los mecanismos de acceso del IVE para la

configuracin de Citrix
servidor y un cliente Citrix, incluyendo el proxy Citrix Terminal Services, JSAM,
WSAM, Network Connect y las caractersticas de applets de Java hospedados.
Las siguientes tablas describen las diferencias al utilizar el proxy Citrix Terminal
Services, JSAM y WSAM para tener acceso a Citrix:
La Tabla 19 describe las diferencias clave al acceder a un servidor Citrix

Metaframe a travs de un servidor de interfaz Web de Citrix. Las descripciones
de esta tabla se centran en la configuracin de Citrix Terminal Services, JSAM y
WSAM a travs de las plantillas de perfil de recursos web (seleccione Users >
Resource Profiles > Web, haga clic en New Profile y seleccione Citrix Web
interface/JICA en la lista Type.)
La Tabla 20 describe las diferencias clave al acceder a un servidor Citrix

Metaframe sin usar un servidor de interfaz Web de Citrix. Las descripciones de
esta tabla se centran en la configuracin de Citrix Terminal Services, JSAM y
WSAM a travs de perfiles de recursos estndar (seleccione Users > Resource
Profiles > SAM o Terminal Services.)
NOTA: Si desea configurar el acceso a un servidor Citrix Metaframe a travs de

un servidor de interfaz Web de Citrix, debe usar las plantillas de perfil de recursos
web. Si desea configurar el acceso a un servidor Citrix Metaframe sin usar un
servidor de interfaz Web de Citrix, debe usar un perfil de recursos o un rol de
Citrix Terminal Services o WSAM.
362
Comparacin de los mecanismos de acceso del IVE para la configuracin de Citrix
Tabla 19: Acceso al servidor de interfaz Web de Citrix mediante plantillas de perfil de recursos web
Requisito
Terminal Services
JSAM
WSAM
Experiencia de usuario
1. El usuario debe hacer clic en

el marcador de interfaz Web
de Citrix en la seccin Web
Bookmarks de la consola de
1. El usuario inicia JSAM.
1. El usuario inicia WSAM.
2. El usuario debe hacer clic en 2. El usuario debe hacer clic en

2. El usuario pasa a la pgina de
inicio de sesin de la interfaz 3. El usuario pasa a la pgina
3. El usuario pasa a la pgina
Web (WI) de Citrix
de inicio de sesin de la
de inicio de sesin de la
(suponiendo que no configur
interfaz Web (WI) de Citrix
interfaz Web (WI) de Citrix
FORM POST SSO).
(suponiendo que no
(suponiendo que no
configur FORM POST SSO).
configur FORM POST SSO).
3. Una vez que el usuario inicia
sesin en el portal WI (ya sea 4. Una vez que el usuario inicia 4. Una vez que el usuario inicia
de forma manual o
sesin en el portal WI (ya sea
sesin en el portal WI (ya sea
automtica a travs de SSO),
de forma manual o
de forma manual o
pasa a la pgina del portal
WI de Citrix, que contiene
la lista de aplicaciones
publicadas de forma
de icono.
publicadas de forma
publicadas de forma
de icono.
de icono.
4. Cuando el usuario hace clic
en la aplicacin publicada,
5. Cuando el usuario hace clic 5. Cuando el usuario hace clic
se inicia el proxy
Juniper Networks Citrix
el trfico de ICA se transmite
Terminal Services (CTS), y
por un tnel a travs
por un tnel a travs
de WSAM.
de JSAM.
por un tnel a travs del
proxy Juniper Networks CTS.
Acceso a las
aplicaciones publicadas
de Mac o Linux
No se admite en Mac ni Linux.
Se admite en Mac y en Linux.
No se admite en Mac ni Linux.
Configuracin
de puertos
El IVE supervisa
automticamente todo el trfico
en el puerto 1494 si se desactiva
la fiablilidad de la sesin en el
servidor. El IVE supervisa el
puerto 2598 si se activa la
fiablilidad de la sesin. No es
necesario especificar los puertos
que desea supervisar ni las
aplicaciones que necesitan
intermediacin.
Debe especificar los puertos

que debe supervisar el IVE.
Esto le permite tener acceso
a las aplicaciones publicadas
que usan puertos que no sean
el 1494.
No es necesario especificar los

puertos que desea supervisar ni
las aplicaciones que necesitan
intermediacin. WSAM
funciona en modo app y
supervisa todo el trfico que
proviene de determinados
ejecutables de Citrix.
Privilegios de
administrador
Si un cliente Web de Citrix no

est instalado en el escritorio
del usuario, se requieren
privilegios de administrador.

Requiere privilegios
de administrador para
instalar WSAM.
sta es una limitacin de la

instalacin del cliente Citrix.
Para instalar y ejecutar el cliente
de proxy Juniper Networks
Citrix Terminal Services, no se
requieren privilegios de
administrador.

Para ejecutar JSAM, no se
administrador.
Comparacin de los mecanismos de acceso del IVE para la configuracin de Citrix 363
Tabla 19: Acceso al servidor de interfaz Web de Citrix mediante plantillas de perfil de recursos web
Requisito
Terminal Services
JSAM
WSAM
Modificacin de
archivos de host
No requiere modificacin del

archivo etc/hosts.

archivo etc/hosts.

archivo etc/hosts.
Ms informacin
Informacin general de JSAM Informacin general de

Creacin de perfiles de
WSAM en la pgina 493.
recursos mediante aplicaciones en la pgina 516.
Web de Citrix en la pgina 365.
Tabla 20: Acceso a servidores de interfaz Web no de Citrix mediante mecanismos de acceso estndar del IVE
Requisito
Terminal Services
JSAM
Experiencia de usuario
1. JSAM se inicia
El usuario inicia la aplicacin
automticamente cuando
publicada haciendo clic en el
el usuario inicia sesin en
marcador o icono de la seccin
el IVE o inicia manualmente
Terminal Services de la consola
JSAM.
de usuario final del IVE.
WSAM
1. WSAM se inicia
automticamente cuando
el usuario inicia sesin en
el IVE o inicia manualmente
WSAM.
2. El usuario inicia la aplicacin 2. El usuario inicia la aplicacin

publicada mediante los
publicada mediante los
mtodos estndar, como el
mtodos estndar, como el
men de inicio de Windows
men de inicio de Windows
o un icono del escritorio.
o un icono del escritorio.
Acceso a las
aplicaciones publicadas
de Mac o Linux
Los usuarios de Macintosh y

Linux no pueden tener acceso
a las aplicaciones publicadas de
un servidor Citrix Metaframe.

Linux pueden tener acceso a
las aplicaciones publicadas de

Linux no pueden tener acceso
a las aplicaciones publicadas de
Configuracin de
administrador
Puede especificar los puertos

a los que el IVE debe
proporcionar intermediacin.
Adems, si no configura esta
informacin, el IVE supervisa
automticamente los puertos
1494 y 2598.
No puede configurar Citrix

como una aplicacin estndar.
En cambio, debe crear una
aplicacin personalizada de
JSAM, proporcionar los
nombres de todos los
servidores Metaframe y
especificar los puertos que
debe supervisar el IVE. Esto le
permite usar aplicaciones tales
como puertas de enlace Citrix
Secure (CSG) y aplicaciones
publicadas que usan puertos
que no son el 1494.
Debe especificar los puertos

y las aplicaciones que debe
supervisar el IVE. Esto le
permite usar aplicaciones tales
como puertas de enlace Citrix
Secure (CSG) y aplicaciones
publicadas que usan puertos
que no son el 1494.
Privilegios de
administrador

Requiere privilegios de
Requiere privilegios de
administrador para ejecutar
administrador para instalar
JSAM debido a que se requieren WSAM.
modificaciones del archivo de
etc/hosts.

Para instalar y ejecutar el cliente
de proxy Juniper Networks
Citrix Terminal Services, no se
administrador.
364
Modificacin de archivos No requiere modificacin del

archivo etc/hosts.
de host
Requiere modificacin del

archivo de etc/hosts.
Ms informacin
Informacin general de JSAM Informacin general de

en la pgina 516
Terminal Services en la
pgina 563
Comparacin de los mecanismos de acceso del IVE para la configuracin de Citrix

archivo etc/hosts.
Creacin de perfiles de recursos mediante aplicaciones Web de Citrix

La plantilla Web de Citrix le permite configurar fcilmente el acceso a Citrix
mediante el proxy Juniper Networks Citrix Terminal Services, JSAM o WSAM.
Para crear un perfil de recursos con la plantilla de Citrix:
3. Seleccione Citrix Web Interface/JICA en la lista Type.
recursos de Citrix.
5. Introduzca la URL del servidor Web que hospeda los archivos ICA en el campo
Web Interface (NFuse) URL. Use el formato: [protocolo://]host[:puerto][/ruta].
Por ejemplo, introduzca la URL de un servidor NFuse, la interfaz Web para un
servidor Citrix Metaframe Presentation o un servidor Web del cual el IVE puede
descargar applets de Citrix Java o archivos cab de Citrix. (El IVE utiliza la URL
especificada para definir el marcador predeterminado del perfil de recursos de
Citrix.) Puede introducir una URL de directorio o una URL de archivo. Para
obtener directrices detalladas sobre cmo aplicar formato a recursos Web,
consulte Definicin de URL de base en la pgina 394.
6. Especifique el tipo de administracin de Citrix que va a usar en su entorno
seleccionando una de las siguientes opciones:
Java ICA Client with Web Interface (NFuse): Seleccione esta opcin
si implement la interfaz Web de Citrix para MPS (es decir, NFuse) para
entregar clientes Java ICA.
Java ICA Client without Web Interface (NFuse): Seleccione esta opcin
si implement un servidor Web genrico para entregar clientes Java ICA.
Non-Java ICA Client with Web Interface (NFuse): Seleccione esta opcin
si implement la interfaz Web de Citrix para MPS (es decir, NFuse) para
usar cualquiera de los diferentes clientes (Java, ActiveX, local).
Non-Java ICA Client without Web Interface (NFuse): (Slo lectura) Si

implement un cliente que no sea Java ICA sin la interfaz Web de Citrix
para MPS (es decir, NFuse), no puede crear un perfil de recursos de Citrix
a travs de esta plantilla. En lugar de ello, haga clic en el enlace client
application profile bajo esta opcin. El enlace conduce a la pgina Client
Application Profiles, donde puede crear un perfil de recursos de SAM.
Para obtener instrucciones, consulte Especificacin de aplicaciones y
servidores para proteger con WSAM en la pgina 501.
365
7. En la lista Web Interface (NFuse) version, seleccione la versin de Citrix que

va a utilizar. (El IVE usa este valor para llenar previamente los valores de los
formularios POST SSO en su directiva automtica de inicio de sesin nico.
Para obtener ms informacin, consulte Especificacin de opciones de
directiva automtica de SSO remoto en la pgina 400.)
8. Especifique los servidores Metaframe de los cuales desea controlar el acceso
en el rea de servidores MetaFrame. Luego, haga clic en Add. Al especificar
servidores, puede introducir comodines o rangos IP.
El IVE usa los valores que introduce para crear automticamente una directiva
de recursos correspondiente que permite el acceso a los recursos necesarios:
Si selecciona Java ICA Client with o without Web Interface, el IVE crea
una directiva de recursos de Java ACL correspondiente que permite que los
applets Java se conecten con los servidores Metaframe especificados.
Si selecciona Non-Java ICA Client with Web Interface y luego ICA client
connects over WSAM o JSAM (abajo), el IVE crea una directiva de recursos
SAM correspondiente, que permite a los usuarios tener acceso a los
servidores a los servidores Metaframe especificados.
Si selecciona Non-Java ICA Client with Web Interface y luego ICA client
connects over CTS, el IVE crea directivas de recursos de Terminal Services
y Java correspondientes, que permite a los usuarios tener acceso a los
servidores a los servidores Metaframe especificados.
9. (Slo clientes Java ICA.) Si implement Citrix con un cliente Java ICA, seleccione
la casilla de verificacin Sign applets with uploaded code-signing
certificate(s) para volver a iniciar los recursos especificados con el certificado
cargado a travs de la pgina System > Configuration > Certificates >
Code-signing Certificates de la consola de administracin. (Para obtener
instrucciones, consulte Uso de certificados de firma de cdigo en la
pgina 776.)
Al seleccionar esta opcin, el IVE usa todos los valores allow que introduzca
en la directiva automtica de control de acceso Web del perfil de recursos para
crear automticamente una directiva de recursos de firma de cdigo
correspondiente. En esta directiva, el IVE usa los recursos Web especificados
para crear una lista de servidores de confianza.
10. (Slo clientes ICA no de Java) Si implement Citrix con un cliente ICA no de
Java con una interfaz Web, debe usar el proxy Juniper Networks Citrix Terminal
Services, Secure Application Manager o Network Connect para ofrecer trfico
seguro a los servidores Metaframe en lugar del motor de intermediacin de
contenido. Para ofrecer trfico seguro a travs de Network Connect, consulte
las instrucciones en Network Connect en la pgina 655.
366
Para ofrecer trfico seguro a travs del proxy Juniper Citrix Terminal Services o
de Secure Application Manager, seleccione una de las siguientes opciones en la
seccin ICA Client Access:
ICA client connects over CTS Client: Seleccione esta opcin para ofrecer
trfico seguro de Citrix a travs del cliente de Citrix Terminal Services (si
los usuarios utilizan clientes ActiveX) o el motor de reescritura Java (si los
usuarios utilizan clientes Java) del IVE. (Al seleccionar esta opcin, el IVE
habilita automticamente la opcin Terminal Services de la pgina Users >
User Roles > Seleccionar rol > General > Overview de la consola de
administracin.)
NOTA: Si utiliza un servidor Web de terceros, como el servidor de Intranet de su

empresa para entregar el archivo ICA, asegrese de que el tipo de contenido del
encabezado de respuesta HTTP sea application/x-ica. Slo entonces, el IVE
proporciona intermediacin automtica al archivo ICA e inicia su cliente Citrix
Terminal Services para transmitir el trfico por un tnel.
NOTA: Si selecciona esta opcin, le recomendamos inhabilitar las descargas de
clientes Citrix a travs de la interfaz Web de Citrix. De lo contrario, los usuarios

pueden iniciar inadvertidamente dos ventanas diferentes que descargan
simultneamente dos versiones del cliente Citrix: una a travs del IVE (que
automticamente intenta descargar el cliente Citrix si no hay uno en el equipo
del usuario) y uno a travs de la interfaz Web de Citrix.
ICA client connects over WSAM: Seleccione esta opcin para ofrecer
trfico seguro mediante WSAM. (Al seleccionar esta opcin, el IVE habilita
automticamente la opcin Secure Application Manager de la pgina Users
> User Roles > Seleccionar rol > General > Overview de la consola de
administracin.)
ICA client connects over JSAM: Seleccione esta opcin para ofrecer trfico
seguro mediante JSAM. Luego, configure las siguientes opciones:
i.
Number of Servers/Applications: Introduzca el menor de los

siguientes dos nmeros: el nmero mximo de servidores Citrix en su
entorno o el nmero mximo de aplicaciones publicadas que el usuario
puede abrir simultneamente. Por ejemplo, si el entorno contiene un
servidor y cinco aplicaciones publicadas, introduzca 1 en este campo,
o si el entorno contiene 20 servidores y 10 aplicaciones publicadas,
introduzca 10. El valor mximo que acepta este campo es 99.
367
ii.
Citrix Ports: Especifique los puertos en los cuales escuchan los

servidores Metaframe.
(Al seleccionar la opcin ICA client connects over JSAM, el IVE habilita
automticamente la opcin Secure Application Manager en la pgina
Users > User Roles > Seleccionar rol > General > Overview de la consola
de administracin.)
NOTA: No se puede habilitar WSAM y JSAM para el mismo rol. Por lo tanto,
si intenta crear un perfil de recursos de Citrix que utilice uno de estos mecanismos
de acceso (por ejemplo, JSAM), y otro perfil asociado con el rol ya usa el otro
mecanismo de acceso (por ejemplo, WSAM), el IVE no habilita el nuevo
mecanismo de acceso (JSAM) para el rol. Tenga en cuenta adems que slo puede
usar WSAM o JSAM para configurar el acceso a una aplicacin de Citrix por rol
de usuario.
11. (Slo para clientes ICA no de Java con interfaz Web.) Si desea permitir a los
usuarios tener acceso a los recursos locales, como impresoras y unidades a
travs de las sesiones de su interfaz Web de Citrix, seleccione la casilla de
verificacin Configure access to local resources. Luego, seleccione las
siguientes opciones:
Seleccione Connect printers si desea habilitar al usuario para que imprima

la informacin del servidor terminal a su impresora local.
Seleccione Connect drives si desea habilitar al usuario para que copie la

informacin del servidor terminal a sus directorios de clientes locales.
Seleccione Connect COM Ports si desea habilitar la comunicacin entre el

servidor y los dispositivos terminales de los puertos serie del usuario.
NOTA:
368
Para controlar el acceso a los recursos locales exclusivamente a travs de

los ajustes de su servidor Citrix Metaframe, borre la casilla de verificacin
Configure access to local resources. Una vez borrada esta opcin, surten
efecto los ajustes del servidor Metaframe. O bien, si desea omitir
selectivamente los ajustes del servidor Citrix Metaframe para el marcador,
seleccione la casilla de verificacin Configure access to local resources y
especifique los recursos locales de los cuales desea habilitar o inhabilitar el
acceso. Tenga en cuenta que, aunque habilite el acceso a un recurso local a
travs del IVE, deber habilitarlo tambin a travs del servidor Metaframe.
Cuando habilita recursos locales a travs del servidor de terminal, cada

usuario slo puede tener acceso a sus propios recursos locales. Por ejemplo,
el usuario 1 no puede ver los directorios locales del usuario 2.
12. Seleccione la casilla de verificacin Autopolicy: Web Access Control para crear
una directiva que permita o deniegue a los usuarios el acceso a los recursos
especificados en el campo URL de la interfaz Web (NFuse). (De forma
predeterminada, el IVE crea automticamente una directiva que permita el
acceso a los recursos y a todos los subdirectorios.) Para obtener informacin
detallada, consulte Definicin de una directiva automtica de control de
acceso web en la pgina 395.
13. Si selecciona una de las opciones de interfaz Web anteriores, actualice la
directiva SSO creada por la plantilla de Citrix. Seleccione la casilla de
verificacin Autopolicy: Single Sign-on. (Las directivas automticas de inicio
de sesin nico configuran el IVE para que transmita automticamente datos
del IVE, como nombres de usuario y contraseas, a la aplicacin de Citrix. El
IVE agrega automticamente los valores usados con mayor frecuencia a la
directiva automtica de inicio de sesin nico segn la implementacin de
Citrix que elija.)
Al seleccionar inicio de sesin nico, las cookies WIClientInfo y WINGSession
se llenan previamente de forma automtica adems del recurso POST y la URL.
Para obtener informacin detallada, consulte Especificacin de opciones de
directiva automtica de SSO remoto en la pgina 400.
Tambin, si selecciona la opcin de interfaz no Web, puede crear
opcionalmente su propia directiva automtica de inicio de sesin nico gracias
a las instrucciones de Definicin de una directiva automtica de inicio de
sesin nico en la pgina 397.
15. Seleccione los roles de la ficha Roles a los que se aplica el perfil de recursos
de Citrix y haga clic en Add.
Los roles seleccionados heredan las directivas automticas y los marcadores
creados por el perfil de recursos de Citrix. Si an no est habilitada, el IVE
tambin habilita automticamente la opcin Web de la pgina Users > User
Roles > Seleccionar rol > General > Overview de la consola de administracin
y la opcin Allow Java Applets de la pgina Users > User Roles > Seleccionar
rol > Web > Options de la consola de administracin para todos los roles que
seleccione.
17. (Opcional) En la ficha Bookmarks, modifique el marcador predeterminado
creado por el IVE o cree marcadores nuevos segn las instrucciones de
Definicin de un marcador web en la pgina 412. (De forma predeterminada,
el IVE crea un marcador en la URL de la interfaz Web (NFuse) definido en el
campo Web Interface (NFuse) URL y lo muestra a todos los usuarios asignados
al rol especificado en la ficha Roles.)
369
370
Captulo 15: Plantillas de Lotus iNotes
Captulo 15
Plantillas de Lotus iNotes

Una plantilla de Lotus iNotes es un perfil de recursos que controla el acceso a la
aplicacin web y configura los ajustes de iNotes segn se necesite. Las plantillas
de Lotus iNotes reducen considerablemente el tiempo de configuracin ya que
almacenan los ajustes todos juntos en un solo lugar, y rellenan varios ajustes
de las directivas de recursos de acuerdo con el tipo de configuracin que haya
seleccionado. (Para obtener ms informacin sobre las plantillas de perfiles de
recursos, consulte Perfiles de recursos en la pgina 91.)
El IVE admite la intermediacin de trfico a Lotus iNotes a travs de una plantilla
del perfil de recursos de reescritura web o a travs de JSAM, WSAM y Network
Connect. Este tema describe cmo configurar el acceso mediante la plantilla de
reescritura web. Los valores prellenados varan segn la versin de iNotes que
seleccione y estn determinados segn la implementacin ms comn de los
servidores.
Para obtener ms informacin sobre las caractersticas de configuracin de JSAM
y WSAM, consulte Secure Application Manager en la pgina 491. Para obtener
ms informacin sobre la caracterstica de configuracin Network Connect,
Para crear un perfil de recursos con una plantilla de Lotus iNotes:
3. Seleccione la versin de Lotus Notes de la lista Type.
recursos Lotus Notes.
5. En el cuadro Base URL, introduzca la URL del recurso Lotus iNotes del cual
desea controlar el acceso. Use el formato: [protocolo://]host[:puerto][/ruta].
El IVE utiliza la URL especificada para definir el marcador predeterminado del
perfil de recursos Lotus iNotes. Puede introducir una URL de directorio o una
URL de archivo. Para obtener directrices detalladas sobre cmo aplicar formato
a recursos Web, consulte Definicin de URL de base en la pgina 394.
6. En los ajustes de iNotes, seleccione Allow caching on client para que los
exploradores web almacenen en el equipo del usuario datos que nos lo
identifican, como los archivos de Javascript y CSS. Seleccione Minimize
caching on client para permitir al IVE enviar un encabezado cache-control:
no-store o un encabezado cache-control:no-cache segn el explorador web del
usuario y el tipo de contenido. Esto es lo mismo que el almacenamiento en
cach inteligente. Consulte Definicin de directivas de recursos:
almacenamiento en cach en la pgina 433.
371
La opcin Allow caching on client almacena en cach el contenido que

normalmente almacena el servidor iNotes backend en su cach. Esta opcin
mejora el rendimiento ya que usa el contenido almacenado en cach en lugar
de obtenerlo del servidor la prxima vez que se muestra la pgina. La opcin
Minimize caching on client ofrece seguridad ya que enva un encabezado
cache-control:no-store o un encabezado cache-control:no-cache para que no se
almacene el contenido o bien para que se vuelva a validar el contenido
almacenado cada vez que se solicita. Con ambas opciones, se puede permitir
o impedir que se carguen o descarguen archivos adjuntos.
7. Marque la casilla de verificacin Prevent download of attachments para
prohibir a los usuarios descargar archivos adjuntos en sus sistemas. Marque
la casilla de verificacin Prevent upload of attachments (disponible slo para
Lotus iNotes 6.5 y Lotus iNotes 7) para impedir que los usuarios transmitan
(carguen) archivos adjuntos al IVE.
8. Marque la casilla de verificacin Autopolicy: Web Access Control para crear
una directiva que otorgue o niegue a los usuarios el acceso al recurso web
(y a todos sus subdirectorios) indicado en el campo Resource.
a.
En el cuadro Resource, especifique el servidor web o pgina HTML

de la cual desea controlar el acceso usando el siguiente formato:
[protocolo://]host[:puerto][/ruta]. Para obtener directrices detalladas,
consulte Definicin de recursos Web en la pgina 396.
b.
En la lista Action, seleccione Allow para otorgar acceso al recurso

especificado o Deny para negarlo.
c.
Haga clic en Add.
9. Marque la casilla de verificacin Autopolicy: Caching en el cuadro Resource

para especificar los recursos a los que se aplica esta directiva. Para crear la
directiva automtica de almacenamiento en cach, siga las instrucciones que
aparecen en Definicin de una directiva automtica de almacenamiento en
cach en la pgina 401.
NOTA: Debe configurarse la directiva de recursos de almacenamiento en cach
correcta para que los usuarios puedan abrir y guardar documentos adjuntos de
correo electrnico de distinto tipo en iNotes. Por ejemplo, si la directiva de
almacenamiento en cach est configurada en Smart, los usuarios finales no
podrn guardar en el disco documentos adjuntos con la extensin .htm o .html.
10. Marque la casilla de verificacin Autopolicy: Web Compression para crear
una directiva que especifique los tipos de datos web que debe o no comprimir
el IVE.
a.
372
En el campo Resources, especifique los recursos a los cuales se aplica

esta directiva. Para obtener directrices detalladas, consulte Definicin
de recursos Web en la pgina 396.
Captulo 15: Plantillas de Lotus iNotes
b.
c.
Seleccione una de las siguientes opciones de la lista Action:
Compress: El IVE comprime los tipos de contenido compatibles del

recurso especfico.
Do not compress: El IVE no comprime los tipos de contenido

compatibles del recurso especfico.
Haga clic en Add.
11. Marque la casilla de verificacin Autopolicy: Single Sign-On para pasar datos al
IVE tales como el nombre de usuario y la contrasea para la aplicacin Lotus
iNotes. Para crear la directiva automtica de inicio de sesin nico, siga las
instrucciones de Definicin de una directiva automtica de inicio de sesin
nico en la pgina 397.
13. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
Lotus iNotes y haga clic en Add.
creados por el perfil de recursos Lotus iNotes. Si an no se encuentra habilitada,
el IVE tambin habilita automticamente la opcin web en la pgina Users >
User Roles > Select Role > General > Overview de la consola de
administracin.
creado por el IVE o cree marcadores nuevos segn las instrucciones de
Definicin de un marcador web en la pgina 412.
373
374
Captulo 16: Plantillas de Microsoft OWA
Captulo 16
Plantillas de Microsoft OWA

Una plantilla de Microsoft Outlook Web Access (OWA) es un perfil de recursos
que controla el acceso a la aplicacin y configura los ajustes de OWA segn sea
necesario. Las plantillas de OWA reducen significativamente el tiempo de
configuracin al consolidar en un lugar los ajustes de configuracin e introducir
de antemano una variedad de ajustes de directrices de recursos segn el tipo de
configuracin que escoja. (Para obtener ms informacin sobre las plantillas de
perfiles de recursos, consulte Perfiles de recursos en la pgina 91.)
El IVE admite intermediacin de trfico con Microsoft OWA a travs de una plantilla
de perfil de recursos de reescritura web, JSAM, WSAM, y Network Connect. Este
tema describe cmo configurar el acceso mediante la plantilla de reescritura web.
Los valores predefinidos varan segn la versin de OWA seleccionada y se basan en
la implementacin ms comn de los servidores.
Para obtener ms informacin sobre las caractersticas de configuracin de JSAM
y WSAM, consulte Secure Application Manager en la pgina 491. Para obtener
ms informacin sobre la caracterstica de configuracin Network Connect,
Para crear un perfil de recursos a travs de la plantilla de Microsoft OWA:
1. Seleccione Users > Resource Profiles > Web Applications/Pages en la
3. Seleccione Microsoft OWA 2000, Microsoft OWA 2003 o Microsoft OWA 2007
en la lista Type.
4. Introduzca un nombre exclusivo y una descripcin opcional para el perfil de
recursos de Citrix.
5. Introduzca en el cuadro Base URL la URL del recurso OWA para el que desea
controlar el acceso. Use el formato: [protocolo://]host[:puerto][/ruta]. El IVE
utiliza la URL especificada para definir el marcador predeterminado del perfil
de recursos OWA. Puede introducir una URL de directorio o una URL de archivo.
Para obtener directrices detalladas sobre cmo aplicar formato a recursos Web,
consulte Definicin de URL de base en la pgina 394.
375
6. En ajustes de OWA, seleccione las siguientes opciones:

a.
(OWA 2000 y OWA 2003.) Seleccione Allow caching on client para que los
exploradores web guarden en la mquina del usuario datos independientes
del usuario, tales como archivos Javascript y CSS.
La opcin Allow caching on client guarda el contenido que el servidor
backend de OWA generalmente almacena. Esta opcin mejora el
rendimiento ya que usa el contenido almacenado en cach en lugar
de obtenerlo del servidor la prxima vez que se muestra la pgina.
b.
(OWA 2000 y OWA 2003.) Seleccione Minimize caching on client para que
el IVE enve un encabezado cache-control:no-store o un encabezado cachecontrol:no-cache (no guardar contenido o volver a validar el contenido
guardado cada vez que se solicite) segn el explorador web del usuario
y el tipo de contenido. Esto es lo mismo que el almacenamiento en cach
inteligente.
c.
(OWA 2007.) Seleccione Managed Device para guardar archivos. Si

configura un formulario post SSO, el parmetro de confianza se establece
en 4, lo que significa que el dispositivo del usuario final es privado.
d. (OWA 2007.) Seleccione Unmanaged Device para no guardar archivos. Si

configura un formulario post SSO, el parmetro de confianza se establece
en 0, lo que significa que el dispositivo del usuario final es pblico.
NOTA: Si es necesario descargar un archivo adjunto, el archivo se guarda incluso si

selecciona Unmanaged Device.
e.
Seleccione Prevent download of attachments para prohibir que los

usuarios descarguen archivos adjuntos en sus sistemas.
f.
Seleccione Prevent upload of attachments para evitar que los usuarios

transmitan (carguen) archivos adjuntos al IVE.
7. En Autopolicy: Web Access Control, cree una directiva que permita o niegue
el acceso de los usuarios al recurso Web (y todos sus subdirectorios) que se
muestran en el campo Resource.
376
a.
Especifique en el campo Resource el servidor web o pgina HTML a los que

Para obtener directrices detalladas, consulte Definicin de recursos Web
en la pgina 396.
b.
Seleccione Allow para permitir el acceso al recurso especificado o Deny

para bloquear el acceso al recurso especificado en la lista Action.
c.
Haga clic en Add.
Captulo 16: Plantillas de Microsoft OWA
8. En Autopolicy: Caching: especifique en el cuadro Resource los recursos

a los que se aplica esta directiva. Para crear la directiva automtica de
almacenamiento en cach, siga las instrucciones que aparecen en Definicin
de una directiva automtica de almacenamiento en cach en la pgina 401.
NOTA: Para permitir que los usuarios abran y guarden archivos adjuntos
de distintos tipos en OWA, se debe configurar la directiva correcta de
almacenamiento de recursos. Por ejemplo, si la directiva de almacenamiento
se configura en Smart, los usuarios finales no podrn guardar archivos .htm
o .html en el disco.
9. En directiva automtica: Web Compression, cree una directiva que especifique

el tipo de datos web que el IVE debera y no debera comprimir.
a.
Especifique en el cuadro Resources los recursos a los que se aplica esta

directiva. Para obtener directrices detalladas, consulte Definicin de
recursos Web en la pgina 396.
b.
Seleccione una de las siguientes opciones de la lista Action:
c.
Compress: El IVE comprime los tipos de contenido compatibles del

recurso especfico.
Do not compress: El IVE no comprime los tipos de contenido

compatibles del recurso especfico.
Haga clic en Add.
10. Seleccione la casilla de verificacin Autopolicy: Single Sign-On para pasar a

la aplicacin OWA IVE datos como el nombre de usuario y la contrasea. Para
crear la directiva automtica de inicio de sesin nico, siga las instrucciones
de Definicin de una directiva automtica de inicio de sesin nico en la
pgina 397.
y haga clic en Add.
marcadores creados por el perfil de recursos de Microsoft OWA. En caso de no
estar habilitada, el IVE tambin habilita automticamente la opcin Web en la
pgina Users > User Roles > Seleccionar rol > General > Overview, de la
creado por el IVE o cree marcadores nuevos usando las instrucciones de
377
378
Captulo 17: Plantillas de Microsoft Sharepoint
Captulo 17
Plantillas de Microsoft Sharepoint

Una plantilla de Microsoft Sharepoint es un perfil de recursos que controla el acceso
a la aplicacin y configura los ajustes de Sharepoint segn sea necesario. Las
plantillas de Sharepoint reducen significativamente el tiempo de configuracin al
consolidar en un lugar los ajustes de configuracin e introducir de antemano una
variedad de ajustes de directrices de recursos segn el tipo de configuracin que
escoja. (Para obtener ms informacin sobre las plantillas de perfiles de recursos,
consulte Perfiles de recursos en la pgina 91.)
El IVE admite intermediacin de trfico con Microsoft Sharepoint a travs de una
plantilla de perfil de recursos de reescritura web, JSAM, WSAM y Network Connect.
Este tema describe cmo configurar el acceso mediante la plantilla de reescritura
web.
NOTA: En la versin actual, se admite el envo de informacin de contacto desde
Sharepoint al cliente Outlook a travs del Motor de intermediacin de contenido
(caracterstica de reescritura web). Para transferir la informacin de contacto al
servidor Exchange backend, se necesita WSAM, JSAM o Network Connect. Para
importar la informacin de contacto en el servidor Sharepoint desde el cliente
Outlook, primero exporte los contactos y luego crguelos al servidor Sharepoint.
Para obtener ms informacin sobre las caractersticas de configuracin de JSAM y

WSAM, consulte Secure Application Manager en la pgina 491. Para obtener ms
informacin sobre la caracterstica de configuracin Network Connect, consulte
Network Connect en la pgina 655.
Para crear un perfil de recursos a travs de la plantilla de Microsoft Sharepoint:
3. Seleccione Microsoft Sharepoint en la lista Type.
recursos de Sharepoint.
5. Introduzca en el cuadro Base URL la URL del recurso Sharepoint para el que
desea controlar el acceso. Use el formato: [protocolo://]host[:puerto][/ruta]. El
IVE utiliza la URL especificada para definir el marcador predeterminado del
perfil de recursos Sharepoint. Puede introducir una URL de directorio o una
URL de archivo. Para obtener directrices detalladas sobre cmo aplicar formato
a recursos Web, consulte Definicin de URL de base en la pgina 394.
379
6. En Sharepoint Settings, seleccione Allow in-line editing of documents within

explorer view para que los usuarios puedan modificar los archivos que
aparecen en la vista de explorador.
a.
Introduzca la URL para la vista de explorador y haga clic en Add. No

introduzca valores que resuelvan a URL distintas a la de vista de explorador
(como http://*:*). Si lo hace, la vista de explorador podra no funcionar.
b.
Ordene los recursos de la lista, si corresponde, marcando la casilla de

verificacin junto a un elemento, y use las flechas hacia arriba y hacia
abajo para moverlo al lugar correcto de la lista.
c.
Introduzca la cantidad de minutos que una cookie persistente residir en el

equipo de un usuario antes de que expire en el cuadro Persistent cookie
timeout.
NOTA: No confunda esta opcin de inactividad con Max. Session Length,

que determina la cantidad de minutos que una sesin activa de usuario no
administrativo puede permanecer abierta antes de finalizar. Para obtener ms
informacin sobre la opcin Max. Session Length, consulte Especificacin de las
opciones de sesin en la pgina 76.
7. En Autopolicy: Web Access Control, cree una directiva que permita o niegue
el acceso de los usuarios al recurso Web (y todos sus subdirectorios) que se
muestra en el cuadro Resource.
a.
Especifique en el campo Resource el servidor web o pgina HTML a los que

Para obtener directrices detalladas, consulte Definicin de recursos Web
en la pgina 396.
b.
Seleccione Allow para permitir el acceso al recurso especificado o Deny

para bloquear el acceso al recurso especificado en la lista Action.
c.
Haga clic en Add.
8. (Opcional) Haga clic en Show ALL autopolicy types para crear otras directivas
automticas que perfeccionen el acceso al recurso. Luego, proceda a crear las
directivas automticas utilizando las instrucciones que aparecen en los
siguientes temas:
Definicin de una directiva automtica de inicio de sesin nico en la

pgina 397
Definicin de una directiva automtica de almacenamiento en cach en

la pgina 401
Definicin de una directiva automtica de reescritura en la pgina 406
Definicin de una directiva automtica de compresin web en la

pgina 411
380
Captulo 17: Plantillas de Microsoft Sharepoint
y haga clic en Add.
creados por el perfil de recursos de Microsoft Sharepoint. En caso de no estar
habilitada, el IVE tambin habilita automticamente la opcin Web en la pgina
Users > User Roles > Seleccionar rol > General > Overview, de la consola de
administracin.
381
382
Captulo 18
Reescritura web
La caracterstica de reescritura web del IVE le permite proporcionar intermediacin
de las URL web a travs del motor de intermediacin de contenido. Puede
proporcionar intermediacin de las URL en la World Wide Web o en la intranet
corporativa.
Esta seccin contiene la siguiente informacin acerca de la intermediacin de
contenido web:
Licencia: Disponibilidad de la reescritura web en la pgina 384
Resumen de tareas: configuracin de la caracterstica de reescritura web en la

pgina 384
Informacin general sobre la reescritura de URL web en la pgina 386
Definicin de perfiles de recursos: Aplicaciones web personalizadas en la

pgina 392
Definicin de los ajustes de rol: URL web en la pgina 415
Definicin de directivas de recursos: Informacin general en la pgina 422
Definicin de directivas de recursos: acceso web en la pgina 424
Definicin de directivas de recursos: inicio de sesin nico en la pgina 425
Definicin de directivas de recursos: almacenamiento en cach en la

pgina 433
Definicin de directivas de recursos: applets de Java externos en la

pgina 439
Definicin de directivas de recursos: reescritura en la pgina 443
Definicin de directivas de recursos: compresin web en la pgina 454
Definicin de directivas de recursos: proxy web en la pgina 456
Definicin de directivas de recursos: protocolo HTTP 1.1 en la pgina 459
383
Definicin de directivas de recursos: Acceso a dominio cruzado (llamadas

XMLHttpRequest) en la pgina 461
Definicin de directivas de recursos: opciones generales en la pgina 462
Administracin de directivas de recursos: Personalizacin de vistas de UI en la

pgina 463
Licencia: Disponibilidad de la reescritura web

La reescritura web es una caracterstica estndar de todos los dispositivos de acceso
seguro a excepcin del SA 700. Si utiliza un dispositivo SA-700, deber instalar una
licencia de actualizacin de acceso sin clientes si desea acceder a las caractersticas
bsicas de reescritura web. Sin embargo, tenga en cuenta que las siguientes
caractersticas avanzadas de reescritura web no estn disponibles en el dispositivo
SA 700, aunque tenga una licencia de actualizacin de acceso sin clientes:
SSO remoto
Directivas de reescritura WSAM y JSAM (disponibles a travs de los perfiles de

recursos de aplicacin web)
Opciones de reescritura no Java ICA (disponibles a travs de plantillas Citrix)
Resumen de tareas: configuracin de la caracterstica de

reescritura web
NOTA: Al proporcionar intermediacin del contenido a travs del motor de
intermediacin de contenido, recomendamos que la hora GMT sea la misma tanto

en el IVE como en el servidor de aplicaciones web backend. Esto evita el
vencimiento prematuro de las cookies si la hora del IVE es posterior a la hora del
servidor de aplicaciones web.
Para configurar la caracterstica de reescritura web:
1. Cree perfiles de recursos que permitan el acceso a los sitios web, cree directivas
automticas de soporte (como directivas de inicio de sesin nico y directivas
de control de acceso a Java) segn sea necesario, incluya marcadores que se
vinculen a los sitios web, y asigne las directivas y los marcadores a roles de
usuarios usando los ajustes de la pgina Users > Resource Profiles> Web
Application Pages de la consola de administracin. Para obtener instrucciones,
consulte:
384

pgina 392
Licencia: Disponibilidad de la reescritura web
Captulo 18: Reescritura web
Recomendamos que use los perfiles de recursos para configurar la reescritura

web (segn se describe con anterioridad). Sin embargo, si no desea usar los
perfiles de recursos, puede configurar la reescritura web usando los ajustes de
la directiva de roles y recursos en las siguientes pginas de la consola de
administracin:
a.
Cree directivas de recursos que permitan el acceso a los sitios web usando
los ajustes de la pgina Users > Resource Policies> Web > Web ACL de
la consola de administracin. Para obtener instrucciones, consulte
Definicin de directivas de recursos: acceso web en la pgina 424.
b.
Segn sea necesario, cree directivas de recursos de soporte (como

directivas de inicio de sesin nico y directivas de control de acceso a Java)
usando los ajustes de las pginas Users > Resource Policies> Seleccionar
tipo de directiva de la consola de administracin. Para obtener
instrucciones, consulte:
c.
Definicin de directivas de recursos: inicio de sesin nico en la

pgina 425
Definicin de directivas de recursos: almacenamiento en cach en la

pgina 433

pgina 439
Definicin de directivas de recursos: reescritura en la pgina 443
Definicin de directivas de recursos: compresin web en la

pgina 454
Definicin de directivas de recursos: proxy web en la pgina 456
Definicin de directivas de recursos: protocolo HTTP 1.1 en la

pgina 459
Determine qu roles de usuario pueden obtener acceso a los sitios web

para los que desea proporcionar intermediacin, y permita el acceso web
a dichos roles mediante la pgina Users > User Roles > Seleccionar rol >
General > Overview de la consola de administracin. Para obtener
instrucciones, consulte Configuracin de las opciones generales del rol en
la pgina 73.
d. Crear marcadores para sus sitios web usando los ajustes de la pgina
Users > User Roles > Seleccionar rol > Web > Bookmarks de la consola
de administracin. Para obtener instrucciones, consulte Definicin de los
ajustes de rol: URL web en la pgina 415.
e.
Segn sea necesario, habilite las opciones generales web que corresponden
a los tipos de contenido web a los que est proporcionando intermediacin
(como Java) usando los ajustes de la pgina Users > User Roles >
Seleccionar rol > Web > Options de la consola de administracin. Para
obtener instrucciones, consulte Especificacin de opciones generales de
exploracin web en la pgina 418.
Resumen de tareas: configuracin de la caracterstica de reescritura web
385
2. Despus de habilitar el acceso a las aplicaciones o sitios web mediante los

perfiles de recursos o las directivas de roles y recursos de reescritura web,
puede modificar las opciones generales de roles y recursos de las pginas
siguientes de la consola de administracin:
a.
(Opcional) Ajuste las opciones adicionales de exploracin web (como

permitir que los usuarios creen sus propios marcadores o habilitar el
enmascaramiento de nombre de host) usando los ajustes de la pgina
Users > User Roles > Seleccionar rol > Web > Options de la consola
de administracin. Para obtener instrucciones, consulte Especificacin de
opciones generales de exploracin web en la pgina 418.
NOTA: Aunque habilite el enmascaramiento de nombre de host, los vnculos

correspondientes a protocolos no reescritos por el IVE no se oscurecen. Por
ejemplo, ftp://xyz.juniper.net y file://fileshare.juniper.net/filename no estn
oscurecidos. Al no oscurecer el nombre de host, los usuarios pueden seguir
accediendo a estos recursos.
b.
(Opcional) Ajuste las opciones web adicionales para recursos individuales

(como permitir que el IVE haga coincidir las direcciones IP con los nombres
de host) usando los ajustes de la pgina Users > Resource Policies >
Web > Options de la consola de administracin. Para obtener
instrucciones, consulte Definicin de directivas de recursos: opciones
generales en la pgina 462.
NOTA: Determinadas caractersticas de reescritura web (como proxy passthrough
y SSO a recursos NTLM) requieren configuracin adicional. Para obtener ms

informacin, consulte las instrucciones de configuracin correspondientes.
Informacin general sobre la reescritura de URL web

Al proporcionar intermediacin del contenido web estndar a travs del IVE, puede
crear directivas adicionales que ajusten con mayor precisin los requisitos de
acceso y las instrucciones de procesamiento para el contenido intermediado. Puede
crear estas directivas adicionales a travs de perfiles de recursos (recomendado)
o directivas de recursos.
Los tipos de directiva de reescritura web estndar son:
386
Web access control: Las directivas de acceso web controlan a qu recursos

Web pueden acceder los usuarios para conectarse a Internet, intranet o
extranet. Para obtener instrucciones acerca de la configuracin, consulte
Definicin de una directiva automtica de control de acceso web en la
pgina 395 (recomendado) o Definicin de directivas de recursos: acceso
web en la pgina 424.
Single sign-on: Las directivas de inicio de sesin nico permiten transmitir

automticamente las credenciales de usuario a una aplicacin web. Puede
configurar directivas de inicio de sesin nico para interceptar desafos de
autenticacin bsica y NTLM o colocar las credenciales y los encabezados que
especifique en la aplicacin web, segn se explica en Informacin general de
SSO remoto en la pgina 388. Para obtener instrucciones acerca de la
configuracin, consulte Definicin de una directiva automtica de inicio de
sesin nico en la pgina 397 (recomendado) o Definicin de directivas de
recursos: inicio de sesin nico en la pgina 425.
Caching: Las directivas de almacenamiento en cach controlan qu contenido

web almacena el IVE en el equipo del usuario. Para obtener instrucciones
acerca de la configuracin, consulte Definicin de una directiva automtica de
almacenamiento en cach en la pgina 401 (recomendado) o Definicin de
directivas de recursos: almacenamiento en cach en la pgina 433.
Java: Las directivas de Java controlan a qu servidores y puertos se pueden

conectar los applets de Java. Estas directivas tambin especifican los servidores
de confianza para los cuales el IVE vuelve a firmar el contenido. Para obtener
instrucciones acerca de la configuracin, consulte Definicin de una directiva
automtica de control de acceso a Java en la pgina 404 (recomendado) o
pgina 439.
Rewriting: Las directivas de reescritura especifican los recursos para los que el
IVE no debe proporcionar intermediacin, debe proporcionar intermediacin
en grado mnimo (segn se explica en Informacin general de proxy
passthrough en la pgina 389), o slo debe proporcionar intermediacin
selectivamente. Para obtener instrucciones acerca de la configuracin, consulte
(recomendado) o Definicin de directivas de recursos: reescritura en la
pgina 443.
Web compression: Las directivas de compresin web especifican qu tipos de

datos web debe comprimir o no el IVE, segn se explica en Compresin en la
pgina 1023. Para obtener instrucciones acerca de la configuracin, consulte
Definicin de una directiva automtica de compresin web en la pgina 411
(recomendado) o Definicin de directivas de recursos: compresin web en la
pgina 454.
Web proxy: (Slo directivas de recursos) Las directivas de recursos proxy web
especifican los servidores proxy web para los cuales el IVE debe proporcionar
intermediacin de contenido. Tenga en cuenta que el IVE proporciona
intermediacin tanto a proxy de reenvo como a proxy inverso, pero slo
permite el inicio de sesin nico a proxy de confianza. Para obtener
instrucciones sobre la configuracin, consulte Definicin de directivas de
recursos: proxy web en la pgina 456.
Launch JSAM: (Slo directivas de recursos) Las directivas de Launch JSAM

especifican las URL para las cuales el IVE inicia automticamente J-SAM en el
cliente. Esta caracterstica es til cuando habilita aplicaciones que requieren
J-SAM, pero no desea exigir a los usuarios que ejecuten J-SAM
innecesariamente. Para obtener instrucciones sobre la configuracin, consulte
Inicio automtico de JSAM en la pgina 545.
387
Protocol: (Slo directivas de recursos) Las directivas de recursos de protocolo

habilitan o inhabilitan la compatibilidad con el protocolo HTTP 1.1 en el IVE.
Para obtener instrucciones sobre la configuracin, consulte Definicin de
directivas de recursos: protocolo HTTP 1.1 en la pgina 459.
Options: (Slo directivas de recursos) Puede habilitar la coincidencia segn IP

para nombres de host, as como la coincidencia que distingue maysculas y
minsculas para cadenas de rutas y consultas en recursos Web a travs de las
opciones de directivas de recursos. Para obtener instrucciones sobre la
configuracin, consulte Definicin de directivas de recursos: opciones
generales en la pgina 462.
Informacin general de SSO remoto

La caracterstica de inicio de sesin nico remoto (SSO) permite especificar la
pgina de inicio de sesin URL de una aplicacin en la cual desea que el IVE
coloque las credenciales del usuario, minimizando la necesidad de los usuarios de
reintroducir sus credenciales al acceder a mltiples aplicaciones back-end. Tambin
puede especificar valores de formularios y encabezados personalizados adicionales
(incluidas las cookies) para colocar en un formulario de inicio de sesin de la
aplicacin.
La configuracin de SSO remoto consiste en especificar las directivas de
recursos Web:
Directiva Form POST: Este tipo de directiva de SSO remoto especifica la URL de
la pgina de inicio de sesin de una aplicacin en la cual desea registrar los
datos del IVE y los datos para registrar. Estos datos pueden incluir el nombre de
usuario y la contrasea primaria y secundaria del IVE del usuario (segn se
explica en Informacin general de credenciales de inicios de sesin mltiples
en la pgina 226), as como tambin datos de sistema almacenados por
variables de sistema (como se describe en Variables del sistema y ejemplos
en la pgina 1046). Tambin puede especificar si los usuarios pueden o no
modificar esta informacin.
Directiva Headers/Cookies: Este tipo de directiva de SSO remoto especifica

recursos, como aplicaciones personalizadas, a las cuales puede enviar
encabezados y cookies personalizados.
Si las credenciales de IVE de un usuario difieren de las requeridas por la aplicacin

back-end, el usuario puede acceder a la aplicacin de forma alternativa:
388
Iniciando sesin manualmente: El usuario puede acceder rpidamente a la

aplicacin back-end introduciendo sus credenciales manualmente en la pgina
de inicio de sesin de la aplicacin. El usuario tambin puede almacenar
permanentemente sus credenciales y otra informacin requerida en el IVE
a travs de la pgina Preferences como se describe ms abajo, pero no se
requiere introducir informacin en esta pgina.
Especificando las credenciales requeridas en el IVE: El usuario debe

proporcionar al IVE sus credenciales de aplicacin correctas configurndolas a
travs de la pgina Preferences. Una vez efectuada la configuracin, el usuario
debe cerrar la sesin e iniciarla nuevamente para guardar sus credenciales en el
IVE. Luego, la prxima vez que el usuario haga clic en el marcador SSO remoto
para iniciar sesin en la aplicacin, el IVE enva las credenciales actualizadas.
NOTA: Use la caracterstica de SSO remoto para transferir datos a aplicaciones con
acciones POST estticas en sus formularios HTML. No es prctico usar SSO
remoto con aplicaciones que usan acciones URL POST que cambian con
frecuencia, vencimientos segn el tiempo o acciones POST que se generan en el
momento de la creacin del formulario.
Para obtener informacin acerca de la configuracin de SSO remoto:

pgina 397 (mtodo recomendado)
Escritura de una directiva de recursos POST de formulario de SSO remoto en

la pgina 429
Escritura de una directiva de recursos de encabezados/cookies de SSO

remoto en la pgina 431
Informacin general de proxy passthrough

La caracterstica proxy passthrough permite especificar las aplicaciones web para
las que el IVE proporciona intermediacin mnima. A diferencia de la funcionalidad
proxy inverso tradicional, que adems reescribe slo partes selectivas de una
respuesta de servidor, pero requiere cambios de red, as como tambin una
configuracin compleja, esta caracterstica slo requiere que especifique los
servidores de la aplicacin y la forma en que el IVE recibe las solicitudes de cliente
para los servidores de la aplicacin:
A travs de un puerto del IVE: Al especificar una aplicacin para que

intermedie el proxy passthrough, especifique un puerto en el que el IVE
escuche las peticiones de cliente al servidor de la aplicacin. Cuando el IVE
recibe una peticin de cliente para el servidor de la aplicacin, reenva la
peticin al puerto del servidor de la aplicacin especificado. Cuando seleccione
esta opcin, debe abrir el trfico al puerto del IVE especificado en el
cortafuegos corporativo.
A travs de nombre de host virtual: Al especificar una aplicacin para que

intermedie el proxy passthrough, especifique un alias para el nombre de host
del servidor de la aplicacin. Debe agregar una entrada para este alias en el
servidor DNS externo que resuelva al IVE. Cuando el IVE recibe una peticin de
cliente para el servidor de la aplicacin, reenva la peticin al puerto del
servidor de la aplicacin especificado.
389
Esta opcin es til si su empresa tiene directivas restrictivas acerca de la

apertura de puertos de cortafuegos tanto a servidores internos como a
servidores en el DMZ. Al usar esta opcin, recomendamos que cada alias de
nombre de host contenga la misma subcadena de dominio que el nombre de
host del IVE y que cargue un certificado de servidor comodn al IVE en el
formato: *.domain.com.
Por ejemplo, si su IVE es iveserver.yourcompany.com, un alias de nombre de host
debe estar en el formato appserver.yourcompany.com y el formato de certificado
comodn debera ser *.yourcompany.com. Si no usa un certificado comodn,
entonces el explorador del cliente enva una advertencia de comprobacin de
nombre de certificado cuando un usuario explora en un servidor de aplicacin,
porque el alias de nombre de host del servidor de la aplicacin no coincide con
el nombre de dominio del certificado. Sin embargo, este comportamiento no
evita que un usuario acceda al servidor de la aplicacin.
NOTA: Al configurar el proxy passthrough para trabajar en modo de nombre de
host virtual, los usuarios deben usar el nombre de host del IVE que especifique
a travs de la pgina System > Network > Overview de la consola de
administracin al iniciar sesin en el IVE. No pueden acceder a usar el proxy
passthrough si inician sesin en el IVE usando su direccin IP.
Al igual que con el motor de intermediacin de contenido, la opcin de proxy

passthrough ofrece mayor seguridad relativa al Secure Application Manager, porque
cuando est habilitado para una aplicacin, el IVE slo permite al cliente enviar
trfico de capa 7 dirigido a puertos de aplicacin fijos en la red de la empresa.
Use esta opcin para habilitar el IVE para que sea compatible con aplicaciones que
tienen componentes incompatibles con el motor de intermediacin de contenido,
como los applets de Java en aplicaciones de la suite e-business Oracle o applets que
se ejecuten en una mquina virtual Java (JVM) incompatible.
NOTA:
390
Las URL de proxy passthrough deben ser nombres de host. Rutas de nombres
de host no son compatibles.
Juniper Networks recomienda encarecidamente que no mezcle el modo de

puerto proxy passthrough y el modo de host proxy passthrough.
La opcin proxy passthrough slo funciona para aplicaciones que escuchan en

puertos fijos y donde el cliente no realiza conexiones de socket directas.
Para usar proxy passthrough con aplicaciones E-Business de Oracle, debe

instalar un certificado real en el IVE y debe configurar Oracle Forms para usar
el modo Forms Listener Servlet.
Las siguientes caractersticas avanzadas de la barra de herramientas de

marcos del IVE no estn disponibles en el proxy passthrough: marcar pgina
actual, mostrar la URL original, mostrar los marcadores favoritos.
Resumen de tareas: configuracin de proxy passthrough

Para configurar la caracterstica de reescritura web:
1. Cree perfiles de recursos que permitan el acceso a aplicaciones web, cree
directivas automticas de reescritura web compatibles que permitan el proxy
passthrough, incluya marcadores que vinculen a las aplicaciones web y asigne
las directivas y marcadores para roles de usuario usando los ajustes de la
pgina Users > Resource Profiles > Web Application Pages de la consola de
administracin. Para obtener instrucciones, consulte Definicin de perfiles de
recursos: Aplicaciones web personalizadas en la pgina 392.
Como alternativa, puede:
a.
Crear directivas de recursos que permitan el acceso a los sitios web usando
los ajustes de la pgina Users > Resource Policies > Web > Web ACL de
la consola de administracin. Para obtener instrucciones, consulte
b.
Crear directivas de recursos de reescritura Web que permitan proxy

passthrough usando los ajustes de la pgina Users > Resource Policies >
Web > Web ACL de la consola de administracin. Para obtener
instrucciones, consulte Definicin de directivas de recursos: reescritura
en la pgina 443.
c.
Determinar qu roles de usuario pueden obtener acceso a las aplicaciones

web que desea dejar en nivel intermedio con proxy passthrough, y permitir
el acceso web a dichos roles mediante la pgina Users > User Roles >
Seleccionar rol > General > Overview de la consola de administracin.
Para obtener instrucciones, consulte Configuracin de las opciones
generales del rol en la pgina 73.
d. Crear marcadores para sus sitios web usando los ajustes de la pgina
Users > User Roles > Seleccionar rol > Web > Bookmarks de la consola
de administracin. Para obtener instrucciones, consulte Definicin de los
ajustes de rol: URL web en la pgina 415.
2. Si su directiva de recursos proxy passthrough habilita al IVE a recibir peticiones
de cliente a travs de un puerto del IVE, abra el trfico al puerto especificado en
su cortafuegos corporativo. O bien, si su directiva habilita peticiones a travs de
un nombre de host virtual:
a.
Agregue una entrada para cada alias de nombre de host de servidor de

aplicacin en el DNS externo que resuelva al IVE.
b.
Defina el nombre del IVE y el nombre de host a travs de la pgina

System > Network > Internal Port de la consola de administracin.
Para obtener instrucciones, consulte Configuracin de los ajustes de la
red en la pgina 702.
391
c.
Cargue un certificado comodn al IVE a travs de la pgina System >

Configuration > Certificates > Device Certificates de la consola de
administracin. O bien, cargue mltiples certificados y asocie un puerto
virtual con cada certificado usando los ajustes en la misma pgina. Para
obtener instrucciones, consulte Importacin de un certificado raz
existente y una clave privada en la pgina 752 y Asociacin de un
certificado con un puerto virtual en la pgina 757.
Ejemplos del uso de proxy passthrough

Si el IVE es iveserver.yourcompany.com y tiene un servidor Oracle en
oracle.companynetwork.net:8000, puede especificar los siguientes parmetros
de aplicacin al especificar un puerto del IVE:
Server: oracle.companynetwork.net
Port: 8000
IVE port: 11000
Cuando el IVE recibe trfico de cliente Oracle enviado

a iveserver.yourcompany.com:11000, reenva el trfico
a oracle.companynetwork.net:8000.
O bien, si desea especificar un alias de nombre de host, puede configurar
la aplicacin con estos parmetros:
Server: oracle.companynetwork.net
Port: 8000
IVE alias: oracle.yourcompany.com
Cuando el IVE recibe trfico de cliente Oracle enviado a oracle.yourcompany.com,

reenva el trfico a oracle.companynetwork.net:8000.
Definicin de perfiles de recursos: Aplicaciones web personalizadas

Un perfil de recursos de aplicacin web es un perfil de recursos que controla el
acceso a una aplicacin web, servidor web o pgina HTML. (Para obtener ms
informacin sobre los perfiles de recursos, consulte Perfiles de recursos en la
pgina 91.)
Para crear un perfil de recursos de aplicacin web personalizado:
1. Dirjase a la pgina Users > Resource Profiles > Web Applications/Pages en
392
3. En la lista Type, seleccione Custom.

NOTA: Para obtener informacin acerca de otras opciones disponibles en la lista
Type, consulte las siguientes secciones:
Plantillas de applets de Java hospedados en la pgina 345
Plantillas de Microsoft Sharepoint en la pgina 379
4. Introduzca un nombre nico y una descripcin opcional para el perfil

de recursos.
5. En el campo Base URL, utilice el siguiente formato para introducir la URL
de la aplicacin o pgina web para la cual desea controlar el acceso:
[protocolo://]host[:puerto][/ruta]. Para obtener directrices detalladas, consulte
Definicin de URL de base en la pgina 394. (El IVE utiliza la URL
especificada para definir el marcador predeterminado del perfil de recursos).
6. En la seccin Autopolicy: Web Access Control, cree una directiva que permita
o niegue a los usuarios acceder al recurso especificado en el campo Base URL.
(De forma predeterminada, el IVE crea automticamente una directiva que
permite el acceso al recurso Web y a todos sus subdirectorios.) Para obtener
informacin detallada, consulte Definicin de una directiva automtica de
control de acceso web en la pgina 395.
7. (Opcional) Haga clic en Show ALL autopolicy types para crear directivas
automticas adicionales que permitan ajustar con mayor precisin el acceso
al recurso. Luego, proceda a crear las directivas automticas utilizando las
instrucciones que aparecen en las siguientes secciones:

pgina 397
Definicin de una directiva automtica de almacenamiento en cach en

la pgina 401
Definicin de una directiva automtica de control de acceso a Java en la

pgina 404
Definicin de una directiva automtica de compresin web en la

pgina 411
393
y haga clic en Add.
creados por el perfil de recursos. Si an no est habilitado, el IVE habilita
automticamente la opcin Weben la pgina Users > User Roles >
Seleccionar rol > General > Overview de la consola de administracin para
todos los otros roles que seleccione.
creado por IVE o cree otros utilizando las instrucciones que aparecen en
Definicin de un marcador web en la pgina 412. (De forma predeterminada,
el IVE crea un marcador para la URL de base definida en el campo Base URL
y lo muestra a todos los usuarios asignados a los roles especificados en la
ficha Roles).
Definicin de URL de base

Al crear un perfil de recursos Web, debe usar el siguiente formato para definir las
URL de base:
[protocol://]host[:port][/path]
En este formato, los componentes son:
394
Protocol (obligatorio): valores posibles: http:// y https://. Tenga en cuenta que

no se pueden utilizar caracteres especiales en el protocolo.
Host (obligatorio): valores posibles:
DNS Hostname: por ejemplo: www.juniper.com.
Direccin IP: Debe introducir la direccin IP en el formato: a.b.c.d.

Por ejemplo: 10.11.149.2. No se pueden usar caracteres especiales
en la direccin IP.
Puertos (opcional): Debe usar el delimitador : al especificar un puerto.

Por ejemplo: 10.11.149.2/255.255.255.0:*.
Ruta (optional): Al especificar una ruta para una URL de base, el IVE no permite
caracteres especiales. Si especifica una ruta, debe usar el delimitador /.
Por ejemplo: http://www.juniper.net/sales.
Definicin de una directiva automtica de control de acceso web

Las directivas de acceso web controlan a qu recursos Web pueden acceder los
usuarios para conectarse a Internet, intranet o extranet. Al definir un perfil de
recurso Web personalizado, deber habilitar la directiva automtica de control de
acceso web correspondiente que permita acceder al recurso principal del perfil.
El IVE simplifica el proceso, ya que crea automticamente una directiva automtica
que permite acceder al recurso Web y a todos los subdirectorios.
Si fuera necesario, puede escoger modificar esta directiva automtica
predeterminada o crear directivas automticas complementarias de control de
acceso web para recursos adicionales. Por ejemplo, el departamento de IT puede
usar un servidor para almacenar pginas web para la intranet de la compaa
(http://intranetserver.com) y otro servidor para almacenar las imgenes a las que las
pginas web hacen referencia (http://imagesserver.com). En este caso, puede crear
dos directivas automticas de control de acceso web que permitan acceder a ambos
servidores, de modo que los usuarios puedan acceder tanto a las pginas web como
a las imgenes correspondientes.
Para crear nuevas directivas automticas de control de acceso web:
1. Cree un perfil de recursos de aplicacin web personalizado, segn se explica
en las siguientes secciones:

pgina 392
2. Si est disponible, haga clic en el botn Show ALL autopolicy types para que
aparezcan las opciones de configuracin de la directiva automtica.
3. En caso de no estar habilitado, seleccione la casilla de verificacin Autopolicy:
Web Access Control.
4. En el campo Resource, utilice el siguiente formato para especificar el servidor
web o la pgina HTML para la cual desea controlar el acceso:
[protocolo://]host[:puertos][/ruta]. Para obtener directrices detalladas, consulte
Definicin de recursos Web en la pgina 396.
5. En la lista Action, seleccione Allow para habilitar el acceso al recurso
especificado o Deny para bloquear el acceso al recurso especificado.
6. Haga clic en Add.
395
Definicin de recursos Web

Al crear un perfil de recursos Web (por ejemplo, en Definicin de perfiles de
recursos: Aplicaciones web personalizadas en la pgina 392), debe usar el
siguiente formato para definir recursos de directivas automticas:
[protocol://]host[:ports][/path]
En este formato, los cuatro componentes son:
Protocol (obligatorio): valores posibles: http:// y https://. Tenga en cuenta que

no se pueden utilizar caracteres especiales en el protocolo.

Puede usar los siguientes caracteres especiales admitidos en el nombre
de host:

*
Coincidencias con TODOS los caracteres.
Coincide exactamente con un carcter
IP address/Netmask: Debe introducir la direccin IP en el formato: a.b.c.d

Puede usar uno de dos formatos para la mscara de red:
IP: a.b.c.d
Por ejemplo: 10.11.149.2/24 or 10.11.149.2/255.255.255.0

No se pueden usar caracteres especiales en la direccin IP o en la mscara
de red.
Puertos (opcional): Debe usar el delimitador : al especificar un puerto. Por

ejemplo: 10.11.149.2/255.255.255.0:*
Tabla 22: Valores posibles de puertos

*
Coincidencias con todos los puertos; no se pueden usar otros

caracteres especiales.
puerto[,puerto]*

puertos vlidos son [1-65535].
[puerto1]-[puerto2] Un rango de puertos, desde el puerto1 al puerto2.
396
NOTA: Puede mezclar listas de puertos y rangos de puertos, como:

80,443,8080-8090
Si falta el puerto, el puerto 80 predeterminado se asigna para http y el

443 para https.
Path (opcional): Al especificar una ruta para una directiva automtica de control
de acceso web, puede usar un carcter *, que significa que TODAS las rutas
coinciden. (El IVE no admite otros caracteres especiales.) Si especifica una ruta,
debe usar el delimitador /. Por ejemplo:
http://www.juniper.net/sales
http://www.juniper.net:80/*
https://www.juniper.net:443/intranet/*
Definicin de una directiva automtica de inicio de sesin nico

Las directivas de inicio de sesin nico permiten transmitir automticamente las
credenciales de usuario a la aplicacin web especificada en la directiva, segn se
explica en Inicio de sesin nico en la pgina 223. Las directivas automticas de
inicio de sesin nico tambin proporcionan intermediacin de los datos que
transmiten.
NOTA: Para obtener informacin acerca de la configuracin de opciones avanzadas
de SSO que no estn disponibles a travs de los perfiles de recursos, incluida la

inhabilitacin de la intermediacin para recursos especificados o mediante SAML
para recursos individuales, consulte Definicin de directivas de recursos: inicio de
sesin nico en la pgina 425.
Para crear una directiva automtica de inicio de sesin nico (SSO):
1. Cree un perfil de recursos Web, segn se explica en las siguientes secciones:

pgina 392
3. Seleccione la casilla de verificacin Autopolicy: Single Sign-On.
397
4. Seleccione un mtodo de inicio de sesin nico y configure las opciones de SSO

correspondientes:
Basic Auth: Permite que el IVE intermedie la secuencia de

desafo/respuesta durante la autenticacin bsica y que utilice las
credenciales que recoja para iniciar sesin en un recurso protegido situado
dentro de la misma zona de Intranet. Para obtener instrucciones detalladas
de configuracin, consulte Especificacin de opciones de directiva
automtica SSO de autenticacin bsica o NTLM en la pgina 398.
(Esta opcin no se aplica a perfiles de recursos Citrix.)
NTLM: Permite que el IVE intermedie la secuencia de desafo/respuesta

durante la autenticacin de NTLM y que utilice las credenciales que recoja
para iniciar sesin en un recurso protegido situado dentro de la misma
zona de Intranet. Para obtener instrucciones detalladas de configuracin,
consulte Especificacin de opciones de directiva automtica SSO
de autenticacin bsica o NTLM en la pgina 398. (Esta opcin no se
aplica a perfiles de recursos Citrix.)
NOTA: La reescritura web slo admite NTLM v1. La exploracin de archivos admite
tanto NTLM v1 como NTLM v2.
Remote SSO: Habilita al IVE para colocar los datos que especifica (incluidos
nombres de usuario, contraseas y datos de sistema almacenados por
variables del IVE) en aplicaciones web. Esta opcin tambin permite
especificar encabezados y cookies personalizados para colocar en
aplicaciones web. Para obtener instrucciones detalladas de configuracin,
consulte Especificacin de opciones de directiva automtica de SSO
remoto en la pgina 400.
Especificacin de opciones de directiva automtica SSO

de autenticacin bsica o NTLM
NOTA: Si un usuario inicia sesin en el IVE como un usuario AD y luego accede
a un recurso Web o de archivo en un servidor del mismo dominio que el dominio
AD, el SSO NTLM se realiza siempre y los ajustes de la directiva de recurso de SSO
NTLM se ignoran.
398
Para configurar opciones de directiva automtica SSO de autenticacin bsica

o NTLM:
1. Cree una directiva automtica de SSO y seleccione Basic Auth o NTLM, segn
se explica en Definicin de una directiva automtica de inicio de sesin nico
en la pgina 397.
2. En el campo Resource, especifique los recursos a los cuales se aplica esta
directiva. Para obtener directrices detalladas, consulte Definicin de recursos
Web en la pgina 396.
NOTA: Al introducir un recurso en este campo, tenga en cuenta que:
Si desea que el IVE enve automticamente valores a una URL especfica

cuando un usuario final haga clic en un marcador del IVE, el recurso que
introduzca aqu debe coincidir exactamente con la URL que especifique en
el campo Base URL del perfil de recursos.
Si desea que el IVE enve automticamente credenciales de usuario del IVE

a otros sitios web en la misma zona de Intranet, el nombre de host que
introduzca aqu debe terminar en el sufijo DNS configurado en la pgina
System > Network > Overview de la consola de administracin.
3. Seleccione una de las siguientes opciones de accin:
Use system credentials: El IVE proporciona intermediacin en la secuencia

desafo/respuesta, almacena en cach las credenciales que recopila y las
usa para habilitar el inicio de sesin nico basado en cualquier credencial
de sistema que haya configurado previamente en el IVE.
Use predefined credentials: El IVE proporciona intermediacin en la

secuencia desafo/respuesta, almacena en cach las credenciales que
recopila y las usa para habilitar el inicio de sesin nico. Cuando selecciona
esta opcin, tambin debe especificar los siguientes parmetros de
credencial de intermediacin:
Username: Especifica el nombre de usuario de SSO que el IVE usa para

validar credenciales de inicio de sesin.
Password: Especifica la contrasea de SSO que el IVE usa para validar

credenciales de inicio de sesin. Puede usar una contrasea esttica
(como open_sesame) o una contrasea variable (como
<PASSWORD>) para validar las credenciales de inicio de sesin.
(slo NTLM) Domain: Especifica el nombre de dominio.
Disable SSO: El IVE inhabilita la autenticacin de SSO automtica para este

rol de usuario y, en lugar de ello, solicita al usuario las credenciales de inicio
de sesin.
399
Especificacin de opciones de directiva automtica de SSO remoto

Para configurar las opciones de directiva automtica de SSO remoto:
1. Cree una directiva automtica de SSO a travs de un perfil de recursos Web
personalizado y seleccione Remote SSO, segn se explica en Definicin de
una directiva automtica de inicio de sesin nico en la pgina 397.
2. Si desea realizar POST de formulario cuando un usuario realiza una solicitud al
recurso especificado en el campo Resource, seleccione la casilla de verificacin
POST the following data. Despus:
a.
En el campo Resource, especifique la pgina de inicio de sesin de la

aplicacin, como: http://my.domain.com/public/login.cgi. El IVE no acepta
caracteres comodines en este campo.
NOTA: Si desea que el IVE coloque automticamente valores a una URL especfica
introduzca aqu debe coincidir exactamente con la URL que especifique en el
campo Base URL o Web Interface (NFuse) URL del perfil de recursos.
b.
En el campo Post URL, especifique la URL absoluta donde la aplicacin

coloca las credenciales del usuario, como: http://yourcompany.com/login.cgi.
Puede determinar la URL apropiada usando una descarga TCP o
visualizando la fuente de la pgina de inicio de sesin de la aplicacin
y buscando el parmetro POST en la etiqueta FORM.
c.
Opcionalmente, especifique los datos de usuario que desea colocar y los

permisos de modificacin de usuario.
Para especificar los datos de usuario para colocar, introduzca los datos en
los campos siguientes y haga clic en Add:
400
Label: La etiqueta que aparece en la pgina Preferences de un usuario

en el IVE. Este campo es obligatorio si permite o requiere que los
usuarios modifiquen los datos para colocar en aplicaciones back-end.
Name: El nombre para identificar los datos del campo Value.

(La aplicacin back-end debe esperar este nombre.)
Value: El valor que se debe enviar al formulario para el Name

especificado. Puede introducir datos estticos, una variable de sistema
(consulte Variables del sistema y ejemplos en la pgina 1046 para ver
una lista de variables vlidas) o variables de sesin del IVE que
contienen valores de nombre de usuario y contrasea (consulte
en la pgina 226 para obtener ms informacin).
Ajuste User modifiable: Seleccione Not modifiable si no desea que el

usuario pueda cambiar la informacin del campo Value. Seleccione
User CAN change value si desea que el usuario tenga la opcin de
especificar datos para una aplicacin back-end. Seleccione User MUST
change value si los usuarios necesitan introducir datos adicionales
para acceder a una aplicacin back-end. Si selecciona alguno de estos
ajustes, aparece un campo para introduccin de datos en la pgina
Advanced Preferences del usuario en el IVE. Este campo se etiqueta
con los datos que introduce en el campo User label. Si introduce un
valor en el campo Value, estos datos aparecen en el campo, pero se
pueden editar.
d. Seleccione la casilla de verificacin Deny direct login for this resource

si no desea permitir que los usuarios introduzcan manualmente sus
credenciales en una pgina de inicio de sesin. (Los usuarios pueden
ver una pgina de inicio de sesin si falla el formulario POST.)
e.
Seleccione la casilla de verificacin Allow multiple POSTs to this resource

si desea que el IVE enve valores de POST y cookies al recurso varias veces
si es necesario. Si no selecciona esta opcin, el IVE no intenta el inicio de
sesin nico cuando un usuario solicita el mismo recurso ms de una vez
durante la misma sesin.
3. Si desea colocar datos de encabezado en la URL especificada cuando un

usuario realiza una solicitud a un recurso especificado en el campo Resource,
seleccione la casilla de verificacin Send the following data as request
headers. Despus:
a.
En la seccin Resource, especifique los recursos a los cuales se aplica esta

directiva. Para obtener ms informacin, consulte Definicin de recursos
b.
Opcionalmente, para especificar los datos de encabezado que se debe

publicar, introduzca los datos en los campos siguientes y haga clic en Add:
Header name: el texto que el IVE enva como datos de encabezado.
Value: el valor para el encabezado especificado.
Definicin de una directiva automtica de almacenamiento en cach

Las directivas de almacenamiento en cach controlan qu contenido web almacena
el IVE en el equipo del usuario.
NOTA: Para obtener informacin acerca de la configuracin avanzada de opciones
de almacenamiento en cach no disponibles a travs de perfiles de recursos,
incluida la especificacin del tamao mximo admisible de imagen para
contenido almacenado en cach, consulte Definicin de directivas de recursos:
almacenamiento en cach en la pgina 433. Para obtener informacin acerca de
los ajustes de almacenamiento en cach recomendados para aplicaciones OWA y
Lotus Notes, consulte Creacin de directivas de recursos de almacenamiento en
cach OWA y Lotus Notes en la pgina 437.
401
Para crear una directiva automtica de almacenamiento en cach web:

1. Cree un perfil de recursos de aplicacin web personalizado, segn se explica en
las siguientes secciones:

pgina 392
3. Seleccione la casilla de verificacin Autopolicy: Caching.
5. Del campo Action, seleccione una de las opciones siguientes:
Smart: Seleccione esta opcin para permitir que el IVE enve un

encabezado cache-control:no-store o un encabezado cache-control:no-cache,
segn el tipo de contenido y el explorador web del usuario.
Cuando selecciona esta opcin, el IVE hace que los archivos de medios y
los archivos zip funcionen adecuadamente al quitar los encabezados cachecontrol del servidor de origen. Por ejemplo, la lgica siguiente busca msie
o windows-media-player en encabezados de agente de usuario para
eliminar encabezados de respuesta cache o cache-control:no-store y
permitir que los archivos sean almacenables en cach:
(if content type has "audio/x-pn-realaudio" OR
if content type begins with "video/" OR
if content type begins with "audio/" OR
if content type is "application/octet-stream" and the file extension begins
with "rm" or "ram"
)
Si el IVE detecta msie o windows-media-player en el encabezado de

agente de usuario y si se aplica cualquiera de los casos siguientes:
la solicitud es sobre archivos Flash, .xls, .pps, .ppt
el tipo de contenido es application/, text/rtf, text/xml, model/
el servidor de origen enva un encabezado de disposicin de contenido
entonces, el IVE enva el encabezado cache-control:no-store y elimina el

encabezado de control de cach del servidor de origen.
402
En todos los otros casos, el IVE agrega los encabezados de respuesta

pragma:no-cache o cache-control:no-store.
NOTA: Los archivos Citrix .ica y QuickPlace tienen un tratamiento especial. Los
archivos Citrix .ica slo tienen cache-control:private cuando el almacenamiento
inteligente en cach est habilitado. Los archivos QuickPlace que no coinciden con
una regla especificada (que tiene prioridad) tienen CCNS y cache-control:private.
Adems, tenga en cuenta que si selecciona esta opcin, habilita la compresin

GZIP e intenta acceder a un archivo de texto adjunto mediante Domino Web
Access 6.5 a travs de Internet Explorer, no podr abrir el archivo adjunto. Para
habilitar los archivos de texto adjuntos, debe instalar el parche 323308 de Internet
Explorer o habilitar la opcin No Store.
No-Store: Seleccione esta opcin para proporcionar archivos adjuntos

a Internet Explorer sin guardarlos en el disco. (El explorador escribe
temporalmente los archivos en el disco, pero los elimina inmediatamente
una vez que abre el archivo en el explorador.) Cuando selecciona esta
opcin, el IVE elimina el encabezado de control de cach del servidor de
origen y agrega un encabezado de respuesta cache-control:no-store si la
cadena del agente de usuario enviado por el explorador contiene msie
o windows-media-player.
Esta opcin puede hacer ms lenta la exploracin al causar repetidas
bsquedas de contenido, que pueden provocar problemas de rendimiento
en conexiones muy lentas.
No-Cache: Seleccione esta opcin para impedir que el explorador del

usuario almacene los archivos en el disco. Cuando selecciona esta opcin,
el IVE agrega los encabezados pragma:no-cache HTTP y cache-control:
no-cache (CCNC) estndar (HTTP 1.1) a los archivos de respuesta. Adems,
el IVE no reenva los encabezados de almacenamiento en cach del
servidor de origen, como age, date, etag, last-modified, expires.
NOTA: Cuando los encabezados no-cache estn presentes en determinados tipos
de archivos adjuntos (PDF, PPT, secuencias de archivos), Internet Explorer no

procesa adecuadamente los documentos porque el procesamiento requiere que
el explorador escriba temporalmente los archivos en cach.
Unchanged: El IVE reenva los encabezados de almacenamiento en cach

del servidor de origen sin cambios.
NOTA: Cuando usa aplicaciones publicadas Citrix a travs de la interfaz web, el

servidor de la interfaz web puede enviar Cache-Control:no-cache en el encabezado
de respuesta del archivo .ica. Dado que el encabezado de almacenamiento en
cach no se elimina al usar el ajuste Unchanged, los archivos .ica no se descargan
al PC cliente. Para resolver este problema, use la opcin de almacenamiento en
cach Smart.

403
Definicin de una directiva automtica de control de acceso a Java

Una directiva automtica de control de acceso a Java define la lista de servidores y
puertos a los que se pueden conectar los applets de Java, segn se explica en Uso
de certificados de firma de cdigo en la pgina 776. Esta directiva automtica
tambin especifica qu recursos firma el IVE mediante el certificado de firma de
cdigo que carga en el IVE.
Cuando habilita el control de acceso a Java mediante esta directiva automtica,
el IVE habilita automticamente la opcin Allow Java applets en la pgina Users >
User Roles > Seleccionar rol > Web > Options de la consola de administracin.
NOTA:
Para obtener informacin acerca de la configuracin de las opciones

avanzadas de Java que no estn disponibles a travs de perfiles de recursos,
incluida la opcin de impedir que los applets de Java se conecten a servidores
especificados, consulte Definicin de directivas de recursos: applets de Java
externos en la pgina 439.
Para obtener informacin acerca de hospedar los applets de Java

directamente en el IVE, consulte Plantillas de applets de Java hospedados en
la pgina 345.
Para crear una directiva automtica de control de acceso a Java:

1. Cree un perfil de recursos de aplicacin web, segn se explica en Definicin de
perfiles de recursos: Aplicaciones web personalizadas en la pgina 392.
2. Haga clic en Show ALL autopolicy types.
3. Seleccione la casilla de verificacin Autopolicy: Java Access Control.
4. En el campo Resource, utilice el siguiente formato para especificar los recursos
del servidor a los que se aplica esta directiva: host:[ports]. (De forma
predeterminada, el IVE llena este campo con el servidor especificado en la URL
de base del perfil de recursos.) Para obtener informacin detallada, consulte
Definicin de un servidor al cual se pueden conectar los applets de Java en la
pgina 405.
5. Seleccione una de las siguientes opciones de la lista Action:
404
Allow socket access: Para permitir que los applets de Java se conecten
a los servidores (y opcionalmente a los puertos) de la lista Resource.
Deny socket access: Para impedir que los applets de Java se conecten a los
servidores (y opcionalmente a los puertos) de la lista Resource.

7. Seleccione la casilla de verificacin Sign applets with code-signing certificate
para volver a firmar los recursos especificados mediante el certificado cargado
a travs de la pgina System > Configuration > Certificates > Code-signing
Certificates de la consola de administracin. (El IVE usa el certificado
importado para firmar los recursos del servidor especificado en el campo
Resources.)
Definicin de un servidor al cual se pueden conectar los applets de Java

Al definir los servidores a los que se pueden conectar los applets de Java, debe usar
el siguiente formato:
host[:ports]
En este formato, los dos componentes son:

Puede usar los siguientes caracteres especiales admitidos en el nombre
de host:

*
IP address/Netmask: Debe introducir la direccin IP en el formato: a.b.c.d.

Puede usar uno de dos formatos para la mscara de red:
IP: a.b.c.d
Por ejemplo: 10.11.149.2/24 or 10.11.149.2/255.255.255.0

No se pueden usar caracteres especiales en la direccin IP o en la mscara
de red.
405
Ports: Debe usar el delimitador : al especificar un puerto. Por ejemplo:

10.11.149.2/255.255.255.0:*

*
Coincidencias con todos los puertos; no se pueden usar otros

puerto[,puerto]*

[puerto1][puerto2]
Un rango de puertos, desde el puerto1 al puerto2.

80,443,8080-8090.
Definicin de una directiva automtica de reescritura

De forma predeterminada, el IVE proporciona intermediacin a todas las solicitudes
de usuarios de host web, a menos que haya configurado el IVE para responder a
solicitudes de ciertos host mediante un mecanismo diferente, como el Secure
Application Manager. Las directivas automticas de reescritura permiten ajustar con
mayor precisin las opciones predeterminadas mediante el cambio de los
mecanismos que el IVE debe usar para reescribir los datos web y a travs de la
definicin de los recursos que desea reescribir de forma mnima o no reescribir.
NOTA: Para obtener informacin acerca de la configuracin de las opciones
avanzadas de reescritura no disponibles a travs de los perfiles de recursos,
incluida la especificacin de los parmetros ActiveX que el IVE debe reescribir,
consulte Definicin de directivas de recursos: reescritura en la pgina 443.
Para crear una directiva automtica de reescritura:

1. Cree un perfil de recursos de aplicacin web, segn se explica en Definicin de
perfiles de recursos: Aplicaciones web personalizadas en la pgina 392.
3. Seleccione la casilla de verificacin Autopolicy: Rewriting Options.
406
Passthrough Proxy: Seleccione esta opcin para especificar las

aplicaciones web para las que el motor de intermediacin de contenido
proporciona intermediacin mnima (segn se explica en Informacin
general de proxy passthrough en la pgina 389). Para obtener
instrucciones detalladas de configuracin, consulte Definicin de opciones
de directiva automtica de proxy passthrough en la pgina 407.
No rewriting (use WSAM): Seleccione esta opcin para proporcionar

intermediacin de contenido usando WSAM en lugar del motor de
intermediacin de contenido. (Para obtener informacin sobre WSAM,
consulte Informacin general de WSAM en la pgina 493.) Luego,
especifique el servidor de la aplicacin para el cual desea proporcionar
intermediacin de contenido. (Como mnimo, debe hacer click en Add
para proporcionar intermediacin de contenido desde y hacia el servidor
que el IVE extrae de la directiva de control de acceso web.) Para obtener
de directiva automtica de reescritura WSAM en la pgina 409.
No rewriting (use JSAM): Seleccione esta opcin para proporcionar

intermediacin de contenido usando JSAM en lugar del motor de
intermediacin de contenido. (Para obtener informacin sobre JSAM,
consulte Informacin general de JSAM en la pgina 516.) Luego,
especifique el servidor de la aplicacin para el cual desea proporcionar
intermediacin de contenido. (Como mnimo, debe hacer clic en Add para
proporcionar intermediacin de contenido desde y hacia el servidor que el
IVE extrae de la directiva de control de acceso web.) Para obtener
de directiva automtica de reescritura JSAM en la pgina 410.
No rewriting: Seleccione esta opcin para crear automticamente una

directiva de reescritura selectiva para la URL de la directiva automtica,
configurando de este modo el IVE para que no proporcione intermediacin
de contenidos desde y hacia el recurso. Por ejemplo, puede seleccionar
esta opcin si no desea que el IVE proporcione intermediacin del trfico
desde sitios web que residen fuera de la red corporativa, como yahoo.com.
Si selecciona esta opcin, no necesita configurar ajustes de reescritura
adicionales.
Definicin de opciones de directiva automtica de proxy passthrough

Para configurar las opciones de directiva automtica de proxy passthrough:
1. Cree una directiva automtica de reescritura y seleccione Passthrough Proxy,
segn se explica en Definicin de una directiva automtica de reescritura en
la pgina 406.
2. Seleccione la forma en que desea habilitar la caracterstica proxy passthrough:
Use virtual hostname: Si selecciona esta opcin, especifique un alias de

nombre de host para el servidor de la aplicacin. Cuando el IVE recibe una
peticin de cliente para el alias de nombre de host del servidor de la
aplicacin, reenva la solicitud al puerto del servidor de la aplicacin
especificado en el campo Base URL.
407
Use IVE port: Si selecciona esta opcin, especifique un puerto de IVE nico
en el rango 11000-11099. El IVE escucha las peticiones de cliente al
servidor de la aplicacin en el puerto especificado del IVE y reenva las
peticiones al puerto del servidor de la aplicacin especificado en el campo
Base URL.
NOTA:
La URL correspondiente para el perfil de recursos debe especificar el nombre

de host del servidor de la aplicacin y el puerto utilizado para acceder
internamente a la aplicacin. No se puede introducir una ruta para la URL
de base.
Para hacer que Sharepoint funcione correctamente a travs del IVE, debe
seleccionar la casilla de verificacin Override automatic cookie handling en
Internet Explorer en Tools Internet options > Privacy > Advanced Privacy
Settings si se cumplen las siguientes condiciones:
Seleccionar la opcin Use virtual hostname durante la configuracin de

proxy passthrough.
El nombre de host virtual especificado en la configuracin de Sharepoint

es diferente del nombre de host definido a travs de la configuracin de
IVE (esto es, si los dominios son diferentes).
Habilitar cookies persistentes mediante la pgina Users > User Roles >
Seleccionar rol > General > Session Options de la consola de
administracin.
3. Seleccione la casilla de verificacin Rewrite XML si desea que el IVE reescriba

las URL incluidas en el contenido XML. Si esta opcin est inhabilitada, el IVE
transmite sin cambios el contenido XML al servidor.
4. Seleccione la casilla de verificacin Rewrite external links si desea que el IVE
reescriba todas las URL presentadas al proxy. Si esta opcin est inhabilitada,
el IVE reescribe slo las URL donde el nombre de host est configurado como
parte de la directiva de proxy passthrough.
5. Seleccione la casilla de verificacin Block cookies from being sent to the
browser si desea que el IVE bloquee las cookies destinadas al explorador del
cliente. El IVE almacena localmente las cookies y las enva a las aplicaciones
cuando se solicitan.
6. Seleccione la casilla de verificacin Host-Header forwarding si desea que el
IVE transmita el nombre de host como parte del encabezado de host en lugar
del identificador de host real.
NOTA: La opcin Host-Header forwarding slo es vlida en el modo de nombre de
host virtual del proxy passthrough.

408
8. Si selecciona:
Use virtual hostname, tambin debe:

i.
Agregar una entrada para cada alias de nombre de host de servidor de

ii.
Cargar un certificado de servidor comodn en el IVE (recomendado).

Para obtener ms informacin acerca de los certificados comodines,
consulte Asociacin de un certificado con un puerto virtual en la
pgina 757.
iii. Definir el nombre del IVE y el nombre de host en la seccin Network

Identity de la ficha System > Network > Internal Port.
Use IVE port, tambin debe abrir el trfico al puerto del IVE especificado
para el servidor de la aplicacin en el cortafuegos corporativo.
NOTA: Si la aplicacin escucha en varios puertos, configure cada puerto de la

aplicacin como una entrada de proxy passthrough con un puerto de IVE
separado. Si piensa acceder al servidor usando nombres de host o direcciones IP
diferentes, configure por separado cada una de estas opciones; en este caso,
puede usar el mismo puerto del IVE.
Definicin de opciones de directiva automtica de reescritura WSAM

Para configurar las opciones de directiva automtica de reescritura WSAM:
1. Cree una directiva automtica de reescritura y seleccione No rewriting
(use WSAM), segn se explica en Definicin de una directiva automtica
de reescritura en la pgina 406.
2. En el campo Destination, especifique los recursos para los cuales WSAM
asegura el trfico cliente/servidor entre el cliente y el IVE. De forma
predeterminada, el IVE extrae el servidor correcto de la directiva de control
de acceso web. Puede optar por usar este servidor sin cambios, modificarlo
o agregar nuevos servidores a la lista.
Al definir un servidor, especifique el nombre de host (se aceptan los comodines
* o ?) o un par IP/mscara de red. Especifique mltiples puertos para un
host como entradas separadas.
Cuando proporciona intermediacin a travs de WSAM mediante esta directiva
automtica, el IVE habilita automticamente la opcin Secure Application
Manager en la pgina Users > User Roles > Seleccionar rol > General >
Overview de la consola de administracin.
409
Definicin de opciones de directiva automtica de reescritura JSAM

Para configurar las opciones de directiva automtica de reescritura JSAM:
1. Cree una directiva automtica de reescritura y seleccione No rewriting
(use JSAM), segn se explica en Definicin de una directiva automtica
de reescritura en la pgina 406.
2. En el campo Server Name, introduzca el nombre DNS del servidor de la
aplicacin o la direccin IP del servidor.
3. En el campo Server Port, introduzca el puerto en el que el servidor remoto
escucha las conexiones de cliente.
Por ejemplo, para reenviar el trfico Telnet de un equipo remoto, especifique el
puerto 23 tanto para el puerto del cliente (en el que escucha JSAM) como para el
puerto del servidor (en el que escucha el servidor Telnet).
NOTA: Para habilitar la asignacin de unidades para este recurso, introduzca
139 como puerto de servidor.

4. En el campo Client Loopback IP, proporcione una direccin de bucle invertido
esttica. Si no proporciona una direccin IP de bucle invertido esttica, el IVE
asigna de forma dinmica una direccin IP de bucle invertido. Para obtener
ms informacin acerca de las direcciones de bucle invertido estticas, consulte
Informacin general de JSAM en la pgina 516.
5. En el campo Client Port, introduzca el puerto en el que JSAM debe escuchar las
conexiones de la aplicacin del cliente.
Normalmente, el valor del puerto local es el mismo valor que el puerto del
servidor; el valor del puerto local generalmente slo es distinto para usuarios de
Linux o Macintosh que desean agregar aplicaciones para reenvo de puerto que
usa puertos bajo 1024.
NOTA: Para habilitar la asignacin de unidades para este recurso, introduzca
139 como puerto de servidor.

Puede configurar ms de una aplicacin en un puerto, como
app1.mycompany.com, app2.mycompany.com, app3.mycompany.com. Puede
asignar una direccin de bucle invertido esttica o el IVE puede asignar una
direccin de bucle invertido dinmica (127.0.1.10, 127.0.1.11, 127.0.1.12)
para cada aplicacin. JSAM luego escucha en estas mltiples direcciones de
bucle invertido en el puerto especificado. Por ejemplo, cuando hay trfico en
127.0.1.12 en el puerto especificado, el IVE reenva el trfico al host de destino
app3.mycompany.com.
6. Seleccione Launch JSAM para iniciar JSAM automticamente cuando el IVE
encuentra la URL de base.
8. Haga clic en Save Application o en Save + New.
410
Definicin de una directiva automtica de compresin web

Las directivas automticas de compresin web especifican qu tipos de datos web
debe comprimir o no el IVE. Por ejemplo, dado que javascript no funciona cuando
se comprime, puede usar esta caracterstica para especificar que el IVE no debe
comprimir datos de javascript que van desde y hacia un servidor de correo
electrnico introduciendo el siguiente recurso: http://owa.juniper.net/*.js. Para
obtener ms informacin acerca de cmo el IVE comprime los datos, consulte
Compresin en la pgina 1023.
NOTA: Para comprimir los datos correctamente, debe habilitar la compresin en el
nivel del sistema, as como tambin crear directivas automticas de compresin.
Para habilitar la compresin, use los ajustes de la pgina Maintenance >
System > Options de la consola de administracin. Para obtener instrucciones,
consulte Habilitacin de la compresin en el nivel de sistema en la pgina 1026.
Para crear una directiva automtica de compresin web:

1. Cree un perfil de recursos de aplicacin web personalizado, segn se explica en
las siguientes secciones:

pgina 392
3. Seleccione la casilla de verificacin Autopolicy: Web compression.
5. Seleccione una de las siguientes opciones de la lista Action:
Compress: El IVE comprime los tipos de contenido compatibles del recurso

especfico.
Do not compress: El IVE no comprime los tipos de contenido compatibles

del recurso especfico.

411
Definicin de un marcador web

Cuando crea un perfil de recurso Web, el IVE crea automticamente un marcador
que se vincula a la URL o dominio principal especificado en el perfil de recurso.
IVE le permite modificar este marcador y crear marcadores adicionales en el
mismo dominio.
Por ejemplo, puede crear un perfil de recursos que controla el acceso a la intranet
de la empresa. En el perfil, puede especificar:
Resource profile name: la Intranet
Primary resource: http://intranet.com
Web access control autopolicy: permite el acceso a http://intranet.com:80/*
Roles: Sales, Engineering
Cuando crea esta directiva, el IVE crea automticamente un marcador llamado

Your Intranet que permite el acceso a http://intranet.com y muestra el marcador
a los miembros de los roles de Sales y Engineering.
Luego, puede seleccionar crear los siguientes marcadores adicionales para asociar
con el perfil de recursos:
Marcador Sales Intranet: Crea un vnculo a la pgina

http://intranet.com/sales y muestra el vnculo a los miembros del rol Sales.
Marcador Engineering Intranet: Crea un vnculo a la pgina

http://intranet.com/engineering y muestra el vnculo a los miembros del
rol Engineering.
NOTA: Al configurar los marcadores, observe que:
usuarios, no los recursos a los que los usuarios pueden obtener acceso. En el
ejemplo utilizado anteriormente, un miembro del rol de Sales podra no ver
un vnculo a la pgina de Intranet Engineering, pero puede acceder a ella al
introducir http://intranet.com/engineering en la barra de direcciones del
explorador web.
No podr crear marcadores que se enlacen a URL y dominios adicionales

definidos a travs de directivas automticas de control de acceso web.
Para obtener ms informacin sobre los marcadores del perfil de recursos, consulte
Definicin de marcadores en la pgina 98.
412
Para configurar marcadores de perfil de recursos Web:

1. Si desea crear un marcador de perfil de recursos mediante la pgina de perfiles
de recursos estndar:
a.
Dirjase a la pgina Users > Resource Profiles > Web > Seleccionar perfil
b.
Haga clic en el vnculo correspondiente de la columna Bookmark si desea

Como alternativa, si desea crear un marcador de perfil de recursos mediante la

pgina de roles de usuario:
a.
Dirjase a la pgina Users > User Roles > Seleccionar rol > Web >
Bookmarks en la consola de administracin.
b.
Haga clic en New Bookmark.
c.
En la lista Type, elija Pick a Web Resource Profile. (El IVE no muestra esta
opcin si no ha creado un perfil de recursos Web.)
d. Seleccione un perfil de recursos existente.

e.
Haga clic en OK. (Si an no ha asociado el rol seleccionado con el perfil de

habilita cualquier directiva de control de acceso para el rol que requiere el
perfil de recursos.)
f.
Si este rol an no ha sido asociado con el perfil de recursos seleccionado, el

IVE muestra un mensaje informativo. Si ve este mensaje, haga clic en Save
NOTA: Al crear un marcador de perfil de recursos mediante la pgina de roles de

usuario (en lugar de la pgina de perfiles de recursos estndar), el IVE slo asocia
el marcador generado con el rol seleccionado. El IVE no asigna el marcador con
todos los roles asociados con el perfil de recursos seleccionado.
2. De forma opcional, cambie el nombre y la descripcin del marcador. (De forma

predeterminada, el IVE llena los nombres que usa el marcador con el nombre
del perfil de recursos.)
413
3. En el campo URL, agregue un sufijo a la URL si desea crear vnculos para

subsecciones del dominio definido en el perfil de recursos principal. Para
obtener informacin sobre variables y atributos de sistema para incluir en
el marcador, dirjase a Uso de variables del sistema en territorios, roles y
directivas de recursos en la pgina 1054.
NOTA: Asegrese de introducir una URL nica en este campo. Si crea dos
marcadores que contienen la misma URL, el IVE elimina uno de los marcadores
de la vista del usuario final. An podr ver ambos marcadores, pero en la consola
del administrador.
4. En Options, seleccione la casilla de verificacin Bookmark opens in new

window si desea permitir que el IVE abra automticamente el recurso Web
en una nueva ventana del explorador. Luego seleccione:
Do not display browser address bar: Seleccione esta opcin para eliminar
la barra de direcciones de la ventana del explorador. Esta caracterstica
fuerza todo el trfico web a travs del IVE impidiendo que los usuarios del
rol especificado escriban una nueva URL en la barra de direcciones, con lo
que se pasa por alto al IVE.
Do not display browser toolbar: Seleccione esta opcin para eliminar el

men y la barra de herramientas del explorador. Esta caracterstica elimina
todos los mens, botones de exploracin y marcadores de la ventana del
explorador para que el usuario navegue slo a travs del IVE.
5. Si configura el marcador mediante las pginas del perfil de recursos, en Roles,

especifique los roles con los que desea mostrar el marcador:


en un subconjunto de los roles asociados con el perfil de recursos. Luego
seleccione los roles de la lista ALL Selected Roles y haga clic en Add para
trasladarlos a la lista Subset of selected roles.
414
Definicin de los ajustes de rol: URL web

Puede utilizar dos mtodos distintos para crear marcadores web:
Crear marcadores a travs de perfiles de recursos existentes (recomendado):

Cuando seleccione este mtodo, el IVE completa automticamente el marcador
con parmetros clave (como la URL de interfaz web (NFuse)) utilizando los
ajustes del perfil de recursos. Adems, mientras crea el perfil de recursos
asociado, el IVE lo gua a travs del proceso de creacin de cualquier directiva
necesaria para habilitar el acceso al marcador. Para obtener instrucciones sobre
la configuracin, consulte Creacin de marcadores a travs de perfiles de
recursos existentes en la pgina 415.
Crear marcadores estndar: Cuando selecciona esta opcin, debe introducir

manualmente todos los parmetros de marcadores durante la configuracin.
Adems, debe habilitar el acceso a la caracterstica web y crear directivas de
recursos que permitan el acceso a los sitios web definidos en el marcador
(como se explica en Resumen de tareas: configuracin de la caracterstica de
reescritura web en la pgina 384). Para obtener instrucciones sobre la
configuracin, consulte Creacin de marcadores web estndar en la
pgina 416.
Esta seccin contiene informacin acerca de la configuracin de marcadores

usando ambos mtodos. Esta seccin tambin contiene informacin acerca de la
definicin de ajustes generales de nivel de rol para la caracterstica de reescritura
web. Para obtener instrucciones sobre la configuracin, consulte Especificacin de
opciones generales de exploracin web en la pgina 418.
Creacin de marcadores a travs de perfiles de recursos existentes

Para asociar un marcador a un perfil de recursos existentes:
1. Dirjase a la pgina Users > User Roles > Seleccionar rol > Web >
Bookmarks de la consola de administracin.
3. En la lista Type, elija Pick a Web Resource Profile.
NOTA: El IVE no muestra esta opcin si no ha creado un perfil de recursos Web.
4. Seleccione un perfil de recursos existente.

recursos, el IVE realiza la asociacin de forma automtica.)
415
6. Haga clic en Save Changes o en Save + New para agregar otra opcin.
7. (Opcional) Para modificar las propiedades del marcador, haga clic en el vnculo
en la columna Resource de la pgina de roles. Luego, haga clic en el vnculo del
marcador en la pgina del perfil de recursos y actualice los ajustes del marcador
usando las instrucciones en Definicin de un marcador web en la pgina 412.
Creacin de marcadores web estndar

NOTA: La informacin de esta seccin se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que configure el acceso a las URL web y
los servidores mediante los perfiles de recursos, dado que proporcionan un
mtodo de configuracin ms simple y unificado. Para obtener ms informacin,
consulte Definicin de perfiles de recursos: Aplicaciones web personalizadas en
la pgina 392 y Definicin de los ajustes de rol: URL web en la pgina 415.
Use la ficha Bookmarks para crear marcadores que aparecen en la pgina
de bienvenida de usuarios asignados para este rol. Puede crear dos tipos
de marcadores a travs de esta pgina:
Marcadores Web URL: Estos marcadores vinculan al usuario a URL web en la

World Wide Web o en la intranet corporativa. Cuando crea marcadores web,
puede insertar el nombre del usuario del IVE en la ruta URL para proporcionar
acceso de inicio de sesin nico a aplicaciones web back-end. Para obtener
instrucciones de configuracin de marcadores web, consulte las siguientes
instrucciones.
Marcadores Java applet: Estos marcadores ofrecen al usuario un vnculo a

applets de Java que se cargan en el IVE a travs de la pgina Users > Resource
Profiles > Web > Hosted Java Applets de la consola de administracin. Para
obtener instrucciones de configuracin de marcadores de applets de Java,
consulte Definicin de perfiles de recursos: applets de Java hospedados en la
pgina 350.
Cuando crea cualquiera de estos tipos de marcadores, los vnculos correspondientes

aparecen en la pgina de bienvenida de usuarios asignados para este rol.
Para crear un marcador a un recurso Web:
1. En la consola de administracin, seleccione Users > User Roles > Rol >
Web > Bookmarks.
3. Introduzca un nombre y una descripcin para el marcador (opcional).
Esta informacin aparece en la pgina principal del IVE en lugar de la URL.
4. Seleccione Web URL.
416
5. Introduzca la URL del marcador. Si desea incluir un nombre de usuario,

introduzca <username> en el lugar correspondiente de la URL. Para obtener
informacin sobre variables y atributos de sistema para incluir en el marcador,
dirjase a Uso de variables del sistema en territorios, roles y directivas de
recursos en la pgina 1054.
NOTA: Asegrese de introducir una URL nica en este campo. Si crea dos
marcadores que contienen la misma URL, el IVE elimina uno de los marcadores
de la vista del usuario final. An podr ver ambos marcadores, pero en la consola
del administrador.
6. En Auto-allow, haga clic en Auto-allow Bookmark si desea que el IVE cree

automticamente una directiva de recurso de acceso web correspondiente.
Tenga en cuenta que esta funcionalidad se aplica slo a los marcadores de rol
y no a los marcadores creados por el usuario. Luego, seleccione:Definicin de
los ajustes de rol: URL web en la pgina 415
Only this URL para permitir que los usuarios accedan slo a la URL.
Everything under this URL para permitir que el usuario acceda a cualquier
ruta en la URL.
NOTA: Es posible que no vea la opcin Auto-allow si est utilizando una
instalacin nueva o si el administrador oculta la opcin. Para obtener ms

informacin sobre esta opcin, consulte Ajuste de las opciones del sistema
en la pgina 722.
7. En Display options, haga clic en Open bookmark in a new window para
permitir que el IVE abra automticamente el recurso Web en una nueva
ventana del explorador. Tenga en cuenta que esta funcionalidad se aplica slo
a los marcadores de rol y no a los marcadores creados por el usuario. Luego
seleccione:
Do not display the URL address bar si desea eliminar la barra de

direcciones de la ventana del explorador. Esta caracterstica fuerza todo
el trfico web a travs del IVE impidiendo que los usuarios del rol
especificado escriban una nueva URL en la barra de direcciones, lo que
pasa por alto al IVE.
Do not display the menu and the toolbar para eliminar el men y la barra
de herramientas del explorador. Esta caracterstica elimina todos los
mens, botones de exploracin y marcadores de la ventana del explorador
para que el usuario navegue slo a travs del IVE.
8. Haga clic en Save Changes o Save + New para agregar otra opcin.
417
Especificacin de opciones generales de exploracin web

El IVE permite configurar una amplia variedad de opciones de exploracin web
para un rol de usuario. Esta seccin incluye instrucciones para configurar las
opciones bsicas y avanzadas de exploracin web.
Configuracin de opciones bsicas de exploracin web

Para configurar las opciones bsicas de exploracin web para un rol:
de rol > Web > Options.
2. Seleccione User can type URLs in IVE browse bar si desea permitir que los
usuarios introduzcan URL en la pgina de bienvenida y exploren sitios de
Internet.
3. Seleccione User can add bookmarks si desea permitir que los usuarios creen
marcadores web personales en la pgina de bienvenida del IVE.
4. Seleccione Mask hostnames while browsing si desea que el IVE enmascare
los recursos de destino en las URL a las que acceden los usuarios. Cuando
selecciona esta opcin, el IVE enmascara las direcciones IP y los nombres de
host en los elementos siguientes:
Barra de direcciones del explorador web (cuando el usuario accede a una

pgina)
Barra de estado del explorador web (cuando un usuario sita el cursor

sobre un hipervnculo)
Archivos fuente HTML (cuando el usuario selecciona visualizar la fuente)
La caracterstica de codificacin de nombre de host (tambin llamado

oscurecimiento de nombre de host u oscurecimiento de URL) impide que los
observadores ocasionales vean la URL de un recurso interno, al enmascarar el
servidor de destino en la URL sin enmascarar completamente el nombre de
ruta, el archivo de destino o el nmero de puerto. Por ejemplo, si un usuario se
dirige a www.msn.com sin tener habilitadas las funciones de reescritura selectiva
o codificacin de nombre de host, el IVE muestra una URL no enmascarada en
la barra de direcciones del explorador web:
http://www.msn.com/
Si habilita la reescritura selectiva, el IVE puede mostrar la siguiente URL:

https://mycompanyserver.com/,DanaInfo=www.msn.com,SSO=U+
Si habilita la codificacin de nombre de host y el mismo usuario accede al

mismo sitio, aparece una URL en la que el nombre de host (www.msn.com)
est enmascarado:
https://i5.asglab.juniper.net/,DanaInfo=.awxyCqxtGkxw,SSO=U+
418
La codificacin de nombre de host usa un algoritmo reversible ligero, de modo

que los usuarios pueden marcar las URL codificadas. (El IVE puede traducir la
URL codificada y conventirla nuevamente a la URL original.) Por razones de
compatibilidad, los marcadores creados previamente para URL sin enmascarar
continan funcionando cuando se habilita la codificacin de nombre de host.
NOTA:
Si habilita la reescritura selectiva y la codificacin de nombre de host, el IVE

slo enmascara los nombres de host y las direcciones IP de los servidores que
ha seleccionado para reescribir mediante la caracterstica de reescritura
selectiva.
Los vnculos no reescritos por el IVE no se enmascaran. Por ejemplo,

la caracterstica de reescritura no proporciona intermediacin de vnculos ftp,
rtsp, mms y mailto. Por lo tanto, los nombres de host en estos vnculos no
se enmascaran. Esto es necesario para aprobar auditoras de seguridad.
Si habilita la barra de herramientas de marcos y la codificacin de nombre de

host, el IVE no enmascara los nombres de host que el usuario introduce en el
campo de exploracin de la barra de herramientas de marcos.
El IVE no enmascara nombres de host y direcciones IP en entradas de

registro, incluidos los nombres de host que enmascaran las entradas
de registro.
Configuracin de opciones avanzadas de exploracin web

Para configurar las opciones avanzadas de exploracin web para un rol:
de rol > Web > Options.
2. Seleccione la casilla de verificacin View advanced options.
3. Seleccione Allow Java applets si desea permitir que los usuarios accedan a
pginas web que contienen applets de Java del lado cliente. El servidor IVE
aparece para el servidor de la aplicacin como un explorador que usa SSL.
El IVE administra transparentemente las solicitudes HTTP y las conexiones TCP
iniciadas por un applet de Java y administra los applets de Java firmados.
Si habilita esta caracterstica, los usuarios pueden iniciar applets de Java y
ejecutar aplicaciones que se implementan como applets de Java del lado
cliente, como el cliente Java Virtual Computing (VNC), el cliente Java Citrix
NFuse, el cliente web WRQ Reflections y Lotus Webmail. Para obtener ms
informacin, consulte Definicin de una directiva automtica de control de
acceso a Java en la pgina 404.
419
4. Seleccione Allow Flash content para permitir que el IVE proporcione

intermediacin del contenido Flash a travs del motor de intermediacin de
contenido. Tenga en cuenta que el IVE proporciona compatibilidad limitada
para ActionScript 2.0 y Flash Remoting, y no es compatible con conexiones
XMLSocket.
5. Seleccione Persistent cookies para permitir que los usuarios personalicen sus
experiencias de exploracin habilitndolos para mantener cookies persistentes.
De forma predeterminada, el IVE limpia las cookies web que se almacenan
durante la sesin del usuario. Un usuario puede eliminar las cookies a travs de
la pgina Advanced Preferences si se habilita esta opcin.
6. Seleccione Unrewritten pages open in new window para configurar el IVE de
modo que abra los contenidos en una nueva ventana del explorador cuando un
usuario accede a una pgina web no reescrita. Abrir contenidos en una nueva
ventana puede ayudar a recordar a los usuarios que an tienen una sesin
segura. Cuando una solicitud de usuario se realiza a un recurso para el que
se aplica esta opcin, el IVE muestra una pgina que contiene un vnculo al
recurso solicitado y dirige a los usuarios a hacer clic en el vnculo. Este vnculo
abre el recurso en una nueva ventana del explorador y la pgina desde la cual
se origina la solicitud se sigue mostrando en el IVE.
Si anula la seleccin de esta casilla, es posible que los usuarios no se den cuenta
de que su sesin en el IVE todava est activa y que para volver al IVE, deben
usar el botn Back del explorador. Los usuarios deben volver al IVE para cerrar
la sesin. Si solamente cierran la ventana del explorador, sus sesiones
permanecen activas hasta que expira el lmite de tiempo de la sesin.
7. Seleccione Allow browsing untrusted SSL Web servers para permitir que los
usuarios accedan a sitios web que no son de confianza a travs del IVE. Los
sitios web que no son de confianza son aquellos cuyos certificados de servidor
no estn instalados a travs de la ficha System > Configuration >
Certificates > Trusted Servers CAs de la consola de administracin. Para
obtener ms informacin, consulte Uso de CA del servidor de confianza en la
pgina 774.
NOTA: Si una pgina web tiene referencias internas a archivos en una etiqueta
SCRIPT y estos archivos se hospedan en diferentes servidores HTTPS que tienen
certificados SSL que no son de confianza para el IVE, la pgina web no se muestra
correctamente. En estos casos, la opcin Warn users about the certificate
problems debe inhabilitarse.
420
Si habilita esta opcin, puede especificar las opciones que el IVE ofrece a los
usuarios cuando acceden a un sitio web que no es de confianza:
Warn users about the certificate problems: Si est habilitada, el IVE

muestra una advertencia al usuario cuando accede por primera vez a un
sitio web que no es de confianza, que dice el motivo por el cual no se
puede confiar en el certificado del sitio y permite continuar o cancelar.
Si el usuario selecciona continuar despus de que el IVE muestra una
advertencia, el IVE no muestra ms advertencias para el sitio durante la
sesin actual del IVE.
NOTA: Si selecciona la opcin Warn users about the certificate problems y el

usuario accede a contenido no HTML (como imgenes, js, y css) de un servidor
SSL diferente al de la pgina web, es posible que la pgina que contiene los
vnculos no se muestre correctamente. Para evitar este problema, puede anular la
seleccin de esta opcin o cargar un certificado SSL de produccin vlido en los
servidores que ofrecen el contenido no HTML.
Allow users to bypass warnings on a server-by-server basis: Si esta

opcin est habilitada, el IVE permite al usuario suprimir todas las
advertencias siguientes para un sitio web que no es de confianza. Si un
usuario selecciona esta opcin, no volver a ver advertencias para este
sitio, siempre que acceda a ste desde el IVE o clster actuales.
NOTA: Si opta por permitir que los usuarios accedan a sitios web que no son de
confianza sin ver una advertencia, el IVE registra un mensaje en el registro de
acceso del usuario cada vez que el usuario accede a un sitio que no es de
confianza. Adems, tenga en cuenta que si un usuario selecciona suprimir las
advertencias, tambin puede eliminar los ajustes persistentes de los sitios web
que no son de confianza mediante la opcin Delete Passwords de la ficha
System > Preferences > Advanced en la consola del usuario final.
8. Seleccione Rewrite file:// URLs para configurar al IVE para que reescriba las
URL file://, de modo que se enruten a travs de la CGI de exploracin de
archivos del IVE.
9. Seleccione Rewrite links in PDF files para configurar el IVE para reescribir los
hipervnculos en archivos PDF.
10. En HTTP Connection Timeout, acepte el valor predeterminado o ajuste la
duracin para indicarle al IVE cunto tiempo debe esperar una respuesta de
un servidor HTTP antes de cerrar la conexin. Use valores desde 30 hasta
1 800 segundos.
NOTA: Los valores de tiempo de espera de conexin ms altos pueden agotar los
recursos del IVE si las aplicaciones no cierran correctamente las conexiones o
demoran mucho tiempo en cerrarlas. A menos que una aplicacin requiera un
valor de tiempo de espera mayor, recomendamos aceptar el valor
predeterminado.
421
Definicin de directivas de recursos: Informacin general

Cuando habilita la caracterstica de acceso web para un rol, debe crear directivas de
recursos que especifiquen a qu recursos puede acceder el usuario, si el IVE debe
reescribir o no el contenido solicitado por el usuario y los requisitos de
almacenamiento en cach, applet e inicio de sesin nico. Para cada solicitud web,
el IVE primero evala las directivas de reescritura configuradas1. Si la solicitud del
usuario se refiere a un recurso especificado como no reescribir debido a una
directiva de recursos de reescritura selectiva o de proxy passthrough, el IVE reenva
la solicitud del usuario al recurso back-end correspondiente. De lo contrario, el IVE
sigue evaluando las directivas de recursos correspondientes a la solicitud, como las
directivas de recursos Java de una solicitud para buscar un applet de Java. Tras
comparar la solicitud de un usuario con un recurso enumerado en una directiva
pertinente, el IVE realiza la accin especificada para el recurso.
Puede crear directivas de recursos mediante la interfaz estndar (segn se describe
en esta seccin) o mediante los perfiles de recursos (mtodo recomendado).
Cuando escribe una directiva de recursos Web, debe proporcionar
informacin clave:
Resources: Una directiva de recursos debe especificar uno o ms recursos a los

que se aplica dicha directiva. Al escribir una directiva web, debe especificar
servidores web o URL especficas, segn se explica en la seccin siguiente.
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evala estas directivas que corresponden a la solicitud.
Actions: Cada uno de los tipos de directivas de recursos ejecuta una accin
especfica, ya sea permitir o denegar un recurso, as como realizar o no realizar
una accin, como reescribir un contenido, volver a firmar un applet o colocar
datos web. Tambin puede escribir reglas detalladas que impongan ms
condiciones a la peticin de un usuario. Consulte Escritura de una regla
detallada en la pgina 109.
El motor de la plataforma del IVE que evala las directivas de recursos requiere que
los recursos que aparecen en la lista de Resources de una directiva sigan un
formato cannico, como se explica en Especificacin de los recursos para una
directiva de recursos en la pgina 103.
Esta seccin esboza las consideraciones especiales que debe tener en cuenta al
especificar un recurso Web usando el formato cannico.
Formato cannico:
[protocolo://]host[:puertos][/ruta]
1. Si no configura las directivas de recursos de reescritura, el IVE contina el proceso de evaluacin usando las
directivas que se aplican a la solicitud del usuario.
422
Los cuatro componentes son:
Protocolo (opcional): valores posibles: http y https (no distingue maysculas

y minsculas)
Si falta el protocolo, se suponen http y https. Si se especifica un protocolo, se
requiere el delimitador ://. No se permiten caracteres especiales.

Los caracteres especiales permitidos se describen en la siguiente tabla:

*
IP address/Netmask: la direccin IP debe tener el formato: a.b.c.d

El mscara de red puede estar en uno de estos dos formatos:
IP: a.b.c.d
Por ejemplo: 10.11.149.2/24 or 10.11.149.2/255.255.255.0

No se permiten caracteres especiales.
Ports: Debe especificar un puerto cuando especifica una direccin IP/mscara

de red como un recurso. El puerto es opcional cuando especifica un nombre de
host DNS. Si se especifica un puerto, se requiere el delimitador :. Por ejemplo:
10.11.149.2/255.255.255.0:*

*
Coincidencias con TODOS los puertos; no se permiten otros

puerto[,puerto]*

[puerto1][puerto2]
Un rango de puertos, desde el puerto1 al puerto2.

80,443,8080-8090
Si falta el puerto, el puerto 80 predeterminado se asigna para http y el

443 para https.
423
Path (opcional): si falta la ruta, se supone un asterisco (*), lo que significa que
TODAS las rutas coinciden. Si se especifica una ruta, se requiere el delimitador
/. No se admiten otros caracteres especiales. Por ejemplo:
http://www.juniper.com:80/*
https://www.juniper.com:443/intranet/*
*.yahoo.com:80,443/*
%.danastreet.net:80/share/users/<username>/*
Definicin de directivas de recursos: acceso web

Las directivas de recursos de acceso web controlan a qu recursos Web pueden
acceder los usuarios para conectarse a Internet, intranet o extranet. Puede negar o
permitir el acceso a recursos Web por URL o rango IP. Para las URL, puede usar los
comodines * y ? para especificar eficientemente mltiples nombres de host y
rutas. Para recursos especificados por nombre de host, tambin puede seleccionar
los protocolos HTTP, HTTPS o ambos.
Para escribir una directiva de recursos de acceso web:
1. En la consola de administracin, elija Users > Resource Policies > Web >
Web ACL.
2. En la pgina Web Access Policies, haga clic en New Policy.
a.
b.

minsculas para estos recursos, consulte Definicin de directivas de recursos:
opciones generales en la pgina 462.
424
Available roles.
Definicin de directivas de recursos: acceso web
Allow access: Para permitir el acceso a los recursos especificados en la lista

Resources.
Deny access: Para denegar el acceso a los recursos especificados en la lista

Resources.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla

8. En la pgina Web Access Policies, ordene las directivas en el orden en el que
Para ver un ejemplo de directiva de recursos Web, consulte las figuras en
Definicin de directivas de recursos: Informacin general en la pgina 422.
Definicin de directivas de recursos: inicio de sesin nico

Las directivas de inicio de sesin nico permiten transmitir automticamente las
credenciales de usuario a la aplicacin web especificada en la directiva. Puede
configurar directivas de inicio de sesin nico para interceptar desafos de
autenticacin bsica y NTLM, mostrar una pgina de inicio de sesin intermediaria
para recopilar credenciales para el recurso Web y luego reescribir las credenciales
junto con la secuencia completa de desafo/respuesta. O bien, puede colocar las
credenciales y los encabezados especificados en la aplicacin web.
Esta seccin contiene las siguientes instrucciones para crear directivas de recursos
de inicio de sesin nico:
Especificacin de opciones de directiva automtica SSO de autenticacin

bsica o NTLM en la pgina 398
Escritura de una directiva de recursos POST de formulario de SSO remoto en

la pgina 429
Escritura de una directiva de recursos de encabezados/cookies de SSO

remoto en la pgina 431
Definicin de directivas de recursos: inicio de sesin nico 425
Escritura de una directiva de recursos de intermediacin de autenticacin bsica

o NTLM
Las directivas de recursos de intermediacin de autenticacin bsica o NTLM
permiten controlar la intermediacin NTLM en el IVE. Si un usuario accede a un
recurso Web que enva un desafo de autenticacin bsica, el IVE puede interceptar
el desafo, mostrar una pgina de inicio de sesin intermediaria para recopilar
credenciales para el recurso Web y luego reescribir las credenciales junto con la
secuencia desafo/respuesta completa.
NOTA: La solicitud HTTP inicial generada para un servidor protegido NTLM debe
ser para una solicitud que produce contenido HTML. Si SSO no est habilitado o si
las credenciales de SSO fallan, el IVE responde con una pgina HTML para obtener
las credenciales de usuario. Si el explorador espera contenido no HTML, rechaza la
respuesta y falla la navegacin al recurso.
El contenido POST no autenticado superior a 4k no podr enviar contenido a un

servidor protegido por autenticacin bsica.
Para escribir una directiva de recursos de intermediacin de autenticacin bsica
o NTLM:
2. Si la vista de administrador an no est configurada para mostrar las directivas
SSO, realice las siguientes modificaciones:
a.

la pgina.
b.
c.
Seleccione la casilla de verificacin Basic Auth/NTLM ubicada debajo de

la casilla de verificacin SSO.
d. Haga clic en OK.

3. Seleccione la ficha SSO > Basic Auth/NTLM.
4. En la pgina Basic Auth and NTLM policies, haga clic en New Policy.
5. En la pgina New Policy, introduzca un nombre para etiquetar esta directiva
(obligatorio) y una descripcin de la directiva (opcional).
426

NOTA: Si desea que el IVE enve automticamente valores a una URL especfica
introduzca aqu debe coincidir exactamente con la URL que especifique en la
pgina Users > User Roles > Rol > Web > Bookmarks de la consola de
administracin.
Available roles.
Basic: Esta opcin especifica que el IVE usa el mtodo de intermediacin

de autenticacin bsica para controlar el comportamiento de SSO.
Enable Intermediation: Cuando selecciona esta opcin, tambin debe

especificar el tipo de intermediacin de autenticacin bsica: Use
System Credentials for SSO, Use Specified Credentials for SSO o
Disable SSO. Estas tres opciones se describen a continuacin, en el
elemento NTLM.
Disable Intermediation: Cuando selecciona esta opcin, el IVE no

proporciona intermediacin de la secuencia desafo/respuesta.
NOTA:
El IVE siempre proporciona intermediacin de solicitudes a proxies web que

requieren autenticacin bsica, aunque seleccione Disable Intermediation.
Aunque dispone de una opcin para inhabilitar la intermediacin de

autenticacin bsica, no recomendamos esta opcin porque es un mtodo de
autenticacin muy inseguro y, en algunos casos, puede transmitir credenciales
de usuario en la red en texto sin encriptar.
NTLM: esta opcin especifica que el IVE usa el mtodo de intermediacin

de Microsoft NTLM para controlar el comportamiento de SSO.
Use System Credentials for SSO: El IVE proporciona intermediacin

en la secuencia desafo/respuesta, almacena en cach las credenciales
que recopila y las usa para habilitar inicio de sesin nico basado en
cualquier credencial de sistema que haya configurado previamente en
el IVE.
Use Specified Credentials for SSO: El IVE proporciona intermediacin

en la secuencia desafo/respuesta, almacena en cach las credenciales
que recopila y las usa para habilitar el inicio de sesin nico. Cuando
selecciona esta opcin, tambin debe especificar los siguientes
parmetros de credencial de intermediacin:
Username: Especifica el nombre de usuario de SSO que el IVE usa para
validar credenciales de inicio de sesin.
Variable password: Especifica la contrasea variable de SSO que el IVE
usa para validar credenciales de inicio de sesin. La contrasea
variable es el texto, <PASSWORD> y significa que el IVE usa la
contrasea de inicio de sesin del usuario como el mtodo de
autenticacin al presentar credenciales para SSO.
Password: Especifica la contrasea esttica de SSO que el IVE usa para
validar credenciales de inicio de sesin. Por ejemplo, puede especificar
una contrasea como open_sesame que el IVE presenta
automticamente al servidor de autenticacin al proporcionar
intermediacin de credenciales de usuario.
Domain: Especifica el nombre de dominio. Use la variable
<userDN.DC> si est usando un servidor LDAP. El IVE completa esta
variable con el nombre de dominio. Si se deja en blanco, el IVE enva
el dominio devuelto del desafo NTLM al servidor como parte de la
respuesta NTLM.
Disable SSO: El IVE inhabilita la autenticacin de SSO automtica para

este rol de usuario y, en lugar de ello, solicita al usuario las credenciales
de inicio de sesin.

10. En la pgina Basic Auth and NTLM policies, ordene las directivas en el orden
428
Escritura de una directiva de recursos POST de formulario de SSO remoto

Las directivas de recursos POST de formulario de SSO remoto especifican las
aplicaciones web a las cuales coloca datos el IVE. Estos datos pueden incluir el
nombre de usuario y la contrasea de IVE del usuario, as como datos del sistema
almacenados por variables del sistema. Para obtener ms informacin, consulte
Informacin general de SSO remoto en la pgina 388.
Para escribir una directiva de recursos POST de formulario de SSO remoto:
a.

la pgina.
b.
c.
Seleccione la casilla de verificacin Form Post ubicada debajo de la casilla

de verificacin SSO.
d. Haga clic en OK.

3. Seleccione la ficha SSO > Form Post.
4. En la pgina Form POST Policies, haga clic en New Policy.
5. En la pgina New Policy, introduzca un nombre para etiquetar esta directiva
(obligatorio) y una descripcin de la directiva (opcional).
6. En la seccin Resources, especifique la pgina de inicio de sesin de la
aplicacin, como: http://yourcompany.com. Para obtener ms informacin,
consulte Especificacin de los recursos para una directiva de recursos en la
pgina 103. Para habilitar la coincidencia segn IP o la coincidencia que
distingue entre maysculas y minsculas para estos recursos, consulte
Definicin de directivas de recursos: opciones generales en la pgina 462.
NOTA: Si desea que el IVE enve automticamente valores a una URL especfica
introduzca aqu debe coincidir exactamente con la URL que especifique en la
pgina Users > User Roles > Rol > Web > Bookmarks de la consola de
administracin.
Available roles.
Perform the POST defined below: El IVE realiza un POST de formulario

con los datos de usuario especificados en la seccin POST details para la
URL especificada cuando un usuario realiza una solicitud a un recurso
especificado en la lista Resources.
Do NOT perform the POST defined below: El IVE no realiza un POST

de formulario con los datos de usuario especificados en la seccin
POST details.
9. En la seccin POST details:
430
En el campo POST to URL, especifique la URL absoluta donde la aplicacin

coloca las credenciales del usuario, como:
http://yourcompany.com/login.cgi. Puede determinar la URL apropiada
usando una descarga TCP o visualizando la fuente de la pgina de inicio de
sesin de la aplicacin y buscando el parmetro POST en la etiqueta FORM.
(El IVE no acepta caracteres comodines en este campo.)
Seleccione Deny direct login for this resource si no desea que los usuarios
puedan acceder directamente a la URL.
Seleccione la casilla de verificacin Allow multiple POSTs to this resource

si desea que el IVE enve valores de POST y cookies al recurso varias veces
si es necesario. Si no selecciona esta opcin, el IVE no intenta el inicio de
sesin nico cuando un usuario solicita el mismo recurso ms de una vez
durante la misma sesin.
Especifique los datos de usuario para colocar y el permiso de modificacin

de usuario:
User label: La etiqueta que aparece en la pgina Preferences de un

usuario en el IVE. Este campo es obligatorio si permite o requiere
que los usuarios modifiquen los datos para colocar en aplicaciones
back-end.
Name: El nombre para identificar los datos del campo Value.

(La aplicacin back-end debe esperar este nombre.)
Value: El valor que se debe incluir en el formulario para el Name

especificado. Puede introducir datos estticos, una variable de sistema
(consulte Variables del sistema y ejemplos en la pgina 1046 para ver
una lista de variables vlidas) o variables de sesin del IVE que
contienen valores de nombre de usuario y contrasea (consulte
en la pgina 226 para obtener ms informacin).
Ajuste User modifiable: Seleccione Not modifiable si no desea que el

usuario pueda cambiar la informacin del campo Value. Seleccione
User CAN change value si desea que el usuario tenga la opcin de
especificar datos para una aplicacin back-end. Seleccione User MUST
change value si los usuarios deben introducir datos adicionales para
acceder a una aplicacin back-end. Si selecciona alguno de estos
ajustes, aparece un campo para introduccin de datos en la pgina
Advanced Preferences del usuario en el IVE. Este campo se etiqueta
con los datos que introduce en el campo User label. Si introduce un
valor en el campo Value, estos datos aparecen en el campo, pero se
pueden editar.

11. En la pgina Form POST Policies, ordene las directivas en el orden en el que
Escritura de una directiva de recursos de encabezados/cookies de SSO remoto

Las directivas de recursos de encabezados/cookies de SSO remoto especifican las
aplicaciones web personalizadas a las que el IVE enva encabezados y cookies
personalizados. Para obtener ms informacin, consulte Informacin general de
SSO remoto en la pgina 388.
NOTA: Al crear una directiva de encabezados/cookies, tenga en cuenta que el IVE
no analiza ni entiende los encabezados que introduce en esta seccin. Por
ejemplo, si agrega un encabezado Accept-Encoding: gzip o Accept-Encoding:deflate,
no significa que el IVE puede manejar contenido gzip o comprimido.
Para escribir una directiva de recursos de encabezados/cookies de SSO remoto:

a.

la pgina.
b.
c.
Seleccione la casilla de verificacin Headers/Cookies ubicada debajo de

la casilla de verificacin SSO.
d. Haga clic en OK.

3. Seleccione la ficha SSO > Headers/Cookies.
4. En la pgina Headers/Cookies Policies, haga clic en New Policy.
a.
b.

432
Available roles.
Append headers as defined below: El IVE coloca los datos de usuario

especificados en la seccin POST details para la URL especificada cuando
un usuario realiza una solicitud a un recurso especificado en la lista
Resources.
Do NOT append headers as defined below: El IVE no coloca los datos de

usuario especificados en la seccin POST details para la URL especificada
cuando un usuario realiza una solicitud a un recurso especificado en la lista
Resources.
9. En la seccin Headers and values, especifique:
Header name: El texto que el IVE enva como datos de encabezado.
Value: El valor para el encabezado especificado.
NOTA: Si necesita reenviar una cookie a un servidor backend, debe

configurar el campo Header Name en "Cookie" y el campo Value en
"CookieName=CookieValue".

11. En la pgina Headers/Cookies Policies, ordene las directivas en el orden en
el que desee que el IVE las evale. Tenga presente que una vez que el IVE
Definicin de directivas de recursos: almacenamiento en cach

Las directivas de recursos de almacenamiento en cach controlan qu contenido
web se almacena en el equipo del usuario.
Esta seccin contiene la siguiente informacin acerca de las directivas de
almacenamiento en cach:
Escritura de una directiva de recursos de almacenamiento en cach en la

pgina 434
Creacin de directivas de recursos de almacenamiento en cach OWA y Lotus

Notes en la pgina 437
Especificacin de opciones generales de almacenamiento en cach en la

pgina 438
433
Escritura de una directiva de recursos de almacenamiento en cach

Para escribir una directiva de recursos de almacenamiento en cach web:
de almacenamiento en cach, realice las siguientes modificaciones:
a.

la pgina.
b.
Seleccione la casilla de verificacin Caching.
c.
Seleccione la casilla de verificacin Policies ubicada debajo de la casilla

de verificacin Caching.
d. Haga clic en OK.

3. Seleccione la ficha Caching > Policies.
4. En la pgina Web Caching Policies, haga clic en New Policy.
a.
b.

detallada en la pgina 109. Para habilitar la coincidencia segn IP o la
coincidencia que distingue entre maysculas y minsculas para estos recursos,
consulte Definicin de directivas de recursos: opciones generales en la
pgina 462.
434
Available roles.
8. En la seccin Action, seleccione una de las siguientes opciones:
Smart Caching (send headers appropriate for content and browser):

Seleccione esta opcin para permitir que el IVE enve un encabezado
cache-control:no-store o un encabezado cache-control:no-cache, segn el tipo
de contenido y el explorador web del usuario.
Cuando selecciona esta opcin, el IVE hace que los archivos de medios y
los archivos zip funcionen correctamente al eliminar los encabezados
cache-control del servidor de origen. Por ejemplo, la lgica siguiente busca
msie o windows-media-player en encabezados de agente de usuario para
eliminar encabezados de respuesta cache o cache-control:no-store y
permitir que los archivos sean almacenables en cach:
(if content type has "audio/x-pn-realaudio" OR
if content type begins with "video/" OR
if content type begins with "audio/" OR
if content type is "application/octet-stream" and the file extension begins
with "rm" or "ram"
)
Si el IVE detecta msie o windows-media-player en el encabezado de

agente de usuario y si se aplica cualquiera de los casos siguientes:
la solicitud es sobre archivos Flash, .xls, .pps, .ppt
el tipo de contenido es application/, text/rtf, text/xml, model/
el servidor de origen enva un encabezado de disposicin de contenido
entonces, el IVE enva el encabezado cache-control:no-store y elimina el

encabezado de control de cach del servidor de origen.
En todos los otros casos, el IVE agrega los encabezados de respuesta
pragma:no-cache o cache-control:no-store.
NOTA: Los archivos .ica Citrix y QuickPlace tienen un tratamiento especial. Los
archivos .ica Citrix siempre se pueden almacenar en cach y tambin tienen
cache-control-private. Los archivos QuickPlace que no coinciden con una regla
especificada (que tiene prioridad) tienen CCNS y cache-control:private.
Adems, tenga en cuenta que si selecciona esta opcin, habilita la compresin

GZIP e intenta acceder a un archivo de texto adjunto mediante Domino Web
Access 6.5 a travs de Internet Explorer, no podr abrir el archivo adjunto. Para
habilitar los archivos de texto adjuntos, debe instalar el parche 323308 de Internet
Explorer o habilitar la opcin Don't Cache (send Cache Control: No Store).
435
Don't Cache (send Cache Control: No Store): Seleccione esta opcin

para proporcionar archivos adjuntos a Internet Explorer sin guardarlos en
el disco. (El explorador escribe temporalmente los archivos en el disco,
pero los elimina inmediatamente una vez que abre el archivo en el
explorador.) Cuando selecciona esta opcin, el IVE elimina el encabezado
de control de cach del servidor de origen y agrega un encabezado de
respuesta cache-control:no-store si la cadena del agente de usuario enviado
por el explorador contiene msie o windows-media-player.
Esta opcin puede entorpecer la exploracin al causar repetidamente
bsquedas de contenido, que pueden provocar problemas de rendimiento
en conexiones muy lentas. Como alternativa, puede especificar una
directiva que permita que se almacenen en cach determinados tipos de
contenido, como imgenes que no excedan un lmite de tamao
especificado.
Don't Cache (send Pragma: No Cache): Seleccione esta opcin para

evitar que el explorador del usuario almacene los archivos en el disco.
Cuando selecciona esta opcin, el IVE agrega los encabezados pragma:
no-cache HTTP y cache-control:no-cache (CCNC) estndar (HTTP 1.1) a los
archivos de respuesta. Adems, el IVE no reenva los encabezados de
almacenamiento en cach del servidor de origen, como age, date, etag,
last-modified, expires.
NOTA: Cuando los encabezados no-cache estn presentes en determinados tipos
de archivos adjuntos (PDF, PPT, secuencias de archivos), Internet Explorer no

procesa adecuadamente los documentos porque el procesamiento requiere que
el explorador escriba temporalmente los archivos en cach.
Unchanged (do not add/modify caching headers): El IVE no agrega

los encabezados de respuesta pragma:no-cache o cache-control:no-store
y reenva los encabezados de almacenamiento en cach del servidor
de origen.
Remove Cache-Control: No-Cache|No-Store: Seleccione esta opcin para

ayudar a almacenar en cach los archivos enviados por aplicaciones web
en un entorno HTTPS. Esta opcin elimina los encabezados Cache
Control:No Cache y Pragma:no-cache. Es necesario eliminar estos
encabezados para permitir la descarga exitosa de determinados tipos de
archivos. Estos encabezados funcionan bien en un entorno HTTP, pero
fallan en un entorno HTTPS donde las pginas asociadas no se pueden
almacenar en cach, lo cual impide que el explorador web del usuario
descargue las pginas.
Use esta opcin cuando desea que el usuario final tenga la capacidad
de descargar y abrir un archivo que ser abierto por otra aplicacin de
terceros. Por ejemplo, los archivos zip y wav se almacenan en el disco
y los abre otra aplicacin.
436

10. En la pgina Web Caching Policies, ordene las directivas en el orden en el que
Creacin de directivas de recursos de almacenamiento en cach OWA y Lotus Notes

Las tablas siguientes incluyen ejemplos de algunos de los tipos de contenidos que el
IVE admite con las aplicaciones Outlook Web Access (OWA) y Lotus iNotes. Adems,
especifica las directivas de control de cach que debe implementar en Microsoft
Internet Explorer para admitir abrir y guardar los tipos de contenido especificados.
Tenga en cuenta que por razones de rendimiento, recomendamos crear directivas
de almacenamiento en cach para todo lo que se encuentra en el directorio iNotes.
Tabla 27: Directivas de recursos de almacenamiento en cach OWA
Tipo de archivo
adjunto
Para abrir el archivo

adjunto, use:
Para guardar el archivo adjunto,

use:
zip
Cach
Almacenamiento en cach inteligente
ppt
Almacenamiento en cach
inteligente
doc
inteligente
xls
inteligente
pdf
inteligente
txt
Cach
Control del almacenamiento en

cach: no guardar
html
inteligente

cach: no guardar
Tabla 28: Directivas de recursos de almacenamiento en cach iNotes

Tipo de archivo
adjunto

adjunto, use:
Para guardar el archivo

adjunto, use:
zip

cach: no guardar

cach: no guardar
ppt

cach: no guardar

cach: no guardar
doc
inteligente
inteligente
xls

cach: no guardar

cach: no guardar
437
Tabla 28: Directivas de recursos de almacenamiento en cach iNotes

Tipo de archivo
adjunto

adjunto, use:
Para guardar el archivo

adjunto, use:
pdf

cach: no guardar

cach: no guardar
txt

cach: no guardar

cach: no guardar
html

cach: no guardar

cach: no guardar
otros tipos de archivos

cach: no guardar

cach: no guardar
Especificacin de opciones generales de almacenamiento en cach

Puede usar opciones de almacenamiento en cach para especificar el tamao
mximo de archivo de imagen que se almacena en cach en un cliente. Si el
encabezado content-type del servidor de origen comienza con "image/" y el
encabezado content-length especifica un tamao menor que el tamao mximo
configurado para esta opcin, el IVE transmite los encabezados de almacenamiento
en cach del servidor de origen. De lo contrario, el IVE trata la solicitud como si el
almacenamiento en cach estuviera inhabilitado.
Para especificar las opciones de almacenamiento en cach:
de almacenamiento en cach, realice las siguientes modificaciones:
a.

la pgina.
b.
Seleccione la casilla de verificacin Caching.
c.
Seleccione la casilla de verificacin Options ubicada debajo de la casilla de

verificacin Caching.
d. Haga clic en OK.

3. Seleccione la ficha Caching > Options.
4. En la pgina Caching Options, especifique un tamao mximo de imagen
admisible en el campo Clients should cache all images less than field.
438
Definicin de directivas de recursos: applets de Java externos

Esta seccin contiene la siguiente informacin acerca de la reescritura de applets de
Java en un servidor externo:
Escritura de una directiva de recursos de control de acceso a Java en la

pgina 439
Escritura de una directiva de recursos de firma de cdigo Java en la

pgina 441
NOTA: Para obtener informacin acerca del alojamiento de applets de Java

directamente en el IVE, consulte Plantillas de applets de Java hospedados en la
pgina 345.
Escritura de una directiva de recursos de control de acceso a Java

Las directivas de recursos de control de acceso a Java controlan a qu servidores
y puertos se pueden conectar los applets de Java.
Para escribir una directiva de recursos de control de acceso a Java:
java, realice las siguientes modificaciones:
a.

la pgina.
b.
Seleccione la casilla de verificacin Java.
c.
Seleccione la casilla de verificacin Access Control ubicada debajo de

la casilla de verificacin Java.
d. Haga clic en OK.

3. Seleccione la ficha Java > Access Control.
4. En la pgina Java Access Policies, haga clic en New Policy.
a.
b.
439

Available roles.
Allow socket access: Para permitir que los applets de Java se conecten
a los servidores (y opcionalmente a los puertos) de la lista Resources.
Deny socket access: Para impedir que los applets de Java se conecten a los
servidores (y opcionalmente a los puertos) de la lista Resources.

10. En la pgina Java Access Policies, ordene las directivas en el orden en el que
11. (Opcional) Para mejorar el rendimiento de sus aplicaciones Java:
a.
Seleccione Enable Java instrumentation caching en la pgina

Maintenance > System > Options de la consola de administracin. Esta
opcin puede mejorar el rendimiento de la descarga de aplicaciones Java.
Para obtener ms informacin, consulte Ajuste de las opciones del
b.
Despus de terminar la configuracin del IVE, coloque en cach el applet

de Java y acceda a ste como usuario final. Esta accin elimina la
coincidencia de rendimiento que se produce en el motor de intermediacin
cuando el primer usuario final accede al applet.
Para ver un ejemplo de directiva de recursos Web, consulte las figuras que se
incluyen en Definicin de directivas de recursos: Informacin general en la
pgina 422.
440
Escritura de una directiva de recursos de firma de cdigo Java

Las directivas de recursos de firma de cdigo Java especifican cmo el IVE reescribe
los applets de Java. De forma predeterminada, cuando el IVE proporciona
intermediacin de un applet de Java firmado, vuelve a firmar el applet con su
propio certificado, el cual no est encadenado a un certificado de raz estndar.
Cuando un usuario solicita un applet que realiza tareas que implican un alto riesgo
potencial, como acceder a servidores de red, el explorador del usuario muestra una
advertencia de seguridad que indica que la raz no es de confianza. Para evitar esta
advertencia, puede importar un certificado de firma de cdigo que el IVE usa para
volver a firmar applets para los que proporciona intermediacin. Para obtener ms
informacin acerca de los certificados de firma de cdigo, consulte Uso de
certificados de firma de cdigo en la pgina 776.
Al configurar directivas de recursos de firma de cdigo Java, introduzca los
servidores en cuyos applets confa. Puede introducir una direccin IP o un nombre
de dominio de servidor. El IVE slo vuelve a firmar applets de un servidor de
confianza. Si un usuario solicita un applet de un servidor que no est en la lista, el
IVE no usa los certificados de produccin importados para firmar el applet, lo que
significa que el explorador muestra una advertencia de seguridad al usuario. Para
usuarios de JVM de Sun, el IVE adicionalmente comprueba que el CA de raz del
certificado del applet original est en la lista de autoridades del certificado de raz
de confianza.
Para escribir una directiva de recursos de firma de cdigo de Java:
java, realice las siguientes modificaciones:
a.

la pgina.
b.
Seleccione la casilla de verificacin Java.
c.
Seleccione la casilla de verificacin Code-Signing ubicada debajo de la

casilla de verificacin Java.
d. Haga clic en OK.

3. Seleccione la ficha Java > Code-Signing.
4. En la pgina Java Signing Policies, haga clic en New Policy.
a.
b.
441

Available roles.
Resign applets using applet certificate: Para permitir que los applets de
Java se conecten a los servidores (y opcionalmente a los puertos) de la lista
Resources.
Resign applets using default certificate: Para impedir que los applets de
Java se conecten a los servidores (y opcionalmente a los puertos) de la lista
Resources.

10. En la pgina Java Signing Policies, ordene las directivas en el orden en el que
442
Definicin de directivas de recursos: reescritura

Las directivas de recursos de reescritura controlan qu datos web el IVE reescribe
o no a travs del motor de intermediacin de contenido. Esta seccin contiene la
siguiente informacin acerca de la creacin de directivas de recursos de reescritura:
Creacin de una directiva de recursos de reescritura selectiva en la

pgina 443
Creacin de una directiva de recursos proxy passthrough en la pgina 446
Creacin de una directiva de recursos de encabezados personalizados en la

pgina 449
Creacin de una directiva de recursos de parmetros ActiveX en la

pgina 450
Restauracin de las directivas de recursos ActiveX predeterminadas del IVE

en la pgina 452
Creacin de filtros de reescritura en la pgina 454
Creacin de una directiva de recursos de reescritura selectiva

Las directivas de recursos de reescritura selectiva permiten definir una lista de host
para los cuales desea que el IVE proporcione intermediacin de contenido, as
como tambin excepciones a la lista. De forma predeterminada, el IVE proporciona
intermediacin a todas las solicitudes de usuarios de host web, a menos que haya
configurado el IVE para responder a solicitudes de determinados host mediante un
mecanismo diferente, como el Secure Application Manager.
Cree una directiva de reescritura selectiva si no desea que el IVE proporcione
intermediacin del trfico de sitios web que residen fuera de la red corporativa,
como yahoo.com, o si no desea que el IVE proporcione intermediacin del trfico
para aplicaciones cliente/servidor implementadas como recursos Web, como
Microsoft OWA (Outlook Web Access).
Para escribir una directiva de recursos de reescritura selectiva:
de reescritura, realice las siguientes modificaciones:
a.

la pgina.
b.
Seleccione la casilla de verificacin Rewriting.
c.
Seleccione la casilla de verificacin Selective Rewriting ubicada debajo

de la casilla de verificacin Rewriting.
d. Haga clic en OK.
443
3. Seleccione la ficha Rewriting > Selective Rewriting.

4. En la pgina Web Rewriting Policies, haga clic en New Policy.
a.
b.

Available roles.
Rewrite content: El IVE proporciona intermediacin de todo el contenido

web de los recursos especificados en la lista Resources1.
Rewrite content as...: El IVE proporciona intermediacin de todo el

contenido web de los recursos especificados en la lista Resources y
reescribe el contenido como si fuera el tipo de archivo especificado
en la lista desplegable1. Las opciones disponibles son las siguientes:
HTML: Reescribe el contenido en lenguaje HTML (Hypertext Markup

Language).
XML: Reescribe el contenido en lenguaje XML (Extensible Markup

Language).
Javascript: Reescribe el contenido en lenguaje de script Java.
VBScript: Reescribe el contenido en lenguaje de script Virtual Basic.
CSS: Reescribe el contenido en la forma de hojas de estilo en cascada.
XSLT: Reescribe el contenido en la forma de hojas de estilo XML.
1. Los nuevos dispositivos IVE incluyen una directiva de reescritura inicial que reescribe todo el contenido para
todos los roles.
444
Flash: Reescribe el contenido en formato Shockwave Flash.
DTD: Reescribe el contenido en la forma de DTD (Document Type

Definitions).
HTC: Reescribe el contenido en la forma de componente HTML.
Dont rewrite content: Redirect to target Web server: El IVE no

proporciona intermediacin del contenido web de los recursos
especificados en la lista Resources y redirige automticamente la solicitud
al servidor web de destino. sta es la opcin predeterminada para todas las
directivas de recursos de reescritura que se crean. Si selecciona esta
opcin, es posible que desee especificar que el IVE abra las pginas no
reescritas en una nueva ventana usando las opciones de la seccin
Definicin de directivas de recursos: opciones generales en la
pgina 462.
NOTA: No seleccione esta opcin si el contenido especificado debe acceder a

recursos dentro de la red corporativa. Por ejemplo, si especifica que el IVE no debe
reescribir un archivo en particular, y ese archivo invoca otro archivo dentro de la
red, el usuario ver un error.
Dont rewrite content: Do not redirect to target Web server: El IVE

obtiene el contenido del servidor web original, pero no lo modifica. Esto es
til en casos en que los usuarios no pueden acceder al servidor original. Por
lo tanto, se inhabilita la redireccin. (Por ejemplo, si el servidor web no es
accesible desde Internet pblica porque se encuentra tras un cortafuegos.)
NOTA: La opcin Dont rewrite content: Do not redirect to target Web server
permite a los usuarios descargar datos de recursos de red a travs del IVE,
pero omite el motor de reescritura del IVE en el proceso. Recomendamos usar
esta caracterstica slo al reescribir applets de Java firmados, no otros tipos de
contenido. Para otros tipos de contenido, como HTML y Javascript, use la opcin
Dont rewrite content: Redirect to target Web server para descargar un applet
a travs del IVE, habilitando, de este modo, las conexiones directas a recursos
de red.

10. En la pgina Web Rewriting Policies, ordene las directivas en el orden en
445
Creacin de una directiva de recursos proxy passthrough

Las directivas de recursos proxy passthrough especifican las aplicaciones web
para las que el IVE proporciona intermediacin mnima, segn se explica en
Informacin general de proxy passthrough en la pgina 389. Para crear una
directiva de recursos proxy passthrough, debe especificar dos elementos:
La aplicacin web a la que proporcionar intermediacin con el proxy

passthrough
El modo en que el IVE escucha solicitudes de cliente al servidor de la aplicacin
Para escribir una directiva de recursos proxy passthrough:

a.

la pgina.
b.
c.
Seleccione la casilla de verificacin Passthrough Proxy ubicada debajo

d. Haga clic en OK.

3. Seleccione la ficha Rewriting > Passthrough Proxy.
4. En la pgina Passthrough Proxy Policies, haga clic en New Application.
5. En la pgina New Passthrough Application, introduzca:
a.
b.
6. En el campo URL, especifique el nombre de host del servidor de la aplicacin y

el puerto utilizado para acceder internamente a la aplicacin. Tenga en cuenta
que no se puede introducir una ruta en este campo.
446
7. Seleccione la forma en que desea habilitar la caracterstica proxy passthrough:
Use virtual hostname: Si selecciona esta opcin, especifique un alias de

nombre de host para el servidor de la aplicacin. Cuando el IVE recibe una
peticin de cliente para el alias de nombre de host del servidor de la
aplicacin, reenva la solicitud al puerto del servidor de la aplicacin
especificado en el campo URL.
NOTA:
Si selecciona esta opcin, tambin debe definir el nombre de host y el

nombre del IVE en la seccin Network Identity de la ficha System >
Network > Internal Port.
Para hacer que Sharepoint funcione correctamente a travs del IVE, debe
seleccionar la casilla de verificacin Override automatic cookie handling en
Internet Explorer en Tools Internet options > Privacy > Advanced Privacy
Settings si se cumplen las siguientes condiciones:
Seleccionar la opcin Use virtual hostname durante la configuracin de

proxy passthrough.
El nombre de host virtual especificado en la configuracin de Sharepoint

es diferente del nombre de host definido a travs de la configuracin de
IVE (esto es, si los dominios son diferentes).
Habilitar cookies persistentes mediante la pgina Users > User Roles >
Seleccionar rol > General > Session Options de la consola de
administracin.
Use IVE port: Si selecciona esta opcin, especifique un puerto de IVE nico
en el rango 11000-11099. El IVE escucha las peticiones de cliente al
servidor de la aplicacin en el puerto especificado del IVE y reenva las
peticiones al puerto del servidor de la aplicacin especificado en el
campo URL.
8. En la seccin Action, especifique el mtodo que el IVE usa para proporcionar

intermediacin del trfico:
Rewrite XML: Si selecciona esta opcin, el IVE reescribe las URL incluidas
en el contenido XML. Si inhabilita esta opcin, el IVE transmite sin cambios
el contenido XML al servidor.
Rewrite external links: Si selecciona esta opcin, el IVE reescribe todas las
URL. Si inhabilita esta opcin, el IVE slo reescribe las URL que contienen
un nombre de host especificado en la directiva de proxy passthrough.
447
Block cookies from being sent to the browser: Si selecciona esta opcin,
el IVE bloquea las cookies destinadas al explorador del cliente. El IVE
almacena localmente las cookies y las enva a las aplicaciones cuando
se solicitan.
Host-Header forwarding: Si selecciona esta opcin, el IVE transmite

el nombre de host como parte del encabezado de host, en lugar del
identificador de host real.
NOTA: La opcin Host-Header forwarding slo es vlida en el modo de host

virtual del proxy passthrough.

10. En la pgina Pass-through Proxy Policies, ordene las directivas en el orden
compara la aplicacin solicitada por el usuario con una aplicacin especificada
en una lista de Resource de la directiva (o regla detallada), realiza la accin
especificada y detiene las directivas de procesamiento.
11. Si selecciona:
Use virtual hostname, tambin debe:

i.
Agregar una entrada para cada alias de nombre de host de servidor de

ii.
Cargar un certificado de servidor comodn en el IVE (recomendado).

Para obtener ms informacin acerca de los certificados comodines,
consulte Asociacin de un certificado con un puerto virtual en la
pgina 757.
Use IVE port, abra el trfico al puerto del IVE especificado para el servidor
de la aplicacin en el cortafuegos corporativo.
NOTA: Si la aplicacin escucha en mltiples puertos, configure cada puerto de

la aplicacin como una entrada de proxy passthrough con un puerto de IVE
separado. Si piensa acceder al servidor usando nombres de host o direcciones
IP diferentes, configure por separado cada una de estas opciones; en este caso,
puede usar el mismo puerto del IVE.

Es posible que no funcionen los vnculos de proxy passthrough externos que
se incluyen en una pgina de proxy passthrough. Por ejemplo, si la pgina
bar.company.com contiene un vnculo a foo.company.com y foo.company.com est
configurada como una aplicacin de proxy passthrough application de modo de
host, el vnculo a foo.company.com falla. Para evitar esto, use proxy passthrough de
modo de puerto para vnculos de proxy passthrough incluidos en aplicaciones de
proxy passthrough.
448
Creacin de una directiva de recursos de encabezados personalizados

De forma predeterminada, el motor de reescritura del IVE slo enva encabezados
personalizados seleccionados a exploradores (clientes) y servidores backend. Sin
embargo, puede usar directivas de recursos de encabezados personalizados para
permitir o denegar encabezados personalizados para recursos especficos.
NOTA: Tenga en cuenta que las directivas de recursos de encabezados
personalizados no controlan encabezados HTTP estndar como Content-Type.
Para escribir una directiva de recursos de encabezados personalizados:

a.

la pgina.
b.
c.
Seleccione la casilla de verificacin Custom Headers ubicada debajo de la

casilla de verificacin Rewriting.
d. Haga clic en OK.

3. Seleccione la ficha Rewriting > Custom Headers.
4. En la pgina Custom Header Policies, haga clic en New Policy.
a.
b.

Available roles.
449
Allow Custom Headers: Seleccione esta opcin para evitar que el IVE
bloquee los encabezados a exploradores (clientes) y servidores backend.
Deny Custom Headers: Seleccione esta opcin para usar el

comportamiento de encabezado personalizado predeterminado en el IVE.
Cuando selecciona esta opcin, el IVE bloquea los encabezados
personalizados para mayor seguridad.

10. En la pgina Web Rewriting Policies, ordene las directivas en el orden en
Creacin de una directiva de recursos de parmetros ActiveX

Cuando el IVE reescribe una pgina web, no reescribe los controles ActiveX
incluidos en la pgina web. Sin embargo, puede crear directivas de recursos que
especifiquen que el IVE debe reescribir los parmetros de URL y nombre de host
transmitidos por la pgina web a los controles ActiveX. Para configurar estas
directivas de recursos, debe obtener la siguiente informacin:
Class ID: Las pginas web generalmente usan un ID de clase para incluir un
control ActiveX. Un ID de clase es una cadena nica y constante que identifica
de forma inequvoca un control ActiveX.
Puede determinar el ID de clase de un objeto ActiveX que usa
Internet Explorer 6: Seleccione Tools > Internet Options, haga clic en
Settings y haga clic en View Objects. Seleccione el objeto ActiveX, haga clic
con el botn secundario y seleccione Properties. El ID del objeto ActiveX
se resalta.
450
Language: Las pginas web pueden usar HTML esttico o dinmico (usando
JavaScript) para incluir un control ActiveX. Cuando una pgina web usa HTML
esttico, el IVE puede reescribir los parmetros ActiveX especificados en el IVE
mientras proporciona intermediacin del trfico, dado que toda la informacin
requerida se transmite entre el explorador del usuario y el servidor web de la
aplicacin. Sin embargo, cuando una pgina web usa HTML dinmico para
incluir un control ActiveX, la pgina extrae frecuentemente informacin del
cliente y luego genera HTML para incluir el control ActiveX. Por lo tanto,
el IVE debe ejecutar un script en el explorador del usuario para obtener la
informacin que necesita para reescribir los parmetros ActiveX especificados.
Parameter type: Al configurar el IVE para reescribir un parmetro, debe

determinar si el parmetro es una URL o un nombre de host. El IVE no admite
otros tipos de parmetros.
Parameter name: Debe especificar el nombre del parmetro que desea que
el IVE reescriba. Puede encontrar los parmetros al buscar la etiqueta de
parmetros dentro de la etiqueta del objeto. Por ejemplo, puede encontrar
una pelcula flash incluida en una pgina mediante el siguiente cdigo:
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" > <param
name="movie" value="mymovie.swf" />
<param name="quality" value="high" />
</object>
Al configurar la directiva de recursos correspondiente, debe introducir movie en

el campo Parameter name porque movie se refiere a la URL que requiere
reescritura. Frecuentemente, las pginas contienen varias etiquetas de
parmetros, pero no todas requieren reescritura. En este ejemplo, el parmetro
quality no requiere reescritura.
Para escribir una directiva de recursos de reescritura de parmetros ActiveX:
a.

la pgina.
b.
c.
Seleccione la casilla de verificacin ActiveX Parameter Rewriting ubicada

debajo de la casilla de verificacin Rewriting.
d. Haga clic en OK.

3. Seleccione la ficha Rewriting > ActiveX Parameter Rewriting.
4. En la pgina ActiveX Parameter Rewriting Policies, haga clic en New Policy.
a.
El ID de clase del control ActiveX que desea controlar con la directiva.
b.
451
6. En la seccin Parameters, especifique los parmetros ActiveX que desea

controlar con la directiva y las acciones correspondientes. Las acciones posibles
son las siguientes:
Rewrite URL and response (Static HTML only): El IVE reescribe el

parmetro de la URL especificada en el IVE. El IVE tambin reescribe
cualquier respuesta del servidor web que solicita la URL. Tenga en cuenta
que debe seleccionar esta opcin si la pgina web incluye el control ActiveX
que slo usa HTML esttico.
Rewrite URL and response (Static and dynamic HTML): El IVE reescribe
la URL especificada en el cliente, adems de la reescritura en el IVE. El IVE
tambin reescribe cualquier respuesta del servidor web que solicita la URL.
Tenga en cuenta que debe seleccionar esta opcin si la pgina web incluye
el control ActiveX que usa HTML dinmico.
Rewrite URL (Static HTML only): El IVE reescribe el parmetro de la URL

especificada en el IVE. Tenga en cuenta que debe seleccionar esta opcin si
la pgina web incluye el control ActiveX que slo usa HTML esttico.
Rewrite URL (Static and dynamic HTML): El IVE reescribe la URL

especificada en el cliente, adems de la reescritura en el IVE. Tenga en
cuenta que debe seleccionar esta opcin si la pgina web incluye el control
ActiveX que usa HTML dinmico.
Rewrite hostname (Static HTML only): El IVE reescribe el parmetro

de nombre de host especificado en el IVE. Tenga en cuenta que debe
seleccionar esta opcin si la pgina web incluye el control ActiveX que slo
usa HTML esttico.
Rewrite hostname (Static and dynamic HTML): El IVE reescribe el

nombre de host especificado en el cliente, adems de la reescritura en el
IVE. Tenga en cuenta que debe seleccionar esta opcin si la pgina web
incluye el control ActiveX que usa HTML dinmico.
Do not rewrite: El IVE no reescribe ninguno de los parmetros del

componente ActiveX.

Restauracin de las directivas de recursos ActiveX predeterminadas del IVE

El IVE incluye varias directivas de recursos predeterminadas para reescribir los
parmetros de objetos ActiveX que se utilizan habitualmente. Si opta por eliminar
alguna de estas directivas y despus desea restaurarla, puede volver a crearla
usando la siguiente tabla como gua.
452
Tabla 29: Directivas de recursos predefinidas

Descripcin
ID de clase
Parmetro
Accin
Objeto Citrix NFuse

xginen_EmbeddedApp
238f6f83-b8b4-11cf-877100a024541ee3
ICAFile
Rewrite URL and response

(Static HTML only)
OrgPlus OrgViewer
DCB98BE9-88EE-4AD0-9790- URL
2B169E8D5BBB

(Static HTML only)
Quickplace
05D96F71-87C6-11D3-9BE400902742D6E0
GeneralURL

(Static and dynamic HTML)
General_ServerName
Rewrite host name (Static and

dynamic HTML)
FullURL

iNotes Discussion
5BDBA960-6534-11D3-97C700500422B550
B20D9D6A-0DEC-4d76-9BEF- B20D9D6A-0DEC-4d76-9BEF- ServerURL

175896006B4A
175896006B4A
Error URL

(Static HTML only)
(Static HTML only)
Citrix NFuse Elite
2E687AA8-B276-4910-BBFB4E412F685379
ServerURL

(Static HTML only)
WebPhotos LEAD
00120000-B1BA-11CE-ABC6F5B2E79D9E3F
BitmapDataPath

Shockwave Flash
D27CDB6E-AE6D-11cf-96B8444553540000
Src

Movie

iNotes Blue
3BFFE033-BF43-11d5-A27100A024A51325
General_URL

General_ServerName

dynamic HTML)
Tabular Data Control
333C7BC4-460F-11D0-BC040080C7055A83
DataURL
Rewrite URL (Static HTML

only)
Windows Media Player
6BF52A52-394A-11D3-B15300C04F79FAA6
URL

(Static HTML only)
FlowPartPlace
4A266B8B-2BB9-47db-9B0E6226AF6E46FC
URL

(Static HTML only)
HTML Help
adb880a6-d8ff-11cf-937700aa003b7a11
Item1

MS Media Player
22d6f312-b0f6-11d0-94ab0080c74c7e95
FileName

(Static HTML only)
CSV Files Handler
333c7bc4-460f-11d0-bc040080c7055a83
DataURL

(Static HTML only)
Special ActiveX control for

Microsoft OWA
D801B381-B81D-47a7-8EC4EFC111666AC0
mailboxUrl

(Static HTML only)
FlowPartPlace1
639325C9-76C7-4d6c-9B4A523BAA5B30A8
Url

(Static HTML only)
scriptx print control
5445be81-b796-11d2-b931002018654e2e
Path

(Static HTML only)
94F40343-2CFD-42A1-A7744E7E48217AD4
94F40343-2CFD-42A1-A7744E7E48217AD4
HomeViewURL

(Static HTML only)
453
Tabla 29: Directivas de recursos predefinidas (continuacin)

Descripcin
ID de clase
Parmetro
Accin
Microsoft License Manager
5220cb21-c88d-11cf-b34700aa00a28331
LPKPath

(Static HTML only)
Domino 7 beta 2
UploadControl
E008A543-CEFB-4559-912FC27C2B89F13B
General_URL

General_ServerName

dynamic HTML)
General_URL

General_ServerName

dynamic HTML)
iNotes
1E2941E3-8E63-11D4-9D5A00902742D6E0
ActiveCGM
F5D98C43-DB16-11CF-8ECA0000C0FD59C7
FileName

(Static HTML only)
BitmapDataPath

Creacin de filtros de reescritura

Use la ficha Rewriting Filters solamente cuando se lo indique el equipo de soporte
de Juniper Networks.
Definicin de directivas de recursos: compresin web

Esta seccin contiene la siguiente informacin acerca de la definicin de directivas
de recursos de compresin:
Escritura de una directiva de recursos de compresin web en la pgina 454
Definicin de una directiva de recursos de compresin OWA en la pgina 456
Escritura de una directiva de recursos de compresin web

El IVE est preequipado con una directiva de compresin web (*:*/*) que
comprime todos los datos web aplicables. Puede habilitar esta directiva a travs de
las pginas Users > Resource Policies > Web > Compression de la consola de
administracin.
Para escribir una directiva de recursos de compresin web:
de compresin, realice las siguientes modificaciones:
454
a.

la pgina.
b.
Seleccione la casilla de verificacin Compression.
c.
Haga clic en OK.
3. Seleccione la ficha Compression.

4. En la pgina Web Compression Policies, haga clic en New Policy.
a.
b.
6. En la seccin Resources, especifique las URL a las cuales se aplica esta

Available roles.

especfico.

455
Definicin de una directiva de recursos de compresin OWA

Debido a problemas de almacenamiento en cach con OWA, el IVE incluye las
siguientes directivas integradas que especifican que el IVE no debe comprimir
archivos Javascript o CSS que se enrutan a travs de OWA:
1. Do Not Compress *:*/exchWeb/controls/*.css (todos los roles)
2. Do Not Compress *:*/exchWeb/controls/*.js (todos los roles)
3. Do Not Compress *:*/exchWeb/*/controls/*.css (todos los roles)
4. Do Not Compress *:*/exchWeb/*/controls/*.js (todos los roles)
En las ltimas dos directivas, se incluye un comodn (*) en la ruta para considerar
diferentes versiones de OWA.
Juniper Networks recomienda que no cambie las directivas de recursos de
compresin para OWA a menos que sea absolutamente necesario.
Definicin de directivas de recursos: proxy web

Las directivas de recursos proxy web especifican los servidores proxy web para los
cuales el IVE debe proporcionar intermediacin de contenido. Tenga en cuenta que
el IVE proporciona intermediacin tanto a proxy de reenvo como a proxy inverso,
pero slo permite el inicio de sesin nico a un proxy cuando usa estas fichas para
configurar el proxy y especifica, de este modo, que confa en l. Para obtener ms
informacin, consulte Inicio de sesin nico en la pgina 223.
Esta seccin contiene la siguiente informacin acerca de las directivas de recursos
proxy web:
Escritura de una directiva de recursos proxy web en la pgina 456
Especificacin de servidores proxy web en la pgina 458
Escritura de una directiva de recursos proxy web

Para escribir una directiva de recursos proxy web:
proxy web, realice las siguientes modificaciones:
a.

la pgina.
b.
Seleccione la casilla de verificacin Web Proxy.
c.
Seleccione la casilla de verificacin Policies ubicada debajo de la casilla de

verificacin Web Proxy.
d. Haga clic en OK.

456
3. Seleccione la ficha Web Proxy > Policies.

4. En la pgina Web Proxy Policies, haga clic en New Policy.
a.
b.

Available roles.
Access Web resources directly: El IVE proporciona intermediacin de la

solicitud del usuario a un servidor back-end y la respuesta del servidor al
usuario para solicitudes realizadas a un recurso especificado en la lista
Resources.
Access Web resources through a Web proxy: Especifique un servidor

proxy web en la lista desplegable definida en la ficha Users > Resource
Policies > Web > Web Proxy > Servers. Consulte Definicin de
directivas de recursos: proxy web en la pgina 456 para definir servidores
proxy web.
457

10. En la pgina Web Proxy Policies, ordene las directivas en el orden en el que
Especificacin de servidores proxy web

Puede dirigir todas las solicitudes web realizadas a travs del IVE a un proxy web,
en lugar de usar el IVE para conectarse directamente a servidores web. Esta
caracterstica puede ser til si la directiva de seguridad de red requiere esta
configuracin o si desea usar un proxy web de almacenamiento en cach para
mejorar el rendimiento.
Para especificar servidores para directivas de recursos proxy web:
proxy web, realice las siguientes modificaciones:
a.

la pgina.
b.
Seleccione la casilla de verificacin Web Proxy.
c.
Seleccione la casilla de verificacin Servers ubicada debajo de la casilla de

verificacin Web Proxy.
d. Haga clic en OK.

3. Seleccione la ficha Web Proxy > Servers.
4. En Web Proxy Servers, introduzca el nombre o la direccin IP del servidor
proxy web y el nmero de puerto en el cual escucha el servidor proxy y haga
clic en Add.
5. Repita este paso para especificar servidores proxy web adicionales.
458
Definicin de directivas de recursos: protocolo HTTP 1.1

Las directivas de recursos de protocolo habilitan o inhabilitan la compatibilidad con
el protocolo HTTP 1.1 entre el IVE y los servidores backend. El IVE admite los
encabezados de cdigo de transferencia fragmentados, los encabezados de cdigo
de contenido gzip y deflate, los encabezados de persistencia de conexiones y los
encabezados de almacenamiento en cach como If-Modified-Since, If-None-Match,
If-Unmodified-Since e If-Match. El IVE admite solicitudes de rango con contenido
parcial cuando selecciona la opcin de reescritura selectiva Dont rewrite content:
Do not redirect to target web server.
NOTA:
Para obtener una descripcin detallada del protocolo HTTP 1.1, consulte
Hyptertext Transfer Protocol -- HTTP 1.1 specification de World Wide Web
Consortium.
El IVE slo se comunica con servidores de red mediante el protocolo HTTP 1.1
si el cliente tambin se comunica mediante el protocolo HTTP 1.1. Si el cliente
usa el protocolo HTTP 1.0, el IVE se comunica con servidores backend
mediante el protocolo HTTP 1.0, sin tener en cuenta si el protocolo HTTP 1.1
est habilitado.
Si desea usar el protocolo HTTP 1.1 para un recurso especfico, habilite el

protocolo HTTP 1.1 para la directiva y asegrese de que la nueva directiva
aparezca encima de la predeterminada en la lista de directivas configuradas.
Debe agregar la directiva HTTP 1.1 al comienzo de la lista de directivas porque
el motor de evaluacin de directivas evala las directivas desde arriba hacia
abajo y se detiene cuando encuentra una coincidencia. Para obtener ms
informacin, consulte Evaluacin de las directivas de recursos en la
pgina 106.
El IVE incluye una directiva predeterminada que inhabilita HTTP 1.1 para
todos los recursos. Si desea usar HTTP 1.1 para todos los recursos, redefina la
directiva *:*/* o cree una nueva directiva para habilitar el protocolo HTTP
1.1 y colquela al comienzo de la lista de directivas. Si elimina esta directiva
predeterminada (y cualquier otra directiva que inhabilite HTTP 1.1), el IVE usa
HTTP 1.0 para todos los recursos.
Para escribir una directiva de recursos de protocolo HTTP 1.1:

de protocolo, realice las siguientes modificaciones:
a.

la pgina.
b.
Seleccione la casilla de verificacin Protocol.
c.
Haga clic en OK.

459
3. Seleccione la ficha Protocol.

4. En la pgina Web Protocol Policies, haga clic en New Policy.
a.
b.

Available roles.
Disable HTTP 1.1: El IVE se comunica automticamente con los servidores

backend a travs del protocolo HTTP 1.0.
Enable HTTP 1.1: El IVE se comunica automticamente con servidores

backend mediante el protocolo HTTP 1.1 siempre y cuando el cliente
tambin se comunique mediante el protocolo HTTP 1.1.
460
Definicin de directivas de recursos: Acceso a dominio cruzado

(llamadas XMLHttpRequest)
El objeto XMLHttpRequest permite a los scripts realizar la funcionalidad de cliente
HTTP, como enviar datos de formulario o cargar datos de un servidor. Los
exploradores web actuales imponen una restriccin de seguridad al uso de
XMLHttpRequest. No se permite realizar XMLHttpRequests a ningn servidor,
excepto al servidor desde el cual proviene la pgina web. Por ejemplo, si la
aplicacin web y los datos requeridos para esa aplicacin provienen del mismo
servidor web, no hay restriccin. Sin embargo, si la aplicacin web est en un
servidor y realiza una solicitud a un servidor diferente, el explorador impide que la
conexin se abra. De todos modos, es posible omitir esta seguridad.
El IVE permite crear un perfil de recursos que determina si se impone o no esta
restriccin y a qu nivel. De forma predeterminada, esta restriccin se omite y se
permite el acceso a dominio cruzado.
Para crear una directiva de acceso a dominio cruzado:
de dominio cruzado, realice las siguientes modificaciones:
a.

la pgina.
b.
c.
Seleccione la casilla de verificacin Cross Domain Access ubicada debajo

d. Haga clic en OK.

3. Seleccione la ficha Rewriting > Cross Domain Access.
4. En la pgina Cross Domain Access, haga clic en New Policy.
a.
b.

Definicin de directivas de recursos: Acceso a dominio cruzado (llamadas XMLHttpRequest) 461
Available roles.
Allow Cross Domain Access: Para no imponer ninguna restriccin

y permitir el acceso a dominio cruzado.
Deny XMLHttpRequest Cross Domain Access only: Para denegar el

acceso a dominio cruzado si se usa el objeto XMLHttpRequest en la
llamada.
Deny all Cross Domain Access: Para denegar el acceso a dominio cruzado
sin tener en cuenta si se usa o no el objeto XMLHttpRequest en la llamada.
Definicin de directivas de recursos: opciones generales

Cuando habilita las opciones de directiva de recursos Web, el IVE crea una lista de
los nombres de host especificados en el campo Resources de cada directiva de
recursos Web. Luego, el IVE aplica las opciones habilitadas a esta completa lista de
nombres de host.
Para especificar opciones de recursos Web:
2. Si la vista de administrador an no est configurada para mostrar las opciones
web, realice las siguientes modificaciones:
a.

la pgina.
b.
Seleccione la casilla de verificacin Options.
c.
Haga clic en OK.
462
Definicin de directivas de recursos: opciones generales
4. Seleccione IP based matching for Hostname based policy resources si desea

que el IVE busque la direccin IP que corresponde a cada nombre de host
especificado en una directiva de recursos Web. Cuando un usuario intenta
obtener acceso a un servidor especificando una direccin IP en lugar de un
nombre de host, el IVE compara la IP con su lista en cach de direcciones IP
para determinar si un nombre de host coincide con una IP. Si coinciden, el IVE
acepta la coincidencia como una coincidencia de directiva y aplica la accin
especificada para la directiva de recursos.
NOTA: Esta opcin no se aplica a los nombres de host que incluyen comodines
y parmetros.
5. Seleccione Case sensitive matching for the Path and Query string
components in Web resources si desea solicitarle a los usuarios que
introduzcan una URL que distinga entre maysculas y minsculas para un
recurso. Por ejemplo, utilice esta opcin cuando traslade datos de un nombre
de usuario o una contrasea a una URL.
Administracin de directivas de recursos: Personalizacin de vistas

de UI
Puede controlar qu pginas de configuracin de directivas de recursos Web
muestra el IVE, de modo que slo tenga que ver las pginas que realmente usa.
O bien, si tiene una nueva instalacin del IVE, puede usar estos ajustes para ver
pginas adicionales (dado que el IVE slo muestra a los usuarios nuevos las pginas
de directivas de recursos que se usan con ms frecuencia).
Para controlar qu pginas de configuracin de directivas de recursos Web muestra
el IVE:
1. Dirjase a Users > Resource Policies > Web > Tipo de directiva.
2. Haga clic en el botn Customize View en la esquina superior derecha de
la consola:
3. En el cuadro de dilogo Customize View, especifique qu directivas de recursos

Web desea ver en la consola de administracin. Puede seleccionar
manualmente casillas de verificacin individuales, haga clic en All Pages para
ver todas las pginas de configuracin de directivas de recursos Web o haga clic
en Common Pages para ver las pginas de configuracin de directivas de
recursos Web que se utilizan con ms frecuencia. (Tenga en cuenta que el IVE
no permite ocultar la pgina Web Access Policies.)
4. Haga clic en OK.
Administracin de directivas de recursos: Personalizacin de vistas de UI
463
464
Administracin de directivas de recursos: Personalizacin de vistas de UI
Captulo 19
Reescritura de archivos
Un perfil de recurso de archivos controla el acceso a los recursos compartidos del
servidor de Windows o Unix. La siguiente seccin contiene informacin para
configurar las opciones de escritura de archivos:
Licencia: Disponibilidad para la reescritura de archivos en la pgina 465
Definicin de perfiles de recursos: Reescritura de archivo en la pgina 465
Definicin de los ajustes de rol: Recursos de Windows en la pgina 473
Definicin de directivas de recursos: Recursos de archivos de Windows en la

pgina 476
Definicin de los ajustes de rol: Recursos de archivos para UNIX/NFS en la

pgina 483
Definicin de directivas de recursos: Recursos de archivos para UNIX/NFS en

la pgina 485
Licencia: Disponibilidad para la reescritura de archivos

La reescritura de archivos es una caracterstica estndar de todos los dispositivos
Secure Access a excepcin del SA 700. Si utiliza un dispositivo SA-700, deber
instalar una licencia de actualizacin Core Clientless Access si desea acceder a las
caractersticas de reescritura de archivos.
Definicin de perfiles de recursos: Reescritura de archivo

Un perfil de recurso de archivos controla el acceso a los recursos compartidos del
servidor de Windows o Unix. (Para obtener ms informacin sobre los perfiles de
recursos, consulte Perfiles de recursos en la pgina 91.)
Si desea crear un perfil de recurso de reescritura de archivos:
1. Dirjase a la pgina Users > Resource Profiles > Files en la consola de
administracin.
Licencia: Disponibilidad para la reescritura de archivos
465
3. Desde la lista Type, seleccione Windows o Unix.

recursos. (Este nombre ser el nombre predeterminado del marcador.)
5. Introduzca el recurso del cual desea controlar el acceso. Observe que el formato
del recurso variar dependiendo del tipo de perfil de recurso que cree:
Windows: Introduzca el nombre del servidor o la direccin IP, nombre del

recurso compartido y, opcionalmente, la ruta cuyo acceso desea controlar
en el campo Server/share. Al introducir el recurso, utilice el formato:
\\servidor[\recurso compartido[\ruta]].
Unix: Introduzca el nombre del servidor o la direccin IP y, opcionalmente,

la ruta cuyo acceso desea controlar en el campo Server. Al introducir el
recurso, utilice el formato: servidor[/ruta]
Para obtener directrices detalladas, consulte Definicin de recursos de

archivos en la pgina 467. (El IVE utiliza el directorio especificado para definir
el marcador predeterminado para el perfil de recurso.)
6. En las secciones Autopolicy: Windows File Access Control o Autopolicy: Unix
Access Control, cree una directiva que permita o niegue a los usuarios el
acceso al recurso especificado en el paso anterior. (Como mnimo, deber
hacer clic en Add para utilizar la directiva de control de acceso que el IVE crea
automticamente. Esta directiva permite acceder al directorio especificado y a
todos sus subdirectorios). Para obtener informacin detallada, consulte
Definicin de una directiva automtica de control de acceso a archivos en la
pgina 468.
7. (Opcional) Haga clic en Show ALL autopolicy types para crear directivas
automticas adicionales que permitan ajustar con mayor precisin el acceso
al recurso. Luego, proceda a crear las directivas automticas utilizando las
instrucciones que aparecen en las siguientes secciones:
Definicin de una directiva automtica de compresin de archivos en la

pgina 469
Definicin de una directiva automtica de inicio de sesin nico (slo

Windows) en la pgina 470
NOTA: Para obtener informacin especfica sobre opciones de codificacin para

recursos de Window o Unix, consulte Codificacin de archivos en la
pgina 1028. (La codificacin es una opcin avanzada que actualmente slo puede
configurar a travs de las directivas de recursos.)
466
Captulo 19: Reescritura de archivos
y haga clic en Add.
marcadores creados por el perfil de recursos. En caso de no estar habilitada,
el IVE tambin activa automticamente las opciones Files, Windows o Files,
UNIX/NFS en la pgina Users > User Roles > Seleccionar rol > General >
Overview de la consola de administracin para todos los roles que seleccione.
creado por IVE o cree otros utilizando las instrucciones que aparecen en
Definicin de un marcador de archivo en la pgina 471. (De forma
predeterminada, el IVE crea un marcador para el recurso definido en el campo
Windows o Unix y lo muestra a todos los usuarios asignados al rol especificado
en la ficha Roles.)
Definicin de recursos de archivos

Al crear un perfil de recurso de archivo (segn se explica en Definicin de perfiles
de recursos: Reescritura de archivo en la pgina 465), deber utilizar los siguientes
formatos para definir un recurso principal de la directiva de recurso y sus recursos
de directiva automtica.
Recursos de Windows:
\\server[\share[\path]]
Recursos de Unix:
server[/path]
En estos formatos, los tres componentes son:
Server (necesario): Posibles valores:
Hostname: Puede utilizar las variables de sistema <username> al definir el

nombre de host.
IP address: La direccin IP deber tener el formato: a.b.c.d
Se necesitan dos barras invertidas que precedan a los recursos de Windows que
no sean Nfs.
Share (necesario, solo para Windows): Se permite la variable de sistema

<username>. Observe que cuando el IVE intenta conectarse a un recurso
compartido de archivo Windows, se conecta a los puertos 445 y 139.
467
Path (opcional): Las caractersticas especiales que se permiten incluyen:
Tabla 30: Caracteres especiales de ruta

*
Coincide con cualquier carcter. Tenga en cuenta que no puede

utilizar el carcter comodn * al definir un recurso principal de un
perfil de recurso (es decir, el campo Server/share para los recursos
de Windows o el campo Server para los recursos Unix).
Coincide con cualquier carcter a excepcin de la barra inclinada (/)
Los recursos vlidos de Windows incluyen:

\\juniper.com\dana
\\10.11.0.10\share\web
\\10.11.254.227\public\test.doc
Los recursos vlidos de Unix incluyen:

juniper.com/dana
10.11.0.10/share/web
10.11.254.227/public/test.doc
Definicin de una directiva automtica de control de acceso a archivos

Las directivas de control de acceso a archivos especifican los recursos de sus
servidores de archivo a los que pueden acceder los usuarios. Al definir un perfil
de recurso de archivo, deber crear la directiva automtica de control de acceso
correspondiente que permita acceder al recurso principal del perfil. IVE simplifica
su proceso ya que crea automticamente una directiva automtica que permite
acceder al directorio especificado en los campos Server/share (Windows) o Server
(Unix) as como a todos los subdirectorios. Para habilitar esta directiva automtica,
solamente deber seleccionarla y hacer clic en Add.
Si fuera necesario, puede escoger modificar esta directiva automtica
predeterminada o crear directivas automticas complementarias de control de
acceso a archivos para recursos adicionales.
Para crear nuevas directivas automticas de control de acceso a archivos:
1. Cree un perfil de recurso de archivo, segn se explica en Definicin de perfiles
de recursos: Reescritura de archivo en la pgina 465.
2. En caso de no estar habilitado, seleccione las casillas de verificacin
Autopolicy: Windows File Access Control o Autopolicy: Unix Access Control.
3. En el campo Resource, utilice el siguiente formato para especificar el recurso
aplicable a esta directiva: \\servidor[\recurso compartido[\ruta]] para recursos
de Windows y \\servidor[\ruta] para recursos de Unix. Para obtener directrices
detalladas, consulte Definicin de recursos de archivos en la pgina 467.
468
4. Desde la lista Action, seleccione una de las opciones siguientes:
Allow: Seleccione esta opcin para permitir el acceso al recurso

especificado.
Read-only: Seleccione esta opcin para permitir que los usuarios vean pero
no editen el recurso especificado.
Deny: Seleccione esta opcin para bloquear el acceso al recurso

especificado.

Definicin de una directiva automtica de compresin de archivos

Las directivas automticas de compresin especifican qu tipo de datos de archivo
IVE debe comprimir al habilitar la compresin GZIP a travs de la pgina
Maintenance > System > Options de la consola de administracin. Para obtener
ms informacin, consulte Ejecucin de la compresin en la pgina 1023.
Para crear una directiva automtica de compresin de archivos:
1. Cree un perfil de recurso de archivo, segn se explica en Definicin de perfiles
de recursos: Reescritura de archivo en la pgina 465.
3. Selecciones las casillas de verificacin Autopolicy: Windows File Compression
o Autopolicy: Unix File Compression.
aplicable a esta directiva: \\servidor[\recurso compartido[\ruta]] para recursos
de Windows y \\servidor[\ruta] para recursos de Unix. Para obtener directrices
detalladas, consulte Definicin de recursos de archivos en la pgina 467.
5. Del campo Action, seleccione una de las opciones siguientes:
Compress: Seleccione esta opcin para comprimir datos del recurso

especificado.
Do not compress: Seleccione esta opcin para inhabilitar la compresin

del recurso especificado.
Para obtener una lista de los tipos de datos que IVE comprime, consulte Tipos
de datos admitidos en la pgina 1025.
469
Definicin de una directiva automtica de inicio de sesin nico (slo Windows)

Las directivas automticas del inicio de sesin nico (SSO) configuran IVE para
enviar credenciales automticamente a un recurso compartido o directorio de
Windows de modo que el usuario no tenga que reintroducir sus credenciales, segn
se explica en Inicio de sesin nico en la pgina 223.
Para crear una directiva automtica SSO de Windows:
1. Cree un perfil de recurso de archivo Windows, segn se explica en Definicin
de perfiles de recursos: Reescritura de archivo en la pgina 465.
3. Seleccione la casilla de verificacin Autopolicy: Windows Server Single
Sign-On.
aplicable a esta directiva: \\servidor[\recurso compartido[\ruta]]. Para obtener
directrices detalladas, consulte Definicin de recursos de archivos en la
pgina 467.
Use predefined credentials: Seleccione esta opcin si desea especificar

credenciales para pasar al recurso compartido o directorio de Windows.
Despus:
i.
En el campo Username, introduzca una variable (como<USERNAME>)

o un nombre de usuario esttico (como administrator) para enviar al
recurso compartido o directorio de Windows. Al introducir una variable
tambin puede incluir un dominio. Por ejemplo:
yourcompany.net\<USERNAME>.
ii.
Introduzca una variable IVE (como <PASSWORD>) en el campo

Variable Password o introduzca una contrasea esttica en el campo
Variable. Observe que IVE enmascara con asteriscos la contrasea que
se introduce aqu.
Al introducir credenciales estticas, observe que el servidor de exploracin

de archivos el IVE mantiene las conexiones abiertas a un servidor comn,
pero es posible que no funcion de manera fiable si se conecta a otra
carpeta utilizando una cuenta diferente.
En el caso de que las credenciales especificadas fallen, puede que el IVE
enve credenciales alternativas, segn se explica en Informacin general
de credenciales de inicios de sesin mltiples en la pgina 226.
Disable SSO: Seleccione esta opcin si no desea que el IVE enve

automticamente credenciales al recurso compartido o directorio
de Windows.
470
Definicin de un marcador de archivo

Cuando se crea un perfil de recurso de archivo, el IVE crea automticamente un
marcador que se enlaza al recurso principal especificado en el perfil de recurso.
IVE le permite modificar este marcador y crear marcadores adicionales en el
mismo dominio.
NOTA: Al configurar los marcadores, observe que:
usuarios, no los recursos a los que los usuarios pueden obtener acceso. Por
ejemplo, si habilita el acceso a un directorio de Windows, pero no crea un
marcador para dicho directorio, los usuarios pueden acceder al directorio a
travs de Windows Explorer.
No podr crear marcadores que se enlacen a servidores adicionales definidos

a travs de directivas automticas de control de acceso a archivos.
Si utiliza un marcador para hacer referencia a un acceso directo a un archivo,

observe que el IVE solo muestra marcadores con accesos directos para
archivos o carpetas en un recurso compartido de red como
\\server5\share\users\jdoe\file.txt. No obstante, el IVE no muestra
marcadores con accesos directos a directorios locales como
C:\users\jdoe\file.txt.
Para configurar marcadores de perfil de recursos de archivos:
a.
Dirjase a la pgina Users > Resource Profiles > Files > Seleccionar perfil
b.


a.
Dirjase a la pgina Users > User Roles > Seleccionar rol > Files >
Windows Bookmarks|Unix Bookmarks en la consola de administracin.
b.
Haga clic en New Bookmark.
c.
En la lista Type, elija File Resource Profile. (El IVE no muestra esta opcin
si no ha creado un perfil de recurso de archivo.)
471
d. Seleccione un perfil de recursos existente.

e.

f.
Si este rol an no ha sido asociado con el perfil de recursos seleccionado,

el IVE muestra un mensaje informativo. Si ve este mensaje, haga clic en
Save Changes para agregar este rol a la lista de roles del perfil de recursos
y para actualizar las directivas automticas del perfil, segn se requiera.
A continuacin, repita el paso anterior para crear el marcador.
NOTA: Al crear un marcador de perfil de recursos mediante la pgina de funciones

de usuario (en lugar de la pgina de perfiles de recursos estndar), el IVE slo
asocia el marcador generado con el rol seleccionado. El IVE no asigna el marcador
con todos los roles asociados con el perfil de recursos seleccionado.

3. En el campo File Browsing Path, agregue un sufijo al recurso si desea crear
enlaces para subdirectorios del recurso definido en el perfil de recurso
principal. Para obtener informacin sobre variables y atributos de sistema para
incluir en el marcador, dirjase a Uso de variables del sistema en territorios,
roles y directivas de recursos en la pgina 1054.
NOTA: En este campo, asegrese de introducir un nico servidor y ruta. Si crea
dos marcadores que contengan el mismo servidor o cadena de ruta concatenada,
el IVE elimina uno de los marcadores de la vista del usuario final. An podr
ver ambos marcadores, pero en la consola del administrador.
4. En la seccin Appearance, seleccione una de las siguientes opciones:
472
Appear as bookmark on homepage and in file browsing: Seleccione esta

opcin si desea que el marcador aparezca en la pgina de bienvenida para
el usuario y al explorar archivos de red.
Appear in file browsing only: Seleccione esta opcin si desea que el

marcador aparezca solamente cuando los usuarios exploren archivos
de red.

ALL selected roles: Seleccione esta opcin para mostrar el marcador

en todos los roles asociados con el perfil de recursos.

Definicin de los ajustes de rol: Recursos de Windows

Puede utilizar dos mtodos para crear marcadores de archivos para Windows:
Crear marcadores a travs de perfiles de recurso existentes (recomendado):

Cuando seleccione este mtodo, el IVE completa automticamente el marcador
con parmetros clave (como el servidor y recurso compartido principal)
utilizando parmetros del perfil de recurso. Adems, mientras crea el perfil de
recursos asociado, el IVE lo gua a travs del proceso de creacin de cualquier
directiva necesaria para habilitar el acceso al marcador. Para obtener
instrucciones sobre la configuracin, consulte Definicin de un marcador de
archivo en la pgina 471.

Adicionalmente, deber habilitar el acceso a la exploracin de archivos en el
nivel de roles y crear directivas de recursos que permitan tener acceso a los
servidores definidos en el marcador. Para obtener instrucciones sobre la
configuracin, consulte Creacin de marcadores avanzados para recursos de
Windows en la pgina 474.
Puede crear marcadores de Windows para que aparezcan en la pgina de

bienvenida de usuarios asignados para este rol. Puede introducir el nombre de
usuario del IVE en la ruta URL para proporcionar un acceso rpido a los directorios
de red del usuario.
Cuando los usuarios del IVE se encuentran explorando archivos en un servidor Dfs,
este servidor utiliza los datos de configuracin del sitio almacenados en Active
Directory para devolver las referencias Dfs al IVE en el orden correcto. Las
referencias de los servidores ms cercanos son dispuestas en la parte superior de la
lista a diferencia de las referencias de los servidores que se encuentran ms
alejados. Los clientes intentan las referencias en el orden en que son recibidas. Si se
recibe una peticin de un cliente que reside en una subred que no se encuentre en
la lista, el servidor no sabr de dnde proviene el cliente y devolver la lista de
referencias al cliente en un orden arbitrario. Esto podra provocar que las solicitudes
Dfs del IVE (que en este caso acta como el cliente) accedan a un servidor mucho
ms lejano. A su vez, esta situacin podra causar serios retrasos, especialmente si
el IVE intenta acceder a un servidor inalcanzable desde la subred en la que reside el
IVE. Si el IVE se instala en una subred que no se encuentra en la lista del servidor
Dfs, el administrador de Dfs puede utilizar la herramienta Active Directory Sites
and Services en el controlador de dominio para agregar la subred del IVE en el
lugar apropiado.
Definicin de los ajustes de rol: Recursos de Windows 473
Esta seccin contiene informacin para definir marcadores y parmetros de niveles

de rol para recursos de exploracin de archivos de Windows:
Creacin de marcadores avanzados para recursos de Windows en la

pgina 474
Creacin de marcadores de Windows que se asignan a servidores LDAP en la

pgina 475
Definicin de opciones generales para la exploracin de archivos en la

pgina 476
Creacin de marcadores avanzados para recursos de Windows

con versiones anteriores. Recomendamos que configure el acceso a los recursos

compartidos y directorios de Windows mediante los perfiles de recurso, ya que
proporcionan un mtodo de configuracin ms simple y unificado. Para obtener
ms informacin, consulte Definicin de perfiles de recursos: Reescritura de
archivo en la pgina 465.
Creacin de un marcador para un recurso de Windows:
1. En la consola de administracin, seleccione Users > User Roles >
Nombre de rol > Files > Windows Bookmarks.
2. Haga clic en New Bookmark y luego explore o introduzca el nombre del
servidor y del recurso compartido. Especifique una ruta para restringir el
acceso. Si desea incluir un nombre de usuario, introduzca <username> en el
lugar correspondiente de la ruta. Para obtener informacin sobre variables y
atributos de sistema para incluir en el marcador, dirjase a Uso de variables del
sistema en territorios, roles y directivas de recursos en la pgina 1054. Si
otorga un nombre y descripcin especficas para el marcador, esta informacin
se mostrar en la pgina principal del IVE en lugar del servidor/recurso
compartido.
NOTA:
474
No puede marcar un servidor de Windows. Deber especificar el servidor y el

nombre del recurso compartido.
En este campo, asegrese de introducir un nico servidor y ruta. Si crea dos

marcadores que contengan el mismo servidor o cadena de ruta concatenada,
el IVE elimina uno de los marcadores de la vista del usuario final. An podr
ver ambos marcadores, pero en la consola del administrador.
Definicin de los ajustes de rol: Recursos de Windows
3. En el caso de Appearance, elija:
Appear as bookmark on homepage and in file browsing si desea que el

marcador aparezca en la pgina de bienvenida para el usuario y al explorar
archivos de red.
Appear in file browsing only si desea que el marcador aparezca

solamente al explorar archivos de red.
4. Para Access, haga clic en Enable auto-allow access to this bookmark si desea
que el IVE cree automticamente una directiva de recurso para Windows
Access. Tenga en cuenta que esta funcionalidad se aplica slo a los marcadores
de rol y no a los marcadores creados por el usuario. Luego seleccione:
Read-write access para permitir a los usuarios guardar archivos en el

servidor. Tenga en cuenta que los usuarios no pueden cargar en el servidor
archivos que superen los 500 MB.
Include sub-folders para permitir a los usuarios ver archivos en la ruta de

marcador especificada.

en la pgina 722.
Creacin de marcadores de Windows que se asignan a servidores LDAP

Para crear un marcador que se asigne automticamente a un directorio raz LDAP
de un usuario:
1. Cree una instancia de servidor LDAP, como se muestra en Definicin de una
instancia de servidor LDAP en la pgina 129.
2. Agregue el atributo LDAP homeDirectory al catlogo del servidor.
3. Configure un territorio y asocie LDAP como el servidor de autenticacin,
segn se describe en Definicin de una instancia de servidor LDAP en la
pgina 129.
4. Configure las reglas de asignacin de roles segn sea necesario.
5. Cree un marcador de Windows utilizando las instrucciones de una de las
Definicin de un marcador de archivo en la pgina 471
Creacin de marcadores avanzados para recursos de Windows en la

pgina 474
Durante la configuracin, especifique <userAttr.homeDirectory> en el marcador.

Definicin de los ajustes de rol: Recursos de Windows 475
Definicin de opciones generales para la exploracin de archivos

Para especificar las opciones generales para la exploracin de archivos de Windows:
Nombre de rol > Files > Options.
2. Bajo Windows Network Files, especifique qu opciones desea habilitar para
los usuarios:
User can browse network file shares: En caso de estar habilitada, los
usuarios podrn ver y crear marcadores para los recursos en los recursos
de archivo compartidos de Windows que estn disponibles.
User can add bookmarks: En caso de estar habilitada, los usuarios podrn
ver y crear marcadores para los recursos en los recursos de archivo
compartidos de Windows que estn disponibles.
Definicin de directivas de recursos: Recursos de archivos

de Windows
Cuando habilite la caracterstica de acceso a archivos en un rol, deber crear
directivas de recursos que especifiquen a qu recursos de Windows y UNIX/NFS
podr acceder un usuario, as como la codificacin que se debe utilizar para
comunicarse con los recursos compartidos de archivos de Windows y NFS. Cuando
un usuario realiza una solicitud de archivo, el IVE evala las directivas de recursos
correspondientes a la solicitud, como las directivas de recursos de acceso de
Windows para solicitar la bsqueda un documento MS Word (archivo .doc). Despus
de comparar la solicitud de un usuario con un recurso enumerado en una directiva
Al escribir una directiva de recurso de archivo, deber proporcionar
informacin clave:
476
Resources: Una directiva de recursos debe especificar uno o ms recursos a

los que se aplica dicha directiva. Al escribir una directiva de archivo, deber
especificar los servidores de archivos o los componentes compartidos
especficos.
una accin, como permitir que un usuario escriba un directorio. Tambin puede
escribir reglas detalladas que impongan ms condiciones a la peticin de un
usuario. Consulte Escritura de una regla detallada en la pgina 109.
Definicin de directivas de recursos: Recursos de archivos de Windows
El motor IVE que evala las directivas de recursos necesita que el recurso
enumerado en una lista de directiva Resources siga un formato cannico.
La siguiente seccin contiene informacin sobre la escritura de directivas de
recursos para archivos UNIX/NFS:
Formato cannico: Recursos de archivos de Windows en la pgina 477
Escritura de una directiva de recurso de acceso para Windows en la

pgina 478
Para escribir una directiva de recurso SSO para Windows en la pgina 479
Para escribir una directiva de recurso de compresin para Windows en la

pgina 481
Definicin de opciones generales de escritura de archivos en la pgina 482
Formato cannico: Recursos de archivos de Windows

con versiones anteriores. Recomendamos que configure el acceso a los servidores

de archivos de Windows mediante perfiles de recurso ya que estos proporcionan
un mtodo de configuracin ms simple y unificado. Para obtener ms
informacin, consulte Definicin de perfiles de recursos: Reescritura de archivo
en la pgina 465.
Cuando escriba una directiva de recurso para un recurso de archivo de Windows,
deber comprender el siguiente formato cannico.
Formato cannico:
\\servidor[\recurso compartido[\ruta]]
Los tres componentes son:
Servidor (necesario): Posibles valores:
Nombre de host: Se puede utilizar la variable de sistema <username>.
Direccin IP: La direccin IP deber tener el formato: a.b.c.d
Es necesario incluir dos barras inclinadas al principio.
Recurso compartido (opcional): Si falta el recurso compartido, se presupone

que hay un asterisco (*), lo que significa que todas las rutas coinciden. Se
permite la variable de sistema <username>.
Path (opcional): Las caractersticas especiales que se permiten incluyen:

*
Coinciden con cualquier carcter
Coincide con cualquier carcter a excepcin de la barra inclinada (/)
477
Si falta la ruta, se asume una barra inclinada (/), lo que significa que solamente
coinciden las carpetas del nivel superior-. Por ejemplo:
\\%.danastreet.net\share\<username>\*
\\*.juniper.com\dana\*
\\10.11.0.10\share\web\*
\\10.11.254.227\public\%.doc
Escritura de una directiva de recurso de acceso para Windows


en la pgina 465.
Para escribir una directiva de recurso de acceso para Windows:
1. En la consola de administracin, elija Users > Resource Policies > Files >
Access > Windows.
2. En la pgina Windows File Access Policies, haga clic en New Policy.
a.
b.
Una descripcin de la directiva. (opcional)

directiva. Para obtener ms informacin, consulte Formato cannico: Recursos
de archivos de Windows en la pgina 477.
478
Available roles.

Resources. Compruebe Read-only para evitar que los usuarios guarden
archivos en el servidor.

Resources.

8. En la pgina Windows File Access Policies, ordene las directivas en el orden
Si desea escribir una directiva de recurso de archivos que le permita especificar
credenciales para que el IVE lo enve a un servidor de archivos cuando la solicitud
de un usuario coincida con un recurso de la lista Resource, deber utilizar el
siguiente procedimiento para tal propsito. Tambin puede configurar el IVE para
solicitar credenciales a los usuarios.
Para escribir una directiva de recurso SSO para Windows


en la pgina 465.
Para escribir una directiva de recurso de credenciales para Windows:
SSO > Windows.
2. En la pgina Windows Credentials Policies, haga clic en New Policy.
a.
b.

de archivos de Windows en la pgina 477.
479
aplicar esta directiva a todos los usuarios excepto a los asignados a los roles
de la lista Selected roles. Asegrese de agregar roles a esta lista desde la
lista Available roles.
6. En la seccin Action, especifique la accin que se debe tomar cuando un

recurso requiera credenciales:
Use System Credentials: Si el IVE ha almacenado credenciales para

el usuario y recurso especficos en su cach, enviar las credenciales
almacenadas. Si las credenciales almacenadas fallan o si no existen
credenciales almacenadas para ese usuario, el IVE solicitar nuevas
credenciales y las almacenar.
Use Specific Credentials: Para que especifique credenciales estticas que

el IVE enva a los recursos. El servidor de exploracin de archivos del IVE
mantiene las conexiones abiertas con un servidor\recurso compartido de
manera que la conexin con una carpeta distinta en el mismo recurso
compartido mediante el uso de una cuenta diferente puede no funcionar
de manera fiable. En el caso de que las credenciales especificadas fallen,
puede que el IVE enve credenciales alternativas, segn se explica en
Inicio de sesin nico en la pgina 223. Observe que el IVE enmascara
la contrasea que introduce aqu con asteriscos.
Prompt for user credentials: El IVE acta como intermediario para para
compartir archivos al imponer una autenticacin en el IVE la primera vez
que un usuario intenta acceder a un recurso compartido. El usuario
introduce las credenciales y stas se almacenan en el IVE. Si las
credenciales fallan posteriormente, el IVE vuelve a solicitar al usuario sus
credenciales.

8. En la pgina Windows File Access Policies, ordene las directivas en el orden
480
Para escribir una directiva de recurso de compresin para Windows

con versiones anteriores. Recomendamos que configure la compresin mediante

perfiles de recurso ya que estos proporcionan un mtodo de configuracin ms
simple y unificado. Para obtener ms informacin, consulte Definicin de una
directiva automtica de compresin de archivos en la pgina 469.
debe comprimir el IVE al habilitar la compresin GZIP a travs de la pgina
El IVE est preequipado con dos directivas de compresin de archivos (*:*/*) que
comprimen todos los datos de archivo aplicables. Puede habilitar estas directivas a
travs de las pginas Resource Policies > Files > Compression de la consola de
administracin.
Para escribir una directiva de recurso de compresin para Windows:
1. En la consola de administracin, elija Resource Policies > Files >
Compression.
2. Seleccione la ficha Windows.
a.
b.

recursos para una directiva de recursos en la pgina 103.
Available roles.

especfico.
481

Definicin de opciones generales de escritura de archivos

Puede especificar opciones de recursos de archivos aplicables a sus directivas de
recursos de archivos. Cuando habilita una opcin de directiva de recursos de
archivos, el IVE crea una lista de los nombres de host especificados en el campo
Resources de cada una de las directivas de recursos de archivos. Luego, el IVE
aplica las opciones habilitadas a esta completa lista de nombres de host.
Para especificar opciones de recursos para servidores de archivos para Windows:
Options.
2. Seleccione:
IP based matching for Hostname based policy resources: El IVE consulta

la direccin IP correspondiente a cada uno de los nombres de host
especificados en la directiva de recursos de archivos. Cuando un usuario
intenta obtener acceso a un servidor especificando una direccin IP en
lugar de un nombre de host, el IVE compara la IP con su lista en cach de
direcciones IP para determinar si un nombre de host coincide con una IP.
Si coinciden, el IVE acepta la coincidencia como una coincidencia de
directiva, y aplica la accin especificada para la directiva de recursos.
NOTA: Esta opcin no se aplica a los nombres de host que incluyen comodines y
parmetros.
Case sensitive matching for the Path component in File resources:

Exige a los usuarios que introduzcan un componente de ruta que distingue
maysculas y minsculas.
Encoding: Seleccione la codificacin que utilizar al momento para

comunicarse con los recursos compartidos de archivos de Windows y NFS.
Use NTLM v1, NTLM v1 will be used for all NTLM negotiations:
Seleccione esta opcin para utilizar solamente NTLM V1 para la
autenticacin de recursos compartidos de archivos.
Use NTLM v2, NTLM v2 will be used for all NTLM negotiations:
Seleccione esta opcin para utilizar solamente NTLM V2 para la
autenticacin de recursos compartidos de archivos.
Number of NTLM authentication protocol variant attempts: Controla la

cantidad de intentos de inicios de sesin mientras realiza SSO. Seleccione
Baja si nota problemas de bloqueo de cuentas.

482
Definicin de los ajustes de rol: Recursos de archivos para UNIX/NFS

Puede utilizar dos mtodos distintos para crear marcadores de archivos para Unix:
Crear marcadores a travs de perfiles de recurso existentes (recomendado):

Cuando selecciona este mtodo, el IVE completa automticamente el marcador
con parmetros clave (como el servidor) utilizando parmetros del perfil de
recurso. Adems, mientras crea el perfil de recursos asociado, el IVE lo gua a
travs del proceso de creacin de cualquier directiva necesaria para habilitar el
acceso al marcador. Para obtener instrucciones sobre la configuracin, consulte
Definicin de un marcador de archivo en la pgina 471.

Adicionalmente, deber habilitar el acceso a la exploracin de archivos en el
nivel de roles y crear directivas de recursos que permitan tener acceso a los
servidores definidos en el marcador. Para obtener instrucciones sobre la
configuracin, consulte Creacin de marcadores avanzados a recursos de
UNIX en la pgina 483.
Puede crear marcadores de Unix para que aparezcan en la pgina de bienvenida de

usuarios asignados para este rol. Puede introducir el nombre de usuario del IVE en
la ruta URL para proporcionar un acceso rpido a los directorios de red del usuario.
Esta seccin contiene informacin para definir marcadores y parmetros de niveles
de rol para recursos de exploracin de archivos de Unix:
Creacin de marcadores avanzados a recursos de UNIX en la pgina 483
Definicin de opciones generales para la exploracin de archivos en la

pgina 485
Creacin de marcadores avanzados a recursos de UNIX


de archivos de Unix mediante perfiles de recurso ya que estos proporcionan un
consulte Definicin de perfiles de recursos: Reescritura de archivo en la
pgina 465.
Puede crear marcadores de UNIX/NFS que aparezcan en la pgina principal del IVE.
Puede introducir el nombre de usuario del IVE en la ruta URL para proporcionar un
acceso rpido a los directorios de red del usuario.
483
Creacin de un marcador para un recurso de UNIX/NFS:

Nombre de rol > Files > UNIX Bookmarks.
2. Haga clic en New Bookmark y luego introduzca el nombre de host o direccin
IP del servidor y la ruta del recurso compartido. Si desea incluir un nombre de
usuario, introduzca <username> en el lugar correspondiente de la ruta. Si
otorga un nombre y descripcin especficas para el marcador, esta informacin
se mostrar en la pgina principal del IVE en lugar del servidor/ruta.
NOTA: En este campo, asegrese de introducir un nico servidor y ruta. Si crea dos
marcadores que contengan el mismo servidor o cadena de ruta concatenada, el

IVE elimina uno de los marcadores de la vista del usuario final. An podr ver
ambos marcadores, pero en la consola del administrador.
3. En el caso de Appearance, elija:
Appear as bookmark on homepage and in file browsing si desea que el

marcador aparezca en la pgina de bienvenida para el usuario y al explorar
archivos de red.
Appear in file browsing only si desea que el marcador aparezca

solamente al explorar archivos de red.
4. Para Access, haga clic en Enable auto-allow access to this bookmark si desea
que el IVE cree automticamente una directiva de recurso para UNIX/NFS.
Tenga en cuenta que esta funcionalidad se aplica slo a los marcadores de rol y
no a los marcadores creados por el usuario. Luego seleccione:
Read-write access para permitir a los usuarios guardar archivos en el

servidor. Tenga en cuenta que los usuarios no pueden cargar en el servidor
archivos que superen los 500 MB.
Include sub-folders para permitir a los usuarios ver archivos en la ruta de

marcador especificada.

informacin sobre esta opcin, consulte Ajuste de las opciones del sistema en la
pgina 722.
484
Definicin de opciones generales para la exploracin de archivos

NOTA: Para que la exploracin de archivos de NFS funcione apropiadamente,
deber configurar un servidor NIS en el IVE antes de habilitar la exploracin
de archivos de NFS.
Para especificar las opciones generales para la exploracin de archivos:

Nombre de rol > Files > Options.
2. Bajo UNIX Network Files, especifique qu opciones desea habilitar para
los usuarios:
User can browse network file shares: En caso de estar habilitada, los
usuarios podrn ver y crear marcadores para los recursos en los recursos
de archivo compartidos disponibles de UNIX.
User can add bookmarks: En caso de estar habilitada, los usuarios podrn
ver y crear marcadores para los recursos en los recursos de archivo
compartidos disponibles de UNIX.
Allow automount shares: Si est habilitada, los usuarios acceden

a recursos compartidos de montaje automtico especificados en un
servidor NIS.
Definicin de directivas de recursos: Recursos de archivos para

UNIX/NFS
Cuando habilite la caracterstica de acceso a archivos en un rol, deber crear
directivas de recursos que especifiquen a qu recursos de Windows y UNIX/NFS
podr acceder un usuario, as como la codificacin que se debe utilizar para
comunicarse con los recursos compartidos de archivos de Windows y NFS. Cuando
un usuario realiza una solicitud de archivo, el IVE evala las directivas de recursos
correspondientes a la solicitud, como las directivas de recursos de acceso de
Windows para solicitar la bsqueda un documento MS Word (archivo .doc). Tras
comparar la solicitud de un usuario con un recurso enumerado en una directiva
Definicin de directivas de recursos: Recursos de archivos para UNIX/NFS
485
Al escribir una directiva de recurso de archivo, deber proporcionar

informacin clave:
Resources: Una directiva de recursos debe especificar uno o ms recursos a

los que se aplica dicha directiva. Al escribir una directiva de archivo, deber
especificar los servidores de archivos o los componentes compartidos
especficos.
una accin, como permitir que un usuario escriba un directorio. Tambin puede
escribir reglas detalladas que impongan ms condiciones a la peticin de un
usuario. Consulte Escritura de una regla detallada en la pgina 109.
El motor IVE que evala las directivas de recursos necesita que el recurso
enumerado en una lista de directiva Resources siga un formato cannico.
La siguiente seccin contiene informacin sobre la escritura de directivas de
recursos para archivos UNIX/NFS:
Formato cannico: Recursos de archivos para UNIX/NFS en la pgina 486
Escritura de directivas de recursos para UNIX/NFS en la pgina 487
Para escribir una directiva de recurso de compresin para Unix/NFS en la

pgina 488
Definicin de opciones generales de escritura de archivos en la pgina 489
Formato cannico: Recursos de archivos para UNIX/NFS

Cuando escriba una directiva de recurso para un recurso de archivo de UNIX/NFS,
deber comprender el siguiente formato cannico.
Formato cannico:
servidor[/ruta]
Los dos componentes son:
Servidor (necesario): Posibles valores:
Nombre de host: Se puede utilizar la variable de sistema <username>.
Direcin IP: La direccin IP deber tener el formato: a.b.c.d
Es necesario incluir dos barras inclinadas al principio.
486
Ruta (opcional): Las caractersticas especiales que se permiten incluyen:

*
Coincide con cualquier carcter
Coincide con cualquier carcter a excepcin de la barra invertida (\)
Si falta la ruta, se asume una barra invertida (\), lo que significa que solamente
coinciden las carpetas del nivel superior. Por ejemplo:
%.danastreet.net/share/users/<username>/*
*.juniper.com/dana/*
10.11.0.10/web/*
10.11.254.227/public/%.txt
Escritura de directivas de recursos para UNIX/NFS


pgina 465.
Para escribir una directiva de recurso de acceso para UNIX/NFS:
Access > Unix/NFS.
2. En la pgina Unix/NFS File Access Policies, haga clic en New Policy.
a.
b.

de archivos para UNIX/NFS en la pgina 486.
487
Available roles.

Resources. Compruebe Read-only para evitar que los usuarios guarden
archivos en el servidor.

Resources.

8. En la pgina Unix/NFS File Access Policies, ordene las directivas en el orden
Para escribir una directiva de recurso de compresin para Unix/NFS


pgina 465.
debe comprimir el IVE al habilitar la compresin GZIP a travs de la pgina
El IVE est preequipado con dos directivas de compresin de archivos (*:*/*) que
comprimen todos los datos de archivo aplicables. Puede habilitar estas directivas a
travs de las pginas Resource Policies > Files > Compression de la consola de
administracin.
488
Para escribir una directiva de recurso de compresin para Unix/NFS:

1. En la consola de administracin, elija Resource Policies >
Files > Compression.
2. Seleccione la ficha Unix/NFS.
a.
b.

recursos para una directiva de recursos en la pgina 103.
Available roles.

especfico.

Definicin de opciones generales de escritura de archivos

Puede especificar opciones de recursos de archivos aplicables a sus directivas
de recursos de archivos. Cuando habilita una opcin de directiva de recursos de
archivos, el IVE crea una lista de los nombres de host especificados en el campo
Resources de cada una de las directivas de recursos de archivos. Luego, el IVE
aplica las opciones habilitadas a esta completa lista de nombres de host.
489
Para especificar opciones para recursos UNIX/NFS:

1. En la consola de administracin, elija Users > Resource Policies >
Files > Options.
2. Seleccione:
IP based matching for Hostname based policy resources: El IVE consulta

la direccin IP correspondiente a cada uno de los nombres de host
especificados en la directiva de recursos de archivos. Cuando un usuario
intenta obtener acceso a un servidor especificando una direccin IP en
direcciones IP para determinar si un nombre de host coincide con una IP. Si
coinciden, el IVE acepta la coincidencia como una coincidencia de directiva
y aplica la accin especificada para la directiva de recursos.
y parmetros.
Case sensitive matching for the Path component in File resources:

Seleccione esta opcin para solicitarle a los usuarios que introduzcan una
URL que distinga entre maysculas y minsculas para un recurso NFS.
Utilice esta opcin cuando traslade datos de un nombre de usuario o una
contrasea a un URL.
NOTA: Esta opcin no es aplicable para servidores de Windows.
Encoding: Seleccione la codificacin que utilizar para comunicarse con los

recursos compartidos de archivos de Windows y NFS.
NTLM Version: Seleccione si se debe recurrir a la versin 1 o 2 de

autenticacin de NTLM en el caso de que falle la autenticacin Kerberos
de las credenciales del administrador.
Number of NTLM authentication protocol: Seleccione High para permitir

que exista un mayor nmero de intentos de autenticacin en el servidor
interno. Esto se aplica solamente a NTLM y no a la autenticacin bsica.
Si su servidor bloquea a los usuarios debido a que realizaron demasiados
intentos fallidos, seleccione Low.
NOTA: Muchos servidores no admiten los distintos intentos de variantes de
protocolo NTLM en el caso que seleccione High. Si observa que el proceso de

autenticacin est fallando a pesar de haber introducido un nombre de usuario
y una contrasea correctamente, establezca esta opcin en Low.
490
Captulo 20

La opcin Secure Application Manager ofrece acceso remoto seguro a nivel de
aplicacin a servidores de empresas desde aplicaciones cliente. Puede implementar
dos versiones de Secure Application Manager:
Versin de Windows (WSAM): La versin de Windows de la aplicacin Secure

Application Manager es una solucin basada en Windows, que le permite
ofrecer trfico seguro hacia aplicaciones cliente/servidor individuales y
servidores de aplicaciones.
Versin Java (JSAM): La versin Java de Secure Application Manager admite

aplicaciones de cliente/servidor de puerto TCP esttico, e incluye
compatibilidad mejorada para Microsoft MAPI, Lotus Notes y Citrix NFuse.
JSAM tambin proporciona compatibilidad con NetBIOS, lo que permite a los
usuarios asignar unidades a recursos protegidos especificados.
Esta seccin contiene la siguiente informacin acerca de Secure Application

Manager:
Licencia: Disponibilidad de Secure Application Manager en la pgina 492
Resumen de tareas: Configuracin de WSAM en la pgina 492
Informacin general de WSAM en la pgina 493
Definicin de los ajustes de rol: WSAM en la pgina 501
Definicin de directivas de recursos: WSAM en la pgina 508
Uso del iniciador de WSAM en la pgina 510
Resumen de tareas: Configuracin de JSAM en la pgina 514
Informacin general de JSAM en la pgina 516
Definicin de los ajustes de rol: JSAM en la pgina 540
Definicin de directivas de recursos: JSAM en la pgina 545
491
Licencia: Disponibilidad de Secure Application Manager

Las caractersticas de Secure Application Manager (WSAM y JSAM) no estn
disponibles en el dispositivo SA 700.
Resumen de tareas: Configuracin de WSAM

Esta seccin indica los pasos de configuracin de WSAM de alto nivel. Estos pasos
no consideran los de la configuracin preliminar del IVE, como especificar la
identidad de la red del IVE o agregar ID de usuario al IVE.
Para configurar WSAM:
1. Cree perfiles de recursos que permitan acceso a aplicaciones de cliente/servidor
o redes de destino, cree directivas automticas compatibles segn sea
necesario y asigne las directivas a los roles de usuario mediante ajustes de las
pginas Users > Resource Profiles > SAM de la consola de administracin.
Para obtener instrucciones, consulte Definicin de perfiles de recursos:
Recomendamos que use los perfiles de recursos para configurar WSAM (como
se describe antes). Sin embargo, si no desea usar los perfiles de recursos, puede
configurar WSAM con los ajustes de la directiva de rol y recursos en las
siguientes pginas de la consola de administracin:
492
a.
Permita el acceso a WSAM a nivel de rol mediante los ajustes de la pgina

Users > User Roles > Rol > General > Overview de la consola de
administracin. Para obtener instrucciones, consulte Configuracin de los
roles de usuario en la pgina 72.
b.
Especifique a qu aplicaciones de cliente/servidor y servidores WSAM debe

proporcionar intermediacin mediante los ajustes de la pgina Users >
User Roles > SAM > Applications de la consola de administracin. Para
obtener instrucciones, consulte Especificacin de aplicaciones y
servidores para proteger con WSAM en la pgina 501.
c.
Especifique a qu servidores de aplicaciones pueden tener acceso los

usuarios a travs de WSAM con los ajustes de la pgina Users > Resource
Policies > SAM > Access de la consola de administracin. Para obtener
instrucciones, consulte Especificacin de los servidores de aplicaciones a
los cuales los usuarios pueden tener acceso en la pgina 508.
Licencia: Disponibilidad de Secure Application Manager
Captulo 20: Secure Application Manager
2. Despus de habilitar el acceso a las aplicaciones de cliente/servidor y las redes

de destino con los perfiles de recursos o roles y directivas de recursos de
WSAM, puede modificar el rol general y las opciones de recursos en las
siguientes pginas de la consola de administracin.
a.
(Opcional) Configure las opciones a nivel de rol, por ejemplo, si el IVE debe
iniciar y actualizar automticamente WSAM con los ajustes de la pgina
Users > User Roles > SAM > Options de la consola de administracin.
Para obtener instrucciones, consulte Especificacin de opciones WSAM a
nivel de recurso en la pgina 510.
b.
(Opcional) Controlar la coincidencia del nombre de host basado en IP a

nivel de recursos con los ajustes de la pgina Users > Resource Policies >
SAM > Options de la consola de administracin. Para obtener
instrucciones, consulte Especificacin de opciones WSAM a nivel de
recurso en la pgina 510.
3. Asegrese de que una versin apropiada de WSAM se encuentra disponible

para clientes remotos con los ajustes de la pgina Maintenance > System >
Installers de la consola de administracin. Para obtener instrucciones, consulte
Descarga de los instaladores de aplicaciones en la pgina 724.
4. Si desea habilitar o inhabilitar los registros del lado cliente para WSAM,
configure las opciones correspondientes mediante la ficha System >
Configuration > Security > Client-side Logs de la consola de administracin.
Para obtener instrucciones, consulte Habilitacin de registros del lado cliente
en la pgina 841.
Informacin general de WSAM

WSAM es una solucin basada en Windows que le permite garantizar la seguridad
del trfico a aplicaciones de cliente/servidor, como la exploracin de archivos de
Lotus Notes, Microsoft Outlook, Citrix y NetBIOS, as como tambin servidores de
aplicaciones. Puede descargar e iniciar WSAM con un control ActiveX hospedado en
el IVE, un mecanismo de entrega de Java o el iniciador de WSAM instalado
previamente en el cliente.
Tambin puede habilitar WSAM en dispositivos de mano o PDA. Para obtener
informacin especfica relacionada con la configuracin y compatibilidad con PDA,
consulte Habilitacin de WSAM en PDA en la pgina 1036.
NOTA: Cuando utilice WSAM o Terminal Services para conectar remotamente la

red empresarial, si desea tener acceso a los recursos protegidos del Control de
acceso unificado (UAC) de Juniper Networks, necesita crear una directiva en UAC
para gestionar trfico proveniente del IVE como un dispositivo no administrado.
493
Esta seccin contiene la siguiente informacin acerca de WSAM:
Trfico de cliente/servidor seguro con WSAM en la pgina 494
Compatibilidad del antivirus y la aplicacin cliente VPN en la pgina 496
Inicio de Network Connect durante una sesin de WSAM en la pgina 497
Depuracin de problemas de WSAM en la pgina 497
Trfico de cliente/servidor seguro con WSAM

El siguiente diagrama ilustra cmo WSAM brinda seguridad del trfico de cliente
y servidor. Despus del diagrama encontrar una descripcin de cada paso.
Figura 35: WindowsSecure Application Manager
1. El usuario invoca a WSAM a travs de su sesin de IVE. El usuario puede

invocar a WSAM de forma automtica o manual. Si configura WSAM para
iniciarse automticamente, el usuario invoca a WSAM slo con iniciar sesin en
el IVE. Tambin si usted o el usuario desactivan la opcin de inicio automtico,
el usuario puede invocar manualmente al WSAM haciendo clic en su vnculo
ubicado en la pgina de inicio del IVE. (Si activa el inicio automtico, los
usuarios pueden sobrescribir los ajustes en la pgina Preferences >
Applications de la consola del usuario final).
2. Si WSAM an no se ha instalado en el sistema del usuario, el IVE lo descarga en
el equipo del usuario. El mecanismo de entrega instala el software de WSAM en
el equipo cliente. Los mecanismos de entrega de WSAM incluyen:
494
Control ActiveX: Este mecanismo de entrega de software controla todas

las funciones de la instalacin del WSAM. Se descarga del IVE cuando un
usuario inicia WSAM desde la pgina de inicio del IVE.
Entrega de Java: El dispositivo IVE proporciona este mecanismo de entrega

secundario si el IVE no descarga o actualiza el control ActiveX debido a
restricciones del explorador. Tal como sucede con el control ActiveX, el
mecanismo de entrega de Java controla todas las funciones de instalacin
de WSAM.
NOTA: Si se est ejecutando Microsoft Vista en el sistema del usuario, ste debe
hacer clic en el vnculo de configuracin que aparece durante el proceso de
instalacin para continuar instalando el cliente de configuracin y WSAM.
En todos los dems sistemas operativos Microsoft, el cliente de configuracin
y WSAM se instalan automticamente.
Para obtener ms informacin sobre la eliminacin del control Juniper

ActiveX, consulte Eliminacin del control ActiveX de Juniper en la
pgina 317.
Iniciador de WSAM para secuencia de comandos: Esta herramienta

permite a los usuarios iniciar WSAM manualmente desde una lnea de
comandos o de forma automtica desde un archivo de lote, una aplicacin
que realiza una llamada shell o un servicio Win32. Para usar este
mecanismo, necesita distribuir el iniciador a los usuarios, tal como se
describe en Descarga de los instaladores de aplicaciones en la
pgina 724. A continuacin, los usuarios pueden invocar el WSAM a travs
de una ventana de smbolo de sistema con los argumentos de la lnea de
comandos descritos en Uso del iniciador de WSAM en la pgina 510.
Tambin una aplicacin o script puede iniciar WSAM al entregar los
parmetros al iniciador. (Por ejemplo, un script de archivo de lote del
equipo puede invocar el iniciador del WSAM cuando el equipo se inicia.)
NOTA: Para obtener informacin acerca de los directorios en los cuales se ejecutan
los mecanismos de entrega de WSAM, los archivos que stos instalan en el equipo
del usuario, las ubicaciones de archivo de registro, los derechos que los usuarios
deben tener para ejecutar cada uno de estos mecanismos de entrega y los ajustes
del explorador que los usuarios deben activar, consulte el manual Client-side
Changes Guide en Juniper Networks Customer Support Center.
El IVE entrega la informacin de rol y de cliente definida en el servidor al
equipo cliente de WSAM durante el inicio de WSAM. (Si las directivas de filtrado
cambian, el equipo cliente no refleja esos cambios hasta el prximo inicio de
sesin. Cualquier cambio a las reglas de control de acceso de servidor del IVE
surte efecto inmediatamente.)
3. El cliente WSAM instala un Layered Service Provider (LPS) o un controlador
de Interfaz de controlador de transporte (TDI) en el cliente para garantizar la
seguridad del trfico de la aplicacin. (Si el trfico se origina desde un sistema
Windows 98 o Windows Millennium, WSAM usa un mecanismo LSP. Si el
trfico se origina desde un sistema Windows 2000 o Windows XP, WSAM usa
un mecanismo TDI.) El icono de ventana de estado del WSAM aparece en la
bandeja del sistema. Los usuarios pueden hacer doble clic en este icono para
ver el estado de la sesin actual y una lista de las aplicaciones y hosts
especificados para WSAM para proporcionar intermediacin.
495
4. El usuario inicia una aplicacin o pide datos de un servidor que usted configur
a travs de WSAM. Cuando la aplicacin cliente o el proceso tratan de
conectarse al recurso, WSAM intercepta la peticin. WSAM intercepta las
llamadas de conexin TCP y UDP desde las aplicaciones y las consultas DNS
para los nombres de host de servidor de destino.
5. WSAM reenva el nombre de host de la aplicacin cliente o el servidor de
destino al IVE sobre SSL.
6. El IVE resuelve el nombre de host con el servidor DNS.
7. El IVE devuelve hasta 8 direcciones IP resueltas del host de destino al WSAM.
8. WSAM configura automticamente un canal de reenvo de puerto con una
direccin IP localhost previamente proporcionada.
NOTA:
Si usted activ la opcin Persistent Session en la ficha Users > User Roles >
Rol > General > Session Options, el IVE guarda en cach el nombre de
usuario y la contrasea en la cookie de sesin persistente despus de la
primera autenticacin exitosa. Esto genera un riesgo de seguridad potencial,
puesto que el iniciador de WSAM utiliza la informacin almacenada en la
cookie de sesin persistente para todos los intentos de inicio de sesin
posteriores durante la sesin existente aunque finalice la conexin WSAM.
Para obtener ms informacin sobre las sesiones persistentes, consulte
Especificacin de las opciones de sesin en la pgina 76.
Los usuarios pueden experimentar problemas mientras esperan que Secure

Application Manager se cargue completamente, si activan bloqueadores de
ventanas emergentes a travs de sus exploradores Web. Este problema se
produce debido a que una ventana emergente, que avisa a los usuarios que
acepten el complemento de Secure Application Manager, puede aparecer en
segundo plano (detrs de la ventana del explorador Web) donde los usuarios
no pueden verla.
Compatibilidad del antivirus y la aplicacin cliente VPN

La Tabla 33 muestra la compatibilidad de varios antivirus y las aplicaciones cliente
VPN con WSAM y Windows 98 y Windows Millenium.
Tabla 33: Compatibilidad de WSAM para Windows 98 y Windows Millennium
496
Software
Versin
Compatible?
Norton AntiVirus
2003
Norton AntiVirus
2004
Norton AntiVirus Professional
2004
Norton AntiVirus Corporate Edition
8.0
McAfee
7.0
No
McAfee
8.0
NOTA: Si existe un conflicto entre WSAM y una de las aplicaciones de terceros de

Windows 98 o Windows Millennium, el IVE bloquea la descarga y muestra un
mensaje de error que entrega informacin detallada del conflicto.
La Tabla 34 muestra la compatibilidad de varios antivirus y las aplicaciones cliente

VPN con WSAM para Windows 2000 y Windows XP.
Tabla 34: Compatibilidad de WSAM para Windows 2000 y Windows XP
Software
Versin
Uso compartido de
Uso compartido de
archivos desactivado archivos activado
Norton AntiVirus
2003
Norton AntiVirus
2004
Norton AntiVirus Professional
2004
No
Norton AntiVirus Corporate Edition 8.0
Trend Micro PC-cillin
2004
No
TheGreenBow Personal Firewall
2.5
Inicio de Network Connect durante una sesin de WSAM

Los usuarios pueden iniciar Network Connect mientras inician sesin en el IVE a
travs de WSAM. Sin embargo, si lo hacen el instalador de Network Connect finaliza
automticamente la sesin de WSAM antes de iniciar Network Connect. Durante el
proceso, el IVE enva un mensaje de advertencia a los usuarios informndoles que
estn punto de finalizar su sesin de WSAM para poder iniciar Network Connect.
Para abordar la situacin, recomendamos que otorgue a los usuarios el mismo
acceso a los recursos de la red a travs de Network Connect que a travs de WSAM.
Si lo hace, cuando los usuarios elijan iniciar Network Connect (finalizando
simultneamente WSAM), podrn seguir accediendo a los mismos recursos de red.
Para obtener ms informacin, consulte Inicio de Network Connect durante una
sesin de Windows Secure Application Manager en la pgina 666.
Depuracin de problemas de WSAM

Puede utilizar el cuadro de dilogo Secure Application Manager en el sistema del
usuario final para ver el estado de WSAM y una variedad de detalles acerca de la
sesin de usuario. Por ejemplo, el cuadro de dilogo Secure Application Manager
muestra las aplicaciones y los servidores que WSAM tiene configurados para
brindar seguridad, registros de eventos y datos de Winsock para la sesin de
usuario y diversos diagnsticos del sistema y datos de rendimiento. Esta
informacin le puede ayudar a usted o al representante de Soporte tcnico de
Juniper Networks a depurar cualquier problema que sus usuarios puedan encontrar.
Para tener acceso al cuadro de dilogo Secure Application Manager, los usuarios
slo necesitan hacer doble clic en el icono WSAM de la barra de tareas de Windows:
Para obtener ms informacin acerca de la visualizacin de informacin en el

cuadro de dilogo Secure Application Manager, consulte el sistema de ayuda de
usuario final del vnculo Help en la consola de usuario final del IVE.
497
Definicin de perfiles de recursos: WSAM

Puede crear dos tipos de perfiles de recursos de WSAM:
Perfiles de recursos de aplicacin de WSAM: Estos perfiles de recursos

configuran WSAM para que brinde seguridad al trfico hacia una aplicacin
cliente/servidor. Cuando se crea un perfil de recursos de aplicacin de WSAM,
el cliente WSAM intercepta las peticiones desde las aplicaciones cliente
especificadas hacia los servidores de su red interna.
Perfiles de recursos de red de destino de WSAM: Estos perfiles de recursos

configuran WSAM para que brinde seguridad al trfico hacia un servidor.
Cuando se crea un perfil de recursos de red de destino de WSAM, el cliente
WSAM intercepta peticiones desde procesos que se ejecutan en el cliente,
que se conecta, hasta los host internos especificados.
Para obtener ms informacin sobre los perfiles de recursos, consulte Perfiles de

recursos en la pgina 91. Para obtener ms informacin sobre WSAM, consulte
Informacin general de WSAM en la pgina 493.
NOTA:
Cuando cree perfiles de recursos WSAM, tenga en cuenta que los perfiles de
recursos no contienen marcadores. Para tener acceso a las aplicaciones y
servidores que WSAM intermedia, los usuarios primero deben iniciar WSAM y
luego iniciar la aplicacin o servidor especificados con los mtodos estndar
(como el men Start de Windows o un icono de escritorio). Para obtener
informacin acerca del inicio automtico de WSAM cuando el usuario inicia
sesin en el IVE, consulte Especificacin de opciones WSAM a nivel de rol
en la pgina 506.
Cuando activa JSAM o WSAM a travs de directivas automticas de reescritura

web en la pgina Users > Resource Profiles > Web Applications/Pages de la
consola de administracin, el IVE automticamente crea directivas
automticas de JSAM o WSAM para usted. Estas directivas SAM slo se pueden
ver a travs del perfil de recursos web apropiado, no mediante las pginas de
perfil de recursos SAM de la consola de administracin. Para obtener ms
informacin, consulte Definicin de una directiva automtica de reescritura
en la pgina 406.
Para obtener consejos sobre la configuracin de las aplicaciones PDA a travs

de WSAM, consulte Habilitacin de WSAM en PDA en la pgina 1036.
Creacin de perfiles de recursos de aplicaciones de cliente WSAM

Cuando usted crea un perfil de recursos de aplicacin de WSAM, el cliente WSAM
intercepta las peticiones desde las aplicaciones cliente especificadas hacia los
servidores de su red interna.
498
Para crear un perfil de recursos de aplicacin WSAM:

1. Dirjase a la pgina Users > Resource Profiles > SAM > Client Applications
en la consola de administracin.
3. En la lista Type, elija WSAM.
4. De la lista Application, seleccione una de las siguientes opciones:
Custom: Cuando selecciona esta opcin debe introducir manualmente el

nombre de archivo ejecutable de su aplicacin personalizada (por ejemplo,
telnet.exe). Adems, puede especificar la ruta del archivo y el hash MD5 del
archivo ejecutable (aunque no se requiere que especifique la ruta exacta al
ejecutable). Si introduce un valor de hash MD5, WSAM verifica que el valor
de la suma de comprobacin del ejecutable corresponde a este valor. Si el
valor no corresponde, WSAM notifica al usuario que la identidad de la
aplicacin no se pudo verificar y no reenva conexiones de la aplicacin
al IVE.
Lotus Notes: Cuando selecciona esta opcin, WSAM intermedia trfico

desde la aplicacin cliente de Lotus Notes.
Microsoft Outlook: Cuando selecciona esta opcin, WSAM intermedia

trfico desde la aplicacin Microsoft Outlook.
NetBIOS file browsing: Cuando selecciona esta opcin, WSAM intercepta

consultas de nombre NetBIOS en los controladores TDI del puerto 137.
Citrix: Cuando selecciona esta opcin, WSAM intermedia trfico desde

aplicaciones Citrix.
NOTA: Slo puede utilizar WSAM para configurar acceso a una aplicacin estndar
una vez por rol de usuario. Por ejemplo, puede activar una configuracin de
Microsoft Outlook y una configuracin de Lotus Notes para el rol Usuarios.
NOTA: El IVE admite varios mecanismos para intermediar trfico a las aplicaciones
de Lotus Notes, Microsoft Outlook y Citrix. Para obtener ms informacin,

consulte:


recursos. El IVE muestra esta informacin en la seccin Client Application
Sessions de la pgina de inicio para usuarios finales del IVE.
499
6. En la seccin Autopolicy: SAM Access Control, cree una directiva que permita
o deniegue a los usuarios tener acceso al servidor que hospeda la aplicacin
especificada.
a.
En caso de no estar habilitado, seleccione la casilla de verificacin

Autopolicy: SAM Access Control.
b.
En el campo Resource, especifique el servidor de aplicaciones al que se

aplica esta directiva. Puede especificar el servidor como un nombre de host
o par de mscara de red/IP. Tambin puede incluir un puerto.
c.
En la lista Action, seleccione Allow para permitir el acceso al servidor

especificado o Deny para bloquear el acceso al servidor especificado.
d. Haga clic en Add.

y haga clic en Add.
Los roles seleccionados heredan la directiva automtica creada por el perfil de
recursos. Si an no est habilitado, el IVE habilita automticamente la opcin
SAM en la pgina Users > User Roles > Seleccionar rol > General >
Overview de la consola de administracin para todos los otros roles que
seleccione.
Creacin de perfiles de recursos de red de destino de WSAM

Cuando se crea un perfil de recursos de red de destino de WSAM, el cliente WSAM
intercepta peticiones desde los procesos que se ejecutan en el cliente hasta los
hosts internos.
Para crear un perfil de recursos de red de destino de WSAM:
1. Dirjase a la pgina Users > Resource Profiles > SAM > WSAM Destinations
de recursos.
4. En la seccin WSAM Destinations, especifique para qu servidores desea
garantizar la seguridad con WSAM y haga clic en Add. Puede especificar los
servidores como nombres de host o pares de mscara de red/IP. Tambin puede
incluir un puerto. Para obtener informacin sobre las variables y atributos del
sistema que puede usar en este campo, consulte Uso de variables del sistema
en territorios, roles y directivas de recursos en la pgina 1054.
5. Seleccione la casilla de verificacin Create an access control policy allowing
SAM access to this server para permitir el acceso al servidor especificado en el
paso anterior (habilitado De forma predeterminada).
500

y haga clic en Add.
Los roles seleccionados heredan la directiva automtica creada por el perfil
de recursos. Si an no est habilitado, el IVE habilita automticamente la
opcin SAM en la pgina Users > User Roles > Seleccionar rol > General >
Overview de la consola de administracin para todas las otras funciones
que seleccione.
Definicin de los ajustes de rol: WSAM

Esta seccin contiene la siguiente informacin sobre la configuracin de ajustes
a nivel de rol para WSAM:
Especificacin de aplicaciones y servidores para proteger con WSAM en la

pgina 501
Especificacin de aplicaciones que necesitan evitar WSAM en la pgina 504
Especificacin de opciones WSAM a nivel de rol en la pgina 506
Descarga de aplicaciones WSAM en la pgina 507
Especificacin de aplicaciones y servidores para proteger con WSAM

con versiones anteriores. Recomendamos que garantice la seguridad del trfico

con perfiles de recursos de WSAM, ya que estos proporcionan un mtodo de
configuracin ms simple y unificado. Para obtener ms informacin, consulte
Definicin de perfiles de recursos: WSAM en la pgina 498.
Use la ficha Applications para especificar aplicaciones y servidores para los cuales
WSAM otorgue seguridad de trfico. Cuando WSAM se descarga a un PC cliente,
ste contiene la informacin que se configura en la ficha Applications para el rol.
Despus de que un usuario inicia Secure Application Manager, WSAM intercepta las
peticiones desde las aplicaciones cliente a los servidores de su red interna y las
peticiones desde los procesos que se ejecutan en el cliente hasta los hosts internos.
Estos recursos se definen en la ficha Applications mediante la configuracin de
dos listas:
Lista WSAM supported applications: Esta lista contiene aplicaciones a las

cuales usted que WSAM proporcione un trfico de cliente/servidor seguro entre
el cliente y el IVE.
Lista WSAM allowed servers: Esta lista contiene hosts a los cuales desea
que WSAM proporcione un trfico de cliente/servidor seguro entre el cliente
y el IVE.
501
Especificacin de aplicaciones para proteger con WSAM

Para especificar aplicaciones a las cuales WSAM debe proporcionar trfico de
cliente/servidor seguro entre el cliente y el IVE:
1. En la consola de administracin, elija Users > User Roles > Seleccionar rol >
SAM > Applications.
2. Haga clic en Add Application.
3. Introduzca el nombre de la aplicacin y, opcionalmente, una descripcin.
Esta informacin se muestra en la seccin Client Application Sessions de la
pgina de inicio para usuarios finales del IVE.
4. De la lista Type, seleccione una de las opciones siguientes:
Standard: Si selecciona esta opcin, elija una de las siguientes aplicaciones

de la seccin Application Parameters.
Citrix: Cuando selecciona esta opcin, WSAM intermedia trfico desde

aplicaciones Citrix.
Lotus Notes: Cuando selecciona esta opcin, WSAM intermedia trfico

desde la aplicacin cliente de Lotus Notes.
Microsoft Outlook/Exchange: Cuando selecciona esta opcin, WSAM

intermedia trfico desde la aplicacin Microsoft Outlook.
NOTA: El IVE admite varios mecanismos para intermediar trfico a las aplicaciones

consulte:

NetBIOS file browsing: Cuando selecciona esta opcin, WSAM

intercepta consultas de nombre NetBIOS en los controladores TDI del
puerto 137.
NOTA: Tenga en cuenta que con el fin de acceder a recursos compartidos usando
WSAM con NetBIOS, necesita especificar explcitamente el nombre de NetBIOS
del servidor (cadena alfanumrica de hasta 15 caracteres) en dos lugares: en la
pgina Add Server y en una directiva de recursos de SAM. (Actualmente los
comodines no son compatibles). Tambin puede activar la opcin Auto-allow
application servers de la ficha SAM > Options y luego el IVE crea
automticamente una directiva de recursos de SAM que permite acceder a
este servidor.
502
Custom: Seleccione esta opcin para especificar una aplicacin

cliente/servidor personalizada. Despus:
i.
En el campo Filename, especifique el nombre del archivo ejecutable

del archivo.
ii.
Tambin es posible especificar la ruta del archivo y el hash MD5 del

archivo ejecutable. Si introduce un valor de hash MD5, WSAM verifica
que el valor de la suma de comprobacin del ejecutable corresponde a
este valor. Si el valor no corresponde, WSAM notifica al usuario que la
identidad de la aplicacin no se pudo verificar y no reenva conexiones
de la aplicacin al IVE.
5. Haga clic en Save Changes o en Save + New.

6. Configure una directiva de recursos WSAM para especificar a qu recursos
empresariales (segn la combinacin de direccin IP/puerto) el IVE puede
enviar la aplicacin.
Especificacin de los servidores para proteger con WSAM

Para especificar servidores para los cuales WSAM proporcione trfico de
cliente/servidor seguro entre el cliente y el IVE:
SAM > Applications.
2. Haga clic en Add Server.
3. Introduzca el nombre del servidor y, opcionalmente, una descripcin.
4. Especifique el nombre de host del servidor (se aceptan los comodines * o ?)
o un par IP/mscara de red. Especifique varios puertos para un host como
entradas separadas. Para obtener informacin sobre las variables y atributos
del sistema que puede usar en este campo, consulte Uso de variables del
sistema en territorios, roles y directivas de recursos en la pgina 1054.
6. Configure una directiva de recursos WSAM para especificar a qu recursos de la
empresa (segn la combinacin de direccin IP/puerto) el IVE puede enviar una
peticin de servidor.
Tambin puede activar la opcin Auto-allow application servers de la ficha
SAM > Options y luego el IVE crea automticamente una directiva de recursos
de SAM que permite acceder al servidor especificado. Tenga en cuenta que
necesita activar esta opcin antes de especificar la aplicacin o servidor, de lo
contrario, necesitar crear una directiva de recursos SAM.
503
Especificacin de aplicaciones que necesitan evitar WSAM

El cliente WSAM viene configurado previamente con una lista de aplicaciones
passthrough que evitan el WSAM. El cliente WSAM no brinda seguridad a estas
aplicaciones. Adems de evitar estas aplicaciones predefinidas, tambin puede
especificar aplicaciones adicionales en el servidor del IVE que deben evitar
el WSAM.
NOTA: WSAM no pasa por alto aplicaciones en Pocket PC y otros dispositivos
de mano.
Esta seccin contiene la siguiente informacin acerca de las aplicaciones que

evitan WSAM:
Especificacin de aplicaciones que se pasan por alto en la pgina 504
Aplicaciones que se pasan por alto de forma predeterminada en la

pgina 504
Especificacin de aplicaciones que se pasan por alto

Use la ficha Applications para especificar aplicaciones del servidor del IVE para las
cuales WSAM no otorgue seguridad de trfico. Estas aplicaciones passthrough
evitan el WSAM.
Para especificar aplicaciones a las cuales WSAM otorgue seguridad:
SAM > Applications.
2. Seleccione el botn Add Bypass Application. Aparecer la pgina New Bypass
Application.
3. Coloque el nombre de la aplicacin y proporcione una descripcin (opcional).
4. Proporcione el nombre del archivo (necesario).
5. Introduzca la ruta absoluta a la aplicacin (opcional).
6. Seleccione Save Changes para agregar a la lista la aplicacin que se pasa por
alto o Save + New para guardar la aplicacin que se pasa por alto y crear otra
aplicacin que se pasa por alto.
Aplicaciones que se pasan por alto de forma predeterminada

El cliente WSAM est configurado previamente para pasar por alto el procesamiento
de WSAM en las siguientes aplicaciones:
504
apache.exe
apache*
licadmin.exe
vni.exe
lmgrd.exe
TNSLSNR.EXE
ORACLE.EXE
Agntsrvc.exe
ONRSD.EXE
Pagntsrv.exe
ENCSVC.EXE
Agntsvc.exe
sqlplus.exe
sqlplusw.exe
EiSQLW.exe
Sqlservr.exe
Sqlmangr.exe
inetinfo.EXE
svchost.exe
LSASS.EXE
CSRSS.EXE
WINLOGON.EXE
SERVICES.EXE
spoolsv.exe
hostex32.exe
xstart.exe
idsd.exe
dsTermServ.exe
dsCitrixProxy.exe
dsNcService.exe
dsNetworkConnect.exe
505
Especificacin de opciones WSAM a nivel de rol

Para especificar las opciones WSAM a nivel de rol:
SAM > Options.
2. Si an no est activada, seleccione la opcin Windows SAM en el principio de
la pgina.
3. En Secure Application Manager options, configure las siguientes opciones:
Auto-launch Secure Application Manager: Si activa esta opcin, el IVE

inicia automticamente Secure Application Manager cuando un usuario
inicia sesin. Si no selecciona esta opcin, los usuarios deben iniciar
manualmente Secure Application Manager desde la seccin Client
Applications Sessions de la pgina de inicio para usuarios finales del IVE.
NOTA: Aunque configure Secure Application Manager para que se inicie

automticamente cuando los usuarios inicien sesin en el IVE, los usuarios
pueden sobrescribir este ajuste a travs de la pgina Preferences > Applications
de la consola de usuario final del IVE. Si usted o el usuario final desactiva el inicio
automtico de WSAM, los usuarios necesitan iniciar manualmente Secure
Application Manager haciendo clic en este vnculo en la pgina de inicio del IVE.
Auto-allow application servers: Si activa esta opcin, el IVE crea

automticamente una directiva de recursos SAM que permite acceder
al servidor especificado en la aplicacin WSAM y las listas de servidor.

en la pgina 722.
4. En Windows SAM Options, configure las siguientes opciones:
506
Auto-uninstall Secure Application Manager: Si activa esta opcin el IVE

desinstala Secure Application Manager automticamente despus de que
los usuarios cierran la sesin.
Prompt for username and password for intranet sites: Si activa esta
opcin, el IVE requiere que los usuarios introduzcan sus credenciales de
inicio de sesin antes de conectarse a los sitios de su red interna. Esta
opcin cambia el ajuste de zona de intranet de Internet Explorer, de tal
manera que este programa solicita al usuario las credenciales de inicio de
sesin en red siempre que ste desea acceder a un sitio de intranet.
Auto-upgrade Secure Application Manager: Si activa esta opcin, el IVE

automticamente descarga Secure Application Manager en un equipo
cliente, cuando la versin de Secure Application Manager en el IVE es ms
reciente que la versin instalada en el cliente. Si selecciona esta opcin,
tenga en cuenta lo siguiente:
El usuario debe tener privilegios de administrador para que el IVE

instale automticamente Secure Application Manager en el cliente.
Si un usuario desinstala Secure Application Manager y luego inicia

sesin en un IVE para el cual la opcin Auto-upgrade Secure
Application Manager no est activada, el usuario ya no tendr acceso
a Secure Application Manager.
Session start script and Session end script: Si desea ejecutar un lote,
aplicacin o archivo de servicio Win32 cuando la sesin de WSAM
comienza o finaliza, introduzca el nombre y la ruta para el archivo. Por
ejemplo, si desea finalizar una aplicacin y luego reiniciarla, puede usar
PSKILL.exe (una utilidad de terceros que finaliza los procesos en los
sistemas locales o remotos).
NOTA: Si activa la opcin Session start script o Session end script, tenga en
cuenta lo siguiente:
Debe instalar el archivo especificado en los equipos de los usuarios finales

o especificar una ruta en un directorio de red accesible.
Para asegurar que el IVE pueda localizar un archivo en diferentes plataformas,

puede usar variables de Windows, por ejemplo, en una ruta como
%WINDIR%\system32\log.
El archivo debe invocar al iniciador de WSAM con las opciones de lnea de

comandos apropiadas, tal como se describe en Uso del iniciador de WSAM
en la pgina 510.
Descarga de aplicaciones WSAM

Para descargar aplicaciones de Secure Application Manager para Windows, vaya a la
ficha Maintenance > System > Installers. Para obtener ms informacin sobre
aplicaciones WSAM, consulte Descarga de los instaladores de aplicaciones en la
pgina 724.
507
Definicin de directivas de recursos: WSAM

Esta seccin contiene las siguientes instrucciones para configurar las directivas de
recursos de WSAM.
Especificacin de los servidores de aplicaciones a los cuales los usuarios

pueden tener acceso en la pgina 508
Especificacin de opciones WSAM a nivel de recurso en la pgina 510
Especificacin de los servidores de aplicaciones a los cuales los usuarios pueden

tener acceso

con perfiles de recursos de WSAM, ya que estos proporcionan un mtodo de
Definicin de directivas de recursos: WSAM en la pgina 508.
Cuando habilita la caracterstica de acceso de Secure Application Manager para
un rol, debe crear directivas de recursos que especifiquen los servidores de
aplicaciones a los que puede obtener acceso un usuario. Estas directivas se aplican
a la versin Java y a la versin Windows de Secure Application Manager (JSAM y
WSAM respectivamente). Cuando un usuario realiza una solicitud a un servidor de
aplicaciones, el IVE evala estas directivas de recursos de SAM. Si el IVE hace
coincidir una peticin de un usuario con un recurso que aparece en una directiva de
SAM, el IVE realiza la accin especificada para el recurso.
Al escribir una directiva de recurso de SAM, deber proporcionar informacin clave:
Recursos: Una directiva de recursos debe especificar uno o ms recursos en los

que se aplica la directiva. Al escribir una directiva de SAM, debe especificar los
servidores de aplicaciones a los que un usuario se puede conectar.
aplican al rol y evala estas directivas que corresponden a la solicitud. Las
directivas de recursos de SAM se aplican a las solicitudes de los usuarios
realizadas a travs de la versin JSAM o WSAM.
Acciones: Una directiva de recursos de Secure Application Manager permite

o rechaza el acceso a un servidor de aplicaciones.

508
Para escribir una directiva de recursos de Secure Application Manager:

SAM > Access.
2. En la pgina Secure Application Manager Policies, haga clic en New Policy.
a.
b.
4. En la seccin Resources, especifique los servidores de aplicaciones a los que se

aplica esta directiva.
Policy applies to ALL roles: Use esta opcin para aplicar esta directiva
a todos los usuarios.
Policy applies to SELECTED roles: Elija esta opcin para aplicar esta
directiva slo a los usuarios que estn asignados a roles en la lista
Selected roles. Asegrese de agregar funciones a esta lista desde la lista
Available roles.
Policy applies to all roles OTHER THAN those selected below: Elija esta
opcin para aplicar esta directiva a todos los usuarios excepto a aquellos a
quienes asigne a los roles en la lista Selected roles. Asegrese de agregar
Allow socket access: Elija esta opcin para otorgar acceso a los servidores
de aplicaciones especificados en la lista Resources.
Deny socket access: Elija esta opcin para denegar acceso a los servidores
Use Detailed Rules: Elija esta opcin para especificar una o ms reglas
detalladas para esta directiva. Para obtener ms informacin, consulte
Escritura de una regla detallada en la pgina 109.

8. En la pgina Secure Application Manager Policies, ordene las directivas en el
orden en el que desee que el IVE las evale. Tenga presente que una vez que el
IVE compara el recurso solicitado por el usuario con un recurso en una lista
509
Especificacin de opciones WSAM a nivel de recurso

Use la ficha Options para especificar la opcin de recurso de SAM para comparar
direcciones IP con nombres de host especificados como recursos en las directivas
de recursos de su SAM. Cuando habilita esta opcin, el IVE busca las direcciones IP
correspondientes a cada nombre de host especificado en una directiva de recursos
de SAM. Cuando un usuario intenta obtener acceso a un servidor especificando una
direccin IP en lugar de un nombre de host, el IVE compara la IP con su lista en
cach de direcciones IP para determinar si un nombre de host coincide con una IP.
Si coinciden, el IVE acepta la coincidencia como una coincidencia de directiva y
aplica la accin especificada para la directiva de recursos.
Cuando habilita esta opcin, el IVE compila una lista de los nombres de host
especificados en el campo Resources de cada directiva de recursos de SAM. El IVE
aplica la opcin a su lista integral de nombres de host.
y parmetros.
Para especificar la opcin de recursos de SAM:

1. En la consola de administracin, elija Users > Resource Policies > SAM >
Options.
2. Seleccione IP based matching for Hostname based policy resources. Cuando
habilita esta opcin, el IVE busca las direcciones IP correspondientes a cada
nombre de host especificado en una directiva de recursos de Secure Application
Manager. Cuando un usuario intenta obtener acceso a un servidor
especificando una direccin IP en lugar de un nombre de host, el IVE compara
la IP con su lista en cach de direcciones IP para determinar si un nombre de
host coincide con una IP. Si coinciden, el IVE acepta la coincidencia como una
coincidencia de directiva y aplica la accin especificada para la directiva
de recursos.
Uso del iniciador de WSAM

El iniciador de WSAM (samlauncher.exe) es una herramienta que conecta a un
usuario al IVE y luego descarga e inicia el WSAM. El iniciador proporciona una
interfaz de lnea de comandos que un script o una aplicacin pueden llamar. Por
ejemplo, puede escribir una aplicacin que llama al ejecutable de WSAM si es
necesario.
Para usar el iniciador de WSAM, necesita:
1. Escriba un script, archivo de lote, servicio o aplicacin que llame al iniciador de
WSAM con argumentos de lnea de comandos. Ser necesario que distribuya
este archivo a cada equipo cliente que lo requiera: Para obtener ms
informacin, consulte Ejecucin manual de scripts en la pgina 512 y
Ejecucin automtica de scripts en la pgina 513.
510
2. Descargue el iniciador de WSAM desde la pgina Maintenance > System >

Installers de la consola de administracin y luego distribyalo a los usuarios.
Use los argumentos de la lnea de comandos de la Tabla 35 para invocar el iniciador
de WSAM.
Tabla 35: Argumentos de la lnea de comandos de WSAM
Argumento
Accin
-start
Inicia la conexin a WSAM.
-stop
Finaliza la conexin a WSAM.
-signout
Finaliza la conexin a WSAM y la sesin de usuario del IVE.
-version
Muestra informacin de la versin de WSAM y luego sale de la

aplicacin.
-help
Muestra los argumentos disponibles.
-noupgrade
Cancela la actualizacin automtica del software WSAM.
-reboot
Reinicia automticamente si se lo solicita una actualizacin. Si

no se establece un flag de reinicio, WSAM sale y no se reinicia
durante una actualizacin. Asegrese de establecer el flag de
reinicio si WSAM opera de forma automtica en un equipo
remoto.
-u <username>
Especifica el nombre de usuario.
-p <password>
Especifica la contrasea para autenticacin.
-loginscript file
Especifica la ubicacin y nombre del archivo de script que se

debe ejecutar cuando se inicia WSAM. Este comando tiene
prioridad sobre el archivo de script especificado en la pgina
Users > User Roles > Seleccionar rol > SAM > Options.
-postscript file
Especifica la ubicacin y nombre del archivo de script que se

debe ejecutar cuando se sale de WSAM. Este comando tiene
prioridad sobre el archivo de script especificado en la pgina
Users > User Roles > Seleccionar rol > SAM > Options.
-c <certificate name>
Especifica el certificado enviado por el usuario para

autenticacin. Tenga en cuenta que el usuario slo puede usar
esta opcin si tiene instalado un certificado SSL vlido en el IVE.
Si el IVE utiliza un certificado autofirmado, el usuario debe
importar ese certificado a su explorador.
-u <URL>
Especifica la URL de inicio de sesin para el IVE.
-r <realm>
Especifica el territorio al cual el IVE enva las credenciales del

usuario.
-verbose
Solicita a los usuarios entradas a travs de cuadros de dilogo.
La Tabla 36 incluye los posibles cdigos que el iniciador de WSAM devuelve al salir.
Tabla 36: Cdigos de retorno de la aplicacin
Cdigo
Descripcin
xito
Argumentos no vlidos
No se pudo conectar
511
Tabla 36: Cdigos de retorno de la aplicacin (continuacin)

Cdigo
Descripcin
Credenciales no vlidas
Rol no especificada (las credenciales se asignan mltiples roles)
Error de autenticacin previa (no se carg Host Checker o el limpiador

de cach)
La instalacin fall
Reinicio necesario (si no se especifica -reboot)
No se puede realizar una actualizacin de software necesaria
10
El IVE no admite esta caracterstica
12
No se pudo autenticar el certificado del cliente
100
No se pudo detener Secure Application Manager
101
No se puede iniciar Secure Application Manager debido a un conflicto

de software provocado por otro Layered Service Provider
Ejecucin manual de scripts

Los usuarios pueden especificar manualmente scripts que ejecutar cuando una
sesin WSAM comienza o termina mediante los siguientes argumentos de lnea
de comandos.
NOTA: Si se especifican los scripts que se ejecutarn en la pgina Users > User
Roles > Seleccionar rol > SAM > Options de la consola de administracin,
el script configurado no se ejecuta si un usuario invoca manualmente el WSAM
mediante el iniciador y especifica un script diferente.
Para iniciar manualmente un script despus de que comienza una sesin de WSAM:
Cuando aparezca el smbolo del sistema, introduzca -loginscript file seguido de

una variable de sistema o nombre y ubicacin del archivo de script.
Para iniciar manualmente un script despus de que finaliza una sesin de WSAM:
Cuando aparezca el smbolo del sistema, introduzca -postscript file seguido de

una variable de sistema y el nombre y ubicacin del archivo de script.
NOTA:
Encierre con comillas las variables del sistema, las rutas de archivos y los
nombres de archivo
Incluya un signo de porcentaje (%) delante y detrs de las variables de

sistema
Por ejemplo:
-loginscript file %program files:%\Internet Explorer\IEXPLORER.EXE
512
Ejecucin automtica de scripts

Puede ejecutar un script de forma automtica cuando WSAM se inicia o se detiene
introduciendo la ruta y el nombre del script en el campo Session start script o el
campo Session end script en la pgina Users > User Roles > Seleccionar rol >
SAM > Options de la consola de administracin, tal como se describe en
Especificacin de opciones WSAM a nivel de rol en la pgina 506. Esta seccin
incluye un archivo de lote de ejemplo que puede iniciar automticamente.
Ejemplo de archivo de lote

El siguiente ejemplo demuestra cmo usar el iniciador de WSAM para invocar
WSAM. Este archivo de lote de muestra genera mensajes de error cuando WSAM
se inicia:
SamLauncher start url %1 user %2 password %3 realm %4
if errorlevel 1 goto error_invalid_args
if errorlevel 2 goto error_connect
if errorlevel 3 goto error_credentials
if errorlevel 4 goto error_role
if errorlevel 5 goto error_preauth
if errorlevel 6 goto error_install
if errorlevel 7 goto error_reboot
:error_invalid_args
@echo invalid arguments
goto done
:error_connect
@echo could not connect
goto done
:error_credentials
@echo invalid credentials
goto done
:error_role
@echo invalid role
goto done
:error_preauth
@echo pre auth version checking
goto done
:error_install
@echo install failed
goto done
:error_reboot
@echo reboot required
goto done
513
:error_success
@echo Secure Application Manager has started
goto done
:done
Win32 API example
CHAR szCmd = SamLauncher.exe stop;
DWORD dwExitCode = 0;
STARTUPINFO si;
PROCESS_INFORMATION pi;
ZeroMemory(&si, sizeof(si));
si.cb = sizeof(si);
ZeroMemory(&pi, sizeof(pi));
if (!CreateProcess(NULL, szCmd, NULL, NULL, FALSE,
0, NULL, NULL, &si, &pi)) {
printf ("CreateProcess(%s) failed %d", szCmd, GetLastError());
return -1;
}
WaitForSingleObject(pi.hProcess, 20000);
GetExitCodeProcess(&pi.hProcess, &dwExitCode);
CloseHandle(pi.hProcess);
CloseHandle(pi.hThread);
printf(SamLauncher return %d\n, dwExitCode);
return 0;
NOTA: Si utiliza Windows Vista, abra la ventana de comandos como
administrador: El resultado estndar de SamLauncher.exe no aparece si
un usuario sin privilegios de administrador abre la ventana de comandos.
Resumen de tareas: Configuracin de JSAM

Esta seccin indica los pasos de configuracin de JSAM de alto nivel. Estos pasos no
consideran los de la configuracin preliminar del IVE, como especificar la identidad
de la red del IVE o agregar ID de usuario al IVE.
Para configurar JSAM:
1. Cree perfiles de recursos que permitan acceso a aplicaciones de
cliente/servidor, cree directivas automticas compatibles segn sea necesario y
asigne las directivas a los roles de usuario mediante los ajustes de las pginas
Users > Resource Profiles > SAM de la consola de administracin. Para
obtener instrucciones, consulte Definicin de perfiles de recursos: JSAM en la
pgina 535.
514
Recomendamos que use los perfiles de recursos para configurar JSAM (como
se describe antes). No obstante, si no desea usar los perfiles de recursos, puede
configurar JSAM con los ajustes de la directiva de rol y los recursos de las
a.
Permita el acceso a JSAM a nivel de rol mediante los ajustes de la pgina

Users > User Roles > Seleccionar rol > General > Overview de la
consola de administracin. Para obtener instrucciones, consulte
Configuracin de los roles de usuario en la pgina 72.
b.
Especifique a qu aplicaciones de cliente/servidor JSAM debe proporcionar

intermediacin mediante los ajustes de la pgina Users > User Roles >
SAM > Applications de la consola de administracin. Para obtener
instrucciones, consulte Especificacin de aplicaciones para proteger con
JSAM en la pgina 540.
c.
Especifique a qu servidores de aplicaciones pueden tener acceso los

usuarios a travs de JSAM con los ajustes de la pgina Users > Resource
Policies > SAM > Access de la consola de administracin. Para obtener
2. Despus de habilitar el acceso a las aplicaciones de cliente/servidor con los

perfiles de recursos o roles y directivas de recursos de JSAM, puede modificar el
rol general y las opciones de recursos en las siguientes pginas de la consola de
administracin:
a.
(Opcional) Configurar las opciones a nivel de rol, por ejemplo, si el IVE

debe iniciar automticamente JSAM con los ajustes de la pgina Users >
User Roles > SAM > Options de la consola de administracin. Para
obtener instrucciones, consulte Especificacin de opciones JSAM a nivel
de rol en la pgina 543.
b.
(Opcional) Controlar la coincidencia del nombre de host basado en IP a

nivel de recursos con los ajustes de la pgina Users > Resource Policies >
SAM > Access de la consola de administracin. Para obtener
3. Si desea habilitar o inhabilitar los registros del lado cliente para JSAM, configure
las opciones correspondientes mediante la ficha System > Configuration >
Security > Client-side Logs de la consola de administracin. Para obtener
instrucciones, consulte Habilitacin de registros del lado cliente en la
pgina 841.
4. Si cuenta con varios dominios internos, como company-a.com and companyb.com, agregue dominios DNS al IVE mediante los ajustes de la pgina
System > Network > Overview de la consola de administracin, de tal forma
que nombres como app1.company-a.com y app2.company-b.com se resuelvan
correctamente.
515
5. Si el equipo de un usuario remoto est configurado para usar un proxy Web en

Internet Explorer, configure el equipo cliente para que pase por alto el servidor
proxy cuando el usuario inicie aplicaciones que necesiten conectarse a Secure
Application Manager. Para obtener instrucciones, consulte Configuracin de un
equipo que se conecta al IVE a travs de un servidor Web proxy en la
pgina 519.
6. Habilite JSAM para asociar direcciones IP de bucle invertido con servidores de
aplicaciones en puertos especficos, ya sea habilitando JSAM para editar el
archivo hosts en los sistemas de sus usuarios (tal como se explica en
Resolucin de nombres de host como Localhost en la pgina 524) o mediante
la creacin de un DNS externo para enrutar el trfico de la aplicacin cliente al
applet de JSAM (como se explica en Configuracin de servidores DNS externos
y equipos de usuario en la pgina 525).
Informacin general de JSAM

La versin Java de Secure Application Manager admite aplicaciones de
cliente/servidor de puerto TCP esttico, e incluye compatibilidad mejorada
para Microsoft MAPI, Lotus Notes y Citrix NFuse. JSAM tambin proporciona
compatibilidad con NetBIOS, lo que permite a los usuarios asignar unidades
a recursos protegidos especificados.
JSAM funciona bien en muchas configuraciones de red, pero no admite aplicaciones
de cliente/servidor basadas en TCP de puerto dinmico, conexiones iniciadas por
servidor ni trfico UDP.
Para obtener informacin acerca de los sistemas operativos, exploradores Web
y JVM en los cuales Juniper Networks admite JSAM, consulte el documento sobre
plataformas admitidas en Juniper Networks Customer Support Center.
Esta seccin contiene la siguiente informacin acerca de JSAM:
516
Uso de JSAM para comunicaciones cliente/servidor en la pgina 517
Compatibilidad con Linux y Macintosh en la pgina 526
Compatibilidad con aplicaciones estndar: MS Outlook en la pgina 526
Compatibilidad con aplicaciones estndar: Lotus Notes en la pgina 528
Compatibilidad con aplicaciones estndar: Citrix Web Interface for MetaFrame

(NFuse Classic) en la pgina 530
Compatibilidad con aplicaciones personalizadas: aplicaciones publicadas de

Citrix configuradas desde el cliente nativo en la pgina 531
Compatibilidad con aplicaciones personalizadas: Citrix Secure Gateways en la

pgina 534
Uso de JSAM para comunicaciones cliente/servidor

JSAM proporciona reenvo de puerto seguro dirigiendo el trfico de la aplicacin
cliente al applet de JSAM que se ejecuta en un equipo cliente. Para la aplicacin
cliente que se ejecuta en el equipo local, JSAM aparece como el servidor de
aplicaciones. Para el servidor de aplicaciones de su red, el IVE aparece como
la aplicacin cliente.
El siguiente diagrama ilustra la interaccin entre una aplicacin cliente y su servidor
a travs del IVE. (Esta ilustracin supone que el usuario especific una direccin IP
localhost como el servidor en la aplicacin cliente).
Figura 36: Java Secure Application Manager
1. El usuario inicia una aplicacin cliente que aparece en la seccin Client

Application Sessions de la pgina de inicio del IVE para usuarios finales1.
La aplicacin resuelve el servidor remoto como localhost.
2. La aplicacin cliente se conecta a JSAM que se ejecuta en el equipo del usuario
y comienza a enviar peticiones.
3. JSAM encapsula y reenva todas las peticiones de cliente al IVE sobre SSL.
4. El IVE desencapsula los datos del cliente y los reenva al servidor de
aplicaciones especificado.
5. El servidor de aplicaciones responde con datos al servidor del IVE.
6. El IVE encapsula y reenva la respuesta del servidor de aplicaciones al JSAM
sobre SSL.
7. JSAM desencapsula los datos del servidor de aplicaciones y los reenva a la
aplicacin cliente.
1. Slo sistema operativo Windows 98: si la propiedad Close on Exit est desactivada en el cuadro DOS, que se
abre durante el proceso de inicio de JSAM (para ejecutar el proceso restore.bat), el cuadro DOS no se cierra
despus de que el archivo de lote ha terminado de ejecutarse. El usuario debe cerrar manualmente el cuadro
DOS antes de que el proceso de inicio de JSAM se pueda completar.
517
Un indicador de estado en la ventana de JSAM muestra el estado actual de JSAM. Si

es de color verde, JSAM funciona correctamente. Si es de color rojo, JSAM no puede
enviar ni recibir peticiones desde o hacia el IVE.
NOTA: La ventana de JSAM actualiza el indicador de estado slo cuando el trfico
pasa a travs de JSAM. Si no pasa trfico a travs de JSAM, el indicador de estado

permanece en su estado actual. Por ejemplo, si existe una interrupcin de la red o
si la sesin del usuario caduca, el indicador de estado permanece de color verde
aunque no puede enviar ni recibir peticiones desde o hacia el IVE.
Para obtener ms informacin acerca de cmo se ejecuta JSAM, consulte
Asignacin de direcciones IP de bucle invertido a servidores en la pgina 520.
NOTA:
518
Si el equipo de un usuario remoto est configurado para usar un proxy Web en

Internet Explorer, debe configurar el equipo cliente para que evite el servidor
proxy cuando el usuario inicie aplicaciones que necesiten conectarse a Secure
Application Manager. Consulte Configuracin de un equipo que se conecta al
IVE a travs de un servidor Web proxy en la pgina 519.
JSAM asigna de 20 a 30 MB de RAM cuando se ejecuta (la cantidad exacta de

memoria depende de la mquina virtual de Java (JVM) utilizada) y, si la cach
est activada, puede dejar un archivo .jar en el equipo cliente. Para obtener
ms informacin acerca de los archivos que deja JSAM en los equipos cliente,
consulte el manual Client-side Changes Guide en Juniper Networks Customer
Support Center.
Los usuarios pueden experimentar problemas mientras esperan que Secure

Application Manager se cargue completamente, si activan bloqueadores de
ventanas emergentes a travs de sus exploradores Web. Este problema se
produce debido a que una ventana emergente, que avisa a los usuarios que
acepten el complemento de Secure Application Manager, puede aparecer en
segundo plano (detrs de la ventana del explorador Web) donde los usuarios
no pueden verla.
Cuando inicia aplicaciones a travs de JSAM, Juniper Networks admite la

configuracin de 1200 combinaciones IP/puerto nicas en Windows y Mac
y 800 combinaciones IP/puerto nicas en Linux. Observe que este lmite
se basa en combinaciones de IP/puerto, no en aplicaciones (que pueden
escuchar en ms de una direccin IP y puerto). Juniper Networks determin
esos nmeros a travs de pruebas en equipos con Windows XP y Windows
2000 que usan ajustes de memoria JRE predeterminados.
Configuracin de un equipo que se conecta al IVE a travs de un servidor

Web proxy
Si el equipo de un usuario remoto est configurado para usar un proxy Web en
Internet Explorer, debe configurar el equipo cliente para que evite el servidor proxy
y se comunique con Secure Application Manager.
Para configurar un equipo que se conecta al IVE a travs de un proxy Web en
Internet Explorer:
1. En el men Tools de Internet Explorer, elija Internet Options.
2. El la ficha Connections, haga clic en el botn LAN Settings.
3. Bajo Proxy server, haga clic en el botn Advanced.
4. En Exceptions, introduzca las direcciones para las cuales no desea usar un
servidor proxy. Introduzca todas las direcciones (nombres de host y localhost)
que la aplicacin cliente utiliza cuando se conecta a travs de Secure
Application Manager. Por ejemplo:
Si su servidor de aplicaciones es app1.company.com, introduzca las siguientes
excepciones:
app1;app1.company.com;127.0.0.1
Si su servidor Exchange es exchange.company.com, introduzca las siguientes

excepciones:
exchange;exchange.company.com;127.0.0.1
NOTA: Los clientes IVE dividen la lista de excepciones proxy de Internet Explorer.
Admitimos la mayora de las excepciones que admite Internet Explorer, con las
siguientes limitaciones:
Para la excepcin de la direccin IP, admitimos n.*.*.*, n.n.*.*, n.n.n.*. Por

ejemplo, 10.*.*.*, 10.10.*.*, 10.10.10.* o 10.10.10.10. No admitimos 10*
o 10.*.10.* incluso si Internet Explorer las admite.
Para la expresin de cadena, admitimos cadenas especficas, como

my.company.net o un comodn al comienzo de la cadena, por ejemplo,
*.my.company.net o *.company.net. No admitimos *.company.*, *.company*,
*.company.*.com, *.net, *.com, etc.
519
Asignacin de direcciones IP de bucle invertido a servidores

Para que JSAM funcione, debe escuchar en direcciones de bucle invertido las
peticiones del cliente a los servidores de aplicaciones de red. El IVE asigna esta
direccin IP de bucle invertido nica a cada servidor de aplicaciones que usted
especifica para un puerto determinado. Por ejemplo, si especifica:
app1.mycompany.com, app2.mycompany.com. app3.mycompany.com,...
para un nico puerto, el IVE asigna una direccin IP de bucle invertido nica a cada
aplicacin.
127.0.1.10, 127.0.1.11, 127.0.1.12,...
Cuando el IVE instala JSAM en el equipo de un usuario, JSAM escucha en las

direcciones de bucle invertido (en el puerto de cliente correspondiente, especificado
para el servidor de aplicaciones) las peticiones de cliente a los servidores de
aplicaciones de la red. Puede configurar el IVE para asignar dinmicamente estas
direcciones de bucle invertido o puede configurar direcciones estticas de bucle
invertido a travs de la consola de administracin (tal como se explica en Uso de
direcciones estticas de bucle invertido en la pgina 521).
Debe habilitar estas asociaciones entre las direcciones IP de bucle invertido y los
servidores de aplicaciones en un puerto especfico de una de las siguientes
maneras:
Permita que el IVE edite el archivo hosts en el sistema del cliente con
asignaciones IP de bucle invertido. El IVE hace una copia del archivo hosts
actual y luego crea un archivo hosts nuevo con las asignaciones IP de bucle
invertido. Cuando el usuario termina la sesin, el IVE borra el archivo hosts
nuevo y restaura el archivo hosts original.
Si el sistema cliente se apaga inesperadamente, el archivo hosts an dirige al
cliente a direcciones de bucle invertido para conexiones exteriores. Los ajustes
del archivo host se restablecen a su estado original cuando se reinicia el sistema
cliente.
Los usuarios deben tener los privilegios adecuados en sus equipos para que el
IVE edite el archivo hosts. Para obtener ms informacin, consulte Resolucin
de nombres de host como Localhost en la pgina 524.
Cree un DNS externo para enrutar el trfico de la aplicacin cliente al applet de

JSAM. Para obtener ms informacin, consulte Configuracin de servidores
DNS externos y equipos de usuario en la pgina 525.
Para obtener ms informacin sobre direcciones de bucle invertido, consulte:
520
Uso de direcciones estticas de bucle invertido en la pgina 521
Determinacin de la direccin de bucle invertido asignada al IVE en la

pgina 522
Consideraciones de la direccin IP de bucle invertido al combinar roles en la

pgina 523
Uso de direcciones estticas de bucle invertido

Usar un servidor DNS externo con direcciones dinmicas de bucle invertido
requiere de un administrador que actualice los ajustes DNS cada vez que cambia
la configuracin de la aplicacin JSAM. Por otro lado, configurar un servidor DNS
externo con direcciones estticas de bucle invertido proporciona a los
administradores el grado ms alto de control de configuracin.
Por ejemplo, considere las siguientes asignaciones IP de bucle invertido:
app1.mycompany.com - 127.0.1.10
Si configura un servidor DNS externo con asignaciones de direccin dinmica de

bucle invertido y elimina el primer servidor de aplicaciones, las asignaciones de
direcciones cambian:
Con direcciones IP estticas de bucle invertido en un DNS externo, la eliminacin

del primer servidor de aplicaciones no afecta a las asignaciones IP de bucle
invertido para el resto de los servidores de aplicaciones:
Puede asignar direcciones IP estticas de bucle invertido cuando crea un perfil de

recursos personalizado de JSAM a travs de la pgina Users > Resource Profiles >
SAM > Client Applications de la consola de administracin cuando habilita
aplicaciones JSAM a travs de la pgina Users > User Roles > Seleccionar rol >
SAM > Applications de la consola de administracin.
Si asigna una direccin IP de bucle invertido mientras crea una nueva aplicacin,
el IVE verifica la direccin para ver si existen conflictos con las otras aplicaciones
configuradas en el mismo rol. Si otra aplicacin utiliza la misma direccin, el IVE
muestra un mensaje de error que indica que se introdujo otra direccin IP.
NOTA: Las direcciones IP estticas de bucle invertido slo se aplican a servidores
de aplicaciones configurados por un administrador. El IVE asigna direcciones IP
dinmicas de bucle invertido para servidores de aplicaciones definidos por el
usuario. Si el administrador no asigna una direccin IP de bucle invertido a un
servidor de aplicaciones, el IVE asigna una direccin dinmica.
521
Determinacin de la direccin de bucle invertido asignada al IVE

Los usuarios no pueden modificar el servidor DNS corporativo para las aplicaciones
que agreguen para reenvo de puerto. Si permite a los usuarios especificar
aplicaciones para que JSAM enve a travs de proxy, los usuarios necesitan
configurar una aplicacin cliente para usar la direccin localhost asignada por
el IVE donde ellos acostumbran introducir el nombre de host del servidor.
El panel Details de la ventana del explorador de JSAM muestra la direccin IP de
bucle invertido asignada por el IVE junto con el puerto especificado por el usuario.
Para determinar qu direccin IP asigna el IVE a una aplicacin especificada a
travs de la pgina Client Applications IVE, el usuario debe reiniciar Secure
Application Manager despus de agregar la aplicacin. La direccin de bucle
invertido asignada a la aplicacin aparece en el panel Details de la ventana del
explorador de Secure Application Manager, tal como se muestra en la Figura 37.
Figura 37: Panel de detalles de Java Secure Application Manager (JSAM)
En la aplicacin cliente, el usuario necesita introducir la direccin de bucle invertido

asignada al IVE como el servidor de aplicaciones. Por ejemplo, si un usuario desea
tener acceso al servidor telnet detrs de su cortafuegos corporativo, el usuario
necesita seguir estos pasos:
1. En la seccin Client Application Sessions de la pgina de inicio para usuarios
finales del IVE, haga clic en el icono Item Properties y luego haga clic en Add
Application.
2. En la pgina Add Application, especifique:
El nombre de dominio completo del servidor o direccin IP en el campo

Remote Server, como terminalserver.juniper.com.
El puerto en el cual JSAM debe escuchar el trfico del cliente al servidor en

el campo Client Port, tal como 3389.
El puerto en el cual el servidor remoto debe escuchar el trfico de la

aplicacin cliente (JSAM) en el campo Server Port, tal como 3389.
3. Haga clic en Add para guardar la informacin.
522
4. Cierre la ventana del explorador de Secure Application Manager.

5. En la seccin Client Application Sessions de la pgina de inicio para usuarios
finales del IVE, haga clic en Start para reiniciar Secure Application Manager
6. En la ventana del explorador de Secure Application Manager, haga clic
en Details.
7. En la ficha Details, mire a qu direccin de bucle invertido el IVE asign al
servidor remoto, como 127.0.1.18.
8. En la aplicacin cliente, como Remote Desktop Connection, especifique la
direccin de bucle invertido en el campo de configuracin del servidor. Este
campo aparece en diferentes lugares para distintas aplicaciones. Los usuarios
pueden introducir esta informacin a travs de un asistente de configuracin
u otro dilogo de configuracin.
Consideraciones de la direccin IP de bucle invertido al combinar roles
Si planea combinar dos o ms roles, puede encontrar conflictos de direccin IP de
bucle invertido. Piense en los siguientes factores cuando combine roles:
Si dos o ms roles se asignan a la misma aplicacin y cada asignacin contiene

una direccin IP esttica de bucle invertido diferente, todas las direcciones IP
de bucle invertido permanecen invariables.
Si dos o ms roles se asignan a la misma aplicacin y slo un rol utiliza una

direccin IP esttica de bucle invertido, JSAM utiliza slo la direccin IP esttica
de bucle invertido y se vincula slo a un socket definido estticamente en el
cliente.
Si uno o ms roles se asignan a la misma aplicacin con direcciones IP

dinmicas de bucle invertido, slo se utiliza una direccin IP dinmica de bucle
invertido. El oyente de la aplicacin se vincula a slo un socket asignado
dinmicamente en el cliente.
Si utiliza el mismo nombre de host en varios roles, use la misma direccin IP

esttica de bucle invertido o direcciones dinmicas para todas las aplicaciones.
Si utiliza diferentes nombres de host asociados a la misma direccin de bucle

invertido y combinacin de puerto, JSAM no puede distinguir entre los dos
diferentes hosts en el back-end y, por lo tanto, no puede dirigir con precisin el
trfico IP asociado a esos hosts.
523
Resolucin de nombres de host como Localhost

Para que JSAM intermedie trfico correctamente, una aplicacin cliente en el equipo
del usuario necesita resolver el servidor de aplicacin como localhost de cliente.
Este proceso permite que JSAM capture y reenve de forma segura los datos
destinados al servidor de aplicaciones a travs del IVE. JSAM puede realizar
asignaciones de host automticas, en las cuales edita el archivo de hosts del equipo
cliente, para asignar servidores de aplicaciones a localhost. (Puede habilitar la
asignacin de host automtica a travs de la pgina Users > User Roles >
Seleccionar rol > SAM > Options de la consola de administracin.)
Con el fin de que JSAM edite el archivo hosts del usuario, ste debe tener la
autoridad apropiada en el equipo cliente:
Los usuarios de Windows que utilizan el sistema de archivos FAT pueden

pertenecer a cualquier grupo de usuarios. Sin embargo, para compatibilidad
con Exchange MAPI, los usuarios deben tener al menos privilegios de usuario
avanzado en sus equipos.
Los usuarios de Windows que utilizan el sistema de archivos NTFS deben

tener privilegios de administrador en sus equipos.
Los usuarios de Linux (RedHat) deben iniciar el explorador que iniciar JSAM
como root.
Los usuarios de Macintosh deben suministrar la contrasea de administrador

cuando lo solicite JSAM.
Si los usuarios no tienen los privilegios adecuados en sus equipos, JSAM no puede
editar automticamente el archivo hosts, evitando la resolucin de nombre en
localhost.
Las alternativas para los usuarios que no tienen los privilegios adecuados son:
524
Configure su servidor DNS externo para resolver los servidores de aplicaciones

como localhost. Si configura su servidor DNS externo para usar una direccin
localhost en lugar del nombre de host del servidor de aplicaciones, los usuarios
remotos necesitan configurar el orden en que sus equipos buscan servidores
DNS para comenzar con los DNS corporativos. Para obtener ms informacin,
consulte Configuracin de servidores DNS externos y equipos de usuario en
la pgina 525.
Reduzca los permisos en el directorio etc y el archivo etc\hosts para permitir

que JSAM realice las modificaciones necesarias.
Los usuarios configuran una aplicacin cliente para usar la direccin localhost
asignada por el IVE donde generalmente especifican el nombre de host del
servidor de aplicaciones en la aplicacin cliente. Para obtener ms informacin,
consulte Determinacin de la direccin de bucle invertido asignada al IVE en
la pgina 522.
Configuracin de servidores DNS externos y equipos de usuario

Las aplicaciones cliente deben resolver los nombres de host de servidor como
JSAM, que enva datos a travs de proxy entre un cliente y un servidor. En los
equipos con Windows, los nombres de host de servidor se almacenan en el archivo
hosts. Para interceptar datos con JSAM, los nombres de servidor en el archivo hosts
necesitan resolverse como el equipo local (localhost) de manera que el IVE pueda
intermediar el trfico. El proceso recomendado para asignar servidores de
aplicaciones al equipo local de un usuario es habilitar la opcin de asignacin
automtica de host, que permite que el IVE modifique automticamente el archivo
de hosts del equipo para apuntar servidores de aplicaciones al localhost para
reenvo de puerto seguro.
Sin embargo, para que el IVE realice una asignacin de host automtica, los
usuarios de equipos deben tener los privilegios apropiados en sus equipos (tal como
se explica en Resolucin de nombres de host como Localhost en la pgina 524).
Si los usuarios de los equipos no tienen estos privilegios, debe asegurarse de que los
nombres del servidor de aplicaciones interno se resuelven externamente como
localhost de un equipo mediante la adicin de entradas en su servidor DNS externo
que apunta a Internet tales como:
127.0.0.1 app1.company-a.com
127.0.0.1 app2.company-b.com
127.0.0.1 exchange1.company-a.com
127.0.0.1 exchange1.company-b.com
Si la aplicacin cliente utiliza un nombre no completo para el servidor de

aplicaciones, los usuarios necesitan especificar los sufijos del DNS, de manera que
el equipo pueda adjuntar el sufijo y comunicarse con su servidor DNS externo para
resolucin del nombre. Por ejemplo, un cliente MS Outlook generalmente tiene un
nombre no completo para un servidor MS Exchange. Para que el nombre completo
se resuelva como 127.0.0.1, los usuarios necesitan especificar los sufijos DNS
apropiados en sus equipos. Agregar nombres de dominio no afecta a otras
operaciones en el equipo, incluido el uso de la aplicacin cliente dentro de la
empresa.
Para configurar el equipo de un usuario con sufijos DNS (Windows 2000):
1. En el men Start de Windows, elija Settings > Network and Dial-up
Connections > Local Area Connection y luego Properties.
2. Seleccione Internet Protocol (TCP/IP) y haga clic en Properties.
3. Haga clic en la ficha Advanced y luego en DNS.
4. Haga clic en Append these DNS suffixes y luego en Add.
5. Agregue sus dominios internos de la empresa como sufijos DNS adicionales.
Para obtener informacin acerca de configurar su servidor DNS externo con
direcciones estticas de bucle invertido, consulte Uso de direcciones estticas de
bucle invertido en la pgina 521.
525
Compatibilidad con Linux y Macintosh

Los usuarios de Linux no tienen acceso a los puertos bajo 1024 a menos que hayan
iniciado sesin en sus equipos como root. Los usuarios de Macintosh no tienen
acceso a los puertos bajo 1024 a menos que suministren la contrasea de
administrador cuando JSAM la solicite. Para admitir aplicaciones que se ejecutan
en puertos privilegiados (puertos bajo 1024), como una aplicacin telnet:
Los usuarios pueden iniciar el explorador que iniciar JSAM como root.
Usted o el usuario pueden especificar un nmero de puerto de cliente igual

o mayor que el puerto 1024 cuando habilita las aplicaciones cliente.
Por ejemplo, si usted especifica 2041 para el puerto cliente y 23 para el
puerto del servidor para una aplicacin telnet, el comando para ejecutar
la aplicacin es:
telnet loopbackIP 2041
donde loopbackIP es la direccin IP del bucle invertido asignada al servidor de

aplicaciones por el IVE. JSAM escucha en el puerto 2041 el trfico desde la
aplicacin telnet y lo reenva al IVE. El IVE reenva el trfico al puerto 23 en el
servidor de destino. Para obtener informacin acerca de la determinacin de la
direccin de bucle invertido asignada al IVE, consulte Determinacin de la
direccin de bucle invertido asignada al IVE en la pgina 522.
NOTA: Debido al diseo del cdigo Sun JVM, los usuarios de Macintosh no pueden
volver a iniciar JSAM en la misma sesin de usuario de Safari. Con el fin de volver
a iniciar JSAM, el usuario debe salir de Safari y luego volver a iniciar JSAM.
Compatibilidad con aplicaciones estndar: MS Outlook

Los usuarios remotos pueden usar el cliente Microsoft Outlook de sus equipos para
tener acceso al correo electrnico, sus calendarios y otras caractersticas de Outlook
a travs del IVE. Las versiones de MS Outlook actualmente admitidas son MS
Outlook 2000 y MS Outlook 2002. Esta capacidad no requiere cambios en el cliente
Outlook y no requiere una conexin de capa de red, como VPN.
NOTA: Consulte el documento sobre plataformas admitidas en Juniper Networks
Customer Support Center para obtener detalles sobre la compatibilidad y

dependencias del sistema operativo. Consulte el manual Client-side Changes Guide
para obtener detalles acerca de los cambios de registro realizados por JSAM.
Observe tambin que el IVE no admite Outlook a travs de SVW, puesto que las
aplicaciones de Outlook requieren cambios en la clave de registro de HKLM. Para
obtener ms informacin, consulte Habilitacin de Secure Virtual Workspace en
la pgina 321.
526
Con el fin de que esta caracterstica funcione con los usuarios remotos, los ajustes
de red del equipo del usuario deben resolver el nombre de los servidores Exchange
incorporados en el cliente Outlook como el equipo local (127.0.0.1, la direccin IP
localhost predeterminada). Recomendamos que configure el IVE para resolver
automticamente los nombres de host de servidor Exchange como localhost
actualizando temporalmente el archivo hosts en un equipo cliente a travs de la
opcin de asignacin de host automtica.
Comunicacin cliente/servidor mediante JSAM

El siguiente diagrama describe las interacciones entre el cliente Outlook y un
servidor Exchange a travs del IVE. La imagen supone que el IVE est configurado
para realizar asignacin de host automtica.
Figura 38: Java Secure Application Manager y compatibilidad mejorada con MS
Exchange
La Figura 38 muestra el IVE configurado para utilizar asignacin de host automtica

para el cliente MS Outlook.
1. El usuario inicia el cliente MS Outlook. Outlook trata de comunicarse con
Exchange Server exchange1.yourcompany.com. El IVE resuelve el nombre de
host de Exchange Server como 127.0.0.1 (localhost) a travs de cambios
temporales en el archivo hosts.
2. Outlook se conecta a Secure Application Manager, que se ejecuta en el equipo
del usuario, y luego comienza a enviar peticiones de correo electrnico.
3. Secure Application Manager encapsula y reenva todas las peticiones desde el
cliente Outlook hasta el IVE sobre SSL.
4. El IVE desencapsula los datos del cliente y revisa la peticin MAPI para
encontrar el Exchange Server de destino. La peticin luego se reenva al
servidor de destino.
527
5. Cada peticin en el protocolo MAPI codifica al servidor de destino para la

peticin. Cuando la peticin MAPI llega desde Secure Application Manager,
el servidor del IVE revisa cada una de ellas y las enva al servidor de destino
correspondiente. Este proceso funciona de forma transparente aunque existan
mltiples Exchange Servers.
6. El Exchange Server responde al IVE con datos de correo electrnico.
7. El IVE encapsula y reenva la respuesta desde el Exchange Server hasta Secure
Application Manager sobre SSL.
8. Secure Application Manager desencapsula la informacin enviada desde el
IVE y reenva la respuesta MAPI normal desde el Exchange Server al cliente
Outlook.
Compatibilidad con aplicaciones estndar: Lotus Notes

Los usuarios remotos pueden usar el cliente de Lotus Notes en sus equipos para
tener acceso al correo electrnico, sus calendarios y otras caractersticas a travs
del IVE. Esta capacidad no requiere una conexin de capa de red, como una VPN.
NOTA: Consulte el documento sobre plataformas admitidas en Juniper Networks
Customer Support Center para obtener detalles sobre la compatibilidad y

dependencias del sistema operativo.
Comunicacin cliente/servidor mediante JSAM

Para que esta caracterstica funcione con los usuarios remotos, es necesario que se
configure el cliente de Lotus Notes para que utilice "localhost" como su ajuste de
ubicacin (es decir, su ajuste de Home Location, Remote Location o Travel
Location). Posteriormente, Secure Application Manager recoger las conexiones
solicitadas por el cliente de Lotus Notes. El siguiente diagrama describe las
interacciones entre el cliente de Lotus Notes y un servidor de Lotus Notes a travs
del IVE.
Figura 39: Java Secure Application Manager y compatibilidad mejorada con Lotus Notes
La Figura 39 muestra el valor de ubicacin del cliente de Lotus Notes que se

configurar en localhost.
528
1. El usuario inicia el cliente de Lotus Notes con el ajuste de ubicacin. El cliente

usa el ajuste de proxy de Tnel HTTP para este ajuste de ubicacin. Observe
que debe configurar el ajuste de proxy del Tnel HTTP para usar localhost
(o 127.0.0.1) como la direccin proxy y 1352 como el puerto proxy.
2. El cliente de Lotus Notes se conecta a Secure Application Manager y comienza
a enviar peticiones para correo electrnico.
3. Secure Application Manager encapsula y reenva las peticiones desde el cliente
de Lotus Notes hasta el IVE sobre SSL.
4. El IVE desencapsula los datos del cliente y revisa la peticin de Lotus Notes para
encontrar el servidor de Lotus Notes de destino. La peticin luego se reenva al
servidor de destino.
Cada peticin que se incluye en el protocolo de Lotus Notes codifica el servidor
de destino de la peticin en cuestin. Cuando la peticin de Lotus Notes llega
desde el proxy de la aplicacin, el servidor del IVE obtiene la informacin del
servidor de destino desde las peticiones y las enva al servidor de destino
correspondiente. As, esta caracterstica funciona de forma transparente
aunque existan mltiples servidores de Lotus Notes a los que tenga acceso un
nico usuario. Observe que se deben crear ACL de JSAM en el IVE que permitan
el acceso a estos servidores de destino.
5. El servidor de Lotus Notes responde con datos de correo electrnico al IVE.
6. El IVE encapsula y reenva la respuesta desde el servidor de Lotus Notes hasta
Secure Application Manager sobre SSL.
7. Secure Application Manager desencapsula la informacin enviada desde el IVE
y reenva la respuesta normal desde el servidor de Lotus Notes al cliente de
Lotus Notes.
Configuracin del cliente de Lotus Notes

Antes de que un usuario remoto pueda conectarse desde Lotus Notes a un servidor
de Lotus Notes a travs del IVE, el usuario debe editar el cliente de Lotus Notes para
establecer un campo proxy de documento de ubicacin en el puerto localhost del
equipo. El documento de ubicacin editado debe ser el que se utiliza para el acceso
remoto, por ejemplo, el ajuste de Ubicacin remota o Ubicacin de viaje. Configurar
el campo proxy en el puerto localhost del equipo permite al IVE conectarse a varios
servidores de Lotus Notes, incluidos aquellos configurados como servidores passthrough.
Debe utilizar la siguiente configuracin en esos casos:
JSAM est configurado para usar Lotus Notes como una aplicacin estndar.
El cliente de Lotus Notes puede conectarse a varios servidores de Lotus Notes.
Para configurar un cliente de Lotus Notes para su uso con el IVE:

1. En el cliente de Lotus Notes, seleccione File > Mobile > Locations.
2. Seleccione la ubicacin utilizada para acceso remoto y luego haga clic en
Edit Location.
529
3. El la ficha Basics, haga clic en el icono Proxy.

4. En el cuadro Proxy Server Configuration, introduzca lo siguiente en el campo
HTTP Tunnel: 127.0.0.1:1352
5. Haga clic en OK.
Compatibilidad con aplicaciones estndar: Citrix Web Interface for MetaFrame

(NFuse Classic)
Los usuarios remotos pueden utilizar el servidor de Citrix Web Interface for
MetaFrame para tener acceso a una variedad de aplicaciones a travs del IVE. Este
proceso no requiere ninguna modificacin de los permisos de usuario en el cliente.
Despus de que un usuario explora un servidor Citrix Web Interface for MetaFrame
y selecciona una aplicacin, el servidor enva un archivo ICA al cliente. Cuando el
IVE reescribe el archivo ICA, ste reemplaza los nombres de host y las direcciones
IP con direcciones IP de bucle invertido previamente proporcionadas. A
continuacin, el cliente ICA enva peticiones de la aplicacin a una de las
direcciones IP de bucle invertido. Secure Application Manager encapsula los datos
y los enva al IVE. El IVE desencapsula los datos y los enva al servidor MetaFrame
a travs del puerto 1494 o 2598 (dependiendo del cliente).
NOTA:
530

pgina 362.
JSAM no se inicia automticamente cuando las Aplicaciones incorporadas

se configuran en Auto en la consola de Citrix Web Interface for MetaFrame.
En estos casos, recomendamos que configure JSAM para que se inicie
automticamente despus de que el usuario inicie sesin en el IVE. De lo
contrario, lo usuarios deben iniciar JSAM manualmente antes de usar Citrix
Web Interface for MetaFrame.
Si un usuario trata de utilizar la caracterstica de descubrimiento del servidor y

luego trata de utilizar el descubrimiento de la aplicacin, se produce un error
en el proceso de descubrimiento de aplicacin. Para solucionar esta situacin
especfica, apague y reinicie el entorno del programa Citrix.
El IVE sirve como una alternativa para implementar Citrix Secure

Gateway (CSG).
Para usar el modo applet del cliente Java, asegrese de habilitar la

compatibilidad con el applet de Java en la pgina Users > User Roles >
Seleccionar rol > Web > Options de la consola de administracin.
Si establece el ajuste del Protocolo de red en el cliente del entorno del

programa Citrix en TCP/IP, el IVE no admitir la aplicacin a travs de JSAM,
puesto que el ajuste TCP/IP produce trfico UDP.
Compatibilidad con aplicaciones personalizadas: aplicaciones publicadas de Citrix

configuradas desde el cliente nativo
Cuando habilita aplicaciones publicadas de Citrix en el cliente nativo de Citrix a
travs del IVE, debe completar los pasos que se indican en las siguientes secciones.
1. Especificacin de las aplicaciones personalizadas en JSAM para reenvo de
puerto en la pgina 531
2. Configuracin del Servidor Citrix Metaframe para aplicaciones publicadas en
la pgina 532
3. Configuracin del cliente de Citrix para aplicaciones publicadas en la
pgina 533
NOTA:
Estas instrucciones suponen que usted no est utilizando Citrix Web Interface
for Citrix Presentation Server (antes conocido como servidor NFuse). Para
obtener informacin acerca de servidores de presentacin, consulte
Compatibilidad con aplicaciones estndar: Citrix Web Interface for
MetaFrame (NFuse Classic) en la pgina 530.
Estas instrucciones no abarcan cmo configurar la opcin de aplicacin Citrix

estndar. (Para obtener instrucciones para la aplicacin Citrix estndar, use los
ajustes de la pgina Users > Resource Profiles > Web > Web
Applications/Pages de la consola de administracin). Puede habilitar la
aplicacin Citrix estndar y la aplicacin Citrix personalizada, estos ajustes no
se afectarn entre s.

pgina 362.
Especificacin de las aplicaciones personalizadas en JSAM para reenvo

de puerto
Cuando configure JSAM para trabajar con aplicaciones publicadas, debe abrir dos
puertos: el puerto 80 y el 1494. Cada puerto abierto crea una conexin a travs de
JSAM hacia el servidor Citrix Metaframe.
531
Para especificar aplicaciones publicadas para que JSAM realice el reenvo de puerto:
1. Agregue la aplicacin personalizada a travs de JSAM mediante las
instrucciones que aparecen en Definicin de perfiles de recursos: JSAM en la
pgina 535. Cuando agregue la aplicacin personalizada, recuerde la siguiente
configuracin:
Server name: Para aplicaciones publicadas, debe introducir el nombre DNS

completo del servidor Metaframe, no su direccin IP.
Server port: Para aplicaciones publicadas, introduzca 80 y 1494. (Cree una

entrada para el puerto 80 y otra para el puerto 1494.) Si tiene varios
servidores Metaframe, debe configurarlos todos en los mismos puertos.
Client port: Para aplicaciones publicadas, introduzca 80 y 1494. (Cree una

entrada para el puerto 80 y otra para el puerto 1494.)
correctamente.
Internet Explorer, configure el equipo cliente para que evite el servidor proxy
cuando el usuario inicie aplicaciones que necesiten conectarse a Secure
pgina 519.
Configuracin del Servidor Citrix Metaframe para aplicaciones publicadas

Al habilitar aplicaciones publicadas de Citrix a travs del IVE, debe habilitar
la resolucin de la direccin DNS del servicio XML en el servidor metaframe.
Las siguientes instrucciones describen cmo hacerlo en Metaframe XP.
Para configurar el servidor Citrix MetaFrame para que funcione con el IVE:
1. Abra la consola de administracin de Citrix.
2. Haga clic con el botn derecho en el nombre de su granja de servidores y luego
en Properties.
3. Seleccione la ficha MetaFrame Settings.
4. Seleccione la casilla de verificacin Enable XML Service DNS address
resolution.
5. Haga clic en OK.
532
Configuracin del cliente de Citrix para aplicaciones publicadas

Al habilitar aplicaciones publicadas de Citrix a travs del IVE, debe crear una
conexin ICA en cada cliente de Citrix mediante las instrucciones que aparecen
a continuacin.
Para configurar el cliente de Citrix para que funcione con el IVE:
1. Abra el entorno del programa Citrix y elija la opcin Add ICA Connection.
2. En el asistente Add New ICA Connection, seleccione el tipo de conexin que
su equipo usa para comunicarse.
3. En la pantalla siguiente:
a.
Introduzca una descripcin de la nueva Conexin ICA.
b.
Seleccione TCP/IP + HTTP como el protocolo de red.
c.
Seleccione Published Application.
d. Haga clic en Server Location y luego:

i.
Anule la seleccin de la casilla de verificacin Use Default.
ii.
Haga clic en el cuadro de dilogo Add in the Locate Server or

Published Application.
iii. Confirme que HTTP/HTTPS est seleccionado en la lista Network

Protocol.
iv. Introduzca el DNS del servidor metaframe en el cuadro de dilogo Add
Server Location Address.
v.
Introduzca 80 en el campo del puerto.
vi. Haga clic en OK en el cuadro de dilogo Add Server Location Address

y el cuadro de dilogo Locate Server or Published Application.
a.
Seleccione una aplicacin en la lista Published Application.
4. Introduzca la informacin solicitada en las otras pantallas del asistente.
533
Compatibilidad con aplicaciones personalizadas: Citrix Secure Gateways

Al habilitar Citrix Secure Gateways (CSG) a travs del IVE, debe completar los pasos
indicados en las siguientes secciones:
1. Desactive Citrix NFuse como aplicacin estndar a travs de la pgina Users >
Resource Profiles > Web > Web Applications/Pages de la consola de
administracin.
NOTA:
No puede activar la aplicacin estndar de Citrix NFuse y las aplicaciones

personalizadas de Citrix Secure Gateways (CSGs) a travs de JSAM en el
mismo IVE.

pgina 362.
2. Especifique las aplicaciones para que JSAM realice reenvo de puerto agregando
una aplicacin personalizada a travs de JSAM. Utilice las instrucciones de la
seccin Definicin de perfiles de recursos: JSAM en la pgina 535. Cuando
agregue la aplicacin personalizada, recuerde la siguiente configuracin:
Server name: Para CSG, debe introducir el nombre DNS completo del
servidor de puerta de enlace segura de Citrix, no su direccin IP.
Server port: Para CSG, introduzca 443. Si tiene varios servidores de puerta
de enlace segura de Citrix, debe configurarlos todos en el mismo puerto.
Client port: Para CSG, introduzca 443. (Cree una entrada para el puerto 80
y otra para el puerto 443).
correctamente.
pgina 519.
534

6. Configure su Citrix Secure Gateway y confirme que funciona en su escritorio.
7. Agregue un marcador a la pgina de inicio del IVE para los usuarios finales que
lleve a la lista de servidores de puerta de enlace segura de Citrix y use la
caracterstica de reescritura selectiva del IVE para desactivar la reescritura para
la direccin URL.
Si no desea crear un marcador a travs del IVE, slo indique a los usuarios que
obtengan acceso a la URL desde la barra de direcciones del explorador Web en
lugar de usar la barra de direcciones del IVE.
Definicin de perfiles de recursos: JSAM

Los perfiles de recursos de JSAM configuran a JSAM para asegurar el trfico hacia
una aplicacin cliente/servidor. Cuando usted crea un perfil de recursos de
aplicacin de JSAM, el cliente de JSAM encapsula el trfico de red, generado por las
aplicaciones cliente especificadas, hacia los servidores de su red interna.
Para obtener ms informacin sobre los perfiles de recursos, consulte Perfiles de
recursos en la pgina 91. Para obtener ms informacin sobre JSAM, consulte
Informacin general de JSAM en la pgina 516.
NOTA: Cuando cree perfiles de recursos de JSAM, tenga en cuenta que los perfiles
de recursos no contienen marcadores. Por lo tanto, los usuarios finales no vern
un vnculo para la aplicacin configurada en la interfaz de usuario final. Para tener
acceso a las aplicaciones y servidores que JSAM intermedia, los usuarios primero
deben iniciar JSAM y luego iniciar la aplicacin especificada con los mtodos
estndar (como el men Start de Windows o un icono de escritorio). Para obtener
informacin acerca del inicio automtico de JSAM cuando el usuario inicia sesin
en el IVE, consulte Especificacin de opciones JSAM a nivel de rol en la
pgina 543.
Observe adems que cuando usted habilita JSAM o WSAM a travs de directivas
automticas de reescritura para perfiles de recursos web, el IVE crea
automticamente directivas automticas de JSAM o WSAM para usted. Estas
directivas SAM slo se pueden ver a travs del perfil de recursos web apropiado,
no mediante las pginas de perfil de recursos SAM de la consola de
administracin. Para obtener ms informacin, consulte Definicin de una
directiva automtica de reescritura en la pgina 406.
535
Para crear un perfil de recursos de aplicacin JSAM:

1. Dirjase a la pgina Users > Resource Profiles > SAM > Client Applications
3. En la lista Type, elija JSAM.
4. De la lista Application, seleccione una de las opciones siguientes:
Custom: Seleccione esta opcin para intermediar trfico a una aplicacin

personalizada. Despus:
i.
En el campo Server name, introduzca el nombre o la direccin IP del

servidor remoto. Si est usando asignacin de host automtica,
introduzca el servidor tal como lo conoce la aplicacin. Si introduce
una direccin IP, observe que los usuarios finales deben conectarse a
JSAM con esa direccin IP con el fin de conectarse a un servidor
especificado. Para obtener informacin sobre las variables y atributos
del sistema que puede usar en este campo, consulte Uso de variables
del sistema en territorios, roles y directivas de recursos en la
pgina 1054.
ii.
En el campo Server Port, introduzca el puerto en el que el servidor

remoto escucha las conexiones de cliente. Por ejemplo, para reenviar el
trfico Telnet de un equipo remoto, especifique el puerto 23 tanto para
el puerto del cliente (en el que escucha JSAM) como para el puerto del
servidor (en el que escucha el servidor Telnet).
NOTA: Para desactivar el cambio de registro realizado por JSAM y restaurar la copia
original del archivo etc/hosts, los usuarios deben desinstalar el cliente JSAM
mediante los ajustes de la pgina Preferences > Applications de la consola de

usuario final. Para reactivar el cambio, es necesario reiniciar.
Tambin puede utilizar el script de ajustes de restauracin del sistema. Sin
embargo, ese script no puede restaurar el archivo de hosts correctamente si usted
inicia sesin como un usuario distinto del que originalmente inici JSAM.
536
iii. En el campo Client Loopback IP, proporcione una direccin esttica de

bucle invertido. Si no proporciona una direccin IP de bucle invertido
esttica, el IVE asigna de forma dinmica una direccin IP de bucle
invertido. Para obtener ms informacin acerca de las direcciones de
bucle invertido estticas, consulte Asignacin de direcciones IP de
bucle invertido a servidores en la pgina 520.
NOTA:
Cuando configure un DNS externo, no use direcciones IP de bucle invertido

en el rango de 127.0.2.x porque el IVE reserva las direcciones IP de bucle
invertido de ese rango para usarlas con Citrix NFuse.
Si desea modificar una direccin esttica de bucle invertido para un servidor

de aplicaciones JSAM configurado en varios puertos, debe eliminar todas las
aplicaciones relacionadas con este servidor de aplicaciones y reintroducir
estas aplicaciones con la nueva direccin esttica de bucle invertido.
iv. En el campo Client Port, introduzca el puerto en el que JSAM debe
escuchar las conexiones de la aplicacin del cliente. Generalmente,
el valor del puerto local es el mismo que el del puerto del servidor;
el valor del puerto local habitualmente slo es diferente para usuarios
no raz de Linux o Macintosh, que desean agregar aplicaciones para
reenvo de puerto que usan puertos bajo 1024.
app1.mycompany.com, app2.mycompany.com, app3.mycompany.com.
Puede asignar una direccin de bucle invertido esttica o el IVE puede
asignar una direccin de bucle invertido dinmica (127.0.1.10,
127.0.1.11, 127.0.1.12) para cada aplicacin. JSAM luego escucha en
estas mltiples direcciones de bucle invertido en el puerto
especificado. Por ejemplo, cuando hay trfico en 127.0.1.12 en el
puerto especificado, el IVE reenva el trfico al host de destino
app3.mycompany.com.
v.
Haga clic en Add.
vi. Seleccione la casilla de verificacin Allow JSAM to dynamically select

an available port if the specified client port is in use si JSAM est
escuchando varios host en el mismo puerto y desea que JSAM
seleccione un puerto disponible cuando el puerto de cliente que usted
especific est ocupado. La aplicacin cliente debe permitirle
especificar el nmero de puerto para la conexin con el fin de utilizar
esta opcin.
vii. Seleccione la casilla de verificacin Create an access control policy
allowing SAM access to these servers para permitir el acceso a la lista
de servidores especificada en la columna Server (habilitada de forma
predeterminada).
537
Lotus Notes: Seleccione esta opcin para intermediar trfico desde la

aplicacin cliente de Lotus Notes, tal como se explica en Compatibilidad
con aplicaciones estndar: Lotus Notes en la pgina 528. A continuacin,
en la seccin Autopolicy: SAM Access Control, cree una directiva que
permita o deniegue el acceso de los usuarios al servidor de Lotus Notes:
i.
En caso de no estar habilitado, seleccione la casilla de verificacin

Autopolicy: SAM Access Control.
ii.
En el campo Resource, especifique el servidor de aplicaciones al que

se aplica esta directiva. Puede especificar el servidor como un nombre
de host completo o par de mscara de red/IP. Por ejemplo, si el nombre
de host completo es notes1.yourcompany.com, agregue
notes1.yourcompany.com y notes1 al campo Resource.
iii. En la lista Action, seleccione Allow para permitir el acceso al servidor

especificado o Deny para bloquear el acceso al servidor especificado.
iv. Haga clic en Add.
NOTA:
Si selecciona la opcin Lotus Notes o configura el cliente de Lotus Notes para

que se conecte a varios servidores de Lotus Notes, debe configurar el cliente
de Lotus Notes apropiadamente para que funcione con el IVE. Para obtener
instrucciones, consulte Configuracin del cliente de Lotus Notes en la
pgina 529.
Slo puede utilizar JSAM para configurar acceso a una aplicacin Lotus Notes
por rol de usuario.
Microsoft Outlook: Seleccione esta opcin para intermediar trfico desde

la aplicacin Microsoft Outlook, tal como se explica en Compatibilidad
con aplicaciones estndar: MS Outlook en la pgina 526. Despus:
i.
Introduzca el nombre de host para cada servidor MS Exchange en

el campo Servers. Por ejemplo, si el nombre de host completo es
exchange1.yourcompany.com, agregue exchange1.yourcompany.com
al campo Servers. Para obtener informacin sobre las variables y
atributos del sistema que puede usar en este campo, consulte Uso de
variables del sistema en territorios, roles y directivas de recursos en la
pgina 1054.
NOTA:
538
Debe introducir el nombre completo de los servidores en este campo, puesto

que el IVE crea asignaciones directas uno a uno entre los servidores que se
introducen aqu y las direcciones IP del archivo etc/hosts. Para obtener ms
informacin acerca de los cambios de registro realizados por JSAM, consulte el
manual Client-side Changes Guide en Juniper Networks Customer Support
Center.
El IVE no admite Outlook a travs de SVW, puesto que las aplicaciones de

Outlook requieren cambios en la clave de registro de HKLM. Para obtener ms
informacin, consulte Habilitacin de Secure Virtual Workspace en la
pgina 321.
ii.
Seleccione la casilla de verificacin Create an access control policy

allowing SAM access to this server para permitir el acceso al servidor
especificado en el paso anterior (habilitado de manera
predeterminada).
NOTA: Slo puede utilizar JSAM para configurar acceso a una aplicacin Microsoft
Outlook por rol de usuario.
NetBIOS file browsing: Seleccione esta opcin para encapsular trfico de

NetBIOS a travs de JSAM. Despus:
i.
Introduzca el nombre de host completo para sus servidores de

aplicaciones en el campo Servers.
NOTA:
Debe introducir el nombre completo de los servidores en este campo, puesto

que el IVE crea asignaciones directas uno a uno entre los servidores que se
introducen aqu y las direcciones IP del archivo etc/hosts. Para obtener ms
informacin acerca de los cambios de registro realizados por JSAM, consulte el
manual Client-side Changes Guide en Juniper Networks Customer Support
Center.
Si desea habilitar la asignacin de unidades en un equipo cliente Windows,

use la opcin de exploracin de archivo NetBIOS estndar. Cuando lo hace,
JSAM modifica automticamente el registro para inhabilitar el puerto 445 en
los equipos con Windows XP, lo que obliga a Windows XP a usar el puerto
137, 138 o 139 para asignacin de unidades. Los usuarios de Windows XP
necesitan reiniciar una vez para permitir que el cambio de registro surta
efecto.
ii.
Seleccione la casilla de verificacin Create an access control policy

allowing SAM access to this server para permitir el acceso al servidor
especificado en el paso anterior (habilitado de manera
predeterminada).
NOTA:
Slo puede usar JSAM para configurar la exploracin del archivo NetBIOS una
vez por rol de usuario.
El IVE no admite exploracin de archivo NetBIOS a travs de SVW, puesto que

NetBIOS requiere cambios en la clave de registro de HKLM. Para obtener ms
pgina 321.

recursos. El IVE muestra esta informacin en la seccin Client Application
Sessions de la pgina de inicio para usuarios finales del IVE.
539
y haga clic en Add.
Los roles seleccionados heredan la directiva automtica creada por el perfil de
recursos. Si an no est habilitado, el IVE habilita automticamente la opcin
SAM en la pgina Users > User Roles > Seleccionar rol > General >
Overview de la consola de administracin para todos los otros roles que
seleccione.
Definicin de los ajustes de rol: JSAM

a nivel de rol para JSAM:
Especificacin de aplicaciones para proteger con JSAM en la pgina 540
Especificacin de opciones JSAM a nivel de rol en la pgina 543
Especificacin de aplicaciones para proteger con JSAM


con perfiles de recursos de JSAM, ya que estos proporcionan un mtodo de
Definicin de perfiles de recursos: JSAM en la pgina 535.
Use la ficha Applications para especificar las aplicaciones para las cuales JSAM
otorga seguridad de trfico. Observe que para que JSAM funcione, la aplicacin
cliente necesita conectarse al equipo local en que JSAM se ejecuta como el servidor
de aplicaciones.
Para especificar aplicaciones a las cuales JSAM otorgue seguridad:
SAM > Applications.
2. Seleccione Add Application.
3. Introduzca el nombre de la aplicacin y, opcionalmente, una descripcin. Esta
informacin se muestra en la seccin Client Application Sessions de la pgina
de inicio para usuarios finales del IVE.
540
4. Elija:
Standard application: Seleccione Citrix NFuse, Lotus Notes o Microsoft

Outlook/Exchange.
NOTA:
El IVE no admite que las aplicaciones JSAM estndar Outlook y NetBIOS

busquen archivos a travs de SVW, ya que esas aplicaciones requieren
cambios en la clave de registro. Sin embargo, el IVE admite las aplicaciones
JSAM estndar Citrix y Lotus Notes a travs de SVW. Para obtener ms
pgina 321.
Si selecciona la opcin Lotus Notes o configura el cliente de Lotus Notes para

que se conecte a varios servidores de Lotus Notes, debe configurar el cliente
de Lotus Notes apropiadamente para que funcione con el IVE. Para obtener
instrucciones, consulte Configuracin del cliente de Lotus Notes en la
pgina 529.
El IVE admite varios mecanismos para intermediar trfico a las aplicaciones

consulte:
Comparacin de los mecanismos de acceso del IVE para la configuracin

de Citrix en la pgina 362
Custom application
i.
En el campo Server name, introduzca el nombre DNS del servidor o la

direccin IP del servidor. Si introduce el nombre DNS, introduzca el
nombre del servidor remoto tal como lo conoce la aplicacin si usted
est usando asignacin de host automtica. Para obtener informacin
sobre las variables y atributos del sistema que puede usar en este
campo, consulte Uso de variables del sistema en territorios, roles y
ii.
En el campo Server Name, escriba:
iii. En el campo Server Port, introduzca el puerto en el que el servidor

remoto escucha las conexiones de cliente.
Por ejemplo, para reenviar el trfico Telnet de un equipo remoto,
especifique el puerto 23 tanto para el puerto del cliente (en el que
escucha JSAM) como para el puerto del servidor (en el que escucha el
servidor Telnet).
541
NOTA: Para desactivar el cambio de registro realizado por JSAM y restaurar la copia
original del archivo etc/hosts, los usuarios deben desinstalar el cliente JSAM
mediante los ajustes de la pgina Preferences > Applications de la consola de

usuario final. Para reactivar el cambio, es necesario reiniciar.
Tambin puede utilizar el script de ajustes de restauracin del sistema. Sin
embargo, ese script no puede restaurar el archivo de hosts correctamente si usted
inicia sesin como un usuario distinto del que originalmente inici JSAM.
iv. En el campo Client Loopback IP, proporcione una direccin de bucle
invertido esttica. Si no proporciona una direccin IP de bucle
invertido esttica, el IVE asigna de forma dinmica una direccin IP
de bucle invertido. Para obtener ms informacin acerca de las
direcciones de bucle invertido estticas, consulte Asignacin de
direcciones IP de bucle invertido a servidores en la pgina 520.
NOTA:
Cuando configure un DNS externo, no use direcciones IP de bucle

invertido en el rango de 127.0.2.x porque el IVE reserva las direcciones IP
de bucle invertido de ese rango para usarlas con Citrix NFuse.
Si desea modificar una direccin esttica de bucle invertido para un

servidor de aplicaciones JSAM configurado en varios puertos, debe
eliminar todas las aplicaciones relacionadas con este servidor de
aplicaciones y reintroducir estas aplicaciones con la nueva direccin
esttica de bucle invertido.
v.
En el campo Client Port, introduzca el puerto en el que JSAM debe

escuchar las conexiones de la aplicacin del cliente.
Generalmente, el valor del puerto local es el mismo que el del puerto
del servidor; el valor del puerto local habitualmente slo es diferente
para usuarios no raz de Linux o Macintosh, que desean agregar
aplicaciones para reenvo de puerto que usan puertos bajo 1024.
app1.mycompany.com, app2.mycompany.com, app3.mycompany.com.
Puede asignar una direccin de bucle invertido esttica o el IVE puede

asignar una direccin de bucle invertido dinmica (127.0.1.10,
127.0.1.11, 127.0.1.12) para cada aplicacin. JSAM luego escucha en
estas mltiples direcciones de bucle invertido en el puerto
especificado. Por ejemplo, cuando hay trfico en 127.0.1.12 en el
puerto especificado, el IVE reenva el trfico al host de destino
app3.mycompany.com.
542
vi. Seleccione la casilla de verificacin Allow Secure Application

Manager to dynamically select an available port... si JSAM est
escuchando varios host en el mismo puerto y usted quiere que JSAM
seleccione un puerto disponible cuando el puerto de cliente que usted
especific est ocupado. La aplicacin cliente debe permitirle
especificar el nmero de puerto para la conexin con el fin de utilizar
esta opcin.
vii. Haga clic en Add.
Application Manager. Consulte Configuracin de un equipo que se conecta al
IVE a travs de un servidor Web proxy en la pgina 519.
6. Agregue dominios DNS al IVE si tiene varios dominios internos, como companya.com and company-b.com, de manera que los nombres como app1.companya.com y app2.company-b.com se resuelvan correctamente:
a.
Dirjase a la pgina System > Network > Overview en la consola de

administracin.
b.
En DNS Name Resolution, agregue una lista de dominios separados por

coma en el campo DNS Domains.
c.
Especificacin de opciones JSAM a nivel de rol

Para especificar opciones JSAM a nivel de rol:
SAM > Options.
2. En Secure Application Manager options, seleccione las opciones que desee
habilitar para los usuarios:
Auto-launch Secure Application Manager: Si esta opcin est activada,

el IVE inicia automticamente Secure Application Manager cuando un
usuario inicia sesin. Si no selecciona esta opcin, los usuarios deben
iniciar manualmente Secure Application Manager desde la seccin Client
Applications Sessions de la pgina de inicio para usuarios finales del IVE.
NOTA: Aunque configure Secure Application Manager para que se inicie

automticamente cuando los usuarios inicien sesin en el IVE, los usuarios
pueden sobrescribir este ajuste a travs de la pgina Preferences > Applications
de la consola de usuario final del IVE. Si el inicio automtico est desactivado, los
usuarios necesitan iniciar manualmente Secure Application Manager haciendo clic
en el vnculo en la pgina de inicio del IVE.
Auto-uninstall Secure Application Manager: Si esta opcin est activada,

el IVE automticamente desinstala Secure Application Manager despus de
que los usuarios cierran la sesin.
543
Auto-allow application servers: Si esta opcin est activada, el IVE crea

automticamente una directiva de recursos de SAM que permite acceso al
servidor especificado en la aplicacin WSAM y las listas de servidores y la
lista de la aplicacin JSAM.

en la pgina 722.
3. En Java SAM Options, seleccione las opciones que desea habilitar para los
usuarios:
User can add applications: Si esta opcin est activada, los usuarios
pueden agregar aplicaciones. Para que los usuarios agreguen aplicaciones,
necesitan saber el nombre DNS del servidor de aplicaciones y los puertos
de cliente/servidor.
Cuando activa esta opcin, los usuarios pueden configurar el reenvo de
puerto a cualquier host de su empresa. Antes de proporcionar a los
usuarios la capacidad de agregar aplicaciones, verifique que esta
caracterstica es coherente con sus prcticas de seguridad. Si un usuario
agrega una aplicacin, la aplicacin permanece disponible para el usuario
aunque despus desactive la caracterstica.
Automatic host-mapping: Si esta opcin est activada, Secure Application

Manager edita el archivo de hosts del equipo con Windows y reemplaza las
entradas de los servidores de aplicacin de Windows con localhost. Estas
entradas se vuelven a cambiar con los datos originales cuando un usuario
cierra Secure Application Manager.
Para que la versin Java de Secure Application Manager funcione, la
aplicacin cliente necesita conectarse al equipo local en el cual se ejecuta
Secure Application Manager como el servidor de aplicaciones. El proceso
recomendado para asignar servidores de aplicaciones al equipo local de un
usuario es habilitar la asignacin de host automtica, que permite que el
IVE modifique automticamente el archivo de hosts del equipo para
apuntar servidores de aplicaciones al localhost del equipo para reenvo de
puerto seguro. Tambin puede configurar su servidor DNS, tal como se
explica en Configuracin de su servidor DNS externo y equipos de usuario
(si es necesario) en la pgina 96.
Skip web-proxy registry check: Si esta opcin est activada, JSAM no

verifica un registro de usuario para un proxy Web. Algunos usuarios no
tienen permisos para ver sus registros, por lo que si JSAM trata de revisar
sus registros, esos usuarios ven un error que les indica que no tienen
permisos. Esta opcin asegura que los usuarios no vean este mensaje.
Auto-close JSAM window on sign-out: Si esta opcin est activada, JSAM

se cierra automticamente cuando un usuario cierra sesin en el IVE
haciendo clic en Sign Out en la ventana del explorador del IVE. JSAM sigue
ejecutndose si el usuario slo cierra la ventana del explorador.

544
Definicin de directivas de recursos: JSAM

Esta seccin contiene las siguientes instrucciones para configurar las directivas de
recursos de JSAM:
Inicio automtico de JSAM en la pgina 545
Especificacin de los servidores de aplicaciones a los cuales los usuarios

pueden tener acceso en la pgina 547
Especificacin de opciones JSAM a nivel de recurso en la pgina 548
Inicio automtico de JSAM

Use la ficha Launch JSAM para escribir una directiva de recursos Web que
especifique una URL para la cual el IVE inicie automticamente JSAM en el cliente.
El IVE inicia JSAM en dos situaciones:
Cuando un usuario introduce la URL en el campo Address de la pgina de inicio

del IVE.
Cuando un usuario hace clic en un marcador Web (configurado por un

administrador) en la pgina de inicio de IVE que lleva a la URL.
Esta caracterstica es til si usted activa aplicaciones que requieren JSAM, pero
no quiere que los usuarios ejecuten JSAM innecesariamente. Sin embargo, esta
caracterstica requiere que los usuarios tengan acceso a la URL a travs de la pgina
de inicio de IVE. Si los usuarios introducen la URL en el campo Address del
explorador, el IVE no atender la solicitud.
NOTA: El IVE ofrece estrecha integracin con Citrix. Si especifica a Citrix como una
aplicacin JSAM estndar, el IVE inicia automticamente JSAM cuando un usuario

selecciona un archivo ICA aunque la URL no est configurada como una directiva
de recursos.
Para escribir una directiva de recursos de inicio de JSAM:
1. En la consola de administracin, elija Users > Resource Policies > Web.
2. Si la vista de administrador no est configurada para mostrar directivas de
Inicio de JSAM, realice las siguientes modificaciones.
a.

la pgina.
b.
Seleccione la casilla de verificacin Launch JSAM.
c.
Haga clic en OK.
3. Seleccione la ficha Launch JSAM.

4. En la pgina JSAM Autolaunch Policies, haga clic en New Policy.
545

a.
b.

directiva slo a los usuarios que estn asignados a roles en la lista
Selected roles. Asegrese de agregar funciones a esta lista desde la lista
Available roles.
Launch JSAM for this URL: El IVE descarga Java Secure Application
Manager al cliente y luego sirve la URL solicitada.
NOTA: JSAM se inicia automticamente para la URL especificada slo si un usuario

introduce la URL o selecciona un marcador a la URL en la pgina de inicio del IVE
(Browsing > Bookmarks). El marcador no inicia la aplicacin que est
configurada a travs de JSAM, pero inicia JSAM.
Don't Launch JSAM for this URL: El IVE no descarga Java Secure
Application Manager al cliente para la URL solicitada. Esta opcin es til si
desea desactivar temporalmente el inicio automtico de JSAM para las URL
especificadas.
546
Especificacin de los servidores de aplicaciones a los cuales los usuarios pueden

tener acceso

con perfiles de recursos de JSAM, ya que estos proporcionan un mtodo de
Definicin de perfiles de recursos: JSAM en la pgina 535.
Cuando habilita la caracterstica de acceso de Secure Application Manager para
un rol, debe crear directivas de recursos que especifiquen los servidores de
aplicaciones a los que puede obtener acceso un usuario. Estas directivas se aplican
a la versin Java y a la versin Windows de Secure Application Manager (JSAM y
WSAM respectivamente). Cuando un usuario realiza una solicitud a un servidor de
aplicaciones, el IVE evala estas directivas de recursos de SAM. Si el IVE hace
coincidir una peticin de un usuario con un recurso que aparece en una directiva de
SAM, el IVE realiza la accin especificada para el recurso.
Al escribir una directiva de recurso de SAM, deber proporcionar informacin clave:

que se aplica la directiva. Al escribir una directiva de SAM, debe especificar los
servidores de aplicaciones a los que un usuario se puede conectar.
aplican al rol y evala estas directivas que corresponden a la solicitud. Las
directivas de recursos de SAM se aplican a las solicitudes de los usuarios
realizadas a travs de la versin JSAM o WSAM.
Acciones: Una directiva de recursos de Secure Application Manager permite

o rechaza el acceso a un servidor de aplicaciones.

Para escribir una directiva de recursos de Secure Application Manager:
Access.
2. En la pgina Secure Application Manager Policies, haga clic en New Policy.
a.
b.
547
4. En la seccin Resources, especifique los servidores de aplicaciones a los que se

aplica esta directiva.
directiva slo a los usuarios que estn asignados a roles en la lista Selected
roles. Asegrese de agregar funciones a esta lista desde la lista Available
roles.
Allow socket access: Elija esta opcin para otorgar acceso a los servidores
Deny socket access: Elija esta opcin para denegar acceso a los servidores
Use Detailed Rules: Elija esta opcin para especificar una o ms reglas
detalladas para esta directiva. Para obtener ms informacin, consulte
Escritura de una regla detallada en la pgina 109.

8. En la pgina Secure Application Manager Policies, ordene las directivas en el
IVE compara el recurso solicitado por el usuario con un recurso en una lista
Especificacin de opciones JSAM a nivel de recurso

Use la ficha Options para especificar la opcin de recurso de SAM para comparar
direcciones IP con nombres de host especificados como recursos en sus directivas
de recursos de SAM. Cuando habilita esta opcin, el IVE busca las direcciones IP
correspondientes a cada nombre de host especificado en una directiva de recursos
de SAM. Cuando un usuario intenta obtener acceso a un servidor especificando una
especificados en el campo Resources de cada directiva de recursos de SAM. El IVE
aplica la opcin a su lista integral de nombres de host.
y parmetros.
548
Para especificar la opcin de recursos de SAM:

Options.
2. Seleccione IP based matching for Hostname based policy resources. Cuando
habilita esta opcin, el IVE busca las direcciones IP correspondientes a cada
nombre de host especificado en una directiva de recursos de Secure Application
Manager. Cuando un usuario intenta obtener acceso a un servidor
especificando una direccin IP en lugar de un nombre de host, el IVE compara
la IP con su lista en cach de direcciones IP para determinar si un nombre de
host coincide con una IP. Si coinciden, el IVE acepta la coincidencia como
una coincidencia de directiva y aplica la accin especificada para la directiva
de recursos.
549
550
Captulo 21
Telnet/SSH
La opcin Telnet/SSH permite que los usuarios se conecten a host de servidores
internos de modo transparente usando los protocolos de Telnet o que se
comuniquen sobre una sesin encriptada de Secure Shell (SSH) mediante una
emulacin de sesin de terminal basada en Web. Esta caracterstica admite las
siguientes aplicaciones y protocolos:
Protocolos de red: Los protocolos de red admitidos incluyen Telnet y SSH.
Ajustes de terminal: Los ajustes de terminal admitidos incluyen VT100, VT320,

derivados y bfer de pantalla.
Seguridad: Los mecanismos de seguridad admitidos incluyen seguridad

Web/cliente mediante seguridad SSL y host (como SSH si lo desea).
Puede crear marcadores de sesin de terminal segura que aparezcan en la pgina

de bienvenida de los usuarios asignados a un rol especfico. Un marcador de sesin
de terminal define la informacin de una sesin de terminal para sesiones de Telnet
o SSH que los usuarios pueden iniciar. Estas sesiones otorgan acceso a los usuarios
a una variedad de dispositivos de red, incluidos servidores UNIX, dispositivos de
redes y otras aplicaciones heredades que utilizan las sesiones de terminal. El IVE
admite las versiones de SSH V1 y V2 y usa las siguientes versiones de SSH:
OpenSSH_2.9.9p1, protocolos SSH 1.5/2.0 y OpenSSL 0x0090607f.
NOTA: Al comunicarse sobre una sesin encriptada de Secure Shell (SSH), tenga en
cuenta que la caractersticas Telnet/SSH no admite el uso de la combinacin de

caracteres ^J. (Algunas aplicaciones usan esta combinacin de caracteres para
justificar el texto). Si desea usar esta combinacin de caracteres, recomendamos
que busque un applet de Java que la admita y cargue ese applet mediante el IVE
usando la caracterstica de applets de Java hospedados.
Esta seccin contiene la siguiente informacin sobre Telnet/SSH:
Licencia: Disponibilidad de Telnet/SSH en la pgina 552
Resumen de tareas: Configuracin de la caracterstica Telnet/SSH en la

pgina 552
Definicin de perfiles de recursos: Telnet/SSH en la pgina 553
Definicin de los ajustes de rol: Telnet/SSH en la pgina 556
Definicin de directivas de recursos: Telnet/SSH en la pgina 559
551
Licencia: Disponibilidad de Telnet/SSH

Si usar un dispositivo SA-700, debe instalar una licencia de actualizacin de Acceso
sin clientes de ncleo para obtener acceso a la caracterstica Telnet/SSH.
Resumen de tareas: Configuracin de la caracterstica Telnet/SSH

Para configurar la caracterstica Telnet/SSH:
1. Cree perfiles de recursos que permitan el acceso a los servidores de Telnet y
SSH, incluyan marcadores que se vinculen a esos servidores y asignen los
marcadores a funciones de usuarios usando los ajustes de la pgina Users >
Resource Profiles > Telnet/SSH de la consola de administracin.
Recomendamos que use los perfiles de recursos para configurar Telnet/SSH
(segn se describe con anterioridad). Sin embargo, si no desea usar los perfiles
de recursos, puede configurar Telnet/SSH usando los ajustes de la directiva de
rol y recursos en las siguientes pginas de la consola de administracin:
a.
Crear directivas de recursos que permitan el acceso a los servidores Telnet

y SSH usando los ajustes de la pgina Users > Resource Policies >
Telnet/SSH > Sessions de la consola de administracin.
b.
Determinar qu funciones de usuario pueden obtener acceso a los

servidores Telnet y SSH que desea dejar en nivel intermedio, y permitir el
acceso de Telnet/SSH a dichas funciones mediante la pgina Users > User
Roles > Seleccionar rol > General > Overview de la consola de
administracin.
c.
Crear marcadores para sus servidores de Telnet y SSH usando los ajustes de
la pgina Users > User Roles > Seleccionar rol > Telnet/SSH > Access
2. Despus de configurar Telnet/SSH mediante los perfiles de recursos o las

directivas de funciones y recursos, puede modificar las opciones generales de
funciones y recursos de las pginas siguientes de la consola de administracin:
552
a.
(Opcional) Permitir que los usuarios creen sus propias conexiones a las
sesiones de Telnet y SSH usando los ajustes de la pgina Users > User
Roles > Seleccionar rol > Telnet/SSH > Options de la consola de
administracin.
b.
(Opcional) Permitir que el IVE haga coincidir las direcciones IP con los
nombres de host y inhabilite la opcin de marcadores con permiso
automtico usando los ajustes de la pgina Users > Resource Policies >
Telnet/SSH > Options de la consola de administracin.
Licencia: Disponibilidad de Telnet/SSH
Captulo 21: Telnet/SSH
Definicin de perfiles de recursos: Telnet/SSH

El perfil de recursos de Telnet/SSH es un perfil de recursos que permite que los
usuarios se conecten a hosts de servidores internos de modo transparente usando
los protocolos de Telnet o que se comuniquen sobre una sesin encriptada de
Secure Shell (SSH) mediante una emulacin de sesin de terminal basada en Web.
Para crear un perfil de recursos de Telnet/SSH:
1. Dirjase a la pgina Users > Resource Profiles > Telnet/SSH en la consola de
administracin.
3. En la lista Type, especifique el tipo de sesin (Telnet o SSH) para este perfil
de recursos.
recursos. (Este nombre ser el nombre predeterminado del marcador.)
5. En el campo Host, introduzca el nombre o la direccin IP del servidor al que
debe conectarse este perfil de recursos. Para obtener informacin sobre las
variables y atributos del sistema que puede incluir en este campo, consulte
Uso de variables del sistema en territorios, roles y directivas de recursos en la
pgina 1054.
Telnet/SSH access to this server para permitir el acceso al servidor
especificado en el paso anterior (habilitado De forma predeterminada).
7. En el campo Port, introduzca el puerto en el que IVE debe conectarse al
servidor. (De forma predeterminada, el IVE llena este campo con el nmero de
puerto 23 si selecciona Telnet y con el nmero de puerto 22 si selecciona SSH.)
8. Si desea aprobar las credenciales de usuario en el servidor, introduzca un
nombre de usuario esttico, la variable <username> u otra variable de sesin
apropiada para IVE en el campo Username. (Se requiere para sesiones de SSH.)
y haga clic en Add.
Las funciones seleccionadas heredan la directiva automtica y los marcadores
creados por el perfil de recursos. Si an no est habilitado, el IVE habilita
automticamente la opcin Telnet/SSH en la pgina Users > User Roles >
Seleccionar rol > General > Overview de la consola de administracin para
todas las otras funciones que seleccione.
Definicin de perfiles de recursos: Telnet/SSH 553

Definicin de un marcador de perfil de recursos de Telnet/SSH en la
pgina 554. (De forma predeterminada, el IVE crea un marcador en el servidor
definido en el campo Host y lo muestra a todos los usuarios asignados al rol
especificado en la ficha Roles.)
Definicin de un marcador de perfil de recursos de Telnet/SSH

Al crear un perfil de recursos de Telnet/SSH, el IVE crea automticamente un
marcador que se vincula con el host que especific en el perfil de recursos. El IVE le
permite modificar este marcador y crear marcadores adicionales en el mismo host.
NOTA: Al configurar marcadores, tenga en cuenta que:
Para cambiar el host, puerto o nombre de usuario de un marcador de

Telnet/SSH creado mediante un perfil de recursos, debe editar los valores
usando la ficha Resource del perfil de recursos (no su ficha Bookmark).
usuarios, no los recursos a los que los usuarios pueden obtener acceso. Por
ejemplo, si habilita el acceso a un servidor de Telnet mediante un perfil de
recursos, pero no crea un marcador correspondiente en ese servidor, aun as
el usuario puede obtener acceso al servidor introducindolo en el campo
Address de la pgina principal de IVE.
Asegrese de introducir un conjunto nico de parmetros al definir un

marcador de Telnet/SSH. Si crea dos marcadores que contienen el mismo
conjunto de parmetros, el IVE elimina uno de los marcadores de la vista del
usuario final. An podr ver ambos marcadores, pero en la consola del
administrador.
Para asociar marcadores con los perfiles de recursos de Telnet/SSH:
554
a.
Dirjase a la pgina Users > Resource Profiles > Telnet/SSH >

Seleccionar perfil de recurso > Bookmarks en la consola de administracin.
b.

Definicin de perfiles de recursos: Telnet/SSH

a.
Dirjase a la pgina Users > User Roles > Seleccionar rol > Telnet/SSH >
Sessions en la consola de administracin.
b.
Haga clic en Add Session.
c.
En la lista Type, elija Telnet/SSH Resource Profile. (El IVE no muestra esta
opcin si no ha creado un perfil de recursos de Telnet/SSH.)
d. Seleccione un perfil de recursos existente. (El IVE llena automticamente

los campos Host y Port usando los ajustes del perfil de recursos
seleccionado.)
e.

f.
Si este rol an no ha sido asociado con el perfil de recursos seleccionado, el

IVE muestra un mensaje informativo. Si ve este mensaje, haga clic en Save
NOTA: Al crear un marcador de perfil de recursos mediante la pgina de funciones

de usuario (en lugar de la pgina de perfiles de recursos estndar), el IVE slo
asocia el marcador generado con el rol seleccionado. El IVE no asigna el marcador
con todos los roles asociados con el perfil de recursos seleccionado.

3. Si desea cambiar el tamao de fuente en la ventana de visualizacin del
servidor, elija una de las siguientes opciones de la seccin Font Size:
Fixed size of _ pixels: Introduzca un tamao de 8 a 36 pxeles. (De forma

predeterminada, el IVE establece el tamao de fuente en 12.)
Resize to fit window: Cambia dinmicamente el tamao de fuente a

medida que cambia el tamao de la ventana. Esta opcin requiere Internet
Explorer. (Habilitado de forma predeterminada).
4. Si desea cambiar el tamao de la ventana de visualizacin del servidor,

seleccione una opcin de la lista desplegable Screen Size. (De forma
predeterminada, el IVE establece el tamao de la ventana en 80 caracteres
por 24 filas.)
Definicin de perfiles de recursos: Telnet/SSH 555
5. Si desea cambiar el nmero de filas que la ventana del servidor muestra

durante el desplazamiento, cambie el valor en el campo Screen Buffer
(De forma predeterminada, el IVE establece el bfer en 100 filas.)


Definicin de los ajustes de rol: Telnet/SSH

Puede usar dos mtodos distintos para crear los marcadores de la sesin de
Telnet/SSH:
Crear marcadores mediante los perfiles de recursos existentes

(recomendado): Cuando selecciona este mtodo, el IVE llena automticamente
el marcador con los parmetros clave (como el host, puerto, nombre de usuario
y tipo de sesin) usando los ajustes del perfil de recursos. Adems, mientras
crea el perfil de recursos asociado, el IVE lo gua a travs del proceso de
creacin de cualquier directiva necesaria para habilitar el acceso al marcador.
Para obtener instrucciones sobre la configuracin, consulte Definicin de un
marcador de perfil de recursos de Telnet/SSH en la pgina 554.

Adems, debe habilitar el acceso a la caracterstica Telnet/SSH y crear directivas
de recursos que permitan el acceso a los servidores definidos en el marcador
(como se explica en Resumen de tareas: Configuracin de la caracterstica
Telnet/SSH en la pgina 552). Para obtener instrucciones sobre la
configuracin, consulte Creacin de marcadores de sesin avanzada en la
pgina 557.
NOTA: Si habilita la opcin Telnet/SSH, pero no otorga a los usuarios la capacidad

de crear sus propios marcadores, asegrese de configurar los marcadores de
sesin para ellos. De lo contrario, los usuarios no podrn usar esta caracterstica.
Esta seccin contiene la siguiente informacin sobre la definicin de marcadores

y los ajustes de nivel de rol para los recursos de Telnet/SSH:
556
Creacin de marcadores de sesin avanzada en la pgina 557
Configuracin de las opciones generales de Telnet/SSH en la pgina 558
Creacin de marcadores de sesin avanzada


de Telnet y SSH mediante los perfiles de recursos, dado que proporcionan un
consulte Definicin de perfiles de recursos: Telnet/SSH en la pgina 553.
Para crear un marcador para sesiones de terminal seguro:
1. Elija Users > User Roles > Seleccionar rol > Telnet/SSH > Sessions en la
2. Haga clic en Add Session. Se carga la pgina New Telnet/SSH Session.
3. En la lista Type, elija Standard. (El IVE slo muestra la lista Type si ha creado un
perfil de recursos de Telnet/SSH.)
4. Introduzca un nombre y una descripcin del marcador para la nueva sesin de
Telnet/SSH (opcional). Si especifica un nombre y una descripcin del marcador,
esta informacin aparece en la pgina Terminal Sessions.
5. Introduzca el nombre o la direccin IP del host remoto para esta sesin en el
campo Host. Para obtener informacin sobre las variables y atributos del
sistema que puede incluir en este campo, consulte Uso de variables del
sistema en territorios, roles y directivas de recursos en la pgina 1054.
6. Seleccione Session Type, Telnet o SSH Secure Shell y especifique el puerto si
no es el mismo de la asignacin de puerto llenada previamente.
7. Proporcione un nombre de usuario o use la variable <username> u otra variable
de sesin apropiada para IVE.
8. Especifique Font Size seleccionando una de las siguientes opciones:
Fixed size of _ pixels: Introduzca un tamao de 8 a 36 pxeles.
Resize to fit window: Cambia dinmicamente el tamao de fuente

a medida que cambia el tamao de la ventana. Esta opcin requiere
Internet Explorer.
9. Seleccione el Screen Size usando la lista desplegable.

10. Especifique el tamao del Screen Buffer.
557
NOTA:
Adems de crear marcadores para sesiones de terminal seguro, debe crear

una directiva de recursos que permitan las sesiones de Telnet/SSH para el rol
o habilitar Auto-allow role Telnet/SSH sessions en la ficha Telnet/SSH >
Options para permitir el acceso automtico a los recursos definidos en el
marcador de la sesin.
Asegrese de introducir un conjunto nico de parmetros definiendo un

marcador de Telnet/SSH. Si crea dos marcadores que contienen el mismo
conjunto de parmetros, el IVE elimina uno de los marcadores de la vista
del usuario final. An podr ver ambos marcadores, pero en la consola del
administrador.
Configuracin de las opciones generales de Telnet/SSH

Puede permitir que los usuarios creen sus propios marcadores de Telnet/SSH,
naveguen hasta una sesin de terminal y configuren el IVE para crear directivas de
recursos de Telnet/SSH que permitan el acceso a los servidores especificados en los
marcadores de sesin.
Cuando permite que los usuarios naveguen hasta una sesin de terminal, tenga en
cuenta que pueden usar dos mtodos diferentes:
Usar la pgina principal del IVE: Los usuarios pueden introducir el servidor
y el puerto al que quieren obtener acceso en el campo Address de la pgina
principal del IVE. Los formatos vlidos para la URL son:
Telnet://host:port
SSH://host:port
Por ejemplo: Telnet://terminalserver.yourcompany.com:3389
Usar la barra de direcciones del explorador Web: Los usuarios pueden

introducir el servidor y el puerto al que quieren obtener acceso (y los
parmetros de sesin como el tamao de fuente y de ventana) en las barras
de direccin de sus exploradores Web usando el protocolo Web estndar.
Por ejemplo:
https://iveserver/dana/term/newlaunchterm.cgi?protocol=telnet&host=termsrv.yo
urcompany.com&port=23&username=jdoe&fontsize=12&buffer=800&size=80x25
558
Para especificar las opciones generales de Telnet/SSH:

Telnet/SSH > Options.
2. Habilite User can add sessions para permitir que los usuarios definan sus
propios marcadores de sesin y que naveguen hasta una sesin de terminal
usando la sintaxis telnet://, ssh:// y /dana/term/newlaunchterm.cgi syntax.
Cuando habilite esta opcin, aparecer el botn Add Terminal Session en la
pgina Terminal Sessions la prxima vez que el usuario actualice la pgina de
bienvenida del IVE.
3. Habilite Auto-allow role Telnet/SSH sessions para permitir que el IVE otorgue
acceso automtico a los recursos definidos en el marcador de la sesin (en
lugar de tener que crear directivas de recursos). Tenga en cuenta que slo se
aplica a los marcadores de rol, no a los marcadores de usuario.

pgina 722.
Definicin de directivas de recursos: Telnet/SSH

Cuando habilita la caracterstica de acceso de Telnet/SSH para un rol, debe crear
directivas de recursos que especifiquen los servidores remotos a los que puede
obtener acceso un usuario. Si el IVE coincide con la solicitud de un usuario para
un recurso que aparece en una directiva de Telnet/SSH, el IVE realiza la accin
especificada para el recurso.
Cuando escriba una directiva de recursos de Telnet/SSH, debe proporcionar la
informacin clave:
Recursos: Una directiva de recursos debe especificar uno o ms recursos

en los que se aplica la directiva. Al escribir una directiva de Telnet/SSH, debe
especificar los servidores remotos a los que un usuario se puede conectar.
Acciones: Una directiva de recursos de Telnet/SSH permite o rechaza el acceso

a un servidor.
559
El motor del IVE que evala las directivas de recursos requiere que los recursos que
aparecen en una lista Resources de la directiva sigan un formato cannico, como se
explica en Especificacin de los recursos para una directiva de recursos en la
pgina 103.
Esta seccin contiene la siguiente informacin sobre la definicin de las directivas
de recursos de Telnet/SSH:
Escritura de las directivas de recursos de Telnet/SSH en la pgina 560
Coincidencia de direcciones IP con nombres de host en la pgina 561
Escritura de las directivas de recursos de Telnet/SSH


de Telnet y SSH mediante los perfiles de recursos, dado que proporcionan un
consulte Definicin de perfiles de recursos: Telnet/SSH en la pgina 553.
Para escribir una directiva de recursos de Telnet/SSH:
Telnet/SSH > Access.
2. En la pgina Telnet/SSH Policies, haga clic en New Policy.
a.
b.
4. En la seccin Resources, especifique los servidores a los que se aplica esta

directiva usando las indicaciones descritas en Especificacin de los recursos
para una directiva de recursos en la pgina 103.
560
Policy applies to ALL roles: Use este campo para aplicar esta directiva
Policy applies to SELECTED roles: Use este campo para aplicar esta
directiva slo a los usuarios que estn asignados a funciones en la lista
Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Policy applies to all roles OTHER THAN those selected below: Use este
campo para aplicar esta directiva a todos los usuarios excepto aquellos a
quienes asigne a las funciones en la lista Selected roles. Asegrese de
agregar funciones a esta lista desde la lista Available roles.
Allow access: Use este campo para otorgar acceso a los servidores
especificados en la lista Resources.
Deny access: Use este campo para denegar el acceso a los servidores
Use Detailed Rules: Use este campo para especificar una o ms reglas
detalladas para esta directiva. Consulte Escritura de una regla detallada
en la pgina 109 en la pgina 220 para obtener ms informacin.

8. En la pgina Telnet/SSH Policies, ordene las directivas en el orden en el que
Coincidencia de direcciones IP con nombres de host

Puede configurar Telnet/SSH para que las direcciones IP coincidan con los nombres
de host especificados como recursos en sus directivas de recursos de Telnet/SSH.
Cuando habilita esta opcin, el IVE busca las direcciones IP correspondientes a cada
nombre de host especificado en una directiva de recursos de Telnet/SSH. Cuando
un usuario intenta obtener acceso a un servidor especificando una direccin IP en
direcciones IP para determinar si un nombre de host coincide con una IP. Si
coinciden, el IVE acepta la coincidencia como una coincidencia de directiva y aplica
la accin especificada para la directiva de recursos.
especificados en el campo Resources de cada directiva de recursos de Telnet/SSH.
El IVE aplica la opcin a su lista integral de nombres de host.
y parmetros.
Para especificar la opcin de recursos de Telnet/SSH:

Telnet/SSH > Options.
2. Seleccione IP based matching for Hostname based policy resources. El IVE
busca la direccin IP correspondiente a cada nombre de host especificado en
una directiva de recursos de Telnet/SSH. Cuando un usuario intenta obtener
acceso a un servidor especificando una direccin IP en lugar de un nombre
de host, el IVE compara la IP con su lista en cach de direcciones IP para
determinar si un nombre de host coincide con una IP. Si coinciden, el IVE
acepta la coincidencia como una coincidencia de directiva y aplica la accin
especificada para la directiva de recursos.
561
562
Captulo 22
Terminal Services
Use la caracterstica Terminal Services para habilitar sesiones de emulacin
de terminal en servidores de terminal Windows, NFuse de Citrix o MetaFrame
de Citrix.
Este tema contiene la siguiente informacin sobre Terminal Services:
Licencia: Disponibilidad de Terminal Services en la pgina 563
Resumen de tareas: Configuracin de la caracterstica Terminal Services en la

pgina 564
Vista general de Terminal Services en la pgina 565
Definicin de perfiles de recursos: Vista general de Terminal Services en la

pgina 570
Definicin de perfiles de recursos: Windows Terminal Services en la

pgina 572

(ICA predeterminado) en la pgina 583

(ICA personalizado) en la pgina 591
Definicin de perfiles de recursos: Lista de aplicaciones Citrix en la

pgina 594
Definicin de los ajustes de rol: Terminal Services en la pgina 599
Definicin de directivas de recursos: Terminal Services en la pgina 615
Licencia: Disponibilidad de Terminal Services

Las caractersticas de Terminal Services (Terminal Services de Windows y Citrix) no
estn disponibles en el dispositivo SA 700.
Licencia: Disponibilidad de Terminal Services
563
Resumen de tareas: Configuracin de la caracterstica Terminal

Services
Para configurar la caracterstica Terminal Services:
1. Cree perfiles de recursos que permitan el acceso a los servidores de terminal de
Windows o servidores Citrix, incluya marcadores de sesin que enlacen a esos
servidores y asigne marcadores de sesin a los roles de usuario usando los
ajustes en la pgina Users > Resource Profiles > Terminal Services de la
Recomendamos que use los perfiles de recursos para configurar los servicios de
terminal (segn se describe aqu). Sin embargo, si no desea usar los perfiles de
recursos, puede configurar la caracterstica Terminal Services usando ajustes de
directivas de rol y recursos en las siguientes pginas de la consola de
administracin:
a.
Cree directivas de recursos que permitan el acceso a los servidores de

terminal de Windows y servidores Citrix usando los ajustes de la pgina
Users > Resource Policies > Terminal Services > Access de la consola de
administracin. Para obtener instrucciones, consulte Especificacin de la
opcin de recursos de Terminal Services en la pgina 617.
b.
Determine qu roles de usuario pueden tener acceso a los servidores

de terminal de Windows y servidores Citrix que desea usar como
intermediario y luego habilite el acceso a Terminal Services para esos roles
a travs de la pgina Users > User Roles > Seleccionar rol > General >
Overview de la consola de administracin.
c.
Cree marcadores de sesin a sus servidores de terminal de Windows y

servidores Citrix usando la pgina Users > User Roles > Seleccionar rol >
Terminal Services > Sessions de la consola de administracin. Para
obtener instrucciones, consulte Definicin de los ajustes de rol: Terminal
Services en la pgina 599.
2. (Opcional) Modifique las opciones de roles y recursos generales despus de

configurar los servicios de terminal mediante los perfiles, roles o directivas de
recursos. Use las siguientes pginas de la consola de administracin:
a.
564
(Opcional) Habilite a los usuarios para que definan sus propias sesiones de
los servicios de terminal, especifique los dispositivos locales a los que los
usuarios se pueden conectar y establezca opciones de visualizacin y
rendimiento usando los ajustes de la pgina Users > User Roles >
Seleccionar rol > Terminal Services > Options de la consola de
administracin. Para obtener instrucciones, consulte Especificacin de las
opciones generales de Terminal Services en la pgina 612. Si elige
habilitar a los usuarios para que definan sus propias sesiones de servicios
de terminal, tambin deber crear las directivas de recursos o los perfiles
de recursos correspondientes que permitan el acceso a los recursos
especificados, como se explic anteriormente en este tema.
Resumen de tareas: Configuracin de la caracterstica Terminal Services
Captulo 22: Terminal Services
b.
(Opcional) Cree enlaces a una sesin de servicios de terminal en el IVE que

los usuarios pueden tener acceso desde un sitio Web externo. Para obtener
instrucciones, consulte Creacin de enlaces desde un sitio externo a un
marcador de sesin de Terminal Services en la pgina 608.
c.
(Opcional) Habilite la IVE para que coincida las direcciones IP y los

nombres de los host usando los ajustes de la pgina Users > Resource
Policies> Terminal Services > Options de la consola de administracin.
3. (Slo en Citrix) Especifique dnde el IVE debe obtener el cliente Citrix para
cargarlo a los sistemas de los usuarios a travs de los ajustes de la pgina
Users > User Roles > Seleccionar rol > Terminal Services > Options de la
consola de administracin. Para obtener instrucciones, consulte Especificacin
de las opciones generales de Terminal Services en la pgina 612.
Adicionalmente, si especifica que el IVE debe obtener un cliente Citrix desde un
sitio Web externo, debe:
a.
Crear una directiva de recursos de acceso Web que permita el acceso al

sitio Web donde reside el cliente de Citrix a travs de los ajustes de la
pgina Users > Resource Policies > Web > Access > Web ACL de la
consola de administracin. Para obtener instrucciones, consulte
b.
Crear una directiva de creacin de cach de Web a travs de los ajuste de

la pgina Users > Resource Policies > Web > Caching de la consola de
administracin para que el navegador del usuario puede entregar el cliente
Citrix. (Tenga en cuenta que debe seleccionar la opcin Unchanged (do
not add/modify caching headers).) Para obtener instrucciones, consulte
Escritura de una directiva de recursos de almacenamiento en cach en la
pgina 434.

Use la caracterstica Terminal Services para habilitar una sesin de emulacin de
terminales en servidores de terminal Windows, servidores Citrix NFuse o servidores
Citrix MetaFrame. Tambin se puede usar esta caracterstica para ofrecer los
servicios de terminal a travs del IVE, lo que elimina la necesidad de usar otro
servidor Web para albergar a los clientes.
NOTA: El IVE admite varios mecanismos para la intermediacin de trfico entre un

Connect y las caractersticas de applets de Java hospedados. Para determinar qu
mecanismo funciona mejor con su entorno, consulte Comparacin de los
mecanismos de acceso del IVE para la configuracin de Citrix en la pgina 362.
Este tema incluye la siguiente informacin sobre la caracterstica Terminal Services:
Experiencia del usuario de Terminal Services en la pgina 566
Ejecucin de Terminal Services en la pgina 567
Configuracin de Citrix para admitir el equilibrio de carga de ICA en la

pgina 568
565
Experiencia del usuario de Terminal Services

Desde la perspectiva del usuario final, el acceso a los recursos de servicios de
terminal seguro a travs del IVE es simple. Cuando habilite la caracterstica
Terminal Services para un rol de usuario, el usuario final simplemente deber
realizar las siguientes tareas:
1. Especificar el recurso al que el usuario desea obtener acceso: El usuario
puede especificar el recurso al que desea tener acceso haciendo clic en un
enlace o introduciendo el recurso en la barra de navegacin del IVE. O bien,
si habilita el inicio automtico para un marcador, el IVE automticamente
iniciar el recurso para el usuario cuando inicie sesin en el IVE.
2. Introducir las credenciales para el recurso: Cuando el usuario tiene acceso al
recurso, el IVE le solicita que introduzca su nombre de usuario y su contrasea
(si lo requiere el recurso). O bien, si habilita SSO, el IVE automticamente enva
esta informacin al recurso sin solicitrselo al usuario. Cuando el recurso
verifica las credenciales, el IVE inicia el recurso.
Los usuarios pueden obtener acceso a los recursos de los servicios de terminal
a travs de uno de los siguientes mtodos:
Marcadores de sesin: Un marcador de sesin define diversa informacin,

como el servidor al que se puede conectar el usuario, los parmetros de la
ventana de la sesin del terminal y el nombre de usuario y contrasea que el
IVE enva al servidor del terminal de Windows o al servidor MetaFrame. Puede
crear distintos marcadores de sesin para un rol, de modo que el usuario pueda
tener acceso a varios servidores usando marcadores de sesin diferentes para
cada uno. (Los usuarios pueden abrir de forma simultnea sesiones mltiples
en el mismo servidor del terminal o en servidores diferentes.)
Direcciones URL desde otros sitios Web: En la mayora de los casos, los
usuarios tienen acceso a los marcadores de la sesin directamente desde la
consola del usuario final del IVE. Si no desea requerir a los usuarios que inicien
sesin en la consola de usuario final del IVE para tener acceso a los enlaces de
los servicios de terminal, puede crear direcciones URL en otros sitios Web que
apunten a los marcadores de sesin que ya ha creado en el IVE. O bien, puede
crear direcciones URL que incluyan todos los parmetros que desea pasar al
programa Terminal Services, como los parmetros del host, de los puertos y de
la ventana del terminal.
NOTA: Si crea vnculos en servidores externos para marcadores de los servicios de
terminal en el IVE y usa varias URL de inicio de sesin personalizadas, es posible

que se presenten algunas restricciones. Consulte la nota en Directivas de inicio de
566
Barra de navegacin del IVE: Adems de permitir a los usuarios enlazar con
vnculos de los servicios de terminal a travs de marcadores y direcciones URL,
tambin puede habilitarlos para que tengan acceso a estos recursos a travs de
la barra de navegacin del IVE en los sistemas Windows. Los usuarios pueden
obtener acceso a los servidores Citrix MetaFrame o NFuse introduciendo
ica://hostname en la casilla de navegacin. O bien, los usuarios pueden obtener
acceso a los servicios de terminal de Microsoft o a las sesiones de escritorio
introduciendo rdp://hostname en la casilla de navegacin.
Ejecucin de Terminal Services

Cuando un usuario intenta obtener acceso a un recurso de servicios de terminal,
el IVE completa los siguientes pasos para iniciar e intermediar la sesin de servicios
de terminal:
1. El IVE busca un cliente Java.
Para habilitar una sesin de servicios de terminal, el usuario necesita un cliente
RDP en su sistema (para tener acceso a un servidor de terminal de Windows)
o en un cliente ICA (para tener acceso a un servidor Citrix MetaFrame o las
granjas de terminales). Estos clientes vienen en las versiones de Windows y
Java y le permiten al usuario ejecutar una aplicacin en el servidor mientras
slo transmite informacin del teclado, mouse y pantalla sobre la red.
El IVE le permite cargar una versin de Java del cliente RDP o ICA a travs del
perfil de recursos de los servicios de terminal (pero no el rol). Si ha cargado un
cliente al IVE y especificado que el IVE siempre lo utilice para ejecutar las
sesiones de terminal de sus usuarios, el IVE inicia el cliente Java especificado.
2. (slo Citrix) De ser necesario, el IVE busca un cliente Windows.
Si no ha actualizado un cliente Java al IVE, el IVE busca una versin para
Windows del cliente ICA. Si el IVE no puede encontrar un cliente ICA para
Windows, instala la versin que usted especifique en la pgina Users > User
Roles > Rol >Terminal Services > Options de la consola de administracin del
IVE.
3. El IVE busca el proxy de los servicios de terminal.
Para intermediar una sesin de Windows o Citrix, el usuario necesita un proxy
de Terminal Services de Windows de Juniper en sus sistemas o un proxy de
Citrix Terminal Services Juniper Networks. El IVE busca el proxy apropiado
en el equipo del usuario y, si no puede encontrarlo, instala uno nuevo.
Dependiendo de los derechos del usuario, el IVE usa un componente ActiveX
o un componente Java para instalar el proxy.
4. El proxy intenta invocar el cliente Windows.
Cuando el IVE confirma que hay un proxy instalado en el equipo del usuario,
el proxy intenta invocar el cliente RDP o ICA para Windows. Si lo logra,
el cliente inicia la sesin de servicios de terminal del usuario y el proxy
intermedia el trfico de la sesin.
5. El proxy intenta invocar el cliente Java.
Si no hay un cliente Windows en el equipo del usuario (por ejemplo, debido
a que se elimin o a que el usuario no tiene los privilegios adecuados para
instalarlo), pero usted ha cargado uno al IVE a travs del perfil de recursos de
servicios de terminal, el IVE usa el applet de Java cargado para iniciar la sesin.
567
Como parte de la instalacin, el IVE le preguntar al usuario si desea usar

siempre el cliente Java o slo para esta sesin. El IVE luego almacena la
preferencia del usuario como una cookie persistente. Cuando el cliente Java
est instalado, el cliente inicia la sesin de servicios de terminal del usuario
y el proxy intermedia el trfico de la sesin.
NOTA:
Para obtener ms informacin acerca de los archivos especficos que instala

el IVE cuando habilita la caracterstica Terminal Services, adems de los
derechos necesarios para instalar y ejecutar los clientes asociados,
consulte el manual Client-side Changes Guide en Customer Support Center
de Juniper Networks.
Para obtener ms informacin acerca de cundo usar la caracterstica

Terminal Services u otros mecanismos de acceso del IVE para obtener acceso
a los recursos de Citrix, consulte Comparacin de los mecanismos de acceso
del IVE para la configuracin de Citrix en la pgina 362.
Configuracin de Citrix para admitir el equilibrio de carga de ICA

La caracterstica Terminal Services del IVE admite la conexin a granjas de
servidores Citrix en las que se configuran previamente las aplicaciones publicadas
(como se describe posteriormente en este tema). El IVE no admite configuraciones
de equilibro de carga en las que los servidores NFuse recuperan dinmicamente
una lista de las aplicaciones publicadas de Citrix dentro de una granja de servidores.
Vista general de equilibrio de carga de Citrix

El IVE admite los siguientes escenarios de equilibrio de carga de Citrix:
1. El administrador de Citrix pone una aplicacin publicada a disposicin de
los servidores Citrix mltiples en una granja al generar un archivo ICA
personalizado. El archivo ICA generado contiene un parmetro llamado
HTTPBrowserAddress que seala la direccin IP y el nmero de puerto del
navegador principal (es decir, el servidor que realiza el equilibrio de carga).
2. Cuando el cliente ICA intenta iniciar una aplicacin publicada en el equipo del
usuario, usa el parmetro HTTPBrowserAddress para conectarse con el
navegador principal.
3. El navegador principal ejecuta el comando ping hacia los servidores de la granja
para determinar sus cargas y devuelve al cliente ICA las direcciones IP de los
servidores menos ocupados.
4. El cliente ICA usa la direccin IP que regresa el navegador principal para
conectarse con el servidor de terminal adecuado.
568
Configuracin del equilibrio de carga de Citrix

Para que el IVE funcione adecuadamente con una granja Citrix, debe configurar
ambos de la forma en que se describe en los siguientes pasos. Tenga en cuenta
que estas instrucciones se basan en el uso de un servidor Citrix MetaFrame
Presentation 3.0.
1. En el servidor Citrix, habilite un servidor (o servidores mltiples) en su granja
como el navegador principal:
a.
Haga clic con el botn secundario en la granja MetaFrame y seleccione

Properties.
b.
Seleccione Metaframe Settings.
c.
Introduzca el puerto TCP/IP para el servicio Citrix XML.
2. En el servidor Citrix, publique las aplicaciones que estn almacenadas en los

servidores MetaFrame XP de la granja:
a.
Haga clic con el botn secundario en el enlace Applications y seleccione

Publish applications.
b.
Especifique qu escritorio o aplicacin va a publicar.
c.
Siga las instrucciones del asistente.
d. Especifique la lista de servidores que almacenan la aplicacin que est

publicando y haga clic en Finish.
La aplicacin publicada especificada aparece en la granja de servidores.
3. En el servidor Citrix, cree un archivo ICA de Citrix correspondiente para la
aplicacin publicada:
a.
Seleccione la aplicacin que public en el paso 2 y seleccione Create

ICA file.
b.
Siga las instrucciones del asistente.
c.
En la pgina del servidor TCP/IP + HTTP, introduzca el nombre del

servidor HTTPBrowser y el nmero de puerto. (El puerto debe coincidir
con el puerto del Servicio Citrix XML que estableci en el paso 1.)
d. Guarde el archivo ICA.

4. En el IVE, cargue el archivo ICA usando los ajustes para archivo de cualquiera
de las siguientes pginas de la consola de administracin:
Users > User Roles > Seleccionar rol > Terminal Services > Sessions
Users > Resource Profiles > Seleccionar perfil
5. En el IVE, cree una directiva de recursos para el servidor HTTPBrowser y para

el puerto introducidos en el paso 3.
569
6. En el IVE, pruebe la configuracin mediante el inicio del marcado como un

usuario final.
NOTA:
Uno de los servidores Citrix de la granja debe realizar el equilibrio de cargas,

no el IVE.
Si el cliente ICA ya est instalado en el escritorio del usuario, entonces no se

necesita contar con derechos de administrador. Para obtener ms informacin
acerca de los derechos necesarios para usar la caracterstica Terminal
Services, consulte el manual Client-side Changes Guide en Customer Support
Center de Juniper Networks.
Si la respuesta XML del navegador principal contiene el nombre del host,

no funcionar a travs del IVE. Para asegurarse de que la respuesta sea en
formato de puntos y puertos (una direccin IP), desmarque la casilla de
verificacin Enable XML service DNS address resolution durante la
configuracin del servidor del navegador. Esta opcin controla si el servidor
Citrix de destino est representado como un nombre de host o como una
direccin IP.
Para obtener ms informacin acerca de cundo usar la caracterstica Terminal

Services u otros mecanismos de acceso del IVE para obtener acceso a los recursos
de Citrix, consulte Comparacin de los mecanismos de acceso del IVE para la
configuracin de Citrix en la pgina 362.
Definicin de perfiles de recursos: Vista general de Terminal Services

Las instrucciones para configurar los perfiles de recursos de Terminal Services son
distintas dependiendo de si desea configurar el acceso a un servidor de terminal
Windows (que requiere un cliente RDP) o a un servidor de terminal Citrix (que
requiere un cliente ICA). Adems, si elige configurar el acceso a un servidor Citrix
usando un archivo ICA personalizado, incluir varios de los ajustes de configuracin
en el mismo archivo ICA y, por lo tanto, no ser necesario que los configure a travs
del IVE. Sin embargo. si configura el acceso a un servidor Citrix usando el archivo
ICA predeterminado en el IVE, deber configurar ajustes adicionales a travs
del IVE.
Los siguientes temas incluyen informacin acerca de la configuracin del acceso
a servidores de terminal Windows y Citrix usando perfiles de recursos de servicios
de terminal:
570

pgina 572


Al crear alguno de estos tipos de perfiles de recursos, tenga en cuenta que tambin
puede crear marcadores de sesin de servicios de terminal. Un marcador de sesin
de servicios de terminal define la informacin del servidor de terminal a la que los
usuarios se pueden conectar y (opcionalmente) define las aplicaciones que ellos
pueden usar en el servidor de terminal. Cuando cree un perfil de recursos a un
servidor de terminal Windows o Citrix usando un archivo ICA predeterminado,
el IVE crea automticamente un marcador de sesin que enlaza al host que usted
especifica en el perfil de recursos. El IVE le permite modificar este marcador de
sesin y crear marcadores de sesin adicionales en el mismo host. Los marcadores
de sesin que usted define aparecen en el panel Terminal Services de la consola del
usuario final para los usuarios que asignan al rol correspondiente.
Puede crear marcadores mltiples para el mismo recurso de servicios de terminal
para proporcionar un acceso fcil a diversas aplicaciones. Por ejemplo, el servidor
definido en su perfil de recursos puede proporcionar acceso a diversas aplicaciones
(como Siebel y Outlook). Para proporcionar un acceso ms fcil a estas
aplicaciones, puede crear marcadores de perfiles de recursos para cada una.
O bien, puede usar marcadores mltiples para configurar el inicio de sesin nico
en una aplicacin pero no en otra.
NOTA: Al configurar marcadores de sesin, tenga en cuenta que:
Para cambiar el host o los puertos para un marcador de sesin de servicios de

terminal creado mediante un perfil de recursos, debe editar los valores usando
la ficha Resource del perfil de recursos (no su ficha Bookmark).
Slo puede asignar marcadores de sesin a roles que ya haya asociado con el
perfil de recursos, no a todas los roles definidos en el IVE. Para cambiar la lista
de roles asociados al perfil de recursos, utilice los parmetros de la ficha Roles.
Los marcadores de sesin simplemente controlan los vnculos que muestra

el IVE a los usuarios, no los recursos a los que los usuarios pueden obtener
acceso. Por ejemplo, si habilita el acceso a un servidor de terminal mediante
un perfil de recursos, pero no crea un marcador de sesin correspondiente en
ese servidor, aun as el usuario puede obtener acceso al servidor
introducindolo en la casilla Address de la pgina principal del IVE.

marcador de servicios de terminal. Si crea dos marcadores que contienen el
mismo conjunto de parmetros, el IVE elimina uno de los marcadores de la
vista del usuario final. An puede ver ambos marcadores, pero en la consola
de administracin.
571
Definicin de perfiles de recursos: Windows Terminal Services

Este tema describe cmo configurar un perfil de recursos de servicios de terminal
que permiten acceso a un servidor de terminal Windows usando un cliente RDP.
Para crear un perfil de recursos de servicios de terminal de Windows:
1. Seleccione la pgina Users > Resource Profiles > Terminal Services en la
2. Haga clic en New Profile. O bien, seleccione un perfil existente desde la lista.
3. Seleccione Windows Terminal Services desde la lista Type.
de recursos. (Este nombre ser el nombre predeterminado del marcador
de sesin.)
5. En el campo Host especifique el servidor y el puerto al que este perfil de
recurso se debe conectar. Para introducir el servidor, puede introducir un
nombre de host o una direccin IP. Consulte Uso de variables del sistema en
territorios, roles y directivas de recursos en la pgina 1054. Para obtener
informacin acerca de cmo emparejar direcciones IP y nombres de host,
consulte Especificacin de la opcin de recursos de Terminal Services en la
pgina 617.
6. En la casilla Server Port introduzca el puerto de recepcin del servidor de
terminal. (De forma predeterminada, el IVE agrega el puerto 3389 en esta
casilla.)
Terminal Service access to this server para permitir el acceso al servidor
especificado en la casilla Server Port (habilitada De forma predeterminada).
8. Si desea permitir la intermediacin usando un cliente Java, seleccione Enable
Java support y luego especifique qu cliente Java debe usar el IVE. Para obtener
informacin detallada, consulte Definicin de directivas automticas del
applet de Java hospedado en la pgina 573.
10. En la ficha Roles, seleccione roles a los que se aplica el perfil de recursos y haga
clic en Add.
Los roles seleccionados heredan la directiva automtica y los marcadores de
sesin creados por el perfil de recursos. En caso de no estar habilitada, el IVE
tambin activa automticamente la opcin Terminal Services en la pgina
de administracin para todos los roles que seleccione.
572

12. (Opcional) En la ficha Bookmarks, modifique el marcador de sesin
predeterminado creado por el IVE o cree marcadores nuevos siguiendo las
instrucciones de Definicin de un marcador para un perfil de servicios de
terminal de Windows en la pgina 575. De forma predeterminada, el IVE crea
un marcador en el servidor definido en la casilla Host y lo muestra a todos los
usuarios asignados al rol especificado en la ficha Roles.
Definicin de directivas automticas del applet de Java hospedado

Las directivas automticas del applet de Java hospedado le permiten almacenar
clientes Java de servicios de terminal directamente en el IVE sin tener que usar un
servidor Web separado para hospedarlos. Puede asociar estos applets de Java con el
perfil de recursos y especificar que el IVE siempre los utilice para intermediar el
trfico, o que el IVE recurra a los applets cuando no haya otro cliente de servicios
de terminal disponible en el sistema del usuario. Para obtener ms informacin
acerca de la forma en que los applets de Java hospedados funcionan y de las
restricciones que se aplican al configurarlos, consulte Plantillas de applets de Java
hospedados en la pgina 345.
NOTA: Aunque puede usar un applet de Java para intermediar el trfico a un
recurso con SSO habilitado, no lo recomendamos ya que es posible que el applet
requiera que se indique la contrasea del usuario como texto plano.
Para crear una directiva automtica de applet de Java hospedado:

1. Cree un perfil de recursos de servicios de terminal como se explica en las
siguientes secciones:

pgina 572


2. Seleccione Enable Java support dentro del perfil de recursos.
573
3. Seleccione el applet de Java que desea asociar con el perfil de recursos de la

lista Applet to use. O bien, si el applet que desea usar no se encuentra
disponible actualmente en la lista, haga clic en Edit Applet. Seguidamente:
a.
Haga clic en New Applet para agregar un applet a esta lista. O bien,
seleccione un applet existente y haga clic en Replace (para reemplazar un
applet existente con uno nuevo) o Delete (para eliminar un applet del IVE).
NOTA:
Si reemplaza un archivo existente, asegrese de que el nuevo archivo de

almacenamiento del applet contiene todos los archivos necesarios para que el
applet se inicie y ejecute correctamente. Si el HTML asociado con el applet se
refiere a archivos que no existen en el archivo de almacenamiento nuevo,
entonces el applet no funcionar correctamente.
El IVE slo permite que elimine applets que no se encuentran en uso por un
perfil de recursos Web o de servicios de terminal.
Si selecciona la opcin Enable Java support y tiene un archivo ICA

personalizado que carg al IVE, su archivo HTML se llena automticamente
con referencias a su archivo ICA. No se necesitan agregar cdigos HTML
adicionales.
b.
Introduzca un nombre para identificar el applet en la casilla Name. (Esto se

aplica slo para applets nuevos o reemplazados.)
c.
Busque el applet que desea cargar en el IVE. Puede cargar applets (archivos
.jar o .cab) o archivos de almacenamiento (archivos .zip, .jar y .tar) que
contengan applets y todos los recursos que los applets necesitan. (Esto se
aplica slo para applets nuevos o reemplazados.)
d. Si el archivo que selecciona es un archivo de almacenamiento que contiene

el applet, seleccione la casilla de verificacin Uncompress jar/cab file.
(Esto se aplica slo para applets nuevos o reemplazados.)
e.
Haga clic en OK y en Close Window.
NOTA: Cuando selecciona un applet en el cuadro de dilogo Java Applets, carga

software de terceros en el producto Juniper Network. Al hacer clic en OK, acepta
los siguientes trminos en su nombre (como comprador del equipo) o en nombre
de la organizacin que compr el producto Juniper, segn corresponda:
Al cargar software de terceros en el producto Juniper Networks, usted es

responsable de obtener todos los derechos necesarios para el uso, copia o
distribucin de dicho software en o con el producto Juniper Networks.
Juniper Networks no es responsable de ninguna obligacin que surja del uso
de dicho software de terceros y no brindar asistencia por ste. El uso de software
de terceros puede interferir con el funcionamiento adecuado del producto o
software Juniper Networks, lo que puede anular la garanta del producto o
software Juniper Networks.
574
4. Cree una definicin de pgina HTML en la casilla HTML que incluya referencias
para sus applets de Java. El tamao mximo del archivo HTML que se puede
especificar es 25k. A continuacin, llene todos los atributos y parmetros
requeridos usando las pautas de las siguientes secciones:
Atributos necesarios para los applets de Java cargados en la pgina 354
Parmetros necesarios para los applets de Java cargados en la pgina 356
Si usa un HTML generado por el IVE, asegrese de buscar en el cdigo HTML

para __PLEASE_SPECIFY__ y actualice el cdigo segn corresponda.
Tambin puede agregar cualquier cdigo HTML o JavaScript adicional que elija
a esta definicin de pgina Web. El IVE vuelve a introducir todo el cdigo que
introduzca en esta casilla.
NOTA: Asegrese de introducir un HTML nico en esta casilla. Si crea dos
marcadores que contienen el mismo cdigo HTML, el IVE elimina uno de los
marcadores de la vista del usuario final. An puede ver ambos marcadores,
pero en la consola de administracin.
5. Seleccione Use this Java applet as a fallback mechanism para usar este applet
slo cuando el cliente Windows no pueda iniciar. O bien, seleccione Always use
this Java applet para usar este applet sin importar si el cliente Windows inicia
o no.
Definicin de un marcador para un perfil de servicios de terminal de Windows

Cuando cree un perfil de recurso de servicios de terminal, el IVE crea
automticamente un marcador que se enlaza al servidor de terminal especificado
en el perfil de recurso. El IVE le permite modificar este marcador y crear
marcadores adicionales en el mismo servidor de terminal. (Para obtener ms
informacin y advertencias acerca de la configuracin de los marcadores de
servicios de terminal, consulte Definicin de perfiles de recursos: Vista general de
Terminal Services en la pgina 570.)
Para configurar marcadores de perfil de recursos para los servicios de terminal
de Windows:
1. Seleccione la pgina Users > Resource Profiles > Terminal Services >
Seleccionar perfil de recurso > Bookmarks en la consola de administracin.
modificar un marcador de sesin existente. O bien haga clic en New Bookmark
para crear un marcador de sesin adicional.
NOTA: Aunque por lo general es ms fcil crear un marcador de sesin de perfil
de recursos mediante la pgina de configuracin del perfil de recursos, tambin
puede elegir crear una con la pgina de roles de usuario. Para obtener
instrucciones, consulte Creacin de un marcador de Terminal Services de
Windows mediante la pgina User Roles en la pgina 577.
575
3. (Opcional) Cambie el nombre y la descripcin del marcador de sesin.

(De forma predeterminada, el IVE llena y nombra el marcador de sesin
con el nombre del perfil de recursos).
4. Especifique la forma en la que la ventana de emulacin del terminal debe
mostrarse al usuario durante una sesin de terminal mediante las opciones
de configuracin del rea Settings de la pgina de configuracin de los
marcadores. Consulte Definicin de las opciones de visualizacin para la
sesin de Terminal Services de Windows en la pgina 578.
5. Transmita las credenciales del usuario del IVE al servidor del terminal para que
los usuarios puedan iniciar sesin en el servidor del terminal sin tener que
introducir las credenciales de forma manual. Puede hacer esto mediante las
opciones de configuracin en el rea Session de la pgina de configuracin de
los marcadores. Consulte Definicin de las opciones de SSO para la sesin de
servicios de terminal de Windows en la pgina 578.
6. Otorgue a los usuarios acceso a aplicaciones especficas en el servidor del
terminal usando las opciones de configuracin en el rea Start Application de la
pgina de configuracin de los marcadores. Adems, puede usar los ajustes en
esta rea para definir las opciones de inicio automtico y de fiablilidad de la
sesin. Consulte Definicin de los ajustes de la aplicacin para la sesin de
7. Otorgue a los usuarios acceso a los recursos locales como impresoras
y unidades a travs de la sesin de terminal mediante las opciones de
configuracin del rea Connect Devices de la pgina de configuracin de los
marcadores. Consulte Definicin de las conexiones de dispositivo para la
sesin de servicios de terminal de Windows en la pgina 580.
de configuracin del rea Desktop Settings. Consulte Definicin de los ajustes
de escritorio para la sesin de servicios de terminal de Windows en la
pgina 582.
9. Especifique los roles para los que desea mostrar los marcadores de sesin si
configura el marcador de sesin mediante las pginas de perfiles de recursos,
en Roles:
ALL selected roles: Muestra el marcador de sesin a todos los roles

asociados con el perfil de recursos.
Subset of selected roles: Muestra el marcador de sesin a un subgrupo

de roles asociados con el perfil de recursos. Seleccione los roles de la lista
ALL Selected Roles y haga clic en Add para moverlos a la lista Subset of
selected roles.
576
Creacin de un marcador de Terminal Services de Windows mediante la

pgina User Roles
Por lo general, es ms fcil crear un marcador de servicios de terminal mediante las
pginas de configuracin de perfiles de recursos, como se explic anteriormente.
Sin embargo, puede elegir crear un marcador de sesin del perfil de recursos a
travs de la pgina de roles de usuario con las siguientes instrucciones:
1. Seleccione la pgina Users > User Roles > Seleccionar rol > Terminal
Services > Sessions en la consola de administracin.
2. Haga clic en Add Session.
3. Seleccione Terminal Services Resource Profile en la lista Type. (El IVE no
muestra esta opcin si no ha creado un perfil de recursos de servicios de
terminal.)
4. Seleccione un perfil de recursos existente que se conecte a un servidor de
terminal Windows en el IVE. (El IVE llena automticamente las casillas Host
y Server Port usando los ajustes del perfil de recursos seleccionado.)
6. Si este rol an no ha sido asociado con el perfil de recursos seleccionado,
el IVE muestra un mensaje informativo. Si ve este mensaje, haga clic en Save
continuacin, repita el paso anterior para crear el marcador de sesin.
NOTA: Al crear un marcador de sesin de perfil de recursos mediante la pgina de
roles de usuario (en lugar de la pgina de perfiles de recursos estndar), el IVE slo
asocia el marcador de sesin generado con el rol seleccionado. El IVE no asigna el
marcador de sesin con todos los roles asociados con el perfil de recursos
seleccionado.

(De forma predeterminada, el IVE llena los nombres que usa el marcador
de sesin con el nombre del perfil de recursos).
8. Use las instrucciones de los temas siguientes para configurar los ajustes
del marcador.
577
Definicin de las opciones de visualizacin para la sesin de Terminal

Services de Windows
Cuando configure un marcador de servicios de terminal, puede especificar la forma
en la que debe aparecer la ventana de emulacin a los usuarios durante sus
sesiones de terminal.
Para definir las opciones de visualizacin y de inicio automtico:
1. Cree un marcador de servicios de terminal o edite un marcador existente
siguiendo las instrucciones en Definicin de un marcador para un perfil de
2. Desplcese al rea Settings de la pgina de configuracin de los marcadores.
3. Seleccione una opcin desde la lista desplegable Screen Size si desea cambiar
el tamao de la ventana de los servicios de terminal en la estacin de trabajo
del usuario. (De forma predeterminada, el IVE establece el tamao de la
ventana en pantalla completa.)
NOTA: Si selecciona la opcin Full Screen y se conecta a un servidor de terminal

de Windows, el IVE deber modificar el archivo de los hosts del usuario para
mostrar el nombre de host correcto en la ventana de servicios de terminal. Si el
usuario no tiene los derechos correspondientes para modificar el archivo hosts,
el IVE mostrar la direccin de bucle invertido en su lugar.
Tenga en cuenta tambin que para restaurar el archivo hosts a su estado original
despus de ejecutar la ventana de servicios de terminal, el usuario debe cerrar
adecuadamente su aplicacin. De lo contrario, es posible que otras aplicaciones
que usan el archivo hosts (como JSAM y Host Checker) no funcionen
adecuadamente. El usuario tambin puede restaurar su archivo hosts a su estado
original al reiniciando el sistema o cambiando el nombre al archivo hosts de
respaldo (hosts_ive.bak).
4. Seleccione color de 8-bit, 15-bit, 16-bit, 24-bit o de 32-bit desde la lista Color
Depth si desea cambiar la profundidad del color de los datos de la sesin de
terminal. (De forma predeterminada, el IVE configura la profundidad del color
en 8 bits.)
Definicin de las opciones de SSO para la sesin de servicios de terminal

de Windows
Cuando configure un marcador de servicios de terminal, puede configurar el IVE
para que transmita las credenciales del usuario desde el IVE al servidor de terminal
para que el usuario no tenga que introducir manualmente su nombre de usuario
y contrasea. El IVE transmite las credenciales especificadas cuando un usuario
hace clic en el marcador de sesin. Si las credenciales no funcionan, el servidor
le solicitar al usuario que introduzca su nombre de usuario y contrasea de
forma manual.
578
Para obtener ms informacin acerca de cmo transmitir credenciales a un

servidor de terminal y a otras aplicaciones habilitadas con SSO, consulte
pgina 226.
Para definir las opciones de inicio de sesin nico (SSO):
2. Desplcese al rea Authentication de la pgina de configuracin de los
marcadores.
3. Especifique el nombre de usuario que debe pasar el IVE al servidor de terminal.
Puede introducir un nombre de usuario esttico o una variable. Introduzca la
variable <username> para transmitir el nombre de usuario almacenado en el
servidor de autenticacin primario del IVE. O bien, use la siguiente sintaxis
para enviar el nombre de usuario del servidor de autenticacin secundario:
<username@SecondaryServerName> o <username[2]>.
4. Seleccione Password si desea especificar una contrasea esttica o seleccione
Variable Password si desea usar la contrasea almacenada en el servidor de
autenticacin primario o secundario del IVE. Para usar la contrasea del
servidor de autenticacin primario, introduzca la variable <password>. O bien,
use la siguiente sintaxis para enviar la contrasea del servidor de autenticacin
secundario: <Password@SecondaryServerName> o <Password[2]>.
Definicin de los ajustes de la aplicacin para la sesin de servicios de

terminal de Windows
Cuando configure un marcador de servicios de terminal, puede especificar que los
usuarios slo tengan acceso a aplicaciones especficas en el servidor de terminal.
Para definir las aplicaciones a las que el usuario puede tener acceso:
2. Desplcese al rea Start Application de la pgina de configuracin de los
marcadores.
3. Seleccione la casilla de verificacin Launch seamless window para hacer que
el servidor de aplicaciones de Windows administre la visualizacin de la
aplicacin. Esto permite que la ventana de una aplicacin se comporte de la
misma manera que una aplicacin que se ejecuta en el servidor de aplicaciones
de Windows, sin importar cul es el entorno de escritorio del usuario.
NOTA: Si no est configurado el SSO, la opcin de ventana integrada slo se
admite en Remote Desktop Protocol (RDP) versin 6.0 o posterior.
Introduzca el nombre alias del servidor (slo para servidores que ejecutan
Windows 2008 y posteriores) en la casilla Alias name.
579
4. En la casilla Path to application, especifique dnde residen los archivos

ejecutables de la aplicacin en el servidor de terminal (visible slo cuando
desmarca Launch seamless window). Por ejemplo, puede introducir el
siguiente directorio para la aplicacin Microsoft Word:
C:\Program Files\Microsoft Office\Office10\WinWord.exe
5. Especifique dnde debe colocar el servidor de terminal los archivos de trabajo

para la aplicacin en la casilla Working directory. Por ejemplo, puede
especificar que Microsoft Word guarde los archivos en el siguiente directorio de
forma predeterminada:
C:\Documents and Settings\username\My Documents
NOTA: Puede usar las variables de sesin del IVE como <username> y <password>
en las casillas Path to application y Working directory. Por ejemplo, cuando

especifica una ruta de la aplicacin, puede incluir la variable <username> para
personalizar la ubicacin. Por ejemplo: C:\Documents and
Settings\<username>\My Documents. Para obtener una lista completa de variables
de sesin vlidas para el IVE, consulte Variables del sistema y ejemplos en la
pgina 1046.
6. Seleccione la casilla de verificacin Auto-launch si desea iniciar
automticamente este marcador de sesin de Terminal Services cuando los
usuarios inicien sesin en el IVE. Cuando selecciona esta opcin, el IVE inicia la
aplicacin de servicios de terminal en una ventana separada cuando el usuario
inicia sesin en el IVE.
Definicin de las conexiones de dispositivo para la sesin de servicios de

terminal de Windows
Cuando configure un marcador de servicios de terminal, puede especificar los
recursos locales a los que los usuarios pueden tener acceso a travs de la sesin
de terminal.
NOTA:
580
El IVE no proporciona acceso a los usuarios a los recursos locales cuando se

usan applets de Java para intermediar el trfico. Por lo tanto, tenga en cuenta
que si selecciona la opcin Enable Java Applets cuando crea un perfil de
recursos de Terminal Services de Windows, es posible que las opciones de
conexin de dispositivos descritas a continuacin no funcionen.

Para definir los recursos locales a los que los usuarios pueden tener acceso:
2. Desplcese al rea Connect Devices de la pgina de configuracin de los
marcadores.
3. Seleccione Connect local drives para conectar la unidad local del usuario con
el servidor de terminal, permitindole al usuario copiar la informacin desde el
servidor de terminal a sus directorios locales del cliente.
4. Seleccione Connect local printers para conectar las impresoras locales del
usuario con el servidor de terminal, permitindole al usuario imprimir
informacin desde el servidor de terminal en su impresora local.
5. Seleccione Connect COM Ports para conectar los puertos COM del usuario
al servidor de terminal, permitiendo la comunicacin entre el servidor de
terminal y los dispositivos en sus puertos serie.
6. Seleccione Allow Clipboard Sharing para permitir que los contenidos del
portapapeles se compartan entre el equipo host del usuario y el servidor de
terminal. Debido a limitaciones en las versiones del cliente RDP anteriores
a la 6.0, al desmarcar la opcin Allow Clipboard Sharing se inhabilitarn
automticamente las opciones Connect local drives, Connect local printers
y Connect COM Ports.
7. Seleccione Connect smart cards para permitir que los usuarios usen tarjetas
inteligentes para autenticar sus sesiones de escritorio remoto.
NOTA: Las tarjetas inteligentes son compatibles con Remote Desktop Protocol de
Microsoft versin 5.1 y posteriores.
8. Seleccione Sound Options para habilitar el sonido durante la sesin remota.

Seleccione Bring to this computer para redirigir el audio al equipo local.
Seleccione Leave at remote computer para reproducir el audio slo en
el servidor.
NOTA: Las opciones de sonido son compatibles con Remote Desktop Protocol de
Microsoft versin 5.1 y posteriores.
581
Definicin de los ajustes de escritorio para la sesin de servicios de

terminal de Windows
en la que debe aparecer la ventana de emulacin al usuario durante su sesin de
terminal.
NOTA: Las opciones de este tema se aplican slo a los marcadores de Terminal
Services de Windows.
Para definir los ajustes de visualizacin para las sesiones de los usuarios:
2. Desplcese al rea Display Settings de la pgina de configuracin de los
marcadores.
3. Seleccione Desktop background para mostrar un fondo con papel tapiz a los
usuarios. Si no selecciona esta opcin, el fondo estar vaco.
4. Seleccione Show contents of window while dragging para mostrar los
contenidos de la ventana Explorer de Windows mientras el usuario mueve las
ventanas en los escritorios.
5. Seleccione Menu and window animation para animar el movimiento de
ventanas, mens y listas.
6. Seleccione Themes para permitir que los usuarios agreguen temas de Windows
en sus ventanas del servidor de terminal.
7. Seleccione Bitmap Caching para mejorar el rendimiento al minimizar la
cantidad de informacin de pantalla que se transmite por una conexin.
8. Seleccione Font Smoothing (RDP 6.0 onwards) para suavizar el texto y hacerlo
ms fcil de leer. Esta opcin slo funciona en equipos con Windows Vista que
ejecuten clientes RDP de versin 6.0 o posterior.
9. Seleccione Desktop Composition (RDP 6.0 onwards) para permitir la
composicin del escritorio. Con la composicin del escritorio, las ventanas
individuales no aparecen directamente en la pantalla. En cambio, las imgenes
se redirigen a la memoria de vdeo, la que luego las enva en una imagen de
escritorio y las presenta en la pantalla.
582

(ICA predeterminado)
Esta seccin describe cmo configurar el acceso al servidor MetaFrame de Citrix
usando un archivo de configuracin ICA predeterminado.
Para crear un perfil de recursos de Terminal Services de Citrix que use los ajustes
ICA predeterminados:
3. Seleccione Citrix using default ICA en la lista Type.
4. (Slo para perfiles de recursos existentes) Si desea personalizar el archivo ICA
predeterminado que viene con el IVE, haga clic en el enlace Open, personalice
el archivo y crguelo al IVE siguiendo las instrucciones en Definicin de
perfiles de recursos: Terminal Services de Citrix (ICA personalizado) en la
pgina 591.
de recursos. (Este nombre ser el nombre predeterminado del marcador
de sesin.)
6. En la casilla Host especifique el servidor y el puerto al que este perfil de recurso
se debe conectar. Cuando introduzca al servidor, puede introducir un nombre
de host o una direccin IP. Consulte Uso de variables del sistema en territorios,
roles y directivas de recursos en la pgina 1054. Para obtener informacin
acerca de cmo emparejar direcciones IP y nombres de host, consulte
Especificacin de la opcin de recursos de Terminal Services en la
pgina 617.
7. En el campo Port Server introduzca el puerto de recepcin del servidor de
terminal. (De forma predeterminada, el IVE agrega el puerto 1494 en este
campo para Citrix.)
Terminal Service access to this server para permitir el acceso al servidor
especificado en la casilla Server Port (habilitada De forma predeterminada).
9. Permita la intermediacin usando un cliente Java seleccionando Enable Java
support y luego especifique qu cliente Java debe usar el IVE. Consulte
pgina 573.
Definicin de perfiles de recursos: Terminal Services de Citrix (ICA predeterminado)
583
y haga clic en Add.
tambin activa automticamente la opcin Terminal Services en la pgina
Users > User Roles > Seleccionar rol > General > Overview de la consola de
administracin para todos los roles que seleccione.
instrucciones de Definicin de un marcador para un perfil de servicios de
terminal de Windows en la pgina 575. (De forma predeterminada, el IVE crea
un marcador en el servidor definido en la casilla Host y lo muestra a todos los
usuarios asignados al rol especificado en la ficha Roles.)
Definicin de un marcador para un perfil Citrix usando los ajustes de ICA

predeterminados
Cuando cree un perfil de recursos de Terminal Services, el IVE crea
marcadores adicionales en el mismo servidor de terminal. (Para obtener
advertencias acerca de la configuracin de los marcadores de servicios de terminal,
consulte Definicin de perfiles de recursos: Vista general de Terminal Services en
la pgina 570.)
Para configurar marcadores de perfiles de recursos para Terminal Services de Citrix
usando los ajustes de ICA predeterminados:
1. Seleccione Users > Resource Profiles > Terminal Services > Seleccionar
perfil de recurso > Bookmarks en la consola de administracin.
puede optar por crear una con la pgina de roles de usuario. Para obtener
instrucciones, consulte Creacin de un marcador de servicios de terminal de
Citrix mediante la pgina User Roles en la pgina 585.

de configuracin del rea Settings de la pgina de configuracin de los
marcadores. Consulte Definicin de las opciones de visualizacin para la
sesin de servicios de terminal de Citrix en la pgina 586.
584
introducir las credenciales de forma manual. Puede hacer esto usando las
servicios de terminal de Citrix en la pgina 587.
6. Otorgue a los usuarios acceso a aplicaciones especficas en el servidor del
terminal usando las opciones de configuracin en el rea Start Application de la
pgina de configuracin de los marcadores. Adems, puede usar los ajustes en
esta seccin para definir las opciones de inicio automtico y de fiablilidad de la
sesin. Consulte Definicin de ajustes de aplicacin, inicio automtico y
fiablilidad de la sesin para la sesin de servicios de terminal de Citrix en la
pgina 588.
7. Otorgue a los usuarios acceso a los recursos locales como impresoras y
unidades a travs de la sesin del terminal usando las opciones de
configuracin de la seccin Connect Devices de la pgina de configuracin de
los marcadores. Consulte Definicin de las conexiones de dispositivo para la
sesin de servicios de terminal de Citrix en la pgina 590.
8. Especifique los roles para los que desea mostrar el marcador de sesin si
configurar el marcador de sesin mediante las pginas de perfiles de recursos,
en Roles:


ALL selected roles y haga clic en Add para moverlos a la lista Subset of
selected roles.
Creacin de un marcador de servicios de terminal de Citrix mediante la

pgina User Roles
Por lo general, es ms fcil crear un marcador de servicios de terminal mediante
las pginas de configuracin de perfiles de recursos, como se explic en el tema
anterior. No obstante, puede optar por crear un marcador de sesin del perfil de
recursos a travs de la pgina de roles de usuario con las siguientes instrucciones:
1. Seleccione la pgina Users > User Roles > Seleccionar rol > Terminal
Services > Sessions en la consola de administracin.
3. Elija Terminal Services Resource Profile en la lista Type. (El IVE no muestra
esta opcin si no ha creado un perfil de recursos de servicios de terminal.)
4. Seleccione un perfil de recursos existente que conecte a un servidor Citrix
usando el archivo ICA predeterminado en el IVE. (El IVE llena automticamente
los campos Host y Server Port usando los ajustes del perfil de recursos
seleccionado.)
585

habilita cualquier directiva de control de acceso para el rol que requiere el perfil
de recursos.)
6. Si este rol an no ha sido asociado con el perfil de recursos seleccionado, el IVE
muestra un mensaje informativo. Si ve este mensaje, haga clic en Save
continuacin, repita el paso anterior para crear el marcador de sesin.
NOTA: Al crear un marcador de sesin de perfil de recursos mediante la pgina de
roles de usuario (en lugar de la pgina de perfiles de recursos estndar), el IVE slo
asocia el marcador de sesin generado con el rol seleccionado. El IVE no asigna el
marcador de sesin con todos los roles asociados con el perfil de recursos
seleccionado.

con el nombre del perfil de recursos.)
8. Use las instrucciones de los temas siguientes para configurar los ajustes
del marcador.
Definicin de las opciones de visualizacin para la sesin de servicios de

terminal de Citrix
Para definir las opciones de pantalla, inicio automtico y fiablilidad de la sesin:
siguiendo las instrucciones en Definicin de un marcador para un perfil Citrix
usando los ajustes de ICA predeterminados en la pgina 584.
2. Desplcese al rea Settings de la pgina de configuracin de los marcadores.
586
4. Seleccione color de 8-bit, 15-bit, 16-bit, 24-bit o de 32-bit desde la lista Color
Depth si desea cambiar la profundidad del color de los datos de la sesin de
en 8 bits.)
NOTA: Cuando configure un marcador de sesin de Citrix, tenga en cuenta que
el ajuste que escoja aqu y el ajuste del escritorio local del usuario afectarn a la
profundidad del color de la pantalla del cliente. Si estos ajustes no coinciden,
el usuario ver la profundidad de color ms baja de las dos posibles durante la
sesin. Por ejemplo, si selecciona color de 16-bit durante la configuracin del IVE,
pero el escritorio local del usuario est configurado en 8 bits, el usuario ver con
profundidad de color de 8 bits durante su sesin.

de Citrix
para que el usuario no tenga que introducir manualmente su nombre de usuario y
contrasea. El IVE transmite las credenciales especificadas cuando un usuario hace
clic en el marcador de sesin. Si las credenciales no funcionan, el servidor le
solicitar al usuario que introduzca su nombre de usuario y contrasea de
forma manual.
Para obtener ms informacin acerca de cmo transmitir credenciales a
un servidor de terminal y a otras aplicaciones habilitadas con SSO, consulte
pgina 226.
usando los ajustes de ICA predeterminados en la pgina 584 o Definicin de
un marcador para un perfil Citrix usando un archivo ICA personalizado en la
pgina 593.
2. Desplcese al rea Authentication de la pgina de configuracin de los
marcadores.
3. Especifique el nombre de usuario que debe pasar el IVE al servidor de terminal
en el campo Username. Puede introducir un nombre de usuario esttico o una
variable. Introduzca la variable <username> para transmitir el nombre de
usuario almacenado en el servidor de autenticacin primario del IVE. O bien,
use la siguiente sintaxis para enviar el nombre de usuario del servidor de
autenticacin secundario: <username@SecondaryServerName> o
<username[2]>.
587

5. (Slo para el archivo ICA predeterminado y las aplicaciones de la lista.)
Seleccione Use domain credentials para transmitir las credenciales del
dominio en el cach del usuario al servidor MetaFrame de Citrix (tambin
llamada autenticacin pass-through). Cuando seleccione esta opcin, el IVE
usa el cliente Program Neighborhood de Citrix para intermediar la sesin de
terminal de Citrix.
NOTA: Si desea descargar el cliente Program Neighborhood, seleccione Users >
User Roles > Seleccionar rol > Terminal Services > Options en la consola de
administracin e introduzca la direccin URL en la casilla Download from URL.
Visite el sitio Web de Citrix para conocer la ubicacin del ltimo archivo del cliente
Program Neighborhood cab.
Cuando seleccione la opcin Use domain credentials, tambin debe habilitar
la SSO a travs del archivo de ajustes del usuario (appsrv.ini). Si el usuario
ya ha iniciado sesin correctamente en el servidor MetaFrame usando las
credenciales de dominio en el cach, este ajuste ya debera estar habilitado.
De lo contrario, usted o el usuario deben:
a.
Configurar EnableSSOnThruICAFile=On en appsrv.ini. Puede ubicar appsrv.ini

en el directorio %HOMEPATH%\Application Data\ICAClient.
b.
Configure UseLocalUserAndPassword=On en el archivo ICA.
Si no ha habilitado la SSO a travs del archivo INI, se le solicitar al usuario que

introduzca sus credenciales de forma manual cuando intente obtener acceso al
servidor de MetaFrame a travs del IVE.
Definicin de ajustes de aplicacin, inicio automtico y fiablilidad de la

sesin para la sesin de servicios de terminal de Citrix
usando los ajustes de ICA predeterminados en la pgina 584.
2. Desplcese al rea Start Application de la pgina de configuracin de los
marcadores.
588
3. Seleccione la casilla de verificacin Launch seamless window para hacer que

el servidor de aplicaciones de Windows administre la visualizacin de la
aplicacin. Esto permite que la ventana de una aplicacin se comporte de la
misma manera que una aplicacin que se ejecuta en el servidor de aplicaciones
de Windows, sin importar cul es el entorno de escritorio del usuario.
NOTA: Si no est configurado el SSO, la opcin de ventana integrada slo se
admite en Remote Desktop Protocol (RDP) versin 6.0 o posterior.
Introduzca el nombre alias del servidor en el campo Alias Name (slo para
servidores que ejecutan Windows 2008 y posteriores).
4. En la casilla Path to application, especifique dnde residen los archivos
ejecutables de la aplicacin en el servidor de terminal (visible slo cuando
desmarca Launch seamless window). Por ejemplo, puede introducir el
siguiente directorio para la aplicacin Microsoft Word:
5. Especifique dnde debe colocar el servidor de terminal los archivos de trabajo

para la aplicacin en el campo Working directory. Por ejemplo, puede
especificar que Microsoft Word guarde los archivos en el siguiente directorio
de forma predeterminada:
C:\Documents and Settings\<username>\My Documents
NOTA: Puede usar las variables de sesin del IVE como <username> y <password>
en las casillas Path to application y Working directory. Por ejemplo, cuando

especifica una ruta de la aplicacin, puede incluir la variable <username>
para personalizar la ubicacin. Por ejemplo: C:\Documents and
Settings\<username>\My Documents. Para obtener una lista completa de variables
de sesin vlidas para el IVE, consulte Variables del sistema y ejemplos en la
pgina 1046.
automticamente este marcador de sesin de servicios de terminal cuando los
7. Seleccione Session Reliability and Auto-client reconnect para mantener las
sesiones ICA activas y en la pantalla del usuario cuando la conectividad de red
se interrumpa. Los usuarios continan viendo la aplicacin que estn usando
hasta que la conectividad de red se reanuda o el tiempo de la fiablilidad de la
sesin se acaba (el valor del tiempo de espera la define el producto Citrix).
Introduzca el puerto que se usar en la casilla Port to be enabled.
589
Definicin de las conexiones de dispositivo para la sesin de servicios

de terminal de Citrix
de terminal.
NOTA: Para que los ajustes Connect Devices tengan efecto, tambin deben
habilitarse en el servidor MetaFrame. Por ejemplo, si habilita Connect Drives
en el IVE, pero lo inhabilita en el servidor MetaFrame, entonces ste bloquear
el acceso a las unidades locales. Tenga en cuenta que si desmarca la casilla de
verificacin Configure access to local resources, los ajustes del servidor
MetaFrame tendrn efecto.
usando los ajustes de ICA predeterminados en la pgina 584 o Definicin de
un marcador para un perfil de servicios de terminal de Windows en la
pgina 575.
2. Desplcese al rea Connect Devices de la pgina de configuracin de los
marcadores.
3. Seleccione Connect local drives si desea conectar la unidad local del usuario
con el servidor de terminal, permitindole al usuario copiar la informacin
desde el servidor de terminal a sus directorios locales del cliente.
4. Seleccione Connect local printers si desea conectar las impresoras locales
del usuario con el servidor de terminal, permitindole al usuario imprimir
5. Seleccione Connect COM Ports si desea conectar los puertos COM del usuario
NOTA: Cuando habilita recursos locales a travs del servidor de terminal,
cada usuario slo puede tener acceso a sus propios recursos locales. Por ejemplo,
590

(ICA personalizado)
Use este tipo de perfil de recursos para habilitar una sesin de terminal en un
servidor MetaFrame de Citrix usando los ajustes que especifique en un archivo ICA
personalizado. Use archivos ICA personalizados para habilitar las sesiones de
terminal en los servidores MetaFrame de Citrix o en los servidores NFuse que rigen
granjas de servidores Citrix (en otras palabras, para equilibrio de cargas). Tambin
puede usar archivos ICA personalizados para enlazar a servidores nicos, de ser
necesario. Cuando selecciona esta opcin, el IVE usa los parmetros de sesin
definidos en el archivo ICA personalizado especificado.
NOTA: Para habilitar la conexin entre el IVE y la granja de servidores Citrix, debe
usar el protocolo TCP/IP+HTTP para navegar y especificar el puerto y la direccin
IP del servidor MetaFrame de Citrix o NFuse. El IVE no admite el reenvo de
puertos UDP.
Para crear un perfil de recursos de Citrix que use un archivo ICA personalizado:
3. Seleccione Citrix using custom ICA file en la lista Type.
4. Especifique en la casilla ICA File el archivo ICA que contiene los parmetros de
la sesin que desea usar. Tenga en cuenta que puede descargar y personalizar
los siguientes archivos ICA desde el IVE:
El archivo ICA que viene con el IVE: Para personalizar este archivo,
haga clic en el enlace Open, guarde el archivo en su equipo local,
personalice el archivo segn lo necesite y vuelva a cargarlo al IVE usando
la opcin Browse. Si personaliza este archivo, debe volver incluir los
siguientes parmetros en l default.ica: <CITRIX_CLIENT_NAME>, <APPDATA>
y <TARGET_SERVER>.
Definicin de perfiles de recursos: Terminal Services de Citrix (ICA personalizado)
591
El archivo ICA que ya asoci con el perfil de recursos: Para personalizar

este archivo, haga clic en el enlace Current ICA File, guarde el archivo en
su equipo local y personalice el archivo segn lo necesite. Cuando realice
los cambios, debe cargar la versin revisada al IVE usando la opcin
Browse.
NOTA:
Antes de cargar el archivo ICA, debe probarlo para confirmar que inicia la
sesin Citrix correctamente. Para realizar la prueba, cree un archivo ICA
y acceda directamente a l. Si el archivo muestra la sesin de Citrix
correctamente, entonces debe funcionar a travs del IVE.
Si ha configurado TWIMode=on y ajustado la aplicacin inicial en Desktop

(modo integrado), debe inhabilitar la SSO en la configuracin de los
marcadores de los servicios de terminal en el IVE para poder probar el archivo
ICA como se describe.
Cuando utilice tecnologa de reescritura Java para pasar los applets de JICA de
Citrix a travs del IVE, debe configurar el parmetro proxyType en el archivo
ICA como None (incluso si un proxy del lado cliente est configurado en el
navegador).

recursos. (Este nombre ser el nombre predeterminado del marcador de
sesin.)
6. Habilite el acceso a los servidores especificados en el archivo ICA
personalizado:
a.
Seleccione la casilla de verificacin Autopolicy: Terminal Services

Access Control.
b.
En el campo Resource especifique los servidores MetaFrame a los que

desea habilitar el acceso.
c.
Elija Allow para permitir el acceso a los recursos especificados o Deny para
bloquear el recurso especificado de la lista Action.

7. Habilite la intermediacin usando un cliente Java al seleccionar Enable Java
support y siga las instrucciones en Definicin de directivas automticas del
applet de Java hospedado en la pgina 573.
Si selecciona la opcin Enable Java support y tiene un archivo ICA
personalizado que carg al IVE, su archivo HTML se llena automticamente con
referencias a su archivo ICA. No se necesitan agregar cdigos HTML
adicionales.
592
9. En la casilla Roles, seleccione los roles a las que se aplica el perfil de recursos
y haga clic en Add.
tambin habilita automticamente la opcin Terminal Services en la pgina
Users > User Roles > Seleccionar rol > General > Overview de la consola de
administracin para todos los roles que seleccione.
instrucciones de Definicin de un marcador para un perfil Citrix usando un
archivo ICA personalizado en la pgina 593. (De forma predeterminada, el IVE
crea un marcador en el servidor definido en el archivo ICA personalizado y lo
muestra a todos los usuarios asignados al rol especificado en la ficha Roles.)
Definicin de un marcador para un perfil Citrix usando un archivo ICA personalizado

la pgina 570.)
Para configurar marcadores de perfiles de recursos para Terminal Services de Citrix
usando los ajustes de ICA personalizados:
1. Seleccione Users > Resource Profiles > Terminal Services > Seleccionar
perfil de recurso > Bookmarks en la consola de administracin.
puede elegir crear una con la pgina de roles de usuario. Para obtener

593
introducir las credenciales de forma manual. Puede hacer esto mediante las
servicios de terminal de Citrix en la pgina 587.
4. Inicie automticamente este marcador de sesin de servicios de terminal
cuando un usuario inicie sesin en el IVE al seleccionar la casilla de verificacin
Auto-launch. Cuando selecciona esta opcin, el IVE inicia la aplicacin de
servicios de terminal en una ventana separada cuando el usuario inicia sesin
en el IVE.
5. En Roles, especifique los roles a los que desea mostrar los marcadores
de sesin:


ALL selected roles y haga clic en Add para moverlos a la lista Subset of
selected roles.
Definicin de perfiles de recursos: Lista de aplicaciones Citrix

Citrix cre aplicaciones publicadas para satisfacer las necesidades de seguridad.
Es peligroso permitir que cualquier archivo se ejecute en el servidor. Con las
aplicaciones publicadas, slo se publican las aplicaciones que pueden ejecutarse.
Con el IVE, estas aplicaciones publicadas se muestran en la pgina de ndice del IVE
como marcadores de servicios de terminal.
Para crear un perfil Citrix que muestre las aplicaciones publicadas:
1. Seleccione Users > Resource Profiles > Terminal Services en la consola
de administracin.
3. Seleccione Citrix Listed Applications en la lista Type.
recursos. Este nombre ser el nombre predeterminado del marcador de sesin.
594
5. Introduzca la direccin IP y el puerto del servidor MetaFrame de Citrix donde

se est ejecutando el servicio XML.
No es necesario introducir el nmero de puerto si est usando el valor
predeterminado. El puerto predeterminado es el 80 (si est seleccionado SSL,
el puerto predeterminado es el 443).
Puede introducir ms de un servidor. Si la conexin presenta un error en un
servidor, se usar el prximo servidor de la lista.
6. Haga clic en la casilla de verificacin Use SSL for connecting to Citrix XML
Service para enviar la contrasea a travs de SSL en vez de un texto puro.
NOTA: Aunque el texto puro es compatible, recomendamos que siempre use SSL
para evitar problemas de seguridad.
7. Introduzca el nombre de usuario, la contrasea y el nombre del dominio

para conectarse al servidor MetaFrame de Citrix donde se est ejecutando
el servicio XML.
Puede introducir credenciales de variables como <USERNAME> y <PASSWORD>.
Si usa credenciales de variables, La opcin Subset of selected Applications se
inhabilita en la ventana Bookmarks.
Cuando el usuario obtiene la lista de aplicaciones, sus credenciales se envan
al servicio XML de Citrix, sustituyendo las variables de contexto de la sesin
<USERNAME> <PASSWORD>. Slo se regresan las aplicaciones especficas
del usuario (como lo determina el administrador Citrix).
8. Habilite el acceso a los servidores especificados en el archivo ICA
personalizado:
a.
Seleccione la casilla de verificacin Autopolicy: Terminal Services

Access Control.
b.
En el campo Resource especifique los servidores MetaFrame a los que

desea habilitar el acceso.
c.
Elija Allow para permitir el acceso a los recursos especificados o Deny para
bloquear el recurso especificado de la lista Action.

9. Permita la intermediacin usando un cliente Java seleccionando Enable Java
support y luego especifique qu cliente Java debe usar el IVE. Consulte
pgina 573.
595
y haga clic en Add.
tambin habilita automticamente la opcin Terminal Services en la pgina
de administracin para todas los roles que seleccione.
13. (Opcional) En la casilla Bookmarks, modifique el marcador de sesin
instrucciones de Definicin de un marcador para las aplicaciones de la lista del
perfil de Citrix en la pgina 596.
Definicin de un marcador para las aplicaciones de la lista del perfil de Citrix

la pgina 570.)
Para configurar marcadores de perfil de recursos para las aplicaciones de la lista de
servicios de terminal de Citrix:
1. Seleccione Users > Resource Profiles > Terminal Services >
Perfil de recurso > Bookmarks en la consola de administracin.
puede optar por crear una con la pgina de roles de usuario. Para obtener

596
3. En Applications, seleccione las aplicaciones que desea establecer como

disponibles para el usuario final.
ALL Applications: Permite que todos los archivos ejecutables en el servidor

estn disponibles para el usuario final.
Subset of selected applications: Seleccione los archivos ejecutables en la

lista Available y haga clic en Add para permitir que slo esas aplicaciones
se ejecuten. La lista Available se rellena automticamente desde el servidor
Metaframe.
Esta opcin se inhabilita cuando introduce credenciales de variables,
como <USERNAME> y <PASSWORD> cuando define el perfil de recursos.
4. En Settings, especifique la forma en la que la ventana de emulacin debe

aparecer a los usuarios durante las sesiones de terminal.
NOTA: No puede cambiar la direccin IP o el puerto de ejecucin del servicio XML

para conectarse al servicio XML o al cliente Java para usarlo como intermediacin.
a.
Seleccione una opcin desde la lista desplegable Screen Size si desea

cambiar el tamao de la ventana de los servicios de terminal en la estacin
de trabajo del usuario.
b.
(Opcional) Seleccione color de 8-bit, 15-bit, 16-bit, 24-bit o de 32-bit

desde la lista Color Depth si desea cambiar la profundidad del color de los
datos de la sesin de terminal. Consulte Definicin de las opciones de
tamao y profundidad de color de la pantalla para la sesin de servicios de
terminal en la pgina 602.
NOTA: Aunque por lo general es ms fcil crear un marcador de sesin de perfil de
recursos mediante la pgina de configuracin del perfil de recursos, puede crear

una mediante la pgina de roles de usuario. Consulte Creacin de un marcador
de servicios de terminal de Citrix mediante la pgina User Roles en la
pgina 585.
5. En Session, puede configurar el IVE para que transmita las credenciales del
usuario desde el IVE al servidor de terminal para que el usuario no tenga que
introducir manualmente su nombre de usuario y contrasea. Consulte
Definicin de las opciones de SSO para la sesin de servicios de terminal de
Citrix en la pgina 587.
a.
Especifique el nombre de usuario que debe pasar el IVE al servidor de

terminal en la casilla Username. Puede introducir un nombre de usuario
esttico o una variable.
b.
Seleccione Password si desea especificar una contrasea esttica o

seleccione Variable Password si desea usar la contrasea almacenada
en el servidor de autenticacin primario o secundario del IVE.
597
c.
Seleccione Use domain credentials para transmitir las credenciales del

dominio en el cach del usuario al servidor MetaFrame de Citrix (tambin
llamada autenticacin de paso a travs). Cuando seleccione esta opcin,
el IVE usa el cliente Program Neighborhood de Citrix para intermediar la
sesin de terminal de Citrix.
NOTA: Si desea descargar el cliente Program Neighborhood de Citrix, seleccione

Users > User Roles > Seleccionar rol > Terminal Services > Options en la
consola de administracin e introduzca la siguiente direccin URL en la casilla
Download from URL: http://download2.citrix.com/FILES/en/products/client/
ica/client9230/wficat.cab
Cuando seleccione la opcin Use domain credentials, tambin debe

habilitar la SSO a travs del archivo de ajustes del usuario (appsrv.ini).
Consulte Definicin de las opciones de SSO para la sesin de servicios de
terminal de Citrix en la pgina 587
6. En Connect Devices, especifique qu dispositivos de usuario se conectarn al
servidor de terminal.
Connect local drives: Conecte la unidad local del usuario con el servidor
de terminal, permitindole al usuario copiar la informacin desde el
Seleccione Connect local printers: Conecte las impresoras locales del

usuario con el servidor de terminal, permitindole al usuario imprimir
Seleccione Connect COM Ports: Conecte los puertos COM del usuario al
servidor de terminal, permitiendo la comunicacin entre el servidor de
7. En Roles, especifique los roles a los que desea mostrar los marcadores
de sesin:

Subset of selected roles: Muestra el marcador de sesin a un subgrupo de roles

asociados con el perfil de recursos. Seleccione los roles de la lista ALL Selected
Rolesy haga clic en Add para moverlos a la lista Subset of selected roles.
598
Definicin de los ajustes de rol: Terminal Services

Cuando habilita la opcin Terminal Services a travs de la consola de
administracin, puede crear marcadores de sesin del IVE en su servidor de
terminal. Un marcador de sesin de servicios de terminal define la informacin del
servidor de terminal a la que los usuarios se pueden conectar y (opcionalmente)
define las aplicaciones que ellos pueden usar en el servidor de terminal. Los
marcadores de sesin que usted define aparecen en el panel Terminal Services de la
consola del usuario final para los usuarios que asignan al rol correspondiente.
Puede usar dos mtodos distintos para crear los marcadores de sesin de servicios
de terminal:
Crear marcadores de sesin a travs de perfiles de recurso existentes

(recomendado): Cuando selecciona este mtodo, el IVE completa
automticamente el marcador de sesin con parmetros clave (como el tipo de
sesin) utilizando parmetros del perfil de recursos. Adems, mientras crea el
perfil de recursos asociado, el IVE lo gua a travs del proceso de creacin de
cualquier directiva necesaria para habilitar el acceso al marcador de sesin.
Para obtener instrucciones de configuracin, consulte Definicin de un
marcador para un perfil de servicios de terminal de Windows en la pgina 575
y Definicin de un marcador para un perfil Citrix usando un archivo ICA
personalizado en la pgina 593.
Crear marcadores de sesin estndar: Cuando selecciona esta opcin,

debe introducir manualmente todos los parmetros de marcadores de sesin
durante la configuracin. Adems, debe habilitar el acceso a la caracterstica
Terminal Services y crear directivas de recursos que permitan el acceso a los
servidores definidos en el marcador de sesin (como se explica en Resumen
de tareas: Configuracin de la caracterstica Terminal Services en la
pgina 564). Para obtener instrucciones sobre la configuracin, consulte
Creacin de marcadores de sesin de servicios de terminal avanzados en la
pgina 600.
NOTA: Si habilita la opcin Terminal Services, pero no otorga a los usuarios la

capacidad de crear sus propios marcadores de sesin, asegrese de configurar los
marcadores de sesin para ellos. De lo contrario, los usuarios no podrn usar esta
caracterstica.
Tambin puede habilitar a los usuarios para que creen sus propios marcadores de
sesin en la pgina de inicio de IVE y navegar a los servidores de terminal usando la
barra de navegacin del IVE. O bien, puede crear enlaces desde sitios externos a los
marcadores de servicios de terminal.
599
Este tema contiene la siguiente informacin acerca de la configuracin de los

marcadores de sesin y otros ajustes de nivel de rol para la caracterstica de
servicios de terminal:
Creacin de marcadores de sesin de servicios de terminal avanzados en la

pgina 600
Creacin de enlaces desde un sitio externo a un marcador de sesin de

Terminal Services en la pgina 608
Especificacin de las opciones generales de Terminal Services en la

pgina 612
Creacin de marcadores de sesin de servicios de terminal avanzados

NOTA:
La informacin de este tema se proporciona para fines de compatibilidad con

versiones anteriores. Recomendamos que configure el acceso a los servidores
de terminal de Windows y servidores Citrix mediante perfiles de recurso ya
que proporcionan un mtodo de configuracin ms simple y unificado. El
perfil de recursos tambin contiene caractersticas (como la capacidad de usar
clientes RDP de Java para admitir usuarios Macintosh y Linux) que no estn
disponibles mediante los roles. Consulte Definicin de perfiles de recursos:
Vista general de Terminal Services en la pgina 570.

marcador de servicios de terminal. Si crea dos marcadores que contienen el
mismo conjunto de parmetros, el IVE elimina uno de los marcadores de la
vista del usuario final. An puede ver ambos marcadores en la consola de
administracin.
Para crear un marcador de sesin para sesiones de terminal:

1. Seleccione Users > User Roles > Rol > Terminal Services > Sessions en la
3. Deje marcada la opcin Standard en la lista desplegable Type.
4. Especifique el tipo de sesin de usuario que desea crear desde la lista
Session Type:
600
Windows Terminal Services: Habilita una sesin de terminal para

el servidor de terminal de Windows.
Citrix using default ICA: Habilita una sesin de terminal para un

Metaframe de Citrix. Cuando selecciona esta opcin, el IVE usa los
parmetros de sesin de Citrix almacenados en el IVE.
(Slo sesiones existentes). Tambin puede usar el enlace Open para abrir el
archivo ICA predeterminado del IVE, que luego puede guardar en el equipo
local y personalizar segn necesite. Si personaliza este archivo, debe volver
incluir los siguientes parmetros en l default.ica: <CITRIX_CLIENT_NAME>,
<APPDATA> y <TARGET_SERVER>.
Citrix using custom ICA file: Habilita una sesin de servicios de terminal
en un servidor MetaFrame de Citrix o un servidor NFuse que rige una
granja de servidores Citrix. Cuando selecciona esta opcin, el IVE usa los
parmetros de sesin definidos en el archivo ICA personalizado
especificado y elimina los elementos de configuracin de Session
Reliability, Start Application y Connect Devices de la pgina actual.
NOTA: Debido a que el IVE no admite el reenvo de puertos UDP, debe usar
el protocolo TCP/IP+HTTP para navegar y especificar el puerto del servidor
MetaFrame de Citrix o NFuse y la direccin IP para habilitar la conexin entre
el IVE y la granja de servidores Citrix.
5. Introduzca un nombre y (opcionalmente) una descripcin para el marcador

de sesin.
6. En el campo Host, especifique el nombre del host o la direccin IP del servidor
de terminal de Windows o del servidor MetaFrame. Para obtener informacin
sobre las variables y atributos del sistema que puede incluir en este campo,
consulte Uso de variables del sistema en territorios, roles y directivas de
recursos en la pgina 1054. Para obtener informacin acerca de cmo
emparejar direcciones IP y nombres de host, consulte Especificacin de la
opcin de recursos de Terminal Services en la pgina 617.
7. En los campos Client Port y Server Port, introduzca los puertos en los que se
comunica el cliente del usuario y en el que recibe la comunicacin el servidor
de terminal.
NOTA: Si especifica un puerto del cliente y el cliente de servicios de terminal
de Juniper no puede asociarse a este puerto, el cliente de servicios de terminal
presentar un error. Sin embargo, si deja el campo Client Port en blanco,
el cliente de servicios de terminal de Juniper seleccionar de forma dinmica
un puerto disponible.
8. (Slo para Terminal Services de Windows y Citrix que usen ICA

predeterminado) Si desea especificar las opciones de tamao y profundidad de
color de la pantalla para la ventana de emulacin del terminal, use las opciones
de configuracin en la seccin Settings. Para obtener ms informacin,
consulte Definicin de las opciones de tamao y profundidad de color de la
pantalla para la sesin de servicios de terminal en la pgina 602.
601
9. Si desea transmitir las credenciales del usuario desde el IVE al servidor de

terminal para permitir a los usuarios que inicien sesin en el servidor de
terminal sin tener que introducir de forma manual sus credenciales, use las
opciones de configuracin de la seccin Session. Para obtener ms
informacin, consulte Definicin de las opciones de SSO para la sesin de
servicios de terminal en la pgina 603.
10. Si slo quiere permitir que los usuarios tengan acceso a aplicaciones especficas
en el servidor del terminal, utilice las opciones de configuracin incluidas en la
seccin Start Application de la pgina de configuracin de los marcadores.
Adems, puede usar los ajustes de esta seccin para definir las opciones de
inicio automtico y de fiablilidad de la sesin. Para obtener ms informacin,
consulte Definicin de los ajustes de la aplicacin para la sesin de Terminal
11. (Slo para Terminal Services de Windows y Citrix que usen ICA
predeterminado) Si desea permitir a los usuarios que tengan acceso a los
recursos locales como impresoras y unidades a travs de la sesin del terminal,
use las opciones de configuracin de la seccin Connect Devices de la pgina
de configuracin de los marcadores. Para obtener ms informacin, consulte
de terminal en la pgina 606.
12. (Slo para Terminal Services de Windows) Si desea especificar la forma en la
que la ventana de emulacin del terminal debe mostrarse al usuario durante
una sesin de terminal, use las opciones de configuracin de la seccin
Desktop Settings. Para obtener ms informacin, consulte Definicin de los
ajustes de escritorio para la sesin de servicios de terminal en la pgina 607.
Definicin de las opciones de tamao y profundidad de color de la

pantalla para la sesin de servicios de terminal
NOTA: Las opciones de esta seccin slo se aplican a marcadores de Terminal
Services de Windows, Citrix que use marcadores ICA predeterminados y
marcadores de aplicaciones de la lista de Citrix.
Para definir las opciones de pantalla, inicio automtico y fiablilidad de la sesin:

1. Cree un marcador de sesin de servicios de terminal o edite un marcador de
sesin existente siguiendo las instrucciones en Creacin de marcadores de
sesin de servicios de terminal avanzados en la pgina 600.
2. Desplcese a la seccin Settings de la pgina de configuracin de los
marcadores.
602
NOTA: Si selecciona la opcin Full Screen y se conecta a un servidor de terminal
de Windows, el IVE debe modificar el archivo Full Screen del usuario para
mostrar el nombre de host correcto en la ventana de servicios de terminal. Si el
usuario no tiene los derechos correspondientes para modificar el archivo hosts,
el IVE mostrar la direccin de bucle invertido en su lugar.
Tenga en cuenta tambin que para restaurar el archivo hosts a su estado original
despus de ejecutar la ventana de servicios de terminal, el usuario debe cerrar
adecuadamente su aplicacin. De lo contrario, es posible que otras aplicaciones
que usan el archivo hosts (como JSAM y Host Checker) no funcionen
adecuadamente. El usuario tambin puede restaurar su archivo hosts a su estado
original reiniciando el sistema o cambiando el nombre del archivo de hosts de
respaldo (hosts_ive.bak).
4. Seleccione color de 8 bits, 15 bits, 16 bits, 24 bits, o 32 bits desde la lista Color
Depth si desea cambiar la profundidad del color de los datos de sesin de
en 8 bits.)
NOTA: Cuando configure un marcador de sesin de Citrix, tenga en cuenta que
el ajuste que escoja aqu y el ajuste del escritorio local del usuario afectarn a la
profundidad del color de la pantalla del cliente. Si estos ajustes no coinciden,
el usuario ver la profundidad de color ms baja de las dos posibles durante la
sesin. Por ejemplo, si elige color de 16 bits durante la configuracin del IVE,
pero el escritorio local del usuario est configurado en 8 bits, el usuario ver con
profundidad de color de 8 bits durante su sesin.

para que el usuario no tenga que introducir manualmente su nombre de usuario
y contrasea. El IVE transmite las credenciales especificadas cuando un usuario
hace clic en el marcador de sesin. Si las credenciales no funcionan, el servidor
le solicitar al usuario que introduzca su nombre de usuario y contrasea de
forma manual.
Para obtener ms informacin acerca de cmo transmitir credenciales a
un servidor de terminal y a otras aplicaciones habilitadas con SSO, consulte
pgina 226.
603

1. Cree un marcador de sesin de servicios de terminal o edite un marcador
de sesin existente siguiendo las instrucciones de la seccin Creacin de
marcadores de sesin de servicios de terminal avanzados en la pgina 600.
2. Desplcese a la seccin Authentication de la pgina de configuracin de los
marcadores.
3. En el campo Username, especifique el nombre de usuario que debe pasar el
IVE al servidor de terminal. Puede introducir un nombre de usuario esttico o
una variable. Introduzca la variable <username> para transmitir el nombre de
usuario almacenado en el servidor de autenticacin primario del IVE. O bien,
use la siguiente sintaxis para enviar el nombre de usuario del servidor de
autenticacin secundario: <username@SecondaryServerName> o
<username[2]>.
5. (Citrix que usa el ICA predeterminado o las aplicaciones de la lista) Seleccione
Use domain credentials para transmitir las credenciales del dominio en el
cach del usuario al servidor MetaFrame de Citrix (tambin llamada
autenticacin de paso a travs). Cuando seleccione esta opcin, el IVE usa el
cliente Program Neighborhood de Citrix para intermediar la sesin de terminal
de Citrix.
NOTA: Si desea descargar el cliente Program Neighborhood, vaya a la pgina
Users > User Roles > Seleccionar rol > Terminal Services > Options de la
consola de administracin e introduzca la siguiente direccin URL en el campo
Download from URL: http://download2.citrix.com/FILES/en/products/client/
ica/client9230/wficat.cab
Cuando seleccione la opcin Use domain credentials, tambin debe habilitar

la SSO a travs del archivo de ajustes del usuario (appsrv.ini). Si el usuario ya ha
iniciado sesin correctamente en el servidor MetaFrame usando las
credenciales de dominio en el cach, este ajuste ya debera estar habilitado.
De lo contrario, usted o el usuario deben:
a.
Configurar EnableSSOnThruICAFile=On en appsrv.ini. Puede ubicar appsrv.ini

en el directorio %HOMEPATH%\Application Data\ICAClient.
b.
Configure UseLocalUserAndPassword=On en el archivo ICA.
Si no ha habilitado la SSO a travs del archivo INI, se le solicitar al usuario que

introduzca sus credenciales de forma manual cuando intente obtener acceso al
servidor de MetaFrame a travs del IVE.
604
Definicin de los ajustes de la aplicacin para la sesin de Terminal

Services
De forma adicional, puede definir para la sesin las opciones de inicio automtico
y de fiablilidad de la sesin.
2. Desplcese a la seccin Start Application de la pgina de configuracin de los
marcadores.
NOTA: Si especifica Citrix using custom ICA file en la seccin de configuracin
Session Type, el elemento de configuracin Start Application no estar
disponible.
3. (Slo para Terminal Services de Windows y Citrix que use el ICA

predeterminado) En el campo Path to application, especifique en qu parte del
servidor de terminal reside el archivo ejecutable de la aplicacin. Por ejemplo,
puede introducir el siguiente directorio para la aplicacin Microsoft Word:
4. (Slo Terminal Services de Windows y Citrix que use el ICA predeterminado)

En el campo Working directory, especifique dnde debe colocar el servidor
de terminal los archivos de trabajo para la aplicacin. Por ejemplo, puede
especificar que Microsoft Word guarde los archivos en el siguiente directorio
de forma predeterminada:
C:\Documents and Settings\<username>\My Documents
NOTA: Puede usar variables de sesin del IVE como <username> y <password>
en los campos Path to application y Working directory. Por ejemplo, cuando

especifica una ruta de la aplicacin, puede incluir la variable <username> para
personalizar la ubicacin. Por ejemplo: C:\Documents and Settings\<username>\
My Documents. Para obtener una lista completa de variables de sesin vlidas para
el IVE, consulte Variables del sistema y ejemplos en la pgina 1046.
5. (Slo en Citrix que use el ICA predeterminado) Seleccione Session Reliability
and Auto-client reconnect para mantener las sesiones ICA activas y en la
pantalla del usuario cuando la conectividad de red se interrumpa. Los usuarios
continan viendo la aplicacin que estn usando hasta que la conectividad de
red se reanuda o el tiempo de la fiablilidad de la sesin se acaba (el valor del
tiempo de espera la define el producto Citrix). Introduzca el puerto que se usar
en Port to be enabled.
605

automticamente este marcador de sesin de Terminal Services cuando los

de terminal
de terminal.
NOTA:
Las opciones de esta seccin slo se aplican a marcadores de Terminal

Services de Windows y Citrix que usen marcadores ICA predeterminados.
Las opciones Connect Devices que especifica a nivel de rol controlan si el

usuario final puede habilitar o inhabilitar el acceso a los recursos locales
cuando configuran sus propios marcadores. Estas opciones a nivel de rol no
controlan si los usuarios pueden tener acceso a los recursos locales a travs de
un marcador creado por un administrador del IVE.
2. Desplcese a la seccin Connect Devices de la pgina de configuracin de los
marcadores.
NOTA: Si especifica Citrix using custom ICA file en la seccin de configuracin
Session Type, el elemento de configuracin Connect Devices no estar
disponible.
3. Seleccione Connect local drives para conectar la unidad local del usuario con
el servidor de terminal, permitiendo al usuario copiar la informacin desde el
4. Seleccione Connect local printers para conectar las impresoras locales
del usuario con el servidor de terminal, permitindole al usuario imprimir
5. Seleccione Connect COM Ports para conectar los puertos COM del usuario
606
6. (Slo Terminal Services de Windows) Seleccione Allow Clipboard Sharing

si desea permitir que los contenidos del portapapeles se compartan entre el
equipo host del usuario y el servidor de terminal. Debido a las limitaciones de
las versiones anteriores a la 6.0 del cliente RDP, al inhabilitar la opcin Allow
Clipboard Sharing se inhabilitarn automticamente las opciones Connect
local drives, Connect local printers y Connect COM Ports.
NOTA: Cuando habilita recursos locales a travs del servidor de terminal,
cada usuario slo puede tener acceso a sus propios recursos locales. Por ejemplo,
7. (Slo para Terminal Services de Windows) Seleccione Connect smart cards

para permitir que los usuarios usen tarjetas inteligentes para autenticar sus
sesiones de escritorio remoto.
8. (Slo para Terminal Services de Windows) Seleccione Sound Options para
habilitar el sonido durante la sesin remota. Elija Bring to this computer para
redirigir el audio al equipo local. Elija Leave at remote computer para
reproducir el audio slo en el servidor.
NOTA: Las opciones para tarjetas inteligentes y sonido son compatibles con
Remote Desktop Protocol de Microsoft versin 5.1 y posteriores.
Definicin de los ajustes de escritorio para la sesin de servicios

de terminal
en la que debe aparecer la ventana de emulacin al usuario durante su sesin de
terminal.
NOTA: Las opciones de esta seccin se aplican slo a los marcadores de Terminal
Services de Windows.
Para definir los ajustes de visualizacin para las sesiones de los usuarios:
2. Desplcese a la seccin Display Settings de la pgina de configuracin de los
marcadores.
3. Seleccione Desktop background si desea mostrar un fondo con papel tapiz
a los usuarios. Si no selecciona esta opcin, el fondo estar vaco.
4. Seleccione Show contents of window while dragging si desea mostrar los
contenidos de la ventana Explorer de Windows mientras el usuario mueve las
ventanas en los escritorios.
607
5. Seleccione Menu and window animation si desea animar el movimiento de

6. Seleccione Themes si desea permitir que los usuarios agreguen temas de
Windows en sus ventanas del servidor de terminal.
7. Seleccione Bitmap Caching si desea mejorar el rendimiento al minimizar la
cantidad de informacin de pantalla que se transmite por una conexin.
8. Seleccione Font Smoothing (RDP 6.0 onwards) para suavizar el texto y hacerlo
ms fcil de leer. Esta opcin slo funciona en equipos con Windows Vista que
ejecuten clientes RDP de versin 6.0 o posterior.
9. Seleccione Desktop Composition (RDP 6.0 onwards) para permitir la
composicin del escritorio. Con la composicin del escritorio, las ventanas
individuales no aparecen directamente en la pantalla. En cambio, las imgenes
se redirigen a la memoria de vdeo, la que luego las enva en una imagen de
escritorio y las presenta en la pantalla.
Creacin de enlaces desde un sitio externo a un marcador de sesin de

Terminal Services
Cuando cree un enlace a un marcador de sesin de terminal desde otro sitio,
puede formar cualquiera de los siguientes tipos de direcciones URL:
Direccin URL que incluye todos los parmetros necesarios: Cree una
direccin URL que incluya todos los parmetros que desea transmitir al
programa de servicios de terminal, como los parmetros del host, del puerto
y de la ventana de terminal. Al crear la direccin URL, use la siguiente sintaxis:
https://<IVE>/dana/term/winlaunchterm.cgi?<param1>=<value1>&<param2>=<
value2>
Cuando cree la direccin URL, puede usar los nombres de parmetro que
distinguen maysculas de minsculas descritos en la Tabla 37. Si desea incluir
ms de un parmetro en el marcador de sesin, nalos en una cadena usando
el smbolo &. Por ejemplo:
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=yourtermserver.yourdo
main.com&type=Windows&clientPort=1094&serverPort=3389&user=john&passw
ord=abc123&screenSize=fullScreen
Direccin URL a marcador de servicios de terminal: Cree una direccin URL

que simplemente apunte a un marcador de sesin que ya haya creado en el IVE
siguiendo las instrucciones en Creacin de marcadores de sesin de servicios
de terminal avanzados en la pgina 600 (instrucciones de perfil de recursos) o
Definicin de los ajustes de rol: Terminal Services en la pgina 599. Al crear
la direccin URL, use la siguiente sintaxis:
https://<IVE>/dana/term/winlaunchterm.cgi?bmname=<bookmarkName>
Dentro de la direccin URL, slo defina el parmetro bmName.
608
NOTA: Cuando use el IVE para almacenar los marcadores de sesin de Terminal
Services, debe:
Habilitar la opcin User can add sessions en la pgina Users > User Roles >
Seleccionar rol > Terminal Services > Options. Si no selecciona esta opcin,
los usuarios no podrn enlazar a los marcadores de sesin de Terminal
Services desde sitios externos.
Cree una directiva que evite que el IVE reescriba el enlace y la pgina que
contiene el enlace usando los ajustes de la pgina Users > Resource
Policies > Web > Rewriting > Selective Rewriting de la consola de
administracin. Para obtener instrucciones, consulte Creacin de una
directiva de recursos de reescritura selectiva en la pgina 443.
Adems, recomendamos que use el protocolo https en vez de http. De lo contrario,

cuando los usuarios inicien el marcador de sesin, vern una advertencia de sitio
inseguro.
NOTA: Si crea vnculos en servidores externos para marcadores de Terminal

Services en el IVE y usa varias URL de inicio de sesin personalizadas, es posible
que se presenten algunas restricciones. Para obtener ms informacin, consulte la
nota en Directivas de inicio de sesin en la pgina 211.
Tabla 37: Nombres de parmetros de marcadores de sesin de servicios de terminal que no distinguen maysculas
de minsculas
Nombre de
parmetro
Descripcin y valores posibles
Ejemplo
host
Requerido. Nombre de host o

direccin IP del servidor de
terminal de Windows o de
Metaframe
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer
type
Tipo de servidor de terminal.

Algunos valores posibles son
Windows o Citrix.
mServer&type=Windows
clientPort
Puerto con el que se comunica el

cliente del usuario.
mServer&clientPort=1094
serverPort
Puerto en el que recibe la

comunicacin el servidor de
terminal. Los valores
predeterminados son 3389 para
Windows y 1494 para Citrix.
mServer&serverPort=3389
user
Nombre de usuario para transmitir https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer

mServer&user=jDoe
al servidor de terminal. Puede
introducir un nombre de usuario
esttico, como JPrez, o un
nombre de usuario variable, como
<user> o <username>.
609
de minsculas (continuacin)
Nombre de
parmetro
Ejemplo
password
Contrasea para transmitir al

servidor de terminal.
mServer&user=jDoe&password=<password>
bmname
Especifica el nombre del marcador https://<IVE>/dana/term/winlaunchterm.cgi?bmname=<bookmar

kName>
de sesin.
screenSize
El tamao de la ventana de
servicios de terminal. Valores
posibles:
mServer&screenSize=fullScreen
fullScreen
800x600
1024x768
1280x1024
Nota: Para obtener ms

informacin acerca de la opcin
fullScreen, consulte la nota en
Definicin de los ajustes de rol:
Terminal Services en la
pgina 599.
colorDepth
La profundidad de color de la
mServer&colorDepth=32
ventana de servicios de terminal,
expresado en bits. Valores posibles:
8
15
16
24
32
startApp
Especifica la ruta de un archivo

ejecutable de una aplicacin para
iniciar.
mServer&startApp=C:\Program Files\Microsoft
Office\Office10\WinWord.exe
startDir
Especifica el lugar donde el

servidor de terminal debe colocar
los archivos de trabajo para la
aplicacin.
mServer&startapp=C:\temp
connectDrives
Especifica si el usuario puede
conectar su unidad local al servidor mServer&connectDrives=Yes
de terminal. Valores posibles:
Yes
No
connectPrinters

conectar su impresora local al
servidor de terminal. Valores
posibles:
Yes
No
610
mServer&connectPrinters=Yes
Nombre de
parmetro
connectComPorts
Ejemplo

conectar puertos COM al servidor
de terminal. Valores posibles:
mServer&connectComPorts=Yes
Yes
No
allowclipboard

compartir los contenidos del
portapapeles entre el equipo host
del usuario y el servidor de
terminal. Valores posibles:
mServer&allowclipboard=Yes
Yes
No
desktopbackground
Especifica si se mostrar el ajuste

de papel tapiz actual. Valores
posibles:
mServer&desktopbackground=Yes
Yes
No
showDragContents
Especifica si se mostrarn los

contenidos de la ventana Explorer
de Windows mientras se mueve la
ventana alrededor del escritorio.
Valores posibles:
mServer&showDragContents=Yes
Yes
No
showMenuAnimation
Especifica si se animar el
movimiento de las ventanas,
mens y listas. Valores posibles:
mServer&showMenuAnimation=Yes
Yes
No
themes
Especifica si se permite que los

usuarios agreguen temas de
Windows en sus ventanas del
servidor de terminal. Valores
posibles:
mServer&themes=Yes
Yes
No
bitmapcaching
Especifica si se mejorar el
rendimiento al minimizar la
cantidad de informacin de
pantalla que se debe transmitir en
una conexin. Valores posibles:
mServer&bitmapcaching=Yes
Yes
No
611
Nombre de
parmetro
fontsmoothing
Ejemplo
Especifica si se suavizar el texto
para facilitar la lectura. Esta opcin mServer&fontsmoothing=Yes
slo funciona en equipos con
Windows Vista que ejecuten
clientes RDP de versin 6.0 o
posterior. Valores posibles:
Yes
No
desktopcomposition
Especifica si se permitir la
composicin del escritorio.
Valores posibles:
mServer&desktopcomposition=Yes
Yes
No
Especificacin de las opciones generales de Terminal Services

Los usuarios pueden crear sus propios marcadores de sesin de servicios de
terminal y pueden configurar el IVE para crear directivas de recursos de Terminal
Services que permitan acceso a los servidores especificados en los marcadores de
sesin de los servicios de terminal.
Para especificar las opciones generales de Terminal Services:
1. En la consola de administracin, seleccione Users > User Roles > Rol >
Terminal Services > Options.
2. Si va a habilitar sesiones Citrix, en Citrix client delivery method especifique el
lugar donde el IVE debe obtener el cliente ICA para descargarlo a los sistemas
de los usuarios:
612
Downloaded from the Citrix web site: El IVE instala la ltima versin del
cliente ICA desde el sitio Web de Citrix:
http://download2.citrix.com/files/en/products/client/ica/current/wficac.cab
Downloaded from the IVE: Use el botn Browse para navegar al cliente
ICA en su red local. Cuando carga el cliente, el IVE lo usa como el
predeterminado y lo descarga a los sistemas de los usuarios cuando sea
necesario. Tambin debe especificar el nmero de versin exacto del
cliente ICA.
Downloaded from a URL: El IVE instala el cliente ICA que usted elige
desde el sitio Web especificado. Tambin debe especificar el nmero de
versin exacto del cliente ICA.
NOTA:
Recomendamos que pruebe el cliente Citrix que se espera que descargue el

IVE con el archivo ICA personalizado que ha cargado en el IVE. Realice esta
prueba sin el IVE para determinar si el cliente Citrix admite las caractersticas
del archivo ICA personalizado. Si las caractersticas no funcionan sin el IVE,
tampoco funcionarn a travs del IVE.
Si elige descargar un cliente ICA desde el sitio Web o direccin URL de Citrix,
el IVE asegura la transaccin descargada al procesar la direccin URL a travs
del Motor de intermediacin de contenido del IVE. Por lo tanto, debe
seleccionar un sitio al que pueda tener acceso el IVE y que est habilitado para
los usuarios dentro de este rol.
Para determinar si el cliente Web ICA ya est instalado en un equipo, busque

la siguiente entrada en el registro de Windows:
HKEY_CLASSES_ROOT\CLSID\{238F6F83-B8B4-11CF-8771-00A024541EE3}
Puede determinar el nmero de versin de un cliente ICA extrayendo el

archivo cab (por ejemplo, wficat.cab), buscando el archivo inf (por ejemplo,
wficat.inf) y luego localizando la informacin acerca de cada ocx en el archivo
inf. Por ejemplo, wficat.inf (en wficat.cab) podra tener la siguiente
informacin:
[wfica.ocx]
file-win32-x86=thiscab
clsid={238F6F83-B8B4-11CF-8771-00A024541EE3}
FileVersion=8,00,24737,0
[wfica32.exe]
file-win32-x86=thiscab
FileVersion=8,00,24737,0
En este caso, 8,00,23737,0 es la versin del archivo. (Observe que la

versin tiene comas en vez de puntos.)
3. Habilite la opcin User can add sessions para permitir que los usuarios definan
sus propios marcadores de sesin de terminal y que tengan acceso a los
servidores de terminal a travs de la barra de navegacin del IVE en la pgina
de inicio del IVE. Cuando habilite esta opcin, aparecer el botn Add Terminal
Services Session en la pgina Terminal Services la prxima vez que el usuario
actualice la consola del usuario del IVE.
613
4. Habilite la opcin Auto-allow role Terminal Services sessions para permitir

que el IVE otorgue acceso automtico a los recursos definidos en el marcador
de la sesin de terminal (en lugar de tener que crear directivas de recursos).
Tenga en cuenta que slo se aplica a los marcadores de rol, no a los marcadores
de usuario.

pgina 722.
5. Si desea permitir a los usuarios que habiliten el acceso a los dispositivos locales
mediante los marcadores que ellos crean, seleccione las siguientes opciones de
la seccin Allow users to enable local resources defined below:
Users can connect drives: Permite que los usuarios creen marcadores que
conectan sus unidades locales con el servidor de terminal, permitindole al
usuario copiar la informacin desde el servidor de terminal a sus
directorios locales de cliente.
User can connect printers: Permite que los usuarios creen marcadores
que conectan sus impresoras locales con el servidor de terminal,
permitindole al usuario imprimir la informacin desde el servidor
de terminal en su impresora local.
User can connect COM Ports: Permite que los usuarios creen marcadores
que conecten sus puertos COM con el servidor de terminal, permitiendo la
comunicacin entre el servidor de terminal y los dispositivos en sus
puertos serie.
Allow Clipboard Sharing: Permite que el usuario cree marcadores que

compartan los contenidos del portapapeles entre el equipo host del usuario
y el servidor de terminal. Debido a las limitaciones de las versiones
anteriores a la 6.0 del cliente RDP, al inhabilitar la opcin Allow Clipboard
Sharing se inhabilitarn automticamente las opciones Connect local
drives, Connect local printers y Connect COM Ports.
NOTA:
614

Las opciones Connect Devices que especifique a nivel de rol pueden

sobrescribir cualquier opcin de Connect Devices que ajuste a nivel de
marcador. Para obtener ms informacin acerca de la configuracin de los
ajustes a nivel de rol, consulte Definicin de los ajustes de rol: Terminal
User can connect smart cards: Permita a los usuarios utilizar lectores de
tarjetas inteligentes conectadas a su sistema para autenticar su sesin de
escritorio remoto.
User can connect sound devices: Permita a los usuarios redirigir el audio
desde la sesin de escritorio remoto a su sistema local.
NOTA: Las tarjetas inteligentes que redirigen audio son compatibles con Remote
Desktop Protocol de Microsoft versin 5.1 y posteriores.
6. En la seccin Allow users to modify Display settings below:

a.
Seleccione Desktop background para ver su ajuste actual de papel tapiz.

Si no selecciona esta opcin, el fondo estar vaco.
b.
Seleccione Show contents of window while dragging para mostrar los

contenidos de la ventana Explorer de Windows mientras se mueve la
ventana por el escritorio.
c.
Seleccione Menu and window animation para animar el movimiento de

d. Seleccione Themes para permitir que se agreguen temas de Windows en

las ventanas del servidor de terminal.
e.
Seleccione Bitmap Caching para mejorar el rendimiento al minimizar

la cantidad de informacin de pantalla que se debe transmitir en una
conexin.
f.
Seleccione Font Smoothing (RDP 6.0 onwards) para suavizar el texto

y hacerlo ms fcil de leer. Esta opcin slo funciona en equipos con
Windows Vista que ejecuten clientes RDP de versin 6.0 o posterior.
Definicin de directivas de recursos: Terminal Services

Esta seccin contiene la siguiente informacin acerca de la configuracin de
directivas de recursos para la caracterstica Terminal Services:
Configuracin de directivas de recursos de servicios de terminal en la

pgina 616
Especificacin de la opcin de recursos de Terminal Services en la pgina 617
615
Configuracin de directivas de recursos de servicios de terminal


de terminal de Windows y servidores Citrix mediante perfiles de recurso, ya que
proporcionan un mtodo de configuracin ms simple y unificado. Para obtener
ms informacin, consulte Definicin de perfiles de recursos: Vista general de
Terminal Services en la pgina 570.
Cuando habilita la caracterstica Terminal Services para un rol, debe crear directivas
de recursos que especifiquen los servidores remotos a los que puede obtener
acceso un usuario. Puede crear directivas de recursos mediante la interfaz estndar
(segn se describe en esta seccin) o mediante los perfiles de recursos (mtodo
recomendado).
Cuando escriba una directiva de recurso de Terminal Services, deber proporcionar
informacin clave:

que se aplica la directiva. Cuando escriba una directiva de Terminal Services,
deber especificar el servidor de terminal al que los usuarios se pueden
conectar.
Acciones: Una directiva de recursos de Terminal Services permite o deniega el

acceso a un servidor de terminal.
Para escribir una directiva de recursos de Terminal Services:
1. En la consola de administracin, elija Users > Resource Policies > Terminal
Services > Access.
2. En la pgina Terminal Services Policies, haga clic en New Policy.
a.
b.
4. En la seccin Resources, especifique los servidores a los que se aplica esta

directiva usando las indicaciones descritas en Especificacin de recursos de
servidor en la pgina 104.
616
Available roles.
Allow access: Para otorgar acceso a los servidores especificados en la lista

Resources.
Deny access: Para denegar el acceso a los servidores especificados en la

lista Resources.

8. En la pgina Terminal Services Policies, ordene las directivas en el orden en
Especificacin de la opcin de recursos de Terminal Services

Use la ficha Options para emparejar las direcciones IP con los nombres de host
especificados como recursos en las directivas de recursos de servicios de terminal.
Cuando habilita esta opcin, el IVE busca las direcciones IP correspondientes a cada
nombre de host especificado en una directiva de recursos de Terminal Services.
Cuando un usuario intenta obtener acceso a un servidor especificando una
especificados en el campo Resources de cada directiva de recursos de Terminal
Services. El IVE aplica la opcin a su lista integral de nombres de host.
y parmetros.
617
Para especificar las opciones de recursos de Terminal Services:

1. En la consola de administracin, elija Users > Resource Policies > Terminal
Services > Options.
2. Seleccione IP based matching for Hostname based policy resources.
618
Captulo 23
Secure Meeting
Secure Meeting permite a los usuarios del IVE programar y realizar de forma segura
reuniones en lnea entre ellos y otros que no usen el IVE. Durante las reuniones, los
usuarios pueden compartir sus escritorios y aplicaciones con otros a travs de una
conexin segura, permitiendo a todos los participantes de la reunin compartir
instantneamente datos electrnicos en pantalla. Los asistentes a las reuniones
tambin pueden colaborar de forma segura controlando desde una ubicacin
remota el escritorio de otro usuario y a travs de un chat de texto mediante una
ventana de aplicacin aparte que no interfiere con la presentacin.
Esta seccin incluye la siguiente informacin sobre Secure Meeting:
Licencia: Disponibilidad de Secure Meeting en la pgina 619
Resumen de tareas: Configuracin de Secure Meeting en la pgina 620
Informacin general de Secure Meeting en la pgina 622
Definicin de los ajustes de rol: Secure Meeting en la pgina 633
Configuracin de los ajustes de reunin a nivel de sistema en la pgina 640
Resolucin de problemas de Secure Meeting en la pgina 643
Supervisin de Secure Meeting en la pgina 645
Licencia: Disponibilidad de Secure Meeting

La caracterstica Secure Meeting no est disponible en el dispositivo SA 700.
En dispositivos SA 4000 y posteriores, Secure Meeting est disponible como
una actualizacin individual.
La cantidad de reuniones y usuarios se duplica en una configuracin de clster
en comparacin con una sola unidad. Por ejemplo, si tiene una reunin x con y
usuarios en una sola unidad, entonces, en una unidad de clster de ms de dos,
tendr una reunin 2x con 2y usuarios.
Licencia: Disponibilidad de Secure Meeting 619
Resumen de tareas: Configuracin de Secure Meeting

Esta seccin proporciona informacin general de alto nivel sobre los requisitos de
configuracin de Secure Meeting.
NOTA: Las instrucciones que aparecen aqu complementan las de configuracin
estndar del IVE descritas a lo largo de toda esta gua.

Para configurar Secure Meeting:
1. Especifique una identidad de red para el IVE a travs de la pgina System >
Network > Overview de la consola de administracin. Secure Meeting utiliza
este nombre de host al construir la URL de la reunin para propsitos de
notificaciones por correo electrnico. Para obtener instrucciones, consulte
Configuracin de los ajustes de la red en la pgina 702.
2. Configure los ajustes de nivel de rol en las siguientes pginas de la consola de
administracin:
Use los ajustes de la pgina Users > User Roles > Seleccionar rol >
General para habilitar Secure Meeting a nivel de rol. Para obtener
instrucciones, consulte Definicin de los ajustes de rol: Secure Meeting
en la pgina 633.
Meetings > Options para configurar las restricciones de reuniones a nivel
de rol. Para obtener instrucciones, consulte Definicin de los ajustes de
rol: Secure Meeting en la pgina 633.
3. Especifique los servidores de autenticacin a los que pueden tener acceso los
creadores de la reunin y en los que pueden buscar mediante los ajustes de las
620
Meetings > Auth Servers para especificar los servidores de autenticacin
a los que pueden tener acceso los creadores de la reunin y en los que
pueden buscar. Para obtener instrucciones, consulte Especificacin de los
servidores a los que pueden acceder los creadores de reuniones en la
pgina 638.
Si desea permitir a los creadores de la reunin que inviten usuarios de un

servidor LDAP, use los ajustes de la pgina Authentication > Auth.
Servers > Seleccionar servidor LDAP > Meetings para habilitar el servidor.
Para obtener instrucciones, consulte Configuracin de los atributos de
bsqueda de LDAP para creadores de reuniones en la pgina 132.
Captulo 23: Secure Meeting
4. Si desea cambiar la pgina o URL de inicio de sesin predeterminada que usan

los asistentes a la reunin para iniciar sesin en ella, use los ajustes de las
siguientes pginas de la consola de administracin para configurar las
directivas de inicio de sesin de la reunin:
Use los ajustes de la pgina Authentication > Signing In > Sign-in Pages
para personalizar las pginas que ven los asistentes a la reunin al iniciar
sesin en una reunin.
Use los ajustes de la pgina Authentication > Signing In > Sign-in

Policies > [Directiva de reunin] para definir la URL que los invitados a la
reunin deben usar para tener acceso a ella. Tambin puede usar esta
pgina para asociar una pgina de reunin con la URL.
Use los ajustes de la pgina Authentication > Signing In > Sign-in

Policies > [Directiva de usuario] para asociar la directiva de inicio de sesin
de su reunin con una de usuario. El IVE aplica la URL de reunin
especificada a cualquier reunin creada por un usuario que inicia sesin en
la direccin URL asociada.
5. Configure los ajustes de la reunin a nivel de sistema, entre ellos los tiempos de
espera de sesin, la informacin de servidor SMTP, los ajustes de huso horario y
los de profundidad de color mediante las opciones de la pgina System >
Configuration > Secure Meeting de la consola de administracin. Para
obtener instrucciones, consulte Configuracin de los ajustes de reunin a nivel
de sistema en la pgina 640.
6. Si desea habilitar el registro del lado cliente, use los ajustes de las siguientes
pginas de la consola de administracin:
Use los ajustes de la pgina System > Log/Monitoring > Client Logs >
Settings de la consola de administracin para habilitar el registro del lado
cliente. Debe habilitar esta opcin para generar registros para los usuarios
finales del IVE y para los asistentes a la reunin. Para obtener
pgina 841.
General > Session Options de la consola de administracin para que los
asistentes a la reunin puedan cargar sus archivos de registro directamente
en el IVE, en lugar de tener que empaquetarlos y envirselos por correo
electrnico. Para obtener instrucciones, consulte Configuracin de los
ajustes de reunin a nivel de sistema en la pgina 640.
Use los ajustes de la pgina System > Log/Monitoring > Uploaded Logs
de la consola de administracin para ver los registros que los usuarios
envan al IVE. Para obtener instrucciones, consulte Visualizacin de
registros cargados del lado cliente en la pgina 844.
NOTA: Secure Meeting instala los archivos del cliente en diferentes directorios del
sistema operativo y privilegios. Para obtener ms informacin, consulte el manual
Client-side Changes Guide en el Juniper Networks Customer Support Center.
621
Informacin general de Secure Meeting

Esta seccin incluye la siguiente informacin sobre la experiencia del usuario final
de Secure Meeting:
Programacin de reuniones en la pgina 622
Envo de correos electrnicos de notificacin en la pgina 625
Entrar en una reunin en la pgina 626
Asistencia a las reuniones en la pgina 628
Direccin de reuniones en la pgina 629
Presentacin de reuniones en la pgina 630
Creacin de reuniones instantneas y de reuniones de apoyo en la

pgina 630
Programacin de reuniones
Todas las reuniones en lnea de Secure Meeting debe programarlas un usuario del
IVE. El creador de la reunin especifica los detalles de la reunin, como nombre de
la reunin, descripcin, hora de inicio, fecha de inicio, frecuencia, duracin,
contrasea y una lista de invitados.
Los creadores de reuniones pueden usar las siguientes aplicaciones para
programarlas:
622
Consola de usuario final del IVE: Cuando el creador de la reunin usa la

consola de usuario final del IVE para programar una reunin, Secure Meeting la
muestra en la pgina Meetings de los invitados del IVE habilitados para la
reunin. Si opta por habilitar un servidor de correo electrnico de protocolo de
transferencia sencilla de correo (SMTP), Secure Meeting tambin enva un
correo electrnico de notificacin a todos los invitados con direccin conocida
(como se describe en Envo de correos electrnicos de notificacin en la
pgina 625). Para obtener ms informacin, consulte Programacin de
reuniones a travs de la consola de usuario final del IVE en la pgina 623.
Microsoft Outlook: Cuando el creador de una reunin usa Microsoft Outlook

para programarla, Outlook la muestra en la pgina Calendar de otros invitados
con Outlook habilitado y enva a todos ellos un correo electrnico de
notificacin a travs del servidor de correo electrnico de Outlook (como se
describe en Envo de correos electrnicos de notificacin en la pgina 625).
Secure Meeting tambin muestra la reunin en la pgina Meetings de la
consola de usuario final del IVE para el creador de la reunin (pero no enva
correos electrnicos de notificacin a travs del servidor SMTP). Para obtener
ms informacin, consulte Programacin de reuniones a travs de Microsoft
Outlook en la pgina 623.
Los creadores de reuniones pueden omitir estos mecanismos de programacin si

optan por crear reuniones instantneas o de apoyo en lugar de reuniones estndar.
Para obtener ms informacin, consulte Creacin de reuniones instantneas y de
reuniones de apoyo en la pgina 630.
Las reuniones MySecureMeeting le permiten crear reuniones con URL estticas para
un tipo especfico (por ejemplo, reuniones de estado semanales). No es necesario
programar este tipo de reuniones. El director comienza la reunin, y los invitados
introducen la URL para asistir a ella. Para obtener ms informacin, consulte
Creacin de reuniones MySecureMeeting en la pgina 632.
Programacin de reuniones a travs de la consola de usuario final del IVE

Si habilita capacidades de creacin de reuniones a nivel de rol, los usuarios del IVE
pueden crear reuniones a travs de la pgina Meetings de la consola de usuario
final del IVE. Al hacerlo, deben especificar todos los detalles estndar de la reunin,
como nombre de la reunin, descripcin, hora de inicio, fecha de inicio, frecuencia,
duracin, contrasea y una lista de invitados. Adems, deben clasificar a todos los
invitados en una de dos categoras:
Invitados del IVE: Un invitado del IVE (tambin denominado invitado

perteneciente a la red) corresponde a un usuario del IVE que inicia sesin en
el mismo dispositivo o clster IVE que el creador de la reunin. Al invitar a un
usuario del IVE a una reunin, su creador debe especificar el nombre de
usuario y el servidor de autenticacin del usuario del IVE. Para obtener ms
informacin, consulte Especificacin de los servidores a los que pueden
acceder los creadores de reuniones en la pgina 638.
Invitados ajenos al IVE: Un invitado ajeno al IVE (tambin denominado

invitado no perteneciente a la red) corresponde a un usuario ajeno al IVE o a
un usuario del IVE que inicia sesin en un dispositivo o clster IVE diferente al
del creador de la reunin. Al invitar a un usuario ajeno al IVE a una reunin,
su creador debe especificar la direccin de correo electrnico del usuario.
NOTA: Si un invitado del IVE usa la URL de la reunin y no la pgina Meetings de
la consola de usuario final del IVE para participar en una reunin, Secure Meeting
clasifica al usuario como invitado ajeno al IVE. Para obtener ms informacin,
consulte Entrar en una reunin en la pgina 626.
Programacin de reuniones a travs de Microsoft Outlook

Si habilita capacidades de creacin de reuniones a nivel de rol, los usuarios del
IVE pueden crear reuniones a travs del calendario de Microsoft Outlook usando
el complemento de Secure Meeting para Outlook.
Al instalar el complemento de Secure Meeting en Microsoft Outlook 2000,
aparece el siguiente mensaje: The form you are installing may contain macros
(El formulario que est instalando puede contener macros). Como el formulario
de Secure Meeting no contiene macros, no importa si hace clic en Disable Macros
o en Enable Macros.
Informacin general de Secure Meeting 623
NOTA: Debe usar el mismo perfil de Outlook para eliminar el complemento de
Secure Meeting para Outlook que us para su instalacin. No se admite el cambio

de perfil entre la instalacin y la eliminacin del complemento.
Para utilizar ese complemento, el usuario debe:
1. Instalar el complemento desde la pgina Meetings de la consola de usuario
final del IVE.
2. Abrir el formulario de programacin de Secure Meeting en Outlook escogiendo
New > Secure Meeting.
3. Usar la ficha Secure Meeting para introducir los detalles acerca del IVE en que
se debe programar la reunin, adems de las credenciales de inicio de sesin,
territorio y la contrasea de una reunin del usuario.
NOTA: Debido a las limitaciones con Microsoft Outlook, no todos los detalles de la
reunin se llenan entre Microsoft Outlook y el IVE. Por ejemplo, si el usuario
programa una reunin a travs del IVE, Microsoft Outlook no muestra la reunin
en su calendario. Para obtener una lista completa de las reuniones, consulte el
documento Secure Meeting for Outlook, disponible en el sistema de ayuda del
usuario final del IVE, as como tambin el instalador del complemento de Secure
Meeting para Outlook.
4. Use las fichas Scheduling y Appointment para programar la reunin y agregar

invitados mediante la funcionalidad estndar de Outlook. Tenga en cuenta que
Secure Meeting admite la creacin de reuniones estndar o peridicas a travs
de Outlook.
NOTA: La ficha Appointment tiene una casilla de verificacin con la etiqueta This
is an online meeting using, que no se relaciona con el servidor de la reunin ni

el complemento de Secure Meeting para Outlook, y no la puede utilizar el
complemento de terceros.
5. Guarde la entrada del calendario para enviar la informacin al servidor de
Secure Meeting. Tenga en cuenta que, al guardar una reunin, es posible que el
usuario reciba una advertencia de certificado debido a que el complemento se
comunica con un servidor seguro.
624
6. Outlook enva correos electrnicos de invitacin a los invitados que usan texto
y el enlace de URL de la reunin construido por el complemento de Secure
Meeting para Outlook. Adems, Outlook agrega la reunin a los calendarios de
Outlook de los invitados a la reunin. Este elemento del calendario incluye toda
la informacin estndar registrada por Outlook, adems de la ficha adicional
Secure Meeting, que contiene la informacin especificada por el creador de la
reunin en la ficha Secure Meeting. Tenga en cuenta que el IVE no enva un
correo electrnico adicional mediante el servidor SMTP. Para obtener ms
informacin, consulte Envo de correos electrnicos de notificacin en la
pgina 625.
NOTA: El complemento de Secure Meeting para Outlook slo es compatible con
equipos con Windows Outlook 2000, 2002 2003. No admite Outlook 2007 ni
posteriores.
7. Para eliminar una reunin, haga clic en Delete Meeting from Server en la ficha
Secure Meeting. La reunin no se elimina haciendo clic en Delete del
formulario de Outlook.
NOTA: La autenticacin del complemento de Secure Meeting para Outlook no

funciona si el territorio habilita las directivas de Host Checker o requiere que los
usuarios seleccionen un rol.
Envo de correos electrnicos de notificacin

Puede configurar Secure Meeting u Outlook para enviar correos electrnicos de
notificacin a los invitados si el creador de la reunin guarda una reunin nueva o
modificada. El correo electrnico contiene detalles de la reunin, un enlace que el
invitado puede usar para unirse a la reunin y otro para verificar si su sistema es
compatible con Secure Meeting. (Para obtener ms informacin, consulte
Supervisin de Secure Meeting en la pgina 645.)
NOTA: Puede enviar correos electrnicos de notificacin para las reuniones
de MySecureMeeting. Para obtener ms informacin, consulte Creacin de
reuniones MySecureMeeting en la pgina 632.
Si los usuarios programan reuniones a travs de la consola de usuario final del IVE,
debe habilitar un servidor SMTP en la pgina Users > Resource Policies >
Meetings de la consola de administracin para poder enviar correos electrnicos de
notificacin a los invitados. Al hacerlo, Secure Meeting obtiene direcciones de
correo electrnico de las siguientes fuentes:
Pgina Preferences: Un usuario del IVE puede introducir la direccin de su

correo electrnico en la ficha General de la pgina Preferences. Al hacerlo,
Secure Meeting usa automticamente dicha direccin cuando un creador de
reunin selecciona el nombre del usuario en la ficha Local del cuadro de
dilogo Add Invitees. Para obtener ms informacin, consulte Especificacin
de los servidores a los que pueden acceder los creadores de reuniones en la
pgina 638.
Servidor LDAP: El creador de la reunin puede agregar usuarios desde un

servidor LDAP. Si dicho servidor guarda direcciones de correo electrnico para
sus usuarios, Secure Meeting usa automticamente dicha direccin cuando el
creador de una reunin selecciona el nombre del usuario en la ficha LDAP del
cuadro de dilogo Add Invitees. Para obtener ms informacin, consulte
Definicin de los ajustes de rol: Secure Meeting en la pgina 633.
Pgina Create Meeting: El creador de la reunin puede introducir de forma

manual (o anular) las direcciones de correo electrnico de los invitados a la
reunin a la vez que programa o actualiza una reunin.
De lo contrario, si los usuarios programan una reunin a travs de Microsoft

Outlook, el complemento de Secure Meeting para Outlook usa las direcciones de
correo electrnico que se guardan en el servidor de correo electrnico de Outlook.
Si la persona que crea una reunin en Secure Meeting usa invitaciones por correo
electrnico y tiene acceso al IVE mediante una URL que no sea el nombre de
dominio completamente calificado (por ejemplo, https://ive, no
https://ive.empresa.com), la invitacin por correo electrnico puede mostrar
https://ive en la informacin de la invitacin y no el verdadero nombre de host.
Como resultado de ello, es posible que los destinatarios de correos electrnicos no
puedan tener acceso al enlace del correo electrnico. Le recomendamos configurar
la identidad de la red del IVE. Si se configuran, las invitaciones de Secure Meeting
usan dicho nombre de host.
Entrar en una reunin

Los invitados pueden entrar a la reunin hasta 15 minutos antes de su inicio. Secure
Meeting realiza sus reuniones en lnea en el IVE, lo que permite asistir a las
reuniones tanto a los usuarios del IVE como a los que no lo son. (Sin embargo,
los asistentes a la reunin que no son usuarios del IVE no pueden tener acceso
a ninguna de las caractersticas del IVE, excepto a la reunin a la que fueron
invitados.)
Para entrar en una reunin, los invitados de Secure Meeting deben dirigirse hasta
el sitio de la reunin del servidor de Secure Meeting (IVE) mediante uno de los
siguientes mtodos:
Use el enlace que aparece en la pgina Meetings (slo invitados del IVE).
Use el enlace que aparece en el correo electrnico de notificacin.
Introduzca la URL de la reunin en un explorador Web.
NOTA: MySecureMeetings slo admite introducir la URL de la reunin en un

explorador Web. Para obtener ms informacin sobre cmo entrar a una reunin
de MySecureMeeting, consulte Entrar en reuniones MySecureMeeting en la
pgina 633.
Para obtener la URL de una reunin, su creador puede buscar en la pgina Join
Meeting. Tambin, si elige el uso de la URL predeterminada de la reunin, cualquier
invitado a la reunin puede determinar la URL correcta introduciendo los valores
correspondientes en la siguiente URL:
https://<YourIVE>/meeting/<MeetingID>
626
Donde:
<YourIVE> corresponde al nombre y dominio del IVE que hospeda la reunin,

como IVEserver.yourcompany.com. Secure Meeting saca este nombre del campo
Hostname de la ficha System > Network > Overview, si se define. De lo
contrario, Secure Meeting saca el nombre del IVE del explorador del creador de
la reunin.
meeting corresponde a una cadena literal. (Esta cadena siempre es la misma.)

Tenga en cuenta que meeting debe comenzar con m minscula. En el caso de
MySecureMeetings, el valor predeterminado es meeting, pero lo puede definir el
administrador del sistema.
<MeetingID> corresponde al nmero nico de identificacin de 8 dgitos que

genera Secure Meeting para la reunin. Si el usuario no incluye la ID de reunin
en la URL, Secure Meeting se la solicita al iniciar sesin en la reunin. Por
ejemplo:
https://connect.acmegizmo.com/meeting/86329712
En el caso de MySecureMeetings, <MeetingID> corresponde al token del

nombre de esta reunin. Es esttico para una reunin en particular y se puede
volver a usar indefinidamente hasta que se elimine. Por ejemplo:
https://connect.acmegizmo.com/meetings/chris/weeklyStatus
NOTA: Puede optar por personalizar la URL de la reunin con la caracterstica de
las pginas de inicio de sesin personalizado, segn se explica en Configuracin

de directivas de inicio de sesin en la pgina 214. Si lo hace, los usuarios no
pueden tener acceso a una reunin mediante la URL descrita en esta seccin.
Una vez que se dirigieron al sitio de la reunin, los usuarios autenticados del IVE
pueden entrar directamente a la reunin; no es necesario que introduzcan un
nombre de usuario ni una contrasea para tener acceso al sitio de la reunin en
el IVE debido a que ya se les autentic a travs del IVE.
Sin embargo, los usuarios que no son del IVE deben introducir un nombre y una
contrasea en la pgina de inicio de sesin dado que an no se les autentica.
Secure Meeting autentica a los asistentes que no son usuarios del IVE segn las ID
y contraseas de la reunin que introducen en la pgina de inicio de sesin. (Tenga
en cuenta que el IVE no usa los nombres de los invitados para su autenticacin; slo
usa los nombres para mostrarlos durante la reunin.)
Cuando un invitado decide entrar en una reunin, Secure Meeting descarga o inicia
un cliente de Windows o un applet de Java en el sistema del invitado. Este
componente del lado cliente contiene un visor de reuniones, herramientas de
presentacin y una aplicacin de mensajes de texto. Una vez que Secure Meeting
inicia el cliente de Windows o el applet de Java en el escritorio del usuario, ste se
convierte en un asistente a la reunin y puede comenzar a participar de ella.
NOTA: Al configurar Secure Meeting, tenga en cuenta que:
Secure Meeting no funciona con archivos PAC en sistemas Macintosh o Linux.
Secure Meeting permite a los usuarios de Windows entrar en las reuniones

a travs de un proxy NTLM con o sin autenticacin, siempre que sus
exploradores admitan correctamente proxys. Secure Meeting no admite
proxys NTLM en clientes Macintosh o Linux.
Si un usuario inicia sesin en un dispositivo en clster mediante la direccin

IP de ste, el usuario crea una reunin; luego, usted borra el clster a travs de
la Web o de la consola serie, la reunin se detiene debido a que elimin la
direccin IP en la que el creador inici sesin antes de crear la reunin y
entrar en ella. Esta situacin no ocurre si el usuario inicia sesin mediante la
direccin IP del dispositivo y no la del clster. Asimismo, no debe cambiar el
nombre del nodo de clster si se est ejecutando una reunin en el nodo.
Asistencia a las reuniones

De forma predeterminada, tan pronto como un asistente entra en una reunin,
puede ver los nombres de otros usuarios que tambin asisten a ella y puede
enviarles mensajes de texto mediante la ventana Secure Meeting Chat. No
obstante, puede optar por desactivar estas capacidades para que las reuniones sean
ms seguras y productivas.
Por ejemplo, si el CFO de su empresa optar por realizar una reunin con la
comunidad de analistas de la empresa, puede optar por ocultar los nombres de los
asistentes a fin de mantener la confidencialidad de sus identidades. Adems, puede
optar por desactivar el chat de texto para que los asistentes a la reunin no
interrumpan la presentacin del CFO.
Puede inhabilitar el chat de texto y habilitar los nombres ocultos de los roles de
cada uno de los usuarios. Tambin, puede especificar que los creadores de la
reunin dentro del rol puedan decidir si Secure Meeting oculta los nombres de los
asistentes o no. Si lo hace, los creadores de la reunin pueden elegir esta opcin en
las siguientes situaciones:
628
Al programar o modificar una reunin en la pgina Meetings de la interfaz

estndar del IVE. (El creador de la reunin no puede optar por ocultar los
nombres de los asistentes de la interfaz de programacin de Microsoft
Outlook.)
Al entrar en una reunin estndar o una instantnea. (Sin embargo, tenga en

cuenta que el creador de la reunin slo puede optar por ocultar los nombres
de los asistentes si l es la primera persona en entrar en la reunin. Si otro
asistente entra en la reunin antes que el creador, Secure Meeting muestra
automticamente los nombres de los asistentes a la reunin y no permite al
creador de la reunin cambiar el ajuste de pantalla.)
Si usted o el creador de la reunin opta por ocultar los nombres de los asistentes,
los usuarios de Secure Meeting slo podrn ver sus propios nombres y los del
director y presentador de la reunin. Para obtener ms informacin, consulte
Direccin de reuniones en la pgina 629 y Presentacin de reuniones en la
pgina 630.
La funcionalidad del chat de Secure Meeting slo admite usuarios que usen
codificacin en el mismo idioma (segn los ajustes del explorador Web) en una sola
reunin. El uso de una codificacin diferente ocasionar la generacin de texto
incomprensible. Las invitaciones a la reunin se envan segn el ajuste de idioma
del explorador Web del creador al crear o guardar las reuniones.
Direccin de reuniones
El director de la reunin corresponde a un usuario del IVE que se encarga de iniciar
la reunin. Secure Meeting le otorga al director las siguientes responsabilidades y
capacidades que le ayudarn a realizar eficazmente su reunin:
Inicio de la presentacin de la reunin: Antes de que entre el director, los

dems asistentes slo pueden chatear. No pueden ver ni hacer presentaciones
debido a que el director tambin es el presentador predeterminado de la
reunin. El presentador dela reunin inicia la presentacin compartiendo su
escritorio y aplicaciones con los dems asistentes, segn se explica en
Presentacin de reuniones en la pgina 630.
Transferencia de derechos de director y presentador: El director de la reunin

puede optar por transferir algunas de sus responsabilidades, o todas ellas, a
otros asistentes a la reunin. Por ejemplo, despus de entrar en la reunin,
el director puede especificar que otros asistentes inicien la presentacin de la
reunin transfiriendo derechos de presentador a dicho asistente. El director
puede transferir sus derechos como tal a otro usuario del IVE y sus derechos de
presentador a cualquier otro asistente, sea usuario del IVE o no.
Supervisin de la reunin: El director de la reunin es responsable de, si es

necesario, expulsar a asistentes a la reunin. El director de la reunin tambin
puede ver los nombres de todos los asistentes, pudiendo as determinar quin
asiste (incluso si el creador de la reunin opta por ocultar los nombres, segn se
describe en Asistencia a las reuniones en la pgina 628).
Trmino de la reunin: El director de la reunin es responsable de prolongar la

reunin si sta dura ms de lo programado y de concluirla una vez finalizada.
Presentacin de reuniones
Una vez que el presentador comienza a compartir, se abre automticamente un
visor de reuniones en todos los escritorios de los asistentes a la reunin y muestra
las aplicaciones compartidas del presentador1. Secure Meeting otorga al
presentador las siguientes capacidades que le ayudarn a realizar una presentacin
eficaz a los dems usuarios:
Compartir mltiples aplicaciones: El presentador puede compartir una sola

aplicacin, mltiples aplicaciones o todo su escritorio con los dems asistentes
a la reunin. (Tenga en cuenta que los usuarios de Macintosh no pueden
compartir aplicaciones individuales. Slo pueden compartir sus escritorios.)
Anotacin de presentaciones: El presentador puede usar las anotaciones de la

barra de herramientas de Secure Meeting para ilustrar los conceptos clave o
para identificar caractersticas importantes de una aplicacin compartida.
Adems, puede habilitar los derechos de anotacin de otros asistentes a la
reunin.
Transferencia de derechos de controlador: El presentador de la reunin puede

designar un controlador. El controlador de una reunin usa su propio ratn y
teclado como control remoto para el escritorio o las aplicaciones compartidas
del presentador. El presentador puede transferir los derechos de control remoto
a otro asistente. Si el presentador desea recuperar el control de sus aplicaciones
con control remoto, simplemente debe hacer clic; Secure Meeting le devolver
el control al presentador.
Al igual que el director de la reunin, su presentador tambin puede ver los

nombres de todos los asistentes (incluso si el creador o administrador de la reunin
opta por ocultar los nombres, como se describe en Asistencia a las reuniones en la
pgina 628). Secure Meeting le permite ver los nombres de todos los asistentes
para que as sepa a quin le est transfiriendo derechos de controlador.
NOTA: Los presentadores de reunin no pueden habilitar anotaciones y el control
remoto al mismo tiempo.
Los visores de clientes Linux y Macintosh pueden demorar en cargar la

presentacin si el rea de la pantalla de escritorio del presentador es mayor
que 1856 x 1392.
Creacin de reuniones instantneas y de reuniones de apoyo

Las reuniones instantneas y las reuniones de apoyo se pueden crear rpidamente
sin necesidad de pasar por las pginas de programacin del IVE o de Microsoft
Outlook. En lugar de ello, un usuario del IVE simplemente tiene que hacer clic en
el botn Instant Meeting o en el botn Support Meeting en la consola de usuario
final del IVE y hacer clic en Start Meeting. En ese momento, el IVE inicia la
reunin.
1. Secure Meeting no puede mostrar el contenido del escritorio del presentador de la reunin si ste est
bloqueado.
630
Al crear reuniones instantneas y reuniones de apoyo, el IVE acelera el proceso

omitiendo ciertos pasos de la programacin. Por ejemplo, el IVE no solicita al
creador de la reunin agregar las direcciones de correo electrnico de otros
invitados, sino que hace del creador de la reunin el nico invitado a la reunin.
Luego, el creador de la reunin puede proporcionar a otros invitados la informacin
necesaria para entrar en la reunin, como la URL, la ID y la contrasea de la
reunin (segn se explica en Entrar en una reunin en la pgina 626).
El IVE tambin acelera el proceso de programacin haciendo ciertas suposiciones
con respecto a lo que los asistentes a la reunin desean hacer. Por ejemplo, adems
de hacer del creador de la reunin el nico invitado a ella, el IVE tambin supone
que l desea realizar la reunin y, por lo tanto, lo convierte en el director de la
reunin. (De hecho, debido a que es probable que otros asistentes entren en la
reunin a travs de la URL de la reunin y no de la consola de usuario final del IVE,
el creador de la reunin es el nico usuario que puede realizar la reunin, segn se
explica en Direccin de reuniones en la pgina 629.) Adems, el IVE asigna
automticamente un nombre de reunin (Secure Meeting (-EETING)$) para
reuniones instantneas y Support Meeting (-EETING)$) para reuniones de
apoyo), fecha y hora de inicio de una reunin (inmediatamente), la duracin de una
reunin (una hora) y la frecuencia de una reunin (una reunin que slo se
celebrar una vez.)1
El IVE tambin usa los ajustes predeterminados que corresponden al tipo de
reunin:
Reunin instantnea: Una reunin instantnea corresponde bsicamente a

una reunin estndar que los usuarios pueden crear con mayor rapidez. Por lo
tanto, cuando un usuario decide crear una reunin instantnea, el IVE aplica
todos los ajustes de nivel de rol del usuario, como requisitos de autenticacin,
control remoto y chat seguro.
Reunin de apoyo: Una reunin de apoyo corresponde a una reunin de dos

personas cuyo objetivo principal es el de permitirle a un usuario del IVE
resolver rpidamente el problema de otro usuario. Por tanto, el IVE no habilita
todos los ajustes de nivel de rol del usuario, sino que habilita automticamente
las opciones que facilitan la solucin rpida de problemas y inhabilita otros
ajustes, como se describe a continuacin:
Desktop sharing enabled: Cuando el segundo usuario entra en la reunin,

el IVE comparte automticamente su escritorio con el director de la
reunin, lo que permite al director ver inmediatamente el problema del
usuario sin tener que explicar las funciones del presentador de una reunin
ni la forma de compartir el escritorio.
Remote control initiated: Cuando el segundo usuario entra en la reunin,

el IVE le pregunta automticamente si el director puede controlar de forma
remota su escritorio. Suponiendo que el usuario acepta haciendo clic en
Yes, el creador de la reunin puede comenzar inmediatamente a navegar a
travs del equipo del usuario para encontrar el problema y solucionarlo.
Si el usuario hace clic en No, el director puede obtener posteriormente el
control remoto mediante los mecanismos de solicitud estndar.
1. El creador de la reunin puede cambiar los ajustes predeterminados para una reunin instantnea o de apoyo
volviendo a la pgina Meeting Details despus de crear la reunin.
Annotations disabled: El IVE no revela la caracterstica de anotaciones

durante una reunin de apoyo debido a que sta slo consta de dos
usuarios. Si los usuarios tienen que demostrarse un problema entre s,
pueden usar la caracterstica de control remoto para controlar directamente
las aplicaciones con problemas.
Secure chatting disabled: El IVE no revela la caracterstica de chat seguro

durante una reunin de apoyo debido a que los usuarios no tienen por qu
enviarse mensajes de texto entre s, sino que deberan hablar directamente
por telfono.
Creacin de reuniones MySecureMeeting

Las reuniones MySecureMeetings, o reuniones personales, se pueden crear
rpidamente sin necesidad de pasar por las pginas de programacin del IVE o de
Microsoft Outlook. En lugar de esto, un usuario del IVE simplemente tiene que
hacer clic en el botn Meeting de la consola de usuario final del IVE, introducir el
tema de la reunin y hacer clic en Start Meeting. En ese momento, el IVE inicia la
reunin.
Las reuniones MySecureMeeting son diferentes de las reuniones instantneas en
que las MySecureMeeting tienen una URL fija para una reunin especfica. Puede
crear un marcador para esta URL ya que no cambia. El nombre de la reunin debe
ser nico dentro de su lista personal de reuniones y se puede volver a usar
indefinidamente hasta que el propietario o el administrador lo borre. La URL de la
reunin usa el formato:
https://<YourIVE>/<MySecureMeetingRoot>/<userToken>/<MeetingID>
Donde:
<YourIVE> corresponde al nombre y dominio del IVE que hospeda la reunin,

como IVEserver.yourcompany.com. Secure Meeting saca este nombre del campo
Hostname de la ficha System > Network > Overview, si se define. De lo
contrario, Secure Meeting saca el nombre del IVE del explorador del creador de
la reunin.
<MySecureMeetingRoot> corresponde a la cadena raz de su URL personal.

De forma predeterminada, la raz es meeting.
<userToken> corresponde a la cadena que identifica exclusivamente a esta URL.
Puede ser el nombre de usuario, una cadena (con un nombre automticamente

adjuntado, lo que le otorga exclusividad) o una expresin. Por ejemplo:
https://my.company.com/meetings/chris/
https://my.company.com/meetings/room1
https://my.company.com/meetings/chris.andrew
Para obtener ms informacin sobre <userToken>, consulte Configuracin de

los ajustes de reunin a nivel de sistema en la pgina 640.
<MeetingID> corresponde al token del nombre de esta reunin. Es esttico
para una reunin en particular y se puede volver a usar indefinidamente hasta

que se elimine. Por ejemplo:
https://my.company.com/meetings/chris/weeklystaff
632
La pgina Meetings del usuario muestras sus direcciones personales de la reunin.

Los usuarios pueden enviar esta URL a los invitados para que entren en la reunin
en el momento en que comience.
Todas las reuniones pasadas aparecen en la pgina Meetings del usuario, facilitando
la ubicacin de una reunin especfica y la recuperacin de detalles de reuniones.
Entrar en reuniones MySecureMeeting

Los asistentes pueden entrar en la reunin MySecureMeeting introduciendo la URL
de la reunin en un explorador.
Una vez que se dirigieron al sitio de la reunin, los usuarios autenticados del IVE
pueden entrar directamente a la reunin; no es necesario que introduzcan un
nombre de usuario ni una contrasea para tener acceso al sitio de la reunin en el
IVE debido a que ya se autenticaron a travs del IVE.
Sin embargo, los usuarios que no son del IVE deben introducir un nombre y una
contrasea en la pgina de inicio de sesin dado que an no se les autentica.
MySecureMeeting autentica a los asistentes que no son usuarios del IVE segn las
ID y contraseas de la reunin que introducen en la pgina de inicio de sesin.
(Tenga en cuenta que el IVE no usa los nombres de los invitados para su
autenticacin; slo usa los nombres para mostrarlos durante la reunin.)
Definicin de los ajustes de rol: Secure Meeting

Esta seccin incluye la siguiente informacin sobre los ajustes de de nivel de rol
para Secure Meeting:
Habilitacin y configuracin de Secure Meeting en la pgina 633
Pautas de fusin permisiva para Secure Meeting en la pgina 638
Especificacin de los servidores a los que pueden acceder los creadores de

reuniones en la pgina 638
Habilitacin y configuracin de Secure Meeting

Para habilitar y configurar reuniones:
1. En la consola de administracin, elija Users > User Roles.
2. Seleccione un rol.
3. Si an no habilita Secure Meeting, en la ficha General > Overview, seleccione
la casilla de verificacin Meetings y haga clic en Save Changes.
NOTA: Si no selecciona la casilla de verificacin Meetings, los usuarios no pueden
crear reuniones, programar reuniones ni ver la pgina Meetings. Sin embargo,
tenga en cuenta que pueden seguir asistiendo a las reuniones a las que estn
invitados mediante el enlace incluido en los correos electrnicos de invitacin
o introduciendo directamente la URL de la reunin en sus exploradores Web.
633
4. Haga clic en la ficha Meetings > Options.

5. En la seccin Meeting Types, especifique el tipo de reunin que desea
proporcionar a los usuarios:
Users cannot create meetings: Seleccione esta opcin para inhabilitar la

creacin y programacin de reuniones, y seguir proporcionando a los
usuarios acceso a la pgina Meetings para entrar en las reuniones a las
cuales fueron invitados.
MySecureMeeting: Seleccione esta opcin para permitirles a los usuarios

crear reuniones personales sin tener que programarlas por adelantado.
Users can create additional meeting URLs under their personal

URL: Seleccione esta casilla de verificacin si desea permitir que los
usuarios creen tokens adicionales de <MeetingID>.
Users can create Support meetings: Seleccione esta casilla de

verificacin si desea permitir que los usuarios creen reuniones de
apoyo de dos personas (como se explica en Creacin de reuniones
instantneas y de reuniones de apoyo en la pgina 630).
Standard meetings: Seleccione esta opcin para permitir a los usuarios

crear reuniones programadas a travs de la pgina Meetings.
Users can create Scheduled meetings: Seleccione esta casilla de

verificacin para permitir a los usuarios crear reuniones programadas.
Users can create Instant meetings: Seleccione esta casilla de

verificacin para permitir a los usuarios crear reuniones instantneas.
Users can create Support meetings: Seleccione esta casilla de

verificacin si desea permitir que los usuarios creen reuniones de
apoyo de dos personas (como se explica en Creacin de reuniones
instantneas y de reuniones de apoyo en la pgina 630).
6. En Authentication Requirements, especifique las restricciones de

autenticacin que desea que los usuarios apliquen a las reuniones que crean:
634
Meeting password optional (more accessible): Seleccione esta opcin

para permitir al creador de la reunin decidir si la entrada en la reunin
requiere o no una contrasea. Al elegir esta opcin, toda persona que
conozca la URL, el nmero de ID y la contrasea (si corresponde) de la
reunin puede entrar en ella, incluso quienes no son usuarios de IVE.
Require meeting password (more secure): Seleccione esta opcin para

que el creador de la reunin deba crear una contrasea para la reunin o
usar una generada por Secure Meeting. Al elegir esta opcin, toda persona
que conozca la URL, el nmero de ID y la contrasea de la reunin puede
entrar en ella, incluso quienes no son usuarios de IVE.
Require server-generated password (even more secure): Seleccione esta

opcin para que el creador de la reunin deba usar la contrasea generada
por Secure Meeting. Al elegir esta opcin, toda persona que conozca la
URL, el nmero de ID y la contrasea de la reunin puede entrar en ella,
incluso quienes no son usuarios de IVE.
Require secure gateway authentication (most secure): Seleccione esta

opcin para permitir la entrada slo a los usuarios invitados autenticados
cotejndolos con la puerta de enlace segura del IVE para asistir a las
reuniones. Al elegir esta opcin, no es necesario que el creador de la
reunin cree una contrasea para la reunin debido a que todos los
usuarios deben autenticarse a travs de la puerta de enlace seguro de IVE.
7. (MySecureMeeting only) Under Password Options, specify password

requirements.
Minimum length: Ajuste la cantidad mnima de caracteres para las

contraseas.
Maximum length: Ajuste la cantidad mxima de caracteres para las

contraseas (opcional). La longitud mxima no puede ser inferior a la
longitud mnima. No existe un lmite mximo para la longitud.
Password must have one or more digits: Seleccione esta opcin para que
las contraseas deban tener al menos un dgito.
Password must have one or more letters: Seleccione esta opcin para que
las contraseas deban tener al menos una letra.
Password must have mix of UPPERCASE and lowercase letters:

Seleccione esta opcin si desea que todas las contraseas contengan una
mezcla de maysculas y minsculas.
Password must be different from username: Seleccione esta opcin para

que la contrasea no pueda ser igual que el nombre de usuario.
8. (slo MySecureMeeting) En Password Management, especifique cundo se

pueden cambiar las contraseas.
Allow meeting creator to decide: Seleccione esta opcin para que el

creador de la reunin pueda decidir cundo cambiar la contrasea.
Every_meetings: Seleccione esta opcin para especificar el nmero de

reuniones despus de las cuales vence la contrasea.
635
9. (slo reuniones estndar) En Password Distribution, especifique el mtodo de

distribucin que desea que empleen los creadores de reuniones (segn se
explica en Envo de correos electrnicos de notificacin en la pgina 625):
Do not display the password in the notification email (more secure):

Seleccione esta opcin para que los creadores de reuniones deban
distribuir manualmente la contrasea para la reunin a los invitados. Al
seleccionar esta opcin, Secure Meeting no distribuye la contrasea en los
correos electrnicos automticos de notificacin que enva los invitados,
y Microsoft Outlook no muestra la ficha Secure Meeting (que contiene la
contrasea para la reunin) a los invitados. La omisin de la contrasea del
correo electrnico de la reunin y de la entrada del calendario de Microsoft
Outlook ayuda a aumentar la seguridad de la red.
Display the password in the notification email (more accessible):

Seleccione esta opcin para distribuir automticamente la contrasea para
la reunin en el correo electrnico de notificacin enviado por Secure
Meeting y para que aparezca la ficha Secure Meeting en las entradas del
calendario de Microsoft Outlook.
Allow the meeting creator to decide: Seleccione esta opcin para

permitirle al creador de la reunin determinar si Secure Meeting y
Microsoft Outlook deben o no distribuir automticamente la contrasea
de la reunin a los invitados a ella.
NOTA: Debe habilitar un servidor de correo electrnico para enviar correos

electrnicos de notificacin de la reunin. Para obtener instrucciones, consulte
Envo de correos electrnicos de notificacin en la pgina 625.
10. (Slo reuniones instantneas o programadas) En Attendee Names, especifique

si desea que Secure Meeting muestre los nombres de los asistentes durante la
reunin (segn se explica en Asistencia a las reuniones en la pgina 628):
Do not allow hiding of attendee names: Seleccione esta opcin para que
aparezcan siempre los nombres de los asistentes a la reunin.
Allow meeting creator to hide attendee names: Seleccione esta opcin

para permitir al creador de la reunin decidir si aparecern o no los
nombres de los asistentes a la reunin.
Hide attendee names: Seleccione esta opcin para que se oculten siempre
los nombres de los asistentes a la reunin. Tenga en cuenta que, al
seleccionar esta opcin, Secure Meeting igual revela los nombres del
director y presentador de la reunin a otros asistentes a ella.
11. (slo reuniones instantneas o programadas) En Remote Control, especifique

si desea permitirles a los presentadores de reuniones compartir el control de
sus escritorios y aplicaciones con otros asistentes a la reunin (como se explica
en Direccin de reuniones en la pgina 629):
636
Allow remote control of shared windows (more functional): Seleccione

esta opcin para permitir al presentador o director de la reunin transferir
el control del escritorio y de las aplicaciones del presentador a cualquiera
de los asistentes a la reunin, incluidos los que no son usuarios del IVE.
Disable remote control (more secure): Seleccione esta opcin para limitar
el control del escritorio y de las aplicaciones del presentador de la reunin
exclusivamente al presentador.
12. En Secure Chat, indique si desea o no permitir a los usuarios chatear durante
sus reuniones:
Allow secure chat (more functional): Seleccione esta opcin para habilitar
el chat en las reuniones que crean los usuarios asignados a este rol.
Disable secure chat (more secure): Seleccione esta opcin para inhabilitar
el chat en las reuniones que crean los usuarios asignados a este rol.
NOTA: Si cambia este ajuste durante el curso de una reunin (es decir, despus de
que algn usuario haya entrado en la reunin), Secure Meeting no aplica el ajuste
modificado a la reunin en curso.
13. (slo reuniones estndar) En Secure Meeting for Outlook, seleccione la casilla
de verificacin Allow users to download Secure Meeting for Outlook Plugin si
desea permitir que los usuarios programen reuniones seguras a travs de
Microsoft Outlook (como se explica en Programacin de reuniones en la
pgina 622).
14. En Meeting Policy Settings, indique si desea o no restringir los recursos usados
por los usuarios de Secure Meeting:
Limit number of simultaneous meetings: Seleccione esta casilla de

verificacin e introduzca un valor correspondiente para especificar el
nmero mximo de reuniones que pueden realizar los miembros del
rol en un momento determinado.
Limit number of simultaneous meeting attendees: Seleccione esta casilla

de verificacin e introduzca un valor correspondiente para especificar el
nmero mximo de personas que pueden asistir simultneamente a las
reuniones programadas por los miembros del rol.
Limit duration of meetings (minutes): Seleccione esta casilla de

verificacin e introduzca un valor correspondiente para especificar
la duracin mxima (en minutos) de una reunin.
NOTA: El IVE tambin limita el nmero de reuniones a las que los usuarios pueden
asistir. Un usuario individual slo puede asistir a una reunin a la vez por equipo y
no puede asistir a ms de 10 reuniones consecutivas en un perodo de 3 minutos.
Estos lmites se suman a los de la reunin y del usuario definidos por la licencia
Secure Meeting.
15. Haga clic en Save Changes. El IVE agrega un enlace Meeting a las pginas
principales de puertas de enlace seguro de los usuarios en el rol especificado.
637
Pautas de fusin permisiva para Secure Meeting

Si opta por combinar roles (como se explica en Pautas de combinacin permisiva
en la pgina 72), el IVE combina todas las opciones de la pgina Users > User
Roles > Seleccionar rol > Meetings > Options para favorecer ajustes ms
accesibles en lugar de ajustes ms seguros que excepten directivas. Al aplicar
ajustes de directivas que controlen el nmero de reuniones y asistentes permitidos
por rol, Secure Meeting pasa por los distintos roles intentando encontrar uno cuyo
lmite no se haya alcanzado.
Por ejemplo, puede especificar que los siguientes roles puedan programar el
siguientes nmero de reuniones:
Ingeniera: 25 reuniones
Administracin: 50 reuniones
Ventas: 200 reuniones
Si Joe asigna todos estos roles (en el orden en que aparecen), e intenta programar
una reunin, Secure Meeting primero comprueba si se lleg al lmite de reunin
programado para Ingeniera. Si es as, Secure Meeting comprueba el cupo de la
reunin de Administracin. Si se lleg al lmite, Secure Meeting comprueba el lmite
para el rol Ventas. Slo una vez que se llega al lmite de estos roles, Secure Meeting
muestra un mensaje a Joe dicindole que se alcanz el lmite de reuniones
programado y que no puede crear una reunin. No se puede limitar el nmero de
reuniones ni de usuarios en reunin a nivel de territorio.
Especificacin de los servidores a los que pueden acceder los creadores de reuniones
Puede especificar los servidores de autenticacin a los que pueden acceder los
creadores de la reunin y en que pueden buscar si desean invitar a otros usuarios
del IVE a las reuniones. Al especificar los servidores, puede seleccionar cualquiera
de los servidores de autenticacin que habilit a travs de la pgina
Authentication > Auth. Servers de la consola de administracin.
Al habilitar creadores de reuniones, Secure Meeting les muestra las siguientes fichas
en el cuadro de dilogo Add Invitees:
638
Local: Gracias a la ficha Local, el creador de la reunin puede tener acceso

y buscar usuarios en cualquiera de los servidores de autenticacin habilitados
(entre ellos los servidores LDAP). El creador de la reunin puede tener acceso
y buscar a todos los usuarios administrados a travs de un servidor de
autenticacin local del IVE adems de todos los usuarios administrados por
otros tipos de servidores de autenticacin de la memoria del IVE. El creador de
la reunin no puede ver ni buscar usuarios incluidos en la base de datos de un
servidor que no sea del IVE, pero que an no han iniciado sesin en el IVE y
crearon datos persistentes (como marcadores de usuario o modificaciones de
contrasea).
LDAP: Si habilita un servidor LDAP, Secure Meeting muestra la ficha LDAP en el

cuadro de dilogo Add Invitees. El creador de la reunin puede usar esta ficha
para tener acceso y buscar a todos los usuarios presentes en los servidores
LDAP habilitados, no slo los usuarios guardados en la memoria cach del IVE.
Cuando el creador de una reunin agrega a un usuario a travs de la ficha LDAP,
Secure Meeting tambin usa el atributo de correo electrnico del servidor LDAP
para completar la direccin de correo electrnico del invitado en su correo
electrnico de notificacin.
Al agregar usuarios locales y LDAP, la capacidad del creador de la reunin de tener

acceso y buscar los servidores depende de las opciones especificadas en la ficha
Auth Servers de la consola de administracin. Esta ficha contiene dos opciones que
puede usar para controlar el acceso a cada uno de los servidores de autenticacin:
Access: Seleccione esta opcin para permitir al creador de la reunin agregar y

validar usuarios desde el servidor de autenticacin correspondiente. Si habilita
esta opcin, Secure Meeting valida a todos los usuarios que el creador de la
reunin quiera agregar desde este servidor. Si el creador de la reunin
introduce el nombre de un usuario que no existe, Secure Meeting muestra una
advertencia al creador cuando termina de configurar la reunin y elimina al
usuario no vlido de la lista de invitados. Si inhabilita esta opcin, el creador de
la reunin debe usar las direcciones de correo electrnico en lugar de los
nombres de usuario del IVE para invitar a una reunin a todos los usuarios de
este servidor. A partir de ese momento, Secure Meeting trata a los usuarios
especificados como invitados que no son usuarios del IVE.
Search: Seleccione esta opcin para permitirle al creador de la reunin buscar

entradas de usuarios en el servidor de autenticacin correspondiente. Si
habilita esta opcin, Secure Meeting muestra informacin sobre todos los
usuarios disponibles que cumplan con los criterios introducidos por el creador
de la reunin. Si inhabilita esta opcin, el creador de la reunin debe conocer el
nombre de usuario y servidor de autenticacin exactos de los usuarios del IVE
que desee invitar a la reunin.
NOTA: Si habilita un servidor LDAP, tenga en cuenta que se debe poder buscar en
l. Tambin tenga en cuenta que puede usar las opciones de la ficha
Authentication > Auth. Servers > Seleccionar servidor LDAP > Meetings para
especificar los atributos LDAP individuales que debe mostrar Secure Meeting a los
creadores de la reunin cuando realizan bsquedas en una base de datos LDAP.
Para obtener ms informacin, consulte Especificacin de los servidores a los
que pueden acceder los creadores de reuniones en la pgina 638.
Para especificar los servidores de autenticacin a los que pueden tener acceso los
usuarios y en que pueden buscar al programar una reunin:
1. En la consola de administracin, elija Users > User Roles.
2. Seleccione un rol.
3. Si no ha habilitado ya Secure Meeting, en la ficha General > Overview,
seleccione la casilla de verificacin Meetings y haga clic en Save Changes.
4. Haga clic en la ficha Meetings > Auth Servers.
639
5. En la seccin Users Authentication Server, indique si los miembros de este rol

pueden tener acceso y buscar los servidores de autenticacin con respecto a los
cuales estn actualmente autenticados.
6. En la seccin Authentication Servers, indique los servidores de autenticacin
a los que los miembros de este rol pueden tener acceso y en los que pueden
buscar.
Configuracin de los ajustes de reunin a nivel de sistema

A diferencia de otras caractersticas de acceso, Secure Meeting no cuenta con una
directiva de recursos, sino que usted debe configurar los ajustes a nivel de sistema
que se aplican a todos los roles para los cuales est habilitada esta caracterstica.
Puede:
Especificar los lmites de duracin de la sesin para las reuniones
Habilitar los ajustes de horario de verano para las reuniones programadas
Especificar la profundidad mxima del color de las presentaciones de

reuniones
Habilitar correos electrnicos automticos de notificacin para los usuarios

invitados a reuniones programas a travs de la consola de usuario final del IVE
Definir la URL de MySecureMeeting
Para configurar Secure Meeting:

1. En la consola de administracin, elija System > Configuration >
Secure Meeting.
2. En la seccin Session lifetime, especifique los valores para:
Idle Timeout: Use este campo para especificar los minutos que la sesin
de una reunin puede permanecer inactiva antes de finalizar.
Max. Session Length: Use este campo para especificar los minutos que la
sesin de una reunin puede permanecer abierta antes de finalizar.
NOTA: Los valores introducidos aqu se aplican a la sesin de la reunin, no a la
sesin del IVE. Por ejemplo, puede introducir los valores menores de duracin de
la sesin en la pgina Users > User Roles > Seleccionar rol > General >
Session Options de la consola de administracin. Si el usuario alcanza uno de los
valores a nivel de rol antes de entrar en la reunin, debe volver a iniciar la sesin
del IVE para poder tener acceso a la reunin a travs de la consola de usuario final
del IVE. Sin embargo, estos valores a nivel de rol no se aplicarn si el usuario los
alcanza despus de entrar en la reunin en cuestin. Puede seguir asistiendo a la
reunin sin interrupciones hasta que llegue a los lmites a nivel de directiva
especificados aqu.
640
3. En la seccin Upload logs, seleccione Enable Upload Logs para permitir a los
usuarios ajenos al IVE cargar registros de la reunin.
NOTA: Si selecciona la opcin Upload Logs, tambin debe usar los ajustes de la
pgina System > Log/Monitoring > Client Logs > Settings de la consola de
administracin para habilitar el registro del lado cliente. Para obtener
pgina 841.
4. En la seccin MySecureMeeting, especifique los valores para:
Root meeting URL: Seleccione la direccin URL de la reunin que desee

asociar con las reuniones MySecureMeeting. Las direcciones URL de la
direccin se crean en la pgina Authentication > Signing In > Sign-In
Policies.
Meeting name: Especifique el token para adjuntar a la direccin URL de la

reunin e identificar exclusivamente esta direccin URL. Puede usar:
Username: Adjunte el nombre de usuario de IVE a la direccin URL de

la reunin.
Sequential room number with prefix: Especifique una cadena para

adjuntar a la direccin URL de la reunin, como reunin. Los
nmeros se adjuntarn a la cadena para garantizar su exclusividad.
Por ejemplo, sala_reunin1, sala_reunin2, etc.
Expression: Adjunte una expresin, como <userAttr.lname>, a la

direccin URL de la reunin. Si el atributo no es vlido, entonces se
adjunta el nombre de usuario a la direccin URL de la reunin.
NOTA: El cambio de este token afecta slo a los usuarios que no han creado
reuniones. Los usuarios que ya han creado MySecureMeetings conservan sus
ajustes de token existentes.
Para ver una lista de las direcciones URL de MySecureMeeting que los usuarios
ya han creado, consulte System > Status > Meeting Schedule. Elija
MySecureMeeting URLs en el men desplegable View.
5. En la seccin Email meeting notifications, seleccione Enabled para habilitar
un servidor de correo electrnico SMTP. Despus:
En el campo SMTP Server, introduzca la direccin IP o el nombre de host

de un servidor SMTP que pueda dirigir el trfico de correos electrnicos del
dispositivo a los invitados a la reunin.
En los campos SMTP Login y SMTP Password, introduzca un nombre de

inicio de sesin y una contrasea para el servidor de correo electrnico
SMTP especificado (si lo solicita el servidor SMTP).
641
En el campo SMTP Email, introduzca su direccin de correo electrnico

o la direccin de otro administrador. Secure Meeting usa la direccin
especificada como el correo electrnico del remitente en caso de que el
creador del correo electrnico no configure su propia direccin de correo
electrnico en el IVE.
NOTA: Si habilita un servidor SMTP para usar con Secure Meeting, tambin debe
definir un nombre de host virtual para su dispositivo IVE en el campo Hostname

de la ficha System > Network > Overview. Secure Meeting usa el nombre que
especific al llenar los correos electrnicos de notificacin con direcciones URL de
la reunin y al hacer llamadas SMTP. Si su IVE se corresponde con varios nombres
y no define un nombre de host virtual, es posible que deba restringir el nombre
con que los usuarios IVE inician sesin antes de crear una reunin. Por ejemplo,
si su IVE se corresponde con un nombre interno (como sales.acmegizmo.com) al
cual se pueda acceder slo desde el interior del cortafuegos de su empresa y otro
nombre (como partners.acmegizmo.com) al cual se pueda acceder de todos lados,
los usuarios del IVE deben iniciar sesin en partners.acmegizmo.com para poder
crear reuniones. De lo contrario, los invitados que no son de IVE recibirn correos
electrnicos de notificacin que contengan vnculos a un IVE al cual no se pueden
conectar.
6. En la seccin Options, configure los horarios de verano y las opciones de
profundidad de color:
De la lista Observe DST rules of this country, especifique el pas cuyas

reglas de horarios de verano debe seguir IVE. El cliente usa este ajuste
como referencia y luego ajusta los horarios de reuniones para usuarios
individuales segn sea necesario conforme a los ajustes del explorador
y los ajustes de preferencia de DST del lado cliente del IVE.
NOTA: Cuando un usuario inicia sesin en IVE, Secure Meeting determina su huso
horario ejecutando un componente de ActiveX llamado Captador de huso
horario (Timezone Grabber) en su equipo.
Seleccione Enable 32-bit (True Color) Presentations para permitir que

los usuarios se presenten en color verdadero. De forma predeterminada,
Secure Meeting presenta aplicaciones a los usuarios usando la misma
profundidad de color que el escritorio del presentador (hasta un color de
32 bits). Sin embargo, si no selecciona esta opcin y el usuario presenta
una aplicacin en un color de 32 bits, Secure Meeting cambia la imagen
a 16 bits para mejorar el rendimiento.

8. Configure los ajustes de Secure Meeting para los roles de cada uno mediante
las instrucciones en Definicin de los ajustes de rol: Secure Meeting en la
pgina 633.
642
Resolucin de problemas de Secure Meeting

Si usted o sus usuarios finales detectan problemas con Secure Meeting y las pginas
de las consolas de administracin descritas anteriormente no le ayudan a resolver
el problema, le recomendamos que siga las siguientes pautas.
Los mtodos de resolucin de problemas incluyen:
Desinstale el cliente Secure Meeting de su sistema: Si tiene problemas para

iniciar Secure Meeting, haga clic en el vnculo Joining a Meeting:
Troubleshooting en la pgina Join Meeting, y luego haga clic en Uninstall.
Haga clic en Return to Join Meeting e intente iniciar nuevamente la reunin.
La prxima vez que intente entrar en una reunin, Secure Meeting actualizar
a su cliente con la ltima versin. Para obtener ms informacin sobre dnde
Secure Meeting instala los archivos y cules archivos deja despus de la
desinstalacin, consulte el manual Client-side Changes Guide en el Juniper
Verifique la compatibilidad de su sistema: Puede detectar problemas al entrar

o al presentarse en una reunin si la configuracin de su sistema no es
compatible con Secure Meeting. Para determinar si su sistema es compatible,
dirjase hasta la pgina de inicio de sesin de la reunin en cualquier momento
o acepte el correo electrnico de la invitacin a la reunin y haga clic en Check
Meeting Compatibility. Secure Meeting determina su nivel de compatibilidad
para lograr compatibilidad total, de ser necesario. Sin embargo, tenga en
cuenta que el comprobador de compatibilidad de Secure Meeting no verifica
todos los factores que puedan afectar a su experiencia en la reunin.
Para obtener una lista completa de los exploradores y sistemas operativos
admitidos, adems de los requisitos del sistema, como CPU, memoria,
resoluciones de monitor y profundidades de la pantalla, consulte el documento
de plataformas compatibles publicado en el Juniper Networks Customer
Support Center.
Determine si est usando funcionalidad no compatible: Secure Meeting

no admite la distribucin de aplicaciones de secuencias multimedia. Secure
Meeting tampoco admite aplicaciones de grfico intensivas que cambien
dinmicamente la resolucin o la profundidad de la pantalla.
Instale un certificado de nivel de produccin en su IVE: Le recomendamos

instalar un certificado de nivel de produccin en el servidor de Secure Meeting
(es decir, el IVE) cuando use Secure Meeting junto con un certificado SSL. Si
instala un certificado SSL de firma automtica, los usuarios de Secure Meeting
pueden detectar dificultades para iniciar sesin en reuniones (como se describe
en Uso de varios certificados de dispositivo del IVE en la pgina 756). Si opta
por usar un certificado de firma automtica, ordene a los asistentes a la reunin
instalar el certificado antes de entrar en la reunin. (En Internet Explorer, los
usuarios deben hacer clic en View Certificate y luego en Install Certificate
cuando vean el mensaje de error.)
Resolucin de problemas de Secure Meeting 643
Consulte el PDF Secure Meeting Error Messages: El PDF Secure Meeting Error
Messages en el Juniper Networks Customer Support Center enumera los errores
que puede detectar cuando configura o usa Secure Meeting y explica cmo
manejarlos.
Comunquese con Soporte tcnico de Juniper Networks: Si detecta un error y

no lo puede resolver usando las soluciones descritas anteriormente, enve una
descripcin clara del problema al Soporte tcnico de Juniper que incluya pasos
detallados explicando cmo reproducir el problema, el texto del mensaje de
error, el sistema operativo de IVE y el nmero de versin de compilacin,
adems de los archivos de registro de administrador de IVE, archivos de
registro de instalacin y archivos de registro del lado cliente.
Problemas conocidos
Iniciar Secure Meeting usando un cliente Java
Cuando use el cliente Java para iniciar una Secure Meeting, si el usuario hace clic No
en la advertencia de certificado presentada por la JVM, el cliente de la reunin no se
inicia, pero al usuario le aparece como si el applet todava se estuviera cargando.
Barras de herramientas en plataformas Macintosh y Linux

Incluso si los visores se establecen en pantalla completa, la barra de herramientas
an es visible en las plataformas Macintosh y Linux.
Entrar en reuniones desde un clster

Cuando usa dos IVE en un clster de Secure Meeting, los usuarios siempre se deben
conectar a la direccin VIP (IP virtual) para entrar en Secure Meeting, y no la
direccin IP del equipo fsico.
Sincronizacin de relojes en clsteres

Secure Meeting puede funcionar de manera errtica si los relojes en los IVE en un
clster no estn sincronizados. Le recomendamos usar el mismo servidor NTP para
cada nodo dentro de un clster para mantener los tiempos de IVE sincronizados.
Limitacin del nmero de asistentes con Safari

Cuando crea una Secure Meeting usando el explorador Web de Safari, no puede
agregar ms de 250 asistentes.
Ancho de banda del acceso telefnico

Durante la presentacin, el presentador debe considerar qu mtodos de acceso
usan los asistentes. Los asistentes de acceso telefnico pueden tener problemas con
el ancho de banda para presentaciones que actualizan la pantalla con demasiada
frecuencia. Si la presentacin satura la banda ancha de los asistentes con acceso
telefnico, es posible que las funciones de control remoto y de chat no funcionen,
puesto que requieren enviar datos de vuelta al IVE por el mismo vnculo saturado
del acceso telefnico por el cual reciben los datos.
Creacin de clsteres
Las reuniones Secure Meeting en curso se suspenden si se crea un clster durante
la reunin.
644
Resolucin de problemas de Secure Meeting
Supervisin de Secure Meeting

Puede usar las siguientes pginas en la consola de administracin para supervisar el
rendimiento de Secure Meeting y a los usuarios:
System > Status > Overview: Use esta pgina para ver el uso de la capacidad
del sistema en un dispositivo IVE. Para obtener instrucciones, consulte
Esquemas XML de los grficos del panel de la administracin central en la
pgina 718.
System > Status > Meeting Schedule: Use esta pgina para ver qu usuarios
estn actualmente en una reunin y expulsarlos si es necesario. Para obtener
instrucciones, consulte Programacin de reuniones en la pgina 622.
Supervisin de Secure Meeting 645
646
Supervisin de Secure Meeting
Captulo 24
Email Client
El tipo de correo electrnico que le proporcione el IVE depende de qu
caractersticas opcionales contemple la licencia respectiva:
Opcin Secure Email Client: Si tiene la opcin Secure Email Client, el IVE
admite el protocolo de acceso a mensajes en Internet (IMAP4), el protocolo de
oficina postal (POP3) y el protocolo simple de transferencia de correo (SMTP).
Opcin Secure Application Manager: Si tiene la opcin Secure Application

Manager, el IVE admite el protocolo nativo MAPI de Microsoft Exchange y el
protocolo nativo de Lotus Notes.
NOTA: Si la licencia del IVE incluye la opcin de administrador de aplicaciones

seguras, que admite el protocolo nativo MAPI de Microsoft Exchange y el
protocolo nativo de Lotus Notes, no se le aplica esta seccin.
La opcin de Secure Email Client permite usar clientes de correo electrnico

basados en estndares para tener acceso al correo electrnico corporativo de
manera segura desde lugares lejanos sin tener que recurrir a un software adicional,
como un cliente VPN. El IVE funciona con cualquier servidor de correo electrnico
que admita el protocolo de acceso a mensajes en Internet (IMAP4), el protocolo de
oficina postal (POP3) y el protocolo de transferencia sencilla de correo (SMTP),
incluidos el servidor Microsoft Exchange y el servidor de correo de Lotus Notes,
que ofrecen las interfaces IMAP4/POP3/SMTP.
El IVE se sita entre el cliente remoto y el servidor de correo y sirve como proxy de
correo electrnico seguro. El cliente remoto usa el IVE como un servidor de correo
(virtual) y enva el correo mediante un protocolo SSL. El IVE termina las conexiones
SSL desde el cliente y reenva el trfico de correo desencriptado dentro de la LAN
hacia el servidor de correo. Luego, el IVE convierte el trfico desencriptado desde el
servidor de correo en trfico S-IMAP (Secure IMAP o IMAP seguro), S-POP (Secure
POP o POP seguro) y S-SMTP (SMTP seguro) respectivamente y lo transporta
mediante SSL al cliente de correo electrnico.
Esta seccin comprende la siguiente informacin sobre la caracterstica
Email Client:
Licencia: Disponibilidad de Email Client en la pgina 648
Informacin general sobre Email Client en la pgina 648
Definicin de los ajustes de rol: Email Client en la pgina 652
Definicin de directivas de recursos: Email Client en la pgina 652
647
Licencia: Disponibilidad de Email Client

Si usa un dispositivo SA-700, debe instalar una licencia de actualizacin para acceso
base sin clientes para poder tener acceso a la caracterstica Email Client.
Informacin general sobre Email Client

Esta seccin comprende la siguiente informacin sobre la caracterstica
Email Client:
Eleccin de un Email Client en la pgina 648
Funcionamiento con un servidor de correo basado en estndares en la

pgina 649
Funcionamiento con el servidor Microsoft Exchange en la pgina 649
Funcionamiento con Lotus Notes y el servidor de correo de Lotus Notes en la

pgina 651
Eleccin de un Email Client

El IVE admite los siguientes clientes de correo electrnico:
Outlook 2000 y 2002
Outlook Express 5.5 y 6.x
Netscape Messenger 4.7x y Netscape Mail 6.2
Los usuarios que necesiten acceso remoto al correo electrnico normalmente estn
en una de estas dos categoras:
Usuarios corporativos de equipos porttiles: Estos usuarios usan el mismo

equipo porttil en la oficina y fuera de ella.
Usuarios de equipos en el hogar: Estos usuarios usan un equipo cuando estn

en la oficina y otro cuando estn en su casa.
Antes de recomendar un cliente de correo electrnico a sus usuarios, lea ms

adelante las secciones que indican la manera en que los clientes admitidos
interactan con:
Servidores de correo basados en estndares, tales como el servidor de correo

de Lotus Notes. Para obtener ms informacin, consulte Funcionamiento con
un servidor de correo basado en estndares en la pgina 649.
Servidor de Microsoft Exchange. Para obtener ms informacin, consulte

Funcionamiento con el servidor Microsoft Exchange en la pgina 649.
NOTA: Puede encontrar instrucciones para configurar los clientes de correo

electrnico admitidos en la pgina IVE Tools and Guides del sitio Juniper Networks
648
Licencia: Disponibilidad de Email Client
Captulo 24: Email Client
Funcionamiento con un servidor de correo basado en estndares

El IVE funciona con servidores de correo que admiten IMAP4, POP3 y SMTP.
Servidores de correo IMAP
Usuarios corporativos de equipos porttiles: Pueden usar cualquiera de los

seis clientes de correo electrnico admitidos. Recomendamos que los usuarios
utilicen el mismo cliente (configurado para apuntar al IVE) en la oficina y fuera
de ella para evitar sorpresas.
Usuarios de equipos en casa: Pueden usar cualquiera de los seis clientes de

correo electrnico admitidos para tener acceso remoto al servidor IMAP server
a travs del IVE.
Servidores de correo POP
Usuarios corporativos de equipos porttiles: Pueden usar cualquiera de los

cuatro clientes de correo electrnico Outlook*. Recomendamos que los
usuarios utilicen el mismo cliente (configurado para apuntar al IVE) en la
oficina y fuera de ella para evitar sorpresas.
Usuarios de equipos en casa: Pueden usar cualquiera de los cuatro clientes de

correo electrnico Outlook* para tener acceso remoto al servidor IMAP server a
travs del IVE.
El cliente de correo electrnico de Netscape no funciona en modo POP para

acceso remoto, porque no admite S-POP, que es necesario para la transmisin
segura de datos con el IVE.
Funcionamiento con el servidor Microsoft Exchange

El servidor de Microsoft Exchange Server admite:
Clientes de la interfaz de programacin de aplicaciones de mensajera

(MAPI, por su sigla en ingls) nativos
clientes IMAP
clientes POP
Outlook Web Access (OWA)
El IVE brinda acceso al servidor de Microsoft Exchange a travs de clientes IMAP

y POP usando la opcin Secure Email Client y a travs de OWA mediante la
caracterstica de navegacin web segura.
649
Clientes Exchange Server e IMAP

Si su servidor de correo corporativo es Exchange, suponemos que el equipo de un
empleado en la oficina est configurado para usar el cliente de correo electrnico
Outlook 2000 o 2002 en modo MAPI nativo.
Usuarios corporativos de equipos porttiles: Pueden usar los clientes Outlook

Express o Netscape para tener acceso remoto al servidor Exchange a travs
del IVE1.
Usuarios de equipos en casa: Pueden usar cualquiera de los seis clientes de

correo electrnico admitidos para tener acceso remoto al servidor Exchange
a travs del IVE, suponiendo que no haya cuentas MAPI configuradas en el
equipo remoto.
Cuando se trabaja con clientes Outlook Express o Netscape en modo IMAP, ocurre
lo siguiente con la administracin de carpetas:
Al usar clientes de correo Outlook Express: Los mensajes borrados aparecen

en la bandeja de entrada de Outlook Express tachados. No se mueven a la
carpeta Deleted Items del servidor Exchange, que es lo que ocurre con los
clientes Outlook 2000 o 2002. Los mensajes eliminados definitivamente en un
cliente Outlook Express no son recuperables. Recomendamos que los usuarios
de Outlook Express:
Arrastren los mensajes que desean borrar a la carpeta Deleted Items que
se encuentra debajo de Local Folders (estas son carpetas
predeterminadas). Esta carpeta se sincroniza con la carpeta Deleted Items
del servidor Exchange, lo que permite recuperar los mensajes borrados
posteriormente.
Dejen los mensajes borrados en la bandeja de entrada de Outlook Express

y cuando vuelvan a iniciar sesin con Outlook 2000 o 2002, pasen los
mensajes borrados a la carpeta Deleted Items.
Al usar clientes de correo Netscape: Los mensajes borrados pasan a la carpeta

Trash y no vuelven a aparecer en la bandeja de entrada, pero no desaparecen
de la bandeja de entrada de Outlook 2000 o 2002 hasta que el usuario:
a.
Configura el programa de Netscape para que los mensajes borrados pasen

a la carpeta Trash y marca la opcin para vaciar la bandeja de entrada
al salir.
b.
Ejecuta un solo programa a la vez y sale de l al terminar para que la

bandeja de entrada del otro programa se sincronice con el servidor y
muestre los mismos mensajes.
Adems, los mensajes enviados pasan a la carpeta Sent (u otra definida por el
usuario). Si el usuario desea que los mensajes enviados aparezcan en la carpeta
Sent Items del servidor Microsoft Exchange, debe arrastrarlos manualmente
desde la carpeta Netscape Sent a la carpeta Sent Items.
1. El cliente Outlook 2000 solo admite una configuracin del servidor de correo, que en este caso sera el modo
MAPI nativo, con objeto de impedir que se utilice el mismo cliente para tener acceso remoto. El cliente
Outlook 2002 admite configuraciones de servidor MAPI e IMAP simultneas pero no admite acceso IMAP
cuando la cuenta MAPI est fuera de lnea, lo que impide a los usuarios externos recuperar correo electrnico.
650
Clientes Exchange Server y POP

Si su servidor de correo corporativo es Exchange, suponemos que el equipo de un
empleado en la oficina est configurado para usar el cliente de correo electrnico
Outlook 2000 o 2002 en modo MAPI nativo.
Usuarios corporativos de equipos porttiles: Pueden usar los clientes Outlook

Express admitidos para tener acceso remoto al servidor Exchange a travs
del IVE.
Usuarios de equipos en casa: Pueden usar cualquiera de los cuatro clientes

de Outlook para tener acceso remoto al servidor Exchange a travs del IVE,
suponiendo que no haya cuentas MAPI configuradas en el equipo remoto.
NOTA: El cliente de correo electrnico de Netscape no funciona en modo POP para
acceso remoto, porque no admite S-POP, que es necesario para la transmisin

segura de datos con el IVE.
Exchange Server y Outlook Web Access

Para proporcionar acceso OWA a su servidor Exchange y permitir a los usuarios
tener acceso al servidor Exchange a travs de la caracterstica de navegacin web
del IVE, basta con implantar OWA como un servicio basado en web en su intranet.
No hace falta mayor configuracin para implantar OWA fuera de su red.
NOTA: Cuando se usa el IVE para tener acceso a Outlook Web Access se protege el
servidor web IIS de Outlook Web Access de ataques tpicos, tales como Nimda, y
por ende es ms seguro que subir el Outlook Web Access directamente a Internet.
Funcionamiento con Lotus Notes y el servidor de correo de Lotus Notes

El servidor de correo de Lotus Notes ofrece las interfaces POP3 e IMAP4, que
permiten recuperar correo electrnico de una configuracin de correo de Lotus
Notes a travs del IVE. Para determinar qu cliente de correo se recomienda para
los usuarios de correo electrnico de su empresa que necesitan tener acceso
remoto al servidor de correo de Lotus, lea la seccin sobre funcionamiento con
servidores de correo basados en estndares, Funcionamiento con un servidor de
correo basado en estndares en la pgina 649.
Para habilitar el acceso a:
Servidores de correo corporativo IMAP/POP/SMTP: Especifique el servidor

de correo, sesin de correo electrnico e informacin de autenticacin en la
pgina Users > Resource Policies > Email Settings de la consola de
administracin. Para obtener ms informacin, consulte Definicin de
directivas de recursos: Email Client en la pgina 652.
Servidores Microsoft Exchange y Lotus Notes: Use los ajustes de la pgina

Users > User Roles > SAM > Applications de la consola de administracin.
Para obtener ms informacin, consulte Compatibilidad con aplicaciones
estndar: MS Outlook en la pgina 526 y Compatibilidad con aplicaciones
estndar: Lotus Notes en la pgina 528.
651
Definicin de los ajustes de rol: Email Client

Para usar la caracterstica Email Client, debe habilitarla primeramente a nivel de rol
y crear una directiva de recursos que especifique los ajustes del servidor de correo.
Para habilitar la caracterstica Email Client a nivel de rol:
Nombre de rol > General > Overview.
2. En la seccin Access features, seleccione la casilla de verificacin Email Client.
4. Cree una directiva de recursos que especifique los ajustes del servidor de correo
segn las instrucciones de la seccin Definicin de directivas de recursos:
Email Client en la pgina 652.
Definicin de directivas de recursos: Email Client

Cuando habilita la caracterstica de acceso a Email Client para un rol, debe crear
una directiva de recursos que especifique los ajustes del servidor de correo. A
diferencia de otras caractersticas de acceso, Secure Email Client tiene slo una
directiva de recursos que se aplica a todos los roles para los que est habilitada.
Si elige habilitar el servicio de cliente de correo electrnico para los usuarios, debe
especificar la informacin del servidor de correo IMAP/POP/SMTP y los ajustes de
autenticacin de usuarios. El IVE sirve como proxy de correo electrnico para los
servidores especificados.
El IVE admite varios servidores de correo. Se puede exigir a todos los usuarios que
usen un servidor de correo predeterminado o se les puede permitir especificar un
servidor de correo SMTP, IMAP o POP predeterminado. Si se les permite especificar
un servidor de correo personalizado, deben especificar los ajustes del servidor
mediante el IVE. El IVE administra los nombres de usuario del correo electrnico
para evitar conflictos entre nombres.
Para redactar una directiva de recursos para el servidor de correo del Email Client:
1. Habilite la caracterstica Email Client a nivel de rol segn las instrucciones de la
seccin Definicin de los ajustes de rol: Email Client en la pgina 652.
Email Client.
3. En Email Client Support, haga clic en Enabled.
652
Definicin de los ajustes de rol: Email Client
4. Bajo Email Authentication Mode, seleccione una opcin:
Web-based email session: Los usuarios deben configurar el correo

electrnico una sola vez para el IVE. Luego, configuran el cliente de correo
electrnico para usar el nombre de usuario y la contrasea que genera la
configuracin de correo electrnico del IVE. Se recomienda que inicien la
sesin en el IVE para dar inicio a una sesin de correo electrnico.
(predeterminado)
Combined IVE and mail server authentication: Los usuarios configuran el

cliente de correo electrnico para que use las credenciales siguientes:
Username: El nombre de usuario normal en el servidor de correo o

uno que sea generado por la configuracin de correo electrnico del
IVE si se cumple alguna de las siguientes condiciones:
el usuario tiene ms de un nombre de usuario en el servidor
de correo
el nombre de usuario en el IVE y en el servidor de correo son
distintos
Password: La contrasea del usuario en el IVE seguida de un carcter

personalizable para separar credenciales, seguido de la contrasea del
usuario en el servidor de correo.
No es necesario que el usuario inicie sesin en el IVE para tener acceso al

correo electrnico.
Mail server authentication only: Los usuarios configuran su cliente de

correo electrnico para usar su nombre de usuario y contrasea normales
del servidor de correo. No es necesario que el usuario inicie sesin en el
IVE para configurar o usar correo electrnico.
NOTA: Sus usuarios pueden determinar fcilmente su nombre de usuario y

contrasea para el correo electrnico dirigindose a la pgina Email Setup.
5. Bajo Default Server Information, especifique la informacin del servidor de

correo. El IVE sirve como proxy de correo electrnico para el servidor.
NOTA: Se puede especificar solo un servidor de correo predeterminado. Si los
usuarios necesitan recuperar correo electrnico desde ms de un servidor SMTP,
POP o IMAP, permtales definir servidores de correo adicionales marcando la
casilla de verificacin correspondiente. Si les permite especificar servidores
personalizados, necesitan introducir la informacin del servidor una sola vez
en la pgina Email Setup del IVE.
6. Bajo Email Session Information, especifique el valor:
Idle Timeout, que controla el tiempo en que puede permanecer inactiva

una sesin de correo electrnico sin que el IVE la termine.
Max. Session Length, que controla el tiempo en que puede permanecer

activa una sesin de correo electrnico sin que el IVE la termine.

653
654
Captulo 25
Network Connect
La opcin Network Connect otorga acceso remoto seguro de nivel de red basado en
SSL a todos los recursos de aplicacin de la empresa con el IVE por el puerto 443.
La opcin de acceso a Network Connect proporciona experiencia de usuario de VPN
sin clientes, que sirve como mecanismo de acceso remoto adicional a recursos
corporativos con un dispositivo IVE. Esta caracterstica admite todos los modos de
acceso por Internet, como acceso telefnico, banda ancha y LAN, desde el equipo
cliente y funciona en cada proxy y cortafuegos que permita trfico SSL.
Cuando el usuario inicia Network Connect, ste transmite todo el trfico desde o
hacia el cliente por un tnel Network Connect seguro. (Consulte la Figura 40 en la
pgina 657.) La nica excepcin corresponde al trfico iniciado por otras
caractersticas activadas por el IVE, como la exploracin Web, exploracin de
archivos y Telnet/SSH. Si no desea habilitar otras caractersticas del IVE para
determinados usuarios, cree un rol de usuario para el cual slo est habilitada la
opcin Network Connect y compruebe que los usuarios asignados a este rol no
estn tambin asignados a otros roles que hayan habilitado otras caractersticas
del IVE.
Al ejecutarse Network Connect, el equipo cliente se convierte en un nodo de la LAN
remota (corporativa) y se vuelve invisible en la red LAN local del usuario; el
dispositivo IVE sirve como puerta de enlace del sistema de nombres de dominio
(DNS) para el cliente y no reconoce la LAN local del usuario. No obstante, los
usuarios pueden definir las rutas estticas de sus PC para seguir accediendo a la
LAN local a la vez que se conecta simultneamente con la LAN remota. Debido a
que el trfico de PC pasa por el tnel de Network Connect hasta sus recursos
corporativos internos, debe comprobar que los dems hosts situados dentro de la
red local del usuario no se puedan conectar con el PC que ejecuta Network Connect.
655
Puede asegurarse de que la LAN remota del usuario no se pueda conectar con
recursos corporativos internos negando el acceso de usuario a la subred local
(configurada en la ficha Users > User Roles > Seleccionar rol > Network
Connect). Si no permite el acceso a una subred local, un dispositivo IVE finalizar
las sesiones de Network Connect iniciadas por clientes con rutas estticas definidas.
Tambin puede exigirles a los clientes que ejecuten soluciones de seguridad de
punto final, como un cortafuegos personal, antes de iniciar una sesin de acceso
remoto de nivel de red. Host Checker, que realiza comprobaciones de seguridad de
punto final en hosts que se conectan con un dispositivo IVE, puede verificar si los
clientes usan un software de seguridad de punto final. Para obtener ms
informacin, consulte Host Checker en la pgina 257.
NOTA: Network Connect agrega una entrada de archivo hosts para admitir el
siguiente caso:
656
Si, al conectarse NC, se inhabilita la divisin de encapsulamiento, y el nombre

de host original externamente resuelto (el nombre de host al que el usuario
inicialmente se conect antes de iniciar NC) elige otra direccin IP
comparndola con el DNS interno, el explorador desviar a una pgina de
Servidor no encontrado, debido a que la ruta se defini dentro del sistema
cliente.
Al finalizar correctamente (cierre de la sesin o tiempo de espera) la conexin

del cliente de NC, el archivo hosts se restaura. Si el archivo hosts no se
restaur en un caso anterior debido a que la conexin no finaliz
correctamente, el archivo hosts se restaurar la prxima vez que el usuario
inicie Network Connect.
Captulo 25: Network Connect
La Figura 40 ilustra los pasos generales para establecer un tnel de

Network Connect.
Figura 40: Establecimiento de un tnel de Network Connect
Esta seccin contiene la siguiente informacin sobre Network Connect:
Resumen de tareas: Configuracin de Network Connect en la pgina 658
Informacin general de Network Connect en la pgina 660
Definicin de los ajustes de rol: Network Connect en la pgina 671
Definicin de directivas de recursos: Network Connect en la pgina 674
Definicin de los ajustes de sistema: Network Connect en la pgina 690
657
Resumen de tareas: Configuracin de Network Connect

Esta seccin seala los pasos de configuracin de Network Connect de alto nivel.
Estos pasos no consideran los de la configuracin preliminar del IVE, como
especificar la identidad de la red del IVE o agregar ID de usuario al IVE.
Para configurar el IVE para Network Connect:
1. Habilite el acceso a Network Connect a nivel de rol mediante los ajustes de la
pgina Users > User Roles > Rol > General > Overview de la consola de
administracin. Para obtener instrucciones, consulte Definicin de opciones
predeterminadas para roles de usuario en la pgina 84.
2. Cree directivas de recursos de Network Connect mediante los ajustes de las
fichas Users > Resource Policies > Network Connect:
a.
Especifique los ajustes generales de acceso y normas de acceso detalladas

para Network Connect en la ficha Network Connect Access Control de la
consola de administracin. Para obtener detalles, consulte Definicin de
directivas de control de acceso de Network Connect en la pgina 674.
b.
Especifique los perfiles de conexin de Network Connect que desea asignar

a usuarios remotos en la ficha Network Connect Connection Profiles de la
consola de administracin. Para obtener detalles, consulte Creacin de
perfiles de conexin de Network Connect en la pgina 675.
c.
(Opcional) Especifique el comportamiento de la divisin de

encapsulamiento de Network Connect en la ficha Network Connect Split
Tunneling de la consola de administracin. Para obtener detalles, consulte
Definicin de directivas de divisin de encapsulamiento de Network
Connect en la pgina 682.
3. Especifique si se debe habilitar o no la instalacin de GINA, emplee la divisin

de encapsulamiento o el comportamiento de inicio automtico para Network
Connect en la pgina Users > User Roles > Rol > Network Connect de la
consola de administracin. Para obtener instrucciones, consulte Resumen de
tareas: Configuracin de Network Connect en la pgina 658.
NOTA: Si opta por activar el comportamiento de divisin de encapsulamiento para
Network Connect en esta pgina, primero debe crear al menos un perfil de
recursos de divisin de encapsulamiento Network Connect como se describi
anteriormente.
NOTA: Debe habilitar Network Connect para un rol determinado si desea que un
usuario asignado a dicho rol pueda usar GINA durante el acceso a Windows.
658
4. Especifique una direccin IP para el proceso del lado del servidor Network
Connect para usarse en todas las sesiones de usuario de Network Connect de la
pgina System > Network > Network Connect de la consola de
administracin. Para obtener detalles, consulte Aprovisionamiento de la red
para Network Connect en la pgina 668.
5. Compruebe que est disponible una versin apropiada de Network Connect
para los clientes remotos que sigan las instrucciones de Descarga de los
instaladores de aplicaciones en la pgina 724.
6. Si desea habilitar o inhabilitar el acceso del lado cliente para Network Connect,
configure las opciones correctas de la ficha System > Configuration >
Security > Client-side Logs de la consola de administracin. Para obtener
pgina 841.
NOTA: Para instalar Network Connect, los usuarios deben contar con los privilegios
adecuados descritos en la Client-side Changes Guide (Gua de cambios del lado

cliente) del Juniper Customer Support Center. Si el usuario no cuenta con estos
privilegios, use el Servicio de instalador Juniper disponible en la pgina
Maintenance > System > Installers de la consola de administracin para omitir
este requisito.
NOTA: Network Connect requiere la habilitacin de ActiveX firmado o applets Java

firmados dentro del explorador para descargar, instalar e iniciar las aplicaciones
cliente.
NOTA: De forma predeterminada, el cortafuegos Vista Advanced bloquea todo el

trfico entrante y permite todo el trfico saliente. Para que Network Connect
funcione en conjunto con el cortafuegos Vista Advanced, configure los siguientes
ajustes:
Cambie los ajustes predeterminados del cortafuegos Vista Advance para

bloquear todo el trfico, tanto entrante como saliente.
Cree las siguientes normas de trfico saliente en el perfil del cortafuegos

correspondiente:
Cree una norma de puerto a fin de permitir la conexin de cualquiera de

ellos a cualquier IP y de cualquier puerto TCP al 443.
Cree una norma personalizada que permita la conexin de TCP 127.0.0.1

a 127.0.0.1 de cualquier puerto a cualquier puerto.
Permita iExplorer.exe.
En versiones anteriores, se poda especificar si el IVE compila registros de paquetes

Network Connect para usuarios especficos de Network Connect. Esta opcin ya no
est disponible, pues afecta al rendimiento.
659
Informacin general de Network Connect

Esta seccin contiene la siguiente informacin sobre Network Connect:
Ejecucin de Network Connect en la pgina 660
Perfiles de conexin de Network Connect compatibles con ajustes de varios

DNS en la pgina 667
Aprovisionamiento de la red para Network Connect en la pgina 668
Registro del lado cliente en la pgina 669
Compatibilidad de proxy de Network Connect en la pgina 669
Calidad de servicio de Network Connect en la pgina 670
Soporte de multicast de Network Connect en la pgina 671
Ejecucin de Network Connect

El agente Network Connect se ejecuta de la siguiente manera:
1. Si cuenta con Graphical Identification and Authorization (GINA) instalado y
registrado en el cliente remoto, el cliente inicia automticamente un tnel de
Network Connect al IVE si el usuario inicia sesin en Windows; de lo contrario,
el usuario tiene que iniciar sesin en un dispositivo IVE y hacer clic en el enlace
Network Connect de la pgina inicial del dispositivo (si no ha configurado el
inicio automtico de Network Connect). Para obtener ms informacin,
consulte Inicio de sesin automtico de Network Connect mediante GINA en
la pgina 662.
NOTA: A partir de la versin 5.4 y dems posteriores, SSO no es compatible con
GINA de Network Connect.
2. Si el usuario no cuenta con la ltima versin del instalador Network Connect, el

dispositivo IVE intenta descargar un control ActiveX (Windows) o un applet Java
(Macintosh y Linux) en el equipo cliente, que descarga el software Network
Connect y lleva a cabo las funciones de instalacin. Si el dispositivo IVE no
descarga ni actualiza el control ActiveX en un cliente de Windows debido a
privilegios de acceso restringido o a restricciones del explorador, el dispositivo
IVE usa un applet Java que descargue el software Network Connect en el cliente.
NOTA: Si se est ejecutando Microsoft Vista en el sistema, el usuario debe hacer
clic en el enlace de configuracin que aparece durante el proceso de instalacin
para continuar instalando el cliente de configuracin y Network Connect. En todos
los dems sistemas operativos Microsoft, el cliente de configuracin y Network
Connect se instalan automticamente.
Para obtener ms informacin sobre la eliminacin del control Juniper ActiveX,

consulte Eliminacin del control ActiveX de Juniper en la pgina 317.
660
Ya sea que el IVE descargue un control ActiveX o un applet Java, ambos

componentes intentan identificar la presencia y versin del software Network
Connect actual del equipo cliente antes de determinar cul de las siguientes
funciones de instalacin va a realizar:
a.
Si el equipo cliente no cuenta con software Network Connect, instale la

ltima versin.
b.
Si el equipo cliente cuenta con una versin anterior del software Network
Connect, actualice los componentes de Network Connect de acuerdo con la
versin ms reciente e instale la versin ms reciente de UI del IVE.
NOTA: Para obtener informacin sobre applets Java vlidos, archivos y registros
de instalacin, y directorios de sistemas operativos en que se pueda ejecutar
mecanismos de entrega, consulte la Client-side Changes Guide (Gua de cambios
del lado cliente) del Juniper Networks Customer Support Center.
3. Una vez instalado, el agente Network Connect enva una peticin al dispositivo
IVE para que inicialice una conexin con una direccin IP del conjunto de
direcciones IP previamente proporcionado (definido en las directivas de
recursos de perfiles de conexin de Network Connect aplicables al rol del
usuario).
4. El icono de la bandeja del sistema Network Connect se comienza a ejecutar en
un cliente Windows o en Dock en un cliente Mac.
5. El dispositivo IVE asigna una direccin IP (a partir de una directiva de recursos
de perfiles de conexin de Network Connect) y asigna una IP nica al servicio
de Network Connect que se ejecuta en el cliente.
6. El servicio de Network Connect del lado cliente usa la direccin IP asignada
para comunicarse con el proceso de Network Connect que se ejecuta en el
dispositivo IVE.
7. Despus de asignar una direccin IP al cliente, el IVE abre un canal directo de
comunicacin entre el cliente y todos los recursos de la empresa a los que
permite acceso la directiva de recursos del usuario. El servidor de aplicaciones
internas ve la IP de origen con la direccin IP del cliente.
Figura 41: Comunicacin de cliente o servidor de Network Connect
661
El agente Network Connect del lado cliente se comunica con el dispositivo IVE, que,
a su vez, enva peticiones del cliente a los recursos de la empresa.
NOTA: Si usa Host Checker para validar la presencia de los componentes de
seguridad del lado cliente segn las directivas que defini en el IVE, y el cliente no
puede cumplir todas las directivas de seguridad en cualquier punto durante una
sesin de Network Connect, Host Checker finaliza la sesin.
Inicio de sesin automtico de Network Connect mediante GINA

La funcin de inicio de sesin Graphical Identification and Authorization (GINA)
corresponde a un mtodo de inicio de sesin automatizado que puede instalar y
habilitar en clientes de Windows que inician sesin en un dominio Windows NT.
Puede requerir Network Connect para instalar GINA en el equipo cliente o dejar
a los usuarios decidir si instalar o no GINA al iniciar Network Connect.
NOTA: No se puede instalar ms de una funcin de inicio de sesin automtico
GINA en el sistema de un cliente. Si otra aplicacin del sistema cliente usa una
funcin GINA, no se puede instalar Network Connect ni activa el componente
GINA.
Si se instala GINA en el cliente, le pide automticamente al cliente escoger si se

inicia o no Network Connect cada vez que inicie sesin en Windows. Si elige que la
instalacin de GINA sea opcional, el usuario puede activar GINA mediante la opcin
Auto connect when login to Windows de la ventana de Network Connect. Esta
opcin slo est disponible durante una sesin de Network Connect abierta.
La opcin para habilitar la instalacin de GINA en los sistemas de un cliente est
disponible definiendo los atributos de rol en la pgina Users > User Roles > Rol >
Network Connect. Para obtener detalles, consulte Resumen de tareas:
Configuracin de Network Connect en la pgina 658.
La Figura 42 ilustra los pasos generales del proceso de instalacin de GINA.
Figura 42: Proceso de instalacin de GINA
User signs in to
IVE via Network
Connect
Is GINA enabled on
the users IVE role?
No
GINA automatic
sign-in
service installed
Yes
No
Network Connect
installed without
GINA capability
662
No
Does user choose

to enable GINA?
Yes
GINA installation
completed and
user asked
whether or not to
reboot at this time
El proceso de instalacin de GINA se lleva a cabo una vez y requiere que el usuario
reinicie el sistema para poder habilitar la capacidad de inicio de sesin GINA.
A partir de dicha sesin, GINA avisa al usuario si se debe iniciar o no Network
Connect en cada inicio de sesin de Windows. Cuando el usuario inicia sesin
en Network Connect, a menos que se especifique lo contrario, GINA pasa las
credenciales de inicio de sesin de Windows del usuario al IVE para una
autenticacin antes de establecer el tnel de Network Connect.
La Figura 43 ilustra los pasos generales del proceso de establecimiento de un tnel
de GINA automatizado.
Figura 43: Proceso de inicio de sesin automatizado de GINA
Windows
credentials
presented to IVE
for authentication
User launches
Windows on client
User connected
to network
Yes
Does client have

network connectivity?
No
User signs in to
Windows using
cached credentials, no
GINA sign-in
displayed, and no
network connectivity
established
Yes
Yes
GINA
Yes
sign-in appears.
Does user want to
launch Network
Connect?
No
User signs in to
Windows using
cached credentials
and connected to
LAN only
Was the tunnel

established?
No
Yes
Is user signed in to
Windows NT domain?
No
Attempt user
credential
verification three
times only.
If unable to
authenticate,
display error
message and
connect to LAN
Cuando un usuario inicia sesin en el IVE a travs de GINA Juniper, si la versin del
cliente de Network Connect presente en el equipo del usuario coincide con la del
IVE, GINA Juniper establece una conexin Network Connect con el IVE. Si las
versiones de Network Connect no coinciden, GINA Juniper no establece una
conexin de Network Connect con el IVE. Antes de la versin 5.4, GINA Juniper
muestra una advertencia de discrepancia de versiones y permite a los usuarios
iniciar sesin en el escritorio de Windows con sus credenciales en cach. Con la
versin 5.4 y posterior, GINA Juniper permite a los usuarios iniciar sesin en el
escritorio de Windows mediante sus credenciales en cach; luego, inicia un cliente
red independiente. Los usuarios inician sesin en el IVE, y el cliente de Network
Connect correspondiente se descarga automticamente en el equipo del usuario
y se inicia.
Si usa Host Checker para validar la presencia de los componentes de seguridad
del lado cliente (autorizacin previa), Host Checker se inicia despus de Network
Connect. A veces, esto se denomina comprobacin en modo de sistema. Host
Checker existe tras una validacin satisfactoria y se reinicia posteriormente una
vez que el usuario inicia sesin en su escritorio (llamado modo de usuario).
663
Uso del encadenamiento de GINA

Network Connect admite el encadenamiento de GINA. El encadenamiento de GINA
significa que un GinaDLL llama a otro GinaDLL. De forma predeterminada, al
habilitarse GINA de NC tambin se habilita el encadenamiento de GINA de NC.
El cliente de Network Connect detecta todos los componentes de GINA actualmente
instalados encima de la cadena actual de GINA. Si el componente de GINA es
compatible, GINA de NC se coloca al frente de los componentes actuales de GINA.
Actualmente, Network Connect admite los siguientes componentes de GINA:
Cliente Cisco VPN (CSGina.dll)
Microsoft GINA (msgina.dll)
Cliente Nortel Networks VPN (nngina.dll)
RSA SecurID (AceGina.dll)
Novell GINA (NWGINA.dll)
Si no se admite un componente de GINA instalado (es decir, no se encuentra en la

lista anterior), aparece un mensaje de advertencia, y GINA de NC no se instala.
Si desinstala un componente de GINA despus de que Network Connect agrega su
informacin a la cadena de GINA, GINA de NC elimina la informacin de GINA
guardada y no invoca el componente de GINA eliminado la prxima vez que pase
por el encadenamiento de GINA.
NOTA: Si se instala GINA de NC sobre la cadena de GINA (es decir, es lo ltimo en
instalarse), GINA de NC se desinstala una vez desinstalado el cliente de Network
Connect. Sin embargo, si GINA de NC se encuentra en el medio de la cadena,
debe eliminar todos los GINA que estn ms arriba en la cadena que GINA de
Network Connect antes de eliminar GINA de NC.
Proveedor de credenciales de Network Connect para Windows Vista

En versiones anteriores a Windows Vista, la personalizacin del inicio de sesin de
usuario interactivo se realiza creando GINA personalizado. Los usuarios introdujero
sus credenciales de autenticacin en la UI de acceso, y GINA transmiti su
informacin a Winlogon para su autenticacin. Sin embargo, debido a que GINA
hace ms que transmitir informacin de autenticacin, normalmente es difcil de
implementar.
Windows Vista introduce un nuevo modelo de autenticacin en que la UI de acceso
y Winlogon se comunican directamente entre s. Un proveedor de credenciales
corresponde a un mdulo que se conecta a la UI de acceso y describe la
informacin de la credencial necesaria para que la UI de inicio de sesin procese
y se comunique con un proveedor externo de autenticacin. Una vez que el
proveedor de credenciales recopila la informacin de la credencial, transmite las
credenciales finales a Winlogon.
664
Existen dos tipos bsicos de proveedores de credenciales: Autenticacin estndar

y proveedores de acceso previo (PLAP). La autenticacin estndar incluye
credenciales basadas en contraseas o en certificados. Un PLAP corresponde a un
tipo especial de proveedor de credenciales que permite a los usuarios realizar una
conexin de red antes de iniciar sesin en su sistema. Otra diferencia entre estos
dos tipos de proveedores es el tiempo de espera. Las credenciales de PLAP no
tienen tiempo de espera; normalmente, las credenciales estndar tienen un tiempo
de espera de 120 segundos.
El proveedor de credenciales de Network Connect corresponde a un proveedor
PLAP, que es visible slo si el sistema est configurado como parte de un dominio.
El proveedor de Network Connect crea una conexin de red. Si las credenciales del
usuario son las mismas que la del dominio (SSO), su informacin se introduce una
sola vez. Si las credenciales del usuario no son las mismas que las del dominio,
el usuario selecciona otro proveedor de credenciales para la autenticacin del
dominio.
Para instalar el proveedor de credenciales de Network Connect:
1. Compruebe que su usuario cliente forme parte del dominio de Windows.
2. En la consola de administracin, vaya a User Roles > Network Connect
y seleccione la opcin Require NC to start when logging into Windows.
3. Al instalar Network Connect en el sistema cliente (que ejecuta Windows Vista),
la ventana de GINA le pide configurar la autenticacin de GINA. Haga clic en
Aceptar.
4. Una vez establecido el tnel Network Connect en el sistema cliente, abra la
ventana de Network Connect. Vaya a Advanced View y seleccione la ficha
Information. En la seccin Results, compruebe que el complemento de GINA
est configurado. Debe ver algo similar a GINA Plug-In: Configured.
5. Cierre la sesin de Windows y presione Ctrl+Alt+Supr.
Debe ver el icono de acceso de red. Si slo ve los mosaicos estndar de usuario
de Windows, haga clic en la opcin Switch user bajo los mosaicos estndar de
credenciales de Windows para ver el icono de acceso de red.
6. Haga clic en el icono de inicio de sesin de red y, luego, en el icono de acceso
del IVE.
7. Introduzca la credencial del dominio Windows y haga clic en Submit. Para su
nombre de usuario, use el formato domain\username o user@domain.
8. Cuando aparezca la ventana Network Connect, introduzca su nombre de
usuario y la contrasea para establecer la conexin de PLAP de Network
Connect.
Network Connect inicia la sesin del usuario en la URL y el servidor proxy
predeterminados en config.ini. Si el nombre de usuario y la contrasea para la
URL predeterminada no es la misma que para el IVE, aparece una ventana de
Network Connect para que introduzca sus credenciales del IVE. Esta ventana
tambin contiene un botn de opcin para iniciar otra ventana para introducir
una URL, servidor proxy, etc.
665
Algunas consideraciones necesarias con respecto al proveedor de credenciales de

Network Connect en Vista:
En Windows XP, GINA aparece antes que la ventana de acceso de Windows.

En Windows Vista, la credencial del dominio de Windows se introduce en el
icono de acceso del IVE. Aparece la ventana de Network Connect y establece
la conexin PLAP de Network Connect mientras inicia sesin en el escritorio
de Windows.
El proveedor de credenciales de Network Connect admite los siguientes

proveedores de autenticacin: Autenticacin local, LDAP, RADIUS (slo
UN/PWD), NIS, ADS y conexin telefnica.
Inicio de Network Connect durante una sesin de Windows Secure

Application Manager
Los usuarios pueden iniciar Network Connect mientras inician sesin en el IVE
a travs de Windows Secure Application Manager (WSAM). Sin embargo, si un
usuario inicia Network Connect en este contexto, el instalador de Network Connect
finaliza automticamente la sesin de WSAM antes de iniciar Network Connect.
Durante el proceso, se le enva un mensaje de advertencia al usuario informndole
que est a punto de finalizar su sesin de WSAM para poder iniciar Network
Connect. Le recomendamos configurar las directivas de recursos de Network
Connect de los usuarios para poder contar con el mismo acceso a los recursos
de red que tendran en sus sesiones WSAM. As, si los usuarios optan por iniciar
Network Connect (finalizando simultneamente WSAM), podrn seguir accediendo
a los mismos recursos de red.
NOTA: Aunque los usuarios opten por no iniciar Network Connect, el instalador
de Network Connect igual instala automticamente la aplicacin de cliente en su

equipo, pero no inicia Network Connect. Una vez instalada la aplicacin cliente,
los usuarios pueden optar por desinstalarla manualmente a travs de su pgina
inicial de puerta de enlace segura o de las opciones de carpeta disponibles en el
men Start de Windows.
Inicio de sesin en Windows a travs de un tnel seguro

Use la caracterstica Logoff On Connect para que los usuarios inicien sesin en
su entorno Windows a travs de un tnel seguro de Network Connect. Esta
caracterstica permite autenticar comparando con el servidor de dominio de
Windows en tiempo real, en lugar de autenticar con las credenciales en la cach
local. Cuando esta caracterstica est activada, su sesin de Windows se cierra
automticamente despus de que se inicia la sesin de Network Connect. La
ventana de inicio de sesin estndar de Windows vuelve a aparecer, y se inicia
sesin con las credenciales de Windows. Su entorno de Windows queda as
establecido a travs del tnel de Network Connect.
NOTA: Los usuarios deben iniciar sesin en Windows antes de que transcurran
Usted
666
5 minutos a partir de la reaparicin de la pantalla de inicio de sesin, o antes de

que la directiva de Host Checker determine que el perodo termin, lo que ocurra
primero. Si no, puede terminar el tiempo de espera de su conexin de Network
Connect, y no podrn iniciar sesin en Windows a travs de un tnel seguro.
Aparece un error si se termina el tiempo de espera de la conexin de Network
Connect.
Para usar la caracterstica Logoff On Connect:

1. Los usuarios deben acceder a su equipo local con sus credenciales almacenadas
en la cach del dominio. Su equipo debe formar parte de un dominio de
Windows.
2. Los usuarios deben iniciar Network Connect y hacer clic en Tools en la pgina
de inicio de sesin de Network Connect.
3. Seleccione la opcin Logoff on Connect y haga clic en OK.
4. Los usuarios deben introducir sus credenciales de nombre de usuario y
contrasea en la pgina de inicio de sesin de Network Connect.
Network Connect establece un tnel y cierra su sesin en su equipo local.
Aparece la pgina de inicio de sesin de Windows.
5. Los usuarios deben introducir sus credenciales de nombre de usuario y
contrasea para iniciar sesin en su dominio de Windows mediante el tnel
de Network Connect.
Perfiles de conexin de Network Connect compatibles con ajustes de varios DNS

A fin de asegurar que los usuarios remotos puedan realizar bsquedas de DNS con
la mayor eficiencia o seguridad posible, puede configurar el IVE para que permita
ajustes de varios DNS durante las sesiones de Network Connect, segn la asociacin
del rol del usuario.
Cuando inicia una sesin de Network Connect de un usuario, el IVE usa un perfil
que coincide con la asociacin del rol del usuario que contenga la direccin IP,
DNS y los ajustes de WINS.
Si habilita la divisin de encapsulamiento, el ajuste de orden de bsqueda de DNS le
permite definir qu ajuste de DNS tiene prioridad; por ejemplo, la bsqueda de un
servidor de DNS en la LAN del cliente antes del servidor de DNS del IVE o viceversa.
Network Connect realiza una copia de seguridad de la preferencia de orden de
ajustes o bsqueda de DNS del cliente antes de establecer una conexin con
Network Connect. Despus de finalizada la sesin, Network Connect restaura al
cliente a sus ajustes de DNS originales. Si inhabilita la divisin de encapsulamiento,
todas las peticiones de DNS pasan al servidor de DNS del IVE y su ajuste para la
preferencia de orden de bsqueda de DNS no se aplica.
NOTA: Despus de finalizar y reiniciar un cliente de DNS, ste puede no escoger de
forma oportuna el orden de bsqueda de mltiples direcciones de DNS, lo que
provoca un orden de bsqueda incorrecto al iniciar Network Connect. Las normas
que rigen la resolucin de nombres y la conmutacin de DNS por error son
complejas y, a menudo, especficas de un sistema operativo de un cliente en
particular. Usted o el usuario final pueden intentar ejecutar los comandos de
ipconfig /registerdns desde una ventana de comandos del equipo cliente. Esto
puede restablecer el orden de bsqueda al correcto. Para comprender el orden de
resolucin de bsqueda para servidores de DNS, consulte la documentacin de
Microsoft DNS correspondiente a su plataforma de sistema operativo.
667
Al emplear un clster de mltiples sitios de IVE, el conjunto IP y los ajustes de DNS

pueden ser exclusivos para cada IVE ubicado en un sitio diferente. Por esta razn,
el IVE permite que la directiva de perfil de conexin de Network Connect sea
especfica al nodo. Es decir, la directiva de recursos permite que el cliente se
conecte al mismo IVE del clster cada vez que se establece una nueva sesin.
NOTA: Si se ejecuta Network Connect en un sistema con licencia IVS, consulte
Configuracin del DNS para el IVS en la pgina 948 y Configuracin de
Network Connect para uso en un IVE virtualizado en la pgina 950.
Aprovisionamiento de la red para Network Connect

Incompatibilidad de Network Connect con otras aplicaciones cliente
de VPN
Las aplicaciones de clientes de VPN de terceros proveedores pueden ser
incompatibles con Network Connect. La Tabla 38 incluye los proveedores de cliente
de VPN conocidos y la compatibilidad relativa de Network Connect con las
aplicaciones cliente de VPN de dichos proveedores.
Tabla 38: Compatibilidad de Network Connect con clientes de VPN de terceros
Proveedor
Compatible?
Cisco
Nortel
NS Remote
Intel
Checkpoint
Si desea instalar Network Connect en un cliente que presente una aplicacin cliente
de VPN incompatible, debe desinstalar la aplicacin incompatible antes de instalar
o iniciar Network Connect en el cliente.
Requisitos de cliente Linux

Los clientes Linux que inicien sesin en Network Connect a travs de Mozilla
Firefox versin 1.6 deben asegurarse de que las bibliotecas de OpenSSL estn
instaladas en el cliente. La mayora de las versiones de Linux incluyen ya de serie
OpenSSL. Si encuentra a algn usuario de Linux que no cuente con las bibliotecas
de OpenSSL necesarias, puede dirigirlo al siguiente recurso, donde las puede
obtener e instalar de forma gratuita:
Consulte http://www.openssl.org/related/binaries.html para obtener detalles.
(Tambin puede aconsejar a los usuarios que compilen su propia versin
dirigindolos a la fuente en http://www.openssl.org/source/.) La versin
necesaria es libssl.so.0.9.6b.
668
Registro del lado cliente

Los registros del lado cliente de Network Connect corresponden a archivos que
residen en el cliente remoto y que contienen informacin sobre inicios de sesin,
depuracin y otra informacin estadstica que puede usar para solucionar posibles
problemas en Network Connect. Al habilitar el registro del lado cliente para
usuarios de Network Connect, el cliente registra los eventos de Network Connect en
una serie de archivos de registro, adjuntando continuamente entradas cada vez que
se invoca una caracterstica durante las sesiones de usuario posteriores. Los
archivos de registro resultantes son tiles al trabajar con el equipo de soporte a fin
de depurar problemas con Network Connect. Para obtener ms informacin,
consulte Habilitacin de registros del lado cliente en la pgina 841.
NOTA: Si los usuarios de Network Connect desactivan el registro del lado cliente
(incluso si el registro est activado en el IVE), el cliente no registra nueva

informacin de registro del lado cliente. Si el usuario activa la funcin de registro,
y seguidamente, el IVE se configura para inhabilitar el registro del lado cliente,
el cliente no registra nueva informacin de registro del lado cliente.
Compatibilidad de proxy de Network Connect

Network Connect proporciona soporte para clientes remotos mediante un servidor
proxy para acceder a Internet (y al IVE a travs de Internet), as como tambin a los
clientes que no necesitan un proxy para acceder a Internet, pero que acceden a los
recursos de una red interna a travs de un proxy. Network Connect tambin
proporciona soporte para clientes que acceden a un archivo de Proxy Automatic
Configuration (PAC), que especifica los ajustes de cliente y proxy del IVE que
habilitan el acceso a las aplicaciones Web.
NOTA: El cliente de Network Connect no admite el uso del cliente de proxy MS
Winsock. Inhabilite el cliente de proxy MS Winsock antes de ejecutar el cliente
de Network Connect. Para obtener ms informacin, consulte
http://www.microsoft.com/windowsxp/using/mobility/expert/vpns.mspx.
Para abordar estos distintos mtodos de implementacin de proxy, Network

Connect cambia temporalmente los ajustes de proxy del explorador para que slo
el trfico destinado a la sesin de Network Connect use los ajustes temporales de
proxy. Todo el trfico que no est destinado a la sesin de Network Connect usa los
ajustes actuales de proxy.
NOTA: El cliente de Network Connect no admite la opcin de detectar
automticamente los ajustes de proxy. Debe elegir usar un script de configuracin
automtica (PAC) o especificar un servidor proxy. No puede usar un servidor proxy
y un script de configuracin automtica juntos. Puede definir uno o el otro en
Users > Resource Policies > Network Connect > NC Connection Profiles >
Seleccionar perfil > Proxy.
669
Independientemente de que la divisin de encapsulamiento est habilitada o

inhabilitada, el IVE admite los siguientes contextos de proxy:
Uso de un proxy explcito para acceder al IVE
Uso de un proxy explcito para acceder a las aplicaciones Web internas
Uso de un archivo PAC para acceder al IVE
Uso de un archivo PAC para acceder a las aplicaciones Web internas
Si en el IVE est habilitada la divisin de encapsulamiento, Network Connect

administra los ajustes de proxy en una de las siguientes formas, dependiendo
del mtodo con el cual se implementa el proxy:
En el caso de los clientes remotos que usan un servidor proxy para acceder a
Internet, todas las peticiones HTTP generadas por el explorador y destinadas al
IVE (como el trfico de transporte de NCP) pasan por un proxy explcito o por
un archivo PAC al que accede el cliente remoto. Debido a la presencia de un
proxy explcito o a que un acceso a un archivo PAC ya se proporcion en el lado
cliente, el cliente configura el proxy local temporal antes de intentar establecer
una sesin.
En el caso de los clientes remotos que usan un proxy para acceder a recursos
corporativos en una red corporativa, pero que an pueden conectarse
directamente a Internet sin un proxy, Network Connect identifica los ajustes del
proxy en el cliente aunque no se pueda acceder al servidor proxy hasta que
Network Connect establezca una conexin. Una vez que establece una
conexin, Network Connect crea el proxy local temporal.
Si un cliente remoto intenta acceder a un archivo PAC preconfigurado basado

en HTTP, ste no puede acceder al archivo sino hasta despus de que Network
Connect establezca una conexin de sesin. Despus de que Network Connect
establezca una conexin, el cliente puede acceder al archivo PAC, incluir el
contenido del archivo PAC en el proxy local temporal y actualizar el ajuste del
proxy del explorador.
Calidad de servicio de Network Connect

Para respaldar la calidad de servicio (QoS) de su red interna a travs de Network
Connect, el IVE traduce el encabezado interno de paquetes IP (para el
encapsulado de paquetes de capa de la aplicacin, por ejemplo) al encabezado
externo de paquetes, permitiendo as la priorizacin de paquetes de nivel de capa
de la red. De este modo, los enrutadores de la red pueden identificar, priorizar y
enviar correctamente los paquetes IPsec de Network Connect a travs de la red.
Esta caracterstica permite admitir transmisin y recepcin temporales de paquetes
IP, como por ejemplo secuencias de vdeo IP.
NOTA: La calidad de servicio (QoS) de Network Connect se aplica solamente a los
paquetes de UDP (IPsec). El comportamiento de encapsulado y reenvo de
paquetes de SSL no cambia si emplea la caracterstica de calidad de servicio (QoS)
de Network Connect.
670
Soporte de multicast de Network Connect

Para permitir la secuencia de difusin de vdeos IP por la red interna, Network
Connect incluye soporte de proxy multicast de puerta de enlace de protocolo de
administracin de grupos de Internet (IGMP).
NOTA: Si usa el soporte de multicast NC y conmutadores L2, compruebe que estos
ltimos admitan IGMP v3.
Si los usuarios emiten una peticin para unirse a un grupo de multicast, el IVE enva
un mensaje IGMP join al enrutador o conmutador de multicast local en nombre del
cliente. Adems, el IVE guarda las consultas de peticiones de grupos de IGMP en la
cach para que cada vez que un enrutador de multicast de la red pida informacin
al IVE sobre el grupo de IGMP, ste le responda con el conjunto actual de peticiones
de usuario y grupo de multicast. Si un enrutador o conmutador no recibe una
respuesta del IVE, la informacin del grupo de multicast para el IVE se elimina
de la tabla de reenvo del enrutador o conmutador.
NOTA: Network Connect admite secuencias multimedia de hasta 2 MB por
segundo en un solo tnel.
Definicin de los ajustes de rol: Network Connect

Use los ajustes a nivel de rol para especificar las opciones de divisin de
encapsulamiento, inicio automtico, desinstalacin automtica y Graphical
Identification and Authentication (GINA). Para obtener ms informacin sobre
GINA, consulte Inicio de sesin automtico de Network Connect mediante GINA
en la pgina 662.
Para especificar las opciones de Network Connect de divisin de encapsulamiento,
inicio automtico, desinstalacin automtica e instalacin de GINA:
1. En la consola de administracin, elija Users > User Roles > Rol >
Network Connect.
2. En Split Tunneling Options, seleccione una de las siguientes opciones:
Disable Split Tunneling: Todo el trfico de la red que proviene del cliente
pasa por el tnel de Network Connect. Cuando Network Connect establece
correctamente una conexin con el IVE, ste elimina todas las rutas locales
predefinidas (cliente) de subred y entre hosts que puedan causar divisin
de encapsulamiento. Si se hacen cambios a la ruta del cliente durante una
sesin activa de Network Connect, el IVE finaliza la sesin.
Allow access to local subnet: El IVE conserva la ruta en el cliente,

manteniendo el acceso a los recursos locales, como impresoras. Si es
necesario, puede agregar entradas a la ruta del cliente durante la sesin
de Network Connect. El IVE no finaliza la sesin. sta es la opcin
predeterminada.
Definicin de los ajustes de rol: Network Connect 671
Enable Split Tunneling: Esta opcin activa la divisin de encapsulamiento

y requiere especificar las combinaciones de direccin IP o mscara de la
red cuyo trfico entre el cliente remoto y la intranet corporativa maneja el
IVE segn las instrucciones de Definicin de directivas de divisin de
encapsulamiento de Network Connect en la pgina 682.
Al usar la divisin de encapsulamiento, Network Connect modifica las rutas
de clientes para que el trfico perteneciente a las redes de intranet
corporativa a Network Connect y el resto del trnsito pasen por el
adaptador local fsico.
Enable Split Tunneling with route change monitor: Una vez iniciada una
sesin de Network Connect, si se realizan cambios en las combinaciones
de direccin IP/mscara de red dirigidas al trfico a travs de Network
Connect en la tabla de rutas del cliente, se finaliza la sesin. Esta opcin
retiene el acceso a los recursos locales, como las impresoras.
Enable Split Tunneling with allowed access to local subnet: Activa la

divisin de encapsulamiento y conserva la ruta en el cliente, manteniendo
el acceso a los recursos locales, como impresoras.
3. En Auto Launch Options, especifique si Network Connect se inicia

automticamente o no cuando un usuario autenticado corresponda
a uno o ms roles que permitan sesiones de Network Connect.
4. En Auto Uninstall Options, especifique si Network Connect se desinstala
automticamente o no del cliente remoto cuando un usuario cierra la sesin
de Network Connect.
5. En TOS Options, especifique si desea o no habilitar la caracterstica de calidad
de servicio (QoS) de copia de bits de TOS IP activando y desactivando esta
opcin. Al habilitar esta opcin, Network Connect copia los bits de TOS IP del
encabezado de paquetes IP interno en el externo.
NOTA:
Si habilita esta opcin, es posible que el usuario necesite reiniciar el equipo al

instalar Network Connect por primera vez en el sistema operativo Windows.
Si habilita esta opcin en el IVE, compruebe que haya inhabilitado la opcin

Repeat Protection descrita en Creacin de perfiles de conexin de Network
6. En Multicast Option, especifique si desea o no que Network Connect funcione

en modo multicast.
7. En GINA Options, especifique si habilita o no la instalacin de GINA para un rol
y especifique el comportamiento de inicio de sesin de GINA seleccionando
una de las siguientes opciones:
672
Install GINA with Network Connect: Instala adicionalmente GINA en un

sistema cliente al instalar Network Connect.
Definicin de los ajustes de rol: Network Connect
Require NC to start when logging into Windows: Una vez que se instala
GINA, esta opcin inicia automticamente la funcin de inicio de sesin de
Network Connect en todo inicio de sesin de usuario de Windows.
Allow user to decide whether to start NC when logging into Windows:

Una vez que se instala GINA, esta opcin permite al usuario determinar,
en cada inicio de Windows, si se inicia o no Network Connect despus de
la instalacin de GINA.
NOTA: Debe habilitar Network Connect para un rol determinado si desea que
un usuario asignado a dicho rol pueda usar GINA durante el acceso a Windows.
8. En Session Scripts, especifique lo siguiente:

a.
La ubicacin de los scripts de inicio y trmino de Network Connect para

clientes de Windows, Macintosh o Linux. Si no especifica scripts de inicio
y trmino, Network Connect no ejecuta scripts para iniciar o finalizar la
sesin.
Al iniciarse Network Connect, los scripts de inicio y trmino se copian al
cliente y, despus de finalizar la sesin, se eliminan del cliente. Se puede
acceder a los scripts de forma local o remota a travs del recurso
compartido de archivos u otro recurso de red local de disponibilidad
permanente.
NOTA:
El cliente debe ser un miembro del mismo dominio que el servidor remoto
para que NC pueda copiar los scripts de inicio y trmino. Si el servidor no
conoce las credenciales del cliente, la copia de scripts se interrumpe, y NC
no le pide al usuario introducir nombre de usuario y contrasea.
Windows slo admite scripts con la extensin .bat, .cmd o .exe. Para ejecutar
un script .vbs, el usuario debe contar con un archivo de lote para invocar el
script .vbs.
El cliente de Network Connect hace una copia del script de trmino una vez
configurado el tnel y guarda el script en un directorio temporal a fin de
asegurar que, si se interrumpe la conexin de red, se pueda seguir usando
el script de trmino para finalizar la sesin de Network Connect.
b.
Active la opcin Skip if GINA enabled para omitir el script de inicio de

sesin especfico de Windows.
Si el cliente inicia sesin en su dominio de Windows a travs de la funcin
de inicio de sesin automtico GINA, el cliente de Windows ejecuta un
script. En este caso, el script de inicio de sesin puede ser idntico al script
de inicio especfico de Network Connect. Por lo tanto, puede usar esta
opcin como una manera de evitar ejecutar dos veces el mismo script.
Definicin de los ajustes de rol: Network Connect 673
Definicin de directivas de recursos: Network Connect

Las directivas de recursos de Network Connect especifican una variedad de
parmetros de sesin de Network Connect que puede usar para determinar el
mtodo de acceso para clientes remotos. Puede configurar los siguientes tipos de
directivas de recursos en el IVE y aplicarlas a uno o ms roles de usuario:
Directivas de recursos de acceso: Este tipo de directiva especifica los recursos

a los que los usuarios pueden acceder al usar Network Connect, como equipos
Web, de archivos y de servidor en la intranet corporativa. Para obtener ms
informacin, consulte Definicin de directivas de control de acceso de
Directivas de recursos de perfiles de conexin: Este tipo de directiva

especifica la opcin (DHCP o conjunto de direcciones IP administrado por el
IVE) que usa el IVE para asignar una direccin IP al agente Network Connect del
lado cliente. Tambin puede usar esta caracterstica para especificar el
protocolo de transporte y el mtodo de encriptacin para la sesin de Network
Connect. Para obtener ms informacin, consulte Creacin de perfiles de
conexin de Network Connect en la pgina 675.
Directivas de recursos de divisin de encapsulamiento: Este tipo de directiva

le permite especificar una o ms combinaciones de direccin IP o mscara de
red cuyo trfico entre el cliente remoto y la intranet corporativa maneja el IVE.
Para obtener ms informacin, consulte Definicin de directivas de divisin de
encapsulamiento de Network Connect en la pgina 682.
Definicin de directivas de control de acceso de Network Connect

Use la ficha Network Connect Access Control para escribir una directiva de
recursos de Network Connect que controle los recursos con que se pueden conectar
los usuarios mediante Network Connect.
Para escribir una directiva de recursos de acceso de Network Connect:
1. En la consola de administracin, elija Users > Resource Policies > Network
Connect > Network Connect Access Control.
2. En la pgina de Network Connect Network Connect Access Control, haga clic
en New Policy.
a.
b.

directiva. Para obtener ms informacin, consulte Componentes de las
674
Available roles.
Allow access: Seleccione esta opcin para otorgar acceso a los recursos
Deny access: Seleccione esta opcin para denegar el acceso a los recursos
Use Detailed Rules: Seleccione esta opcin para definir las normas de
directivas de recursos que ponen restricciones adicionales a los recursos
especificados. Para obtener ms informacin, consulte Escritura de una
regla detallada en la pgina 109.

8. En la pgina de Network Connect Access Policies, ordene las directivas en el
IVE compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la accin especificada y
detiene las directivas de procesamiento.
Creacin de perfiles de conexin de Network Connect

Use la ficha Network Connect Connection Profiles para crear un perfil de recursos
de Network Connect. Cuando el IVE recibe la peticin de un cliente de iniciar una
sesin de Network Connect, asigna una direccin IP al agente Network Connect del
lado cliente. El IVE asignar esta direccin IP segn las directivas de conjunto de
direcciones IP aplicables a un rol de usuario. Adems, esta caracterstica le permite
especificar el protocolo de transporte, mtodo de encriptacin y si se emplea o no
compresin de datos para la sesin de Network Connect.
Los nodos de un clster de varios sitios comparten informacin de configuracin,
lo que significa que los dispositivos IVE de diferentes redes comparten un conjunto
de direcciones IP. Debido a que cualquier nodo del IVE puede recibir la peticin del
cliente de iniciar la sesin de Network Connect, debe especificar un filtro IP para
dicho nodo, que permita slo las direcciones de red disponibles para dicho nodo.
Cuando un nodo de clster solicita crear una sesin de Network Connect, asigna la
direccin IP para la sesin a partir del conjunto de direcciones IP filtradas.
675
Para escribir un perfil de conexin de Network Connect:

Connect > NC Connection Profiles.
2. En la pgina Network Connect Connection Profiles, haga clic en New Profile.
3. En la pgina New Profile, introduzca la siguiente informacin:
a.
b.
4. En la seccin IP address assignment, especifique el mtodo de asignacin de

direccin IP del lado cliente escogiendo una de las siguientes opciones:
DHCP server: Esta opcin le permite especificar el nombre de host o

direccin IP de un servidor de protocolo de configuracin dinmica de
host (DHCP) de la red encargado de la asignacin de direccin IP del
lado cliente.
Puede especificar hasta tres servidores de DHCP separndolos con comas
(sin espacios delante). Cuando en la lista aparecen varios servidores de
DHCP, el IVE enva un mensaje de descubrimiento de DHCP a todos los
servidores de DHCP de la lista y espera una respuesta durante cinco
segundos. Si responden varios servidores de DHCP, el IVE elige el que tiene
el perodo de arrendamiento ms prolongado.
IP address pool: Esta opcin le permite especificar direcciones IP o un

rango de direcciones IP para que el IVE las asigne a los clientes que
ejecutan el servicio Network Connect. Use el formato cannico: ip_range
El valor de ip_range puede especificarse como se muestra en la Tabla 39,
donde el ltimo componente de la direccin IP corresponde a un rango
delimitado por un guin (-). No se permiten caracteres especiales.
Tabla 39: Sintaxis para los conjuntos de direcciones IP

Rango de direcciones IP : Descripcin
676
a.b.c.d
Especifica una sola direccin IP
a.b.c.d-e.f.g.h
Especifica todas las direcciones IP, incluidas la primera y la ltima
a.b.c.d-f.g.h
Forma abreviada que especifica el rango entre a.b.c.d y a.f.g.h
a.b.c.d-g.h
Forma abreviada que especifica el rango entre a.b.c.d y a.b.g.h
a.b.c.d-h
Forma abreviada que especifica el rango entre a.b.c.d y a.b.c.h
a.b.c.d/mscara
Especifica todas las direcciones de una red
Por ejemplo, para asignar todas las direcciones del rango entre 172.20.0.0 y
172.20.3.255, especifique 172.20.0.0-3.255. Para asignar todas las direcciones
de una clase C, especifique 10.20.30.0/24.
NOTA: No olvide especificar un nmero suficiente de direcciones IP del conjunto
para todos los puntos finales de su despliegue. Una vez que todas las direcciones
del conjunto estn asignadas a puntos finales, los puntos finales adicionales no
pueden obtener una direccin IP virtual, y se bloquea su acceso a los recursos
protegidos. El IVE guarda un mensaje en el registro de eventos si una direccin IP
no se puede asignar a un punto final.
NOTA: Le recomendamos configurar su red para que el conjunto de direcciones IP

del lado cliente de Network Connect o el servidor de DHCP especificado en el
perfil de conexin de Network Connect resida en la misma subred que el IVE.
Si la topologa de su red exige que la interfaz IP interna del IVE y el conjunto de

direcciones IP o servidor de DHCP residan en diferentes subredes, debe agregar
rutas estticas a los enrutadores de puertas de enlace de su intranet a fin de
asegurar que los recursos de su empresa y el IVE puedan verse entre s en la red
interna.
NOTA:
Si ejecuta un clster de mltiples unidades por una LAN o WAN, asegrese de

que el conjunto de direcciones IP contenga direcciones vlidas para cada
nodo del clster. Seguidamente, configure un filtro IP por cada nodo para que
se aplique a este conjunto de direcciones IP.
El IVE no admite un conjunto comn de direcciones IP de Network Connect

para un clster activo/activo. En despliegues de NC A/A, le recomendamos
dividir el conjunto IP de NC en subconjuntos especficos al nodo. Adems,
le recomendamos configurar coordinadamente una ruta esttica en la
infraestructura de enrutador backend, con rutas estticas para cada
subconjunto que seale hacia la direccin IP interna del nodo de clster de
hosts con puerta de enlace de siguiente salto.
IP address pool tambin admite sustitucin de atributos. Por ejemplo, puede
introducir un atributo de asignacin de roles RADIUS en este campo, como
<atrUsu.Direccin-IP-entramada>.
677
5. En la seccin Connection settings, especifique los ajustes de transporte,

encriptacin y compresin para este perfil de conexin. ESP usa una
compresin de LZO, mientras que oNCP/NCP usa un mtodo de compresin de
disminucin. La compresin es til para una conexin lenta, pero puede causar
problemas en despliegues extremadamente grandes dado que los ciclos
adicionales se gastan comprimiendo los datos.
a.
Especifique el mtodo de encapsulado y transporte eligiendo una de las

ESP (maximize performance): Seleccione esta opcin para usar

un mtodo de transferencia de ESP con UDP encapsulado a fin
de transferir de forma segura datos entre el cliente y el IVE. Puede
personalizar an ms los parmetros de transferencia de datos
definiendo el puerto de UDP, el valor de tiempo de espera de retroceso
de ESP a NCP y los valores de duracin de claves de encriptacin
de ESP.
oNCP/NCP (maximize compatibility): Seleccione esta opcin para

usar el mtodo de transporte estndar oNCP/NCP para este perfil de
conexin. Para obtener ms informacin sobre oNCP y NCP, y las
opciones para el uso de NCP en el IVE, consulte Configuracin de
licencias, seguridad y NCP en la pgina 727.
NOTA: El protocolo de transporte oNCP ofrece mayor flexibilidad a travs de NCP

pues admite clientes Macintosh y Linux. (El protocolo de transporte NCP
tradicional funciona exclusivamente en un entorno de cliente Windows.) Si
desactiva la caracterstica de seleccin automtica de oNCP o NCP en la pgina de
System > Configuration > NCP de la consola de administracin y se produce
una conmutacin por error de UDP a oNCP o NCP, el IVE desconecta a los clientes
de Macintosh y Linux debido a que el IVE conmuta errneamente UDP a NCP (en
lugar de oNCP), que no admite estos usuarios.
b.
Si desea aceptar los valores predeterminados del IVE para el mtodo de

transporte de ESP, proceda al siguiente paso. De lo contrario, puede
proporcionar los siguientes valores:
UDP port: Proporcione el puerto de IVE a travs del cual piensa dirigir
el trfico de la conexin de UDP. El nmero de puerto predeterminado
es 4500.
NOTA: Ya sea que especifique un nmero de puerto personalizado o elija usar el

nmero de puerto predeterminado (4500) configurado en el IVE, tambin debe
comprobar que otros dispositivos junto con el tnel encriptado permitan que haya
trfico de UDP entre el IVE y los clientes de Network Connect. Por ejemplo,
si emplea un enrutador fronterizo y un cortafuegos entre Internet y la intranet
corporativa, debe asegurarse de que el puerto 4500 se habilite en el enrutador y
en el cortafuegos, y que el puerto 4500 se configure para aceptar trfico de UDP.
678
ESP to NCP fallback timeout: Proporcione un perodo (en segundos)

para retroceder a la conexin de NCP ya establecida cuando se
produzca un fallo de conexin de UDP. El perodo predeterminado
es de 15 segundos.
Key lifetime: Proporcione el perodo (en minutos) durante el cual el

IVE emplea la misma clave de encriptacin de ESP para este perfil de
conexin. Tanto el lado local como el remoto del tnel de transmisin
encriptado usan la misma clave de encriptacin slo por un perodo
limitado con el fin de impedir el acceso no autorizado. El perodo
predeterminado es de 20 minutos.
NOTA: Si cambia frecuentemente la clave de encriptacin, puede aumentar el nivel
mximo de trfico de la CPU del IVE.
Replay Protection: Habilite esta opcin para activar la proteccin

contra reprocesamiento de paquetes del IVE. Una vez habilitada, esta
opcin protege contra los constantes ataques hostiles de la red.
Cuando llegan los paquetes del cliente, el IVE comprueba la
informacin de encabezado IP a fin de verificar que un paquete que
presenta la misma informacin de encabezado IP no se haya recibido.
Si se recibi uno, el paquete se rechaza. Esta opcin se habilita en las
directivas de recursos de Network Connect de forma predeterminada.
Si activa la opcin Enable TOS Bits Copy descrita en Resumen de
tareas: Configuracin de Network Connect en la pgina 658, los
paquetes IP con diferentes bits de TOS se pueden reordenar al pasar
por los enrutadores de las puertas de enlace de su red. Para asegurarse
de que los paquetes recibidos fuera de servicio no se eliminen
automticamente al llegar al IVE, puede inhabilitar la opcin de
proteccin contra reprocesamiento de paquetes para esta directiva
de recursos.
NOTA: Le recomendamos dejar activada la proteccin contra reprocesamiento de

paquetes si no espera ms de un origen de paquetes del cliente (p. ej., si slo una
aplicacin transmite y recibe trfico por el tnel de Network Connect).
c.
Especifique el mtodo de encriptacin eligiendo una de las siguientes

opciones:
AES128/MD5 (maximize performance): Esta opcin ordena al IVE

emplear la encriptacin de 128 bits de norma de encriptacin
avanzada (AES) en el canal de datos y el mtodo de autenticacin MD5
para sesiones de Network Connect.
AES128/SHA1: Esta opcin ordena al IVE emplear la encriptacin de

128 bits de AES en el canal de datos y el mtodo de autenticacin
SHA1 durante las sesiones de Network Connect.
AES256/MD5: Esta opcin ordena al IVE emplear la encriptacin de

256 bits de AES en el canal de datos y el mtodo de autenticacin MD5
para sesiones de Network Connect.
AES256/SHA1 (maximize security): Esta opcin ordena al IVE emplear

la encriptacin de 256 bits de AES en el canal de datos y el mtodo de
autenticacin SHA1 durante las sesiones de Network Connect.
679
NOTA: El algoritmo de autenticacin MD5 crea firmas digitales. El mtodo de

autenticacin MD5 traduce una cadena de entrada (como por ejemplo una ID
de usuario o contrasea de inicio de sesin) en una huella digital fija de 128 bits
(tambin llamada sntesis del mensaje) antes de transmitirla hacia o desde
el IVE.
El mtodo de autenticacin SHA1 es fcil de usar y eficiente al codificar la

informacin de ID y contrasea de usuario. El algoritmo SHA1 traduce los
caracteres que comprenden una cadena de ID o contrasea de usuario en un texto
ilegible antes de transmitirlos desde o hacia el IVE. Luego, se usa el mismo
algoritmo para revertir la traduccin antes de que se presente al servidor de
autenticacin.
NOTA: AES256 es compatible slo con Network Connect en Windows Vista. No es

compatible con Network Connect en Windows XP.
d. Especifique si va a comprimir o no para proteger la conexin.

Available roles.
7. En la pgina New Profile, haga clic en la ficha DNS.

8. Marque la casilla de verificacin Custom DNS Settings para sobrescribir los
ajustes de DNS con los que usted proporcion:
a.
Primary DNS: Proporcione la direccin IP para el DNS primario.
b.
Secondary DNS: Proporcione la direccin IP para el DNS secundario.
c.
DNS Domain(s): Proporcione los dominios de DNS, como

suempresa.com, suempresa.net.
d. WINS: Proporcione el nombre de resolucin de WINS o direccin IP.
680
9. Seleccione la opcin Auto-allow IP's in DNS/WINS settings (only for splittunnel enabled mode) si desea crear una norma de permiso para el servidor
DNS. Por ejemplo, si cuenta con directivas definidas para permitir peticiones de
direccin IP 10.0.0.0, pero su servidor DNS tiene una direccin de
172.125.125.125, las peticiones del servidor DNS se eliminarn. Si selecciona
esta opcin, el dispositivo crea una norma que permita las peticiones de DNS.
10. En la seccin DNS search order, seleccione el orden de bsqueda de servidor
DNS slo si se habilita la divisin de encapsulamiento:
Search client DNS first, then the device
Search the devices DNS servers first, then the client
11. En la pgina New Profile, haga clic en la ficha Proxy.

12. En la seccin Network Connect proxy server configuration, seleccione una de
las siguientes opciones:
No proxy server: Especifica que el nuevo perfil no requiere servidor proxy.
Automatic (URL for PAC file on another server): Especifica la URL del
servidor en el cual reside el archivo PAC y la frecuencia (en minutos) con
que Network Connect solicita al servidor una versin actualizada del
archivo PAC. Puede configurar Network Connect para que busque archivos
PAC actualizados con una frecuencia de hasta 1 minuto. El perodo de
actualizacin predeterminado es de 5 minutos. Si especifica un valor de
0 minutos, Network Connect nunca solicita al servidor un archivo PAC.
El archivo PAC debe residir en un servidor Web, no en el PC local.
NOTA: Network Connect limita el tamao de los archivos PAC internos (del lado
servidor) a 30 K.
Manual configuration: Especifique la direccin IP o el nombre de host del

servidor y proporcione la asignacin de puerto.

14. En la pginaNC Connection Profiles, ordene los perfiles en el orden en el que
desee que el IVE los evale. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource del
perfil (o una regla detallada), realiza la accin especificada y detiene los perfiles
de procesamiento.
NOTA: Si se ejecuta Network Connect en un sistema con licencia IVS, consulte

Configuracin de Network Connect para uso en un IVE virtualizado en la
pgina 950.
681
Definicin de directivas de divisin de encapsulamiento de Network Connect

Use la ficha Network Connect Split Tunneling para escribir una directiva de
recursos de Network Connect que especifique una o ms combinaciones de
direccin IP o mscara de red cuyo trfico entre el cliente remoto y la intranet
corporativa maneja el IVE.
Al usarse divisin de encapsulamiento, Network Connect modifica las rutas de
clientes para que el trfico perteneciente a las redes de intranet corporativa a
Network Connect; todo el resto del trnsito pasa por el adaptador local fsico. El IVE
intenta resolver todas las peticiones de DNS, primero, a travs del adaptador fsico;
luego, enruta las que fallan en el adaptador de Network Connect.
Para escribir una directiva de recursos de redes de divisin de encapsulamiento de
Network Connect:
Connect > Split-tunneling Networks.
2. En la pgina de Network Connect Network Connect Split Tunneling, haga clic
en New Policy.
a.
b.
4. En la seccin Resources, especifique una o ms combinaciones de direccin IP

o mscara de red cuyo trfico entre el cliente remoto y la intranet corporativa
maneja el IVE. Tambin puede especificar estas redes con la notacin / (barra
inclinada).
Available roles.
682
Allow access: Seleccione esta opcin para otorgar acceso a los recursos
Use Detailed Rules (available after you click Save Changes): Seleccione
esta opcin para definir las normas de directivas de recursos que ponen
restricciones adicionales a los recursos especificados. Para obtener ms
informacin, consulte Escritura de una regla detallada en la pgina 109.

8. En la pgina de Network Connect Split Tunneling Policies, ordene las
directivas en el orden en el que desee que el IVE las evale. Tenga presente que
una vez que el IVE compara el recurso solicitado por el usuario con un recurso
en una lista de Resource de la directiva (o una regla detallada), realiza la accin
especificada y detiene las directivas de procesamiento.
Caso de uso: Configuracin de directivas de recursos de Network Connect

Esta seccin describe una aplicacin real de Network Connect y los pasos
necesarios para configurar la directiva de recursos correcta que otorgue acceso
a los usuarios remotos de la red.
Las grandes instituciones financieras (tambin llamadas empresas Fortune)
requieren una aplicacin slida para el inicio de sesin de cliente, como Network
Connect, que proporcione a los empleados remotos una conexin de red continua a
una gran variedad de recursos de la empresa de las oficinas centrales corporativas.
Frecuentemente, los usuarios remotos pueden acceder a mltiples aplicaciones de
sus equipos porttiles o cliente ms all de las simples aplicaciones de
programacin de correo electrnico o reuniones. Estos superusuarios o usuarios
avanzados requieren un acceso seguro y encriptado a poderosas aplicaciones de
servidor, como bases de datos de Microsoft OutlookTM, OracleTM y el sistema de
administracin de casos RemedyTM.
Para este escenario, supongamos lo siguiente:
Un pequeo conjunto de usuarios remotos tendr acceso en su totalidad a los

recursos de la empresa de su institucin financiera a travs del mismo IVE.
Todos los usuarios tiene el mismo rol user_role_remote asignado a su ID

de usuario.
Host Checker y Cache Cleaner estn configurados, y verifican los equipos de los
usuarios despus del inicio de sesin del IVE e inician las sesiones de Network
Connect.
Todos los usuarios requieren acceso a tres servidores de gran capacidad en las
oficinas centrales corporativas con los siguientes atributos:
outlook.acme.com en la direccin IP 10.2.3.201
oracle.financial.acme.com en la direccin IP 10.2.3.202
case.remedy.acme.com en la direccin IP 10.2.3.99
Debido a que la empresa desea administrar de forma muy estricta su conjunto

de direcciones IP, cada IVE proporciona direcciones IP a los usuarios remotos
(nuestro IVE en particular controla las direcciones IP entre 10.2.3.128 y
10.2.3.192).
La empresa est interesada en el acceso ms seguro posible, que acepte

simultneamente slo el mnimo tiempo de espera cliente posible.
683
Para configurar la directiva de recursos de Network Connect que otorgue el acceso

adecuado a los usuarios remotos de empresas Fortune:
1. Cree una nueva directiva de recursos de Network Connect en que especifique
los tres servidores a los cuales desea otorgar acceso a usuarios remotos segn
las instrucciones descritas en Definicin de directivas de control de acceso de
Network Connect en la pgina 674:
a.
En la seccin Resources, especifique la direccin IP necesaria para acceder

a los tres servidores (outlook.acme.com, oracle.financial.acme.com y
case.remedy.acme.com) separados por retornos de carro.
udp://10.2.3.64-127:80,443
udp://10.2.3.192-255:80,443
b.
En la seccin Roles, seleccione la opcin Policy applies to SELECTED

roles y asegrese de que slo aparezca user_role_remote en la lista
Selected roles.
c.
En la seccin Action, seleccione la opcin Allow access.
2. Cree un nuevo perfil de conexin de Network Connect en que defina el mtodo

de transporte y encriptacin para el tnel de datos entre los clientes y el IVE
segn las instrucciones descritas en Creacin de perfiles de conexin de
Network Connect en la pgina 675:
a.
En la seccin IP address assignment, seleccione la opcin IP address pool

e introduzca 10.2.3.128-192 en el campo de texto asociado.
b.
En la seccin Connection Settings, seleccione la opcin de transporte ESP

y la opcin de encriptacin AES/SHA1.
c.
En la seccin Roles, seleccione la opcin Policy applies to SELECTED

roles y asegrese de que slo aparezca user_role_remote en la lista
Selected roles.
Definicin de directivas de administracin de ancho de banda de Network Connect

La administracin de ancho de banda controla la velocidad del trfico enviado y
recibido por una interfaz de red. La administracin de ancho de banda desecha el
exceso de paquetes y garantiza que al usuario se le asigne la cantidad especificada
de ancho de banda. Se garantiza el envo de un trfico menor o igual que la
velocidad especificada. El trfico que exceda la velocidad se desecha o demora.
Las cantidades de total de ancho de banda garantizado y de ancho de banda
sobrante se someten a seguimiento y actualizan con el inicio y cierre de sesin
de los usuarios. El ancho de banda se define como el mximo configurado por el
administrador menos el total de ancho de banda garantizado para los usuarios que
iniciaron sesin.
684
Los anchos de banda garantizado y mximo se definen a nivel de rol. Este lmite
se aplica a todos los usuarios del rol y asegura que todos ellos reciban al menos la
cantidad garantizada de ancho de banda, pero no ms que la cantidad mxima
configurada. Cuando los usuarios se asignan a mltiples roles, se usa el lmite
mayor. Si no se define un ancho de banda garantizado a un rol, los usuarios en
dicho rol an pueden iniciar sesin, pero no tienen garantizado ningn ancho de
banda. Es decir, su ancho de banda garantizado se configura en cero.
La administracin de ancho de banda tambin se aplica al IVS. El administrador
configura el total de ancho de banda garantizado para cada IVS y configura los
lmites para los roles dentro de cada IVS. La suma de los totales de ancho de banda
para cada IVS debe ser menor o igual que el ancho de banda mximo del
dispositivo. La suma de todos los anchos de banda mximos de Network Connect
de todos los IVS debe ser menor o igual que el ancho de banda mximo del IVE.
Recuerde configurar el ancho de banda para el IVE (System > Network >
Overview) y el IVS (System > Virtual Systems > root).
NOTA: Si usa la misma VLAN en mltiples sistemas IVS, la administracin de

ancho de banda no es compatible.
Para que el IVE no permita ms ancho de banda que el total disponible, la

capacidad de iniciar tneles de Network Connect est restringida. Los usuarios
pueden iniciar Network Connect slo si est disponible el ancho de banda
garantizado para su rol. Una vez que los usuarios inician una sesin de Network
Connect, nunca pierden la conexin debido a restricciones de ancho de banda.
Un nivel de privilegio controla esta restriccin, que aparece en la siguiente tabla.
Tabla 40: Niveles de privilegio y porcentaje de ancho de banda mximo
Nivel de privilegio
Porcentaje de ancho de banda mximo de

Network Connect
Bajo
Limitado al 50%
Medio
Limitado al 75%
Alto
Limitado al 90%
Mximo
Limitado al 100%
Por ejemplo, los usuarios asignados a un nivel de privilegio bajo pueden iniciar
Network Connect si el total actual de uso de ancho de banda de Network Connect
es menor que el 50% del ancho de banda mximo configurado de Network
Connect del IVE. Los usuarios asignados al nivel de privilegio mximo pueden
iniciar Network Connect en cualquier momento, siempre que haya disponible algn
ancho de banda de IVE.
685
Cuando un usuario intenta iniciar una conexin de Network Connect, la suma del
ancho de banda garantizado de todas las conexiones abiertas de Network Connect
se divide por el total de ancho de banda configurado de Network Connect de IVE.
Si el valor resultante es menor que el nivel de privilegio configurado de este usuario;
luego, se establece la conexin de Network Connect del usuario. De lo contrario,
se deniega la peticin de conexin de Network Connect. Por ejemplo, si el privilegio
del usuario es del 75% y el consumo actual calculado es del 70%, se establece la
conexin de Network Connect del usuario. Si el consumo actual calculado es del
80%, se deniega la peticin de conexin de Network Connect del usuario, y ste
recibe un cdigo de error 23791.
NOTA: Recomendamos que los empleados normales reciban niveles de privilegio

bajo y medio. Los empleados con mayor privilegio pueden recibir el nivel mximo
que asegure el acceso a intranet siempre que haya ancho de banda disponible.
Aunque un usuario no cuente con el ancho de banda para configurar tneles de

Network Connect, de todos modos puede iniciar sesin, pero hay restricciones en
cuanto a lo que puede hacer. Por ejemplo, slo puede acceder al correo electrnico
Web, etc.
Un ancho de banda garantizado corresponde al ancho de banda que el usuario
recibe una vez establecida la conexin de Network Connect. Si el resto del ancho de
banda de Network Connect es menor que el ancho de banda mnimo garantizado,
se deniega la conexin de Network Connect del usuario, y ste recibe un cdigo de
error 23791. El ancho de banda mnimo garantizado debe ser menor que el ancho
de banda mximo de Network Connect del IVE.
El ancho de banda mximo corresponde al ancho de banda que un usuario puede
usar a travs de la conexin de Network Connect. ste es un lmite a la cantidad de
banda ancha que el usuario puede usar, si hay disponible. Por ejemplo, si el ancho
de banda mximo del usuario es de 100 kbps, el usuario no puede usar ms de
100 kbps, independientemente de la cantidad disponible.
686
El siguiente diagrama de flujo ilustra el proceso de decisin.
A NC
connection
request is
received
Yes
NC bandwidth
management
is enabled
Yes
Is the user
allowed per
privilege?
No
No
Yes
No
Is there enough
bandwidth left to allow
the user the
guaranteed minimum
bandwidth?
Deny NC tunnel creation.

User receive 23791 error
code.
Create NC tunnel
Las estadsticas de administracin de ancho de banda se registran en las

instantneas del sistema. Para obtener ms informacin sobre las instantneas del
sistema, consulte Creacin de imgenes instantneas del estado del sistema IVE
en la pgina 857.
NOTA: Antes de usar las directivas de administracin de ancho de banda de

Network Connect, debe especificar los valores del ancho de banda mximo de
Network Connect para el dispositivo. Para obtener ms informacin sobre la
configuracin de estos valores, consulte Configuracin de los ajustes generales de
la red en la pgina 703.
687
Asignacin del usuario a varios roles

El siguiente proceso de decisin se realiza cuando el usuario se asigna a mltiples
roles:
Calcule las directivas de administracin de ancho de banda segn el nivel de

privilegio definido.
El porcentaje actual del ancho de banda usado se calcula y compara con los
niveles de privilegio de la directiva de administracin de ancho de banda
de los roles asignados.
Todas las directivas de administracin de ancho de banda con los niveles

de privilegio que no permiten a los usuarios configurar tneles de Network
Connect se desechan.
Compare las directivas de administracin de ancho de banda coincidentes y

elija la que tenga el mayor ancho de banda mnimo garantizado. Si existe ms
de una directiva con el mayor ancho de banda mnimo garantizado, gana la
directiva con el mayor ancho de banda mximo.
Por ejemplo, si un usuario est asignado a 3 roles, la directiva de administracin de

ancho de banda para cada rol es la siguiente:
Rol 1
Rol 2
Rol 3
Ancho de banda mnimo garantizado
100 mbps
200 mbps
100 mbps
Ancho de banda mximo garantizado
500 mbps
400 mbps
400 mbps
Nivel de privilegio
Medio
Alto
Mximo
Si el total actual de ancho de banda usada es del 80%:
Debido a que el privilegio del rol 1 no es el suficiente como para permitirle a

este usuario configurar un tnel de Network Connect, se ignora la directiva de
administracin de ancho de banda del rol 1.
La directiva del rol 2 cuenta con un ancho de banda mnimo garantizado mayor
que el rol 3; por lo tanto, gana el rol 2. El usuario recibe un ancho de banda
mnimo garantizado de 200 mbps y un ancho de banda mximo garantizado
de 400 mbps.
Sin embargo, si el total actual de ancho de banda usado es del 92%, slo el
privilegio del rol 3 permite al usuario configurar el tnel de NC; por lo tanto, se usa
la directiva de administracin de ancho de banda del rol 3. As, el usuario cuenta
con un ancho de banda mnimo garantizado de 100 mbps y un ancho de banda
mximo garantizado de 400 mbps.
Limitaciones
La administracin del ancho de banda puede no funcionar correctamente en las
siguientes condiciones:
688
Ms de un IVS usa el mismo puerto interno del IVE.
Ms de un IVS cuenta con la misma IP de VLAN.
Superposicin de IP de Network Connect en IVS.
Escritura de una directiva de recursos de administracin de ancho de

banda de Network Connect
Para escribir una directiva de recursos de administracin de ancho de banda de
Network Connect:
Connect > NC Bandwidth Management.
2. En la pgina de Network Connect Network Connect Bandwidth Management,
haga clic en New Policy.
a.
b.
4. En la seccin Bandwidth Management Settings, especifique:
Admission Privilege Level: Seleccione el porcentaje del ancho de banda

mximo de Network Connect que permite a los usuarios iniciar una sesin
de Network Connect. Los usuarios pueden iniciar sesin slo si el ancho de
banda es menor que este porcentaje.
Guaranteed Minimum Bandwidth: Especifique el ancho de banda mnimo

del usuario una vez que inicie una sesin de Network Connect.
Maximum Bandwidth: Especifique el ancho de banda mximo del usuario

una vez que inicie una sesin de Network Connect.
NOTA: El ancho de banda mximo debe ser menor o igual que el valor mximo
calculado para el dispositivo.
Available roles.
689
Definicin de los ajustes de sistema: Network Connect

a nivel del sistema para Network Connect:
Especificacin de filtros IP en la pgina 690
Descarga del instalador de Network Connect en la pgina 690
Especificacin de filtros IP
Puede especificar filtros IP para que el IVE los aplique a los conjuntos IP de Network
Connect en la ficha System > Network > Network Connect de la consola de
administracin. Un conjunto IP corresponde a un rango especfico de direcciones IP
disponibles para peticiones de Network Connect (que se explica en Network
Connect en la pgina 655).
Especificacin de filtros IP para aplicarlos a conjuntos IP de Network

Connect
Para agregar una direccin IP a la lista de filtros de Network Connect:
1. En la consola de administracin, seleccione System > Network > Network
Connect.
2. Especifique una combinacin de direccin IP o mscara de red; luego, haga clic
en Add. El IVE aplica los filtros especificados en esta pgina a las directivas de
recursos de conjunto IP de Network Connect que se aplican a la peticin de un
usuario.
Especificacin de la direccin IP del servidor de Network Connect

El proceso de Network Connect del lado servidor usa la direccin IP del servidor
para comunicarse con los recursos de la empresa.
NOTA: Cambie la direccin IP del servidor de Network Connect slo cuando se lo
indique el equipo de soporte de Juniper Networks.
La direccin IP del servidor de Network Connect no puede formar parte de un

conjunto de direcciones IP especificadas como parte de un perfil de conexin de NC
(consulte Perfiles de conexin de Network Connect compatibles con ajustes de
varios DNS en la pgina 667). Es decir, la direccin IP no puede estar en el rango
del conjunto de direcciones IP configurado para Network Connect ni en una
direccin IP que pueda estar asignada a un servidor DHCP.
Descarga del instalador de Network Connect

Para descargar la aplicacin Network Connect como archivo ejecutable de
Windows, consulte Maintenance > System > Installers. Para obtener ms
informacin, consulte Descarga de los instaladores de aplicaciones en la
pgina 724.
690
Dependencias del proceso de instalacin de Network Connect

Durante la instalacin, Network Connect interacta con una serie de componentes
del sistema, llevando a cabo, al mismo tiempo, comprobaciones y validaciones.
La siguiente lista proporciona el orden de ejecucin durante la instalacin, lo que
puede ser til si tiene que depurar un proceso de instalacin de Network Connect.
Para obtener ms informacin sobre el proceso de instalacin, consulte
Dependencias del proceso de desinstalacin de Network Connect en la
pgina 693.
1. Inicio del proceso de instalacin previa:
a.
Analice los argumentos de lnea de comandos.
b.
Configure las variables correctas a travs de la lnea de comandos.
c.
Procese los comandos necesarios.
d. Si la entrada de lnea de comandos responde con informacin de ayuda

o de versin, el programa de instalacin de Network Connect se detiene,
tras procesar la lnea de comandos. Normalmente, ocurre al ejecutar el
instalador de Network Connect como un instalador independiente.
2. Valide el sistema:
a.
Compruebe el sistema operativo. Network Connect slo es compatible con

Windows 98, Windows 2K y Windows XP. Si el sistema operativo es 95, ME
o NT 4.0, aparece un error, y el proceso de validacin se cancela.
b.
Compruebe los privilegios de administrador.
c.
Componente de GINA de terceros: Si GINA debe registrarse, compruebe

que existe alguno de los componentes registrados de GINA. Si es as,
cancele la instalacin.
3. Si existe una instalacin de Network Connect, active la desinstalacin en el

modo de actualizacin de Network Connect actual. El proceso de desinstalacin
se describe en Dependencias del proceso de desinstalacin de Network
4. Espere a que finalice el proceso de desinstalacin de Network Connect actual
(en el modo de actualizacin).
5. Si finaliza el tiempo de espera del proceso de desinstalacin, aparece un
mensaje de error y se cancela la instalacin de Network Connect; de lo
contrario, contina la instalacin de Network Connect.
6. Escriba las claves de registro de acceso para los componentes de Network
Connect.
7. Inicie la instalacin de Network Connect.
691
8. Instalacin de componentes compartidos:

a.
Compruebe el valor del registro de sharedDll de los componentes

compartidos si sta es la primera instancia de instalacin de componentes
compartidos.
b.
Compruebe si est configurado el flag de Neo_CleanInst.
c.
Si los pasos a o b son verdaderos, asegrese de que el valor de registro de

sharedDll est limpio.
d. Detenga el servicio si an est ejecutndose.

e.
Compruebe la instalacin y el controlador.

i.
Si el controlador est instalado y tiene una instalacin limpia,

desinstlelo.
ii.
Si el controlador est instalado y no tiene una instalacin limpia,

compare las versiones de los controladores.
iii. Si corresponde a una actualizacin, configure el flag de instalacin de

controlador, de lo contrario, no instale el controlador (mantenga el
controlador actual de versin posterior).
9. Instalacin de componentes de Network Connect:
a.
Si se configura el flag de instalacin de controlador o si es una instalacin

limpia, instale el controlador.
b.
Invoque la macro de instalacin de componentes compartidos para el

servicio Network Connect y el componente GINA. Esta macro realiza una
comparacin de versiones, asegura la actualizacin correcta e incrementa
el valor de la clave de registro de sharedDll.
c.
Copie otros archivos binarios de Network Connect.
d. Invoque la macro NCCopyFile para los archivos que se pueden bloquear

mediante msGINA. Esta macro se encarga de cambiar el nombre a archivos
antiguos y los marca para eliminarlos al reiniciar.
e.
Registre GINA si est configurado el flag de GINA.
10. Guarde los ajustes regionales y de GINA en el archivo config.ini del usuario.
11. Inicie el NCService.
12. Cree un acceso directo al programa.
13. Cree las claves de registro de desinstalacin.
14. Inicie la interfaz de usuario de Network Connect.
692
15. Finalice el proceso de instalacin de Network Connect.

16. Inicie el proceso de postinstalacin:
a.
Imprima la versin del producto y adjunte el registro de instalacin al

archivo de registro de administracin.
b.
Reinicie, si se configur el flag de reinicio.
Dependencias del proceso de desinstalacin de Network Connect

Durante la desinstalacin, Network Connect interacta con una serie de
componentes del sistema, llevando a cabo, al mismo tiempo, comprobaciones
y validaciones. La siguiente lista proporciona el orden de ejecucin durante la
desinstalacin, lo que puede ser til si tiene que depurar un proceso de
desinstalacin de Network Connect. Para obtener ms informacin sobre el proceso
de desinstalacin, consulte Dependencias del proceso de instalacin de Network
1. Inicio del proceso de desinstalacin previa:
a.
Analice las entradas de lnea de comandos, entre ellas:

i.
Configuracin regional
ii.
Flag de desinstalacin limpia
iii. Flag de actualizacin

2. Inicie la operacin de desinstalacin.
3. Compruebe los privilegios de administrador.
4. Elimine el registro de GINA si ya est registrado.
5. Si la desinstalacin se realiza en modo de actualizacin, detenga el servicio de
Network Connect.
6. Si la desinstalacin no se realiza en el modo de actualizacin, compruebe el
valor actual de la clave de registro de sharedDll. Si el valor es 1, sta es la nica
instancia que usa los componentes compartidos, por lo tanto:
a.
Desinstale el controlador.
b.
Elimine el archivo del controlador.
c.
Detenga el servicio de Network Connect y elimine el registro.
693
7. Invoque la macro de componentes compartidos para desinstalarlos. Esta macro

disminuye el valor de la clave de registro de SharedDLL y elimina el archivo
de origen.
NOTA: Si el proceso de desinstalacin se realiza en el modo de actualizacin,

este paso no se ejecuta debido a que la desinstalacin se activa en un proceso
de instalacin de Network Connect, y la macro de componentes compartidos del
proceso de instalacin manejar las operaciones de actualizacin de componentes
compartidos.
8. Elimine los otros archivos de Network Connect, entre ellos:

a.
dsNcAdmin.dll
b.
dsNcDiag.dll
c.
versioninfo.ini
9. Invoque la macro NCDeleteFile para eliminar los archivos que se pueden

bloquear mediante msGINA.
10. Elimine las claves de registro de Network Connect.
11. Elimine los directorios de archivos de programa de Network Connect.
12. Finalice el proceso de desinstalacin.
13. Imprima la versin del producto y adjunte el registro de instalacin de Network
Connect al registro de administracin.
14. Reinicie, si se configur el flag de reinicio.
Uso del iniciador de Network Connect (iniciador de NC)

El iniciador de Network Connect corresponde a una utilidad de lnea de comandos
del lado cliente, que mantiene un espacio fsico muy pequeo. Puede agrupar el
iniciador de NC con otras aplicaciones que necesiten un cliente operativo de
Network Connect. La agrupacin del iniciador de NC con otras aplicaciones le
permite estar seguro de que el usuario final puede acceder a estas aplicaciones sin
dificultad. El iniciador de NC le permite iniciar la sesin de NC con un script,
archivo de lote o invocando una aplicacin, sin necesidad de usar una interfaz
grfica de usuario.
NOTA: El iniciador de NC no admite la opcin de asignacin de roles Users must
select from assigned Roles si se asigna ms de un rol al usuario. Si usa el

iniciador de NC, y se puede asignar ms de un rol al usuario, debe elegir los
ajustes de combinacin para todos los roles asignados o debe elegir la opcin que
obliga al usuario a seleccionar los conjuntos de roles combinados asignados por
cada regla.
694
Para usar el iniciador de NC:

1. Escriba un script, archivo de lote o aplicacin para invocar el iniciador de NC.
2. Incluya una invocacin al ejecutable del iniciador de NC.
La sintaxis de comandos del iniciador de NC es:
nclauncher.exe [-version|-help|-stop|-signout] -u <usuario> -p <contrasea> -url <url>
-r <territorio> -c <nombre de certificado> -d <DSID>
Tabla 41: Sintaxis de comandos del iniciador de Network Connect
Argumento
Accin
-version
Muestra la informacin de versin del iniciador de NC,

luego sale.
-help
Muestra la informacin disponible sobre argumentos.
-u <nombre de usuario> Especifica el nombre de usuario.

-p <contrasea>
Especifica la contrasea para autenticacin.
-url <URL de IVE>
Especifica la informacin de URL del IVE.
-r <territorio>
Especifica el territorio al cual el IVE enva las credenciales

del usuario.
-c <certificate name>
Especifica el certificado que se debe usar para la

autenticacin del usuario en lugar de nombre de usuario
y contrasea. Para el <nombre del certificado>, use la
cadena especificada en el campo Issued To del certificado.
Para usar la autenticacin de certificados con el iniciador de
NC, primero debe configurar el IVE para permitir al usuario
iniciar sesin a travs de la autenticacin de certificados del
usuario. Tambin debe confiar en la CA de cliente fiable del
IVE (consulte Uso de CA de cliente de confianza en la
pgina 758) e instale el certificado del lado cliente
correspondiente en los exploradores de Web de sus usuarios
finales antes de ejecutar el iniciador de NC.
Al usar el argumento -c, tambin especifique los argumentos
-url y -r <territorio>.
Si el certificado no es vlido, el iniciador de NC muestra un
mensaje de error en la lnea de comandos y registra un
mensaje en el archivo nclauncher.log.
-d <DSID>
Transfiere una cookie al iniciador de NC a partir de otro

mecanismo de autenticacin una vez que arranca el
iniciador de NC.
-signout
Finaliza el tnel de NC y cierra la sesin del usuario actual.
-stop
Finaliza el tnel de NC.
Uso del iniciador de Network Connect (iniciador de NC) 695
Por ejemplo, puede distribuir una aplicacin de inicio de sesin simple a sus
usuarios finales. La aplicacin puede capturar el nombre de usuario y contrasea
del usuario final, el recurso de IVE al que intentan llegar y el territorio al cual estn
asignados.
En este ejemplo, debe escribir un script o agregar lgica a su aplicacin para

capturar las credenciales que introduce el usuario final, y transferir las credenciales
como argumentos al nclauncher.exe del siguiente modo:
nclauncher.exe -u JMendoza -p mi$contrasena84 -url https://int-empresa.portal.com/
usr -r Usuario
La Tabla 42 incluye los posibles cdigos de retorno que nclauncher regresa al salir.
Tabla 42: Cdigos de retorno de nclauncher
696
Cdigo
Descripcin
-1
(-Detener/-Cerrar sesin) Network Connect no se est ejecutando.

Ocurri un error del sistema.
Network Connect se inici.
Argumentos no vlidos.
Network Connect no puede conectarse con la puerta de enlace

segura.
Network Connect no puede autenticarse con el servidor.
El rol especificado no es vlido o no existe.
Network Connect no se puede ejecutar debido a que no se pudo

iniciar la aplicacin de autenticacin previa.
La instalacin de Network Connect fall.
Network Connect no pudo realizar una actualizacin necesaria del

software.
10
El servidor con el cual intenta conectarse no admite esta

caracterstica.
12
Network Connect no pudo autenticar el certificado del cliente.
Solucin de errores de Network Connect

Es posible que los usuarios finales no puedan resolver algunos de los errores que
se produzcan sin su intervencin. Los siguientes temas pueden corresponder a los
errores mencionados en la ayuda para usuarios finales.
nc.windows.app.23792
Si el usuario final encuentra este error (o nc.windows.app.1023), no se podr
conectar al IVE.
Revise los elementos del equipo cliente y del IVE.
En el cliente
El error puede indicar una instalacin fallida de Java en el cliente. Dgale al

cliente que desinstale el JRE y que lo vuelva a instalar.
Uno o ms de los terceros clientes del equipo de su usuario final pueden tener
defectos o estar interrumpiendo la conexin. Deber revisar sus clientes,
o pedirle al usuario que lo haga, como clientes de VPN, antivirus, cortafuegos
personales, spyware y otros tipos de clientes de seguridad de punto final.
La carpeta \Documents and Settings del equipo del usuario final puede estar
encriptada. Network Connect no puede instalarse en un directorio encriptado.
En el IVE
Asegrese de que la consulta de nombre de DNS para el IVE no se resuelva con

su direccin IP pblica o privada.
Si el perfil de NC se configura para usar un servidor de DHCP externo,

compruebe que el servidor de DHCP responda al IVE.
Recuerde configurar la opcin Auto Enable para NCP.
Seleccione System > Network > Overview y no deje de configurar el DNS

para el IVE.
Conflicto de versiones al cambiar a una anterior

Al cambiarse a una versin anterior, los usuarios finales pueden recibir un error de
conflicto de versin al iniciarse Network Connect. El problema puede ocurrir debido
a que el cliente contiene una versin ms reciente de determinados archivos que la
versin anterior no puede usar correctamente.
Para resolver este problema, elimine los siguientes archivos:
<user_home>/.juniper_networks/ncLinuxApp.jar
<user_home>/.juniper_networks/network_connect/*.*
Si esto no resuelve el problema de conflicto de versiones, comunquese con el

administrador del sistema.
Solucin de errores de Network Connect 697
698
Solucin de errores de Network Connect
Parte 5
Administracin de sistema
Esta seccin contiene la siguiente informacin acerca de la administracin del
sistema IVE:
Administracin general del sistema en la pgina 701
Certificados en la pgina 749
Archivado del sistema en la pgina 781
Registro y supervisin en la pgina 823
Resolucin de problemas en la pgina 851
Creacin de clsteres en la pgina 869
Delegacin de los roles de administrador en la pgina 899
Sistema IVS en la pgina 915
Interoperabilidad de IVE e IDP en la pgina 975
699
700
Captulo 26
Administracin general del sistema

El IVE proporciona diversas caractersticas que permiten mantener fcilmente el
sistema. Puede definir, modificar y supervisar las funciones de administracin del
sistema, como:
Licencia: Disponibilidad de la administracin del sistema en la pgina 701
Resumen de tareas: Configuracin de las funciones de administracin en la

pgina 702
Configuracin de los ajustes de la red en la pgina 702
Uso de las caractersticas de administracin central en la pgina 717
Configuracin de las utilidades del sistema en la pgina 720
Configuracin de licencias, seguridad y NCP en la pgina 727
Configuracin y uso del puerto de administracin en la pgina 740
Licencia: Disponibilidad de la administracin del sistema

Las caractersticas de administracin del sistema forman parte integral de todos los
productos Secure Access; no es necesario contar con una licencia especial para
administrar el dispositivo Secure Access. Sin embargo, tenga en cuenta que las
siguientes caractersticas avanzadas de administracin no estn disponibles en el
dispositivo SA 700:
Puertos de enlace
Puertos SFP
Puertos de administracin
VLAN
Caractersticas de administracin central
Caractersticas de clsteres
Aceleracin de SSL
Instaladores de WSAM
Licencia: Disponibilidad de la administracin del sistema 701
Resumen de tareas: Configuracin de las funciones de administracin

Generalmente, es posible realizar en orden las siguientes tareas, aunque para
configurar los ajustes del sistema, no siempre es necesario realizar todas las tareas
de una vez.
1. Configurar los ajustes de la licencia.
2. Opcionalmente, actualizar el software del sistema o cambiarlo a una versin
anterior.
3. Configurar los ajustes de la red.
4. Configurar las opciones de seguridad.
5. Configurar los puertos internos, externos, de administracin y SFP.
6. Opcionalmente, configurar los hosts y las rutas estticas.
7. Opcionalmente, configurar las VLAN.
8. Opcionalmente, configurar los filtros IP de Network Connect.
9. Opcionalmente, configurar NCP.
10. Opcionalmente, configurar Central Manager y personalizar los grficos del
panel.
Adems, es posible que se deban realizar tareas ms especficas que abarquen
mltiples temas. En esos casos, puede encontrar instrucciones en los resmenes de
tareas:
Resumen de tareas: Asociacin de certificados con puertos virtuales en la

pgina 714
Configuracin de los ajustes de la red en la pgina 702
Configuracin de los ajustes de la red

El IVE permite modificar los ajustes de la red que introdujo a travs de la consola
serie durante la configuracin inicial del IVE, as como configurar ajustes
adicionales de la red, como filtros IP para habilitar otras caractersticas del IVE. En
esta seccin se presentan las siguientes vistas generales de los ajustes de la red que
se pueden establecer a travs de la consola de administracin:
702
Puertos de enlace en la pgina 703
Configuracin de los ajustes generales de la red en la pgina 703
Configuracin de los puertos internos y externos en la pgina 706
Configuracin de puertos SFP en la pgina 708
Resumen de tareas: Configuracin de las funciones de administracin
Captulo 26: Administracin general del sistema
Configuracin del puerto de administracin en la pgina 708
Configuracin de VLAN en la pgina 709
Configuracin de puertos virtuales en la pgina 711
Configuracin de las rutas estticas para el trfico de red en la pgina 714
Creacin de cachs ARP en la pgina 715
Especificacin de nombres de host para que el IVE resuelva de manera local

en la pgina 716
Especificacin de filtros IP en la pgina 716
Puertos de enlace
De forma predeterminada y slo en el SA 6000, el IVE usa enlaces de varios puertos
para proporcionar proteccin en caso de errores. El enlace describe una tecnologa
en la que se agregan dos puertos fsicos a un grupo lgico. Al enlazar dos puertos en
el IVE se aumentan las capacidades de conmutacin por error al cambiar
automticamente el trfico hacia el puerto secundario cuando el puerto primario
presenta errores.
El dispositivo SA 6000 enlaza puertos de la siguiente forma:
Puerto interno = Puerto 0+Puerto 2
Puerto externo = Puerto 1+Puerto 3
El IVE indica si la funcionalidad de conmutacin por error est habilitada a travs

de un mensaje en la pgina System > Network > Overview.
Configuracin de los ajustes generales de la red

El IVE permite ver el estado de los puertos del sistema, especificar un nombre de
host para el IVE y configurar la resolucin de nombre de DNS, el servidor del
servicio de nombres de Internet de Windows (WINS) y los ajustes del explorador
maestro para el IVE mediante ajustes en la pgina System > Network > Overview
en la consola de administracin. Tambin puede usar los ajustes en esta pgina
para ver los ajustes de DNS y WINS que introdujo a travs de la consola serie
durante la configuracin inicial.
Cuando elimina un grupo de trabajo de Windows, es posible que siga apareciendo
durante varias horas en la lista de los grupos de trabajo del IVE, antes de ser
finalmente eliminado de la lista. Esto se produce porque el IVE recopila la
informacin de los grupos de trabajo desde todos los sistemas con los que se puede
comunicar. El nombre del grupo de trabajo puede estar guardado en cach o en uno
o ms sistemas Windows durante varias horas y, cuando el IVE interroga los
sistemas, seguir encontrando los nombres de los grupos de trabajo. Esta aparicin
tambin es comn en sistemas distintos del IVE, y no supone problemas de
integridad.
703
Utilice los ajustes que aparecen en esta ficha para configurar los ajustes generales
de la red. El rea Status muestra el estado de slo lectura de los siguientes
elementos:
Node Name: El nombre del nodo actual, si est ejecutando un clster.
Failover Message: Indica si la funcionalidad de conmutacin por error est

habilitada o no (slo en un dispositivo SA 6000).
Internal Port: El estado y la velocidad del puerto interno.
Port 1: El estado y la velocidad del puerto externo, si se utiliza.
Management Port: El estado del puerto de administracin, si se utiliza.
Para configurar los ajustes generales de la red:

1. En la consola de administracin, elija System > Network > Overview.
2. En Network Identity, elija el nombre de host totalmente clasificado del IVE.
NOTA:
El nombre de host que introdujo en este campo no puede ser superior a 30

caracteres.
Secure Meeting usa el nombre de host especificado al realizar llamadas SMTP

y al rellenar correos electrnicos de notificacin con las direcciones URL de
reunin. Para obtener ms informacin, consulte Secure Meeting en la
pgina 619.
El proxy Pass Through utiliza el nombre de host especificado como un alias

para el nombre de host del servidor de aplicaciones. Para obtener ms
informacin, consulte Resumen de tareas: configuracin de proxy
passthrough en la pgina 391.
Si sus dispositivos IVE estn en clster, el nombre de host de la identidad de la

red que especifica est sincronizado en todo el clster. Sin embargo, en
clsteres que incluyen varios sitios recomendamos que d prioridad a estos
ajustes y especifique nombres de host diferentes para los nodos individuales
en el clster, utilizando las opciones de la pgina System > Clustering.
3. En DNS Name Resolution, actualice la direccin DNS principal, la direccin

DNS secundaria y el nombre de dominio DNS predeterminado para el
dispositivo IVE individual.
En estos campos puede introducir una lista delimitada por comas de los
dominios DNS; el IVE los busca en el orden en que aparecen.
704
4. En Windows Networking:
Introduzca el nombre o la direccin IP del servidor del servicio de nombres

de Internet de Windows (WINS) local o remoto que utiliza para asociar los
nombres y las ubicaciones de la estacin de trabajo con las direcciones IP,
si se aplica.
Haga clic en Master Browser(s) para seleccionar un servidor WINS,

un controlador de dominio u otro servidor dentro del dominio IVE
que responda a las llamadas de NETBIOS y asocie los nombres y las
ubicaciones de la estacin de trabajo con las direcciones IP (si se aplican).
Agregue el explorador maestro a travs de la pgina Windows
Networking Specify Master Browser.
Si hay configurado un servidor WINS, se utiliza para la resolucin de

nombre resolviendo nombres para conectarse al servidor AD, realizando
una consulta de grupo y un descubrimiento de red para la exploracin de
archivos. Si no hay configurado un servidor WINS, la consulta de archivo de
host y DNS se utilizan para la resolucin de nombre. El orden de resolucin
de nombres para la exploracin de archivos de Windows es: archivo de
host, servidor WINS, DNS, peticin de difusin de NetBIOS.
Seleccione la casilla de verificacin Enable network discovery para

permitir que el IVE descubra las carpetas compartidas de Windows.
5. En Bandwidth Management:
Introduzca el ancho de banda mximo para el dispositivo en Total

Maximum Bandwidth. El valor mximo es de 1000 Mbps.
Introduzca el ancho de banda mximo de Network Connect en NC

Maximum Bandwidth. Cuando el ancho de banda sea inferior
a determinado porcentaje, los usuarios pueden comenzar una sesin de
Network Connect. El ancho de banda mximo de Network Connect debe
ser menor que el ancho de banda mximo total anteriormente introducido.
Para obtener ms informacin, consulte Definicin de directivas de
administracin de ancho de banda de Network Connect en la pgina 684.
NOTA: Si no pretende utilizar la administracin del ancho de banda de Network

Connect, establezca ambas opciones en 0. Si desea definir un lmite de trfico
superior, pero no desea administrar el trfico de Network Connect, introduzca un
valor para el Total Maximum Bandwidth y establezca el NC Maximum
Bandwidth en 0.
705
Configuracin de los puertos internos y externos

El puerto interno, tambin conocido como la interfaz interna, administra todas las
peticiones de LAN a los recursos, la escucha de la exploracin web, la exploracin
de archivos, la autenticacin y las peticiones de correo saliente. Configure el puerto
interno proporcionando la direccin IP, la puerta de enlace, el dominio y el servidor
DNS y los ajustes de MTU durante la configuracin inicial del IVE. Tambin los
puede cambiar en la ficha System > Network > Internal Port > Settings. Para
obtener ms informacin, consulte Configuracin del puerto de administracin
en la pgina 708. De manera alternativa, puede implementar el dispositivo en el
modo de puerto doble para escuchar las conexiones SSL entrantes de proxy de
correo y web en un puerto externo.
El puerto externo, tambin conocido como la interfaz externa, administra todas las
peticiones de los usuarios que iniciaron sesin en el IVE desde fuera de la LAN, por
ejemplo, desde Internet. Antes de enviar un paquete, el IVE determina si el paquete
est asociado con una conexin TCP iniciada por un usuario a travs de la interfaz
externa. Si es el caso, el IVE enva el paquete a la interfaz externa. Todos los dems
paquetes van a la interfaz interna.
Las rutas que especifica para cada interfaz se aplican despus de que el IVE
determina si va a usar la interfaz interna o la externa. El IVE no inicia ninguna
peticin desde la interfaz externa, y esta interfaz no acepta ninguna otra conexin
(excepto las conexiones de tracerout y ping). Todas las peticiones a cualquier
recurso se emiten desde la interfaz interna. (Para obtener ms informacin,
consulte Configuracin de los ajustes generales de la red en la pgina 703.)
NOTA: Si habilita el puerto externo, de forma predeterminada los administradores

ya no pueden iniciar sesin desde una ubicacin externa. Puede abrir el puerto
externo para los administradores desde la ficha Administrators > Admin
Realms > Nombre de territorio > Authentication Policy > Source IP. Para
obtener ms informacin, consulte Especificacin de las restricciones de acceso
de la direccin IP de origen en la pgina 60.
Para modificar los ajustes de la red para el puerto interno (interfaz de LAN):
1. En la consola de administracin, elija System > Network > Internal Port >
Settings.
NOTA: La mayora de los campos de esta pgina se rellenan previamente con los
ajustes especificados durante la instalacin del IVE.
2. En la seccin Port Information, actualice la direccin IP, la mscara de red y los

ajustes predeterminados de la puerta de enlace para el dispositivo IVE
individual. De forma predeterminada, estos campos se rellenan con los ajustes
introducidos durante la configuracin inicial del IVE.
3. En el campo Link Speed, especifique la combinacin dplex y la velocidad que
desea usar para el puerto interno.
706
4. En el campo ARP Ping Timeout, especifique cunto tiempo debe esperar el IVE
respuestas a las peticiones del protocolo de resolucin de direcciones (ARP)
antes de que se agote el tiempo de espera. Los dispositivos IVE en clster
envan peticiones de ARP1 a las puertas de enlace de otros dispositivos IVE para
determinar si se comunican correctamente entre s.
NOTA: Si no est ejecutando el IVE en un entorno de clsteres, el IVE no usa este
ajuste. Si sus sistemas IVE estn en clster, el intervalo de tiempo de espera que
especifica est sincronizado en todo el clster. En clsteres de mltiples sitios,
puede dar prioridad a estos ajustes para los nodos individuales del clster,
utilizando las opciones de la pgina System > Clustering. Sin embargo, debe
tener precaucin cuando cambie estos ajustes en clsteres activos/pasivos, porque
el IVE tambin utiliza los ajustes del ARP Ping Timeout que estn en la ficha
Internal como temporizador de la conmutacin por error para la VIP.
5. En el campo MTU, especifique una unidad de transmisin mxima para la

interfaz interna del IVE.
NOTA: Utilice los ajustes predeterminados de MTU (1500), a menos que deba
cambiar los ajustes para la resolucin de problemas.

Para habilitar el puerto externo:
1. En la consola de administracin, elija System > Network > Port 1 > Settings.
2. En Use Port, seleccione Enable.
3. En la seccin Port Information, introduzca la direccin IP, la mscara de red
y la informacin predeterminada de la puerta de enlace para el puerto externo
del IVE. Normalmente, debe utilizar los ajustes de la pgina Internal Port >
Settings y luego debe cambiar la informacin del puerto interno a una puerta
de enlace, mscara de red y direccin IP local.
4. En el campo Link Speed, especifique la combinacin dplex y la velocidad que
desea usar para el puerto externo.
NOTA: Si sus IVE estn en clster, el intervalo de tiempo de espera que especifica
est sincronizado en todo el clster. Sin embargo, en clsteres de mltiples sitios,
utilizando las opciones de la pgina System > Clustering. Si no est ejecutando el
IVE en un entorno de clsteres, el IVE no usa el ajuste ARP Ping Timeout.
1. El IVE realiza dos peticiones ARP, una a la puerta de enlace en el puerto interno y otra a la puerta de enlace en el
puerto externo, cuando trata de establecer comunicaciones en el clster.
707

interfaz externa del IVE.
Configuracin de puertos SFP

El SA 6000 incluye dos puertos Gigabit Ethernet conectables de factor de forma
pequeo (SFP) (puertos 2 y 3 designados en la parte frontal de SA 6000). Estos
puertos se utilizan principalmente para la conmutacin por error. No es necesario
configurar los puertos SFP; estn disponibles para el uso inmediatamente despus
de conectarlos.
Asegrese de habilitar el puerto externo:
1. Seleccione System > Network > Port [#] (External Port) y luego la ficha
Settings.
2. En Use Port?, seleccione Enabled para activar el puerto externo.
Configuracin del puerto de administracin

El SA 6000 proporciona un puerto de administracin que permite una integracin
gradual en una administracin de redes dedicada, proporciona acceso de
administracin disponible continuamente al IVE y permite realizar actividades de
administracin sin afectar al trfico de los usuarios y viceversa.
Puede configurar el puerto de administracin tal como configura el puerto interno.
La consola de administracin proporciona una ficha de configuracin separada en
System > Network > Management Port, donde puede especificar ajustes del
puerto y ajustes avanzados, como direccin IP, mscara de red, MTU, cach ARP
y otros.
Para modificar los ajustes de la red para el puerto de administracin:
1. Seleccione la ficha Management Port > Settings.
NOTA: La mayora de los campos de esta pgina se rellenan previamente con los
ajustes especificados durante la instalacin del IVE.
2. En Use Port?, seleccione Enabled para activar el puerto de administracin.

3. En la consola de administracin, elija System > Network > Management
Port > Settings.
4. En la seccin Port Information, actualice la direccin IP, la mscara de red y los
ajustes de velocidad del vnculo.
708
NOTA: Si no est ejecutando el IVE en un entorno de clsteres, el IVE no usa este
ajuste. Si sus sistemas IVE estn en clster, el intervalo de tiempo de espera que
especifica est sincronizado en todo el clster. En clsteres de mltiples sitios,
utilizando las opciones de la pgina System > Clustering. Sin embargo, debe
tener precaucin cuando cambie estos ajustes en clsteres activos/pasivos, porque
el IVE tambin utiliza los ajustes del ARP Ping Timeout que estn en la ficha
Management Port como temporizador de la conmutacin por error para la VIP.
antes de que se agote el tiempo de espera.
interfaz interna del IVE.
Configuracin de VLAN
El IVE permite crear VLAN para la empresa. Las VLAN son ampliamente utilizadas
en los sistemas virtuales, como se describe en Configuracin de una red de rea
local virtual (VLAN) en la pgina 932. Tambin puede crear una VLAN para usarla
en un entorno en el que haya implementado un IVE para que todos los usuarios
finales de su empresa puedan usarlo (tambin se requiere una licencia IVS para este
escenario).
La VLAN permite aprovechar el etiquetado VLAN, mediante el cual el IVE etiqueta el
trfico con IDs de VLAN 802.1Q antes de transmitir el trfico a travs del backend.
La infraestructura utiliza la etiqueta VLAN para dirigir los paquetes a sus
VLAN/subredes correctas.
El trfico que proviene a travs del front-end, es decir, el trfico entrante, no tiene
etiquetas VLAN. El IVE la etiqueta a un mensaje despus de su llegada a travs de
uno de los puertos del IVE.
Cada VLAN se asigna a un ID de VLAN, que forma parte de una etiqueta compatible
con la norma IEEE 802.1Q que se agrega a cada trama Ethernet saliente. El ID de
VLAN identifica de forma exclusiva a todo el trfico entrante. Este etiquetado
permite que el sistema dirija todo el trfico a la VLAN correcta y que aplique las
directivas respectivas a ese trfico.
709
El punto terminal de la VLAN es cualquier dispositivo en el que se identifique el

trfico etiquetado de VLAN, se le quite la etiqueta de VLAN y se reenve al tnel
correcto al backend. El punto terminal de la VLAN puede ser un enrutador CE, un
enrutador CPE, el switch L2, un cortafuegos u otro dispositivo capaz de realizar el
enrutamiento de la VLAN.
Debe definir un puerto de VLAN para cada VLAN. Asigne el ID de la VLAN especfica
al definir el puerto de la VLAN.
Para cada VLAN que configure, el IVE virtualizado proporciona una interfaz nica
y lgica de VLAN, o un puerto, en la interfaz interna. No existe relacin entre la
direccin IP del puerto interno y la direccin IP de cualquier puerto de VLAN. Cada
puerto de VLAN tiene su propia tabla de rutas.
Se debe asignar el puerto interno al sistema raz y se debe marcar como la VLAN
predeterminada. Adems, las interfaces de VLAN se pueden asignar al sistema raz.
Sin embargo, todos los servidores de autenticacin configurados para el sistema
raz deben tener rutas en la tabla de rutas del puerto interno, incluso si los
servidores son alcanzables a travs de interfaces de VLAN. Las rutas a servidores
alcanzables a travs de interfaces de VLAN deben tener la puerta de enlace del
siguiente salto establecida en la puerta de enlace configurada para la interfaz de
VLAN, y el puerto de salida definido como el puerto de VLAN.
Para una implementacin en clster activa/pasiva, el administrador raz de una red
MSP debe configurar todos los puertos de VLAN con al menos un puerto virtual
(System > Network > VLANs > Virtual Ports). El administrador de rutas debe
configurar rutas para los rangos de IP de Network Connect IVS que apuntan a la
direccin IP del puerto virtual de VLAN como la puerta de enlace del siguiente salto.
Esto se requiere para la conmutacin por error de la sesin de Network Connect
desde un IVS en el nodo activo al IVS correspondiente en el nodo pasivo.
Cada definicin de puerto de VLAN consiste en:
710
Port Name. Debe ser nico en todos los puertos de VLAN que define en el
sistema o el clster.
VLAN ID. Un nmero entero entre 1 a 4094 que identifica nicamente a la

VLAN.
IP Address/Netmask. Debe ser una direccin IP o una mscara de red desde la

misma red que el punto terminal de la VLAN, porque el IVE se conecta al punto
terminal de la VLAN en una conexin de red de capa 2. Las direcciones IP de
las VLAN deben ser nicas. No puede configurar una VLAN para que tenga la
misma red que el puerto interno. Por ejemplo, si el puerto interno es
10.64.4.30/16 y configura una VLAN como 10.64.3.30/16, probablemente
obtenga errores y resultados inesperados.
Default gateway. La direccin IP del enrutador predeterminado, normalmente

el enrutador CE o CPE. La puerta de enlace predeterminada podra actuar como
el punto terminal de la VLAN, o podra residir detrs del punto terminal de la
VLAN.
Other network settings. Otros ajustes de red heredados desde el puerto

interno.
Cuando crea un nuevo puerto de VLAN, el sistema crea dos rutas estticas de forma
predeterminada:
La ruta predeterminada para la VLAN, que apunta a la puerta de enlace

predeterminada.
La ruta de interfaz a la red conectada directamente.
Para crear un puerto de VLAN, realice los siguientes pasos:

1. Seleccione System > Network > VLANs para abrir la ficha VLAN Network
Settings.
2. Haga clic en New Port. Si est ejecutando un clster, debe crear la VLAN para
todo el clster y no solamente uno para un nodo nico.
3. En VLAN settings, introduzca un nombre para el puerto de VLAN.
4. Introduzca un ID de VLAN.
NOTA: El ID de VLAN debe estar entre 1 y 4094 y debe ser nico en el sistema.
5. Introduzca la direccin IP para la VLAN.

6. Introduzca una mscara de red para la VLAN.
7. Introduzca una puerta de enlace para la VLAN.
Configuracin de puertos virtuales

El IVE permite crear puertos virtuales para usuarios tales como empleados que
inician sesin en el IVE desde el interior de la red interna. Un puerto virtual activa
un alias de IP en un puerto fsico y comparte todos los ajustes de la red (excepto la
direccin IP) con el puerto que sirve de host para el puerto virtual. Un alias de IP es
una direccin IP que est ligada a un puerto virtual. (Tenga en cuenta que un alias
de IP es diferente a la direccin IP principal del sistema del IVE, que es un ajuste
requerido del IVE que se configura durante el proceso de inicializacin del IVE).
Tambin puede especificar puertos virtuales como alias de IP de origen basado en
roles. Estos alias pueden corresponder a direcciones IP de origen que especifica en
un dispositivo de red de backend como direcciones vlidas originadas en la interfaz
interna del sistema del IVE. Por ejemplo, es posible que desee utilizar un
cortafuegos situado detrs del IVE para dirigir el trfico del usuario final a
departamentos en particular segn las direcciones de IP de origen. Puede definir un
alias de IP de origen basado en roles para cada sitio en departamentos, tras lo cual
cada usuario final se dirige a una ubicacin especfica segn su rol, a travs del uso
del alias de IP de origen. Para obtener ms informacin sobre la configuracin de
los alias de IP de origen basados en roles, consulte Especificacin de alias de IP de
origen basados en roles en la pgina 75.
711
Puede usar los puertos virtuales junto con la caracterstica de certificados de

dispositivos mltiples para proporcionar a los usuarios acceso al mismo IVE a travs
de diferentes alias de IP.
Utilice los puertos virtuales cuando use un IVE configurado con una licencia IVS.
En resumen, puede utilizar puertos virtuales con diversos fines, dependiendo del
puerto fsico en el que basa el puerto virtual:
Configure los puertos virtuales en el puerto interno para admitir subredes en la

red de backend y alias de IP de origen basados en roles. Adems, si cuenta con
una licencia IVS, puede utilizar puertos virtuales para dirigir el trfico
a diferentes sistemas virtuales.
Configure los puertos virtuales en el puerto externo para admitir clsteres

e inicios de sesin externos.
Configure los puertos virtuales en el puerto de administracin para admitir el

redireccionamiento del trfico administrativo.
Configure los puertos virtuales en los puertos SFP para admitir el

redireccionamiento del trfico desde y hacia esos puertos.
Para crear un puerto virtual para un IVE independiente:

1. En la consola de administracin, seleccione System > Network > Ficha del
puerto > Virtual Ports.
La Ficha del puerto puede ser para cualquiera de los puertos 1, 2, 3, 4, los
puertos internos o externos o el puerto de administracin.
2. Haga clic en New Port.
3. Introduzca un nombre nico para el puerto virtual.
4. Introduzca un alias de IP nico para asociarlo con el puerto virtual; no utilice
una direccin IP que ya est asociada con otro puerto virtual.
NOTA: Si no introduce una direccin IP, el IVE no activa el puerto virtual.
NOTA: Si necesita asociar el puerto virtual con un certificado de dispositivo, utilice

los ajustes de la ficha System > Configuration > Certificates > Device
Certificates. Para obtener ms informacin, consulte Asociacin de un
certificado con un puerto virtual en la pgina 757.
712
Para crear un puerto virtual en un nodo del clster:

puerto > Virtual Ports.
2. En la lista desplegable Settings for, seleccione Entire cluster y luego haga clic
en Update.
4. Introduzca un nombre nico para el puerto virtual y haga clic en Save Changes.
El IVE agrega el nombre del puerto virtual a la lista de Virtual Ports
y proporcione acceso a cada nodo en el clster.
5. Haga clic en el vnculo a un nodo para obtener acceso a la pgina de
configuracin de la direccin IP. Introduzca un alias de IP nico para asociarlo
con el puerto virtual; no utilice una direccin IP que ya est asociada con otro
puerto virtual.
NOTA: Si no introduce una direccin IP, el IVE no activa el puerto virtual.
6. Haga clic en Save Changes. La pgina Virtual Ports vuelve a la ficha de puertos
virtuales. Si es necesario, vuelva a seleccionar Entire cluster en la lista
desplegable Settings for y repita los dos ltimos pasos de este procedimiento.
Para obtener ms informacin acerca del uso de los puertos virtuales en los
clsteres, consulte Implementacin de dos nodos en un clster activo/pasivo en la
pgina 877.
Resumen de tareas: Definicin de los destinos de subred en base a roles

En esta sesin se proporciona una vista general de nivel superior de las tareas
necesarias para dirigir a los usuarios a subredes especficas segn sus roles. Para
configurar una asignacin basada en roles, necesita crear alias de IP de origen
basados en roles.
713
Para definir los destinos de subred en base a roles:

1. Cree puertos virtuales en la pgina Network > Internal Port > Virtual Ports
de la consola de administracin, como se describe en Configuracin de
puertos virtuales en la pgina 711.
2. Modifique uno o ms roles para que apunten a los puertos virtuales, en la
pgina Users > Roles > Nombre del rol > General > Source IP de la consola
de administracin, como se describe en Especificacin de alias de IP de origen
basados en roles en la pgina 75.
3. Asigne sus usuarios a roles especficos segn la subred indicada por la IP de
origen del rol, en la pgina Authentication > Nombre de territorio > Role
Mapping de la consola de administracin, como se describe en Creacin de
las roles de administrador en la pgina 901.
Resumen de tareas: Asociacin de certificados con puertos virtuales

Para asociar certificados con puertos virtuales:
1. Utilice los ajustes de la ficha System > Network > Internal Port para crear
puertos virtuales. Para obtener instrucciones, consulte Configuracin de
puertos virtuales en la pgina 711.
2. Utilice los ajustes de la pgina System > Configuration > Certificates >
Device Certificates de la consola de administracin para importar los
certificados de servidor que desea utilizar para validar los certificados de
usuario. Utilice tambin esta ficha para especificar los puertos que el IVE debe
asociar con los certificados. Para obtener instrucciones, consulte Asociacin de
un certificado con un puerto virtual en la pgina 757.
Configuracin de las rutas estticas para el trfico de red

El IVE permite agregar entradas de la tabla de enrutamiento utilizando los ajustes
de la ficha System > Network > Routes. Todas las peticiones de conexin a los
recursos internos provienen del puerto interno del IVE, independientemente de los
ajustes de ruta. Los ajustes de ruta del puerto externo slo se utilizan para enrutar
los paquetes asociados con las conexiones que inicia un cliente remoto.
Puede agregar rutas estticas, si desea indicar una ruta especfica que el IVE debe
usar para enrutar las peticiones. Necesita especificar una direccin DNS, una puerta
de enlace y una direccin IP vlida. La mtrica es una manera de comparar varias
rutas para establecer la preferencia. Generalmente, mientras menor sea el nmero,
de 1 a 15, mayor es la preferencia. Por lo tanto, se elegir una ruta con una mtrica
de 2 antes que otra que tenga una mtrica de 14. El valor de mtrica cero (0)
identifica una ruta que no se debe utilizar.
En el SA6000, puede configurar dos puertos adicionales, el puerto 2 y el puerto 3.
A pesar de que los puertos 2 y 3 parecen ser equivalentes al puerto interno, no lo
son y, de forma predeterminada, el IVE dirige el trfico al puerto interno cuando se
establece una conexin saliente. Por lo tanto, si uno de estos dos puertos est
conectado a una red que el puerto interno no puede alcanzar, necesita una ruta
esttica para volver a escribir el acceso a la red inalcanzable. De lo contrato, es
posible que se produzca un error cuando se vuelva a escribir.
714
Como consecuencia, necesita configurar rutas estticas a esos puertos. Los puertos
aparecen en el men de puertos desplegable como puerto 2 y puerto 3. Para
obtener ms informacin acerca de la configuracin de rutas estticas, consulte
Configuracin de las rutas estticas para el trfico de red en la pgina 714.
Para especificar rutas estticas para el trfico de red:
1. En la consola de administracin, elija System > Network > Routes.
2. Seleccione una tabla de rutas de destino desde el men desplegable View route
table for:.
3. Haga clic en New Route.
4. Introduzca la informacin necesaria.
5. Haga clic en Add to [destination] route table.
Las tablas de rutas de destino pueden estar disponibles para el puerto interno,
el puerto externo, el puerto de administracin, el puerto 2 y el puerto 3, segn
la plataforma de hardware que est configurando, o para cada VLAN que haya
definido.
NOTA: El puerto 2 y el puerto 3 estn disponibles exclusivamente en el SA 6000.
Creacin de cachs ARP

Puede utilizar el cach ARP para determinar la direccin fsica (MAC) de un
dispositivo de red, como un enrutador o un servidor de aplicaciones de backend
que se conecta con el IVE. Utilice la ficha System > Network > Internal Port >
ARP Cache para administrar los siguientes tipos de entradas del ARP (protocolo de
resolucin de direcciones).
Static entries: Puede agregar una entrada de ARP esttica al cach asociado
con la direccin IP y MAC. El IVE almacena entradas estticas durante los
reinicios y vuelve a reactivarlos despus de los reinicios. Las entradas estticas
siempre estn presentes en el IVE.
Dynamic entries: La red aprende las entradas ARP dinmicas durante el uso
y la interaccin normal con otros dispositivos de red. El IVE guarda en cach las
entradas dinmicas por hasta 20 minutos y las elimina durante un reinicio
o cuando se eliminan de manera manual.
Puede ver y eliminar las entradas estticas y dinmicas desde el cach ARP, as
como tambin agregar entradas estticas. Si tiene un clster de IVE, tenga en
cuenta de que la informacin del cach ARP es especfica para el nodo. El IVE slo
sincroniza la informacin del cach ARP en clsteres que no son de mltiples sitios.
715
Para agregar una entrada esttica al cach de ARP:

puerto > ARP Cache.
2. Introduzca la IP Address y la Physical Address en sus campos respectivos en la
parte superior de la tabla.
NOTA: Si agrega una entrada que contiene una direccin IP existente, el IVE
sobrescribe la entrada existente con su nueva entrada. Tenga en cuenta tambin

que el IVE no verifica la validez de las direcciones MAC.
Especificacin de nombres de host para que el IVE resuelva de manera local

Especifique nombres de host que el IVE pueda resolver a direcciones IP de manera
local utilizando la ficha Hosts. Esta caracterstica es til cuando:
No se puede tener acceso al servidor DNS para IVE.
Utiliza WINS para obtener acceso a servidores dentro de la LAN.
Sus directivas de seguridad corporativas no permiten que servidores internos

aparezcan en la lista de un DNS externo o requieren que los nombres de host
internos se enmascaren.
Para especificar los nombres de host para que el IVE resuelva de manera local:
1. En la consola de administracin, seleccione la ficha System > Network >
Hosts.
2. Introduzca una direccin IP, una lista delimitada por comas de los nombres de
host que resuelven a la direccin IP, un comentario de 200 palabras o menos
(opcional) y haga clic en Add.
Especificacin de filtros IP
Puede especificar filtros IP para que el IVE los aplique a los conjuntos IP de Network
Connect en la ficha System > Network > Network Connect. Un conjunto IP
corresponde a un rango especfico de direcciones IP disponibles para peticiones de
Network Connect (como se explica en Network Connect en la pgina 655). Para
obtener instrucciones acerca de la configuracin, consulte Especificacin de filtros
IP en la pgina 690.
716
Uso de las caractersticas de administracin central

Las caractersticas de administracin central consisten en un sistema de dos niveles
(cliente/servidor) que permite administrar mltiples IVE, sin importar si estn en
clster o no. Las caractersticas de administracin central incluyen:
Panel del sistema: La caracterstica del panel del sistema muestra grficos
y alarmas sobre la capacidad del sistema que le permiten supervisar el sistema
fcilmente. Puede obtener acceso al panel del sistema en la pgina System >
Status de la consola de administracin.
Mejor registro y supervisin: La caracterstica de registro le permite crear

filtros personalizados para que pueda ver y guardar slo los mensajes de
registro que elija en el formato que desee. Puede obtener acceso a la
caracterstica de registro en la pgina System > Log/Monitoring de la consola
de administracin.
Caracterstica de configuracin de envo: La caracterstica de configuracin

de envo le permite enviar fcilmente ajustes de un IVE a otro para obtener una
administracin centralizada conveniente. Puede acceder a la caracterstica de
configuracin de envo en la pgina Maintenance > Push Config de la consola
de administracin.
Actualizaciones del tiempo de inactividad mnimo: La caracterstica de

actualizacin del tiempo de inactividad mnimo le permite acelerar las
actualizaciones en todo un clster, lo que garantiza que un miembro del
clster siempre est funcional durante el proceso de actualizacin. Puede
obtener acceso a la caracterstica de actualizacin en la pgina Maintenance >
System > Upgrade/Downgrade de la consola de administracin.
Recuperacin determinista del clster: La caracterstica de recuperacin

determinista del clster le permite asignar jerarquas a varios nodos de un
clster, de forma que cuando un clster se recupera de una situacin
problemtica, el nodo que tenga la jerarqua superior propagar el estado del
clster correcto.
Interfaz de usuario mejorada: La consola de administracin para Central

Manager incluye una mejora del aspecto respecto a la consola de
administracin estndar para dispositivos que tengan una licencia de usuario.
SNMP MIB mejorados: La caracterstica de SNMP MIB mejorados le

proporciona mtricas de uso de la capacidad. Puede descargar el MIB
mejorado en la pgina System > Log/Monitoring > SNMP de la consola
de administracin.
Salvaguarda de copias de seguridad locales: La caracterstica de copias de

seguridad locales permite guardar hasta 10 copias de seguridad locales de
archivos de sistema y de configuracin del usuario en el IVE. Puede obtener
acceso a esta caracterstica a travs de la pgina Maintenance > Archiving >
Local Backups de la consola de administracin.
Uso de las caractersticas de administracin central 717
Modificacin de los grficos del panel de la administracin central

Si instal la actualizacin de Central Manager en su dispositivo Secure Access, el
panel del sistema aparece cuando abre la consola del administrador. El panel
muestra grficos de la capacidad del sistema que le permiten supervisar el sistema
con facilidad.
Si desea analizar o mostrar la informacin contenida en estos grficos usando sus
propias herramientas, puede usar la caracterstica de descarga de grficos. Para el
panel del sistema, puede descargar los datos desde cada uno de los grficos a un
archivo XML. Luego puede utilizar sus propias herramientas para volver a formatear
o analizar los datos en el archivo XML.
Esquemas XML de los grficos del panel de la administracin central

Los archivos XML de todos los grficos del panel del sistema contienen los mismos
elementos bsicos de XML:
<xport>: Elemento de nivel principal.
<meta>: Elemento de segundo nivel.
<start>: La hora a la que el sistema recopil el primer punto de datos para el

grfico, en formato UTC.
<step>: Intervalo durante el cual el sistema recopil los puntos de datos para el
grfico, en segundos. Por ejemplo, la siguiente entrada XML indica que el
sistema recopila datos cada minuto. <step>60</step>
<end>: La hora a la que el sistema recopil el ltimo punto de datos para el

grfico, en formato UTC.
<rows>: Nmero de puntos de datos recopilados para realizar el grfico.
<columns>: Nmero de mtricas recopilado para el grfico. (Corresponde al

nmero de lneas mostradas en el grfico en la consola del administrador.)
<legend>: Contiene una lista de subelementos de <entry> que definen los

nombres de cada una de las mtricas recopiladas para los grficos. Por
ejemplo, los subelementos para el grfico de usuarios simultneos pueden
incluir:
<legend>
<entry>Local users</entry>
<entry>Concurrent users</entry>
</legend>
718
Uso de las caractersticas de administracin central
<data>: Contiene una lista de subelementos <row> que incluyen los datos
peridicos recopilados para cada entrada. Cada elemento de <row> contiene un
subelemento <t> que incluye la hora en que el sistema recopil los datos y los
subelementos <v> de cada dato. Por ejemplo, una fila dentro del grfico
Concurrent Users puede incluir:

<data>
<row>
<t>1089748980</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
Esquema XML de muestra

La siguiente muestra ilustra el resultado de XML para un grfico Concurrent Users.
(Tenga en cuenta que, a fin de conservar la brevedad, algunos de los elementos de
<row> originales se eliminaron de la muestra).
<xport>
<meta>
<start>1089748980</start>
<step>60</step>
<end>1089763440</end>
<rows>242</rows>
<columns>2</columns>
<legend>
<entry>Local users</entry>
<entry>Concurrent users</entry>
</legend>
</meta>
<data>
<row>
<t>1089748980</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
<row>
<t>1089749040</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
<row>
<t>1089749100</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
...
<row>
<t>1089763440</t><v>NaN</v><v>NaN</v>
</row>
</data>
</xport>
Uso de las caractersticas de administracin central 719
Configuracin de las utilidades del sistema

Las utilidades del sistema IVE permiten administrar el servidor, actualizar el
software del sistema o cambiarlo a una versin anterior, habilitar la supervisin de
la versin y descargar los servicios y las aplicaciones cliente. Para obtener ms
informacin, consulte los siguientes temas:
Revisin de los datos del sistema en la pgina 720
Actualizacin o cambio a una versin anterior del IVE en la pgina 721
Ajuste de las opciones del sistema en la pgina 722
Descarga de los instaladores de aplicaciones en la pgina 724
Revisin de los datos del sistema

La pgina Maintenance > System > Platform de la consola de administracin
muestra los datos del sistema IVE y contiene los controles para reiniciar, rearrancar
y apagar un IVE. Tambin contiene un control para probar la conectividad del
servidor. Cuando el IVE es miembro de un clster, esta pgina muestra datos del
sistema adicionales y especficos del clster y los controles funcionan en todo el
clster.
Reinicio, rearranque, apagado o prueba de la conectividad del servidor
La pgina Maintenance > System > Platform muestra los siguientes datos del
sistema para un IVE:
Model: Muestra el modelo del IVE
Version: Muestra la versin del software del IVE
Rollback: Muestra la versin del software al que se revierte el IVE cuando se

revierte la imagen instalada
Last Reboot: Muestra el tiempo desde el ltimo reinicio del IVE
Cuando el IVE es miembro de un clster, la pgina Platform muestra los siguientes

datos adicionales del sistema:
Cluster: Muestra el nombre del clster al que pertenece el IVE
Member: Muestra el nombre de miembro del clster del IVE
La pgina Platform contiene los siguientes controles:
720
Restart Services/Cluster: Elimina todos los procesos y reinicia el IVE. Cuando

el IVE es miembro de un clster, este control elimina todos los procesos y
reinicia todos los miembros de un clster.
Reboot: Apaga y vuelve a encender y reinicia el IVE. Cuando el IVE es miembro

de un clster, este control apaga y vuelve a encender y reinicia todos los
miembros del clster.
Shut down: Apaga el IVE, para lo que necesita presionar el botn de reinicio en
el dispositivo para reiniciar el servidor. Cuando el IVE es miembro de un clster,
este control apaga todos los miembros de un clster, para lo que necesita
presionar el botn de reinicio en todos los dispositivos del clster para reiniciar
el clster. Tenga en cuenta que la alimentacin del equipo contina despus de
apagar el servidor.
NOTA: Si desea reiniciar, rearrancar o apagar, o actualizar un IVE en un cluster,

primero inhabilite el IVE utilizando los controles de la pgina System >
Clustering > Status, y luego vuelva a la pgina Platform para emplear el control
que desee.
Rollback: Revierte la imagen del software y reinicia el IVE. Despus de que el

IVE se reinicia, automticamente se revierte la imagen en el IVE hasta la
imagen que se muestra en el campo Rollback, indicado anteriormente.
Test Connectivity: Enva un ping ICMP desde el IVE a todos los servidores que
el IVE est configurado para usar e informar de su conectividad. El estado de
cada servidor se informa en Server Connectivity Results.
NOTA: Si busca informacin sobre cmo realizar un restablecimiento de fbrica

o revertir el sistema al estado anterior, consulte IVE Consola serie en la
pgina 987.
Actualizacin o cambio a una versin anterior del IVE

Puede instalar un paquete de actualizacin diferente obteniendo primero el
software desde el sitio web del Soporte tcnico de Juniper y luego cargndolo
a travs de la consola de administracin Los archivos del paquete estn encriptados
y firmados para que el servidor del IVE slo acepte paquetes vlidos emitidos por
Juniper Networks. Esta medida impide que el servidor del IVE acepte programas
que sean troyanos.
Esta rol se utiliza normalmente para actualizar a versiones ms recientes del
software del sistema, pero tambin puede utilizar este proceso para cambiarlo
a una versin anterior o para eliminar todos los ajustes actuales de la configuracin
y comenzar de manera limpia. Tambin puede revertir a un estado anterior del
sistema a travs de la consola serie, como se describe en Retroactivacin a un
estado anterior del sistema en la pgina 988.
Configuracin de las utilidades del sistema 721
Puede actualizar el IVE o cambiarlo a una versin anterior en la pgina

Maintenance > System > Upgrade/Downgrade de la consola de administracin.
NOTA: La instalacin de un paquete de actualizacin demora varios minutos
y requiere reiniciar el IVE. Debido a que se realizan copias de seguridad de los
datos existentes del sistema durante este proceso, puede disminuir el tiempo de
instalacin si borra su registro de sistema antes de intentar la instalacin de un
paquete de actualizacin.
Ajuste de las opciones del sistema

Puede establecer varias opciones del sistema, como:
Version monitoring: Mantenga seguro y actualizado su sistema haciendo que

el IVE le notifique acerca de parches y actualizaciones esenciales del software.
Para ello, comunica a Juniper Networks los siguientes datos: el nombre de su
empresa, un hash MD5 de los ajustes de su licencia y la informacin que
describe la versin actual del software.
gzip compression: Reduzca las velocidades de la descarga cuando se usan

exploradores habilitados para compresin de HTTP.
Java instrumentation caching: Mejore el rendimiento de la descarga de las

aplicaciones Java.
SSL acceleration: Descargue la encriptacin y la desencriptacin de los

protocolos de enlace SSL si ha instalado una tarjeta aceleradora.
Show auto-allow: Copie los marcadores de roles para las directivas de control
de acceso correspondientes cuando se usen directivas de recurso.
External user records management: Elimine del sistema los registros de

usuarios anteriores. Tenga precaucin al utilizarlo.
End-user localization: Establezca el idioma para el explorador del usuario

final, o acepte los valores predeterminados del explorador.
Para establecer las opciones del sistema:

1. En la consola de administracin, seleccione Maintenance > System >
Options.
2. Seleccione la casilla de verificacin Automatic Version Monitoring para recibir
automticamente notificaciones sobre parches y actualizaciones esenciales del
software.
NOTA: Para su proteccin, recomendamos encarecidamente que habilite este
servicio automtico, pero es posible inhabilitarlo si es necesario.
3. Seleccione la casilla de verificacin Enable gzip compression para reducir la

cantidad de datos enviados a los exploradores que admiten la compresin de
HTTP.
722
4. Seleccione la casilla de verificacin Enable Java instrumentation caching para

mejorar el rendimiento de la descarga de aplicaciones Java. Con el cach de
instrumentacin de Java habilitado, el IVE guarda en cach applets de Java a los
que accedieron los usuarios finales y entrega los applets en cach a peticiones
siguientes de los mismos applets.
5. Seleccione la casilla de verificacin Enable SSL acceleration para descargar la
encriptacin y la desencriptacin de los protocolos de enlace SSL desde el
dispositivo hasta la tarjeta aceleradora.
NOTA: El IVE slo muestra esta opcin si ha adquirido un dispositivo IVE equipado
con la tarjeta aceleradora correspondiente.

6. Si la casilla de verificacin Show Auto-allow est marcada, desmarque la casilla
de verificacin si desea ocultar la opcin de permiso automtico para usted
u otros administradores que crean nuevos marcadores de roles.
La opcin de permiso automtico proporciona el medio para agregar
automticamente marcadores para un rol determinado a una directiva de
control de acceso, por ejemplo, para agregar a la directiva de control de acceso
Web marcadores web con el permiso automtico establecido. Utilice esta
caracterstica slo si utiliza adems directivas de recursos. Recomendamos
que utilice perfiles de recursos. Para obtener ms informacin sobre los
perfiles de recursos, consulte Componentes de los perfiles de recursos en la
pgina 92.
7. En la opcin Show Auto-allow, puede seleccionar:
Only this URL: Esta opcin restringe los marcadores que se van a agregar
a la directiva de control de acceso a la direccin URL principal. Por
ejemplo, la direccin URL http://www.company.com se agregara a la
directiva de control de acceso.
Everything under this URL: Esta opcin permite que los marcadores
a otras rutas bajo la direccin URL principal se agreguen a la directiva de
control de acceso. Si define sitios web adicionales por rol, quizs le interese
incluirlos en la directiva de control de acceso. Por ejemplo, las siguientes
direcciones URL se agregan cuando selecciona esta opcin:
http://www.company.com/sales
http://www.company.com/engineering
8. Utilice las opciones en External User Records Management para eliminar del
IVE los registros de usuarios anteriores. Esta caracterstica es til cuando el
rendimiento del sistema se ve afectado debido a una gran cantidad de registros
de usuarios. Recomendamos encarecidamente que consulte al soporte tcnico
de Juniper Networks antes de utilizar esta caracterstica.
Eliminar el registro de un usuario elimina tambin todos los marcadores,

cookies persistentes, informacin de SSO, recordatorios de reuniones y otros
recursos de ese usuario en el IVE. No elimina el registro del usuario de un
servidor de autenticacin externo o interno. Si elimina el registro de un usuario
y ese usuario vuelve a iniciar sesin en el servidor de autenticacin, se crean
nuevos registros del usuario. Los registros no se eliminan si ese usuario inici
sesin actualmente.
Persistent user records limit: Introduzca el nmero mximo permitido de

registros de usuarios en el IVE.
Number of user records to delete when the limit is exceeded: Introduzca

la cantidad de registros a eliminar cuando se exceda el lmite. Primero se
eliminan los registros anteriores. El registro de un usuario no se elimina si
dicho usuario inici sesin actualmente.
Delete Records Now: Haga clic en este botn para comprobar si se excedi
el lmite de los registros persistentes del usuario. Si es as, elimine el
nmero de registros del usuario especificado en la opcin anterior.
Enable automatic deletion of user records during new user logins: Cada
vez que se va a crear el registro nuevo de un usuario, compruebe si se va
a exceder el lmite de los registros persistentes de un usuario. Si es as,
elimine los registros antes de crear el nuevo registro del usuario.
9. Seleccione el idioma para el explorador del usuario final en el men

desplegable End-user Localization.
Descarga de los instaladores de aplicaciones

Puede descargar una aplicacin o servicio como un archivo ejecutable de Windows,
el que le permitir:
Distribuir el archivo a los equipos cliente usando las herramientas de

distribucin de software. Esta opcin le permite instalar una aplicacin
o servicio en los equipos del cliente cuyos usuarios no tienen privilegios de
administrador, lo que es necesario para instalar la aplicacin o el servicio.
Poner el ejecutable en un repositorio seguro para que los usuarios con los
derechos de administrador apropiados puedan descargar e instalar la versin
correcta.
Descargar y ejecutar un script que recupere de forma automtica la versin

adecuada del instalador desde un servidor FTP.
Estas opciones le permitirn controlar qu versin de una aplicacin o un servicio

se ejecuta en los equipos cliente.
724
La pgina Installers contiene los siguientes controles:
Juniper Installer Service: El servicio de instalador Juniper permite que los

usuarios descarguen, instalen, actualice y ejecuten aplicaciones del lado cliente
sin tener privilegios de administrador. Para realizar estas tareas (que requieren
los privilegios de administrador), el servicio de Juniper Installer se ejecuta en la
cuenta del sistema local del cliente (una cuenta potente con acceso completo al
sistema) y se registra con el Administrador de control de servicios (Service
Control Manager, o SCM) de Windows. Un control ActiveX o un applet Java
que se ejecute dentro del explorador web del usuario comunica los detalles de
los procesos de instalacin que se debe realizar a travs de un canal seguro
entre el IVE y el sistema cliente.
NOTA: Cuando instale el servicio de instalador Juniper en sistemas cliente, tenga

en cuenta que:
Necesita contar con los privilegios de administrador para instalar el servicio

de instalador Juniper. Para obtener informacin adicional, consulte el manual
Client-side Changes Guide en Juniper Networks Customer Support Center.
Debe asegurarse de que Microsoft Windows Installer existe en el sistema

cliente antes de instalar el servicio de instalador Juniper.
Los sistemas cliente de sus usuarios finales deben contener un Java Runtime
Engine (JRE) vlido y habilitado o un control ActiveX de IVE actual. Si los
sistemas cliente no contienen ninguno de estos componentes de software, los
usuarios finales no podrn conectarse a la puerta de enlace.
Debe asegurarse de que haya un JRE vlido habilitado en los sistemas

cliente de sus usuarios finales.
Si no existe un JRE en los sistemas cliente de sus usuarios finales, debe

descargar un paquete de instalador adecuado desde Maintenance >
System > Installers.
El servicio aparece en la lista de servicios de Windows (local) como Neoteris

Setup Service.
El servicio comienza automticamente en la instalacin y durante el inicio del

sistema cliente.
Host Checker: Este instalador (HCInst.exe) instala Host Checker en los sistemas
de los usuarios. Host Checker es un agente del lado cliente que realiza
verificaciones de seguridad de punto final en los hosts que se conectan al IVE.
NOTA: Si decide distribuir Host Checker, asegrese de anular la seleccin de la

opcin Auto-upgrade Host Checker en la pgina Authentication > Endpoint
Security > Host Checker (consulte Especificacin de las opciones generales de
Host Checker en la pgina 314). De lo contrario, el IVE descarga la aplicacin
Host Checker al equipo de un usuario, que puede no ser la misma versin que la
versin distribuida.
Windows Secure Application Manager for Windows 9x platforms: Este

instalador (WSAMInst.exe) incluye la versin bsica de WSAM. Utilice esta
versin para instalar WSAM en Windows 9x.
Windows Secure Application Manager for Windows 2000/XP platforms: Este

instalador (WSAMInstNt.exe) incluye la versin de NetBIOS de W-SAM, que
permite que los usuarios asignen unidades a los recursos de Windows. Utilice
esta versin para instalar WSAM en sistemas de Windows 2000 y Windows XP.
Scriptable W-SAM: Este instalador (Samlauncher.exe) le permite iniciar WSAM

de manera manual desde una lnea de comandos o de manera automtica
desde un archivo de lote, una aplicacin que realiza una llamada de shell o un
servicio de Win32. Consulte Uso del iniciador de WSAM en la pgina 510 para
obtener informacin acerca de los argumentos de lnea de comandos, cdigos
de retorno, errores y ejemplos.
NOTA: Si decide distribuir W-SAM, recomendamos que inhabilite la opcin

Auto-upgrade de Secure Application Manager option en la pgina Users > User
Roles > Nombre del rol > SAM > Options (consulte Especificacin de opciones
WSAM a nivel de rol en la pgina 506) y guarde los cambios. Si est habilitado, el
IVE descarga automticamente una versin ms reciente de W-SAM al cliente, lo
que produce que diferentes usuarios ejecuten versiones inconsistentes de W-SAM.
Es ms, si un usuario no cuenta con los privilegios de administrador, la
actualizacin falla y es posible que W-SAM no vuelva a funcionar.
Windows Secure Application Manager for PocketPC 2003SE: Este instalador

(wsam.ppc2003_arm.cab) incluye la versin de WSAM para PDA. Utilice esta
versin para instalar WSAM en sistemas Pocket PC.
Network Connect for Windows: Este instalador (NcInst.exe) instala Network

Connect en sistemas Windows. Network Connect es un mecanismo de acceso
remoto que proporciona una experiencia de usuario de VPN sin clientes.
Network Connect for Mac OS X: Este instalador (NetworkConnect.dmg) instala

Network Connect en sistemas Macintosh OS X. Network Connect es un
mecanismo de acceso remoto que proporciona una experiencia de usuario de
VPN sin clientes.
Network Connect for Linux: Este instalador (ncui-1.2-1.i386.rpm) instala

Network Connect en sistemas Linux. Network Connect es un mecanismo de
acceso remoto que proporciona una experiencia de usuario de VPN sin clientes.
Para descargar una aplicacin o servicio:

1. En la consola de administracin, elija Maintenance > System > Installers.
2. Haga clic en el vnculo Download que aparece a la derecha de la aplicacin o el
servicio que desea descargar. Aparece el cuadro de dilogo File Download.
3. Haga clic en el botn Save del cuadro de dilogo File Download. Aparece el
cuadro de dilogo Save As.
4. Elija una ubicacin adecuada en el cuadro de dilogo Save As.
5. Haga clic en el botn Save del cuadro de dilogo Save As.
726
Configuracin de licencias, seguridad y NCP

Utilice las pginas System > Configuration para aplicar su licencia inicial
o actualizar su licencia, para establecer las opciones de seguridad predeterminadas,
y para configurar los protocolos de comunicacin NCP o JCP, como se describe en
los siguientes temas:
Introduccin o actualizacin de licencias de IVE en la pgina 727: utilice esta

caracterstica para introducir una nueva licencia, para agregar opciones a su
licencia existente o para actualizar una licencia a una nueva versin.
Activacin y desactivacin del modo de emergencia en la pgina 734: use

esta caracterstica para activar o desactivar el modo En caso de emergencia
(In Case of Emergency, o ICE).
Ajuste de las opciones de seguridad en la pgina 735: utilice esta

caracterstica para establecer todas las opciones de seguridad, incluidas las
opciones del sistema completo, cookies, intermediacin y ms.
Configuracin de NCP y JCP en la pgina 738: utilice esta caracterstica para

establecer protocolos de comunicacin.
Instalacin de un paquete de actualizacin de software de Juniper en la

pgina 739: utilice esta caracterstica para instalar un nuevo paquete de
actualizacin en el IVE.
Introduccin o actualizacin de licencias de IVE

El dispositivo IVE se enva con una licencia que le permite obtener un acceso bsico
al IVE1. Sin embargo, para aprovechar completamente su dispositivo, debe obtener
acceso al sistema de administracin de licencias de Juniper Networks, proporcionar
su ID de hardware de licencia y sus cdigos de autorizacin para obtener sus claves
de licencia e iniciar sesin a la consola de administracin para introducir las claves
de licencia que recibe de Juniper Networks.
Un ID de hardware de licencia es un cdigo nico de 16 caracteres que
Juniper Networks utiliza para identificar su IVE en particular cuando se generan
claves de licencia. Puede encontrar el ID de hardware de licencia del IVE sobre
las opciones del men en la consola serie y en la parte inferior de la consola de
administracin.
Un cdigo de autorizacin es una clave de paso necesaria para generar y activar las
claves de licencia que usted o su empresa han adquirido para su IVE. Reciba sus
cdigos de autorizacin de forma separada del IVE despus de adquirir su IVE y las
licencias de productos y caractersticas asociadas.
1. La licencia bsica de IVE le permite crear 5 cuentas de usuario locales, permite que 2 usuarios inicien sesin
simultneamente y proporciona capacidades bsicas de exploracin de archivos UNIX/NFS, Windows y web.
727
Figura 44: Generacin y activacin de las claves de licencia
Obtain your Juniper

Networks Secure
Access Authorization
Code
Obtain your Juniper

Networks Secure
Access Licensing
Hardware ID
Sign in to Juniper Networks

License Management System
at
http://www.juniper.net/
generate_license
Receive Juniper
Networks
Secure Access
license keys
Enter Juniper
Networks Secure
Access license keys
in Secure Access
administrator Web
console
728
Supply your Juniper

Networks Secure
Access Appliance
Serial Number
(when upgrading
SA 1000, SA 3000,
and SA 5000 license
keys only)
El paquete que descarga desde el sistema de administracin de licencias de

Juniper Networks o del mensaje de correo electrnico que recibe de
Juniper Networks puede contener tipos de licencias diferentes:
Claves de licencia del usuario de IVE: La clave de licencia del usuario del IVE
le permite actuar como host de todos los usuarios que especifique el cdigo de
la clave de licencia. Las claves de licencia de usuario del IVE son aditivas, lo que
significa que puede ampliar el nmero de usuarios que pueden obtener acceso
al IVE simplemente adquiriendo una clave de licencia de usuario adicional
y agregndola a su configuracin. Por ejemplo, si adquiere inicialmente una
licencia SA4000-ADD-100U y luego adquiere otra licencia SA4000-ADD-100U
en el futuro, su IVE podra alojar hasta 200 usuarios.
NOTA: Cuando se alcanza el lmite de licencias de usuario, todo usuario nuevo que
inicie sesin experimentar una reduccin en la velocidad del proceso de inicio de
sesin. No resultan afectadas las sesiones de usuarios existentes.
Claves de licencia de caractersticas de acceso del IVE: Las claves de licencia

de caractersticas de acceso del IVE le permiten habilitar los mtodos de acceso
en el IVE. Las claves de licencia de las caractersticas de acceso estn
disponibles para varios mtodos de acceso, que incluyen licencias de
caractersticas de acceso de Network Connect y Secure Application Manager,
Secure Meeting y Advanced.
Claves de licencia de clster del IVE: IVE las claves de licencia de clster
habilitan el comportamiento de clsteres entre los IVE. Puede adquirir claves de
licencia de clster del IVE junto con las claves de licencia de usuario del IVE,
pero el nmero de usuarios que puede obtener acceso a los IVE del clster est
restringido al nmero mximo de usuarios que permite la clave de licencia de
clster del IVE. Al igual que las claves de licencia de usuario del IVE, las claves
de licencia de clster del IVE son aditivas; es decir, puede aumentar el nmero
de los usuarios que pueden obtener acceso al clster adquiriendo claves de
licencia adicionales en el futuro. Por ejemplo, si adquiere inicialmente una
licencia de clster SA4000-CL-100U y luego adquiere otra licencia de clster
SA4000-CL-100U en el futuro, su IVE podra alojar hasta 200 usuarios. Sin
embargo, si adquiere una clave de licencia de usuario SA4000-ADD-100U IVE
adicional, en lugar de una clave de licencia de clster adicional, a pesar de
poder alojar hasta 200 usuarios a travs de las claves de licencia de usuario,
todava puede alojar slo 100 usuarios en el clster de los IVE. Para obtener
ms informacin sobre los IVE en clster, consulte Creacin de clsteres en la
pgina 869.
NOTA: Todos los nodos de un clster deben tener la misma clave de licencia que el
IVE del clster primario para que el clster pueda funcionar. No se puede agregar
una licencia ADD y una CL en el mismo equipo al mismo tiempo. Para que un
nodo pueda integrarse a un clster, deber agregar una licencia CL al nodo.
729
Claves de licencia de laboratorio del IVE: Las claves de licencia de laboratorio

le permiten implementar la nueva funcionalidad de IVE en un entorno de
prueba o de laboratorio antes de decidir si adquirir y extender la funcionalidad
actualizada en su red real. Las claves de licencia de laboratorio tienen una
vigencia de 52 semanas y otorgan acceso a un nmero limitado de usuarios.
A pesar de que puede adquirir mltiples claves de licencia de laboratorio, no
aumenta el nmero de usuarios a los que puede proporcionar acceso. En lugar
de eso, puede aumentar la duracin de la licencia en mltiplos de 52 semanas
(104 semanas, 156 semanas y as sucesivamente). Por ejemplo, si adquiere dos
licencias SA4000-LAB, puede otorgar acceso a 10 usuarios durante 104
semanas, en lugar de slo 52.
Claves de licencia en caso de emergencia (ICE) de IVE: Las claves de licencia

en caso de emergencia (ICE) le permiten activar el modo de emergencia del IVE,
que temporalmente habilita el IVE para un gran nmero de usuarios. Por
ejemplo, quizs le interese activar este modo si una de sus oficinas cierra
a causa de las inclemencias meteorolgicas. Cuando lo hace, sus empleados
pueden usar el IVE para trabajar desde casa en lugar de ir a la oficina. Las
licencias ICE vlidas admiten un conjunto completo de caractersticas, pero su
uso est limitado a 2 usuarios cuando el modo de emergencia est desactivado.
Puede operar el IVE en el modo de emergencia durante hasta 8 semanas. Para
obtener ms informacin, consulte Activacin y desactivacin del modo de
emergencia en la pgina 734.
Claves de licencia de evaluacin del IVE: Las claves de licencia de evaluacin

permiten habilitar y extender la funcionalidad de IVE ms reciente por un
tiempo limitado, antes de decidir si adquirir las claves de licencia y habilitar la
nueva funcionalidad de IVE de manera permanente. Las claves de licencia de
evaluacin son vlidas durante una, dos o cuatro semanas.
Utilice la ficha System > Configuration > Licensing para introducir las claves de
licencia para su sitio, ver sus fechas de vencimiento y eliminarlas (si es necesario).
NOTA: Asegrese de leer el acuerdo de licencia, al que se puede obtener acceso
desde la ficha Licensing, antes de ejecutar su clave de licencia. El acuerdo de
licencia disponible en la ficha Licensing es el mismo texto que se muestra en la
consola serie durante la configuracin inicial.
Introduccin de nuevas claves de licencia de IVE

Para crear e introducir nuevas claves de licencia de IVE o transferir claves de
licencia a un IVE de reemplazo:
1. Asegrese de tener disponible su ID de hardware de licencias y sus cdigos de
autorizacin.
Puede encontrar el ID de hardware de licencia del IVE encima de las opciones
del men de la consola serie y en la parte inferior de la consola de
administracin.
Reciba sus cdigos de autorizacin de forma separada del IVE despus de
adquirir su IVE y las licencias de productos y caractersticas asociadas.
730
2. Dirjase al sistema de administracin de licencias de Juniper Networks en

https://www.juniper.net/generate_license.
NOTA: El sistema de administracin de licencias de Juniper Networks ofrece un
punto de acceso donde puede obtener informacin detallada acerca de las
licencias de Juniper Networks, incluidas todas las licencias registradas para usted
y su empresa, as como tambin las licencias actualmente asociadas con IDs de
hardware de licencias especficos.
Debe tener un ID de usuario y una contrasea vlidos del Juniper Networks

Customer Support Center para obtener acceso a la informacin que se
encuentra en esta ubicacin. Para obtener un ID de usuario y una contrasea
de Juniper Networks Customer Support Center, obtenga acceso al Customer
Support Center.
3. Haga clic en el vnculo Secure Access SSL VPN para generar nuevas claves de
licencia de IVE o haga clic en Generate Replacement License for RMA Device
para crear una clave de licencia basada en una licencia existente para un IVE
que est reemplazando.
NOTA: La opcin Generate Replacement License for RMA Device est diseada
para alojar slo escenarios de reemplazo de hardware RMA. No se puede utilizar
para reemplazar una clave de licencia creada por error (por ejemplo, con un
cdigo de autorizacin para crear una clave de licencia para un IVE distinto al IVE
para el que se adquiri la licencia originalmente).
4. En la pgina Generate Licenses:
Si est creando una clave de licencia para un solo IVE, introduzca el ID de

hardware de licencia y uno o ms cdigos de autorizacin en los campos
correctos.
Si desea crear claves de licencia para IVE mltiples al mismo tiempo, haga
clic en Generate License Keys for Multiple SSL VPN Devices y siga el
procedimiento en pantalla para crear el archivo Excel necesario para
generar sus claves de licencia.
5. Haga clic en Generate.

Aparece la pgina Confirm License Information, que muestra un resumen de
la informacin enviada al sistema de administracin de licencias.
6. Revise la informacin para asegurarse de que todo est correcto y luego haga
clic en Generate License.
Aparece la pgina Generate License SSL VPN, que muestra un resumen de sus
claves de licencia, incluido un vnculo que muestra los detalles de sus nuevas
claves de licencia.
7. Haga clic en Download/Email y especifique el formato del archivo y el mtodo
de entrega que desea utilizar para obtener sus nuevas claves de licencia.
731
Despus de descargar o recibir sus claves de licencia por correo electrnico:

1. En la consola de administracin, seleccione System > Configuration >
Licensing.
2. Haga clic en el vnculo license agreement. Lea el acuerdo de licencia y, si est
de acuerdo con los trminos, contine al siguiente paso.
3. Introduzca sus cdigos de licencia y haga clic en Add.
Actualizacin de las claves de licencia de IVE

Si est utilizando un dispositivo Secure Access 700 o Secure Access FIPS y desea
actualizar sus claves de licencia despus de actualizar la imagen en su IVE a 5.1
o posterior, debe realizar el siguiente procedimiento para crear e introducir sus
nuevas claves de licencia. Debido a que el IVE mantiene la informacin de licencias
existente cuando se actualiza, slo necesita validar y crear nuevas claves de licencia
para cualquier actualizacin de licencia que adquiera. En la Figura 44 en la
pgina 728 se resumen los principales pasos en el proceso de generacin de
licencias.
NOTA: Cuando actualiza sus claves de licencia en un IVE anterior, el sistema de

administracin de licencias de Juniper Networks mantiene la informacin acerca
de las nuevas claves de licencia que crea, as como tambin cualquier clave de
licencia futura que adquiera e introduzca en su IVE. No se puede obtener acceso
a los detalles de claves de licencia anteriores. Juniper Networks no puede verificar
la informacin de claves de licencia para las versiones de software anteriores
a 5.1. Si elimina por accidente su informacin de licencia, comunquese con
Juniper Customer Care a travs del administrador de casos del Customer Support
Center:
1-800-638-8296 (Estados Unidos y Canad)
1-408-745-9500 (internacional)
Juniper Customer Care abrir un caso en su nombre y le proporcionar un registro

de sus claves de licencia perdidas.
Para actualizar sus claves de licencia de IVE:
1. Asegrese de tener disponible su ID de hardware de licencias y sus cdigos de
autorizacin.
Puede encontrar el ID de hardware de licencia del IVE sobre las opciones del
men en la consola serie y en la parte inferior de la consola de administracin.
Si est actualizando sus claves de licencia y software de IVE, recibe sus cdigos
de autorizacin para sus licencias de caractersticas adicionales de parte del
proveedor al que adquiri originalmente su IVE.
732
2. Dirjase al sistema de administracin de licencias de Juniper Networks en

https://www.juniper.net/generate_license.
NOTA: El sistema de administracin de licencias de Juniper Networks ofrece un
punto de acceso donde puede obtener informacin detallada acerca de las
licencias de Juniper Networks, incluidas todas las licencias registradas para usted
y su empresa, as como tambin las licencias actualmente asociadas con IDs de
hardware de licencias especficos.
Debe tener un ID de usuario y una contrasea vlidos del Juniper Networks

Customer Support Center para obtener acceso a la informacin que se
encuentra en esta ubicacin. Para obtener un ID de usuario y una contrasea
de Juniper Networks Customer Support Center, obtenga acceso al Customer
Support Center.
3. Haga clic en el vnculo Secure Access SSL VPN para generar nuevas claves de
licencia de IVE o haga clic en Generate Replacement License for RMA Device
para crear una licencia basada en una licencia existente para un IVE que est
reemplazando.
NOTA: La opcin Generate Replacement License for RMA Device est diseada
para alojar slo escenarios de reemplazo de hardware RMA. No se puede utilizar
para reemplazar una clave de licencia creada por error (por ejemplo, con un
cdigo de autorizacin para crear una clave de licencia para un IVE distinto al IVE
para el que se adquiri la licencia originalmente).
4. En la pgina Generate Licenses:
Si est creando una clave de licencia para un solo IVE, introduzca el ID de

hardware de licencia y uno o ms cdigos de autorizacin en los campos
correctos.
Si desea crear claves de licencia para IVE mltiples al mismo tiempo, haga
clic en Generate License Keys for Multiple SSL VPN Devices y siga el
procedimiento de la pantalla para crear el archivo Excel necesario para
generar sus claves de licencia.
5. Haga clic en Generate.

6. Introduzca el nmero de serie de su IVE en el campo Serial Number. Si no
introduce el nmero de serie de su IVE cuando se le solicita, el portal de
generacin de licencias utiliza automticamente el ID de hardware de licencia
que introduzco anteriormente.
7. Haga clic nuevamente en Generate.
Aparece la pgina Confirm License Information, que muestra un resumen de
la informacin enviada al sistema de administracin de licencias.
733
8. Revise la informacin para asegurarse de que todo est correcto y luego haga
clic en Generate License.
Aparece la pgina Generate License SSL VPN, que muestra un resumen de sus
claves de licencia, incluido un vnculo que muestra los detalles de sus nuevas
claves de licencia.
9. Haga clic en Download/Email y especifique el formato del archivo y el mtodo
de la entrega que desea utilizar para obtener sus nuevas claves de licencia.
Despus de descargar o recibir sus actualizaciones de claves de licencia por correo
electrnico:
Licensing.
2. Haga clic en el vnculo license agreement. Lea el acuerdo de licencia y, si est
de acuerdo con los trminos, contine al siguiente paso.
3. Introduzca las claves de licencia y haga clic en Save Changes.
Activacin y desactivacin del modo de emergencia

La caracterstica del modo de emergencia del IVE le permite habilitar
temporalmente el IVE para un gran nmero de usuarios, como se explica en
Introduccin o actualizacin de licencias de IVE en la pgina 727.
A fin de activar el IVE en modo de emergencia, primero debe instalar una licencia
en caso de emergencia (ICE) usando el procedimiento de instalacin de licencias de
IVE estndar. Seguidamente, cuando se produce la emergencia, podr activar
fcilmente el modo de emergencia a travs de la consola web del IVE. Cuando haya
pasado la emergencia, debe desactivar el modo de emergencia.
NOTA: La licencia ICE es permanente hasta que active el modo de emergencia.
La activacin del modo de emergencia cambia la licencia ICE a una licencia
temporal, y slo permite que opere en el modo de emergencia durante 8
semanas. Una vez que vence la licencia ICE, desaparecen todas las caractersticas
y sus usuarios ya no pueden obtener acceso al IVE usando el modo de
emergencia.
Para activar o desactivar el modo de emergencia:

1. En la consola web, seleccione System > Configuration > Licensing.
2. Encuentre la entrada de In Case of Emergency License en la lista de licencias.
Los nombres de la licencia ICE de muestra incluyen:
734
SA4000-ICE
SA4000-ICE-CL
SA6000-ICE
SA6000-ICE-CL
3. Haga clic en el vnculo Enable que aparece a la derecha de la columna de

licencias para activar el modo de emergencia, o haga clic en Inhabilitar para
desactivarlo.
NOTA: Cuando habilite y inhabilite el modo de emergencia, el IVE reduce la
licencia correspondiente en intervalos de 5 minutos.
Ajuste de las opciones de seguridad

Utilice la pgina System > Configuration > Security para cambiar los ajustes de
seguridad predeterminados para su IVE. Recomendamos que utilice los ajustes de
seguridad predeterminados, que proporcionan una mxima seguridad, pero es
posible que necesite modificar estos ajustes si sus usuarios no pueden utilizar
determinados exploradores u obtener acceso a determinadas pginas web.
Tambin puede configurar opciones de bloqueo para proteger el IVE y los sistemas
de back-end frente a ataques de DoS, DDoS y de averiguacin de contraseas desde
la misma direccin IP.
Ajuste de las opciones de seguridad del sistema completo

Si alguno de los usuarios experimenta problemas con el explorador cuando obtiene
acceso a determinadas pginas web, plantese realizar los siguientes ajustes:
Allowed SSL and TLS Version: Especifique los requisitos de encriptacin para
los usuarios de IVE. El IVE cumple con estos ajustes para todo el trfico del
servidor web, incluido oNCP y Secure Email Client, y todos los tipos de clientes,
incluido Pocket PC e iMode. (El IVE requiere de forma predeterminada SSL
versin 3 y TLS.) Puede solicitar que los usuarios que posean exploradores
anteriores que utilizan SSL versin 2 actualicen sus exploradores o que cambien
los ajustes del IVE para permitir SSL versin 2, SSL versin 3 y TLS.
Allowed Encryption Strength: El IVE necesita encriptacin de 128 bits de

forma predeterminada, o puede especificar que el IVE necesita encriptacin de
168 bits. Es posible que sigan usando la encriptacin de 40 bits los
exploradores anteriores al cambio de la ley de exportacin de los Estados
Unidos realizado en el ao 2000, cuando se exiga la encriptacin de 40 bits
para la exportacin internacional. Puede solicitar que los usuarios actualicen
a un explorador con encriptacin de 128 bits o cambiar la intensidad de la
encriptacin requerida para permitir tambin encriptaciones de 40 bits.
Si selecciona la opcin Accept only 168-bit and greater, el IVE le da
preferencia al AES de 256 bits por delante de 3DES. Si selecciona la opcin
Accept only 128-bit and greater o la opcin Accept 40-bit and greater, el IVE
le da preferencia a los cifrados RC4.
Para especificar una combinacin de suites de cifrado para la conexin
entrante desde el explorador del usuario, seleccione la opcin Custom SSL
Cipher Selection en Allowed Encryption Strength. Si selecciona la opcin
AES/3DES, el IVE le da preferencia al AES de 256 bits por delante de 3DES. Si
selecciona cualquiera de las opciones personalizadas de suite de cifrado, el IVE
utiliza cifrados de 168 bits o superiores para las conexiones de reescritura de
backend. El IVE le da preferencia a la encriptacin del AES de 256 bits para las
conexiones SSL del proxy de correo de backend.
735
NOTA: Cuando se utiliza la encriptacin de 168 bits en el IVE, algunos

exploradores web siguen mostrando la encriptacin de 128 bits (el candado
dorado en la barra de estado del explorador), incluso si la conexin es de 168 bits.
sta puede ser una limitacin de la capacidad del explorador.
Encryption Strength option: Normalmente, la intensidad de encriptacin

permitida se aplica despus de establecer una sesin SSL, por lo que un usuario
que se conecta con una intensidad de encriptacin no permitida recibe una
pgina web que describe el problema. Esta opcin impide que un explorador
con un cifrado dbil establezca una conexin.
SSL Handshake Timeout option: Determina los segundos antes de que se

agote el tiempo del protocolo de enlace SSL. El intervalo predeterminado es de
60 segundos.
Delete all cookies at session termination: Para su comodidad, el IVE

establece cookies persistentes en el equipo del usuario para admitir funciones
como inicio de sesin mltiple, el ltimo territorio asociado y la ltima
direccin URL de inicio de sesin. Si desea obtener seguridad o privacidad
adicionales, puede optar por no definirlas.
Include IVE session cookie in URL: Mozilla 1.6 y Safari no pueden pasar
cookies a la mquina virtual de Java, con lo que los usuarios no pueden ejecutar
applets JSAM ni Java. Para admitir estos exploradores, el IVE puede incluir las
cookies de la sesin del usuario en la direccin URL que inicia JSAM o un applet
de Java. De forma predeterminada, esta opcin est habilitada, pero si le
preocupa la exposicin de los cookies en la direccin URL, puede inhabilitar
esta caracterstica.
Last Login options: Muestra el da y la hora del ltimo inicio de sesin del
usuario en el sistema. Para los usuarios, esta informacin aparece en su pgina
de marcadores. Para los administradores, esta informacin aparece en la
pgina System Status Overview.
SAML version: De forma predeterminada, el IVE utiliza el protocolo y el

esquema SAML 1.1. Si utiliza SAML 1.0 en su entorno, seleccione la opcin
SAML 1.0.
Configuracin de las opciones de bloqueo

Puede configurar las siguientes Lockout options para proteger el IVE y otros
sistemas contra ataques de rechazo de servicio (DoS), rechazo de servicio
distribuido (DDoS) y de adivinacin de contraseas desde la misma direccin IP:
736
Rate: Especifique el nmero de intentos de inicio de sesin fallidos permitidos

por minuto.
Attempts: Especifique el nmero mximo de intentos de inicio de sesin

fallidos permitidos antes de activar el bloqueo inicial. El IVE determina el
perodo inicial mximo (en minutos) para permitir que se produzcan los
intentos de inicio de sesin fallidos dividiendo el nmero especificado de
intentos por el ndice. Por ejemplo, 180 intentos divididos por un ndice de 3
da como resultado un perodo inicial de 60 minutos. Si se producen 180 o ms
intentos de inicio de sesin fallidos dentro de 60 minutos o menos, el IVE
bloquea la direccin IP utilizada en el intento de inicio de sesin fallido.
Lockout period: Especifique los minutos que desea que el IVE bloquee la
direccin IP.
NOTA: Las opciones de bloqueo no estn disponibles para los sistemas IVS. Todas
las dems opciones de seguridad estn disponibles para los sistemas IVS.
El IVE reacciona rpidamente frente a un ataque persistente, y poco a poco se

vuelve menos restrictivo cuando disminuye el ataque. Despus de producido un
bloqueo, el IVE se recupera poco a poco manteniendo el valor de Rate. Si el ndice
de fallos desde el ltimo bloque sobrepasa el valor de Rate especificado, el IVE
vuelve a bloquear la direccin IP. Si el ndice de fallos es inferior al Rate
especificado para el perodo de Attempts/Rate, el IVE vuelve al estado de
supervisin inicial.
Por ejemplo, si utiliza los siguientes ajustes para las Lockout options, el IVE
bloquea la direccin IP para los perodos correspondientes al siguiente escenario.
Rate=3 intentos de inicio de sesin fallidos/minuto
Attempts=180 permitidos como mximo en un perodo inicial de 60 minutos

(180/3)
Lockout period=2 minutos
1. Durante un perodo de tres minutos, se producen 180 intentos de inicio de

sesin fallidos desde la misma direccin IP. Como el nmero de intentos
especificado en Attempts se produce en menos del perodo inicial permitido de
60 minutos (180/3), el IVE bloquea la direccin IP durante dos minutos (el
minuto 4 y el minuto 5).
2. En el minuto 6, el IVE elimina el bloqueo de la direccin IP y comienza
a mantener el ndice de 3 intentos de inicio de sesin fallidos/minuto. En el
minuto 6 y el minuto 7, el nmero de intentos de inicio de sesin fallidos es de
2 por minuto, por lo que el IVE no bloquea la direccin IP. Sin embargo, cuando
el nmero de intentos de inicio de sesin fallidos aumenta a 5 en el minuto 8,
lo que da un total de 9 intentos de inicio de sesin fallidos en 3 minutos, el IVE
vuelve a bloquear la direccin IP durante 2 minutos (minuto 9 y minuto 10).
737
3. En el minuto 11, el IVE elimina el bloqueo de la direccin IP y comienza

a mantener el ndice de 3 intentos de inicio de sesin fallidos/minuto. Cuando
el ndice se mantiene por debajo de un promedio de 3/minuto durante 60
minutos, el IVE vuelve a su estado de supervisin inicial.
NOTA: En entornos en los que dos o ms usuarios comparten la misma direccin
IP (desde la perspectiva del IVE), la caracterstica de bloqueo impide que todos los
usuarios inicien sesin desde la direccin IP compartida, incluso cuando slo uno
de ellos es el usuario ofensivo. Desde el punto de vista del IVE, es posible que se
comparta la direccin IP cuando, por ejemplo, los usuarios inician sesin detrs
de un cuadro NAT.
Configuracin de NCP y JCP

El IVE utiliza los siguientes tipos de protocolos internos para comunicarse entre las
aplicaciones IVE cliente y servidor:
Network Communications Protocol (NCP): El NCP estndar fue reemplazado

por oNCP. Las aplicaciones cliente de Windows, que incluyen el cliente
Windows de Secure Meeting, WSAM, y Terminal Services, retroceden al NCP si
falla el oNCP.
Optimized NCP (oNCP): El protocolo optimizado NCP (oNCP) mejora

notablemente las prestaciones de las aplicaciones clientes que utilizan NCP
porque contiene mejoras en la eficiencia de protocolos, gestin de conexiones
y compresin de datos. Las aplicaciones cliente de Windows, que incluyen el
cliente Windows de Secure Meeting Windows, WSAM, Network Connect
y Terminal Services utilizan oNCP de forma predeterminada.
Java Communications Protocol (JCP): JCP es la implementacin Java del NCP

estndar. El IVE utiliza el JCP para comunicarse con las aplicaciones cliente de
Java, que incluyen el cliente Java de Secure Meeting, JSAM, y el motor de
intermediacin de contenido de Java.
Para establecer las opciones del NCP:

1. En la consola de administracin, seleccione System > Configuration > NCP.
2. (Clientes Windows) En NCP Auto-Select, seleccione:
738
Auto-select Enabled (recomendado): Utiliza el oNCP de forma

predeterminada. Si selecciona esta opcin, el IVE utiliza el oNCP para la
mayora de las comunicaciones cliente/servidor y luego cambia al NCP
estndar, cuando es necesario. El IVE revierte al NCP si el usuario est
ejecutando un sistema operativo no compatible, un tipo de explorador no
compatible o una combinacin de ambos, o si la aplicacin cliente no
puede abrir una conexin TCP directa al IVE por cualquier motivo (por
ejemplo, la presencia de un proxy, tiempo de espera, desconexin).
Auto-select Disabled: Utiliza siempre el NCP estndar. Esta opcin se

proporciona principalmente para la compatibilidad con versiones
anteriores.
NOTA: Si est utilizando Network Connect para proporcionar acceso del cliente,
recomendamos que acte con precaucin cuando emplee la opcin Auto-select
Disabled, porque los clientes Mac y Linux no se pueden conectar utilizando el
protocolo NCP tradicional. Si desactiva la caracterstica de seleccin automtica de
oNCP o NCP y se produce una conmutacin por error de UDP a oNCP o NCP, el
IVE desconecta a los clientes de Macintosh y Linux debido a que el IVE conmuta
errneamente UDP a NCP (en lugar de oNCP), que no admite a estos usuarios.
3. (Clientes Java) En Read Connection Timeout, establezca el intervalo de tiempo

de espera para clientes Java (de 15 a 120 segundos). Si los mtodos de acceso
seguro del lado cliente no reciben datos desde el IVE para el intervalo
especificado, intente restablecer una conexin al IVE. Tenga en cuenta que este
valor no se aplica a la inactividad del usuario en las aplicaciones cliente.
4. (Clientes Windows) En Idle Connection Timeout, establezca el intervalo de
conexin inactiva. Este intervalo inactivo determina por cunto tiempo el IVE
mantiene las conexiones inactivas para los mtodos de acceso seguro de
Windows del lado cliente.
Instalacin de un paquete de actualizacin de software de Juniper

Antes de instalar un nuevo paquete de actualizacin, exporte su configuracin de
sistema actual, las cuentas de usuarios locales, los ajustes personalizados del
usuario y la informacin de roles y directivas utilizando las instrucciones de la
seccin Importacin y exportacin de archivos de configuracin del IVE en la
pgina 787.
Para instalar un paquete de actualizaciones:
1. Dirjase al Juniper Networks Customer Support Center y obtenga el paquete de
actualizaciones deseado.
2. En la consola de administracin, elija Maintenance > System >
Upgrade/Downgrade.
3. Haga clic en Browse para encontrar en su disco duro el paquete de
actualizacin que obtuvo en el Juniper Networks Customer Support Center.
Si desea eliminar sus ajustes de configuracin actuales, pero seguir usando
la misma versin del IVE, elija el paquete de actualizacin que est instalado
actualmente en su dispositivo.
739
4. Si est revirtiendo a un paquete de actualizacin anterior o eliminado sus

ajustes de configuracin, seleccione Delete all system and user data.
NOTA: Si opta por revertir para eliminar todos los datos del sistema y del usuario
desde el dispositivo con esta opcin, tendr que restablecer la conectividad de la
red antes de volver a configurar el sistema. Tenga en cuenta, adems, que no
puede revertir a una versin de IVE anterior a 3.1.
5. Seleccione el archivo del paquete de actualizacin y haga clic en Install Now.
Configuracin y uso del puerto de administracin

El SA 6000 de Juniper Networks incluye un puerto de administracin fsico que
puede utilizar para conectarse a redes de administracin dedicadas. Puede utilizar
el puerto de administracin para separar el trfico comercial del trfico de
administracin del dispositivo, lo que puede mejorar la fiablilidad y la recuperacin
en caso de fallo.
El escenario de implementacin comn aprovecha el puerto interno para obtener
acceso a los sistemas comerciales de la empresa, el puerto externo para obtener
acceso desde y hacia Internet y el puerto de administracin para obtener acceso
a la red de administracin, que consta de dispositivos dedicados como servidores
syslog y servidores SNMP.
Una vez que habilite las capacidades del puerto de administracin, especifique los
tipos de trfico de administracin que se envan a travs del puerto de
administracin:
trfico syslog
capturas SNMP
consultas SNMP
trfico NTP
trfico de archivos FTP/SCP
NOTA: Si aplica una licencia IVS, no puede utilizar el puerto de administracin para
capturar el trfico administrativo y de gestin de IVS. Adems, no puede utilizar el

prefijo de la URL basado en rutas de IVS para iniciar sesin en el puerto de
administracin.
Tambin puede utilizar el puerto de administracin para copiar los ajustes de
configuracin seleccionados de un IVE a otro, usando la caracterstica de
configuracin de envo.
740
Informacin relacionada
Configuracin de los ajustes de red del puerto de administracin en la

pgina 741
Resolucin de problemas del puerto de administracin en la pgina 745
Configuraciones de envo de un IVE a otro en la pgina 816
Configuracin de los ajustes de red del puerto de administracin

Puede configurar los ajustes de la red del puerto de administracin en la consola de
administracin o en la consola serie.
Puede hacer lo siguiente:
Configuracin de los ajustes de la red en la consola serie en la pgina 741
Configuracin de los ajustes de la red en la consola de administracin en la

pgina 742
Inclusin de rutas estticas en la tabla de rutas de administracin en la

pgina 742
Asignacin del certificado al puerto de administracin en la pgina 743
Control del acceso de inicio de sesin del administrador en la pgina 743
Inicio de sesin a travs del puerto de administracin en la pgina 744
Ajuste de las reglas de asignacin de roles a travs de expresiones

personalizadas en la pgina 744
Configuracin de los ajustes de la red en la consola serie

Para configurar sus ajustes de la red del puerto de administracin desde la consola
serie
1. Comience una sesin de la consola serie, como se describe en Conexin a la
consola serie de un dispositivo IVE en la pgina 987.
2. Seleccione el elemento 1, System Settings and Tools.
3. Seleccione el elemento 10, Configure Management port. El texto indica si la
opcin est habilitada o inhabilitada.
Configuracin y uso del puerto de administracin 741
4. Introduzca los ajustes de red para el puerto de administracin, segn se le

solicite.
NOTA: Si habilita el puerto de administracin pero no configura correctamente la

direccin IP y la mscara de red, el puerto se revierte a un estado inhabilitado.
Adems, no puede borrar los ajustes del puerto de administracin desde la
consola serie cuando el puerto est inhabilitado, aunque s puede borrarlos desde
5. Cuando se le solicite aceptar los cambios, si son correctos, introduzca y. De lo

contrario, repita el proceso para corregir los ajustes.
6. Cierre la consola serie.
Configuracin de los ajustes de la red en la consola de administracin en la

pgina 742
Configuracin de los ajustes de la red en la consola de administracin

Para configurar sus ajustes de la red del puerto de administracin desde la consola
de administracin:
1. Asegrese de que la red de administracin de backend ya est configurada.
2. Conecte su puerta de enlace de la red de administracin al SA 6000 a travs del
puerto de administracin.
3. En la consola de administracin, elija System > Network > Management
Port.
5. Introduzca la informacin de su puerto, incluida la direccin IP, la mscara de
red y la puerta de enlace predeterminada.
Configuracin de los ajustes de la red en la consola serie en la pgina 741
Inclusin de rutas estticas en la tabla de rutas de administracin

Tambin puede agregar rutas estticas a la tabla de rutas de administracin. Esto se
logra fcilmente siguiendo el procedimiento para agregar rutas estticas a las tablas
de rutas como se describe en Configuracin de las rutas estticas para el trfico de
red en la pgina 714. Cuando se habilita el puerto de administracin, la pgina
New Route incluye una nueva seleccin de interfaces para la tabla de rutas de
administracin.
742
Asignacin del certificado al puerto de administracin

Slo puede asignar un certificado de dispositivo al puerto de administracin. Si
asigna un certificado distinto al certificado de dispositivo predeterminado al puerto
de administracin, se anula la seleccin del certificado de dispositivo
predeterminado como el valor predeterminado. Si no selecciona un certificado de
dispositivo para el puerto de administracin, el IVE utiliza el certificado de
dispositivo predeterminado que se presenta en el puerto interno.
NOTA: No puede asignar certificados a las VIP del puerto de administracin.
Control del acceso de inicio de sesin del administrador

Puede controlar el acceso del administrador a los puertos en el IVE. Cuando habilita
el puerto de administracin, el acceso a l se controla mediante la configuracin de
sus territorios de administrador.
Para controlar el acceso del administrador al puerto de administracin
1. Habilite el puerto de administracin siguiendo las instrucciones de la seccin
Configuracin de los ajustes de red del puerto de administracin en la
pgina 741.
2. Realice uno de los siguientes pasos:
Seleccione Administrators > Admin Realms > Admin Users si intenta

modificar el territorio de usuarios de administracin predeterminado.
Seleccione Administrators > Admin Realms y luego haga clic en New si

desea crear un nuevo territorio de administrador.
Si opt por crear un nuevo territorio de administrador, siga las

instrucciones para configurar el territorio como se describe en Creacin
de un territorio de autenticacin en la pgina 196, luego contine con el
siguiente paso.
Si opt por modificar el territorio de usuarios de administracin

predeterminado, contine al siguiente paso.
4. Haga clic en la ficha Authentication Policy.

5. Desplcese hasta la parte inferior de la ficha Source IP. Debe ver un mensaje
que indica que el puerto de administracin est habilitado, junto con un vnculo
a la pgina Network Settings.
6. Seleccione las opciones disponibles para permitir que los administradores
inicien sesin en todos los puertos disponibles, slo en el puerto de
administracin o el puerto interno, o para impedirles que inicien sesin en
cualquiera de los puertos. En algunos casos, puede limitar accidentalmente el
acceso administrativo total. Si esto se produce, puede reconfigurar los puertos
utilizando la consola serie.
NOTA:
Si limita el acceso administrativo al puerto de administracin, y luego exporta

la configuracin y la importa a un dispositivo SA 2000 o SA 4000, la operacin
de importacin puede fallar o se puede ignorar la configuracin del puerto de
administracin, dejando de lado posiblemente su acceso de administrador.
Esto podra producirse porque slo el SA 6000 admite el puerto de
administracin. Los otros modelos de dispositivo no reconocen la
configuracin del puerto de administracin.
Si permite que los administradores inicien sesin en el puerto de

administracin o en el puerto interno, pero no habilita correctamente el
mismo puerto de administracin, el IVE considera que se debe establecer la
opcin para permitir que los administradores inicien sesin slo en el puerto
interno. Si luego habilita el puerto de administracin, se restaurarn los
ajustes del acceso del administrador al puerto de administracin, asumiendo
que dej seleccionada la opcin del puerto de administracin en la ficha
Authentication Policy.
Inicio de sesin a travs del puerto de administracin

Si inicia sesin en un dispositivo directamente a travs de la direccin IP del puerto
de administracin, no podr obtener acceso a la pgina de inicio de sesin del
usuario final, como normalmente podra con la configuracin predeterminada del
IVE a travs del puerto interno. Slo tiene permitido iniciar sesin en el territorio
definido para el acceso administrativo en el puerto de administracin. Si desea
obtener acceso a la pgina de inicio de sesin del usuario final, necesita iniciar
sesin a travs del puerto interno o del puerto externo.
Sin embargo, si tiene acceso restringido dentro del territorio, para que los
administradores puedan iniciar sesin a travs del puerto de administracin, el
acceso a los dems puertos queda en realidad bloqueado cuando se inicia sesin en
la direccin de IP del puerto de administracin.
Ajuste de las reglas de asignacin de roles a travs de expresiones personalizadas

Cuando haya habilitado el puerto de administracin, puede utilizar un valor nuevo
para la variable (networkIF) de la interfaz de red en expresiones personalizadas para
asignar roles al puerto.
Para usar la variable nueva:
1. Una vez completados los pasos descritos en Control del acceso de inicio de
sesin del administrador en la pgina 743, haga clic en la ficha Role Mapping.
2. Seleccione Custom Expressions en el men desplegable Rule based on.
4. En la seccin Rule, haga clic en Expressions.
744
5. En la ficha Expresiones del dilogo Catlogo de servidores, introduzca un

nombre para su regla nueva.
6. Introduzca la expresin como:
networkIF = management
Asegrese de escribir el valor entre comillas dobles. A diferencia de los valores

para los puertos internos y externos, debe delimitar el valor del puerto de
administracin con comillas dobles.
7. Haga clic en Save Changes. Su expresin denominada aparece en el cuadro de
texto Available Expressions.
8. Seleccione la expresin y haga clic en Add para moverla al cuadro de texto
Selected Expressions.
9. Seleccione el rol correcto, por ejemplo, .Administrators, y luego haga clic en
Add para mover el rol al cuadro de texto Selected Roles.
Este procedimiento asigna el rol o los roles seleccionados al puerto de
administracin.
Resolucin de problemas del puerto de administracin

El IVE proporciona diversas caractersticas de resolucin de problemas para
ayudarle a identificar y resolver los problemas, si es necesario. Se pueden producir
algunos problemas potenciales si no configura su red de administracin y si
permite que algunos dispositivos de administracin, como servidores syslog,
enven el trfico a travs del puerto interno del IVE.
Por ejemplo, si configura los dispositivos de administracin para enviar el trfico
a travs del puerto interno, es posible que no pueda recuperar esa informacin. Por
ejemplo, si configura una captura SNMP para enviar los resultados a travs del
puerto interno cuando el puerto de administracin est habilitado, el IVE descarta
los datos.
NOTA: El IVE ignora las consultas SNMP que se producen en cualquier otro puerto
distinto al puerto de administracin, cuando el puerto de administracin est
habilitado.
El trfico del puerto de administracin es capturado en el registro de

administracin.
Puede hacer lo siguiente:
Uso de TCPDump para solucionar los problemas del puerto de administracin

en la pgina 746
Uso de las utilidades de red para probar la conectividad en la pgina 746
Uso del puerto de administracin en un clster en la pgina 746

Uso de TCPDump para solucionar los problemas del puerto de

administracin
Puede usar la utilidad TCPDump para solucionar los problemas del puerto de
administracin.
1. Seleccione Maintenance > Troubleshooting > Tools > TCP Dump.
2. Seleccione Management Port.
3. Configure las dems opciones disponibles como se describe en Creacin de
archivos de volcado TCP en la pgina 859.
4. Haga clic en Start Sniffing.
Uso de las utilidades de red para probar la conectividad

El IVE proporciona varias utilidades de red que puede utilizar para probar la
conectividad al puerto de administracin, que incluyen ARP, ping, traceroute
y NSlookup.
1. Seleccione Maintenance > Troubleshooting > Tools > Commands.
2. Seleccione el tipo de comando desde el men desplegable Command.
3. Configure la utilidad especfica, como se describe en Prueba de la
conectividad de red del IVE en la pgina 861.
4. Seleccione Management Port.
5. Haga clic en Ok.
Uso del puerto de administracin en un clster

El puerto de administracin utiliza los ajustes de red especficos del nodo, incluidos
los ajustes de habilitacin/inhabilitacin. En efecto, esto significa que puede
combinar diferentes modelos del dispositivo IVE en un clster, pero al hacerlo
puede limitar el uso del puerto de administracin para todo el clster.
El puerto de administracin no est disponible en ningn dispositivo distinto al
SA 6000. Si habilita el nodo de administracin en un nodo SA 6000, el trfico de
administracin desde dicho nodo viaja a travs del puerto de administracin. Sin
embargo, el trfico desde nodos distintos de SA 6000 viaja a travs del puerto
interno.
Importacin de las configuraciones a un sistema con el puerto de administracin

habilitado
Si importa una configuracin de un sistema que no admite un puerto de
administracin a un sistema que tiene habilitado un puerto de administracin y lo
importa todo, incluidas las licencias, parecer que se ha eliminado el puerto de
administracin en el sistema objetivo. El puerto de administracin en realidad sigue
estando operativo y reaparecer junto con su configuracin original cuando vuelva
a aplicar la licencia del puerto de administracin para el sistema objetivo. Si
importa al objetivo pero especifica la opcin Import everything except network
settings and licenses, el puerto de administracin y su configuracin persisten en
el sistema objetivo y el puerto es operativo.
746
Captulo 27
Certificados
Un IVE usa PKI para proteger los datos que enva a los clientes a travs de Internet.
PKI (infraestructura de claves pblicas) es un mtodo de seguridad que usa claves
pblicas y privadas para encriptar y desencriptar informacin. Estas claves se
habilitan y almacenan mediante certificados digitales. Un certificado digital es un
archivo electrnico encriptado emitido que establece las credenciales de un
servidor Web o de un usuario para las transacciones cliente-servidor.
Un IVE usa los siguientes tipos de certificados digitales para establecer las
credenciales y proteger las transacciones de sesiones del IVE:
Certificados de dispositivos: Un certificado de dispositivo ayuda a proteger el

trfico de la red desde y hacia un dispositivo IVE, usando elementos como el
nombre de la empresa, una copia de la clave pblica de la empresa, la firma
digital de la autoridad de certificacin (CA) que emiti el certificado, un nmero
de serie y la fecha de vencimiento. Para obtener ms informacin, consulte
Uso de certificados de dispositivo en la pgina 750.
CA de cliente de confianza: Un CA de cliente confianza es un certificado del

lado cliente emitido por una autoridad de certificacin (CA) que permite
controlar el acceso a los territorios, roles y directivas de recursos basndose en
los certificados o sus atributos. Por ejemplo, puede especificar que los usuarios
deban presentar un certificado del lado cliente vlido con el atributo OU
configurado en suempresa.com para iniciar sesin en el territorio de
autenticacin Users. Para obtener ms informacin, consulte Uso de CA de
cliente de confianza en la pgina 758.
CA de servidor de confianza: Un CA de servidor de confianza es el certificado de

un servidor Web en que confa. Si tiene una licencia de exploracin Web, puede
instalar una CA de servidor de confianza en el IVE para validar las credenciales
de los sitios Web a las que acceden los usuarios a travs del dispositivo IVE.
Para obtener ms informacin, consulte Uso de CA del servidor de confianza
en la pgina 774.
Certificados de firma de cdigo: Un certificado de firma de cdigo (tambin

llamado certificado de applet) es un tipo de certificado del lado servidor que
vuelve a firmar los applets de Java intermediados por el IVE. Puede usar el
certificado de firma de cdigo de autofirma que viene precargado en un
dispositivo IVE o puede instalar su propio certificado de firma de cdigo.
Para obtener ms informacin, consulte Uso de certificados de firma de
cdigo en la pgina 776.
749
En una configuracin bsica del IVE, los nicos certificados necesarios son un
certificado de dispositivo y un certificado de firma de cdigo. El dispositivo IVE
puede usar un certificado de firma de cdigo nico para volver a firmar todos los
applets de Java y un certificado de dispositivo nico para intermediar todas las otras
interacciones basadas en PKI. No obstante, si los certificados bsicos no satisfacen
sus necesidades, puede instalar varios certificados de dispositivo y de applet en un
dispositivo IVE o usar certificados de CA de confianza para validar usuarios.
NOTA: El IVE puede verificar los certificados que usa SHA2 como la sntesis del
mensaje.
NOTA: Actualmente no se admiten los certificados DSA.
Esta seccin contiene la siguiente informacin sobre certificados:
Licencia: Disponibilidad de certificados en la pgina 750
Uso de certificados de dispositivo en la pgina 750
Uso de CA de cliente de confianza en la pgina 758
Uso de CA del servidor de confianza en la pgina 774
Uso de certificados de firma de cdigo en la pgina 776
Licencia: Disponibilidad de certificados

Las caractersticas de administracin de certificados son una parte integral del
marco de administracin del IVE: todos los productos Secure Access incluyen
algunas caractersticas de administracin de certificados. Sin embargo, si es
administrador de SA 700, tenga en cuenta que las caractersticas de administracin
de CA de servidor de confianza y de certificados de firma de cdigo slo estn
disponibles si tiene una licencia de actualizacin de Acceso sin cliente de ncleo.
Uso de certificados de dispositivo

Un certificado de dispositivo ayuda a proteger el trfico de la red desde y hacia un
dispositivo IVE usando elementos como el nombre de la empresa, una copia de la
clave pblica de la empresa, la firma digital de la autoridad de certificacin (CA) que
emiti el certificado, un nmero de serie y la fecha de vencimiento.
Al recibir datos encriptados de un IVE, el explorador del cliente primero comprueba
si el certificado del IVE es vlido y si el usuario confa en la CA que emiti el
certificado del IVE. Si el usuario an no ha indicado que confa en el emisor del
certificado del IVE, el explorador de Web le solicita al usuario que acepte o instale el
certificado del IVE.
750
Licencia: Disponibilidad de certificados
Captulo 27: Certificados
Cuando inicializa un IVE, crea localmente un certificado digital temporal de

autofirma que permite que los usuarios comiencen de inmediato a usar el IVE.
Tenga en cuenta que la encriptacin del certificado de autofirma creado durante la
inicializacin es perfectamente segura, pero los usuarios vern una alerta de
seguridad cada vez que inicien sesin en el IVE porque el certificado no fue emitido
por una autoridad de certificacin (CA) de confianza. Para fines de produccin, se
recomienda que obtenga un certificado digital de una CA de confianza.
El IVE admite certificados de dispositivo X.509 en formato de codificacin DER
y PEM (extensiones de archivos que incluyen .cer, .crt, .der, y .pem) as como PKCS
#12 (extensiones de archivo que incluyen .pfx y .p12). El IVE tambin admite el uso
de las siguientes caractersticas adicionales con certificados de dispositivo:
Certificados intermedios de CA de dispositivo: Dentro de una jerarqua de

certificados, uno o ms certificados intermedios se excluyen de un certificado
raz nico.
Certificados de varios dispositivos: Al usar certificados de varios dispositivos,

cada certificado maneja la validacin de un nombre de host separado o un
nombre de dominio totalmente clasificado (FQDN) y puede ser emitido por una
CA diferente.
Esta seccin contiene las siguientes instrucciones para trabajar con certificados de
dispositivos:
Importacin de certificados en el IVE en la pgina 751
Descarga de un certificado de dispositivo del IVE en la pgina 754
Creacin de una solicitud de firma de certificado (CSR) para un nuevo

certificado en la pgina 754
Uso de los certificados de CA de servidor intermedio en la pgina 755
Uso de varios certificados de dispositivo del IVE en la pgina 756
Importacin de certificados en el IVE

Esta seccin contiene las siguientes instrucciones de importacin:
Importacin de un certificado raz existente y una clave privada en la

pgina 752
Importacin de un certificado renovado que usa la clave privada existente en

la pgina 753
Uso de certificados de dispositivo 751
Importacin de un certificado raz existente y una clave privada

Puede crear certificados de servidor Web a partir de servidores como Apache, IIS,
Sun ONE (anteriormente denominado iPlanet) o Netscape, e importar el certificado
al IVE. Para exportar un certificado y una clave de servidor digital, siga las
instrucciones del servidor Web para la exportacin de certificados. Use la ficha
Device Certificates para importar estos archivos.
NOTA:
Al exportar un certificado de otro servidor Web, tenga en cuenta que se debe

encriptar y debe exportar la contrasea con el certificado.
No puede importar la clave privada de un certificado de servidor Web a un

equipo con Secure Access FIPS, dado que la clave se crea en un entorno no
compatible con FIPS. Sin embargo, puede importar una clave de certificado
de otro IVE junto con su entorno de seguridad. Para obtener ms informacin,
consulte Importacin y exportacin de archivos de configuracin del IVE en
la pgina 787.
Para importar un certificador de servidor de raz existente y una clave privada:

Certificates > Device Certificates.
2. Haga clic en Import Certificate & Key.
NOTA: esta opcin no se encuentra disponible en plataformas FIPS ya que no se
admite la importacin de claves privadas. En un sistema FIPS, slo puede crear

una CSR e importar un certificado firmado de la CSR.
3. Elija el formulario adecuado para importar el certificado.
Si el certificado y la clave estn en un solo archivo, use el formulario If

certificate file includes private key.
Si el certificado y la clave estn en archivos distintos, use el formulario If

certificate and private key are separate files.
Si el certificado y la clave estn en un archivo de configuracin del sistema,

use el formulario Import via System Configuration file. Cuando elige esta
opcin, el IVE importa todos los certificados especificados en el archivo de
configuracin en la pgina Device Certificates (incluyendo las claves
privadas y CSR pendientes, pero no las asignaciones de puerto
correspondientes).
4. En el formulario correspondiente, busque el certificado y archivo de clave. Si el

archivo est encriptado, introduzca una clave de contrasea.
5. Haga clic en Import.
752
Importacin de un certificado renovado que usa la clave privada

existente
Puede renovar un certificado de dispositivo de dos formas:
Submit a new CSR to a CA: Este proceso de renovacin de un certificado es

ms seguro porque la CA genera un certificado y una clave privada nuevos,
eliminando la clave anterior. Para usar este mtodo de renovacin, primero
debe crear una CSR mediante la consola de administracin. Para obtener ms
informacin, consulte Creacin de una solicitud de firma de certificado (CSR)
para un nuevo certificado en la pgina 754.
NOTA: No puede importar la clave privada de un certificado de servidor Web a un

equipo con Secure Access FIPS, dado que la clave se crea en un entorno no
compatible con FIPS.
Request renewal based on the CSR previously submitted to the CA: Este
proceso de renovacin de un certificado es menos seguro porque la CA genera
un certificado que usa la clave privada existente.
NOTA: Cuando solicite un certificado renovado, debe volver a enviar la CSR

original o asegurarse de que la CA tiene un registro de la CSR que envi para su
certificado actual.
Para importar un certificado renovado de dispositivo que usa la clave privada

existente.
1. Siga las instrucciones de la CA para renovar un certificado que haya adquirido.
NOTA: Asegrese de especificar la misma informacin que us en la CSR original.
Su CA usa esta informacin para crear un nuevo certificado que corresponde con
la clave existente.
Aunque especifique la misma informacin utilizada en la CSR original, la CA raz

puede tener nmeros de serie y claves diferentes al original. Es posible que deba
admitir los certificados cliente nuevo y antiguo durante el perodo de transicin, lo
que quiere decir que deber mantener dos certificados de CA raz (el certificado
existente y el renovado) por un tiempo.
3. Si desea renovar un certificado intermedio, haga clic en el vnculo
Intermediate Device CAs en la parte superior de la pgina.
4. Haga clic en el vnculo que corresponda al certificado que desea renovar.
5. Haga clic en Renew Certificate.
6. En el formulario Renew the Certificate, busque el archivo de certificado
renovado, introduzca la contrasea para la clave de certificado y haga clic en
Import.
Descarga de un certificado de dispositivo del IVE

Por ejemplo, si crea una directiva de recursos SAML, debe crear una relacin de
confianza entre el IVE y el sistema de administracin de acceso. (Las relaciones de
confianza garantizan que los sistemas habilitados por SAML slo pasarn
informacin desde y hacia orgenes de confianza.) Si decide crear una directiva de
recursos SAML SSO mediante el perfil POST, parte de la creacin de una relacin de
confianza implica instalar el certificado del dispositivo IVE en el sistema de
administracin de acceso. La pgina Device Certificates permite descargar
fcilmente el certificado del dispositivo IVE para que pueda instalarlo en el sistema
de administracin de acceso.
Para descargar un certificado de dispositivo del IVE:
2. Haga clic en el vnculo que corresponda al certificado que desea guardar.
3. Haga clic en Download.
4. Busque la ubicacin en que desea guardar el certificado y haga clic en Save.
Creacin de una solicitud de firma de certificado (CSR) para un nuevo certificado

Si su empresa no posee un certificado digital para sus servidores Web o si est
ejecutando un sistema Secure Access FIPS, puede crear una CSR (solicitud de firma
de certificado) mediante la consola de administracin y enviar luego la solicitud
a una CA para su procesamiento. Cuando crea una CSR mediante la consola de
administracin, se crea localmente una clave privada que corresponde con la CSR.
Si elimina la CSR en cualquier punto, este archivo tambin se elimina, lo que le
impide instalar un certificado firmado generado de la CSR.
NOTA: No enve ms de una CSR a una CA a la vez, ya que podran cobrrsela

varias veces. Puede ver los detalles de cualquier solicitud pendiente que envi
previamente, haciendo clic en el vnculo Certificate Signing Request Details de la
ficha Device Certificates.
Para crear una solicitud de firma de certificado:

2. Haga clic en New CSR.
3. Introduzca la informacin requerida y haga clic en Create CSR.
4. Siga las instrucciones en pantalla que explican la informacin que debe enviar
al CA y cmo enviarla.
754
5. Cuando recibe el certificado firmado de la CA, importe el archivo de certificado

siguiendo las siguientes que aparecen a continuacin.
NOTA: Al enviar una CSR a una autoridad de CA, es posible que se solicite que
especifique el tipo de servidor Web en que se cre el certificado o el tipo de
servidor Web en que se usar. Seleccione apache (si hay ms de una opcin que
tenga disponible apache, elija una cualquiera). Asimismo, si se le solicita indicar el
formato del certificado que descargar, seleccione el formato estndar.
Importacin de un certificado firmado creado a partir de una CSR

Si crea una CSR mediante la consola de administracin, el IVE muestra un vnculo
Pending CSR para la CSR en la ficha Device Certificates hasta que importe el
certificado de dispositivo firmado distribuido por la autoridad de certificacin (CA).
Para importar un certificado de dispositivo firmado que se cre a partir de una CSR:
2. Debajo de Certificate Signing Requests, haga clic en el vnculo Pending CSR
que corresponde al certificado firmado.
3. En Import signed certificate, explore el archivo de certificado que recibi
desde la CA y haga clic en Import.
Uso de los certificados de CA de servidor intermedio

Dentro de una jerarqua de certificados, uno o ms certificados intermedios se
excluyen de un certificado raz nico. Una autoridad de certificacin (CA) raz emite
el certificado raz y se firma de manera automtica. Cada certificado intermedio lo
emite el certificado superior en la cadena.
Si protege el trfico usando certificados encadenados, debe asegurarse de que el
IVE y el explorador de Web en conjunto contengan la cadena de certificados
completa. Por ejemplo, puede optar por proteger el trfico usando una cadena que
tiene su origen en un certificado raz Verisign. Suponiendo que los exploradores de
los usuarios vienen precargados con los certificados raz Verisign, slo debe instalar
los certificados de nivel inferior en la cadena del IVE. Cuando los usuarios busquen
en el IVE, el IVE presenta cualquier certificado requerido dentro de la cadena en el
explorador para proteger la transaccin. (El IVE crea los vnculos correspondientes
en la cadena usando el IssuerDN del certificado raz). Si de forma conjunta el IVE
y el explorador no contienen toda la cadena, el explorador del usuario no
reconocer ni confiar en el certificado de dispositivo del IVE porque lo emiti otro
certificado en lugar de la CA de confianza.
Para obtener informacin sobre los certificados cliente encadenados, consulte
Habilitacin de jerarquas de CA cliente en la pgina 767.
Al instalar certificados mediante el IVE, puede instalarlos en cualquier orden. El IVE
admite la carga de una o ms CA intermedias en un archivo PEM.
Para importar un certificador de dispositivo intermedio y una clave privada:

2. Haga clic en el vnculo Intermediate Device CAs en la parte superior de la
pgina.
3. Haga clic en Import CA certificate.
4. Busque el certificado de CA que desea cargar en el IVE y haga clic en Import
Certificate.
Uso de varios certificados de dispositivo del IVE

Al usar varios certificados de dispositivos IVE, cada certificado maneja la validacin
de un nombre de host separado o un nombre de dominio totalmente clasificado
(FQDN) y puede ser emitido por una CA diferente. Puede usar varios certificados
raz en conjunto con varias URL de inicio de sesin. Con la caracterstica de varias
URL de inicio de sesin, puede otorgar acceso al IVE desde varios nombres de host
creando una URL de inicio de sesin diferente para cada nombre de host o FQDN.
A continuacin, puede crear pginas de inicio de sesin y requisitos de
autenticacin diferentes para cada URL de inicio de sesin. Para obtener ms
informacin, consulte Directivas de inicio de sesin en la pgina 211. Con la
caracterstica de certificados de dispositivos mltiples, puede usar certificados
diferentes para validar usuarios que inician sesin en cada uno de esos nombres de
host o FQDN. Por ejemplo, puede asociar un certificado con el sitio
partners.yourcompany.com y otro con el sitio employees.yourcompany.com.
Resumen de tareas: habilitacin de varios certificados de dispositivo

Para habilitar varios certificados de dispositivo, debe:
1. Especificar las direcciones IP desde las que los usuarios pueden acceder al IVE
y crear un puerto virtual para cada una. Un puerto virtual activa un alias de IP
en un puerto fsico. Para crear puertos virtuales para:
756
Usuarios internos: Use los ajustes de la ficha System > Network >
Internal Port > Virtual Ports para crear puertos virtuales para usuarios
como empleados que inician sesin en el IVE desde dentro de su red
interna. Para obtener instrucciones, consulte Configuracin de puertos
virtuales en la pgina 711.
Usuarios externos: Use los ajustes de la ficha System > Network >
Port 1 > Virtual Ports para crear puertos virtuales para usuarios como
clientes y socios que inician sesin en el IVE desde fuera de su red interna.
Para obtener instrucciones, consulte Configuracin de puertos virtuales
en la pgina 711.
2. Cargue los certificados de dispositivo en el IVE. Puede importar certificados

desde la pgina System > Configuration > Certificates > Device
Certificates de la consola de administracin o la pgina Maintenance >
Import/Export > System Configuration de la consola de administracin.
Cargue un certificado de dispositivo para cada dominio (nombre de host) que
desee hospedar en el IVE. Para obtener instrucciones, consulte Importacin de
un certificado raz existente y una clave privada en la pgina 752.
3. Especifique los puertos virtuales que el IVE debe asociar con los certificados
usando los ajustes de la ficha System > Configuration > Certificates >
Device Certificates. Cuando un usuario intenta iniciar sesin en el IVE usando
la direccin IP definida en un puerto virtual, el IVE usa el certificado asociado
con el puerto virtual para iniciar la transaccin SSL. Para obtener instrucciones,
consulte Asociacin de un certificado con un puerto virtual en la pgina 757.
Asociacin de un certificado con un puerto virtual

Si decide asociar varios nombres de host con un IVE nico, debe especificar los
certificados que el IVE usar para validar a los usuarios que inician sesin con
nombres de host diferentes. Las opciones son:
Asociar todos los nombres de host con un certificado comodn nico: Con
este mtodo, usa un certificado comodn nico para validar a todos los
usuarios, sin importar el nombre de host que usen para iniciar sesin en el IVE.
Un certificado comodn incluye un elemento variable en el nombre de dominio,
lo que hace posible que los usuarios inicien sesin en varios host para asignar
el mismo dominio. Por ejemplo, si crea un certificado comodn para
*.yourcompany.com, el IVE usa el mismo certificado para autenticar usuarios
que inician sesin en employees.yourcompany.com que para autenticar a los
usuarios que inician sesin en partners.yourcompany.com.
Asociar cada nombre de host con su propio certificado: Con este mtodo,
asocia nombres de host distintos con certificados diferentes. Sin embargo,
dado que el IVE no conoce el nombre de host que usa el usuario final para
iniciar sesin en el IVE, debe crear un puerto virtual para cada nombre de host
y luego asociar los certificados con los puertos virtuales. Un puerto virtual activa
un alias de IP en un puerto fsico. Por ejemplo, puede optar por crear dos
puertos virtuales en un dispositivo nico, asignando el primer puerto virtual a la
direccin IP 10.10.10.1 (sales.yourcompany.com) y el segundo puerto virtual
a la direccin IP 10.10.10.2 (partners.yourcompany.com). Puede asociar cada
uno de estos puertos virtuales con su propio certificado, asegurndose de que
el IVE autentica usuarios diferentes mediante certificados diferentes.
Para asociar certificados diferentes con puertos virtuales diferentes:

1. En la consola de administracin, navegue hasta la ficha System > Network >
Internal Port o la ficha Port 1. Cree sus propios puertos virtuales usando los
ajustes de la pgina Virtual Ports.
2. Importe los certificados de dispositivo que desea usar para validar los
certificados de usuario. Puede importar certificados desde la pgina System >
Configuration > Certificates > Device Certificates de la consola de
administracin o la pgina Maintenance > Import/Export > System
Configuration de la consola de administracin.
3. En la pgina System > Configuration > Certificates > Device Certificates,

haga clic en el vnculo que corresponda a un certificado que desee usar para
validar los certificados de usuario.
4. En Present certificate on these ports, especifique los puertos que el IVE debe
asociar con el certificado; puede elegir puertos internos o externos y puertos
principales o virtuales, pero no puede elegir un puerto que ya est asociado con
otro certificado.
6. Repita los pasos del 3 al 6 para cada uno de los certificados que desea usar para
autenticar usuarios.
Uso de CA de cliente de confianza

Una CA de cliente de confianza es una autoridad de certificacin (CA) en que el IVE
confa. El IVE confa en cualquier certificado emitido por esa CA. Para usar los
certificados de CA de cliente, debe instalar y habilitar los certificados
correspondientes en el IVE. Adems, debe instalar los certificados del lado cliente
correspondientes en los exploradores de Web de sus usuarios finales o usar la
combinacin de Certificados MMC en las cuentas de equipos de los usuarios
(certificado de equipo). Al validar un certificado de CA del lado cliente, el IVE
comprueba que el certificado no ha vencido ni est corrupto y que est firmado por
una CA que el IVE reconozca. Si el certificado de CA est encadenado (se describe
a continuacin), el IVE tambin sigue la cadena de emisores hasta que llega a la CA
raz, comprobando la calidez de cada emisor. El IVE admite certificados de CA
X.509 en los formatos de codificacin DER y PEM.
Al instalar un certificado del lado cliente, debe determinar si desea usarlo para
identificar a usuarios o a equipos individuales. Para usar el certificado para
identificar a usuarios individuales, debe instalarlo en el almacn de certificados
individual de cada usuario. Debe habilitar la autenticacin mediante la consola de
administracin del IVE usando el servidor de certificados (como se explica en
Configuracin de una instancia de servidor de certificados en la pgina 126)
o habilitar la autorizacin usando los ajustes de territorio, roles o directiva de
recursos (como se explica en Especificacin de las restricciones del certificado del
lado cliente en la pgina 765). Para usar el certificado para identificar a equipos
individuales, debe instalarlo en el almacn de certificados de cada equipo. Debe
configurar la directiva de Host Checker que comprueba el certificado del equipo
y autoriza el acceso a los territorios, roles o directivas de recursos segn la validez
del certificado (como se explica en Especificacin de requisitos personalizados
usando reglas personalizadas en la pgina 276).
758
El IVE admite el uso de las siguientes caractersticas adicionales con certificados

de CA:
Servidores de certificados: Un servidor de certificados es un tipo de servidor de

autenticacin local que permite autenticar a los usuarios del IVE basndose
exclusivamente en sus atributos del certificado en lugar de autenticarlos en un
servidor de autenticacin estndar (como LDAP o RADIUS), as como exigir
certificados especficos o atributos de certificados. Para obtener ms
informacin, consulte Configuracin de una instancia de servidor de
certificados en la pgina 126.
Jerarquas de certificados: Dentro de una jerarqua de certificados, uno o ms

certificados subordinados (denominados certificados intermedios) se excluyen
de un certificado raz creando una cadena de certificados. Cada certificado
intermedio (tambin denominado certificado encadenado) maneja solicitudes
para una parte del dominio de la CA raz. Por ejemplo, puede crear un
certificado raz que maneja todas las solicitudes para el dominio
yourcompany.com y excluye los certificados intermedios que manejan
solicitudes en partners.yourcompany.com y employees.yourcompany.com.
Cuando instala un certificado encadenado en el IVE, el dispositivo confirma
que la cadena es vlida y permite que los usuarios se autentiquen usando el
certificado de hoja (es decir, el certificado de rango inferior de la cadena).
Para obtener ms informacin, consulte Habilitacin de jerarquas de CA
cliente en la pgina 767.
Listas de revocacin de certificados: La revocacin de certificados es un

mecanismo mediante el cual una CA deja sin validez a un certificado antes de
su fecha de vencimiento. Una lista de revocacin de certificados (CRL) es una
lista de certificados revocados publicada por una CA. Dentro de la CRL, cada
entrada contiene el nmero de serie del certificado revocado, la fecha en que se
revoc y el motiv por el cual se revoc. La CA puede dejar sin validez un
certificado por varios motivos: por ejemplo, el empleado al que se emiti el
certificado ya no trabaja en la empresa, la clave privada del certificado es
vulnerable o el certificado del lado cliente fue robado o se perdi. Una vez que
la CA revoca un certificado, el IVE puede denegar el acceso correspondiente
a los usuarios que presentan un certificado revocado. Para obtener ms
informacin, consulte Habilitacin de CRL en la pgina 768.
NOTA: Si tiene una licencia de usuario, slo puede instalar un certificado de CA

raz en el IVE y validar a los usuarios usando uno de los certificados de CA del lado
cliente correspondientes.
Habilitacin de CA de cliente de confianza

Si exige que los usuarios proporcionen un certificado del lado cliente para iniciar
sesin en el IVE, debe cargar el certificado de CA correspondiente en el IVE.
Puede cargar certificados de CA manualmente o configurar el IVE para cargar los
certificados de CA automticamente. El IVE usa el certificado cargado para verificar
que el certificado enviado a travs del explorador es vlido. Adems, puede
especificar si desea o no importar automticamente los certificados de CA para
su validacin y el mtodo de recuperacin de CRL/OCSP que usar el IVE cuando
importe de manera automtica los certificados de CA.
759
NOTA:
Al usar certificados del lado cliente, se recomienda encarecidamente

aconsejar a los usuarios que cierren sus exploradores de Web despus de
cerrar sesin en el IVE. De lo contrario, otros usuarios pueden usar las
sesiones abiertas en el explorador para obtener acceso a recursos protegidos
por el certificado en el IVE sin volver a autenticarse. Despus de cargar un
certificado del lado cliente, tanto Internet Explorer como Netscape colocan
las credenciales y claves privadas en certificado en la memoria cach.
El explorador guarda esta informacin en memoria cach hasta que el usuario
cierra el explorador (o en algunos casos, hasta que se reinicia la estacin de
trabajo). Para obtener ms detalles, consulte:
http://support.microsoft.com/?kbid=290345.) Para recordar a los usuarios que
cierren sus exploradores, puede modificar el mensaje de cierre de sesin en la
ficha Authentication > Signing In > Sign-in Pages.
La carga de un certificado de CA en el IVE no habilita la autenticacin ni

autorizacin SSL del lado cliente. Para habilitar la autenticacin o la
autorizacin, debe usar un servidor de certificado (como se explica en
Configuracin de una instancia de servidor de certificados en la
pgina 126), habilitar las restricciones de certificados en el nivel de territorio,
rol o directiva de recursos (como se explica en Especificacin de las
restricciones del certificado del lado cliente en la pgina 765) o crear una
directiva de Host Checker que compruebe el certificado de un equipo (como
se explica en Especificacin de requisitos personalizados usando reglas
personalizadas en la pgina 276).
Si tiene una sola licencia de usuario del IVE estndar, slo puede importar un
certificado de CA al IVE.
Cuando carga una cadena de certificados en el IVE, debe instalar los

certificados uno a uno en orden descendiente, comenzando con el certificado
raz (archivos DER o PEM) o debe cargar un solo archivo en el IVE que
contenga toda la cadena de certificados (slo archivos PEM). Al usar uno de
estos mtodos, se asegura de que el IVE pueda vincular los certificados en el
orden correcto.
Esta seccin contiene las siguientes instrucciones de certificado de CA:
760
Importacin automtica de un certificado de CA en la pgina 761
Cargar manualmente certificados de CA en la pgina 762
Especificacin de atributos para el certificado de CA de cliente de confianza

en la pgina 763
Especificacin de las restricciones del certificado del lado cliente en la

pgina 765
Importacin automtica de un certificado de CA

Para importar y especificar automticamente las opciones de un certificado de CA
de cliente de confianza en el IVE:
Certificates > Trusted Client CAs.
2. Haga clic en Auto-import options. Aparecer la pgina Auto-import options.
3. Haga clic en Auto-import Trusted CAs.
4. En Client certificate status checking, especifique el mtodo que el IVE usa
para verificar el estado del certificado cliente:
None: Especifica que el IVE no debe validar este certificado de cliente de

confianza.
Use OCSP: Especifica que el IVE debe usar el mtodo de OCSP, validando el
certificado cliente en tiempo real, segn sea necesario. Despus de
seleccionar esta opcin, puede especificar opciones para OCSP segn se
describe en Especificacin de las restricciones del certificado del lado
Use CRLs: Especifica que el IVE no debe usar la CRL para validar el
certificado cliente. Despus de seleccionar esta opcin, puede especificar
opciones para OCSP segn se describe en Especificacin de las opciones
de CDP en la pgina 769.
Use OCSP with CRL fallback: Especifica que el IVE debe usar el mtodo
de validacin de OCSP cuando sea posible, pero intentar validar los
certificados cliente usando la CRL si el mtodo OCSP falla (por ejemplo,
si el vnculo al respondedor OCSP falla). Despus de seleccionar esta
opcin, puede especificar opciones para OCSP segn se describe en
pgina 765 y para CDP segn se describe en Especificacin de las
opciones de CDP en la pgina 769.
5. En CDP(s)/OCSP responder, especifique el mtodo de recuperacin de

CRL/OCSP de la lista desplegable asociada:
None: Especifica que el IVE no usa un mtodo de recuperacin de

CRL/OCSP.
From client certificate: Especifica que el IVE usa un mtodo de

recuperacin de CRL/OCSP encontrado en el certificado cliente.
From trusted CA certificates: Especifica que el IVE usa un mtodo de

recuperacin de CRL/OCSP encontrado en el certificado de CA de cliente de
confianza.
6. Habilite la opcin Verify imported CA certificates si desea que el IVE valide la

CRL desde la que se emiti el certificado.
7. Haga clic en Save.
761
8. Use uno de los siguientes mtodos para especificar cmo el IVE debe usar el
certificado para autenticar usuarios o autorizar el acceso a los recursos:
Use un servidor de certificados para autenticar a usuarios individuales

como se explica en Configuracin de una instancia de servidor de
certificados en la pgina 126,
Use los ajustes de territorio, rol y directiva de recursos para autorizar el

acceso de usuarios individuales a los recursos como se explica en
pgina 765,
Use una directiva de Host Checker para autorizar que equipos individuales
accedan a los recursos como se explica en Especificacin de requisitos
Cargar manualmente certificados de CA

Para cargar manualmente certificados de CA en el IVE:
1. Instale un certificado de usuario del lado cliente o un certificado de equipo
mediante el explorador de Web del usuario. Para obtener ayuda, consulte las
instrucciones del explorador.
3. Haga clic en Import CA Certificate. Aparecer la pgina Import Trusted
Client CA.
Certificate.
5. En Client certificate status checking, especifique el mtodo que el IVE usa
para verificar el estado del certificado cliente:
762

confianza.
Use OCSP with CRL fallback: Especifica que el IVE debe usar el mtodo de
validacin de OCSP cuando sea posible, pero intenta validar los certificados
cliente usando la CRL si el mtodo OCSP falla (por ejemplo, si el vnculo al
respondedor OCSP falla). Despus de seleccionar esta opcin, puede
especificar opciones para OCSP segn se describe en Especificacin de las
restricciones del certificado del lado cliente en la pgina 765 y para CDP
segn se describe en Especificacin de las opciones de CDP en la
pgina 769.
6. Habilite la opcin Verify Trusted Client CA si desea que el IVE valide la CRL
desde la que se emiti el certificado.
7. Habilite la opcin Verify for Client Authentication? si desea que el IVE confe
en este certificado al autenticar certificados cliente. Si agreg este certificado
para fines no relacionados con la autenticacin (como la verificacin de firma
de SAML o la validacin del certificado del equipo), inhabilite esta opcin,
indicando que el IVE no debe confiar en el certificado cliente emitido por
esta CA.
Despus de haber importado manualmente el certificado de CA, puede
especificar los atributos del certificado de CA como se describe en
Especificacin de atributos para el certificado de CA de cliente de confianza
en la pgina 763.
9. Use uno de los siguientes mtodos para especificar cmo el IVE debe usar el
certificado para autenticar usuarios o autorizar el acceso a los recursos:
Use un servidor de certificados para autenticar a usuarios individuales

como se explica en Configuracin de una instancia de servidor de
certificados en la pgina 126,
Use los ajustes de territorio, rol y directiva de recursos para autorizar el

acceso de usuarios individuales a los recursos como se explica en
pgina 765,
Use una directiva de Host Checker para autorizar que equipos individuales
accedan a los recursos como se explica en Especificacin de requisitos
Especificacin de atributos para el certificado de CA de cliente de

confianza
Para especificar atributos para el certificado de CA de cliente de confianza:
2. Haga clic en el certificado que desea ver. Aparece la pgina Trusted Client CA
que muestra toda la informacin sobre el certificado que seleccion.
763
3. En Certificate, use la flecha situada junto a los siguientes nombres de campo

para ver los detalles del certificado:
Issued To: Nombre y atributos de la entidad a la que se emite el certificado.
Issued By: Nombre y atributos de la entidad que emiti el certificado.

Tenga en cuenta que el valor de este campo debe coincidir con el campo
Issued To (para certificados raz) o el campo Issued To del siguiente
certificado superior en la cadena (para certificados intermedios).
Valid Dates: Rango de horas que el certificado es vlido. Si el certificado

est vencido, consulte las instrucciones en Importacin de un certificado
renovado que usa la clave privada existente en la pgina 753.
Details: Incluye varios detalles de certificados, que contienen la versin,

nmero de serie, algoritmo de firma, puntos de distribucin de la CRL, tipo
de algoritmo de clave pblica y la clave pblica. Tenga en cuenta que el IVE
puede mostrar un punto de distribucin de la CRL en el campo Details, no
comprueba el CDP a menos que lo habilite. Para obtener ms informacin,
consulte Habilitacin de CRL en la pgina 768.
4. Si desea renovar el certificado:

a.
Haga clic en Renew Certificate.
b.
Busque el certificado de CA renovado que desea cargar en el IVE y haga clic

en Import Certificate.
5. En CRL checking for client certificates, vea los detalles de las CRL que estn
habilitadas para este certificado:
764
Enable: Muestra una marca de verificacin si el IVE est configurado para

usar la CRL de este CDP.
CRL Distribution Points: Ubicacin del punto de distribucin de la CRL con

el que se validan los certificados cliente. Este campo tambin indica si el
ltimo intento de descarga de la CRL del CDP fue correcto o no.
Status: Indica el estado de la CRL (OK, No CRL, Expired, Download in

progress), el tamao de CRL y el nmero de revocaciones incluidas en
la CRL.
Last Updated: Indica la ltima vez que el IVE descarg una CRL del punto
de distribucin de la CRL especificado. Tambin contiene un vnculo para
guardar la versin actual de la CRL del IVE.
Next Update: Indica la siguiente hora de descarga segn el intervalo

especificado en el punto de distribucin de la CRL. Tenga en cuenta que
el intervalo de descarga se especifica en la CRL y en la pgina de
configuracin de la CRL del IVE (como CRL Download Frequency):
el tiempo real de descarga es el menor de los dos intervalos, sin importar
lo que se muestra en la columna Next Update.
6. En la seccin Client Certificate Status Checking, especifique el mtodo que

usa el IVE para validar el certificado cliente:

confianza.
Use OCSP with CRL fallback: Especifica que el IVE debe usar el mtodo de
validacin de OCSP cuando sea posible, pero intenta validar los certificados
cliente usando la CRL si el mtodo OCSP falla (por ejemplo, si el vnculo al
respondedor OCSP falla). Despus de seleccionar esta opcin, puede
especificar opciones para OCSP segn se describe en Especificacin de las
restricciones del certificado del lado cliente en la pgina 765 y para CDP
segn se describe en Especificacin de las opciones de CDP en la
pgina 769.
7. Habilite la opcin Verify Trusted Client CA para indicar al IVE que valide la CA
de cliente de confianza.
Especificacin de las restricciones del certificado del lado cliente

Use una restriccin de certificado para exigir que los equipos cliente tengan un
certificado del lado cliente vlido a fin de obtener acceso a una pgina de inicio de
sesin del IVE, se les asigne un rol u obtengan acceso a un recurso. Si usa esta
caracterstica, asegrese de importar un certificado de CA para verificar el
certificado del lado cliente. Para maximizar la seguridad de esta caracterstica,
asegrese de que los ajustes de cliente del usuario estn configurados para que
soliciten al usuario que introduzca una contrasea cada vez que inicia sesin. El
ajuste predeterminado para algunas versiones de explorador es recordar la
contrasea del certificado, lo que quiere decir que al usuario no se le solicitar esta
informacin de inicio de sesin adicional despus de instalar el certificado.
Para especificar restricciones de certificado:
1. Busque: System > Configuration > Certificates > Trusted Client CAs
y especifique la autoridad de certificacin raz que desea usar para validar las
restricciones de certificado del lado cliente que habilita en los niveles de
territorio, rol y directiva de recursos.
765
2. Seleccione el nivel en que desea implementar las restricciones de certificado:
Nivel de territorio: Dirjase a:

Authentication Policy > Certificate

Policy > Certificate
Nivel de rol: Dirjase a:
Restrictions > Certificate
Seleccionar|Crear regla > Custom Expression
Certificate
Nivel de directiva de recursos: Dirjase a: Users > Resource Policies >

Seleccionar|Crear regla > Campo de condicin
Allow all users (no client-side certificate required): No requiere que el

cliente de usuario tenga un certificado del lado cliente.
Allow all users and remember certificate information while user is

signed in: No requiere que un cliente de usuario tenga un certificado del
lado cliente, pero si el cliente lo tiene, el IVE recuerda la informacin del
certificado durante toda la sesin del usuario.
Only allow users with a client-side certificate signed by Trusted Client

CAs to sign in: Requiere que el cliente del usuario tenga un certificado del
lado cliente para satisfacer el requisito de administracin de acceso. Para
restringir el acceso an ms, puede definir pares exclusivos de valores de
atributos del certificado. Tenga en cuenta que el certificado del usuario
debe tener todos los atributos que defina.
4. Agregue un nombre de campo de certificado y un valor previsto para solicitar

de manera opcional los valores especficos en el certificado cliente. Puede
especificar variables en el campo Expected Value. Por ejemplo, puede agregar
el valor uid al campo Certificate y <userAttr.uid> al campo Expected Value.
NOTA: El atributo de usuario puede provenir de cualquier servidor de autenticacin

que admita atributos. Cualquier nombre de atributo especificado en una
restriccin de certificado se debe incluir en el catlogo de servidores para que los
valores se recopilen durante la autenticacin y se agreguen a los datos de contexto
de la sesin.
766

NOTA:
El IVE admite todos los atributos de nombre completo X.509 (DN) (como
C, CN, L, O, OU).
Los campos attribute y value no distinguen maysculas de minsculas.
Defina slo un valor para cada atributo. Si especifica varios valores, puede
que el certificado del lado cliente no se autentique correctamente con el
certificado de CA.
El IVE actualmente reconoce una direccin de correo electrnico en el

atributo subjectAltName de un certificado.
El IVE puede extraer User Principal Name (UPN) del atributo

subjectAltName. El IVE ubica un UPN Object Identifier (OID) especfico en
el certificado y decodifica el valor. Para representar UPN en el atributo
subjectAltName, use el token <certAttr.altName.UPN>.
Habilitacin de jerarquas de CA cliente

Dentro de una jerarqua de certificados, uno o ms certificados intermedios se
excluyen de un certificado raz nico. Una autoridad de certificacin (CA) raz emite
el certificado raz y se firma de manera automtica. Cada certificado intermedio lo
emite el certificado superior en la cadena.
Para habilitar la autenticacin en un entorno de certificado encadenado, debe
instalar los certificados del lado cliente adecuados en el explorador de Web de cada
usuario y cargar los certificados de CA correspondientes en el IVE.
NOTA: Con una licencia de usuario, no puede instalar una cadena con certificados
emitidos por distintas CA. La CA que firma el certificado de nivel inferior en la
cadena tambin debe firmar todos los otros certificados en la cadena.
Para obtener informacin sobre los certificados de dispositivo encadenados,

consulte Uso de los certificados de CA de servidor intermedio en la pgina 755.
Puede instalar CA cliente mediante la pgina System > Configuration >
Certificates > Trusted Client CAs de la consola de administracin. Al cargar una
cadena de certificado en el IVE, debe usar uno de los siguientes mtodos:
Importar toda la cadena de certificados a la vez: Cuando instale una cadena

de certificados incluida en un archivo nico, el IVE importa el certificado raz
y cualquier subcertificado cuyo certificado principal est en el archivo o en el
IVE. Puede incluir certificados en cualquier orden en el archivo de importacin.
767
Importar los certificados de uno en uno en orden descendente: Cuando

instale una cadena de certificados incluida en varios archivos, el IVE le solicita
que instale primero el certificado raz y luego los certificados encadenados
restantes en orden descendiente.
Cuando instale certificados encadenados usando uno de estos mtodos, el IVE

encadena automticamente los certificados en el orden correcto y los muestra en
orden jerrquico en la consola de administracin.
NOTA: Si instala varios certificados en el explorador de Web de un usuario, el
explorador le solicita al usuario que elija el certificado que se usar cada vez que
inicie sesin en el IVE.
Habilitacin de CRL
Una lista de revocacin de certificados (CRL) es un mecanismo para cancelar un
certificado del lado cliente. Como el nombre indica, una CRL es una lista de
certificados revocados publicada por una CA o un emisor de CRL delegado. El IVE
admite las CRL base, que incluyen todos los certificados revocados de la empresa en
una sola lista unificada.
El IVE sabe qu CRL debe usar al comprobar el certificado del cliente. (Al emitir un
certificado, la CA incluye la informacin de la CRL para el certificado en el
certificado en s.) Para asegurarse de que se recibe la informacin de CRL ms
actualizada, el IVE se comunica peridicamente con un punto de distribucin de
CRL para obtener una lista actualizada de los certificados revocados. Un punto de
distribucin de CRL (CDP) es una ubicacin en el servidor del directorio LDAP
o servidor Web donde una CA publica las CRL. El IVE descarga informacin de la
CRL desde el CDP en el intervalo especificado en la CRL, en el intervalo que
especifique durante la configuracin de CRL y cuando elija descargar manualmente
la CRL. El IVE tambin admite las particin de CRL. La particin de CRL permite
verificar partes de una CRL muy grande sin tener que gastar tiempo ni ancho de
banda necesarios para acceder y validar una CRL muy grande o la recopilacin de
CRL grandes. La particin de CRL slo se habilita en el IVE cuando usa el mtodo
Specify the CDP(s) in the client certificates (descrito a continuacin). En este
caso, el IVE valida al usuario verificando slo la CRL especificada en el certificado
cliente.
Aunque las CA incluyen informacin de CRL en certificados del lado cliente, no
siempre incluyen informacin de CDP. Una CA puede usar cualquiera de los
siguientes mtodos para notificar al IVE de la ubicacin de CDP de un certificado.
768
Specify the CDP(s) in the CA certificate: Cuando la CA emite un certificado de

CA, puede incluir un atributo que especifica la ubicacin de los CDP que el IVE
debe comunicar. Si se especifica ms de un CDP, el IVE elige el primero que
aparece en el certificado y conmuta por error al siguiente CDP, si fuese
necesario.
Specify the CDP(s) in the client certificates: Cuando la CA emite un certificado

del lado cliente, puede incluir un atributo que especifica la ubicacin de los CDP
con que el IVE debe comunicarse. Si se especifica ms de un CDP, el IVE elige el
primero que aparece en el certificado y conmuta por error al siguiente CDP, si
fuese necesario. Cuando el IVE usa una particin de CRL y el certificado cliente
especifica slo una CRL, el IVE realiza la verificacin usando slo esa CRL.
NOTA: Si elige este mtodo, el usuario recibe un error la primera vez que intenta
iniciar sesin en el IVE porque no hay informacin de CRL disponible. Una vez
que el IVE reconoce el certificado cliente y extrae la ubicacin de CRL, puede
comenzar a descargar la CRL y validar posteriormente el certificado del usuario.
Para iniciar sesin correctamente en el IVE, el usuario debe volver a conectarse
despus de unos segundos.
Require the administrator to manually enter the CDP location: Si la CA no

incluye la ubicacin de CDP en los certificados de CA cliente, debe especificar
manualmente cmo descargar todo el objeto de CRL al configurar el IVE.
Puede especificar un CDP primario y de respaldo. (Introducir manualmente la
ubicacin de CDP proporciona mayor flexibilidad porque no es necesario volver
a emitir certificados si cambia la ubicacin de CDP).
El IVE comprueba el certificado del usuario con la CRL correspondiente durante la

autenticacin. Si determina que el certificado del usuario es vlido, el IVE coloca los
atributos del certificado en memoria cach y los aplica si fuese necesario durante
las comprobaciones de rol y directivas de recursos. Si determina que el certificado
del usuario no es vlido, si no se puede comunicar con la CRL correspondiente o si
la CRL vence, el IVE deniega el acceso al usuario.
Puede configurar la comprobacin de CRL mediante la pgina System >
Configuration > Certificates > Trusted Client CAs de la consola de
administracin.
NOTA:
El IVE slo admite las CRL que estn en formato PEM o DER y que estn
firmadas por la CA para la que se aplican las revocaciones.
El IVE slo guarda la primera CRL en un archivo PEM.
El IVE no admite la extensin de la CRL Issuing Distribution Point (IDP).
Especificacin de las opciones de CDP

Si seleccion Use CRLs o Use OCSP with CRL fallback en los procedimientos
descritos en Especificacin de atributos para el certificado de CA de cliente de
confianza en la pgina 763, puede habilitar y descargar peridicamente las listas
de revocacin de certificados (CRL) de los puntos de distribucin de CRL (CDP) para
verificar la validez constante de los certificados del lado cliente.
769
2. Haga clic en el vnculo que corresponde al certificado para al cual desea

habilitar la comprobacin de CRL.
NOTA: Dado que el IVE admite la particin de CRL, puede ver varias CRL en CRL
distribution points. Esto se debe a que las partes particionadas de una lista de
revocacin no se identifican de manera individual, sino que se hace referencia a
ellas como el CDP desde el que se derivan.
3. Haga clic en CRL Checking Options. Aparecer la pgina CRL Checking

Options.
4. En CRL Distribution Points, especifique el lugar en que el IVE debe buscar la
informacin de acceso del CDP. Las opciones son:
No CDP (no CRL Checking): Cuando selecciona esta opcin, el IVE no

comprueba las CRL emitidas por la CA, por lo que no es necesario que
introduzca ningn parmetro para obtener acceso al CDP que emiti
la CRL.
CDP(s) specified in the Trusted Client CA: Cuando selecciona esta opcin,
el IVE comprueba al atributo de punto de distribucin de CRL en el
certificado y muestra los URI de los CDP que encuentra en la pgina CRL
Checking Options. Si el certificado de CA no incluye toda la informacin
necesaria para obtener acceso al CDP, especifique la informacin requerida
adicional:
770
CDP Server: (slo LDAP): Introduzca la ubicacin del servidor CDP. Al

usar el protocolo LDAP, introduzca la direccin IP o nombre de host
(por ejemplo, ldap.domain.com).
CRL Attribute: (slo LDAP): Introduzca el atributo LDAP en el objeto

que contiene la CRL (por ejemplo, CertificateRevocationList).
Admin DN, Password: (slo LDAP): Si el servidor CDP no permite las

bsquedas annimas de la CRL, introduzca el DN y contrasea de
administrador que se requieren para autenticarse en el servidor CDP.
CDP(s) specified in client certificates: Si el certificado cliente no incluye

toda la informacin necesaria para obtener acceso al CDP, especifique la
informacin requerida adicional:
CDP Server (slo LDAP): Introduzca la ubicacin del servidor CDP. Al

usar el protocolo LDAP, introduzca la direccin IP o nombre de host
(por ejemplo, ldap.domain.com).
CRL Attribute (slo LDAP): Introduzca el atributo LDAP en el objeto

que contiene la CRL (por ejemplo, CertificateRevocationList).
Admin DN, Password (slo LDAP): Si el servidor CDP no permite las

bsquedas annimas de la CRL, introduzca el DN y contrasea de
administrador que se requieren para autenticarse en el servidor CDP.
Manually configured CDP: Cuando selecciona esta opcin, el IVE accede al

CDP que especific. Introduzca la URL del CDP primario y opcionalmente
un CDP de respaldo. Para un servidor LDAP, use la sintaxis:
ldap://Server/BaseDN?attribute?Scope?Filter. Para un servidor Web,
introduzca la ruta completa al objeto CRL. Por ejemplo:
http://domain.com/CertEnroll/CompanyName%20CA%20Server.crl
Adems, si el servidor CDP no permite las bsquedas annimas de la CRL,
introduzca el DN y contrasea de administrador que se requieren para
autenticarse en el servidor CDP. (slo LDAP)
NOTA: Si elige descargar CDP usando un mtodo y luego selecciona otro, el IVE
elimina cualquier CDP del disco que se haya descargado usando el mtodo
anterior.
5. En el campo CRL Download Frequency, especifique la frecuencia con que el

IVE debe descargar la CRL del CDP. El rango permitido es de 1 a 9999 horas.
7. Si desea comprobar la validez del certificado de CA (adems de los certificados
del lado cliente) con la CRL especificada en los pasos anteriores, seleccione
Verify Trusted Client CA en la pgina Trusted Client CA.
NOTA:
Cuando opte por verificar un certificado intermedio, asegrese de que las CRL
estn disponibles para todos los certificados de CA sobre el certificado
intermedio en la cadena; cuando verifica un certificado de CA, el IVE tambin
verifica todas las CA emisoras sobre el certificado en la cadena.
Si selecciona esta opcin pero no habilita la comprobacin de CRL, el IVE

comprueba el certificado de CA con el CDP para el emisor de la CA. Si no se
habilita la CRL para el usuario, se produce un error en la autenticacin del
usuario.
8. Haga clic en Save Changes. El IVE descarga la CRL usando el mtodo que
especific (si corresponde) y muestra los detalles de comprobacin de CRL
(descritos en la siguiente seccin).
9. Haga clic en Update Now en la pgina Trusted Client CA para descargar
manualmente la CRL del CDP (opcional).
Habilitacin de OCSP
El Online Certification Status Protocol (OCSP) ofrece la capacidad de verificar los
certificados cliente en tiempo real. Usando OCSP, el IVE pasa a ser cliente de un
respondedor OCSP y reenva las solicitudes de validacin a los usuarios, basndose
en los certificados cliente. El respondedor OCSP mantiene un almacn de CRL
publicadas por la CA y una lista actualizada de certificados cliente vlidos y no
vlidos. Una vez que el respondedor OCSP recibe una solicitud de validacin del IVE
771
(que por lo general es una transmisin HTTP o HTTPS), el respondedor OCSP valida
el estado del certificado usando su propia base de datos de autenticacin o llama al
respondedor OCSP que emiti originalmente el certificado para validar la solicitud.
Despus de formular una respuesta, el respondedor OCSP devuelve la respuesta
firmada al IVE y el certificado original se aprueba o rechaza, dependiendo de si el
respondedor OCSP valida o no el certificado.
Esta seccin contiene las siguientes instrucciones de OCSP:
Especificacin de las opciones de OCSP en la pgina 772
Especificacin de las opciones del respondedor OCSP en la pgina 773
Especificacin de las opciones de OCSP

Si seleccion Use OCSP o Use OCSP with CRL fallback en los procedimientos
especificados en Especificacin de atributos para el certificado de CA de cliente de
confianza en la pgina 763, el IVE muestra una lista de los respondedores OCSP
conocidos y permite configurar las opciones del respondedor OCSP:
1. Elimine, habilite o inhabilite la configuracin del respondedor OCSP mediante
los botones Delete, Enable o Disable, respectivamente.
2. Si desea configurar las opciones de OCSP, haga clic en OCSP Options.
Aparecer la pgina OCSP Options.
3. Especifique el tipo de respondedor OCSP que usa el IVE para validar la CA de
cliente de confianza en la lista desplegable Use:
772
None: El IVE no usa OCSP para verificar el estado de los certificados

emitidos por esta CA.
Responder(s) specified in the CA certificate: El IVE usa los respondedores

OCSP especificados en la CA cliente importada para realizar la verificacin.
Cuando selecciona esta opcin, el IVE muestra una lista de los
respondedores OCSP especificados en la CA importada (si hubiese alguno)
y la ltima vez que se usaron.
Responder(s) specified in the client certificates: El IVE usa los

respondedores especificados durante la autenticacin del cliente para
realizar la verificacin. Cuando selecciona esta opcin, el IVE muestra una
lista de los respondedores OCSP conocidos (si hubiese alguno) y la ltima
vez que se usaron.
Manually configured responders: El IVE usa los respondedores OCSP

primario y secundario en las direcciones que especifique.
4. En la seccin Options, especifique si el IVE firma o no la solicitud de validacin

de certificado con un identificador y si el IVE usa o no la propuesta durante la
verificacin.
NOTA: Una propuesta son datos aleatorios que el IVE incluye en una solicitud OCSP
y que el respondedor OCSP devuelve en la respuesta OCSP. El IVE compara la
propuesta de la solicitud con la respuesta para asegurarse de que la respuesta fue
generada por el respondedor OCSP. Si no coinciden, el IVE pasa por alto la
respuesta y enva una nueva solicitud. Las propuestas son una forma comn de
evitar ataques de reprocesamiento.
Especificacin de las opciones del respondedor OCSP

Para especificar las opciones de OCSP Responder Signer Certificate para uno o ms
respondedores OCSP.
1. Haga clic en el nombre del respondedor OCSP que desea configurar en la lista
OCSP responders. Aparece la pgina de especificacin de opciones para el
respondedor OCSP.
2. Busque la ruta de red o la ubicacin del directorio local de un Responder Signer
Certificate. Este es el certificado que el respondedor OCSP usa para firmar la
respuesta. Debe especificar el Responder Signer Certificate si el certificado del
firmante no se incluye en la respuesta.
3. Si desea permitir un certificador de respondedor OCSP que coincide con el
certificado de firmante del respondedor, active la casilla de verificacin Trust
Responder Certificate.
4. Habilite la opcin Revocation Checking para asegurarse de que el certificado
que usa el IVE y el respondedor OCSP no fue revocado recientemente. Esta
opcin slo tiene implicancias si especific la opcin Use OCSP with CRL
fallback en los procedimientos descritos en Especificacin de atributos para el
certificado de CA de cliente de confianza en la pgina 763.
5. Especifique un valor de discrepancia de reloj en el campo Allow clock
discrepancy para considerar posibles discrepancias en las marcas de hora
entre el IVE y el respondedor OCSP. Si la discrepancia es suficientemente
significativa, el IVE simplemente pasa por alto la respuesta del respondedor
OCSP como no actualizada o vencida.
773
Uso de CA del servidor de confianza

Si tiene una licencia de exploracin de Web, puede validar las credenciales de los
sitios Web a los que acceden los usuarios mediante el dispositivo IVE. Slo debe
instalar el certificado de CA de los servidores Web en que confa en el dispositivo IVE.
NOTA: Todas las CA raz de confianza para los certificados Web instalados en
Internet Explorer 6.0 y Windows XP Service Pack 2 estn preinstaladas en el
dispositivo IVE.
Por lo tanto, siempre que un usuario visite un sitio Web habilitado por SSL, el
dispositivo IVE verifica que:
El certificado del sitio Web lo ha emitido alguna de las cadenas de CA raz de

confianza instaladas en el dispositivo IVE.
El certificado del sitio Web no ha caducado.
El valor Subject CN del certificado del sitio Web coincide con el nombre de host
real de la URL a la que se accedi. (Tenga en cuenta que el dispositivo IVE
permite que el valor Subject CN contenga comodines en el formato:
*.company.com.)
Si no se cumple alguna de estas condiciones, el dispositivo IVE registra un evento

grave en el registro de acceso del usuario y permite o deniega el acceso del usuario
al sitio Web basndose en los ajustes del nivel de rol que configur mediante la
ficha Users > User Roles > Seleccionar rol > Web > Options de la consola de
administracin. (Si no configura estos ajustes, el dispositivo IVE le advierte al
usuario de que el certificado del sitio Web no es vlido, pero le permite acceder
a ste.)
Esta seccin contiene las siguientes instrucciones de CA del servidor de confianza:
774
Carga de certificados de CA del servidor de confianza en la pgina 775
Renovacin del certificado de CA de servidor de confianza en la pgina 775
Eliminacin del certificado de CA del servidor de confianza en la pgina 776
Visualizacin de detalles del certificado de CA del servidor de confianza en la

pgina 776
Uso de CA del servidor de confianza
Carga de certificados de CA del servidor de confianza

Use la ficha System > Configuration > Certificates > Trusted Server CAs para
importar los certificados de CA de los sitios Web de confianza al IVE.
El IVE admite certificados de CA X.509 en formatos de codificacin PEM (Base 64)
y DER (binario). Tenga en cuenta que tambin debe especificar lo que el IVE debe
hacer en caso de que un usuario intente obtener acceso a un sitio Web que no es de
confianza. Para obtener ms informacin, consulte Especificacin de las
restricciones de acceso para certificados en la pgina 65.
NOTA:
Cuando carga una cadena de certificados en el IVE, debe instalar los

certificados uno a uno en orden descendiente, comenzando con el certificado
raz (archivos DER o PEM) o debe cargar un solo archivo en el IVE que
contenga toda la cadena de certificados (slo archivos PEM). Al usar uno de
estos mtodos, se asegura de que el IVE pueda vincular los certificados en el
orden correcto.
El IVE no admite las comprobaciones de revocacin de CRL para certificados

de CA del servidor de confianza.
Para cargar certificados de CA en el IVE:

Certificates > Trusted Server CAs.
2. Haga clic en Import Trusted Server CA.
Certificate.
Renovacin del certificado de CA de servidor de confianza

Si uno de los sitios Web de confianza renueva su certificado, debe cargar el
certificado revocado en el IVE.
Para importar un certificado de CA renovado en el IVE:
2. Haga clic en el vnculo que corresponda al certificado que desea renovar.
3. Haga clic en Renew Certificate.
4. Busque el certificado de CA renovado que desea cargar en el IVE y haga clic en
Import Certificate.
Uso de CA del servidor de confianza 775
Eliminacin del certificado de CA del servidor de confianza

Puede eliminar cualquier certificado de CA del servidor de confianza que est
instalado en el IVE, incluyendo los certificados instalados previamente para Internet
Explorer 6 y Windows XP Service Pack 2.
Para eliminar un certificado de CA del servidor de confianza del IVE:
2. Seleccione la casilla de verificacin junto al certificado que desea eliminar.
3. Haga clic en Delete y confirme que desea eliminar el certificado.
Visualizacin de detalles del certificado de CA del servidor de confianza

Puede ver una variedad de detalles sobre cada uno de los certificados de CA
instalados en el IVE.
Para ver los detalles del certificado de CA del servidor de confianza:
2. Haga clic en el certificado que desea ver.
3. En Certificate, use la flecha situada junto a los siguientes nombres de campo
para ver los detalles del certificado:
Issued To: Nombre y atributos de la entidad a la que se emite el certificado.
Issued By: Nombre y atributos de la entidad que emiti el certificado.

Tenga en cuenta que el valor de este campo debe coincidir con el campo
Issued To (para certificados raz) o el campo Issued To del siguiente
certificado superior en la cadena (para certificados intermedios).
Valid Dates: Rango de tiempo de vigencia del certificado. Si el certificado

est vencido, consulte las instrucciones en Importacin de un certificado
renovado que usa la clave privada existente en la pgina 753.
Details: Incluye varios detalles de certificados, que contienen la versin,

nmero de serie, algoritmo de firma, puntos de distribucin de la CRL, tipo
de algoritmo de clave pblica y la clave pblica. (Tenga en cuenta que el
IVE no admite las comprobaciones de CRL para certificados de CA del
servidor de confianza.)
Uso de certificados de firma de cdigo

Cuando el IVE intermedia un applet de Java firmado, el IVE vuelve a firmar el applet
con un certificado de autofirma predeterminado. Una CA raz de confianza no
estndar emite este certificado. En consecuencia, si un usuario solicita un applet
potencialmente de alto riesgo (como un applet que accede a los servidores de la
red), el explorador de Web del usuario le alerta de que la ruta no es de confianza.
776
Si importa un certificado de firma de cdigo al IVE, el IVE usa el certificado

importado para volver a firmar los applets en lugar del certificado de autofirma
predeterminada. En consecuencia, si un usuario solicita un applet potencialmente
de alto riesgo, el explorador de Web del usuario muestra un mensaje informativo en
lugar de una advertencia. El mensaje le informa al usuario de que el applet tiene la
firma de una autoridad de confianza.
El IVE admite los siguientes tipos de certificados de firma de cdigo:
Microsoft Authenticode Certificate: El IVE usa este certificado para firmar

applets que se ejecutan en MS JVM o SUN JVM. Tenga en cuenta que slo se
admiten certificados Authenticode de Microsoft emitidos por Verisign. Puede
adquirir certificados Authenticode de Microsoft en la siguiente ubicacin:
http://www.verisign.com/products-services/security-services/codesigning/index.html
JavaSoft Certificate: El IVE usa este certificado para firmar applets que se
ejecutan en SUN JVM. Tenga en cuenta que slo se admiten certificados de
JavaSoft emitidos por Verisign y Thawte.
Al decidir qu certificado de firma de cdigo importar, considere las siguientes

dependencias del explorador:
Internet Explorer: Internet Explorer en equipos nuevos con Windows XP

preinstalado normalmente ejecuta SUN JVM, lo que quiere decir que el IVE
debe volver a firmar los applets usando el certificado de JavaSoft.
Internet Explorer en un equipo con Windows 98 o Windows 2000, o en un
equipo que se actualiz a Windows XP, normalmente ejecuta MS JVM, lo que
quiere decir que el IVE debe volver a firmar los applets usando el certificado de
Authenticode.
Netscape, Firefox y Safari: Estos exploradores slo admiten SUN JVM, lo que
quiere decir que el IVE debe volver a firmar los applets usando el certificado de
JavaSoft.
NOTA: Si crea sistemas IVS, tambin puede importar certificados de firma de
cdigo para cada IVS. Debe dirigirse a cada sistema IVS, usando el men
desplegable del sistema IVS en el encabezado de la consola de administracin,
luego importar el certificado de firma de cdigo para cada IVS en la pgina System
> Configuration > Certificates > Code-signing Certificates.
Esta seccin contiene la siguiente informacin sobre certificados de firma de
cdigo:
Consideraciones adicionales para los usuarios de SUN JVM en la pgina 778
Resumen de tareas: configurar el IVE para que firme o vuelva a firmar los
applets en la pgina 778
Importacin de un certificado de firma de cdigo en la pgina 778
777
Consideraciones adicionales para los usuarios de SUN JVM
De forma predeterminada, el complemento Java coloca en memoria cach el

applet junto con el certificado de firma de cdigo que se present cuando el
usuario accede al applet. Este comportamiento quiere decir que incluso
despus de importar un certificado de firma de cdigo al IVE, el explorador
continua presentando applets con el certificado original. Para garantizar que a
los usuarios de SUN JVM no se les solicite un certificado sin confianza para los
applets a los que acceden antes de importar un certificado de firma de cdigo,
los usuarios deben borrar la memoria cach del complemento de Java. Como
alternativa, los usuarios pueden inhabilitar la memoria cach, pero esta opcin
puede afectar el rendimiento pues se debe buscar el applet cada vez que el
usuario accede a ste.
El complemento de Java mantiene su propia lista de certificados de servidor

Web de confianza que es diferente de la lista de certificados de confianza del
explorador. Cuando un usuario accede a un applet, SUN JVM realiza su propia
conexin (adems de la del explorador) con el servidor Web en que reside el
applet. Al usuario se le presenta la opcin de aceptar el certificado de servidor
Web adems del certificado de firma de cdigo. En estos casos, el usuario debe
seleccionar el botn Always Trust para el certificado de servidor Web. Debido
al tiempo de espera incorporado en el complemento de Java, si el usuario
espera demasiado para seleccionar este botn para el certificado de servidor
Web, el applet no se carga.
Resumen de tareas: configurar el IVE para que firme o vuelva a firmar los applets
Para configurar el IVE para que vuelva a firmar los applets usando los certificados
de firma de cdigo, debe:
1. Instalar los certificados de firma de cdigo de Java mediante la pgina System
> Configuration > Certificates > Code-Signing Certificates de la consola de
administracin. Para obtener instrucciones, consulte Importacin de un
certificado de firma de cdigo en la pgina 778.
Cree directivas de firma de cdigo que especifiquen los applets que el IVE
debe volver a firmar mediante la pgina Users > Resource Policies >
Web > Java > Code Signing de la consola de administracin o la pgina
Users > Resource Profiles > Web Application Resource Profiles >
Perfil. Las directivas deben especificar los nombres de host desde los que
se originan los applets. Para obtener instrucciones, consulte Escritura de
una directiva de recursos de firma de cdigo Java en la pgina 441.
Cargue sus propios applets de Java en el IVE y configure el IVE para que los
firme o los vuelva a firmar, como se explica en Plantillas de applets de
Java hospedados en la pgina 345.
Importacin de un certificado de firma de cdigo

Para importar un certificado de firma de cdigo:
Certificates > Code-Signing Certificates.
778
2. En Applet Signing Certificates, haga clic en Import Certificates.

3. En la pgina Import Certificates, busque los archivos de certificado de firma de
cdigo correspondientes, introduzca la informacin de clave de contrasea y
haga clic en Import.
4. Cuando haya importado correctamente un certificado, aparecer Sign Juniper
Web Controls With un panel de dilogo donde podr especificar la opcin de
firma del IVE:
Default Juniper Certificate: Seleccione esta opcin para especificar que el

IVE debe firmar todos los applets de ActiveX y Java provenientes del IVE
usando el certificado predeterminado de Juniper Networks. Si seleccion
previamente un certificado de firma de cdigo importado y est revirtiendo
esta opcin, despus de hacer clic en Save, aparecer un icono de proceso
que indica que el IVE est procesando la solicitud y firmando nuevamente
todo el cdigo pertinente. Este proceso puede demorar varios minutos en
completarse.
Imported Certificate: Seleccione esta opcin para especificar que el IVE

firme todos los applets de ActiveX y Java usando los certificados
importados en el paso anterior. Cuando hace clic en Save, aparece un icono
de proceso que indica que el IVE est procesando la solicitud y firmando
todo el cdigo pertinente. Este proceso puede demorar varios minutos en
completarse.
5. Use los ajustes de las siguientes fichas para especificar los recursos que el
certificado del applet firm o volvi a firmar:
Users > Resource Policies > Web > Java > Code Signing
Users > Resource Policies > Web > Java > Applets
779
780
Captulo 28
Archivado del sistema

El IVE proporciona diferentes formas de crear copias de seguridad y de restaurar
los archivos de configuracin que contienen datos de sistema y del usuario.
Las utilidades del IVE que puede usar para crear una copia de seguridad y restaurar
la informacin mantienen los datos en dos formatos distintos: binario y XML.
El mtodo que use depender de sus necesidades.
Al usar las caractersticas de administracin de archivos de configuracin del IVE,
puede importar, exportar, guardar, archivar y enviar archivos de configuracin de
envo como se describe en las secciones siguientes:
Licencia: Disponibilidad de archivado del sistema en la pgina 781
Archivado de archivos de configuracin binarios del IVE en la pgina 782
Creacin de copias de seguridad locales de los archivos de configuracin del

IVE en la pgina 784
Importacin y exportacin de archivos de configuracin del IVE en la

pgina 787
Importacin y exportacin de archivos de configuracin XML en la

pgina 791
Estrategias para trabajar con instancias XML en la pgina 800
Configuraciones de envo de un IVE a otro en la pgina 816
Archivado de Secure Meetings en la pgina 821
Licencia: Disponibilidad de archivado del sistema

Las capacidades de archivado del sistema estn disponibles en todos los productos
Secure Access y no se necesita una licencia especial para usarlas. No obstante, es
posible que las siguientes herramientas de archivado no se encuentren disponibles
en el dispositivo SA 700:
Archivado de copias de seguridad locales
Configuracin de envos
Licencia: Disponibilidad de archivado del sistema 781
Archivado de archivos de configuracin binarios del IVE

El IVE le permite usar SCP o FTP para archivar automticamente una copia binaria
de registros del sistema, archivos de configuracin y cuentas de usuario con una
frecuencia diaria o semanal. El IVE encripta los archivos de configuracin y las
cuentas de usuario para garantizar una transmisin y almacenamiento seguros en
otros servidores y luego archiva los archivos en el servidor y en el directorio que
especifique, los das y a las horas que elija.
Si el proceso de archivado presenta un error, se reiniciar en la siguiente hora
programada. El IVE no contina reintentando el proceso si ocurre un error. Los
archivos de registro no se eliminan si ocurre un error en el proceso de archivado.
El archivado automtico se realiza slo en las horas programadas. Las operaciones
de archivado no programadas no se realizan automticamente. Por ejemplo, si un
archivo de registro excede el tamao mximo de archivo, el proceso de archivado
no crea automticamente una copia de seguridad del archivo antes de la hora
programada para evitar una prdida de datos.
SCP es una utilidad de transferencia de archivos similar a FTP. SCP encripta todos
los datos durante la transferencia. Cuando los datos llegan a su destino, se entregan
en su formato original. En la mayora de las distribuciones SSH se incluye SCP y
tambin est disponible en las plataformas de los principales sistemas operativos.
El nombre de los archivos de archivado tiene el siguiente formato:
Eventos del sistema: JuniperAccessLog-[nombredeclster|standalone][nombredenodo|nombredehost]-[nombredeIVS|raz]-[fecha]-[hora]
Eventos del usuario: JuniperEventsLog-[nombredeclster|standalone][nombredenodo|nombredehost]-[nombredeIVS|raz]-[fecha]-[hora]
Eventos del administrador: JuniperAdminLog-[nombredeclster|standalone][nombredenodo|nombredehost]-[nombredeIVS|raz]-[fecha]-[hora]
Archivos de configuracin del sistema: JuniperConf[nombredeclster|standalone]-[nombredenodo|nombredehost]-[nombredeIVS|raz][fecha]-[hora]
Cuentas de usuario: JuniperUserAccounts-[nombredeclster|standalone][nombredenodo|nombredehost]-[nombredeIVS|raz]-[fecha]-[hora]
A continuacin se encuentran algunos ejemplos de nombres de archivo: En estos

ejemplos, gen se refiere al nombre del clster.
782
JuniperAccessLog-gen-nodo1-Raz-20090109-1545.gz
JuniperEventsLog-gen-nodo1-Raz-20090109-1545.gz
JuniperAdminLog-gen-nodo1-Raz-20090109-1545.gz
JuniperConf-gen-nodo1-Raz-20090109-1545.gz
JuniperUserAccounts-gen-nodo2-Raz-20090109-1542
Captulo 28: Archivado del sistema
Para especificar los parmetros para el archivado:

1. En la consola de administracin, elija Maintenance > Archiving > Archiving
Servers.
2. En Archive Settings, especifique el servidor de destino, un directorio y sus
credenciales para ese servidor. No incluya una especificacin de unidad para el
directorio de destino, como: juniper/log.
Aunque en equipos UNIX puede especificar una ruta absoluta o especfica,

recomendamos que use una ruta completa, dependiendo del directorio de
inicio del usuario.
Para equipos con Windows, especifique una ruta relativa al directorio

ftproot. Recomendamos que use una ruta completa para el directorio.
3. Para la opcin Method, especifique SCP o FTP. SCP es el mtodo

predeterminado.
4. En Archive Schedule, habilite la casilla de verificacin asociada para
especificar uno o ms de los siguientes componentes para el archivado:
Archive events log (Para obtener ms informacin, consulte Informacin

general de registro y supervisin en la pgina 824.)
Archive user access log (Para obtener ms informacin, consulte

Informacin general de registro y supervisin en la pgina 824.)
Archive admin access log (Para obtener ms informacin, consulte

Archive Sensors log (Para obtener ms informacin, consulte Informacin

general de registro y supervisin en la pgina 824.)
Archive client-side log uploads (Para obtener ms informacin, consulte

Archive system configuration (Para obtener ms informacin, consulte

Archivado de archivos de configuracin binarios del IVE en la
pgina 782.)
Archive user accounts (Para obtener ms informacin, consulte

Exportacin de cuentas de usuario locales o directivas de recursos en la
pgina 789.)
Archive IVS (Para obtener ms informacin, consulte Realizacin de la

exportacin y la importacin de los archivos de configuracin del IVS en la
pgina 959.)
Configuracin Archive XML (Para obtener ms informacin, consulte

Importacin y exportacin de archivos de configuracin XML en la
pgina 791.)
783
5. Especifique una programacin para el archivado de cada componente

seleccionado. A travs de las opciones para cada componente, programe
archivados en cualquier combinacin de das, incluyendo los fines de semana.
NOTA: Si programa una operacin de archivado para la hora en la que su sistema
cambia a horario de verano, es posible que la operacin no se lleve a cabo segn
la programacin. Por ejemplo, si su sistema est configurado para cambiar
a horario de verano a la 1:00 a.m. y usted ha programado una operacin de
archivado para una hora entre la 1:01 a.m. y la 1:59 a.m., la operacin no se
realizar ya que a la 1:00 a.m. el reloj del sistema se adelantar a las 2:00 a.m.
y nunca se llegar a la hora programada para el archivado en esa fecha.
6. Defina una hora especfica cuando desea que el IVE realice el archivado de
datos o elija que se lleve a cabo cada hora, lo que produce veinticuatro archivos
con marcas de hora nicos.
NOTA: Recomendamos que programe una operacin de archivado durante las

horas en las que el trfico es bajo para minimizar el impacto a los usuarios. El
proceso de archivado automtico comprime archivos y, si el sistema est ocupado,
puede afectar negativamente al rendimiento para los usuarios. Adems, es posible
que algn nodo del clster no responda si el sistema est ocupado con trfico
y realizando el archivado de forma simultnea.
7. Seleccione un filtro de registros desde la lista desplegable. Consulte Archivos

de registro personalizado del filtro en la pgina 826 para obtener informacin
acerca de los tipos de filtros.
8. Especifique que se limpien los filtros de eventos del sistema, acceso
y administrador despus del archivado (opcional).
NOTA: Si un proceso de archivado presenta un error, los archivos de registro no se
eliminarn.
9. Proporcione una contrasea si desea usarla para encriptar la configuracin del

sistema o los archivos de la cuenta del usuario (opcional).
Creacin de copias de seguridad locales de los archivos de

configuracin del IVE
Los dispositivos IVE le permiten guardar copias de seguridad de la configuracin del
sistema y de las cuentas de usuario actuales directamente en el IVE en formato
binario. Luego puede usar estas configuraciones para restaurar el IVE o un clster
del IVE al estado contenido en el archivo encriptado. Tenga en cuenta que estos
archivos slo contienen informacin de configuracin pero no incluyen los
registros.
784
Creacin de copias de seguridad locales de los archivos de configuracin del IVE
NOTA: Durante una operacin de importacin al nodo de un clster, la jerarqua de
la sincronizacin del nodo puede cambiar de forma temporal para permitir la

propagacin de los datos importados a todos los nodos. La jerarqua de
sincronizacin regresar a su valor original despus de que finalice la operacin de
importacin.
Puede guardar hasta 5 copias de seguridad de la configuracin del sistema y 5
copias de seguridad de las cuentas de usuario en el IVE. Si supera este lmite, el IVE
escribir la copia de seguridad nueva sobre la ms antigua. Si no desea sobrescribir
la copia de seguridad ms antigua, elija otra copia de seguridad para eliminar en su
lugar antes de guardar la actual.
Para guardar su configuracin del sistema actual:
1. En la consola de administracin, elija Maintenance > Archiving > Local
Backups.
2. Haga clic en Save Configuration o en Save User Accounts. El IVE agrega una
copia de seguridad nueva a la lista, con la fecha y hora actuales como nombre.
Puede usar las copias de seguridad del sistema y del usuario para actualizar un IVE
nico o un clster. Si opta por restaurar un IVE que est habilitado como parte de
un clster, ese IVE enva automticamente la configuracin a todos los otros
miembros del clster. El clster se inhabilita hasta que todos los miembros activos
del clster hayan actualizado sus configuraciones usando la configuracin de la
copia de seguridad. Despus, reinicie el clster y vuelva a habilitarlo.
Puede guardar una copia de seguridad de su configuracin actual o restaurar su
sistema o el estado de las cuentas de usuario desde una copia de seguridad, como
se explica en Creacin de copias de seguridad locales de los archivos de
configuracin del IVE en la pgina 784.
Para sobrescribir su configuracin con los ajustes de un archivo de copia de
seguridad:
Backups.
2. Seleccione la casilla de verificacin situada junto al archivo de copia de
seguridad de la configuracin del sistema o de la cuenta del usuario que desee
usar para restaurar el sistema.
Creacin de copias de seguridad locales de los archivos de configuracin del IVE 785
3. Si va a restaurar desde una configuracin de sistema, indique si desea o no usar

el certificado, la direccin IP y los ajustes de red contenidos en el archivo de
configuracin.
NOTA:
Si va a actualizar un clster completo, tenga precaucin al usar los ajustes de

red. Debido a que es posible que las direcciones IP y otros ajustes no se
apliquen a todos los miembros del clster, stos podran tener problemas de
comunicacin entre ellos si se envan los ajustes a todos lo miembros.
Si va a actualizar un sistema Secure Access FIPS y opta por importar un

certificado, debe elegir uno que use una clave privada que cumpla con las
normas FIPS. Para asegurar el cumplimiento con las normas FIPS, seleccione
un certificado y las claves privadas correspondientes de un entorno de
seguridad que se generen en un sistema Secure Access FIPS.
4. Haga clic en Restore. El IVE debe reiniciarse para que los cambios se hagan
efectivos. Despus de reiniciar el IVE, debe iniciar sesin nuevamente en l
para obtener acceso a la consola de administracin.
Para guardar una copia de seguridad local de sus archivos de configuracin de IVS:
Backups.
2. Haga clic en Save IVS.
La copia de seguridad resultante contiene:
Perfiles IVS
Sistema IVS
Autenticacin IVS
Administradores IVS
Usuarios IVS
Directivas de recursos IVS
Mantenimiento de IVS
3. Al restaurar, si desea incluir ajustes de red IVS, seleccione IVS Profile Network
Settings y luego haga clic en Restore.
Al seleccionar IVS Profile Network Settings puede importar referencias a
puertos VLAN y puertos virtuales en los perfiles IVS importados. Para obtener
ms informacin acerca de la importacin y exportacin de IVS, consulte
de configuracin del IVS en la pgina 959.
786
Creacin de copias de seguridad locales de los archivos de configuracin del IVE
Importacin y exportacin de archivos de configuracin del IVE

El IVE le permite importar y exportar ajustes de red y de sistema del IVE usando
archivos de configuracin binarios del IVE. Cuando importe un archivo de
configuracin de sistema, puede excluir los ajustes del certificado y la direccin IP
del servidor IVE o los ajustes de red de la informacin que se importar. Por
ejemplo, para configurar IVE mltiples detrs de un equilibrador de carga, importe
todo excepto la direccin IP. Para configurar un IVE como un servidor de respaldo,
importe todo excepto el certificado digital y los ajustes de red.
NOTA:
Cuando importa un archivo de configuracin que contiene licencias, el IVE le

da la preferencia a las licencias existentes que actualmente se encuentran
instaladas en el IVE. Las licencias archivadas slo se importan si no existen
licencias actuales en el IVE.
Puede importar un archivo de configuracin de Secure Access FIPS en un

equipo sin Secure Access FIPS y viceversa, siempre y cuando no incluya el
certificado y el entorno de seguridad en el proceso de importacin.
Al importar certificados, tenga en cuenta que el IVE slo importa certificados

de dispositivos, no las cadenas correspondientes a los certificados de los
dispositivos o los CA de clientes fiables.
El IVE tambin le permite importar y exportar todas las cuentas de usuarios locales
que haya definido para cualquier servidor de autenticacin local.
NOTA:
Si desea exportar directivas de recursos, debe exportar las cuentas de usuario,

no los ajustes de sistema. Puede exportar las directivas de recursos en la ficha
Maintenance > Import/Export > Import/Export Users. Para obtener ms
informacin, consulte Exportacin de cuentas de usuario locales o directivas
de recursos en la pgina 789.
Para exportar o importar registros del lado cliente, exporte o importe los
archivos de configuracin del usuario y del sistema.
Las configuraciones del sensor se incluyen en el archivo de configuracin del

sistema, mientras que las directivas de eventos del sensor se incluyen en el
archivo de configuracin del usuario. Para exportar o importar a un IVE la
configuracin relacionada con el sensor, exporte o importe los archivos de
configuracin del usuario y del sistema.
El archivo de configuracin del usuario, y no el de configuracin del sistema,
es el que incluye los perfiles de recursos, las directivas de recursos y la base de
datos del usuario local. Para realizar una copia de seguridad completa, exporte
los archivos de configuracin del usuario y del sistema.
787
Exportacin de un archivo de configuracin del sistema

Exporte el archivo de configuracin del sistema:
Configuraciones de red
Configuracin del clster
Licencias
Ajustes SNMP
Para exportar un archivo de configuracin del sistema:

1. En la consola de administracin, elija Maintenance > Import/Export >
Configuration.
2. En Export, escriba una contrasea si desea usarla para proteger el archivo de
configuracin.
3. Haga clic en Save Config As para guardar el archivo.
NOTA: Al exportar un archivo de configuracin Secure Access FIPS, tenga en
cuenta que se incluir en el archivo la informacin acerca del entorno de
seguridad del equipo. Por lo tanto, deber usar una tarjeta de administrador
asociada a ese entorno de seguridad para poder importar correctamente el archivo
de configuracin a otro equipo.
Importacin de un archivo de configuracin del sistema

NOTA: Los ajustes especficos para el nodo existente se eliminan cuando un nodo
IVE se integra a un clster. Entre estas configuraciones se incluyen la direccin de
la interfaz de red, las tablas de rutas, los puertos virtuales, la cach ARP, la interfaz
VLAN, las configuraciones SNMP, etc. El administrador debe reconfigurar de forma
manual estos ajustes para el nuevo nodo que se integra. No es posible usar la
caracterstica de configuracin de sistema Import (importar) para importar estas
configuraciones y ajustes en un nodo IVE que se ha integrado al clster.
Para importar un archivo de configuracin:

1. Elija Maintenance > Import/Export > Import/Export Configuration en la
2. Especifique si desea importar el certificado del dispositivo IVE. El certificado no
se importa a menos que marque la casilla de verificacin Import Device
Certificate(s)?.
NOTA: Al importar un certificado para dispositivo en un sistema Secure Access
FIPS, tenga en cuenta que debe elegir un certificado que use una clave privada que
cumpla con las normas FIPS. Para asegurar el cumplimiento con las normas FIPS,
seleccione un certificado y las claves privadas correspondientes de un entorno de
seguridad que se generen en un sistema Secure Access FIPS.
788
3. Elija una de las siguientes opciones de importacin.
Import everything (except Device Certificate(s)): Esta opcin importa

todos los ajustes de configuracin, excepto los certificados de dispositivo
del IVE.
Import everything but the IP address: Esta opcin no incluye la direccin

IP del archivo de configuracin importado. Si no incluye la direccin IP, la
direccin IP del servidor no cambiar cuando importe el archivo. Cuando
seleccione esta opcin, el IVE tambin importa cualquier ajuste SNMP que
haya definido. En otras palabras, si escoge esta opcin se mantiene la
direccin IP, la mscara de red, la puerta de enlace predeterminada, VIP,
ARP y las rutas de las interfaces de red en el dispositivo de destino.
Import everything except network settings and licenses: Esta opcin

importa todos los ajustes de configuracin, excepto los ajustes de red. Si no
incluye los ajustes de red, la informacin de la pgina System > Network
(ajustes de puerto interno, puerto externo y ruta esttica) no cambia
cuando importa el archivo. Cuando selecciona esta opcin, no se importan
la configuracin de red, licencias, configuracin del clster, certificados,
ajustes SNMP definidos y las configuraciones de syslog.
Import only Device Certificate(s): Esta opcin importa solamente los

certificados del servidor IVE. Asegrese de habilitar la casilla de verificacin
Import Device Certificate(s)? cuando use esta opcin.
4. Busque el archivo de configuracin, cuyo nombre es system.cfg de forma

predeterminada.
5. Introduzca la contrasea que especific para el archivo. Si no especific una
contrasea antes de exportar el archivo, deje este campo en blanco.
6. Haga clic en Import Config.
NOTA: Cuando importe un certificado de dispositivo y su entorno de seguridad
correspondiente en un equipo Secure Access FIPS, debe terminar de inicializar el

entorno de seguridad usando la consola serie y una tarjeta de administrador
asociada con el entorno de seguridad nuevo importado. Para obtener ms
informacin, consulte Creacin de un entorno de seguridad nuevo en la
pgina 1017.
Exportacin de cuentas de usuario locales o directivas de recursos

Exporte las cuentas de usuario si desea exportar:
Ajustes de inicio de sesin (incluyen directivas de inicio de sesin, pginas de

inicio de sesin y todos los servidores de autenticacin
Roles
Acceso a la red
789
Perfiles de recursos/directivas de recursos
Cuentas de usuario
Configuraciones de reuniones
Para exportar cuentas de usuario locales o directivas de recursos:

Import/Export User Accounts.
configuracin.
Importacin de cuentas de usuario locales o directivas de recursos

Para importar cuentas de usuario locales o directivas de recursos:
1. En la consola de administracin, seleccione Maintenance > Import/Export >
Import/Export Users.
2. Busque el archivo de configuracin, cuyo nombre es user.cfg de forma
predeterminada.
Importacin de ajustes de configuracin IVS

Al importar la configuracin IVS se guardan los siguientes ajustes en un archivo
encriptado:
790
Perfiles IVS
Sistema IVS
Autenticacin IVS
Administradores IVS
Usuarios IVS
Mantenimiento de IVS
Para exportar los ajustes IVS:

Import/Export IVS.
configuracin.
Importacin de ajustes de configuracin IVS

Para importar los ajustes IVS:
Import/Export IVS.
2. Busque el archivo de configuracin, cuyo nombre es ivs.cfg de forma
predeterminada.
4. Seleccione la opcin IVS Profile Network Settings para importar referencias
a puertos VLAN y puertos virtuales en los perfiles IVS importados.
Importacin y exportacin de archivos de configuracin XML

La caracterstica XML Import/Export le permite realizar importantes cambios en la
configuracin del sistema y le proporciona diversos beneficios, especialmente
cuando realiza una gran cantidad de cambios repetitivos o cuando quiere agregar,
actualizar o eliminar datos de configuracin de una sola vez.
Algunas de las tareas que puede realizar usando los archivos de configuracin XML
exportados son:
Agregar un gran nmero de usuarios.
Eliminar todos o la mayora de los servidores de autenticacin, usuarios u otros

objetos IVE.
Realizar seguimiento de los cambios a la configuracin mediante una

comparacin de las exportaciones semanales.
Modificar instancias mltiples de un ajuste nico, como el nombre de un

Crear una plantilla de configuracin para configurar nuevos dispositivos IVE.
791
NOTA: Slo puede exportar e importar archivos de instancia XML entre IVE que
tengan sistemas operativos de la misma versin. No puede usar la caracterstica

XML Import/Export para actualizar una versin ms antigua del producto usando
archivos de configuracin exportados desde una versin ms reciente del
producto. Tampoco puede cambiar una versin ms reciente del producto a una
versin anterior usando los archivos de configuracin exportados desde una
versin ms antigua del producto.
El IVE le permite exportar varios tipos de datos de configuracin, como algunos
ajustes de red, ajustes de inicio de sesin, servidores de autenticacin, territorios,
roles, directivas de recursos y usuarios. Puede importar esos ajustes en el mismo
o en otro IVE.
NOTA: Cuando importe la configuracin del servidor de autenticacin AD con un

archivo XML o a travs de Push Config, es necesario cambiar el nombre Computer
Object de forma manual despus de la importacin. Podran presentarse
problemas inesperados si dos sistemas que usan el mismo nombre Computer
Object se unen al dominio AD.
Puede exportar archivos de configuracin XML que contengan ajustes de la

siguiente lista. Tambin pueden estar disponibles ajustes adicionales.
NOTA: Si est ejecutando el IVE con una licencia IVS, no se admitir la

caracterstica XML Import/Export. Para obtener ms informacin acerca de la
exportacin e importacin en IVS, consulte Realizacin de la exportacin y la
importacin de los archivos de configuracin del IVS en la pgina 959.
System Settings: Licencias, certificados, direccin IP del servidor Network

Connect, nodos, identificadores de nodos, servidores DNS, dominios DNS,
hosts, NIC, identificadores NIC, direcciones de puertos virtuales, alias de
direcciones IP de origen, cach ARP, tiempo de espera del ping ARP, puerta de
enlace predeterminada, direccin IP, MTU, nombre NIC, mscara de red,
rutas estticas, velocidad del enlace, tipo de NIC, nombre del host, licencias,
direccin WINS, ajustes SNMP, incluyendo ajustes y lmites de capturas.
NOTA: No debe modificar nunca los dos identificadores NIC en el archivo de

instancia XML. El IVE se basa en la informacin de que cada dispositivo tiene dos
tarjetas de interfaz, conocidas como NIC0 y NIC1.
Los identificadores aparecen en los elementos NIC <NICIdentifier>0</NICIdentifier>

y <NICIdentifier>1</NICIdentifier>.
792
Sign-in Settings: servidores de autenticacin, opciones de contrasea,

opciones de administracin de contrasea, pginas de inicio de sesin
estndares, texto personalizado, opciones de encabezado, mensajes de error
personalizados, opciones de ayuda, direcciones URL de inicio de sesin y tipo
de pgina.
Endpoint Security: Directivas de Host Checker, servidores IMV remoto y ESAP

e IMV.
Authentication Realms: Territorios de usuario y administrador, nombres de

territorio, tipos de territorio, ajustes de servidores primario y secundario,
ajustes de evaluacin de directivas dinmicas, directivas de autenticacin,
lmites, directivas de contraseas, ajustes de asignacin de roles y opciones
de procesamiento de rol.
Roles: Roles de usuario, roles de administrador, nombres de roles,

caractersticas habilitadas, restricciones, opciones de sesin, opciones de UI,
direccin IP de origen de VLAN, ajustes de archivos de Windows y UNIX,
ajustes de WSAM y JSAM, opciones de la Web, opciones de Secure Meeting,
opciones de Network Connect, opciones de Telnet, opciones del servidor de
terminal, opciones del sistema de administracin, y ajustes de las directivas
de recursos.
Resource Policies: Directivas Web, listas de directivas de acceso a archivos,

directivas de Telnet/SSH, Network Connect, Terminal Connect y SAM.
Local User Accounts: Usuarios, nombre de servidor de autenticacin, nombre

completo, nombre de inicio de sesin, contrasea, opcin para cambio de
contrasea, estado del usuario y tipo de usuario.
Maintenance Settings: Opciones del sistema, destinos de configuracin de

envo, archivado e imgenes instantneas.
Meeting Configuration: Ajustes de configuracin de reuniones.
NOTA: Es posible que estas listas no muestren todos los ajustes disponibles. Para
obtener una lista completa de ajustes compatibles, consulte la pgina XML
Import/Export y la pgina Push Config en la consola de administracin.
El proceso bsico para exportar e importar un archivo de configuracin XML es el

siguiente:
1. Escoja los ajustes de configuracin que desea modificar.
2. Exporte el archivo desde el IVE.
3. Abra el archivo y edite los datos de configuracin en un editor de texto.
4. Guarde y cierre el archivo.
5. Importe el archivo al IVE.
793
En las siguientes secciones puede obtener ms informacin acerca de los archivos

de configuracin XML y de cmo usarlos:
Creacin y modificacin de instancias XML en la pgina 794
Casos de uso de XML Import/Export en la pgina 810
Importacin de un sistema con el puerto de administracin en la pgina 814
Creacin y modificacin de instancias XML

Cuando exporta su archivo de configuracin, el IVE guarda el archivo como una
instancia XML. La instancia es el archivo que modificar.
La instancia XML
Despus de la exportacin, el archivo de instancia le muestra el estado actual de la
configuracin del IVE. La instancia XML se basa en un esquema XML. El esquema
es un archivo separado que define los metadatos y que sirve como modelo
o plantilla para el archivo de instancia. Si llegara a usar el archivo de esquema, slo
ser para propsitos de referencia.
Los datos del archivo de instancia se basan en las selecciones que hace la ficha XML
Import/Export en la consola de administracin cuando realiza la operacin de
exportacin.
Los archivos de instancia generalmente terminan con la extensin de archivo .xml.
Creacin de un archivo de instancia

Puede crear un archivo de instancia exportando el archivo de configuracin XML
desde el IVE. Incluso si desea reemplazar todos los ajustes de configuracin
existentes para un objeto determinado, debe comenzar con un archivo de instancia
exportado. El archivo de instancia exportado contiene todas las instrucciones de
procesamiento XML requeridas y las declaraciones de espacios de nombres, que
deben incluirse exactamente como estn definidas.
Para exportar un archivo de configuracin XML, consulte Estrategias para trabajar
con instancias XML en la pgina 800.
Edicin del archivo de instancia

Todos los archivos de instancia del IVE comparten una estructura similar. Cuando se
familiarice con la estructura bsica, debera poder explorar fcilmente los archivos.
Es posible que los archivos sean grandes, por lo que puede ser mejor usar un editor
de XML comercial o de cdigo abierto. Los editores de XML a menudo separan los
datos editables de la representacin de la estructura. Esta separacin reduce
o elimina la posibilidad de modificar de forma accidental un elemento XML en
lugar de sus datos, lo que s se puede hacer cuando se utiliza un editor de texto
simple para la edicin.
794
A pesar de las ventajas potenciales de usar un editor de XML, puede realizar una
buena edicin de sus datos de configuracin usando un editor de texto simple.
Elementos de instancia
Un elemento es una unidad XML discreta que define un objeto del IVE o parte de un
objeto. El elemento suele constar de un par de etiquetas que pueden o no estar
alrededor de datos de cadena. Las etiquetas estn delimitadas por corchetes
angulares (< >). Puede encontrar varios ejemplos de etiquetas en los temas
siguientes.
Cada etiqueta corresponde a uno de los siguientes tipos:
Etiqueta de inicio: Define el inicio de un elemento. La etiqueta de inicio

consiste de un corchete angular de apertura (<), un nombre, cero o ms
atributos y un corchete angular de cierre (>). Por cada etiqueta de inicio debe
haber una de final en algn lugar del documento.
Etiqueta de final: Define el fin de un elemento. La etiqueta de final consta de

un corchete angular de apertura y una barra diagonal (</), seguida por el
mismo nombre definido en la etiqueta de inicio correspondiente y finalizada
con un corchete angular de cierre (>).
Etiqueta vaca: La etiqueta vaca se indica de dos formas. Si un par de etiquetas

no tiene datos entremedias, dicho par se considera una etiqueta vaca.
De forma oficial, de acuerdo con la especificacin de XML, una etiqueta vaca
tiene este aspecto:
<empty tag example/>
De esta forma, la etiqueta vaca consta de un corchete angular de apertura (<),

seguido de un nombre de elemento, una barra diagonal y un corchete angular
de cierre (/>). Cuando vea una etiqueta vaca en sus archivos de configuracin,
significa que un elemento que es un elemento que el esquema necesita que se
incluya en el archivo de instancia, pero cuyos datos son opcionales.
Las etiquetas de inicio contienen atributos y los pares de etiquetas (elementos)
pueden contener elementos adicionales. El siguiente ejemplo muestra un archivo
de instancia XML para el objeto Users. En este ejemplo, ver solo los ajustes de
configuracin del Administrator. Los elementos en cursiva son los datos del usuario.
<configuration xmlns="http://xml.juniper.net/ive-sa/6.2R1"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<authentication>
<auth-servers>
<auth-server>
<local>
<users>
<user>
<username>admin</username>
<fullname>Platform Administrator</fullname>
<password-encrypted>3u+U</password-encrypted>
<one-time-use>false</one-time-use>
<enabled>true</enabled>
795
<change-password-at-signin>false</changepassword-at-signin>
</user>
</users>
</local>
<name>Administrators</name>
</auth-server>
Para hacer cambios en los datos de la cadena que aparecen entre las etiquetas de
inicio y de final. Por ejemplo, en el ejemplo anterior puede agregar o cambiar los
siguientes elementos:
<name>Administrators</name>
<fullname>Platform Administrator</fullname>
<username>admin</username>
<password-cleartext>password</password-cleartext>
<change-password-at-signin>false</change-password-at-signin>
NOTA: Si cambia un usuario para un determinado servidor de autenticacin

o cambia un servidor de autenticacin para un determinado usuario, estar
creando un usuario distinto, no actualizando un usuario existente o un servidor
existente. Un usuario y un servidor de autenticacin juntos definen lgicamente
a un usuario nico.
El ejemplo anterior muestra los datos del elemento Password como datos
encriptados, indicando que no puede cambiar el valor de la contrasea. De forma
predeterminada, la operacin e exportacin de XML proporciona contraseas
encriptadas con un password-encrypted. Puede modificar la contrasea si cambia el
elemento a password-cleartext. Si modifica la contrasea en el archivo de instancia,
el valor contrasea ser visible hasta que se vuelva a importar al IVE. Despus de
importado, IVE encripta la contrasea.
Si escribe contraseas para usuarios nuevos en formato cleartext, las contraseas
sern visibles en el archivo de instancia, por lo que quizs debera plantearse
ajustar la opcin Change Password at Next Login con el valor true.
NOTA:
796
Debido a que las contraseas estn encriptadas de forma predeterminada, se

pueden traspasar de un sistema al otro.
Nunca debe intentar encriptar una contrasea de forma manual en el archivo

XML. El IVE rechaza cualquier intento de hacerlo. Use el password-cleartext
y escriba una contrasea de texto cuando cambie las contraseas a travs el
archivo XML.
Espacios de nombres
Los espacios de nombres le permiten usar en su cdigo las mismas palabras
o etiquetas de contexto o vocabularios XML diferentes. Si agrega calificadores de
nombres de espacios como prefijos a los elementos permite que un archivo de
instancia incluya referencias a distintos objetos que se originan en diferentes
vocabularios de XML y que comparten el mismo nombre. Si no agrega el prefijo
a los elementos con calificadores de espacios de nombres, el espacio de nombre
XML ser el predeterminado y se har referencia a los nombres de tipos de
elementos en ese espacio de nombre sin un prefijo.
Una declaracin de espacio de nombre se ve de la siguiente forma:
No es necesario preocuparse por los identificadores de espacio de nombre que vea

en sus archivos de instancia, a menos que los elimine o modifique.
Secuencia de elementos
Debe evitar cambiar la secuencia de elementos en el archivo de instancia en la
medida de lo posible. Aunque el esquema no aplica la secuencia en todos los casos,
no tiene ninguna ventaja cambiar el orden en el que los elementos aparecen en el
archivo de instancia exportado y, en algunos casos, podra invalidar un documento
de instancia al cambiar la secuencia de los elementos.
Restricciones de integridad referencial

Los objetos de configuracin del IVE son parte de un modelo de datos que se aplica
a travs del uso de restricciones de integridad referencial. No podr cambiar estas
restricciones, pero debe entenderlas antes de intentar eliminar objetos que
dependan de otros objetos.
Si no respeta las restricciones de integridad referencial del IVE, la operacin de
importacin presentar un error. El diagrama siguiente muestra las relaciones entre
varios objetos del IVE.
Figura 45: IVE Restricciones de integridad referencial de objetos
En la Figura 45 las casillas representan tipos de objetos del IVE y las flechas
representan relaciones de dependencia entre los tipos de objetos. Las flechas
apuntan desde los objetos dependientes a los otros.
797
El sistema no le permite eliminar un objeto del que depende otro objeto. Y a la

inversa, cuando agrega uno, debe agregar todos los otros objetos de los cuales
depende se.
En la Figura 45, las direcciones URL de inicio de sesin dependen de los territorios
y de las pginas de inicio de sesin. Los territorios dependen tanto de los servidores
de autenticacin como de los roles. Las directivas dependen de los roles. Los
usuarios dependen de los servidores de autenticacin.
Observe los siguientes escenarios basado en la Figura 45:
Si agrega direcciones URL de inicio de sesin, debe agregar territorios, pginas

de inicio de sesin y servidores de autenticacin. Deber agregar un servidor
de autenticacin y al menos un rol para admitir el territorio, adems de la
pgina de inicio de sesin para admitir la nueva direccin URL de inicio de
sesin.
Si agrega un usuario, debe poder asignarlo a un servidor de autenticacin. Si no

hay un servidor de autenticacin en el IVE de destino, deber agregar uno en el
archivo de instancia.
Si agrega una directiva, debe poder asignarla a un rol. Si no hay un rol en el IVE
de destino, deber agregar una en el archivo de instancia.
Si elimina un servidor de autenticacin, se pueden inhabilitar los territorios

y usuarios, por lo tanto, deber asegurarse de que no hay territorios ni usuarios
que dependan del servidor de autenticacin antes de que intente eliminarlo.
Si elimina un rol, es posible que inhabilite directivas y territorios. Para eliminar

un rol, primero debe eliminar cualquier directiva que dependa de l o reasignar
la directiva asociada a otro rol. Adems, para eliminar un rol, primero deber
eliminar o reasignar cualquier territorio que dependa de ese rol.
Si elimina una pgina de inicio de sesin, es posible que inhabilite una o ms

direcciones URL de inicio de sesin. Para eliminar una pgina de inicio de
sesin, primero debe eliminar cualquier direccin URL de inicio de sesin
asociada o reasignarla a otra pgina de inicio de sesin.
NOTA: Las comprobaciones de integridad referencial se realizan solamente

durante la importacin de XML.
Asignacin de instancia XML a componentes UI

Los elementos de la instancia XML se relacionan estrechamente con los objetos
y sus opciones como las ve en la consola de administracin. Los nombres de
elementos en el archivo de instancia XML se correlacionan estrechamente con los
nombres de objeto y de opcin mostrados.
Por ejemplo, vaya a Users > User Roles > [Rol] > General > Session Options en
la consola de administracin. La consola de administracin enva los valores
posibles para una sesin itinerante como un grupo de botones de opciones que
consta de los valores siguientes:
798
Enabled
Limit to subnet
Disabled
El siguiente fragmento del archivo de configuracin exportado muestra las opciones

de la sesin para el rol Users. En la lnea en negrita, la opcin de la sesin itinerante
est configurada en disabled:
<session-options>
<idle-timeout>10</idle-timeout>
<max-timeout>60</max-timeout>
<reminder-time>5</reminder-time>
<session-timeout-warning>false</session-timeout-warning>
<session-timeout-relogin>true</session-timeout-relogin>
<roaming>disabled</roaming>
<netmask></netmask>
<persist-session-cookie>disabled</persist-session-cookie>
<persist-passwords>disabled</persist-passwords>
<request-follow-through>disabled</request-follow-through>
<session-idle-timeout-skip>disabled</session-idle-timeout-skip>
<session-upload-log>false</session-upload-log>
</session-options>
En el archivo de esquema, encontrar los valores permitidos para la opcin de

sesin itinerante (roaming):

<xsd:element name="roaming" minOccurs="0">
...
<xsd:enumeration value="enabled">
...
<xsd:enumeration value="limit-to-subnet">
...
<xsd:enumeration value="disabled">
...
</xsd:element>

Si desea cambiar el valor para la sesin itinerante desde disabled a limit to

subnet, reemplace disabled por limit-to-subnet.
Este ejemplo le muestra que la consola de administracin a menudo proporciona
todos los valores permitidos, que se muestran en un grupo de botn de radio, como
casillas de verificacin, como listas desplegables o como otros tipos de
componentes de interfaz de usuario. El archivo de instancia muestra slo el estado
actual de la configuracin del IVE. El archivo de esquema muestra todos los valores
reales para las opciones de configuracin que se admiten en la caracterstica XML
Import/Export.
Para obtener ms informacin acerca de elementos especficos, revise los archivos
de esquema directamente.
799
Descarga del archivo de esquema

Puede descargar el archivo de esquema (.xsd) para los objetos IVE si desea revisar la
estructura y las reglas que se aplican a los objetos.
Puede descargar el archivo de esquema de dos maneras:
Desde las pginas XML Import/Export, haciendo clic en un hipervnculo.
De forma directa, introduciendo a la URL donde se almacenan los archivos en

el sistema.
Para tener acceso al archivo .xsd, introduzca a la siguiente direccin URL, ya sea
directamente o a travs de un script:
https://<IP-or-hostname>/dana-na/xml/config.xsd
donde IP-or-hostname es la direccin IP del IVE o el nombre del host. Con este
mtodo, no ser necesario que inicie sesin en el IVE.
NOTA: Esta caracterstica puede cambiar en el futuro. Est alerta de esto si usa
scripts para tener acceso al archivo comprimido en zip mediante la direccin URL.
Los elementos que podran cambiar son:
La direccin URL.
El nombre de archivo.
La extensin del archivo.
Estrategias para trabajar con instancias XML

Las siguientes estrategias pueden ser tiles cuando exporte e importe archivos de
instancias XML:
800
Defina su objetivo para una operacin de XML Import/Export.
Qu objeto del IVE desea agregar, actualizar o eliminar?
Necesita completar todas las modificaciones en una operacin o puede

modificar la configuracin en operaciones separadas?
El proceso ser una operacin de una nica vez, o necesitar realizar la

misma operacin varias veces?
Va a actualizar un IVE existente o va a usar una configuracin de un IVE

como una plantilla para configurar otros IVE?
Documente los cambios en los objetos del IVE que desea modificar.
Haga una lista de objetos que se agregarn, actualizarn o eliminarn.
Haga una lista de datos de atributos especficos para los objetos que
agregar o actualizar.
Haga una lista con las pginas o fichas de la consola de administracin que
correspondan a los objetos y atributos que desea cambiar.
Tome una imagen instantnea binaria del sistema o realice una copia de
seguridad binaria de la configuracin antes de realizar la importacin.
Establezca un plan para verificar que la configuracin realizada cumple sus

objetivos.
Compruebe el registro de Admin Acces para asegurarse de que las

operaciones de importacin y exportacin resultaron correctas.
Realice una comprobacin al azar de los elementos modificados. Asegrese

de que los elementos se agregaron, actualizaron o eliminaron de acuerdo
con lo esperado.
Casi siempre necesitar usar el archivo de instancia XML y la consola de

administracin juntos, especialmente cuando comience a modificar por primera
vez los archivos de instancia XML. Es posible que tambin deba ver los archivos de
esquema XML.
Use el archivo de instancia XML para:
Identificar los objetos de la configuracin, que se expresan como

elementos XML.
Busque los datos de configuracin y modifquelos.
Use la consola de administracin para:
Correlacionar componentes visuales al esquema XML y a los elementos de

instancia.
Confirmar la precisin de las modificaciones en objetos especficos.
Use el archivo de esquema XML para:
Identificar la estructura y la secuencia de los objetos de configuracin.
Identificar los elementos opcionales y necesarios, los valores permitidos, los

valores predeterminados y otros atributos de los objetos de configuracin.
NOTA: La importacin y exportacin de los archivos de configuracin XML puede

tardar varios minutos en finalizar. No realice ninguna operacin que pueda
modificar o eliminar datos que actualmente se estn importando o exportando.
801
Importacin de datos de configuracin XML

Para importar datos de configuracin XML:
1. Elija Maintenance > Import/Export > Import XML en la consola de
administracin.
2. En Schema Files, haga clic en el enlace para descargar los archivos XML
Schema (.xsd) que describen los objetos del IVE (opcional). Para obtener ms
informacin acerca de los archivos de esquema, consulte Descarga del archivo
de esquema en la pgina 800.
3. Busque y seleccione el archivo de datos XML que desea importar. Puede
importar un archivo de fragmento XML si desea importar slo la configuracin
parcial.
4. Haga clic en Import. La pgina Import XML Results muestra la informacin
contenida acerca de los ajustes de red, los roles, las directivas de recursos
y otros ajustes importados.
Si hay errores en el XML, la operacin de importacin se detendr y volver la
configuracin al estado anterior. Los mensajes de error se muestran en la
pgina Import XML Results.
5. Haga clic en OK para volver a la pgina Import.
Tenga en cuenta lo siguiente cuando importe datos de configuracin XML:
802
Una directiva de recursos importada est asociada a un rol que no existe en el

IVE de destino y el rol no existe en el archivo XML. El proceso de importacin
de XML presentar un error.
Un perfil de recursos importado est asociado a un rol que no existe en el IVE

de destino y el rol no existe en el archivo XML. El proceso de importacin de
XML presentar un error.
Un perfil de recursos importado contiene un marcador y un rol asociado pero la

referencia del marcador dentro del rol no existe.
Un perfil de recursos importado est asociado a un rol. Ese rol est asociado a
un marcador pero el marcador no se encuentra en el perfil de recursos.
Un perfil de recursos importado contiene una directiva de recursos que no se

encuentra en la lista de directivas de recursos. La referencia de la directiva de
recursos se vuelve a crear en el IVE de destino y se registra un error.
El perfil de recursos importado es un hijo de otro perfil de recursos pero el

perfil padre no se encuentra. El proceso de importacin de XML presentar
un error.
Los applets de Java almacenados se tratan como tipos de datos BLOB y se

importan como fragmentos de datos codificados base 64.
No se puede importar o exportar certificados de firma de cdigo.
Un marcador de rol importado es un hijo de un perfil de recursos pero el perfil

de recursos no se encuentra en el archivo de configuracin. El marcador no se
importa y se registra un error. Esto puede ocurrir cuando, por ejemplo, exporta
un rol sin exportar el perfil de recursos y luego importa este archivo de
configuracin a un nuevo IVE.
Una directiva de recursos hija importada necesita un perfil padre en los datos
de configuracin. La directiva de recursos hija se elimina (no se importa).
Una directiva de recursos hija contiene una regla detallada que no existe en el
perfil de recursos padre. El proceso de validacin de la importacin presentar
un error, al igual que el proceso de importacin de XML.
(cuando slo se exportan perfiles de recursos) Si se crean nuevas referencias de

directivas de recursos en un IVE que an no tiene esas directivas de recursos,
las nuevas directivas de recursos se insertarn delante de las existentes.
Por ejemplo, suponga que hay cuatro directivas de recursos: resource_policy_A,
resource_policy_B, resource_policy_C y resource_policy_D y resource_policy_B
y resource_policy_D son directivas de recursos hijas de resource_policy_parent.
Exporte slo resource_policy_parent desde el IVE de origen e importe esa
directiva en el IVE de destino. Se crearn Resource_policy_B y resource_policy_D
en el IVE de destino. Ahora importe las cuatro directivas de recursos desde el
IVE de origen e imprtelos en el IVE de destino. El orden resultante de las
directivas es resource_policy_A, resource_policy_C, resource_policy_B,
resource_policy_D.
(cuando se exportan solo perfiles de recursos) No se importa ningn ajuste con

los certificados para dispositivos configurados para la autenticacin de cliente
SOAP debido a que los certificados para dispositivos no son portables.
(cuando se exportan slo perfiles de recursos) No se admite la importacin

de CDP.
Un paquete ESAP no admite un producto que est configurado en alguna de las

reglas del Host Checker. La importacin del paquete ESAP presenta un error.
Se deben cumplir las siguientes condiciones del Host Checker o, de lo

contrario, ocurrir un error:
Las expresiones personalizadas definidas en una directiva del Host Checker

deben hacer referencia slo a reglas configuradas dentro de esa directiva
del Host Checker.
Las directivas del Host Checker deben contener slo tipos de reglas vlidas
para esa plataforma. Por ejemplo, no puede tener reglas AV predefinidas
para plataformas Macintosh o Linux.
Las directivas de antivirus, cortafuegos y spyware deben contener slo los

tipos que estn disponibles en los paquetes ESAP actualmente activos.
Puede importar una licencia slo al mismo sistema. No puede importar una
licencia desde un IVE distinto (se registrar un error).
No se admite la importacin de clsteres.

803
Exportacin de datos de configuracin XML

Tenga en cuenta lo siguiente cuando exporte datos de configuracin XML:
Las directivas de recursos que existen en perfiles de recursos se exportan. Sin

embargo, la entrada de la directiva de recursos en la tabla de directivas de
recursos no se exporta.
Los marcadores de perfiles de recursos se exportan, pero la misma entrada del

marcador en Roles no se exporta.
Las asociaciones de rol se exportan pero los datos de rol individuales no.
Los applets de Java almacenados se tratan como tipos de datos BLOB y se

exportan como fragmentos de datos codificados base 64.
No se admite la exportacin de CDP.
Los archivos de paquetes JEDI se exportan como BLOB encriptados.
Las directivas de terceros se exportan como la directiva principal ms el

paquete JEDI (como un archivo comprimido en zip) y un grupo de
subdirectivas. No puede exportar ninguno de estos elementos de forma
separada.
Los paquetes ESAP se exportan como BLOB encriptados.
Los archivos de datos de firmas AV asociados con Virus Signature Version

Monitoring se exportan como un BLOB encriptado.
No existe la opcin de seleccionar los ajustes VLAN/direccin de IP de origen

para exportacin. Sin embargo, estos ajustes se exportan con el rol al que se
asocian.
Para exportar datos de configuracin XML:

1. Elija Maintenance > Import/Export > Export XML en la consola de
administracin.
2. (opcional) En Schema Files, haga clic en el enlace para descargar el archivo
XML Schema (.xsd) que describe los objetos del IVE (opcional). Para obtener
ms informacin acerca de los archivos de esquema, consulte Descarga del
archivo de esquema en la pgina 800.
3. Haga clic en Expand All para ver todos los ajustes; haga clic en Select All para
seleccionar todos los ajustes identificados en la pgina. De lo contrario,
seleccione la informacin especfica que desea exportar. Dentro de cada
seccin, puede hacer clic en Select All para seleccionar todos los ajustes dentro
de una seccin en particular:
4. Seleccione la casilla de verificacin System Settings para exportar ajustes de
red, como ajustes de puertos internos, ajustes de puertos externos
e informacin de licencia. Las opciones son:
804
Hora y fecha del sistema: Exporta la zona horaria del servidor y los ajustes
del protocolo de hora de la red (NTP).
Pgina de cabina: Exporta los ajustes de la pgina System Status Overview,

como los grficos que se muestran y la frecuencia de actualizacin.
Licencias: Exporta las licencias en un formato encriptado.
NOTA: Las siguientes reglas se aplican a las licencias exportadas e importadas:
No puede editar los datos de licencia que se exportan, ya que estn

encriptados.
Una importacin XML de licencias slo es vlida si el equipo que importa la

licencia no tiene una instalada actualmente. Si hay una licencia instalada, se
eliminar cualquier licencia importada. Si an intenta importar una licencia,
debe restablecer a valores de fbrica el IVE, y luego realizar la operacin de
importacin.
Si importa una licencia despus de eliminar una licencia temporal del IVE, la
licencia importada no se tendr en cuenta debido a que an podra reactivar
la licencia eliminada y la operacin de importacin intenta mantener
cualquier dato actual en el IVE.
NCP: Exporta las opciones NCP, tales como el valor de la seleccin

automtica, el tiempo de espera de la conexin de lectura y el tiempo de
espera de la conexin de inactividad.
Sensores: Exporta eventos del sensor y sus directivas.
Tipos de clientes: Exporta los tipos de clientes y su patrn de cadena de

usuario-agente coincidente.
Secure Meeting: Exporta ajustes de configuracin de Secure Meeting, como

los ajustes de la duracin de la sesin, la direccin URL de la reunin raz
y enva por correo electrnico los ajustes de notificaciones de reuniones,
Seguridad: Exporta los ajustes de configuracin de seguridad, como las

versiones SSL y TLS, la intensidad de la encriptacin, el valor del tiempo de
espera de la conexin SSL y las opciones de cookies.
Vista general: Exporta los ajustes de la ficha Network Settings Overview,

como la administracin de DNS, WINS y de ancho de banda.
Puerto de Internet: Exporta los ajustes de la ficha Network Settings Internal

Port, como la direccin IP, la mscara de red, la puerta de enlace
predeterminada, la velocidad del enlace, el tiempo de espera del comando
ping ARP y MTU.
Puerto externo: Exporta los ajustes de la ficha Network Settings External

Port, como la direccin IP, la puerta de enlace predeterminada, la velocidad
del enlace, el tiempo de espera del comando ping ARP y MTU.
VLANS: Exporta los ajustes de la ficha Network Settings VLAN, como el

nombre, la identidad, la ID, la direccin IP, la mscara de red y la puerta
de enlace.
805
Rutas: Exporta los ajustes de la ficha Network Settings Routes, como la

direccin IP, la mscara de red, la puerta de enlace y la interfaz.
Hosts: Exporta los ajustes de la ficha Network Settings Hosts, como la

direccin IP y el nombre.
Clsteres: Exporta las propiedades de los clsteres, como el nombre del

clster, los ajustes de la configuracin, los ajustes de sincronizacin y los
ajustes del estado de la red. Esta opcin es visible slo cuando el
dispositivo es parte de un clster.
Eventos: Exporta ajustes de registro de eventos, como el tamao mximo

del registro y qu eventos registrar.
Acceso de los usuarios: Exporta ajustes de registro del acceso de los

usuarios, como el tamao mximo del registro, el servidor syslog y qu
eventos registrar.
Acceso del administrador: Exporta ajustes de registro del acceso del

administrador, como el tamao mximo del registro, el servidor syslog
y qu eventos registrar.
Sensores: Exporta los ajustes de registros del sensor, como el tamao

mximo del registro y el servidor syslog.
Registros de clientes: Exporta los ajustes de registros de cliente, como qu

caractersticas del lado cliente registrar y el tamao del espacio del disco.
SNMP: Exporta los ajustes de registro SNMP, incluyendo el nombre del

nodo, el nombre y la ubicacin del sistema, los ajustes de captura y
los lmites.
5. Seleccione la casilla de verificacin Sign-in Settings para exportar servidores

de autenticacin, opciones de contrasea, opciones de administracin de
contrasea, pginas de inicio de sesin estndares, texto personalizado,
opciones de encabezado, mensajes de error personalizados, opciones de
ayuda, direcciones URL de inicio de sesin y tipo de pgina.
806
En Sign-in URLs, elija ALL sign-in URLs para exportar todas las
direcciones URL de inicio de sesin o elija SELECTED sign-in URLs para
especificar qu direcciones URL de inicio de sesin exportar.
En Sign-in Pages, seleccione ALL Pages para exportar todas las pginas de
inicio de sesin, SELECTED pages para especificar qu pginas de inicio de
sesin exportar u ONLY pages used by URLs selected above para exportar
slo esas pginas que son vlidas para las direcciones URL de inicio de
sesin seleccionadas arriba.
En Authentication servers, seleccione ALL auth servers para exportar

todos los servidores de autenticacin o SELECTED auth servers para
especificar qu servidores de autenticacin exportar.
6. Seleccione la casilla de verificacin Endpoint Security para exportar los ajustes

del Host Checker y Cache Cleaner.
En Host Checker, elija Host Checker options para exportar ajustes de la

ficha Endpoint Security Host Checker, como los ajustes de actualizacin en
tiempo real y los valores de intervalo y de tiempo de espera. El archivo de
datos de firma de antivirus exportado y asociado con la opcin de
supervisin de versin de la firma de virus est encriptado.
Seleccione ALL policies para exportar todas las directivas del Host Checker
o elija SELECTED policies para especificar qu directivas del Host Checker
se exportarn. Los archivos de paquete JEDI estn encriptados. Las
directivas de terceros se exportan como la directiva principal ms el
paquete JEDI y las subdirectivas. No puede separar estos paquetes para
exportarlos.
Seleccione Remote IMV para exportar todos los ajustes de los servidores
IMV y las reglas IMV remotas.
Seleccione ESAP para exportar todos los ajustes ESAP. Los paquetes ESAP
estn encriptados cuando se exportan.
Seleccione Cache Cleaner settings para exportar las opciones de Cache

Cleaner definidas en la ficha Endpoint Security Cache Cleaner, incluyendo
la frecuencia de actualizacin, los ajustes de cach del explorador y los
ajustes de carpeta y archivo.
7. Seleccione la casilla de verificacin Authentication Realms para exportar los

territorios de autenticacin de administrador y usuario.
Dentro de cada grupo,
escoja ALL resource realms para exportar todos los territorios dentro de
ese grupo.
Escoja SELECTED realms, seleccione los territorios de la lista Available

Realms y haga clic en Add para exportar esos territorios de autenticacin
seleccionados.
8. Seleccione la casilla de verificacin Roles para exportar los roles de

administrador y usuario.
Escoja ALL roles para exportar todos los roles dentro de ese grupo.
Escoja SELECTED roles, seleccione los roles de la lista Available Roles

y haga clic en Add para exportar esos roles seleccionadas.
9. Seleccione la casilla de verificacin Resource Profiles para exportar los ajustes

del perfil de recursos, incluyendo la lista de directivas de recursos, los
marcadores y los roles asociados.
Seleccione Hosted Java Applets para exportar todos los applets que se han
actualizado en el sistema. No es posible seleccionar applets de Java individuales
para exportar.
807
Dentro de cada grupo,
Escoja ALL resource profiles para exportar todos los perfiles de recursos
dentro de ese grupo.
Escoja SELECTED resource profiles, seleccione los perfiles de la lista

Available Profiles y haga clic en Add para exportar esos perfiles
seleccionados.
10. Seleccione la casilla de verificacin Resource Policies para exportar directivas

de recursos. A continuacin, seleccione las casillas de verificacin que
correspondan a los tipos de directivas de recursos que desea exportar.
11. Seleccione la casilla de verificacin Local User Accounts para exportar las
cuentas de usuario locales.
Escoja From ALL local auth servers para exportar todas las cuentas de
usuario locales desde todos los servidores de autenticacin locales.
Escoja From SELECTED local auth servers, seleccione los servidores de

autenticacin de la lista Available Servers y haga clic en Add para exportar
los usuarios locales desde esos servidores de autenticacin.
12. Seleccione la casilla de verificacin Maintenance Settings que exportar.
System Options: exporta los ajustes de la ficha System Mainteinace

Options.
Push Config Targets: exporta los destinos seleccionados y si este dispositivo

puede aceptar configuraciones de envo.
Archiving: exporta ajustes de archivado, como el servidor de archivado,

el directorio de destino, el nombre de usuario y la contrasea y los
componentes que se archivarn.
Snapshot: exporta las opciones de imagen instantnea del sistema,

incluyendo los ajustes de imgenes instantneas automticas y si desea
incluir la configuracin del sistema y los registros de depuracin.
13. Haga clic en Export para guardar la informacin en un archivo XML.
Reinicios del sistema

Aunque se han realizado todos los intentos para reducir el nmero de reinicios,
algunos cambios todava requieren el reinicio del servidor. La siguiente tabla
muestra el comportamiento del sistema cuando se cambian ciertas opciones. Los
reinicios ocurren despus de cambiar y guardar estos ajustes y cuando importa una
configuracin XML que contiene valores distintos.
808
Tabla 43: Comportamiento del sistema cuando se editan opciones

Ventana
Comportamiento del sistema
System > Status > Overview
Todos los procesos actualizan sus ajustes de zona

horaria cuando se actualiza la zona horaria en la fecha
y hora del sistema.
Authentication > Auth Servers > NIS

Server
Reinicia servicios Linux YP
System > Log/Monitoring > SNMP
Se reinicia el servidor SNMP
Authentication > Signing In > Sign-in

Policies
Se reinicia el servidor Web
System > Configuration > NCP
Users > Resource Policies >

Files > Options
dsstartws se reinicia cuando cambia la codificacin y el

servidor de exploracin se reinicia.
Maintenance > System > Options
System > Configuration > Security
Al cambiar las opciones siguientes se reinicia el

servidor Web con los nuevos ajustes de SSL:
Allows SSL and TLS version
Allowed Encryption Strength
Encryption Strength Option
SSL Handshake Timeout
Auth Servers
Al crear un servidor de autenticacin nete o cambiar

una opcin de nete se reiniciar el servidor nete
Users > Resource Policies > Email

Client
Activa o desactiva dspopd, dsimapd y dssmtpd

dependiendo del estado de la compatibilidad del
estado de correo electrnico y los ajustes de servidor
de correo correspondientes
Maintenance > System > Options
Reinicia dscrld y dsstartws. Inicia rwcached si la opcin

est actualmente desactivada.
System > Configuration >

Certificates > Trusted Client CAs >
nombre de certificado > CRL Checking
Options
Vuelve a buscar los CDP (puntos de distribucin CRL)
System > Network > Internal Port
Reinicia los servicios de red que en respuesta reinician

el servidor Web
System > Network > Management

el servidor Web
System > Network > Port 1/External

Port

el servidor Web
System > Network > Routes

el servidor Web
System > Network > Hosts

el servidor Web
Authentication > Auth Servers > ACE
Extrae los contenidos del archivo ACE y escribe los

contenidos en el directorio de instalacin
System > Configuration > License
Reinicia varios servicios
809
Casos de uso de XML Import/Export

Los siguientes casos de uso muestran ejemplos comunes de cmo puede usar la
caracterstica XML Import/Export. Cada caso de uso consiste en una breve
descripcin y un procedimiento para realizar el caso de uso. Estos casos de uso se
abrevian y no cubren todas las complejidades y los detalles de realizar un grupo
completo de procedimientos. Los casos de uso se incluyen solamente como
ilustracin de usos posibles para la caracterstica XML Import/Export.
Caso de uso: Agregar varios usuarios nuevos a un IVE

Acaba de agregar un dispositivo IVE nuevo a su red y desea agregar sus dos mil
usuarios al sistema. No desea agregarlos de a uno en la consola de administracin,
sino que le gustara realizar una importacin masiva y obligar a los usuarios
a cambiar sus contraseas la primera vez que inicien sesin en el sistema. Puede
exportar las cuentas de usuario, extraer el XML pertinente que define a los usuarios,
replicar cada elemento segn sea necesario y luego importarlos al IVE.
En este procedimiento, slo ver ejemplos para User 1, User 2 y User 2000. Se
supone que todos los otros usuarios estn incluidos en su archivo de importacin.
Debe configurar las contraseas a instancias numeradas de la contrasea de
palabra, como password1, password2, etc. Todos los usuarios en este ejemplo se
asignan al mismo servidor de autenticacin, aunque puede especificar cualquier
combinacin de servidores de autenticacin que sean vlidos en su sistema.
Para agregar nuevos usuarios mltiples a un IVE:
1. En la consola de administracin, vaya a Maintenance > Import/Export >
Export XML.
2. Siga las instrucciones para exportar cuentas de usuario locales como se
describe en Estrategias para trabajar con instancias XML en la pgina 800.
3. Guarde el archivo exportado como users.xml.
4. Abra el archivo users.xml.
5. Copie y pegue el elemento contenedor User hasta que haya agregado la
cantidad necesaria de usuarios. Aunque el ejemplo muestra slo tres usuarios
nuevos, puede agregar cientos de usuarios nuevos al archivo.
6. Actualice los datos adecuados en cada elemento contenedor User, como se
muestra en el siguiente ejemplo:
NOTA:
810
El formato del siguiente ejemplo se ha modificado del original para mejorar la

lectura. El cdigo XML real puede verse distinto.
Debe cambiar la contrasea a password-cleartext, de lo contrario, el IVE

supone una encriptacin predeterminada.
<authentication>
<auth-servers>
<auth-server>
<local>
<users>
<user>
<username>user1</username>
<fullname>User1</fullname>
<password-cleartext>password1
</password-cleartext>
<change-password-at-signin>true
</change-password-at-signin>
</user>
<user>
<username>user2</username>
<fullname>User2</fullname>
<password-cleartext>password2
</password-cleartext>
<change-password-at-signin>true
</change-password-at-signin>
</user>
<name>System Local</name>
</auth-server>
</auth-servers>
</authentication>
</configuration>
7. Guarde el archivo users.xml.

XML Import/Export > Import.
9. Haga clic en Browse y busque su archivo users.xml.
Caso de uso: Actualizacin de directivas

Desea cambiar todas las directivas de reescritura ActiveX desde una accin de
rewrite-url-response-static-dynamic a otra accin, pero no desea escribir cada
directiva de forma separada en la consola de administracin. Para ello, puede
exportar un archivo de instancia, realizar sus cambios y luego volver a importar el
archivo al IVE.
Para actualizar directivas en un IVE:
En la consola de administracin, vaya a Maintenance > Import/Export > XML
Import/Export > Export.
811
1. Siga las instrucciones para exportar directivas de recursos como se describe en

Estrategias para trabajar con instancias XML en la pgina 800.
2. Guarde el archivo exportado como policy.xml.
3. Abra el archivo exportado.
4. Abra el archivo de esquema policy.xsd en su sistema usando un editor de texto
o un editor de XML. En el archivo de esquema, busque el valor de accin
rewrite-url-response-static-dynamic. La definicin de esquema incluye el valor de
accin de la directiva actual, adems de otros valores posibles, como se
muestra en el siguiente ejemplo:
<xsd:simpleType>
<xsd:restriction base="xsd:token">
<xsd:enumeration value="rewrite-url-response-static">
<xsd:annotation>
<xsd:appinfo>
<dmi:enum-info>
<title>Rewrite URL and response (Static HTML
only)</title>
</dmi:enum-info>
</xsd:appinfo>
</xsd:annotation>
</xsd:enumeration>
<xsd:enumeration value="rewrite-url-response-static-dynamic">
...
<xsd:enumeration value="rewrite-url-static">
...
<xsd:enumeration value="rewrite-url-static-dynamic">
...
<xsd:enumeration value="rewrite-hostname-static">
...
<xsd:enumeration value="rewrite-hostname-static-dynamic">
...
<xsd:enumeration value="rewrite-url-hostname">
...
<xsd:enumeration value="rewrite-data">
...
<xsd:enumeration value="no-rewrite">
</xsd:restriction>
</xsd:simpleType>
5. En el archivo exportado policy.xml, busque y reemplace rewrite-url-responsestatic-dynamic con el valor de accin de, por ejemplo, rewrite-url-static-dynamic.
NOTA: El siguiente ejemplo muestra slo un fragmento del archivo policy.xml real.
Adems, el formato se ha modificado del original para mejorar la lectura. El cdigo

XML real puede tener un aspecto distinto.
812
<activex-param>
<classid>5BDBA960-6534-11D3-97C7-00500422B550</classid>
<description>iNotes Discussion </description>
<params>
<param>
<parameter>FullUrl</parameter>

<action>rewrite-url-response-static-dynamic</action>
</param>
</params>
</activex-param>
6. Guarde el archivo policy.xml.

XML Import/Export > Import.
8. Haga clic en Browse y busque su archivo policy.xml.
Caso de uso: Uso de XML Import/Export en un entorno de clsteres

Puede usar la caracterstica XML Import/Export en un entorno de clsteres. Sin
embargo, debe adherirse a ciertas reglas y debe seguir un procedimiento especial
para completar la operacin correctamente.
La instancia XML que desea importar debe contener el mismo grupo de nodos
que el clster original. La firma usada para sincronizar el clster cuando los
nodos se rehabilitan se deriva de las direcciones IP de los nodos del clster, por
lo que los nodos restantes no pueden reintegrarse al clster si la configuracin
importada ofrece una firma diferente.
No modifique el nombre del nodo, la direccin IP ni la mscara de red IP en el

archivo de instancia.
No cambie ningn ajuste de red en el archivo de instancia que cause que el

nodo primario sea inaccesible. Por ejemplo, no debe cambiar la configuracin
de la puerta de enlace predeterminada para un clster de sitios mltiples.
En la importacin, el archivo de instancia sobrescribe los ajustes de red de la

configuracin del clster especficos de cada nodo restante. Si cambia estos
ajustes de red especficos del nodo, asegrese de no dejar fuera de alcance los
nodos restantes.
No modifique los ajustes de puertos virtuales existentes ni agregue ajustes de

puertos virtuales nuevos en el archivo de instancia.
Cuando realice una operacin de importacin en un clster, todos los nodos del
clster se deben habilitar y ejecutar. Si intenta importar una configuracin en
un clster en el que un nodo no se est ejecutando, la operacin de
importacin puede detenerse o los resultados de importacin pueden ser
impredecibles.
813
Importacin de un sistema con el puerto de administracin

Si importa una configuracin de un sistema que no admite un puerto de
administracin a un sistema que tiene habilitado un puerto de administracin y lo
importa todo, incluidas las licencias, parecer que se ha eliminado el puerto de
administracin en el sistema objetivo. En realidad, el puerto de administracin
sigue estando operativo y reaparecer junto con su configuracin original cuando
vuelva a aplicar la licencia del puerto de administracin para el sistema objetivo. Si
importa al destino pero especifica la opcin Import everything except network
settings and licenses, el puerto de administracin y su configuracin se mantienen
en el sistema de destino y el puerto queda operativo.
Uso de los atributos de operacin

Las operaciones de edicin de datos se determinan por los atributos de operacin
del elemento en los datos XML importados. Los atributos de operacin definen la
posicin o la accin de los datos XML dentro del esquema. Si no especifica un
atributo de operacin, los datos modificados se fusionan de forma predeterminada.
El atributo de operacin se aplica a todos los objetos hijos a menos que un nuevo
atributo de operacin se defina en los objetos hijos.
Los datos XML con un atributo de operacin tienen el siguiente formato:
<object1 xc:operation="operator for object1 and its children unless new
operator is defined">
.
<object2>
<object3 xc:operation="operator for object3">
</object3>
</object2>
</object1>
Los siguientes son los atributos de operacin admitidos:
814
Merge: Los datos de configuracin identificados por el elemento que contiene

este atributo se fusionan con la configuracin en el nivel correspondiente en el
almacn de datos de configuracin identificado por el parmetro de destino.
ste es el comportamiento predeterminado.
Replace: Los datos de configuracin identificados por el elemento que contiene

este atributo reemplazan cualquier configuracin relacionada en el almacn de
datos de configuracin identificado por el parmetro de destino. Slo afecta a la
configuracin que est presente en el parmetro de configuracin.
Create: Los datos de configuracin identificados por el elemento que contiene

este atributo se agregan a la configuracin solamente si los datos de
configuracin no existen an en el dispositivo.
Delete: Los datos de configuracin identificados por el elemento que contiene

este atributo se eliminan del almacn de datos de configuracin identificado
por el parmetro de destino.
Insert before: Cambia la posicin de un elemento de configuracin en un

grupo ordenado.
Insert after: Cambia la posicin de un elemento de configuracin en un grupo

ordenado.
Rename: Cambia el nombre de uno o ms identificadores de objetos de

configuracin.
Si fusiona una lista de objetos con una lista existente de objetos en el almacn de
configuracin, se podran obtener resultados inesperados en la lista de objetos
fusionada. Durante una operacin de fusin, no se mantiene el orden de los objetos
en la lista nueva. Si importa una lista de objetos y desea mantener el orden de la
lista nueva, debe usar el atributo de operacin replace. Tambin puede usar las
opciones insert before o insert after para asegurarse de producir la jerarqua que
desea.
Los atributos de operacin se aplican a los elementos de forma recurrente, a menos
que tambin se definan nuevos operadores dentro de los elementos ms bajos. Hay
limitaciones en el operador legal que se puede usar en elementos hijos sin conflicto
con el operador padre. La Tabla 44 muestra las relaciones del operador legal entre
los elementos padre e hijo.
Tabla 44: Relaciones de atributos de operacin legal
Hijo >
Padre V
Create
Merge
Replace
Delete
Insert
before
Insert
before
Rename
Ninguno
OK
OK
OK
OK
OK
OK
OK
Create
OK
OK
Error
Error
OK
OK
Error
Merge
OK
OK
OK
OK
OK
OK
OK
Replace
Error
OK
OK
Error
OK
OK
Error
Delete
Error
OK
Error
OK
Error
Error
Error
Insert
before
OK
OK
OK
OK
OK
OK
OK
Insert
after
OK
OK
OK
OK
OK
OK
OK
Rename
OK
OK
OK
OK
OK
OK
OK
A continuacin se encuentran dos ejemplos de la operacin de importacin:

Ejemplo 1: Establezca la MTU en 1500 en una interfaz con nombre Ethernet0/0
en la configuracin que se ejecuta.
<interface>
<name>Ethernet0/0</name>
<mtu>1500</mtu>
</interface>
815
Ejemplo 2: Agregue una interfaz con nombre Ethernet0/0 en la configuracin que

se ejecuta, reemplazando cualquier interfaz previa con ese nombre.
<interface xc:operation="replace">
<name>Ethernet0/0</name>
<mtu>1500</mtu>
<address>
<name>192.0.2.4</name>
<prefix-length>24</prefix-length>
</address>
</interface>
Reglas de importacin generales

Los modos de importacin predeterminados tienen atributos equivalentes en el
objeto de raz del rbol de configuracin:
Standard Import siempre es una operacin de fusin
Quick Import es una operacin de creacin
Full Import es una operacin de reemplazo.
Configuraciones de envo de un IVE a otro

Los dispositivos IVE le permiten copiar todos o algunos de los ajustes de
configuracin de un IVE a otro usando la caracterstica Push Configuration. Esta
caracterstica proporciona administracin de configuracin simple a travs de una
empresa sin necesidad de integrar los dispositivos IVE en un clster. Con la
caracterstica Push Configuration, puede decidir exactamente qu ajustes quiere
o no quiere copiar a lo largo de la empresa. La interfaz de seleccin de los ajustes es
similar a la caracterstica XML Import/Export.
Puede enviar la configuracin a un IVE nico o a varios IVE. Por ejemplo, si instala
varios IVE nuevos, puede enviar su configuracin inicial. Tambin puede enviar la
configuracin a un IVE que sea miembro de un clster si el IVE de destino no es un
miembro del mismo clster como origen. Los IVE de destino tienen la opcin de
aceptar o no los ajustes de configuracin enviados. Para obtener instrucciones,
consulte Definicin de los IVE de destino en la pgina 818. Si un envo de
configuracin a un IVE de destino presenta un error, Push Configuration contina
con el siguiente destino hasta que todos los destinos identificados estn
actualizados. La pgina de resultados muestra el estado y los problemas
encontrados durante el proceso.
NOTA: Cuando importe la configuracin del servidor de autenticacin AD con un

archivo XML o a travs de Push Config, es necesario cambiar el nombre Computer
Object de forma manual despus de la importacin. Podran presentarse
problemas inesperados si dos sistemas que usan el mismo nombre Computer
Object se unen al dominio AD.
816
Tenga en cuenta lo siguiente cuando enve configuraciones:
Despus de que el IVE actualiza la configuracin en un IVE de destino, el

dispositivo IVE de destino reinicia sus servicios. Es posible que ocurran
interrupciones breves mientras se reinicia el servicio. Le recomendamos
realizar envos a los IVE de destino cuando estn inactivos o cuando puedan
soportar breves interrupciones.
Los IVE de destino no muestran mensajes de advertencia cuando reciben las

configuraciones enviadas. Push Configuration actualiza el archivo de registro
Administrator Access con los resultados del envo de configuracin.
El IVE de destino cierra la sesin de los administradores automticamente

durante el proceso de envo de configuracin.
Los IVE de origen y destino deben tener el mismo nmero y versin de

compilacin.
Si el IVE de destino o de origen tiene una licencia IVS, debe enviar todos los
ajustes de configuracin. No puede seleccionar qu ajustes enviar.
El IVE de origen enva datos slo a travs del puerto interno o el Puerto de
administracin (en SA 6000 de Juniper Networks, si est configurado). El IVE de
destino puede recibir datos a travs de los puertos interno, externo o de
administracin (en SA 6000 de Juniper Networks, si est configurado).
Puede enviar hasta 8 destinos por operacin de envo de configuracin; es

posible ejecutar hasta 25 operaciones de envo simultneamente. El nmero
mximo de destinos a los que el IVE puede enviar configuraciones en cualquier
momento es 200.
El IVE de origen guarda y muestra hasta 25 resultados de configuracin de

envo en la ficha Results. Si se muestran actualmente 25 resultados, el IVE
elimina los datos del resultado ms antiguo cuando la configuracin de envos
se ejecuta nuevamente.
No puede enviar las siguientes configuraciones: licencias, clsteres, redes

y zona horaria.
Para que Push Configuration funcione, la cuenta del administrador del IVE de origen
debe iniciar sesin en el IVE de destino sin interaccin humana. Por ejemplo, no
puede tener credenciales dinmicas o roles mltiples que no estn fusionados, ya
que ambos requieren interaccin manual.
Antes de usar Push Configuration, debe configurar su las siguientes condiciones
especficas de su sistema:
Debe asignar al rol .Administrators y as crear un superadministrador con

privilegios de administracin completos. Use los ajustes de la ficha
Authentication > Auth Servers > [Servidor de administrador] > Users para
agregarse a usted mismo al rol .Administrators.
817
La cuenta de administrador del IVE de destino debe usar autenticacin de

contrasea esttica o tokens de dos factores que no usen autenticacin del tipo
respuesta al desafo. Por ejemplo, no se admiten los certificados, Soft ID ni
Defender Authentication. Use los ajustes de la ficha Administrators > Admin
Realms > [Territorio de administrador] > General para seleccionar el servidor
de autenticacin adecuado para el territorio de administracin.
No debe configurar la cuenta de administrador de una forma que requiera que

el administrador seleccione un rol para iniciar sesin en el IVE de destino. Por
ejemplo, no debe asignar un usuario nico a roles mltiples, incluyendo el rol
de administrador de configuracin de envo, y despus no fusionar
permisivamente esos roles. Recomendamos que cree una cuenta
exclusivamente para administradores de configuracin de envo para garantizar
que el administrador no necesita elegir un rol durante el proceso de inicio de
sesin y para distinguir claramente las acciones de los administradores de
envo de configuracin en los archivos de registro. Use los ajustes de la ficha
Administrators > Admin Realms > [Territorio de administrador] > Role
Mapping para configurar las reglas de asignacin de roles adecuados.
Definicin de los IVE de destino

Si el IVE de destino es parte de un clster, puede realizar envos a cualquier
miembro del clster si el destino no es un miembro del clster de origen. Debe
habilitar el ajuste Allow this IVE to be a target en todos los miembros del clster.
Este ajuste es importante cuando especifica la direccin IP virtual (VIP) en la
direccin URL de inicio de sesin de un destino, ya que asegura que el envo sea
correcto independiente de qu nodo almacena el VIP.
Tenga en cuenta lo siguiente acerca de los IVE de destino.
Los nombres y las direcciones URL de inicio de sesin de destino no se pueden

editar despus de crearlos.
No puede editar o eliminar un IVE de destino mientras se estn enviando datos

de configuracin al IVE de destino.
Cuando elimine un IVE de destino, con l se eliminarn tambin todos los

resultados del envo de configuracin.
Para definir los IVE de destino:

1. Cree cuentas de administrador en ambos IVE. Para obtener instrucciones,
consulte Creacin de las roles de administrador en la pgina 901. (Consulte
las restricciones en Configuraciones de envo de un IVE a otro en la
pgina 816).
2. En la consola de administracin, elija Maintenance > Push Config > Targets.
3. Si no desea que este IVE acepte los ajustes de configuracin enviados,
desmarque la casilla de verificacin Allow this IVE to be a target.
818
4. Para crear un nuevo IVE de destino, haga clic en New Target. En la pgina New
Target:
a.
En el campo Name, escriba un nombre para el IVE de destino.
b.
En el campo Sign-in URL, introduzca la direccin URL de inicio de sesin

definida en la pgina Authentication > Signing In > Sign-In Policies.
c.
Introduzca el nombre de usuario, la contrasea y el territorio de

autenticacin de una cuenta de administrador en el IVE de destino que
proporciona privilegios de administracin totales.
d. Haga clic en Save Changes.

5. Para eliminar un IVE de destino:
a.
Seleccione la casilla de verificacin situada junto a cada IVE de destino que

desee eliminar.
b.
Haga clic en Delete y despus confirme que desea eliminar el IVE.
Envo de ajustes de configuracin

Para enviar los roles, los recursos, los ajustes de inicio de sesin, los servidores de
autenticacin y los usuarios locales seleccionados desde un IVE a otro:
1. En la consola de administracin, elija Maintenance > Push Config.
2. Si no ha configurado el IVE de destino, haga clic en la ficha Targets y siga las
instrucciones en Definicin de los IVE de destino en la pgina 818.
3. Seleccione una de las siguientes opciones de la lista What to push:
Entire configuration para enviar todos los ajustes de configuracin,

excepto las siguientes:
Licencias
Configuraciones del clster
Certificados
Ajustes SNMP
Ajustes del servidor syslog
819
Destinos de configuracin configurados en el IVE de origen
NOTA: Los marcadores y preferencias de usuarios desde el IVE de origen se envan
a todos los IVE de destino con esta opcin. Se reescriben todos los marcadores
y las preferencias ya configuradas en el IVE de destino.
Selected configuration para elegir los ajustes especficos que se enviarn.
NOTA: No se puede copiar ajustes de red a otro IVE usando la caracterstica Push
Configuration. Puede usar la caracterstica XML Import/Export para exportar
ajustes de red seleccionados y luego para importar esos ajustes a otro IVE. Para
obtener ms informacin, consulte Importacin y exportacin de archivos de
configuracin XML en la pgina 791.
Consulte Exportacin de datos de configuracin XML en la pgina 804

para obtener informacin acerca de las opciones y los ajustes que puede
enviar.
4. Seleccione los IVE de destino desde la lista Available Targets y haga clic en Add
para moverlos a la lista Selected Targets.
5. Seleccione la casilla de verificacin Overwrite duplicate settings si desea
sobrescribir los ajustes en el IVE de destino que tienen el mismo nombre que
los ajustes en el IVE de origen.
NOTA:
Si Overwrite duplicate settings est en off y si el nombre de cualquier ajuste

en el archivo importado coincide con el nombre de un ajuste correspondiente
en el IVE de destino, entonces Push Configuration no copia los valores para
ese ajuste en el IVE de destino. Push Configuration slo copia nuevos objetos
al IVE de destino.
Si Overwrite duplicate settings est en on, Push Configuration copia todos

los objetos nuevos y actualizados en el IVE de destino.
6. Haga clic en Push Configuration para copiar los ajustes seleccionados a los IVE
de destino. El IVE muestra el estado de envo en la ficha Results.
NOTA: Cuando haga clic en Push Configuration, no podr detener el proceso ni
cambiar el IVE de destino hasta que finalice el proceso de configuracin de envo
completamente.
Si hay errores durante el proceso de envo, la operacin de importacin se

detendr y la configuracin volver al estado anterior. Los mensajes de error se
muestran en la pgina Results.
7. Corrija los problemas descritos en los mensajes de error y realice nuevamente
el envo al IVE de destino que present el error.
820
Archivado de Secure Meetings

El IVE le permite archivar instancias de Secure Meeting. Puede:
Configurar un proceso de archivado recurrente.
Realizar un archivado nico.
Archivar las reuniones eliminadas en un archivo XML para eliminarlas

o borrarlas despus. Se crea un archivo para cada archivo realizado.
Definir el nmero de das que permanece una instancia de SecureMeeting

en el IVE antes de archivarse (las instancias con ms de x das se
archivarn).
Definir qu nodo de un clster realizar el archivado.
El proceso de archivado elimina las reuniones independientes completadas, las

instancias de reunin recurrentes finalizadas y las instancias de MySecureMeeting
finalizadas. Se eliminarn las reuniones recurrentes y sus reuniones padres si sus
fechas de finalizacin ya han pasado. Sin embargo, la reunin padre no se archiva
debido a que la informacin de sta ya se encuentra capturada en las instancias
recurrentes. El proceso de archivado no elimina reuniones en curso o programadas
para el futuro.
NOTA: De forma predeterminada, el archivado de Secure Meetings est

desactivado. Tambin de forma predeterminada, se eliminan las instancias
MySecureMeetings anteriores a 90 das. Si la caracterstica de archivado de Secure
Meeting est desactivada, la eliminacin automtica de MySecureMeetings no se
guardar en el archivo de archivado.
En una configuracin de clster, slo un nodo realiza la tarea de archivado y slo se

archivan los archivos almacenados en ese nodo. Para descargar o eliminar los
archivos archivados debe iniciar sesin en el nodo de archivado usando la direccin
IP del nodo en lugar de la direccin IP virtual.
Para IVS, debe configurar los ajustes en cada IVS que desee archivar
SecureMeetings.
A continuacin se muestra un ejemplo de un fragmento de un archivo XML creado
en el proceso de archivado de Secure Meeting.
<meetings>
<meeting>
<id>20993310</id>
<creator><![CDATA[gary (Users)]]></creator>
<name><![CDATA[Support Meeting (20993310)]]></name>
<agenda><![CDATA[]]></agenda>
<teleconference_info><![CDATA[]]></teleconference_info>
<date><![CDATA[4:11 PM May 15, 2007 (GMT-08:00) Pacific Time (US &
Canada); Tijuana]]></date>
<duration>1 hour</duration>
821
<meeting_type>support</meeting_type>
<invitees>
<invitee><![CDATA[gary (System Local) Conductor]]></invitee>
...
</invitees>
<attendees>
<attendee>
<name><![CDATA[gary]]></name>
<join_time>04:11 PM</join_time>
<duration>50 minutes </duration>
</attendee>
...
</attendees>
</meeting>
...
</meetings>
Para archivar SecureMeetings:

1. En la consola de administracin, elija Maintenance > Archiving > Secure
Meetings.
2. Para programar un proceso de archivado recurrente, seleccione la opcin
Perform automatic clean up every y especifique la frecuencia con la que se
debe ejecutar el proceso de archivado.
3. En el campo Delete meetings older than, escriba la antigedad (en das) que
deben tener las reuniones antes de archivarlas. Las reuniones anteriores a este
momento se archivarn y se eliminarn del sistema.
4. Para archivar Secure Meetings en una configuracin de clster, seleccione la
opcin Archive meeting records on node y luego seleccione el nodo que
realiza el archivado.
5. Haga clic en Clean Up Now para realizar el proceso de archivado de forma
inmediata. Las reuniones anteriores al momento especificado se archivarn
y se eliminarn del sistema.
6. Haga clic en Save Changes para guardar sus ediciones.
Cuando finalice el proceso de archivado, los archivos guardados aparecern en una
lista en la tabla Secure Meeting archive.
822
Para ver o descargar un archivo de archivado, haga clic en su nombre.
Para eliminar un archivo, seleccione la casilla de verificacin situada junto a su

nombre y haga clic en Delete.
Captulo 29
Registro y supervisin
El IVE proporciona capacidades de registro y supervisin para ayudarle a realizar un
seguimiento de los eventos y actividades del usuario. Este captulo describe las
diversas caractersticas de registro y supervisin incluidas con el IVE.
Esta seccin contiene la siguiente informacin acerca de las caractersticas de
registro y supervisin:
Licencia: Disponibilidad de registro y supervisin en la pgina 823
Informacin general de registro y supervisin en la pgina 824
Configuracin de las caractersticas de supervisin de registro en la

pgina 828
Configuracin de eventos, acceso de usuario, acceso de administrador y

sensor IDP en la pgina 828
Supervisin del IVE como un agente de SNMP en la pgina 833
Visualizacin de estadsticas del sistema en la pgina 841
Habilitacin de registros del lado cliente en la pgina 841
Visualizacin del estado general en la pgina 845
Supervisin de usuarios activos en la pgina 848
Visualizacin y cancelacin de reuniones programadas. en la pgina 850
Licencia: Disponibilidad de registro y supervisin

Las capacidades de registro y supervisin estn disponibles en todos los productos
Secure Access; no es necesaria una licencia especial para usarlos. Sin embargo, las
siguientes herramientas avanzadas de registro y supervisin no se encuentran
disponibles en el dispositivo SA 700:
Registro de sensores
Filtros de registro personalizados y dinmicos
Licencia: Disponibilidad de registro y supervisin
823
Grficos del panel de capacidad del sistema y eventos crticos
Registro y supervisin de Secure Meeting
Informacin general de registro y supervisin

Los archivos de registro del IVE son archivos de texto almacenados en un
dispositivo IVE que realiza seguimiento de los eventos del sistema. Un dispositivo
IVE produce los siguientes tipos de archivos de registro:
Events log: Este archivo de registro contiene una variedad de eventos del
sistema, como tiempos de espera de sesin (incluyendo tiempos de espera de
sesin de duracin mxima y de inactividad), errores y advertencias del
sistema, solicitudes de comprobacin de conectividad del servidor
y notificaciones de reinicio de servicio del IVE. (El proceso de guardin del IVE
revisa peridicamente el servidor del IVE y se reinicia si el IVE no responde.)
User Access log: Este archivo de registro contiene informacin sobre el

momento en que los usuarios acceden al dispositivo, incluyendo el nmero
de usuarios simultneos en cada intervalo de una hora (registrado cada hora),
inicios y cierres de sesin de usuarios, solicitudes de archivos de usuario
y solicitudes Web.
Administrator Access log: Este archivo de registro contiene informacin de

administracin, incluyendo cambios del administrador en los ajustes de
usuario, sistema y red, como cambios en tiempos de espera de sesin,
la opcin de habilitar/inhabilitar la exploracin URL y los marcadores creados
por el usuario, y la informacin del equipo y el servidor. Tambin crea una
entrada de registro siempre que un administrador inicia o cierra sesin,
o cambia licencias en dispositivo.
Sensors log: Este archivo de registro contiene mensajes de alerta de ataque

e informativos generados por un dispositivo IDP asociado que supervisa el
trfico del cliente en busca de posibles intrusiones en la red.
Client upload log: Este archivo de registro contiene informacin de registro

sobre el inicio, conexin y trmino de la sesin que se puede usar para
diagnosticar y solucionar problemas que puedan tener los usuarios en relacin
con el IVE.
Las pginas System > Log/Monitoring permiten especificar qu eventos se

registran, el tamao mximo del archivo para el registro del sistema y si los eventos
se registran en el servidor syslog adems del registrarse de forma local. Las pginas
System > Log/Monitoring tambin permiten ver el nmero de eventos
especificado, guardar los archivos de registro en una red y borrar los registros.
824
Captulo 29: Registro y supervisin
Cuando uno de los registros alcanza el tamao mximo del archivo de registro
configurado (200 MB de forma predeterminada), los datos actuales se sustituyen
por un archivo de registro de la copia de seguridad. Entonces se crea un archivo
nuevo y vaco para todos los mensajes de registro subsiguientes (nuevos). Con el
visualizador de registros, el administrador puede ver los 5000 mensajes de registro
ms recientes (lmite de visualizacin del visualizador). Si el archivo de registro
actual contiene menos de 5000 mensajes de registro, se muestran los mensajes
ms antiguos del archivo de registro de la copia de seguridad, hasta completar los
5000 mensajes de registro. Esto hace que los archivos de registro aparezcan como
uno, aunque se hayan almacenado por separado, de acuerdo con el tamao
mximo del archivo de registro configurado.
NOTA: Cuando decide guardar los mensajes de registro o usar la funcin de
archivado del FTP en la pgina Maintenance > Archiving, el archivo de registro
de la copia de seguridad se adjunta al archivo de registro actual, y luego se
descarga como un solo archivo de registro. Si los archivos de registro no se
archivan ni guardan para el momento en que se vuelvan a sustituir, se perdern
los mensajes de registro ms antiguos (guardados en el archivo de registro de la
copia de seguridad).
Adems, puede usar una herramienta de administracin de red como

HP OpenView para supervisar un dispositivo IVE como un agente de SNMP. La
plataforma del IVE admite SNMP v2, implementa una MIB (base de informacin de
administracin) privada y define sus propias capturas. Para permitir que la estacin
de administracin de red procese estas capturas, debe descargar el archivo MIB
Juniper Networks y especificar la informacin correspondiente para recibir las
capturas. Puede configurar algunas de las capturas para que se ajusten a sus
necesidades. Para obtener ms informacin sobre los ajustes de los umbrales
de capturas, consulte Supervisin del IVE como un agente de SNMP en la
pgina 833.
NOTA: Para supervisar las estadsticas vitales del sistema, como el uso de CPU,
cargue el archivo MIB UC-Davis en la aplicacin del administrador de SNMP. Puede
obtener el archivo MIB de: http://net-snmp.sourceforge.net/docs/mibs/UCD-SNMPMIB.txt.
Niveles de gravedad del archivo de registro

Los archivos de registro de eventos, acceso de usuario y acceso de administrador
clasifican los eventos segn estas pautas:
Critical (severity level 10): Cuando el IVE no puede responder a las solicitudes
del usuario o del administrador o pierde la funcionalidad en la mayora de los
subsistemas, escribe un evento crtico en el registro.
Major (severity levels 8-9): Cuando el IVE pierde la funcionalidad en uno o ms

subsistemas, pero los usuarios an pueden acceder al dispositivo mediante
otros mecanismos de acceso, el IVE escribe un evento grave en el registro.
825
Minor (severity levels 5-7): Cuando el IVE encuentra un error que no

corresponde a un error importante de un subsistema, escribe un evento leve en
el registro. Por lo general, los eventos leves corresponden a errores individuales
de solicitud.
Info (severity levels 1-4): Cuando el IVE muestra un mensaje de notificacin,

cuando un usuario realiza una solicitud o cuando un administrador realiza una
modificacin, el IVE escribe un evento informativo en el registro.
Archivos de registro personalizado del filtro

El paquete de Central Manager permite filtrar y dar formato a los datos de los
archivos de registro de eventos, acceso de usuario y acceso de administrador.
Cuando filtra los archivos de registro, el dispositivo IVE slo guarda estos mensajes
especificados dentro de la consulta del filtro. Por ejemplo, puede crear una consulta
que slo registre las entradas de un rango particular de direcciones IP o de usuarios
que inician sesin en un territorio especfico. Para crear una consulta, use el
lenguaje de expresin personalizada del IVE.
Cuando da formato a los archivos de registro, el dispositivo IVE simplemente
cambia la apariencia de los mensajes de registro basndose en sus
especificaciones. Los formatos de registro no afectan a los datos que el dispositivo
guarda; los formatos slo afectan a la forma en que el dispositivo muestra los datos.
Un dispositivo IVE incluye formatos de registro estndar, WELF y W3C, pero
tambin puede optar por crear su propio formato personalizado. Para crear un
formato personalizado, use los campos de registro.
Para obtener instrucciones sobre la configuracin, consulte Configuracin de las
caractersticas de supervisin de registro en la pgina 828.
Filtros de registro dinmicos

El paquete de Central Manager proporciona a los administradores la capacidad de
cambiar rpidamente la vista del registro haciendo clic en cualquier vnculo de
variable de registro de datos en el registro que se visualiza actualmente. Por
ejemplo, si desea ver temporalmente el registro de acceso de usuarios basndose
en una direccin IP en especial, cree un filtro rpido haciendo clic en cualquier
repeticin de esa direccin IP en el registro actual y el IVE de inmediato actualiza el
registro para mostrar todas las entradas que contienen la direccin IP especificada.
Adems, hacer clic en vnculos de variables de registro de datos adicionales
expande el filtro rpido y actualiza la vista actual del registro.
NOTA: Al igual que con los filtros de registro personalizados, los filtros de registro
dinmicos slo cambian la vista actual del registro, no los datos que el IVE guarda.
Aunque los filtros rpidos actan como agentes de filtro temporales, el IVE le da la
posibilidad de guardar las cadenas de consultas temporales como filtros
personalizados nuevos.
826
Para obtener instrucciones sobre la configuracin, consulte Filtros de registro

dinmicos en la pgina 826. Para obtener ms informacin sobre Central Manager,
consulte Uso de las caractersticas de administracin central en la pgina 717.
Visualizacin y eliminacin de sesiones de usuario

La pgina de configuracin de la mayora de los servidores de autenticacin del IVE
contiene una ficha Users que puede usar para ver y eliminar las sesiones de usuario
activas del IVE. Los tipos de servidor de autenticacin que no incluyen esta
ficha son:
Anonymous server: El IVE no puede mostrar datos de sesiones individuales

sobre los usuarios que inician sesin mediante un servidor annimo porque no
recopila nombres de usuario ni otras credenciales de estos usuarios.
Local authentication server: El IVE muestra la ficha Local Users en lugar de la

ficha Users para los servidores de autenticacin locales, lo que permite agregar
y eliminar cuentas de usuario en lugar de sesiones de usuario.
Para todos los otros tipos de servidores de autenticacin, puede ver y eliminar
sesiones de usuario activas siguiendo estas instrucciones.
Para ver o eliminar una sesin de usuario activa:
2. Haga clic en el vnculo correspondiente en la lista
4. Realice alguna de las siguientes tareas:
Introduzca un nombre de usuario en el campo Show users named y haga

clic en Update para buscar un usuario especfico.
O bien, puede usar un carcter * como comodn, donde * representa
cualquier nmero de cero o ms caracteres. Por ejemplo, si desea buscar
todos los nombres de usuario que contienen las letras jo, introduzca *jo*
en Show users named field. La bsqueda distingue maysculas de
minsculas. Para volver a mostrar la lista completa de cuentas, introduzca
un carcter * o elimine el contenido del campo y haga clic en Update.
Introduzca un nmero en el campo Show N users y haga clic en Update

para controlar el nmero de usuarios que aparece en la pgina.
Haga clic en la casilla de verificacin que se encuentra al lado de los

usuarios individuales y haga clic en Delete para terminar sus sesiones en
el IVE.
827
NOTA: Puede buscar varias estadsticas de acceso de cualquier cuenta de usuario
en la ficha Users de la columna Last Access Statistics. Estas columnas aparecen

en cualquiera de las fichas Users, en cualquier ubicacin en que aparezcan en la
consola de administracin. Las estadsticas incluyen la fecha y hora del ltimo
inicio de sesin correcto de un usuario, adems del tipo de explorador y versin.
Configuracin de las caractersticas de supervisin de registro

Las caractersticas de supervisin de registro del IVE permiten supervisar eventos,
accesos de usuario y accesos de administrador, que es posible filtrar y guardar para
su posterior revisin. Adems, el IVE permite que use SNMP para supervisar sus
actividades y proporciona estadsticas, registro del lado cliente para aplicaciones
como Host Checker, Cache Cleaner, Secure Meeting, WSAM, JSAM, Terminal
Services y Network Connect.
Para obtener ms informacin, consulte los siguientes temas:
Configuracin de eventos, acceso de usuario, acceso de administrador y

sensor IDP en la pgina 828
Supervisin del IVE como un agente de SNMP en la pgina 833
Visualizacin de estadsticas del sistema en la pgina 841
Habilitacin de registros del lado cliente en la pgina 841
Visualizacin del estado general en la pgina 845
Supervisin de usuarios activos en la pgina 848
Visualizacin y cancelacin de reuniones programadas. en la pgina 850
Para obtener informacin sobre las capacidades de registro y supervisin del IVE,
consulte Registro y supervisin en la pgina 823.
Configuracin de eventos, acceso de usuario, acceso de

administrador y sensor IDP
Use las pginas System > Log/Monitoring > Events, User Access, Admin Access
y Sensor para guardar archivos de registro, crear consultas de registro dinmico,
especificar qu eventos se guardan en los archivos de registro y crear filtros y
formatos personalizados.
828
Configuracin de las caractersticas de supervisin de registro
NOTA: Los registros de eventos, acceso de usuario y acceso de administrador son

tres archivos distintos. Aunque las instrucciones de configuracin bsica de cada
uno es la misma, modificar los ajustes de uno no afecta a los ajustes del otro. Para
obtener ms informacin sobre el contenido de cada archivo, consulte Registro y
supervisin en la pgina 823.
Para guardar, ver o borrar el archivo de registro de eventos:

1. En la consola de administracin, elija System > Log/Monitoring.
2. Seleccione Events, User Access, Admin Access o Sensors y luego elija Log.
3. (Slo Central Management) En la lista View by filter, elija el filtro personalizado
que el IVE debe usar para filtrar datos.
4. Introduzca un nmero en el campo Show y haga clic en Update si desea
cambiar el nmero de entradas de registro que el IVE muestra de una vez.
5. Haga clic en Save Log As, dirjase a la ubicacin de red deseada, introduzca un
nombre de archivo y haga clic en Save para guardar manualmente el archivo de
registro.
NOTA: Para guardar todos los archivos de registro (Events Log, User Access Log,
Admin Access Log y Sensors Log) haga clic en Save All Logs y el IVE le solicitar
una ubicacin en la que guardar los archivos de registro en un archivo
comprimido. Puede acceder al botn Save All Logs desde cualquiera de las fichas
de registro correspondientes.
6. Haga clic en Clear Log para borrar el registro local y el archivo log.old.
NOTA: Cuando borra el registro local, los eventos grabados por el servidor syslog
no se ven afectados. Los eventos posteriores se graban en un nuevo archivo de
registro local.
Creacin, restablecimiento o guardado de una consulta de registro dinmico

Para crear, restablecer o guardar una consulta de filtro de registro dinmico:
1. Elija System > Log/Monitoring en la consola de administracin.
2. Seleccione la ficha Events, User Access, Admin Access o Sensors y luego
elija Log.
3. Haga clic en cualquier vnculo de variable de registro de datos en el registro
actual. El registro se actualiza inmediatamente segn la variable elegida.
Configuracin de eventos, acceso de usuario, acceso de administrador y sensor IDP
829
4. Contine agregando variables del mismo modo (opcional). Cada vnculo de

variable del registro de datos que seleccione agrega una variable adicional al
campo de texto Edit Query y el registro se actualiza con cada variable
agregada.
5. Haga clic en el botn Reset Query para borrar el campo de texto Edit Query
y restablecer el registro en la vista determinada por el filtro especificado en el
campo View by filter (opcional).
6. Haga clic en el botn Save Query para guardar la consulta de registro dinmico
como un filtro personalizado (opcional). La ficha Filters aparece con el campo
Query llenado previamente con las variables que seleccion del registro.
A continuacin:
a.
Introduzca un nombre para el filtro.
b.
Seleccione Make default para que el filtro nuevo sea el predeterminado

(opcional).
c.
Configure las fechas de inicio y trmino del filtro:
En la seccin Start Date, haga clic en Earliest Date para escribir todos
los registros de la primera fecha disponible almacenada en el archivo
de registro. O bien, introduzca manualmente una fecha de inicio.
En la seccin End Date, haga clic en Latest Date para escribir todos los
registros hasta la ltima fecha disponible almacenada en el archivo de
registro. O bien, introduzca manualmente una fecha de trmino.
7. Elija un formato en la seccin Export Format. Para obtener ms informacin

sobre los formatos disponibles, consulte Archivos de registro personalizado del
filtro en la pgina 826.
8. Seleccione el botn Save para guardar el filtro nuevo.
Especificacin de los eventos que se guardarn en el archivo de registro

Use las opciones de la ficha Settings para especificar lo que el IVE escribir en el
archivo de registro, qu servidores syslog usar para almacenar los archivos de
registro y el tamao mximo del archivo.
NOTA: Tambin puede usar la pgina Archiving para guardar automticamente los
registros en una ubicacin accesible mediante FTP. Para obtener ms informacin,
consulte Archivado de archivos de configuracin binarios del IVE en la
pgina 782.
Para especificar los ajustes de registro de eventos:

1. En la consola de administracin, elija System > Log/Monitoring.
2. Seleccione la ficha Events, User Access, Admin Access o Sensors y luego elija
Settings.
830
3. En el campo Maximum Log Size, especifique el tamao mximo del archivo

para el archivo de registro local (el lmite es de 500 MB). El registro del sistema
muestra los datos hasta la cantidad especificada.
NOTA: Maximum Log Size es un ajuste interno que principalmente corresponde al
tamao de los registros con formato Standard. Si decide usar un formato ms

explicativo como WELF, sus archivos de registro podran exceder el lmite que
especific aqu.
4. En Select Events to Log, seleccione la casilla de verificacin para cada tipo de
evento que desee capturar en el archivo de registro local.
NOTA: Si desactiva la casilla de verificacin Statistics en la ficha Events Log, el IVE
no escribe estadsticas en el archivo de registro, pero contina mostrndolas en la

ficha System > Log/Monitoring > Statistics. Para obtener ms informacin,
consulte Visualizacin de estadsticas del sistema en la pgina 841.
5. En Syslog Servers, introduzca informacin sobre los servidores syslog en donde
desea almacenar sus archivos de registro (opcional):
a.
Introduzca el nombre o direccin IP del servidor syslog.
b.
Introduzca una utilidad para el servidor. El IVE proporciona 8 utilidades

(LOCAL0-LOCAL7) que puede asignar a utilidades de su servidor syslog.
c.
(Slo Central Manager) Elija qu filtro desea aplicar al archivo de registro.

e.
Repita el procedimiento en varios servidores si as lo desea, usando

formatos y filtros diferentes para servidores y utilidades diferentes.
NOTA: Asegrese de que el servidor syslog acepte mensajes con los siguientes
ajustes: facility = LOG_USER y level = LOG_INFO.
Creacin, edicin o eliminacin de filtros

Use los controles de la ficha Filters para crear filtros de registro personalizados,
o para editar o eliminar el siguiente conjunto de filtros de registro predefinidos.
Standard (predeterminado): Este formato de filtro de registro registra la

fecha, hora, nodo, direccin IP de origen, usuario, territorio y el ID de
evento y mensaje del IVE.
WELF: Este filtro WebTrends Enhanced Log Format (WELF) personalizado

combina el formato WELF estndar con la informacin sobre el territorio,
los roles y los mensajes del IVE.
831
WELF-SRC-2.0-Access Report: Este filtro agrega consultas de acceso a

nuestro filtro personalizado WELF. Puede usar este filtro fcilmente con
SRC de NetIQ para generar informes sobre mtodos de acceso de usuario.
W3C: El formato de archivo de registro extendido de World Wide Web

Consortium es un formato ASCII personalizable con una variedad de
campos distintos. Visite http://www.w3.org para obtener ms informacin
sobre este formato. Slo el registro User Access ofrece este filtro como
opcin.
Creacin de filtros y formatos personalizados para sus archivos de registro

Use las opciones de la ficha Filters para especificar los datos que se escribirn en
sus archivos de registro, as como tambin su formato. Esta opcin slo est
disponible con el paquete de Central Manager
1. En la consola de administracin, seleccione System > Log/Monitoring.
2. Seleccione la ficha Events, User Access, Admin Access, or Sensors y luego elija
Filters.
Para modificar un filtro existente, haga clic en su nombre.
Para crear un filtro nuevo, haga clic en New Filter.
4. Introduzca un nombre para el filtro.

NOTA: Si selecciona un formato y luego crea un nombre nuevo para ste en el
campo Filter Name, el IVE no crea un formato de filtro personalizado nuevo que
se base en el formato existente, sino que sobrescribe el formato existente con los
cambios que efectu.
5. Haga clic en Make Default para definir el filtro seleccionado como

predeterminado para el tipo de archivo de registro. Puede configurar filtros
predeterminados diferentes para los registro de eventos, acceso de usuario
y acceso de administrador.
6. Use las opciones de la seccin Query para controlar qu subconjunto de datos
escribe el IVE en el registro:
832
a.
En la seccin Start Date, haga clic en Earliest Date para escribir todos los
registros de la primera fecha disponible almacenada en el archivo de
registro. O bien, introduzca manualmente una fecha de inicio.
b.
En la seccin End Date, haga clic en Latest Date para escribir todos los
registros hasta la ltima fecha disponible almacenada en el archivo de
registro. O bien, introduzca manualmente una fecha de trmino.
c.
En la seccin Query, use el lenguaje de expresin personalizada del IVE

para controlar qu subconjunto de datos escribe el IVE en el registro. Para
obtener instrucciones, consulte Escritura de expresiones personalizadas
en la pgina 1041.
NOTA: Cualquier cadena (incluyendo un carcter comodn *) que introduzca

manualmente en una consulta debe estar encerrada con comillas dobles. Por
ejemplo, la consulta protocol="UDP" AND sourceip=172.27.0.0/16 AND port=* se
debe presentar de la siguiente forma protocol="UDP" AND sourceip=172.27.0.0/16
AND port=* o el componente de registro devolver un error.
7. Use una de las opciones de la seccin Export Format para controlar el formato
de los datos en el registro:
Seleccione la opcin Standard, WELF o W3C para dar formato a las

entradas del registro usando uno de estos formatos estandarizados. Para
obtener ms informacin, consulte Filtros de registro dinmicos en la
pgina 826.
Seleccione la opcin Custom e introduzca el formato que desea usar en el

campo Format. Cuando introduzca un formato, encierre las variables con
smbolos de porcentaje (por ejemplo %user%). Todos los otros caracteres de
este campo se tratan como literales.
Supervisin del IVE como un agente de SNMP

Puede usar una herramienta de administracin de red como HP OpenView para
supervisar el IVE como un agente de SNMP. El IVE admite SNMP (Simple Network
Management Protocol) v2, implementa una MIB (base de informacin de
administracin) privada y define sus propias capturas. Para permitir que la estacin
de administracin de red procese estas capturas, debe descargar el archivo MIB
Juniper Networks y especificar la informacin correspondiente para recibir las
capturas.
NOTA:
Para supervisar las estadsticas vitales del sistema del IVE, como el uso de
CPU, cargue el archivo MIB UC-Davis en la aplicacin del administrador de
SNMP. Puede obtener el archivo MIB de:
http://net-snmp.sourceforge.net/docs/mibs/UCD-SNMP-MIB.txt.
El IVE admite objetos MIB estndar, incluyendo el objeto (sysUpTime) de

tiempo en servicio del sistema.
El objeto (sysUpTime) de tiempo en servicio del sistema devuelve el tiempo

transcurrido (en milsimas de segundo) desde que se inici el agente de
SNMP.
833
Para especificar los ajustes de SNMP:

1. En la consola de administracin, elija System > Log/Monitoring > SNMP.
2. Haga clic en el vnculo Juniper Networks MIB file para obtener acceso al
archivo MIB y guarde el archivo del explorador en una ubicacin de red. Para
obtener descripciones de los objetos Get y Trap en el archivo MIB, consulte
Supervisin del IVE como un agente de SNMP en la pgina 833.
3. En Agent Properties introduzca informacin en los siguientes campos y haga
clic en Save Changes:
Introduzca la informacin en los campos System Name, System Location

y System Contact que describen el agente del IVE (opcional).
Introduzca una cadena en el campo Community (obligatorio).
NOTA:
Para hacer una consulta en el IVE, la estacin de administracin de red debe

enviar la cadena Community al IVE.
Para detener el sistema de SNMP, borre el campo Community.
4. En Trap Thresholds, configure los valores para las siguientes capturas

(opcional):
Check Frequency
Log Capacity
Users
Memory
Swap Memory
Disk
Meeting Users
CPU
Para obtener ms informacin acerca de los umbrales de capturas, consulte

Supervisin del IVE como un agente de SNMP en la pgina 833.
5. En Optional traps, seleccione una o ambas de las siguientes opciones
(opcional):
834
Critical Log Events
Major Log Events
Para obtener ms informacin sobre estos tipos de evento, consulte

Informacin general de registro y supervisin en la pgina 824.
6. En SNMP Servers, especifique los servidores a los que desea que el IVE enve
las capturas que genera, introduciendo la informacin en los siguientes campos
y luego haga clic en Add:
El nombre de host del servidor o la direccin IP
835
El puerto en que el servidor escucha (normalmente puerto 162)
La cadena de comunidad que requiere la estacin de administracin de red

(si corresponde)

8. En su estacin de administracin de red:
a.
Descargue el archivo MIB Juniper Networks.
b.
Especifique la cadena de comunidad que se requiere al consultar al IVE

(consulte el paso 3).
c.
Configure el software de administracin de red para recibir las capturas

del IVE.
Tabla 45: Objetos de configuracin
836
Objeto
Descripcin
logFullPercent
Devuelve el porcentaje del tamao de archivo disponible

llenado por el registro actual como un parmetro de la
captura logNearlyFull.
signedInWebUsers
Devuelve el nmero de usuarios que iniciaron sesin en

el IVE mediante un explorador de Web.
signedInMailUsers
Devuelve el nmero de usuarios que iniciaron sesin en

el Email Client.
blockedIP
Devuelve la direccin IP, bloqueada debido a intentos

consecutivos fallidos de inicio de sesin, enviados por la
iveToomanyFailedLoginAttempts trap. El sistema agrega la
direccin IP bloqueada a la tabla blockedIPList.
authServerName
Devuelve el nombre de un servidor de autenticacin

externo enviado por la captura
externalAuthServerUnreachable.
productName
Devuelve el nombre del producto con licencia del IVE.
productVersion
Devuelve la versin de software del sistema al IVE.
fileName
Devuelve el nombre de archivo enviado por la captura

archiveFileTransferFailed.
meetingUserCount
Devuelve el nmero de usuarios simultneos en la

reunin enviados por la captura meetingUserLimit.
iveCpuUtil
Devuelve el porcentaje de CPU usado durante el intervalo

entre dos asignaciones de SNMP. Este valor se calcula
dividiendo la cantidad de CPU usada por la cantidad de
CPU disponible durante la asignacin actual y previa de
SNMP. Si no se dispone de una asignacin previa, el
clculo se basa en el intervalo entre la asignacin actual
y el reinicio del sistema.
iveMemoryUtil
Devuelve el porcentaje de memoria utilizada por el IVE

en el momento de una asignacin de SNMP. El sistema
calcula este valor dividiendo el nmero de pginas de
memoria usada por el nmero de pginas de memoria
disponible.
Tabla 45: Objetos de configuracin (continuacin)

Objeto
Descripcin
iveConcurrentUsers
Devuelve el nmero total de usuarios registrados en el

nodo del IVE.
clusterConcurrentUsers
Devuelve el nmero total de usuarios registrados en el

clster.
iveTotalHits
Devuelve el nmero total de coincidencias con el IVE

desde el ltimo reinicio. Incluye los valores totales de
iveFileHits, iveAppletHits, meetingHits e iveWebHits.
iveFileHits
Devuelve el nmero total de coincidencias de archivos

con el IVE desde el ltimo reinicio. El servidor Web lo
incrementa con cada GET/POST correspondiente a una
solicitud de explorador de archivos.
iveWebHits
Devuelve el nmero total de coincidencias por medio de

la interfaz Web desde el ltimo reinicio. El servidor Web
lo incrementa con cada solicitud http recibida por el IVE,
excluyendo coincidencias de archivos, applet y reuniones.
iveAppletHits
Devuelve el nmero total de coincidencias de applet

incrementa con cada solicitud GET para un applet
de Java.
ivetermHits
Devuelve el nmero total de coincidencias de terminal

con el IVE desde el ltimo reinicio.
iveSAMHits
Devuelve el nmero total de coincidencias de Secure

Application Manager con el IVE desde el ltimo reinicio.
iveNCHits
Devuelve el nmero total de coincidencias de Network

Connect con el IVE desde el ltimo reinicio.
meetingHits
Devuelve el nmero total de coincidencias de reuniones

incrementa con cada solicitud http recibida por el IVE en
una URL relacionada con la reunin.
meetingCount
Devuelve el nmero de reuniones simultneas enviadas

por la captura meetingLimit.
logName
Devuelve el nombre del registro

(administrador/usuario/evento) para las capturas
logNearlyFull y iveLogFull.
iveSwapUtil
Devuelve el porcentaje de pginas de memoria de

intercambio utilizado por el IVE en el momento de una
asignacin de SNMP. El sistema calcula este valor
dividiendo el nmero de pginas de memoria de
intercambio usado por el nmero de pginas de memoria
de intercambio disponible.
diskFullPercent
Devuelve el porcentaje de espacio en disco usado en el

IVE para la captura iveDiskNearlyFull. El sistema calcula
este valor dividiendo el nmero de bloques de espacio en
disco usados por el nmero de bloques total de espacio
en disco.
blockedIPList
Devuelve una tabla con las ltimas 10 direcciones IP

bloqueadas. El MIB blockedIP agrega direcciones IP
bloqueadas a esta tabla
ipEntry
Una entrada en la tabla blockedListIP que contiene una

direccin IP bloqueada y su ndice (consulte IPEntry).
837
Tabla 45: Objetos de configuracin (continuacin)

Objeto
Descripcin
IPEntry
El ndice (ipIndex) y la direccin IP (ipValue) para una

entrada en la tabla blockedIPList.
ipIndex
Devuelve el ndice para la tabla blockedIPList.
ipValue
Una entrada de direccin IP bloqueada en la tabla

blockedIPList.
logID
Devuelve el ID exclusivo del mensaje de registro enviado

por la captura logMessageTrap.
logType
Devuelve una cadena enviada por la captura

logMessageTrap que establece si un mensaje de registro
es grave o crtico.
logDescription
Devuelve una cadena enviada por la captura

logMessageTrap que establece si un mensaje de registro
es grave o crtico.
ivsName
Devuelve el nombre de un sistema virtual.
ocspResponderURL
Devuelve el nombre de un respondedor OCSP.
fanDescription
Devuelve el estado de los ventiladores del IVE.
psDescription
Devuelve el estado de las fuentes de alimentacin

del IVE.
raidDescription
Devuelve el estado del dispositivo RAID del IVE.
NOTA: Las opciones para enviar capturas de SNMP para eventos graves y crticos
se inhabilitan de forma predeterminada por motivos de seguridad.
Tabla 46: Objetos de estado/error
838
Objeto
Descripcin
iveLogNearlyFull
El archivo de registro (sistema, acceso de usuario

o acceso de administrador) especificado por el parmetro
logName est casi lleno. Cuando se enva esta captura,
tambin se enva el parmetro logFullPercent (%de
archivo de registro lleno). Puede configurar esta captura
para que se enve en cualquier porcentaje. Para inhabilitar
la captura, configure iveLogNearlyFull en 0%. El valor
predeterminado de la captura es 90%.
iveLogFull
El archivo de registro (sistema, acceso de usuario

o acceso de administrador) especificado por el parmetro
logName est completamente lleno.
iveMaxConcurrentUsersSignedIn
Nmero mximo o permitido de usuarios simultneos

que iniciaron sesin actualmente. Puede configurar esta
captura para que se enve en cualquier porcentaje. Para
inhabilitar la captura, configure
iveMaxConcurrentUsersSignedIn en 0%. El valor
Tabla 46: Objetos de estado/error (continuacin)

Objeto
Descripcin
iveTooManyFailedLoginAttempts
Un usuario con una direccin IP especfica tiene muchos

intentos de inicio de sesin fallidos. Se activan cuando un
usuario no logra autenticarse de acuerdo con los ajustes
de las Lockout options en la ficha Security Options.
(Consulte Configuracin de las opciones de bloqueo en
la pgina 736.)
Cuando el sistema activa esta captura, tambin activa el
parmetro blockedIP (IP de origen de los intentos de
inicio de sesin).
externalAuthServerUnreachable
Un servidor de autenticacin externo no responde a las

solicitudes de autenticacin.
Cuando el sistema enva esta captura, tambin enva el
parmetro authServerName (% de archivo de registro
completo) (nombre del servidor inalcanzable).
iveStart
El IVE se acaba de encender.
iveShutdown
El IVE se acaba de apagar.
iveReboot
El IVE se acaba de reiniciar.
archiveServerUnreachable
El IVE no puede alcanzar el servidor FTP o de archivo SCP

configurado.
archiveServerLoginFailed
El IVE no puede registrarse en el servidor FTP o SCP

Archive configurado.
archiveFileTransferFailed
El IVE no puede transferir correctamente el archivo al

servidor FTP o SCP Archive configurado. Cuando el
sistema enva esta captura, tambin enva el parmetro
fileName.
meetingUserLimit
Proporciona una notificacin de que el recuento de

usuarios excede el lmite de licencias. Cuando el sistema
enva esta captura, tambin enva el parmetro
meetingUserCount.
iveRestart
Notifica que el IVE se ha reiniciado de acuerdo con la

instruccin del administrador.
meetingLimit
Proporciona una notificacin de que el recuento de

reuniones concurrentes excede el lmite de licencias.
Cuando el sistema enva esta captura, tambin enva el
parmetro meetingCount. Puede configurar esta captura
para que se enve en cualquier porcentaje. Para inhabilitar
la captura, configure meetingLimit en 0%. El valor
iveDiskNearlyFull
Proporciona una notificacin de que el disco duro del IVE

est casi lleno. Cuando el sistema enva esta captura,
tambin enva el parmetro diskFullPercent. Puede
configurar esta captura para que se enve en cualquier
porcentaje. Para inhabilitar la captura, configure
iveDiskNearlyFull en 0%. Este valor predeterminado de la
captura es 80%.
iveDiskFull
Proporciona una notificacin de que el disco duro del IVE

est lleno.
logMessageTrap
La captura generada desde un mensaje de registro.

Cuando el sistema enva esta captura, tambin enva los
parmetros logID, logType y logDescription.
839
Tabla 46: Objetos de estado/error (continuacin)
840
Objeto
Descripcin
memUtilNotify
Proporciona una notificacin de que el sistema ha

alcanzado el umbral configurado para el uso de memoria.
Para inhabilitar la captura, configure memUtilNotify en 0.
De forma predeterminada el umbral es 0%.
cpuUtilNotify

alcanzado el umbral configurado para el uso de CPU. Para
inhabilitar la captura, configure cpuUtilNotify en 0. De
forma predeterminada el umbral es 0%.
swapUtilNotify

alcanzado el umbral configurado para el uso de memoria
de archivo de intercambio. Para inhabilitar la captura,
configure swapUtilNotify en 0. De forma predeterminada
el umbral es 0%.
iveMaxConcurrentUsersVirtualSystem
Proporciona una notificacin de que el nmero mximo

de usuarios simultneos del sistema virtual ha iniciado
sesin en IVS.
ocspResponderUnreachable
Proporciona una notificacin de que el respondedor

OCSP no responde.
iveFanNotify
Se ha notificado que ha cambiado el estado de los

ventiladores.
ivePowerSupplyNotify
Notifica que ha cambiado el estado de las fuentes de

alimentacin.
iveRaidNotify
Notifica que ha cambiado el estado del dispositivo RAID.
iveNetExternalInterfaceDownTrap
(nicEvent)
Proporciona el tipo de evento que caus el fallo de la

interfaz externa. El parmetro nicEvent puede contener
los valores externos para un evento externo
y administracin para una accin administrativa.
iveNetInternalInterfaceDownTrap
(nicEvent)
Proporciona el tipo de evento que caus el fallo de la

interfaz interna. El parmetro nicEvent puede contener
iveClusterDisableNodeTrap
(clusterName,nodeList)
Proporciona el nombre de un clster que contiene nodos

inhabilitados y una cadena que contiene los nombres de
todos los nodos inhabilitados. Los nombres de nodos se
separan con un espacio en blanco en la cadena.
iveClusterChangedVIPTrap(vipType,
currentVIP, newVIP)
Proporciona el estado de una IP virtual para el clster.

vipType indica si la VIP cambiada fue externa o interna.
currentVIP contiene la VIP antes del cambio y newVIP
contiene la VIP despus del cambio.
iveNetManagementInterfaceDownTrap
(nicEvent)
Proporciona el tipo de evento que caus el fallo del puerto

de administracin. El parmetro nicEvent puede contener
iveClusterDelete(nodeName)
Proporciona el nombre del nodo en que se inici el

evento de eliminacin del clster.
Visualizacin de estadsticas del sistema

Cada hora, el IVE registra los siguientes datos:
Carga mxima de usuarios Web
Carga mxima de usuarios de correo
Nmero de URL a las que se obtuvo acceso
Nmero de archivos a los que se obtuvo acceso
La pgina Statistics muestra esa informacin de los ltimos siete das. El IVE
escribe esa informacin en el registro del sistema una vez a la semana. Tenga en
cuenta que al actualizar el IVE se borran todas las estadsticas. Sin embargo, si
configura el sistema para que registre las estadsticas por hora, las estadsticas
antiguas an estarn disponibles en el archivo de registro despus de una
actualizacin.
Para ver las estadsticas del sistema:
1. En la consola de administracin, elija System > Log/Monitoring > Statistics.
2. Desplcese por la pgina para ver las cuatro categoras de datos.
Habilitacin de registros del lado cliente

El IVE incluye las siguientes opciones para habilitar y visualizar los registros del lado
cliente:
Registro de actividad para caractersticas individuales: Puede usar las

opciones de la pgina System > Log/Monitoring > Client Logs > Settings de
la consola de administracin para habilitar el registro del lado cliente de
aplicaciones individuales cliente del IVE como Host Checker y Network
Connect, para configurar los tamaos lmite y habilitar las alertas de registro.
Debe habilitar los registros del lado cliente en esta pgina para usar otras
opciones del lado cliente descritas aqu. Para obtener ms informacin,
consulte Habilitacin de registros y opciones globales del lado cliente en la
pgina 842.
Cargar archivos de registro en el IVE: Puede usar las opciones de la pgina

Users > User Roles > Seleccionar rol > General > Session Options de la
consola de administracin para configurar el IVE para cargar archivos de
registro en la consola de administracin cuando un usuario final la inicie. Para
obtener ms informacin, consulte Habilitacin de cargas de registro del lado
Visualizacin de estadsticas del sistema 841
Visualizacin de registros cargados: Puede usar las opciones de la pgina

System > Log/Monitoring > Client Logs > Uploaded Logs de la consola de
administracin para ver los registros que los usuarios finales envan al IVE. Para
obtener ms informacin, consulte Visualizacin de registros cargados del
lado cliente en la pgina 844.
Habilitacin de registros y opciones globales del lado cliente

Los registros del lado cliente son tiles cuando funcionan con el equipo de soporte
de Juniper Networks para depurar problemas con una caracterstica del lado cliente
del IVE. Cuando habilita el registro de una caracterstica, el IVE escribe un registro
en cualquier equipo que use la caracterstica. (Estos ajustes son globales, lo que
significa que el IVE escribe un archivo de registro en todos los clientes que usan la
caracterstica habilitada). El IVE anexa el archivo de registro cada vez que se invoca
la caracterstica durante las sesiones posteriores del usuario. Una vez que el IVE ha
escrito un archivo de registro en un equipo del usuario, no lo elimina. Si los usuarios
desean eliminar los archivos de registro, deben hacerlo manualmente de sus
equipos.
Puede habilitar los registros del lado cliente para las caractersticas Host Checker,
Cache Cleaner, Secure Meeting, WSAM, JSAM y Java Applet Rewriter, Network
Connect y Terminal Services. Para obtener informacin sobre el lugar en el que el
IVE instala los archivos de registro de cada una de estas caractersticas, consulte el
Client-side Changes Guide en Juniper Networks Customer Support Center.
NOTA: El IVE slo registra informacin para la caracterstica de Network Connect si
habilita los registros mediante la consola de administracin, usando el

procedimiento que sigue y el usuario final habilita el registro mediante la ventana
de estado de Connect del usuario final.
Cuando use el IVE como un dispositivo de sistema virtual instantneo (IVS), tenga
las siguientes pautas en mente:
Las opciones disponibles en las fichas de la pgina System >

Log/Monitoring > Client Logs en un IVE que tiene uno o ms sistemas
IVS slo lo puede configurar el administrador de raz. Este derecho incluye la
asignacin de espacio en disco y los ajustes de alerta del IVE, que se comparten
entre todos los sistemas IVS en el IVE.
Cada administrador de IVS tiene derecho a habilitar el registro del lado cliente
para los roles asociados con los roles de usuario del sistema del IVS.
Los administradores IVS slo pueden manipular (guardar, eliminar) archivos de

registro con sus respectivos sistemas IVS.
Los administradores raz pueden guardar y eliminar archivos de registro de

todos los sistemas IVS.
Un administrador de IVS puede configurar el sistema para recibir User Access

Event cuando se carga su registro de IVS.
Para obtener ms informacin, consulte Sistema IVS en la pgina 915.
842
Para especificar los ajustes globales de registro del lado cliente:

Client Logs > Settings.
3. En Upload Logs, configure lo siguiente:
a.
Especifique la cantidad de espacio en disco (en megabytes) que desee

asignar para los archivos actualizados de registro del cliente cargados en el
campo Uploaded logs disk space. Puede asignar de 0 a 200 MB.
b.
Habilite o inhabilite la opcin Alert when log uploaded para especificar si

desea o no que el IVE muestre un mensaje de alerta cuando un usuario
final enva un archivo de registro al IVE. (Para obtener ms informacin,
consulte Habilitacin de cargas de registro del lado cliente en la
pgina 843.)
4. Haga clic en Save Changes para guardar estos ajustes globales.
NOTA: Para los sistemas IVE 5.x nuevos, todas las opciones estn inhabilitadas de
forma predeterminada. Si actualiza el IVE de una configuracin 3.x, todas las

opciones de registro estn habilitadas de forma predeterminada.
Habilitacin de cargas de registro del lado cliente

Si habilita el registro del lado cliente para las caractersticas del IVE (segn se
describe en Habilitacin de registros y opciones globales del lado cliente en la
pgina 842), tambin puede habilitar la carga automtica de estos registros en el
nivel de rol. Al hacerlo, los usuarios finales del IVE y los asistentes de Secure
Meeting que pertenecen a los roles habilitados pueden elegir enviar sus archivos de
registro al IVE a voluntad. Posteriormente, podr ver los archivos cargados
mediante la pgina System > Log/Monitoring > Client Logs > Uploaded Logs de
la consola de administracin (segn se describe en Visualizacin de registros
cargados del lado cliente en la pgina 844).
Cuando carga archivos de registro en un IVE que es nodo de un clster, tenga las
siguientes pautas en mente:
Puede usar la columna Log Node de la ficha System > Log/Monitoring >
Client Logs > Uploaded Logs para ver la ubicacin de los archivos de registro
existentes recopilados por los nodos del clster. Esto es especfico para una
configuracin de clster y no se aplica a una sola implementacin del IVE.
El usuario carga los registros en el nodo de clster al que est conectado.
Puede ver las entradas de registro cargadas en todos los nodos de un clster.
Puede guardar y descomprimir los archivos de registro cargados de los nodos
respectivos en el clster en que el usuario carg los registros.
843
Slo puede manipular (guardar, eliminar) archivos de registro cargados en el

nodo de clster del IVE en que se hayan cargado.
Cuando se elimina un nodo de un clster, el IVE elimina los registros de ese

nodo de la Lista de registros cargados en el clster y del nodo.
Para obtener ms informacin, consulte Creacin de clsteres en la pgina 869.

Para permitir que los usuarios finales carguen registros en el IVE:
1. Dirjase a Users > User Roles > Seleccionar rol > General > Session Options
2. En la seccin Upload logs, seleccione la casilla de verificacin Enable Upload
Logs.
Visualizacin de registros cargados del lado cliente

Si permite que los usuarios finales enven archivos de registro al IVE (segn se
describe en Habilitacin de cargas de registro del lado cliente en la pgina 843),
puede ver los registros cargados mediante la pgina System > Log/Monitoring >
Client Logs > Uploaded Logs de la consola de administracin. Esta pgina
muestra una lista de archivos de registro cargados de clientes, incluyendo
informacin como el nombre del archivo, la fecha, el usuario o territorio asociado,
el tipo de componente de acceso de cliente y el nodo de registro.
NOTA: El IVE no conserva los registros cargados cuando actualiza el IVE. Para
conservar los registros, puede archivarlos usando las opciones de la pgina
Maintenance > Archiving > Archiving Servers de la consola de administracin.
(Para obtener ms informacin, consulte Creacin de copias de seguridad locales
de los archivos de configuracin del IVE en la pgina 784.) Tambin puede
configurar las capturas de SNMP relacionadas con el registro para capturar los
eventos de registro durante la carga de registros usando las opciones de la pgina
System > Log/Monitoring > SNMP de la consola de administracin. (Para
obtener ms informacin, consulte Supervisin del IVE como un agente de
SNMP en la pgina 833.)
Para ver los detalles de carga de registro del cliente:

Client Logs > Uploaded Logs.
2. (Opcional) Actualice los detalles cargados del registro del cliente haciendo clic
en el botn Refresh Logs.
3. (Opcional) Vea o guarde un registro cargado haciendo clic en este vnculo
respectivo.
4. (Opcional) Elimine un registro cargado haciendo clic en el icono de papelera
que se encuentra al lado derecho de la columna de registro. Tenga en cuenta
que una vez que elimine un registro de un nodo, ste se pierde.
844
Visualizacin del estado general

Cuando inicia sesin en la consola de administracin, el IVE muestra la pgina
System > Status, en la que aparece la ficha Overview. Esta ficha resume los
detalles sobre el servidor del IVE y los usuarios del sistema. Cuando realiza cambios
en las otras pginas de la consola de administracin, el IVE actualiza la informacin
correspondiente de la ficha Overview.
NOTA: Esta ficha es la pgina principal de todos los administradores, incluyendo
administradores delegados sin acceso de lectura o escritura a las fichas System >
Status.
Visualizacin del uso de la capacidad del sistema

El panel de Central Manager para los dispositivos de Secure Access proporciona
grficos de uso de la capacidad del sistema que permiten ver y comprender
fcilmente la capacidad del sistema que usa de forma regular.
Para usar esta informacin para los informes de datos en cualquier parte, exprtela
como un archivo XML usando las opciones de la pgina Maintenance >
Import/Export > Configuration.
Estos grficos se muestran en la ficha System > Status > Overview cuando abre la
consola de administracin y le otorgan una vista fcil:
Concurrent Users: Este grfico muestra el nmero de usuarios que han

iniciado sesin en el IVE. En entornos de clster, el grfico incluye dos lneas.
La primera lnea muestra el nmero de usuarios locales que iniciaron sesin en
el nodo seleccionado de la lista desplegable y la segunda lnea muestra el
nmero de usuarios simultneos en todo el clster.
Concurrent Meetings: Este grfico muestra el nmero de reuniones

actualmente en curso. En entornos de clster, el grfico incluye dos lneas. La
primera lnea muestra el nmero de reuniones en curso en el nodo
seleccionado de la lista desplegable y la segunda lnea muestra el nmero de
reuniones en curso en todo el clster.
NOTA: El IVE promedia los nmeros que aparecen en el grfico de reuniones

simultneas, es decir, puede mostrar nmeros fraccionados en la pantalla.
Tambin tenga en cuenta que el IVE en ocasiones muestra los nmeros en
milsimas (representados por una m). Por ejemplo, para representar que hay un
promedio de 0,5 reuniones en curso simultneamente durante un momento
determinado, el IVE muestra 500 m en el grfico de reuniones simultneas.
Hits Per Second: Este grfico muestra el nmero de coincidencias que procesa
actualmente el IVE. En entornos de clster, puede elegir un IVE de la lista
desplegable para determinar los datos de qu nodo aparecern en el grfico. El
grfico incluye cuatro lneas: nmero de coincidencias, nmero de
coincidencias Web, nmero de coincidencias de archivo y nmero de
coincidencias de cliente/servidor.
845
CPU and Virtual (Swap) Memory Utilization: Este grfico muestra el

porcentaje de CPU y memoria disponible actualmente en uso. En entornos de
clster, puede elegir un IVE de la lista desplegable para determinar los datos de
qu nodo aparecern en el grfico.
Throughput: Este grfico muestra la cantidad de datos (en KB) que se estn
procesando en ese momento. En entornos de clster, puede elegir un IVE de la
lista desplegable para determinar los datos de qu nodo aparecern en el
grfico. El grfico incluye cuatro lneas: entrada externa, salida externa,
entrada interna, salida interna.
Tambin puede usar la ventana Page Settings para configurar qu grficos muestra
el IVE en el panel y el perodo de tiempo que el IVE realiza seguimiento.
Para descargar los datos del grfico en un archivo XML:
1. En la consola de administracin, elija System > Status > Overview.
2. Haga clic en el vnculo Download que corresponda al grfico que desea
descargar.
3. Haga clic en Save, especifique el directorio en que desea guardar el archivo
XML y haga clic en Save.
Especificacin del rango de tiempo y los datos que aparecen en los grficos
Tambin puede especificar el rango de tiempo y otros datos para que aparezcan en
los grficos.
Para especificar el rango de tiempo y los datos que aparecen en los grficos:
2. Haga clic en Page Settings.
3. Seleccione qu grficos de uso desea mostrar.
4. Seleccione el rango de tiempo que desea representar en los grficos. Los
intervalos del grfico varan de una hora a un ao.
5. Indique la frecuencia con que desea actualizar los grficos.
Configuracin de la apariencia del grfico

Tambin puede especificar el grosor y el color de las lneas para cambiar la
apariencia de los grficos en la pgina Status.
Para especificar el grosor y el color de las lneas que aparecen en los grficos:
2. Haga clic en el vnculo Edit que corresponda al grfico que desea modificar.
846
3. Use los ajustes del cuadro de dilogo Graph Settings para editar el color de
fondo, los colores de la lnea del grfico, el color del texto, el color de la lnea
y el grosor de la lnea que aparecen en el grfico.
Visualizacin de eventos crticos del sistema

El panel de Central Manager permite configurar fcilmente la visualizacin de los 10
ltimos eventos crticos del sistema. Con la ventana de Event Monitor, puede
obtener acceso rpidamente y abordar cualquier problema crtico del sistema.
Una vez que haya abierto la ventana Event Monitor, puede mantenerla abierta
y supervisar continuamente los eventos del sistema mientras navega a travs de la
consola de administracin para realizar las tareas de mantenimiento
y configuracin estndar.
Para revisar rpidamente los eventos crticos del sistema:
2. Haga clic en Critical Events. La ventana de Event Monitor muestra la gravedad
y el mensaje de cualquier evento crtico grabado en el archivo de registro del
sistema.
3. Haga clic en Refresh para ver los eventos ms actualizados (opcional).
4. Haga clic en See All para navegar a la ficha System > Log/Monitoring >
Events > Log, donde se muestran todos los eventos, de informativos a crticos
(opcional). Para obtener ms informacin, consulte Configuracin de las
caractersticas de supervisin de registro en la pgina 828.
Descarga del paquete de servicio actual

Puede descargar el paquete de servicio actualmente instalado en el IVE para copia
de seguridad e instalarlo en otro IVE.
Para descargar el paquete de servicio actual.
2. Haga clic en Download Package (versiones de Central Manager) o en el vnculo
al lado de System Software Pkg Version.
4. Especifique un nombre y una ubicacin para el paquete de servicio.
847
Edicin de la fecha y hora del sistema

Debe configurar la hora del servidor para registrar correctamente los eventos del
sistema y las transferencias de archivos del usuario. Puede usar un servidor del
protocolo de hora de la red (NTP) para sincronizar el IVE con una serie de equipos,
o bien puede configurar la hora del IVE de forma manual.
Parta editar la fecha y hora del sistema:
2. En la seccin System Date & Time, haga clic en Edit.
3. Selecciona un huso horario en el men Time Zone. El IVE ajusta
automticamente la hora del horario de verano.
4. Configure la hora del sistema usando uno de estos mtodos:
Use NTP server: Seleccione la opcin Use NTP Server, introduzca la

direccin IP o nombre del servidor y especifique un intervalo de
actualizaciones.
Set Time Manually: Seleccione la opcin Set Time Manually e introduzca

los valores de fecha y hora. Tambin puede hacer clic en Get from Browser
para rellenar los campos Date y Time.
Supervisin de usuarios activos

Puede supervisar usuarios que iniciaron sesin en el IVE. Cada nombre de usuario,
territorio de autenticacin, rol y hora de inicio de sesin aparecen en la pgina
Active Users.
NOTA:
Los usuarios que no pertenecen al IVE y que iniciaron sesin en una reunin
segura aparecen en la lista como miembros del rol Secure Meeting User
Role.
El IVE muestra N/A en las columnas Realm y Role para los usuarios que no
pertenecen al IVE y que iniciaron sesin en el IVE para asistir a Secure
Meeting.
Para supervisar los usuarios que han iniciado sesin en el IVE.

1. En la consola de administracin, elija System > Status > Active Users.
848
Supervisin de usuarios activos
2. Realice estas tareas (opcional):
Cerrar la sesin de usuarios del IVE:
Para forzar el cierre de sesin de uno o ms usuarios finales

o administradores, seleccione la casilla de verificacin junto a los
nombres correspondientes y haga clic en Delete Session.
Para forzar el cierre de sesin de todos los usuarios finales que tengan
una sesin iniciada, haga clic en Delete All Sessions.
NOTA: Si desea cerrar la sesin de los administradores, debe elegirlos por

separado y usar el botn Delete Session.
Realizar una evaluacin dinmica de directivas de todos los usuarios

que iniciaron sesin:
Para evaluar manualmente todas las directivas de autenticacin, las

reglas de asignacin de roles, las restricciones de roles, los roles de
usuario y las directivas de recursos de todos los usuarios que iniciaron
sesin actualmente, haga clic en Refresh Roles. Use este botn si
desea efectuar cambios en la directiva de autenticacin, las reglas de
asignacin de roles, las restricciones de roles o las directivas de
recursos y si desea actualizar de inmediato los roles de todos los
usuarios. Para obtener ms informacin, consulte Evaluacin
dinmica de directivas en la pgina 57.
Configurar los datos que se mostrarn y su orden:
Para mostrar un usuario especfico, introduzca su nombre de usuario

en el campo Show Users Named y haga clic en Update. Si no sabe el
nombre de usuario exacto, use el carcter de comodn *. Por ejemplo,
si tiene un usuario llamado Pedro Prez, pero no recuerda si su
nombre de usuario es Pepe o Pedro, introduzca Pe* en el campo
Show Users Named. El IVE devuelve una lista de todos los usuarios
cuyos nombres de usuario comienzan con las letras p y e.
Para controlar la cantidad de usuarios y administradores que aparecen

en la pgina Active Users, introduzca un nmero en el campo Show N
users y haga clic en Update.
Para ordenar la tabla de usuarios y administradores que iniciaron

sesin actualmente, haga clic en un encabezado de columna.
Para actualizar el contenido de la pgina, haga clic en Update.
Supervisin de usuarios activos 849
Vnculo a fichas relacionadas:
Para editar el territorio de autenticacin de un usuario, haga clic en el

vnculo Realm justo al lado de su nombre y siga las instrucciones de
Creacin de un territorio de autenticacin en la pgina 196.
Para editar el rol de un usuario, haga clic en el vnculo Role junto a su

nombre y siga las instrucciones de la seccin Creacin de las roles de
administrador en la pgina 901 (si es un administrador)
o Configuracin de los roles de usuario en la pgina 72 (si es un
usuario final).
Visualizacin y cancelacin de reuniones programadas.

Puede ver todas las reuniones programadas actualmente en el IVE o cancelarlas.
(Para obtener una descripcin de la opcin Secure Meeting, consulte Secure
Meeting en la pgina 619.)
Para ver y cancelar reuniones programadas:
1. En la consola de administracin, elija System > Status > Meeting Schedule.
El IVE muestra informacin en tiempo real de todas las reuniones en curso
o programadas, incluyendo:
850
Time and Status: Muestra la hora y duracin que tiene programada la

reunin, as como su estado actual.
Meeting Details: Muestra el nombre, ID y requisito de contrasea de la

reunin. Esta columna tambin incluye un vnculo a Details que se puede
usar para ver informacin sobre la reunin y unirse a sta.
Meeting Role: Muestra el rol del creador de la reunin. Si el creador haba

iniciado sesin en varios roles al crear la reunin (es decir, pertenece
a varios roles y el dispositivo se configur para una fusin permisiva),
Secure Meeting elige un rol usando las pautas descritas en Pautas de
fusin permisiva para Secure Meeting en la pgina 638.
Attendee Roles: Muestra los roles de los asistentes que iniciaron sesin en
la reunin, el nmero de asistentes que inici sesin en cada rol y el lmite
de asistentes a la reunin para cada rol. Tenga en cuenta que los asistentes
que no pertenecen al IVE aparecen debajo del rol de usuario del creador de
la reunin. Para obtener informacin sobre cmo se asignan los asistentes
a los roles y cmo configurar los lmites por rol, consulte Definicin de los
ajustes de rol: Secure Meeting en la pgina 633.
2. Use cualquiera de los siguientes mtodos para cambiar a la vista de reunin

(opcional):
Seleccione un marco de tiempo (Daily, Weekly, In Progress, Scheduled) en

la lista desplegable para controlar las reuniones que se mostrarn.
Haga clic en cualquiera de los encabezados de columna subrayados para

controlar el orden en que se clasificarn las reuniones que aparecen
actualmente.
3. Haga clic en el vnculo Details debajo de una reunin para ver informacin
sobre la reunin y unirse a sta (opcional).
4. Elija MySecureMeeting URLs en el men desplegable View para ver las URL
personales que hayan creado sus usuarios.
5. Haga clic en el icono de eliminacin en la columna derecha para cancelar una
reunin o eliminar MySecure Meeting URL (opcional).
NOTA: La cancelacin de una reunin la elimina permanentemente del IVE. No se
puede restaurar una reunin despus de cancelarla.
851
852
Captulo 30
Resolucin de problemas
El IVE proporciona varias utilidades de resolucin de problemas que le permiten
supervisar el estado del sistema, incluyendo los clsteres, si es que los usa. Esta
seccin proporciona una vista general de varias tareas de resolucin de problemas
que estn disponibles usando el IVE:
Licencia: Disponibilidad de la resolucin de problemas en la pgina 851
Simulacin o seguimiento de eventos en la pgina 852
Grabacin de sesiones en la pgina 856
Creacin de imgenes instantneas del estado del sistema IVE en la

pgina 857
Creacin de archivos de volcado TCP en la pgina 859
Prueba de la conectividad de red del IVE en la pgina 861
Ejecucin de las herramientas de depuracin de forma remota en la

pgina 862
Creacin de registros de depuracin en la pgina 863
Supervisin de los nodos del clster en la pgina 864
Configuracin de la supervisin de la comunicacin del grupo en un clster

en la pgina 865
Configuracin de la supervisin de la conectividad de red en un clster en la

pgina 866
Licencia: Disponibilidad de la resolucin de problemas

Las capacidades de resolucin de problemas estn disponibles en todos los
productos Secure Access y no necesita una licencia especial para usarlos. Sin
embargo, tenga en cuenta que las siguientes caractersticas avanzadas no estn
disponibles en el dispositivo SA 700:
Grabacin de sesiones
Supervisin y configuracin de clsteres
Licencia: Disponibilidad de la resolucin de problemas
851
Simulacin o seguimiento de eventos

Puede simular y seguir los eventos del IVE que presenta problemas para descubrir
por qu no le permite realizar una tarea deseada. Para esto, use las configuraciones
de la pgina Maintenance > Troubleshooting > User Sessions > Policy Tracing
de la consola de administracin. Esta pgina lo guiar a travs de los territorios,
roles y directivas que actualmente estn configurados en el IVE y que imprimen
mensajes de registro en los distintos pasos del proceso de autenticacin,
autorizacin y acceso.
Los eventos en cuestin estn relacionados con la autenticacin, autorizacin
y acceso para un usuario en especial. Dependen completamente de lo que pasa
durante la sesin del usuario. Esto se aplica tanto para la simulacin como para el
seguimiento de directivas.
NOTA: Entre los eventos que se capturan no se encuentran otros eventos

relacionados con el sistema. El IVE simplemente usa los eventos como un
mecanismo de filtro para reducir la cantidad de registros y resaltar el problema.
Simulacin de eventos que causan un problema

El IVE le permite resolver problemas simulando los eventos que los causaron.
Usando la pgina Maintenance > Troubleshooting > User Sessions> Simulation
puede crear sesiones de usuario virtuales sin tener que solicitar a los usuarios
finales reales que inicien sesin en el IVE y recreen sus problemas. Adems, puede
usar la ficha Simulation para probar las nuevas directivas de autenticacin
y autorizacin antes de usarlas en un entorno de produccin.
Para usar el simulador, debe especificar los eventos que desea simular (por ejemplo
puede crear una sesin virtual en la que John Doe inicie sesin en el territorio
Usuarios a las 6:00 a.m. con el navegador Internet Explorer). Despus, debe
especificar los eventos que desea grabar y registrar en la simulacin. Puede
registrar tres tipos principales de eventos en el registro de simulacin:
852
Autenticacin previa: Entre los eventos del IVE que se capturan no se incluir
ningn otro evento relacionado con el sistema. Los eventos simplemente se
usan como un mecanismo de filtro para reducir la cantidad de registros
y resaltar el problema.
Asignacin de roles: Entre los eventos del IVE que se capturan no se incluir
usan como un mecanismo de filtro para reducir la cantidad de registros
y resaltar el problema.
Directivas de recursos: Entre los eventos del IVE que se capturan no se incluir
usan como un mecanismo de filtro para reducir la cantidad de registros y
resaltar el problema.
Captulo 30: Resolucin de problemas
Para simular una sesin del usuario:

1. En la consola de administracin, elija Maintenance > Troubleshooting >
User Sessions > Simulation.
2. En el campo Query Name, escriba un nombre para la consulta.
3. En el campo Username, escriba las credenciales del usuario del IVE cuya
experiencia desea simular. Tenga en cuenta que puede usar un carcter
comodn (*) en lugar de un nombre de usuario. Por ejemplo, si sus usuarios
inician sesin en un servidor annimo, puede usar el carcter comodn (*) ya
que usted no conoce el nombre de usuario interno que el IVE asignar al
usuario.
4. En el men desplegable Realm, seleccione el territorio del usuario del IVE cuya
experiencia desea simular.
5. Si desea determinar si el IVE aplica un tipo especfico de directiva de recursos
a una sesin de usuario, introduzca el recurso especfico que desea simular en
el campo Resource y seleccione un tipo de directiva desde la lista desplegable
Resource. Despus:
Si desea determinar si un usuario puede iniciar sesin de forma correcta en

el IVE, seleccione la casilla de verificacin Pre-Authentication.
Si desea determinar si se puede asignar un usuario a un rol de forma

correcta, seleccione la casilla de verificacin Role Mapping. Tenga en
cuenta que esta opcin controla que los resultados de la asignacin de roles
se registren en el registro del simulador, pero no controla que el IVE ejecute
las reglas de asignacin de roles. El IVE siempre ejecuta reglas de
asignacin de roles, incluso si esta casilla de verificacin no est
seleccionada.
Especifique los tipos de directivas que desea registrar usando las casillas de
verificacin de la seccin Events to Log.
Por ejemplo, si desea probar si un usuario puede tener acceso al sitio Web de
Yahoo, escriba http://www.yahoo.com en el campo Resource, seleccione
Web en la lista desplegable y seleccione la casilla de verificacin Access en la
seccin Events to Log.
Simulacin o seguimiento de eventos 853
6. En la seccin Variables, use una combinacin de texto y variables para crear

una expresin personalizada que refleje los mismos valores que en la sesin
real del usuario que est recibiendo el problema. Por ejemplo, si desea crear
una sesin en la que los usuarios inician sesin en el IVE a las 6:00 a. m.,
introduzca time = 6:00 AM en el campo Variables. Para obtener
instrucciones completas acerca de cmo crear una expresin personalizada,
consulte Escritura de expresiones personalizadas en la pgina 1041. Tambin
puede ver la sintaxis para una variable determinada al hacer clic en la flecha
que se encuentra junto a ella en el Variables Dictionary.
NOTA: Si no crea una expresin personalizada que incluya la direccin IP virtual
del usuario, el IVE usar en su lugar su direccin IP actual. Tambin tenga en
cuenta que si usa la variable de roles para especificar el rol del usuario virtual (por
ejemplo, role=Users), el IVE ignorar los resultados de las reglas de asignacin
de roles y asignar el usuario virtual a los roles que usted especifique.
7. Elija una de las siguientes opciones:
Run Simulation: Ejecuta la simulacin especificada y crea un archivo de

registro en la pantalla.
Save Query: Guarda la consulta.
Save Query and Run Simulation: Ejecuta la simulacin especificada

y tambin la guarda para usarla despus.
8. Despus de ejecutar la simulacin, elija Save Log As para guardar los resultados
de la simulacin en un archivo de texto.
Rastreo de eventos usando el seguimiento de directivas

El IVE le permite resolver problemas siguiendo los eventos cuando un usuario inicia
sesin en un territorio. La pgina Maintenance > Troubleshooting > User
Sessions > Policy Tracing permite grabar un archivo de seguimiento de directivas
para un usuario individual; el IVE muestra las entradas del registro donde aparecen
las acciones del usuario e indica las razones por las que se permite o se restringe el
acceso a las distintas caractersticas, como acceso a la Web o a un servidor de
archivos.
Por ejemplo, puede crear un territorio de Human Resources y crear dos reglas de
asignacin de roles para ese territorio:
854
All Employees: Dentro de este rol, solamente se habilita el navegador Web. El

rol se asigna a los usuarios mediante la regla: if username = *, map to All
Employees. En otras palabras, a cualquier usuario que pueda iniciar sesin en
el territorio automticamente se le asignar al rol All Employees.
Human Resources Staff: Dentro de este rol, se habilitan las funcionalidades de

Web, archivos y reuniones. El rol se asigna a los usuarios mediante la regla: if
LDAP group=human resources, map to Human Resources Staff. En otras
palabras, un usuario debe pertenecer al grupo humanresources en el servidor
de autenticacin LDAP para poder asignarlo a ese rol.
Quizs usted considera que John debe ser miembro de ambos roles, pero cuando
inicia sesin en el IVE l no puede tener acceso a la navegacin de archivos o a la
funcionalidad de Secure Meeting habilitada en el rol Human Resources Staff.
Cuando activa el seguimiento de directivas para determinar las razones por las que
John no puede tener acceso a todas las funcionalidades esperadas, es posible que
vea entradas del registro similares a las que se muestran en la Figura 46.
NOTA: Los registros del acceso de los usuarios slo se comunican para las
directivas que estn seleccionadas bajo Events to Log.
Figura 46: Maintenance > Troubleshooting > User Session > Policy Tracing> Policy Trace
File
Al revisar el archivo de seguimiento, puede determinar el problema en la entrada

PTR10218:
joe(human resources realm)-No match on rule group.humanresources
Esta entrada muestra que el IVE no asign a Joe al rol Human Resource Staff
porque no es miembro del grupo humanresources en el servidor LDAP.
Use esta ficha si sus usuarios tienen problemas para obtener acceso a las
funcionalidades que esperan usar en sus roles. Los eventos registrados en el archivo
de seguimiento de directivas le pueden ayudar a diagnosticar estos problemas.
Para crear un archivo de seguimiento de directivas:
User Sessions > Policy Tracing.
2. En el campo User, escriba las credenciales de IVE del usuario al que desea
hacer seguimiento. Tenga en cuenta que puede usar un carcter comodn (*) en
lugar de un nombre de usuario. Por ejemplo, si sus usuarios inician sesin en
un servidor annimo, puede usar el carcter comodn (*) ya que usted no
conoce el nombre de usuario interno que el IVE asignar al usuario.
Simulacin o seguimiento de eventos 855
3. En el campo Realm, seleccione el territorio del usuario. Tenga en cuenta que el

IVE no le permitir seleccionar un territorio que asigne a un servidor de
autenticacin annimo.
4. Bajo Events to log, seleccione los tipos de eventos que desee escribir en el
archivo de registro de seguimiento de directivas.
5. Haga clic en Start Recording. Solictele al usuario que inicie sesin en el IVE
despus de que usted comience a grabar.
6. Haga clic View Log para ver las entradas del registro.
7. Haga clic en Stop Recording cuando haya obtenido la informacin necesaria.
8. Revise los mensajes en el archivo de registro para determinar cul es la causa
del comportamiento inesperado. Si no puede determinar y solucionar el
problema, haga clic en Save Log As para guardar una copia del archivo de
registro en una ubicacin de la red. Luego, enve el archivo a Soporte tcnico de
Juniper Networks para su revisin.
9. Haga clic en Clear Log para borrar los contenidos del archivo de registro o haga
clic en Delete Trace para eliminar los contenidos de un archivo de registro
y luego eliminar las entradas predeterminadas de los campos nombre de
usuario y territorio.
Cuando un sitio Web no se vea correctamente a travs del IVE, la ficha
Maintenance > Troubleshooting > User Sessions > Session Recording le
permitir grabar un archivo de seguimiento que muestre las acciones de un usuario.
Adems, puede usar esta ficha para conectarse a travs del IVE a una aplicacin de
cliente/servidor que no se comporta segn lo esperado.
Cuando comience a grabar un archivo de seguimiento, el IVE desconecta al usuario
especificado y luego comienza a grabar todas las acciones del usuario despus de
que ste inicia sesin nuevamente y se autentica. Tenga en cuenta que despus de
que el usuario se autentica, el IVE le notifica que sus acciones se estn grabando.
Para grabar un archivo de seguimiento:
User Sessions > Session Recording.
2. Escriba las credenciales del usuario cuya sesin desea grabar.
3. Seleccione la casilla de verificacin Web (DSRecord) para grabar la sesin Web
del usuario y luego seleccione la casilla de verificacin Ignore browser cache si
desea pasar por alto las copias presentes en el cache del sitio Web que presenta
el problema. Si no selecciona estas casillas, el IVE no las graba como parte del
archivo de seguimiento (opcional).
856
4. Seleccione la casilla de verificacin Client/Server (JCP+NCP) para grabar las

sesiones de cliente/servidor de los protocolos de comunicacin de Java y de
red.
5. Haga clic en Start Recording. El IVE desconecta al usuario.
6. Indique al usuario que inicie sesin nuevamente y navegue al sitio Web que
produce el problema o a la aplicacin de cliente/servidor a travs del IVE.
7. Haga clic en Stop Recording.
8. Descargue los archivos de seguimiento desde la seccin Current Trace File:
a.
Haga clic en el vnculo DSRecord Log para descargar el archivo de

seguimiento de la Web.
b.
Haga clic en los vnculos JCP o NCP Client-Side Log para descargar el
archivo de seguimiento de la aplicacin cliente/servidor.
9. Enve en un correo electrnico el archivo a Soporte tcnico de Juniper Networks

para su revisin.
10. Seleccione el botn Delete para borrar los archivos de seguimiento que acaba
de crear (opcional).
Creacin de imgenes instantneas del estado del sistema IVE

La ficha Maintenance > Troubleshooting > System Snapshot le permite crear
una imagen instantnea del estado del sistema IVE. Cuando usa esta opcin, el IVE
ejecuta distintas utilidades para reunir informacin acerca del estado del sistema
IVE, como la cantidad de memoria en uso, el rendimiento de la paginacin, la
cantidad de procesos en ejecucin, el tiempo de funcionamiento del sistema, la
cantidad de descriptores de archivos abiertos, los puertos en uso y los mensajes de
registro de Secure Access FIPS.
Puede incluir o excluir la configuracin de sistema y los registros de depuracin. No
obstante, los registros de depuracin son especialmente importantes en caso de un
problema. Necesitar establecer el registro de depuracin a un determinado nivel
y agregar la lista de eventos como se lo seale el representante de Soporte. Recree
el problema o el evento y luego tome una imagen instantnea y envela a Soporte.
El registro de depuracin est encriptado, por lo que no podr verlo.
857
NOTA:
El IVE almacena hasta diez imgenes instantneas, que se empaquetan en un

archivo de volcado que puede descargar a un equipo de la red y luego
enviarlo por correo electrnico a Soporte de Juniper Networks. Si toma ms
de diez imgenes instantneas, el IVE sobrescribir la imagen ms antigua
con la imagen nueva. Si el IVE se queda sin espacio en el disco, no
almacenar la imagen instantnea nueva y registrar un mensaje en el
registro de eventos. Le recomendamos que descargue peridicamente las
imgenes instantneas a un equipo de la red para evitar perderlas.
En un clster, las imgenes instantneas se toman slo por nodos

individuales. Esto significa que los ajustes para las imgenes instantneas que
especifique no se sincronizan en todos los nodos del clster.
Para tomar una imagen instantnea del estado del sistema IVE:
System Snapshot.
2. Seleccione la casilla de verificacin Include system config para incluir la
informacin de configuracin del sistema en la imagen instantnea (opcional).
3. Seleccione la casilla de verificacin Include debug log para incluir el archivo de
registro creado a travs de la ficha Debug Log en la imagen instantnea de su
sistema. Para obtener ms informacin, consulte Creacin de registros de
depuracin en la pgina 863.
4. Haga clic en Take Snapshot para tomar una imagen instantnea de forma
manual inmediatamente.
5. Para tomar una imagen instantnea de forma automtica en intervalos
regulares:
a.
Seleccione Schedule automatic snapshots. Aparecern elementos de

configuracin adicionales.
b.
Especifique la frecuencia con la que desea tomar una imagen instantnea

(en horas).
c.
Especifique el tamao mximo para el archivo de cada imagen instantnea

(en MB).
NOTA: Si el tamao de la imagen instantnea excede el tamao mximo que

especific para el archivo, la imagen instantnea producir un error y el IVE
registrar un mensaje en el registro de eventos.
d. (Opcional) Si desea dejar de tomar las imgenes instantneas en un

momento especfico, indique una fecha y hora. De lo contrario, las
imgenes instantneas continuarn de forma peridica hasta que las
detenga manualmente.
858
e.
Si desea inhabilitar los registros de depuracin en el momento de

detencin que especifique, seleccione Disable debug logs at stop time.

7. Cuando el IVE termine de tomar la imagen instantnea, haga clic en el vnculo
de la imagen instantnea ubicado bajo Snapshot, haga clic en Save, dirjase a la
carpeta donde desea guardar el archivo de la imagen instantnea y luego haga
clic en Save.
para su revisin.
9. Cuando finalice, seleccione las imgenes instantneas que aparecen bajo
Snapshot y luego haga clic en Delete para eliminar la imagen instantnea.
NOTA: Tambin puede tomar una imagen instantnea del sistema desde la consola
serie. Este mtodo es til si no puede entrar a la consola de administracin
y necesita guardar la configuracin del sistema. Para obtener ms informacin,
consulte Tareas comunes de recuperacin en la pgina 993.
Creacin de archivos de volcado TCP

La ficha Maintenance > Troubleshooting > Tools > TCP Dump le permite
rastrear encabezados de paquetes de la red y guardar los resultados en un archivo
de volcado que puede descargar a un equipo de la red para luego enviarlo por
correo electrnico a Soporte de Juniper Networks.
Este caracterstica usa la pila de protocolos de red TCP/IP para capturar paquetes en
la capa TCP. Captura toda la comunicacin que pasa a travs del IVE. Sin embargo,
ciertos protocolos encriptados de niveles ms altos no se pueden desencriptar. Esta
caracterstica es til para resolver problemas comunes del cliente. Un archivo de
volcado TCP ayuda al equipo de Soporte de Juniper Networks a observar los
protocolos de comunicacin que se usan entre el IVE y cualquier otro servidor de
intranet, adems de observar la forma en la que la intranet responde a las
solicitudes del IVE.
En la consola de administracin, puede seleccionar la interfaz de la que quiere
capturar los paquetes. Independientemente de que elija la interna o la externa,
puede seleccionar el modo promiscuo, el que aumenta el nivel de los detalles en el
archivo de volcado y le permite especificar un filtro.
Para rastrear los encabezados de los paquetes de la red:
Tools > TCP Dump.
2. Seleccione el puerto del IVE en el que desea rastrear los encabezados de los
paquetes de la red.
Creacin de archivos de volcado TCP 859
3. Si est usando una licencia IVS, puede seleccionar tambin un puerto de VLAN
para rastrar los encabezados de paquetes la intranet de un suscriptor. Para
obtener ms informacin, consulte Resolucin de problemas de las VLAN en
la pgina 962.
4. Desactive la opcin de Promiscuous mode para rastrear slo los paquetes
correspondientes al IVE.
5. Cree un filtro personalizado usando las expresiones de filtro TCPDump
(opcional). Esta opcin proporciona la capacidad de filtrar los paquetes de red
detectados para que el archivo de volcado resultante contenga slo la
informacin que usted necesita. Consulte la Tabla 47 ms adelante para ver los
ejemplos.
7. Haga clic en Stop Sniffing para detener el proceso de deteccin y crear un
archivo encriptado.
8. Haga clic en Download para descargar el archivo a un equipo de la red.
para su revisin.
Tabla 47: Ejemplos de expresiones de filtro TCPDump
Ejemplo
Resultado
tcp port 80
Detecta paquetes en el puerto TCP 80.
port 80
Detecta paquetes en el puerto TCP o UDP 80.
ip
Detecta el protocolo IP.
tcp
Detecta el protocolo TCP.
dst #.#.#.#
Detecta la direccin IP de destino especificada,

donde #.#.#.# es una direccin IP vlida.
src #.#.#.#
Detecta la direccin IP de origen especificada,

donde #.#.#.# es una direccin IP vlida.
port 80 or port 443
Detecta el puerto 80 o el puerto 443.
src #.#.#.# and dst #.#.#.#
Detecta las direcciones IP de origen y destino o los

hosts especificados, donde cada #.#.#.# representa
una direccin IP vlida.
tcp port 80 or port 443 and dst #.#.#.# and

src #.#.#.#
Este ejemplo muestra cmo especificar mltiples

parmetros para crear un filtro que detecte el
puerto TCP 80, el puerto TCP o UDP 443 y los
puertos de destino y origen, donde cada #.#.#.#
representa una direccin IP vlida.
Para obtener ms informacin acerca de las expresiones de filtro de TCPDump, visite este sitio
Web: http://www.tcpdump.org/tcpdump_man.html
Para obtener ms informacin acerca del uso de TCP Dump, consulte Creacin de
860
Creacin de archivos de volcado TCP
Prueba de la conectividad de red del IVE

La ficha Maintenance > Troubleshooting > Tools > Commands le permite
ejecutar comandos UNIX como arp, ping, traceroute y NSlookup para probar la
conectividad de la red del IVE. Puede usar estas herramientas de conectividad para
ver la ruta que sigue la red desde el IVE a un servidor especificado. Si puede
ejecutar el comando ping o traceroute al IVE y el IVE puede hacer lo mismo con el
servidor de destino, cualquier usuario remoto debera poder tener acceso al
servidor a travs del IVE.
Protocolo de resolucin de direcciones (ARP)

Use el comando arp para asignar las direcciones IP de la red a las direcciones del
hardware. El protocolo de resolucin de direcciones (ARP) le permite resolver
direcciones de hardware.
Para resolver direcciones de un servidor en su red, el proceso de un cliente en el IVE
enva la informacin acerca de su identificador nico a un proceso del servidor
ejecutado en un servidor en la intranet. El proceso del servidor despus devuelve la
direccin solicitada al proceso del cliente.
Ping
Use el comando ping para verificar que el IVE se puede conectar a otros sistemas de
la red. En caso de que exista un error en la red entre los nodos locales y remotos, no
recibir una respuesta desde el dispositivo al que ejecut el comando ping. En ese
caso, pngase en contacto con el administrador de la LAN para obtener ayuda.
El comando ping enva paquetes a un servidor y devuelve su respuesta, que
generalmente es un conjunto de estadsticas como la direccin IP del servidor de
destino, el tiempo que se tard en enviar los paquetes y en recibir la respuesta
y otros datos. Puede ejecutar el comando ping en direcciones unicast o multicast
y debe incluir el nombre del servidor de destino en la solicitud.
Traceroute
Use el comando traceroute para descubrir la ruta que sigue un paquete desde el IVE
a otro host. Traceroute enva un paquete a un servidor de destino y recibe una
respuesta ICMP TIME_EXCEEDED desde cada puerta de enlace a lo largo de su ruta.
Las respuestas TIME_EXCEEDED y otros datos se registran y se muestran en el
resultado, indicando la ruta de la ida y vuelta del paquete.
Para ejecutar un comando UNIX para probar la conectividad de red del IVE:
Tools > Commands.
2. Desde la lista Command, seleccione el comando que desea ejecutar.
3. En el campo Target Server, escriba la direccin IP del servidor de destino.
Prueba de la conectividad de red del IVE
861
4. Si est utilizando una licencia IVS, puede seleccionar un puerto de la VLAN para
probar la conectividad con la intranet de un suscriptor. Para obtener ms
informacin, consulte Resolucin de problemas de las VLAN en la
pgina 962.
5. Introduzca otros argumentos u opciones.
6. Haga clic en OK para ejecutar el comando.
NSlookup
Use NSlookup para obtener informacin detallada acerca del servidor de nombres
en la red. Puede enviar una consulta acerca de distintos tipos de informacin, como
la direccin IP del servidor, la direccin IP del alias, el registro del inicio de la
autoridad, el registro del intercambio de correo, la informacin del usuario, la
informacin de los servicios conocidos, adems de informacin de otro tipo.
Para ejecutar NSLookup para probar la conectividad del servidor de nombres:
Tools > Commands.
2. En la lista Command, elija NSLookup.
3. Seleccione Query Type en el men desplegable.
4. Introduzca la consulta, que consiste en un nombre de host, una direccin IP
y otra informacin, dependiendo del tipo de consulta que elija.
5. Introduzca el nombre del servidor DNS o la direccin IP.
6. Si est utilizando una licencia IVS, puede seleccionar un puerto de la VLAN para
probar la conectividad con la intranet de un suscriptor. Para obtener ms
informacin, consulte Resolucin de problemas de las VLAN en la
pgina 962.
7. Introduzca otras opciones.
8. Haga clic en OK para ejecutar el comando.
Ejecucin de las herramientas de depuracin de forma remota

El equipo de Soporte de Juniper Networks puede ejecutar herramientas de
depuracin en su IVE de produccin si se configura esta opcin en la pgina
Maintenance > Troubleshooting > Remote Debugging. Para habilitar esta
opcin, debe trabajar con Soporte de Juniper Networks para obtener el cdigo
de depuracin y el host al que desea que se conecte el IVE.
Para habilitar la depuracin remota:
1. Pngase en contacto con Soporte de Juniper Networks para acordar las
condiciones de la sesin de depuracin.
862
Ejecucin de las herramientas de depuracin de forma remota

Remote Debugging.
3. Escriba el cdigo de depuracin proporcionado por Soporte de
Juniper Networks.
4. Escriba el nombre del host proporcionado por Soporte de Juniper Networks.
5. Haga clic en Enable Debugging para permitir que el equipo de Soporte de
Juniper Networks pueda entrar al IVE.
6. Notifique a Soporte de Juniper Networks que puede tener acceso al IVE.
7. Haga clic en Disable Debugging cuando Soporte de Juniper Networks le
notifique que la sesin de depuracin remota ha finalizado.
Creacin de registros de depuracin

Si tiene un problema, un representante de Soporte Juniper Networks podra
solicitarle que cree registros de depuracin para ayudarle a depurar los problemas
internos del IVE. Cuando habilita la creacin de registros, el IVE graba ciertos
eventos y mensajes dependiendo de los cdigos de eventos que se introduzcan en
la consola de administracin en la ficha Maintenance > Troubleshooting >
Monitoring > Debug Log. Usando el registro de depuracin resultante, el equipo
de soporte puede identificar el flujo del cdigo para buscar discrepancias. Los
representantes de soporte le darn toda la informacin que necesita para crear el
archivo de registro, incluyendo el nivel de registro de detalles de la depuracin y los
cdigos de los eventos.
NOTA: La ejecucin de los registros de depuracin puede afectar a la estabilidad
y al rendimiento de su sistema. Slo debe generar registros de depuracin cuando
as se lo indique el representante de Soporte de Juniper Networks.
Para habilitar el registro de depuracin:

Monitoring > Debug Log.
2. Seleccione la casilla de verificacin Debug Logging On.
3. Introduzca el tamao del archivo, el nivel de detalle y el cdigo del evento
indicado por Soporte de Juniper Networks.
NOTA: Si configura el nivel de detalle en 0, slo se mostrarn los mensajes de la
categora Critical; no se desactivan completamente los registros.

5. Haga clic en la ficha Maintenance > Troubleshooting > System Snapshot.
6. Seleccione la casilla de verificacin Include debug log.
Creacin de registros de depuracin
863
7. Haga clic en Take snapshot para crear un archivo que contenga el registro de
depuracin.
8. Haga clic en Download.
9. Adjunte en un mensaje de correo electrnico el archivo de la imagen
instantnea y envelo a Soporte de Juniper Networks.
Supervisin de los nodos del clster

Si tiene problemas con un clster, un representante de Soporte de Juniper Networks
puede pedirle que cree una imagen instantnea que incluya las estadsticas de la
supervisin de los nodos para ayudarle a depurar el problema en el clster. Cuando
se habilita el supervisor de nodos en la ficha Maintenance > Troubleshooting >
Monitoring > Node Monitor, el IVE captura determinadas estadsticas especficas
para los nodos del clster de su sistema. Con las imgenes instantneas resultantes,
el equipo de soporte podr identificar datos importantes, como las estadsticas de la
red y las estadsticas del uso de la CPU.
Para habilitar la supervisin de nodos:
1. Introduzca el tamao mximo para el registro del supervisor de nodos.
2. Introduzca el intervalo (en segundos) en el que quiere que se capturen las
estadsticas de los nodos.
3. Seleccione la casilla de verificacin Node monitoring enabled para iniciar la
supervisin de los nodos del clster.
4. Para Maximum node monitor log size, indique el tamao mximo (en MB) del
archivo de registro. Los valores vlidos son entre 1 y 30.
5. Especifique el intervalo (en segundos) que define la frecuencia en que se
supervisan los nodos.
6. Seleccione los comandos que usar para supervisar el nodo.
Si selecciona dsstatdump, introduzca tambin sus parmetros.
8. Si desea incluir los resultados de la supervisin del nodo en la imagen
instantnea del sistema, elija Maintenance > Troubleshooting > System
Snapshot y seleccione la casilla de verificacin Include debug log.
9. Tome una imagen instantnea del sistema para recuperar los resultados. Para
obtener ms informacin, consulte Creacin de imgenes instantneas del
estado del sistema IVE en la pgina 857.
864
Supervisin de los nodos del clster
Configuracin de la supervisin de la comunicacin del grupo en un

clster
Si tiene problemas con un clster, un representante de Soporte de Juniper Networks
puede pedirle que cree una imagen instantnea que incluya las estadsticas de la
comunicacin del grupo para ayudarlo a depurar el problema en el clster. Cuando
habilite el supervisor de comunicacin del grupo en la ficha Maintenance >
Troubleshooting > Monitoring > Cluster > Group Communication, el IVE graba
las estadsticas relacionadas a todos los nodos del clster de su sistema. Debido
a que el nodo local se comunica con otros nodos en el clster, el IVE captura
estadsticas relacionadas a la comunicacin dentro del clster. La ficha
Maintenance > Troubleshooting > Monitoring > Cluster > Group
Communication aparece slo cuando se habilita la creacin de clsteres en su
sistema. En un IVE independiente, no tendr acceso a la ficha Maintenance >
Troubleshooting > Monitoring > Cluster > Group Communication.
Tambin podr habilitar el servidor de resolucin de problemas de la red del clster
en la pgina Maintenance > Troubleshooting > Monitoring > Cluster >
Network Connectivity. Para obtener ms informacin, consulte Configuracin de
la supervisin de la conectividad de red en un clster en la pgina 866.
NOTA:
Al realizar supervisiones de nodo excesivas, es posible que se vean afectados

la estabilidad y el rendimiento del sistema. Slo debe realizar supervisiones
completas cuando as se lo indique el representante de Soporte de
Juniper Networks.
Al realizar sincronizaciones de registros a travs de los nodos del clster,

pueden resultar afectados el rendimiento y la estabilidad del sistema.
Para habilitar la supervisin de la comunicacin del grupo:

1. Introduzca el tamao mximo para el registro de estadsticas.
2. Introduzca el intervalo, en segundos, en el que quiere que se registren los
eventos.
3. Si desea supervisar todos los clsteres desde el nodo local actual, seleccione la
casilla de verificacin Monitor all cluster nodes from this node. Si no marca
esta opcin, el supervisor de comunicaciones del grupo rene las estadsticas
slo para el nodo local.
NOTA: Si selecciona la opcin Monitor all cluster nodes from this node, los nodos
del clster deben poder comunicarse a travs del puerto UDP 6543.
4. Seleccione la casilla de verificacin Enable group communication monitoring
para iniciar la herramienta de supervisin.
Configuracin de la supervisin de la comunicacin del grupo en un clster
865
6. Si desea incluir los resultados de la supervisin del nodo en la imagen

instantnea del sistema, elija Maintenance > Troubleshooting > System
Snapshot y seleccione la casilla de verificacin Include debug log.
7. Tome una imagen instantnea del sistema para recuperar los resultados. Para
obtener ms informacin, consulte Creacin de imgenes instantneas del
estado del sistema IVE en la pgina 857.
Configuracin de la supervisin de la conectividad de red en un

clster
Si tiene un problema con un clster, el representante de Soporte de
Juniper Networks podra pedirle que habilite el servidor de resolucin de problemas
del nodo del clster. Cuando habilite el servidor en la ficha Maintenance >
Troubleshooting > Cluster > Network Connectivity, el IVE intentar establecer
la conectividad entre el nodo en el que reside el servidor y otro nodo que usted
especifique. Mientras los nodos se comunican, el IVE muestra las estadsticas de
conectividad de la red en la pgina. La ficha Maintenance > Troubleshooting >
Cluster > Network Connectivity aparece slo cuando habilita la creacin de
clsteres en su sistema. En un IVE independiente, no tendr acceso a la ficha
Maintenance > Troubleshooting > Cluster > Network Connectivity.
Use la pgina Network Connectivity para habilitar el servidor de resolucin de
problemas del nodo del clster y para seleccionar un nodo en el que desea realizar
las tareas de resolucin de problemas. La herramienta de resolucin de problemas
le permite determinar la conectividad de red entre los nodos del clster.
El componente del servidor de esta herramienta se ejecuta en el nodo hacia el que
se est probando la conectividad. El componente del cliente se ejecuta en el nodo
desde el que se est probando la conectividad. El escenario bsico para probar la
conectividad es el siguiente:
El administrador inicia el componente del servidor en el nodo pasivo.
Seguidamente, el administrador prueba la conectividad hacia el nodo del

servidor desde el nodo activo iniciando el componente del cliente en el nodo
activo y contactando con el nodo pasivo que ejecuta el componente del
servidor.
NOTA: El componente del servidor debe ejecutarse en nodos que estn

configurados como independientes, o bien, que estn en un clster pero
inhabilitados. Los servicios de clster no se pueden ejecutar en el mismo nodo que
tiene el componente del servidor.
1. Seleccione la casilla de verificacin Enable cluster network troubleshooting

server para habilitar el componente del servidor.
866
Configuracin de la supervisin de la conectividad de red en un clster
3. En otro equipo, seleccione Maintenance > Troubleshooting > Cluster >

Network Connectivity.
Seleccione un nodo desde el men desplegable.
Escriba la direccin IP del nodo del servidor.
5. Haga clic en Go para comenzar a resolver problemas en el equipo donde se

est ejecutando el componente del servidor.
6. Para ver los resultados, haga clic en el vnculo Details que aparece en la pgina
por debajo de los campos.
867
868
Captulo 31
Creacin de clsteres
Puede adquirir una licencia de creacin de clsteres para implementar dos o ms
dispositivos con Secure Access o Secure Access FIPS como un clster. Estos
dispositivos admiten configuraciones activo/pasivo o activo/activo a travs de una
LAN para proporcionar alta disponibilidad y mayor escalabilidad, adems de
capacidades de equilibrio de carga.
Un clster de un IVE se define especificando tres datos:
un nombre para el clster
una contrasea que compartirn los miembros del clster
un nombre para identificar al equipo en el clster
Al introducir esta informacin podr inicializar el primer miembro del clster.

Despus deber especificar cules IVE desea agregar al clster. Una vez identificado
el IVE como miembro vlido, podr agregarlo al clster a travs de la:
Consola de administracin: Si un IVE configurado est trabajando como un

equipo independiente, puede agregarlo al clster a travs de su consola de
administracin.
Consola serie: Si un IVE est en su estado de fbrica, puede agregarlo al clster

a travs de la consola serie introduciendo informacin mnima durante la
instalacin inicial.
Cuando un IVE se integra en un clster, ste inicializa su estado con el miembro

existente que usted especifique. El nuevo miembro enva un mensaje al miembro
existente solicitando la sincronizacin. El miembro existente enva el estado del
sistema al miembro nuevo, sobrescribiendo todos los datos de sistema en ese
equipo. Despus de esto, los miembros del clster sincronizan los datos cuando hay
un cambio en el estado de algn miembro. La comunicacin entre los miembros
del clster est encriptada para evitar ataques desde dentro de la pared de fuego
corporativa. Cada IVE usa la contrasea comn para desencriptar la comunicacin
de otro miembro del clster. Por razones de seguridad, la contrasea del clster no
se sincroniza a travs de los IVE.
Tenga en cuenta si el nuevo nodo cuenta con una licencia Central Manager y est
ejecutando un paquete de actualizacin antiguo, recibir el paquete de
actualizacin ms reciente.
869
Este captulo contiene las siguientes secciones:
Licencia: Disponibilidad para creacin de clsteres en la pgina 870
Resumen de tareas: Implementacin de un clster en la pgina 870
Creacin y configuracin de un clster en la pgina 872
Configuracin de las propiedades del clster en la pgina 877
Administracin y configuracin de clsteres en la pgina 885
Licencia: Disponibilidad para creacin de clsteres

La caracterstica de creacin de clsteres no est disponible en el dispositivo
SA 700.
Puede ejecutar un IVE en un clster si cuenta con una licencia IVS. Para obtener
ms informacin, consulte Creacin de clsteres en un IVE virtualizado en la
pgina 946.
NOTA: Todos los IVE de un clster deben tener la misma licencia para clsteres. No
se puede agregar una licencia ADD y una CL en el mismo equipo al mismo

tiempo. Para que un nodo pueda integrarse en un clster, deber agregar una
licencia CL al nodo.
Resumen de tareas: Implementacin de un clster

Para crear un cluster de IVE:
1. Asegrese de que todos los nodos de IVE correspondientes tienen la misma
plataforma de hardware (por ejemplo, Secure Access 6000 en todos los
equipos).
2. Verifique que todos los nodos de IVE correspondientes tengan la configuracin
inicial (por ejemplo, se ha especificado el nombre del host IVE y se han
asignado las direcciones IP interna y externa) y que estn ejecutando la misma
versin del paquete de actualizacin.
3. Desde la consola de administracin, haga clic en la pgina System >
Configuration > Licensing, habilite la caracterstica de creacin de clsteres
en el servidor primario introduciendo una licencia independiente y todas las
licencias de caractersticas correspondientes.
4. En la pgina System > Clustering > Create Cluster, inicialice el clster de IVE
definiendo el nombre del clster y agregando el IVE primero o primario al
clster. Para obtener instrucciones, consulte Definicin e inicializacin de un
clster en la pgina 873.
870
Licencia: Disponibilidad para creacin de clsteres
Captulo 31: Creacin de clsteres
5. En la pgina System > Clustering > Status, agregue los nombres y las
direcciones IP de los futuros IVE del clster al IVE primario. Para obtener
instrucciones, consulte Integracin en un clster existente en la pgina 874.
6. En la pgina System > Clustering > Join Cluster, agregue al clster los IVE
adicionales segn sea necesario. Para obtener ms instrucciones, consulte
Adicin de un IVE a un clster a travs de su consola de administracin en la
pgina 875 o, en el caso de un IVE preconfigurado o con la configuracin de
fbrica, Integracin de un IVE en un clster a travs de su consola serie en la
pgina 894.
7. Si est ejecutando Network Connect en un clster de varios sitios donde los
nodos residen en subredes diferentes:
a.
Configure la directiva del conjunto de direcciones IP en la pgina Users >

Resource Policies > Network Connect > Network Connect Connection
Profiles > New Profile que muestra las diferentes direcciones de red que
usa cada nodo en el clster.
b.
Para cada nodo en el clster, use las configuraciones de la pgina

System > Network > Network Connect de la consola de administracin
para especificar un filtro IP que admita slo las direcciones de red que
estn disponibles para ese nodo.
c.
Cree una ruta esttica en el enrutador de la puerta de enlace que indique la

direccin IP del puerto interno de cada nodo del clster. Cada direccin IP
especificada en el enrutador debe estar en la misma subred que el nodo del
clster correspondiente.
8. Si se trata de crear un clster de dispositivos Secure Access FIPS, actualice de

forma manual la palabra de seguridad en cada uno de los equipos, como se
explic en Implementacin de un clster en un entorno Secure Access FIPS
en la pgina 1015.
Cuando ejecute Network Connect en un clster activo/activo, debe dividir el

conjunto de direcciones IP entre todos los nodos para asegurar el
enrutamiento adecuado desde el servidor al usuario final de NC. Tanto si el
conjunto de direcciones IP se proporcionan de forma esttica en el IVE como
si se proporcionan de forma dinmica a travs de DHCP, este paso es
obligatorio. Consulte Creacin de perfiles de conexin de Network Connect
en la pgina 675 para obtener ms informacin.
La configuracin del conjunto de direcciones IP del cliente se sincroniza entre

todos los nodos de un clster; sin embargo, los administradores pueden
configurar cada IVE para que use un grupo menor del conjunto de direcciones
IP global. Configure el conjunto de direcciones IP en la ficha Network
Settings > Network Connect, usando una coincidencia de filtro de IP.
NOTA: Le recomendamos que primero implemente un clster en un entorno de

pruebas y despus avance a un entorno de produccin cuando haya probado la
autenticacin de territorio, los roles de usuario y las configuraciones de las
directivas de recursos, adems de todas las aplicaciones a las que pueda acceder
el usuario final.
Resumen de tareas: Implementacin de un clster
871
Creacin y configuracin de un clster

Si un IVE no es parte de un clster, la pgina Clustering incluir la ficha Create. La
ficha Create le permite crear configuraciones para los nodos del clster, incluso si
no tiene dispositivos fsicos disponibles para integrar en el clster.
Despus de agregar una licencia para clsteres al IVE, la pgina Clustering mostrar
la ficha Join. La ficha Join le permite integrar un IVE inicializado a un clster
existente, como se explica en Integracin en un clster existente en la
pgina 874.
Despus de crear el clster, la pgina Clustering mostrar las fichas Status
y Properties en lugar de las fichas Join y Create iniciales. Use la ficha Status para
especificar el IVE que se agregar al clster, administrar las configuraciones de la
red para los nodos del clster y actualizar el paquete se actualizacin del clster. La
ficha Properties le permite especificar, entre otras, las configuraciones activo/pasivo
y activo/activo, adems de permitirle eliminar un clster.
NOTA:
La ficha Create slo aparece en un IVE que no tiene una clave de licencia para
clsteres. Slo podr crear un clster si ha introducido una clave de licencia
para clsteres.
Se necesita la clave de licencia para clsteres o licencia CL para ejecutar la

funcin secundaria del nodo de integrarse al clster.
Todos los nodos de un clster deben tener la misma clave de licencia que el
IVE del clster primario para que el clster pueda funcionar. No se puede
agregar una licencia ADD y una CL en el mismo equipo al mismo tiempo. Para
que un nodo pueda integrarse en un clster, deber agregar una licencia CL al
nodo.
Esta seccin contiene la siguiente informacin acerca de la creacin de clsteres:
Definicin e inicializacin de un clster en la pgina 873
Integracin en un clster existente en la pgina 874
Implementacin de un clster en un entorno Secure Access FIPS en la

pgina 1015
NOTA: Para obtener informacin acerca de cmo configurar un clster en:
872
una red del proveedor de servicios que opera con una licencia IVS, consulte
Creacin de clsteres en un IVE virtualizado en la pgina 946.
un entorno Secure Access FIPS, consulte Implementacin de un clster en un

entorno Secure Access FIPS en la pgina 1015
Definicin e inicializacin de un clster

Si actualmente ejecuta IVE independientes que quiere agrupar en un clster, le
recomendamos que configure el sistema y los ajustes de usuario en un equipo antes
de crear el clster. Despus de eso, use el mismo equipo para crear el clster. Este
equipo se integrar en el clster como parte del proceso de creacin. Cuando otros
IVE se integren al clster, este equipo transmitir su configuracin al nuevo
miembro del clster.
Para definir e inicializar un clster:
1. Configure un IVE con la licencia correspondiente y con los datos de sistema,
licencia, usuario y aplicacin, como se explica en Resumen de tareas:
Implementacin de un clster en la pgina 870.
2. Desde la consola de administracin, seleccione System > Clustering > Create
e introduzca un nombre y una contrasea para el clster y un nombre para este
equipo, como por ejemplo Server-1.
NOTA: Deber introducir la contrasea nuevamente cuando configure IVE
adicionales que se integrarn al clster. Todos los equipos en el clster usan esta
contrasea para comunicarse.
3. Haga clic en Create Cluster. Cuando se le indique, confirme la creacin del

clster haciendo clic en Create. Despus de que el IVE inicialice el clster, la
pgina Clustering mostrar las fichas Status y Properties. Use la ficha Status
para especificar los miembros adicionales del clster antes de intentar agregar
otro IVE al clster nuevo. Para obtener ms informacin, consulte
Especificacin de un IVE para su integracin en un clster en la pgina 875.
Figura 47: System > Clustering > Create: creacin de un clster
873
Integracin en un clster existente

El mtodo que usar para agregar un IVE a un clster depende de si el IVE ya est
configurado o si an no ha sido inicializado (todava en estado de fbrica). Si se
trata de un IVE en estado de fbrica, recomendamos que use el procedimiento de la
consola serie debido a que requiere la mnima informacin de su parte para que el
equipo se integre al clster. Consulte Integracin de un IVE en un clster a travs
de su consola serie en la pgina 894.
NOTA:
Si cuenta con SA Central Manager de Juniper Networks, puede crear un clster

usando el IVE que se ejecute con la ltima versin del sistema operativo
y luego agregar los nodos usando la funcionalidad upgrade and join
(actualizar e integrar). Cuando agregue un nodo a un clster usando esta
caracterstica, el primer nodo del IVE actualizar los nodos que se integren
con el paquete de actualizacin ms reciente. Esta funcionalidad slo se
puede usar cuando todos los IVE ejecutan la versin 4.0 o posterior del
sistema operativo.
Si desea agregar un IVE que actualmente trabaja como un equipo

independiente a un clster a travs de su consola de administracin y no tiene
Central Manager, el IVE debe ejecutar la misma versin del paquete de
actualizacin o una ms reciente y en la misma plataforma de hardware que
los otros miembros.
Si agrega a un clster un IVE que ejecuta un paquete de actualizacin anterior,

el IVE detectar automticamente la discrepancia entre versiones, obtendr el
paquete ms reciente desde el clster y luego se incorporar a ste. Si el nodo
nuevo no cuenta con una licencia, se agregar con el estado del clster
configurado como Enabled, Unqualified (habilitado, no calificado) hasta que
aplique una licencia CL vlida usando el ID de equipo del nodo nuevo.
Consulte Introduccin o actualizacin de licencias de IVE en la pgina 727.
Los ajustes especficos para el nodo existente se eliminan cuando un nodo IVE
se integra en un clster. Entre estas configuraciones se incluyen la direccin
de la interfaz de red, las tablas de rutas, los puertos virtuales, el cach ARP, la
interfaz VLAN, las configuraciones SNMP, etc. El administrador debe
reconfigurar de forma manual estos ajustes para el nuevo nodo que se integra.
Usted no podr usar la caracterstica de configuracin de sistema Import
(importar) para importar estas configuraciones y ajustes en un nodo IVE que
se ha integrado al clster. Consulte Importacin de un archivo de
configuracin del sistema en la pgina 788.
En un entorno Secure Access FIPS, debe usar la consola de administracin para

agregar un IVE a un clster. Debe tener acceso fsico a:
874
los mdulos criptogrficos instalados en los paneles frontales de los dispositivos

IVE de los miembros del clster
un lector de tarjeta inteligente
una tarjeta de administrador que se haya inicializado previamente con el

entorno de seguridad del miembro activo del clster
Especificacin de un IVE para su integracin en un clster

Antes de que un IVE se pueda integrar a un clster, debe especificar su identidad de
red en un miembro activo del clster.
Para especificar un IVE que desea integrar a un clster existente:
1. Desde la consola de administracin de un miembro activo del clster,
seleccione la ficha System > Clustering > Cluster Status.
2. Haga clic en Add Members (agregar miembros) para especificar el IVE que
integrar en el clster:
a.
Introduzca un nombre para el miembro.
b.
Introduzca la direccin IP interna del equipo.
c.
Introduzca la direccin IP externa del equipo si fuese necesario. Tenga en

cuenta que la direccin IP externa no aparecer si no ha habilitado el
puerto externo en la ficha System > Network > External Port.
d. Cambie las configuraciones de la mscara de red y de la puerta de enlace

para el nodo si fuese necesario.
e.
Haga clic en Add Node. Cuando se le solicite que confirme la incorporacin

del miembro nuevo, haga clic en Add (agregar).
f.
Repita este procedimiento para cada IVE que desee agregar al clster.
Adicin de un IVE a un clster a travs de su consola de administracin

Para poder agregar un IVE a un clster (ya sea a travs de la Web o de la consola
serie), deber comunicar su identidad al clster. Para especificar el IVE que desea
agregar a un clster, consulte Especificacin de un IVE para su integracin en un
clster en la pgina 875. Tenga en cuenta que si un IVE tiene una clave de licencia
para clsteres, slo tiene la ficha Clustering > Join.
Para agregar un IVE a un clster a travs de su consola de administracin:
1. desde un miembro del clster, seleccione la ficha System > Clustering >
Cluster Status y especifique el IVE que desea agregar al clster. Consulte
Especificacin de un IVE para su integracin en un clster en la pgina 875.
2. Desde la consola de administracin del IVE que desea agregar al clster:
a.
Escoja la ficha System > Configuration > Licensing e introduzca la clave

de licencia correcta (que contiene el tipo de equipo, las iniciales CL que
indican que es para clster y el nmero de licencias de usuario, por
ejemplo, SA6000-CL-1000U) para habilitar la caracterstica de creacin de
clsteres.
b.
Seleccione la ficha System > Clustering > Join e introduzca:
el nombre del clster al que se integrar
la contrasea del clster que especific cuando defini el clster
la direccin IP de un miembro activo del clster

875
c.
Haga clic en Join Cluster. Cuando se le indique, confirme la integracin del

clster haciendo clic en Join. Despus de que el IVE se integre al clster,
deber iniciar sesin nuevamente.
3. (Slo en entornos Secure Access FIPS) Inicialice el nodo con el entorno de

seguridad del miembro activo del clster, como se explica en Implementacin
de un clster en un entorno Secure Access FIPS en la pgina 1015.
Mientras el nuevo nodo sincroniza su estado con el miembro existente del clster,
los estados de todos los nodos indican Enabled, Enabled, Transitioning,
o Enabled, Unreachable.
Figura 48: System > Clustering > Status: Una vez terminada la transicin del nodo
Cuando el nuevo nodo finaliza la integracin en el clster, su pgina Clustering

muestra las fichas Status y Properties. La informacin de estado del miembro
original del clster, por ejemplo, los datos del sistema, usuario y licencia, se
encontrar tambin en el miembro nuevo del clster. En este ejemplo, las
caractersticas de la interfaz de usuario del miembro original se reflejan en el
nuevo nodo.
Readicin de un nodo a un clster

En algunas operaciones de mantenimiento puede ser necesario quitar un nodo de
un clster y luego volver a agregarlo e integrarlo en el clster.
Cuando un nodo de IVE se integra en un clster, todos los ajustes especficos del
nodo (por ejemplo, direcciones de interfaz de red, tablas de rutas, puertos virtuales,
cach ARP, interfaz VLAN, configuraciones, SNMP) se sobrescriben con los ajustes
equivalentes que se reciben desde el clster.
876
Para incluir los ajustes especficos correctos en el nodo al que se acaba de integrar:
1. Agregue el nodo al clster.
2. Desde cualquiera de los nodos existentes en el clster, configure de forma
manual los ajustes especficos para el nodo recientemente agregado.
3. Integre el nodo al clster.
Cuando el nodo se integre en el clster, recibir los ajustes especficos
recientemente configurados en el clster para ese nodo.
NOTA: Los ajustes especficos para el nodo se deben configurar de forma manual,
ya que las opciones de importacin binaria no son tiles. La nica opcin de
importacin binaria a un clster recomendada es Import everything except
network settings and licences (importar todo excepto las configuraciones de red
y las licencias) desde la pgina Maintenance > Import/Export > Configuration
que reestablece la configuracin en todo el clster (directivas de inicio de sesin,
territorios, roles, recursos, etc.) desde un archivo binario de respaldo. Debido
a que esta opcin omite las configuraciones especficas para el nodo, usted deber
ejecutar el paso 2 como un paso manual para agregar al nodo recientemente
integrado el conjunto de ajustes especficos para el nodo correctos.
Configuracin de las propiedades del clster

Esta seccin contiene la siguiente informacin acerca de las propiedades de los
clsteres:
Implementacin de dos nodos en un clster activo/pasivo en la pgina 877
Implementacin de dos o ms unidades en un clster activo/activo en la

pgina 879
Sincronizacin del estado del clster en la pgina 881
Configuracin de las propiedades del clster en la pgina 883
Implementacin de dos nodos en un clster activo/pasivo

Puede implementar distintos IVE como un par en un clster en modo activo/pasivo.
En este modo, un IVE sirve de forma activa los requisitos del usuario, mientras que
el otro IVE se ejecuta de forma pasiva en segundo plano para sincronizar los datos
de estado, como el estado del sistema, el perfil de usuario y los mensajes de
registro. Las solicitudes del usuario a la VIP (direccin IP virtual) del clster se
transfieren al IVE activo. Si el IVE activo se desconecta, el IVE pasivo comienza
automticamente a responder a las solicitudes del usuario. No es necesario que los
usuarios inicien sesin nuevamente; sin embargo, es posible que alguna
informacin de sesin de IVE, como contraseas o cookies, introducida poco antes
de la desconexin del equipo, no se haya sincronizado con el IVE actual, en cuyo
caso los usuarios deberan iniciar sesin nuevamente en los servidores Web de
back/end.
Configuracin de las propiedades del clster 877
Es posible que deba conmutar en caso de error la VIP del clster a otro nodo de
forma manual. Puede realizar esta conmutacin manual usando el botn Fail-Over
VIP (conmutar VIP en caso de error) en la pgina Clustering Status (estado de los
clsteres). Consulte Conmutacin de la VIP a otro nodo en caso de error en la
pgina 878.
La Figura 49 en la pgina 878 ilustra la configuracin de un clster IVE
activo/pasivo usando dos IVE que tienen los puertos externos habilitados. Tenga en
cuenta que este modo no aumenta el rendimiento o la capacidad del usuario, pero
proporciona redundancia para controlar fallos inesperados del sistema.
Las solicitudes del usuario se dirigen a la VIP del clster, que a su vez los enruta al
equipo que est activo en ese momento.
Figura 49: Par de clsteres activo/pasivo
Conmutacin de la VIP a otro nodo en caso de error

En un clster activo/pasivo, es posible que deba conmutar la VIP en caso de error
a otro nodo sin importar cul nodo est usando actualmente.
Para conmutar la VIP en caso de error:
1. Seleccione System > Clustering > Cluster Status desde la consola de
administracin.
2. Haga clic en el botn Fail-Over VIP para moverla al otro nodo. El botn FailOver VIP es un botn conmutador, por lo que puede moverse de un nodo
a otro, sin importar cul es el lder.
La conmutacin ocurre de forma inmediata.
878
Implementacin de dos o ms unidades en un clster activo/activo

En modo activo/activo, todos los equipos del clster administran de forma activa las
solicitudes del usuario enviadas por un equilibrador de carga externo o un DNS de
operacin por turnos. El equilibrador de carga almacena la VIP del clster y enruta
las solicitudes del usuario a un IVE definido en el grupo de su clster basado en el
enrutamiento de la direccin IP de origen. Si un IVE se desconecta, el equilibrador
de carga ajusta la carga en los IVE activos. No es necesario que los usuarios inicien
sesin nuevamente; sin embargo, es posible que alguna informacin de sesin de
IVE, como contraseas o cookies, introducida poco antes de la desconexin del
equipo, no se haya sincronizado con el IVE actual, en cuyo caso los usuarios
deberan iniciar sesin nuevamente en los servidores Web de back/end.
NOTA: Cuando escoja y configure un equilibrador de carga para su clster, le

recomendamos que verifique que el equilibrador de carga:
Admite IPsec
Recibe trfico en varios puertos
Se puede configurar para administrar el trfico usando las direcciones IP de

origen destino asignadas (no el puerto de destino)
El clster del IVE no realiza por s mismo ninguna operacin de conmutacin por
error o de equilibrio de carga de forma automtica, pero s sincroniza los datos de
estado (datos de sistema, usuario y registro) entre los miembros del clster. Cuando
un IVE desconectado vuelve a estar en lnea, el equilibrador de carga ajusta la carga
nuevamente para distribuirla entre los miembros activos. Este modo proporciona
mayor rendimiento y prestaciones durante la carga mxima, pero no aumenta la
capacidad de ampliacin ms all del nmero total de usuarios con licencia.
NOTA: El IVE sincroniza los datos de estado de todos los nodos si agrega o elimina
la entrada del host usando las pginas Network Settings. Si agrega o elimina la
entrada del host usando la ficha Clustering para un miembro del clster, los datos
de estado slo afectarn al nodo y el IVE no sincronizar los datos en todo el
clster.
El IVE almacena una pgina en HTML que proporciona el estado de los servicios
para cada IVE en un clster. Los equilibradores de carga externos pueden revisar
este recurso para determinar cmo distribuir la carga de forma eficiente entre todos
los nodos del clster.
Para realizar la comprobacin de estado capa 7 en un nodo:
En un navegador, introduzca la URL:

https://<IVE-Hostname>/dana-na/healthcheck/healthcheck.cgi
En un equilibrador de carga externo, configure la directiva de comprobacin

de estado que enva la siguiente solicitud a los nodos del clster:
GET /dana-na/healthcheck/healthcheck.cgi HTTP/1.1\r\nHost: localhost\r\n\r\n
El nodo puede devolver dos valores distintos:
Security gateway is accessible cadena: Este valor significa que el nodo
est activo.
500: Este valor muestra que ocurri un error y que los IVE del clster
dejaron de reenviar las solicitudes de usuario al nodo.
La Figura 50 en la pgina 880 ilustra la configuracin de un clster de IVE

activo/activo en el que los IVE han habilitado los puertos externos.
Esta configuracin de clster activo/activo se implementa detrs de un equilibrador
de carga externo. Puede implementar un par de clsteres o un clster de unidades
mltiples en modo activo/activo. Las solicitudes de usuario de IVE se transmiten
a la VIP del clster definida en el equilibrador de carga, que las enruta al equipo
correcto.
Figura 50: activo/activo Configuracin
880
Sincronizacin del estado del clster

La sincronizacin de estado de IVE ocurre slo por medio de las tarjetas de interfaz
de red internas (NIC) y se requiere que cada miembro del clster posea la
contrasea del clster para comunicarse con los otros miembros. Los miembros del
clster sincronizan datos cuando hay un cambio en el estado de algn miembro.
Los datos de estado del clster de IVE son persistentes (almacenados de forma
persistente en el IVE) o transitorios (almacenados en el IVE slo para la sesin de
usuario). Los datos de estado del IVE se dividen en dos categoras superiores:
System state: Este estado es persistente y no cambia con frecuencia.
Configuraciones del servidor de autenticacin
Configuraciones del grupo de autorizacin, por ejemplo, los datos de la lista

de control de acceso, de marcadores, de mensajera y de aplicaciones
User profile: Estos datos pueden ser persistentes o transitorios, dependiendo

de si ha habilitado el almacenamiento persistente de cookies y de contrasea.
Si no ha habilitado estas caractersticas, entonces los datos sern transitorios
y corresponden a la siguiente categora.
User bookmarks: persistente
Persistent user cookies: si la caracterstica de cookies persistentes est

habilitada, el IVE almacena las cookies de usuario para los sitios Web que
emiten cookies persistentes
Persistent user passwords: si la caracterstica de almacenamiento de

contrasea est habilitada, el usuario puede elegir si desea almacenar sus
credenciales para las aplicaciones y los sitios Web
User session: Este estado es temporal y dinmico. Los datos de sesin del
usuario son:
las cookies de la sesin IVE del usuario
la informacin de perfil transitoria del usuario, la que incluye las cookies

y las contraseas almacenadas slo para la sesin del usuario
Monitoring state: Esta informacin persistente consiste en mensajes de

registro.
Al implementar un clster en modo activo/pasivo o activo/activo, el IVE es
responsable de sincronizar los datos entre los miembros del clster. El IVE
sincroniza todos los datos del sistema, los datos de perfil de usuario y las
cookies de la sesin del usuario de IVE de forma inmediata, por lo que si un
miembro del clster se desconecta, el usuario no necesita volver a iniciar sesin
en el IVE nuevamente. La latencia es inferior cuando el IVE sincroniza el perfil
de sesin de usuario y los datos de estado de supervisin, por lo que si un
miembro se desconecta es posible que deba iniciar sesin en alguna aplicacin
Web del servidor. Tambin es posible que los administradores no tengan acceso
a los registros del equipo que present el fallo.
Si observa que ocurre mucha latencia en uno o ms nodos, es posible que

necesite cambiar los ajustes del tiempo de espera de los clsteres (Clustering
Timeouts). Consulte Configuracin de las propiedades del clster en la
pgina 883.
Cuando agregue un IVE a un clster, el lder del clster no enva mensajes de
registro al nuevo miembro. Los mensajes de registro tampoco se sincronizan
entre los miembros del clster cuando un miembro reinicia sus servicios o
cuando un equipo desconectado vuelve a estar en lnea. Sin embargo, cuando
todos los equipos estn en lnea, los mensajes de registro se vuelven a
sincronizar.
NOTA: Si est ejecutando un clster activo/activo, no debe permitir que el clster

conmute a modo activo/pasivo a menos que los clsteres activo/activo
y activo/pasivo tengan ajustes de tiempos de espera compatibles.
Tambin puede configurar los ajustes de sincronizacin para mejorar el

rendimiento:
Specify the synchronization protocol: Cuando ejecute tres o ms IVE en un

clster de varias unidades mltiples o varios sitios, puede optar por usar el
protocolo de sincronizacin (Unicast, Multicast o Broadcast) que mejor se
acomode a la topologa de su red.
NOTA: Consulte Especificacin de los ajustes activo/pasivo, activo/activo y otros

ajustes del clster. en la pgina 883 para obtener una descripcin de las
configuraciones de sincronizacin.
882
Synchronize log messages: Los mensajes de registro pueden ocasionar una

gran carga en la red y afectar al rendimiento del clster. De forma
predeterminada, esta opcin est inhabilitada.
Synchronize user sessions: Esta opcin sincroniza toda la informacin de

sesin del usuario (por ejemplo, el acceso a los servicios de intranet) entre
todos los IVE en el clster.
Synchronize last access time for user sessions: Esta opcin le permite
transmitir la informacin de acceso del usuario dentro del clster. Si esta
opcin es el nico elemento de sincronizacin entre los nodos del clster,
puede reducir significativamente el impacto de la CPU entre los IVE del clster.
NOTA:
Si configura el clster como activo/pasivo, las opciones Synchronize user

sessions y Synchronize last access time for user sessions se activan de
forma automtica.
Si selecciona las casillas de verificacin Synchronize log messages

y Synchronize user sessions, se replicar todo en los nodos del clster,
incluso la informacin de redes. Aunque la informacin de redes, como los
ajustes syslog y SNMP, se puede configurar por nodo o por clster, cuando
estas dos opciones estn seleccionadas se sincroniza toda la informacin de
redes.
Si las configuraciones entre los nodos del clster son distintas debido
a cambios hechos en un nodo cuando otro estaba inhabilitado o no
disponible, el IVE se encarga de volver a fusionar las configuraciones de forma
automtica para 16 actualizaciones como mximo. Si necesita realizar ms de
esa cantidad de actualizaciones permitidas, deber intervenir y refusionar las
configuraciones de forma manual. En algunos casos, el IVE podra ser incapaz
de refusionar las configuraciones si no hay informacin de configuracin
comn entre dos nodos para crear comunicacin entre ellos.
Por ejemplo, un clster de dos nodos que se desconectan debido a un corte en
la red. Si la direccin IP de la red interna de uno de los nodos cambia durante
la separacin, las dos partes no podrn volver a unirse incluso despus de
rehabilitar la red. En ese caso, deber refusionar de forma manual las
configuraciones.

Seleccione la pgina System > Clustering > Cluster Properties para especificar
los ajustes activo/pasivo, activo/activo y otros ajustes del clster. Tambin puede
usar esta pgina para eliminar un clster.
Especificacin de los ajustes activo/pasivo, activo/activo y otros ajustes del
clster.
Use la pgina Properties (propiedades) para cambiar el nombre de un clster,
especificar en qu configuracin se ejecutar el clster (activo/pasivo
o activo/activo), especificar los ajustes de sincronizacin y de comprobacin de
estado de la red o para eliminar un clster.
Para modificar las propiedades del clster:
seleccione la pgina System > Clustering > Cluster Properties.
2. Edite el nombre del clster en el campo Cluster Name para cambiar el nombre
del clster (opcional).
3. En Configuration Settings, seleccione una de las siguientes opciones:
Active/Passive para ejecutar un par de clsteres en modo activo/pasivo.

Luego, especifique una VIP (direccin IP virtual) interna y una VIP externa
si el puerto externo est habilitado.
NOTA: Para ejecutar un clster de dos unidades en modo activo/pasivo, los IVE
deben residir en la misma subred.
Active/Active ejecuta un clster de dos o ms nodos en modo activo/activo

usando un equilibrador de carga externo.
NOTA: Para cambiar un clster activo/pasivo de dos unidades a un clster

activo/activo de ms de dos nodos, primero cambie la configuracin del clster de
dos unidades a activo/activo y luego agregue los nodos adicionales.
4. En Synchronization Settings (configuraciones de sincronizacin), especifique

uno o ms tipos de datos que sincronizar usando las siguientes opciones:
Synchronize log messages: transmite todos los mensajes de registro entre

todos los IVE del clster.
Synchronize user sessions: sincroniza toda la informacin de sesin del

usuario (por ejemplo, el acceso a los servicios de intranet) entre todos los
IVE en el clster.
Synchronize last access time for user sessions: transmite la informacin

del ltimo acceso del usuario a travs del clster.
NOTA:
884
Si selecciona tanto la casilla de verificacin Synchronize log messages como

Synchronize user sessions, se replicar todo en los nodos de los clsteres,
incluso la informacin de redes. Aunque la informacin de redes, como los
ajustes syslog y SNMP, se puede configurar por nodo o por clster, cuando
estas dos opciones estn seleccionadas se sincroniza toda la informacin de
redes.
Si est usando un equilibrador de carga junto con el IVE, le recomendamos

que quite la marca de la casilla de verificacin Synchronize last access time
for user sessions.
Al desactivar esa opcin, se puede mejorar significativamente el desarrollo de

la sincronizacin del clster; si desactiva esta opcin mientras los usuarios
estn conectados al IVE, el sistema podra informar al cliente de que su sesin
caducar pronto. Estas advertencias se generan de forma automtica debido
a las discrepancias entre las marcas de hora; las sesiones de usuarios no se
desconectarn automticamente.
5. En los ajustes Network Healthcheck (comprobacin del estado de la red),

especifique el nmero de fallos de ping del ARP que se permiten antes de que
la interfaz interna del IVE se inhabilite; tambin puede elegir si desea o no que
la interfaz externa del IVE se inhabilite si la interfaz interna falla.
6. Seleccione la casilla de verificacin Advanced Settings para especificar los
tiempos de espera para el sistema del clster subyacente. No cambie ningn
valor de estos ajustes a menos que el Soporte tcnico de Juniper Networks le
indique lo contrario.
Administracin y configuracin de clsteres

Esta seccin contiene las siguientes instrucciones para administrar y configurar los
clsteres:
Administracin de los ajustes de red para los nodos del clster en la

pgina 886
Actualizacin de nodos en clster en la pgina 886
Actualizacin del paquete de servicio del clster en la pgina 887
Eliminacin de un clster en la pgina 888
Reinicio o rearranque de nodos en clster en la pgina 889
Procedimientos de la consola de administracin en la pgina 889
Supervisin de clsteres en la pgina 891
Resolucin de problemas de clsteres en la pgina 892
Procedimientos de la consola serie en la pgina 894
Adicin de nodos mltiples al clster

Puede agregar mltiples nodos al clster de una sola vez. Puede configurar todos
los nodos antes de guardar y permitir la configuracin de nodos mltiples.
Para agregar mltiples nodos al clster:
1. Seleccione System > Clustering > Cluster Status.
2. Haga clic en Add Members.
3. Introduzca el nombre del nodo y la direccin IP interna.
4. Modifique o agregue la mscara de red interna predeterminada y las
direcciones de la puerta de enlace internas predeterminadas, si fuera necesario.
Administracin y configuracin de clsteres 885
6. Repita el proceso hasta que haya agregado todos los nodos.

7. Haga clic en Save Changes para guardar las configuraciones de los nodos.
El IVE habilita automticamente los clsteres agregados, incluso si no estn al
alcance.
Administracin de los ajustes de red para los nodos del clster

Para modificar los ajustes de red de un clster o de cada nodo individual en un
clster, haga clic en System > Network. Puede hacer sus cambios en las pginas
Network Settings. Despus de crear un clster, estas pginas proporcionarn una
lista desplegable donde podr seleccionar el clster completo o un nodo especfico
que desea modificar. Cuando guarda los cambios en la pgina Network, se guardan
los ajustes para el clster o el nodo del clster especificado. Si cambia los ajustes de
red para un clster completo, se transmitirn a cada nodo del clster.
NOTA: Para acceder a la pgina Network especfica para el nodo, haga clic en el
nombre del nodo en la columna Member Name (nombre del miembro) en
System > Clustering > Cluster Status.
Figura 51: Pginas System > Network
Actualizacin de nodos en clster

SA Central Manager de Juniper Networks le ofrece la posibilidad de actualizar
fcilmente cada nodo de un clster. Simplemente instale un paquete de
actualizacin ms reciente en un nodo y cuando la instalacin finalice y el nodo se
reinicie, transmitir el paquete de actualizacin a todos los nodos del clster.
Si no ha adquirido SA Central Manager de Juniper Networks, puede actualizar de
todas formas los nodos en el clster, pero el proceso requiere que inhabilite los
nodos, los actualice de forma individual y luego los habilite nuevamente dentro del
clster.
886
Para obtener ms informacin acerca de cmo inhabilitar nodos para descargar el

paquete de actualizacin, consulte Actualizacin del paquete de servicio del
clster en la pgina 887.
NOTA: Si importa un archivo de configuracin en XML a un clster, todos los
miembros de un clster se inhabilitarn y todas las sesiones de usuario final se

cancelarn durante el proceso de importacin. Despus de que el proceso de
importacin finaliza, los miembros del clster se habilitan automticamente pero
los usuarios deben iniciar sesin nuevamente. Consulte Importacin de datos de
configuracin XML en la pgina 802.
Actualizacin del paquete de servicio del clster

Si cuenta con SA Central Manager de Juniper Networks, simplemente debe instalar
un paquete de actualizacin ms reciente en uno de los nodos del clster. Cuando el
proceso de instalacin finalice y el nodo del clster se reinicie, ste comunicar
a los otros nodos que tambin deben actualizarse. Consulte Actualizacin o cambio
a una versin anterior del IVE en la pgina 721 para obtener ms informacin
acerca de la instalacin de un paquete de actualizacin.
Si no cuenta con SA Central Manager de Juniper Networks, deber seguir los
siguientes procedimientos para actualizar los nodos en el clster. Adems, los
procedimientos para actualizar los nodos en un clster activo/activo difieren de los
procesos para actualizar los nodos en un clster activo/pasivo.
Para actualizar los nodos en un clster activo/activo:
1. inhabilite todos los nodos:
a.
Inicie sesin en la consola de administracin de uno de los nodos que

desea actualizar.
b.
Elija System > Clustering > Status, seleccione la casilla de verificacin

junto a los nombres de todos los nodos y luego haga clic en Disable.
NOTA: Si se inhabilitan todos los nodos en un clster, el clster completo quedar

inutilizable y slo los administradores podrn iniciar sesin.
2. Actualice todos los nodos de forma individual siguiendo las instrucciones de la

seccin Actualizacin o cambio a una versin anterior del IVE en la
pgina 721.
3. Habilite todos los nodos:
a.
Busque la pgina System > Clustering > Status en la consola de

administracin de uno de los nodos.
b.
Seleccione la casilla de verificacin junto a los nombres de todos los nodos

y luego haga clic en Enable.
Para actualizar los nodos en un clster activo/pasivo:

1. Inhabilite el nodo pasivo:
a.
Inicie sesin en la consola de administracin del nodo pasivo que desea

actualizar.
b.
Elija System > Clustering > Status, seleccione la casilla de verificacin

junto a los nombres de uno o ms nodos y luego haga clic en Disable.
NOTA: Al inhabilitar slo el nodo pasivo se habilitar el nodo activo para que
contine prestando servicio a los usuarios.
2. Actualice el nodo pasivo siguiendo las instrucciones de la seccin Actualizacin

o cambio a una versin anterior del IVE en la pgina 721.
3. Repita los pasos 1 y 2 para otros nodos pasivos.
4. Inhabilite el nodo activo eligiendo la opcin System > Clustering > Status,
seleccione la casilla de verificacin junto al nombre del nodo activo y luego
haga clic en Disable.
5. Habilite un nodo pasivo:
a.

b.
Seleccione la casilla de verificacin junto a los nombres de todos los nodos

pasivos y luego haga clic en Enable.
6. Actualice el nodo activo siguiendo las instrucciones de la seccin Actualizacin

o cambio a una versin anterior del IVE en la pgina 721.
7. Habilite el nodo activo:
a.

b.
Seleccione la casilla de verificacin junto al nombre del nodo activo y luego

haga clic en Enable.
Eliminacin de un clster
Si elimina un clster, todos los nodos comenzarn a ejecutarse como sistemas IVE
independientes.
Para eliminar un clster:
seleccione la pgina System > Clustering > Cluster Status page.
2. Seleccione la casilla de verificacin junto a cada nodo del clster que desee
eliminar.
888
3. Haga clic en el botn Remove Cluster.

4. Cuando se le indique, haga clic en Remove.
Cuando la operacin finalice, todos los nodos del clster comenzarn
a ejecutarse como sistemas IVE independientes.
Reinicio o rearranque de nodos en clster

Cuando cree un clster de dos o ms IVE, los IVE del clster actuarn como una
entidad lgica. Como tal, cuando reinicie o rearranque uno de los IVE en clster
usando la consola serie o la consola de administracin, todos los IVE del clster se
reiniciarn o rearrancarn.
Si desea reiniciar o rearrancar slo un IVE en un clster, use primero los controles
de la pgina System > Clustering > Status para inhabilitar el IVE que desea
reiniciar o rearrancar dentro del clster. A continuacin, use los controles de la
pgina Maintenance > System > Platform, o los elementos de men Reboot this
IVE, Shutdown this IVE, or Restart Services in this IVE de la consola serie en
System Operations para reiniciar o rearrancar el IVE. Despus de que el IVE se
reinicie o rearranque, habilite el IVE dentro de un clster nuevamente.
Procedimientos de la consola de administracin

La Tabla 48 describe la informacin que se muestra en la ficha Status y las distintas
tareas de administracin que puede realizar, incluyendo la inhabilitacin,
habilitacin y eliminacin de un nodo IVE desde el clster.
Tabla 48: Informacin de la pgina de estado del clster
Elemento de la interfaz
de usuario
Descripcin
Etiquetas de informacin
de estado
La pantalla muestra el nombre, tipo, configuracin y VIP interna

y externa de un clster activo/pasivo.
Botn Add Members

(agregar miembros)
Haga clic en este botn para especificar un IVE que se integrar en

el clster: Debe realizar este paso para los sistemas IVE que desee
agregar al clster. Al hacer clic en este botn, puede agregar nodos
mltiples al mismo tiempo.
Botn Enable (habilitar)
Haga clic en este botn para agregar un nodo que se haba

inhabilitado anteriormente. Cuando agrega un nodo, toda la
informacin se sincroniza en ese nodo.
Botn Disable (inhabilitar) Haga clic en este botn para inhabilitar un nodo dentro del clster. El
nodo mantiene conciencia del clster, pero no participa en las
sincronizaciones de estado ni recibe solicitudes de usuarios a menos
que los miembros inicien sesin directamente en el nodo.
Botn Remove (eliminar)
Haga clic en este botn para eliminar del clster el o los nodos
seleccionados. Cuando los haya eliminado, el nodo se ejecutar en
modo independiente.
Botn Fail-Over VIP

(actualizar)
Haga clic en este botn para conmutar la VIP en caso de error a otro
nodo en el clster activo/pasivo. Slo est disponible si el clster
est configurado como activo/pasivo.
Columna Member Name

(nombre del miembro)
Muestra una lista de todos los nodos que pertenecen al clster.

Puede hacer clic en el nombre de un nodo para modificar su nombre
y configuraciones de red.
Tabla 48: Informacin de la pgina de estado del clster(continuacin)

Elemento de la interfaz
de usuario
Descripcin
Columna Internal Address Muestra la direccin IP interna del miembro del clster usando la
(direccin interna)
notacin Classless Inter Domain Routing (CIDR).
Columna External Address Muestra la direccin IP externa del miembro del clster usando la
(direccin externa)
notacin CIDR. Tenga en cuenta que esta columna slo muestra la
direccin IP externa del lder del clster a menos que usted
especifique una direccin diferente para el nodo en la pgina de
configuraciones de red individual, a la que puede acceder haciendo
clic en su nombre en la columna Member Name. Si cambia la
direccin IP externa en la pgina Network > Network Settings, el
cambio afectar a todos los nodos del clster.
Columna Status
Muestra el estado actual del nodo:

Green light/enabled (luz verde/habilitado): el nodo est
administrando las solicitudes del usuario y participando en la

sincronizacin del clster.
Yellow light/transitioning (luz amarilla/en transicin): el nodo se
est integrando al clster.

Red light/disabled (luz roja/inhabilitado): el nodo no est
administrando las solicitudes del usuario ni participando en la

sincronizacin del clster.
Red light/enabled, unreachable (luz roja/habilitado, fuera de
alcance): el nodo est habilitado, pero debido a un problema con

la red no se puede acceder a l.
Nota: El estado de un nodo es independiente cuando est
implementado fuera de un clster o despus de que se elimin de
un clster.
Columna Notes
Muestra el estado de la conexin entre el nodo y el clster:

OK (bien): el nodo est participando activamente en el clster.
Transitioning (en transicin): el nodo est conmutando desde un
estado independiente a un estado habilitado.

Unreachable (fuera de alcance): el nodo no tiene conciencia del
clster. Un miembro del clster puede estar fuera de alcance

incluso si est en lnea y se puede ejecutar el comando ping con
l. Las razones pueden ser: su contrasea es incorrecta, no conoce
todos los nodos del clster, est configurado con un modo de
configuracin de grupo diferente, est ejecutando una versin
distinta del paquete de actualizacin o el equipo est apagado.
Columna Sync Rank
Especifica el orden de la sincronizacin para los nodos cuando se

vuelven a integrar a un clster. Acepta jerarquas de sincronizacin
desde 0 (la ms baja) hasta 255 (la ms alta). La jerarqua ms alta
tiene la preferencia. Cuando dos nodos tienen jerarquas de
sincronizacin idnticas, el cdigo alfanumrico del nombre de
miembro se usa para determinar la preferencia.
Nota: Esta opcin slo est disponible con una licencia Central
Manager.
Botn Update (actualizar)
890
Actualiza la jerarqua de sincronizacin despus de que se cambia la

precedencia de los nodos en la columna Sync Rank.
Supervisin de clsteres
Puede supervisar los clsteres usando las herramientas de registro estndar que
proporciona el IVE. En particular, puede usar varias capturas SNMP especficas del
clster para supervisar los eventos que ocurren en los nodos de su clster, como:
La interfaz externa que no funciona
La interfaz interna que no funciona
El nodo est inhabilitado
La direccin IP virtual (VIP) cambi
El nodo del clster fue eliminado (clster detenido)
NOTA: Generalmente, es mejor configurar las capturas SNMP en todo el clster

para que todos los nodos del clster puedan enviar las capturas generadas al
objetivo correcto. Es especialmente importante establecer este ajuste en todo el
clster cuando tambin se usa un equilibrador de carga, ya que es posible que no
sepa cul nodo es responsable de una operacin especfica. En ese caso, el
equilibrador de carga puede determinar de forma independiente qu nodo del
clster puede controlar una sesin administrativa.
Puede usar las capturas SNMP que se incluyen en la MIB estndar de

Juniper Networks para supervisar estos eventos. Entre estas capturas se incluyen:
iveNetExternalInterfaceDownTrap: Proporciona el tipo de evento que produjo el
error en la interfaz externa.
iveNetInternalInterfaceDownTrap: Proporciona el tipo de evento que produjo el
error en la interfaz interna.
iveClusterDisableNodeTrap: Proporciona el nombre del clster en el que se han

inhabilitado los nodos, junto con una lista separada con espacios con los
nombres de los nodos inhabilitados.
iveClusterChangedVIPTrap: Proporciona el tipo de VIP, externa o interna, y su
valor antes y despus del cambio.
iveClusterDelete: Proporciona el nombre del nodo del clster en el que se inici
el evento de eliminacin del clster.

Estas capturas siempre estn disponibles y habilitadas en el MIB. No es posible
inhabilitarlas. Para obtener ms informacin sobre capturas especficas, consulte
Objetos de estado/error en la pgina 838.
Resolucin de problemas de clsteres

Cuando tenga problemas de comunicacin en el clster, el representante de
Soporte de Juniper Network puede darle las instrucciones para que use las
herramientas de resolucin de problemas del nodo del clster.
Para usar las herramientas de resolucin de problemas del nodo del clster:
desde la consola de administracin, seleccione Maintenance >
Troubleshooting > Monitoring > Node Monitor, en Maintenance >
Troubleshooting > Clustering Network Connectivity y en Maintenance >
Troubleshooting > Clustering Group Communication. Consulte Supervisin de
los nodos del clster en la pgina 864.
Puede usar una caracterstica incorporada en la pgina Status del clster para
identificar el estado de cada nodo del clster. Coloque el puntero del ratn sobre el
icono Status y el sistema mostrar una herramienta que contiene un nmero
hexadecimal. El nmero hexadecimal es una imagen instantnea del estado del
IVE. Es una mscara de bits que indica un nmero de estados, como se muestra en
la Tabla 49.
Tabla 49: Estado del clster
892
Valor
Significado
0x000001
IVE en modo independiente.
0x000002
IVE en estado de clster inhabilitado.
0x000004
IVE en estado de clster habilitado.
0x000008
IVE fuera de alcance (debido a que est desconectado, tiene la contrasea

incorrecta, tiene una definicin de clster distinta, es de versin distinta
o tiene algn problema similar).
0x00002000
El nodo es propietario de las VIP (encendidas) o no lo es (apagadas).
0x000100
IVE en estado de sincronizacin desde otro IVE (despus de la

sincronizacin inicial).
0x000200
IVE en transicin desde un estado a otro.
0x00020000
Los subsistemas de comunicacin del grupo de los nodos local y remoto

estn desconectados entre s.
0x00040000
Interfaz de administracin (mgt0) aparece desconectada.
0x00080000
La puerta de enlace de administracin no est al alcance para la ejecucin

del ping ARP.
0x000800
IVE int0 aparece desconectada (no hay portador).
0x001000
IVE int1 aparece desconectada (no hay portador).
0x002000
IVE est sincronizando su estado con otro IVE que se est integrando.
0x004000
Est ocurriendo la sincronizacin inicial como master o slave.
0x008000
Este IVE es el lder del clster.
0x010000
El demonio de difusin se est ejecutando y el servidor del cach est

conectado a l.
0x020000
La puerta de enlace de int0 est fuera de alcance para ejecuciones de

comandos ping ARP (consulte el archivo de registro).
0x040000

Tabla 49: Estado del clster

Valor
Significado
0x080000
Se est realizando la eleccin del lder.
0x100000
El proceso del ciclo de vida del servidor (dsmon) est ocupado.
0x200000
El sistema desarrolla actividades posteriores al estado de sincronizacin.
0x30004
El demonio de difusin se est ejecutando y el servidor de cach est
conectado a l.

0x38004
El demonio de difusin se est ejecutando y el servidor de cach est
conectado a l.

Este IVE es el lder del clster.
Cada cdigo, como se ve en el IVE, puede relacionarse especficamente a un

estado. Sin embargo, cada cdigo puede representar una combinacin de estados,
por lo que el cdigo real no aparece en la Tabla 49. En vez de eso, el cdigo que ve
en el IVE es la suma de varios nmeros hexadecimales que se muestran en la
Tabla 49. Necesitar deducir los cdigos, como se muestra en el siguiente ejemplo:
0x38004: El dgito ms a la derecha (4) en este nmero hexadecimal

corresponde a:
0x38004: El dgito en la cuarta posicin desde la derecha (8) corresponde a:
0x000004 El IVE est en estado de clster habilitado.
0x008000 este IVE es el lder del clster.
0x38004: el dgito situado en el extremo izquierdo (3) de este nmero

hexadecimal no existe en la tabla, lo que indica que corresponde a la suma de
otros dos dgitos; en este caso, 1 y 2, como se muestra en los siguientes
cdigos:
0x020000: La puerta de enlace de int0 est fuera de alcance para

ejecuciones de comandos ping ARP (consulte el archivo de registro).
0x010000: El demonio de difusin se est ejecutando y el servidor del

cach est conectado a l.
Procedimientos de la consola serie

Puede agregar un IVE a un clster a travs de su consola serie, excepto cuando se
ejecuta en un entorno Secure Access FIPS, que requiere que agregue cada IVE
a travs de su consola de administracin.
Si est agregando a un clster un IVE configurado en fbrica, le recomendamos que
use la consola serie, que permite integrar un clster existente durante el proceso de
inicializacin introduciendo mnima informacin. Cuando un IVE se integra en un
clster, recibe las configuraciones de estado del clster, que sobrescriben todas las
configuraciones de un equipo que tiene una configuracin existente y proporciona
a los nuevos equipos la informacin preliminar necesaria.
Tambin puede usar la consola serie de un IVE para inhabilitar un IVE dentro de un
clster. Si un IVE est en estado de sincronizacin, no podr acceder a su consola
de administracin. Por lo tanto, si, por ejemplo, necesita actualizar o reiniciar el
IVE, deber primero inhabilitar el IVE del clster a travs de su consola serie.
Integracin de un IVE en un clster a travs de su consola serie

Para poder integrar un IVE configurado en fbrica a un clster, deber comunicar su
identidad al clster. Para obtener instrucciones, consulte Especificacin de un IVE
para su integracin en un clster en la pgina 875.
NOTA:
Si desea agregar un IVE que actualmente se ejecuta como un equipo

independiente a un clster a travs de su consola de administracin, ste
debe estar ejecutndose en la misma versin (o en una ms reciente) del
paquete de actualizacin, y en la misma plataforma de hardware que los otros
miembros.
Si agrega a un clster un IVE que ejecuta un paquete de actualizacin anterior,

el IVE detectar automticamente la discrepancia entre versiones, obtendr el
paquete ms reciente desde el clster y luego se integrar en el clster.
Para agregar un IVE a un clster a travs de su consola serie:

1. desde la consola de administracin de un miembro existente del clster,
seleccione la ficha System > Clustering > Cluster Status y especifique el IVE
que desea agregar al clster. Consulte Especificacin de un IVE para su
integracin en un clster en la pgina 875.
2. Conecte la consola serie del equipo que desea agregar al clster. Consulte IVE
Consola serie en la pgina 987.
894
3. Reinicie el equipo y vea su consola serie. Despus de que el software del

sistema se inicie, un mensaje indicar que el equipo se inicia como un IVE
independiente y que debe presionar la tecla Tab para ver las opciones de la
creacin de clsteres. Presione la tecla Tab tan pronto como vea este mensaje.
NOTA: El perodo para presionar la tecla Tab es de cinco segundos. Si el equipo se
comienza a iniciarse en el modo independiente, espere a que termine y luego
vuelva a reiniciarlo.
Figura 52: Consola serie: opcin Join Cluster
4. Introduzca el nmero para ordenarle al IVE que se integre a un clster

existente.
5. Introduzca la informacin requerida, incluyendo:
La direccin IP interna de un miembro activo del clster
La contrasea del clster, que es la contrasea que introdujo cuando

defini el clster
El nombre del equipo que desea agregar (en este ejemplo, el nombre del
equipo es ive-2)
La direccin IP interna del equipo que desea agregar
La mscara de red del equipo que desea agregar
La puerta de enlace del equipo que desea agregar
Procedimientos de la consola serie 895
Al hacer clic en System > Clustering > Cluster Status > Add Cluster
Member, el miembro activo del clster verifica la contrasea del clster, y que
el nombre y direccin IP del nuevo equipo concuerde con lo que especific en
la consola de administracin. Si las credenciales son vlidas, el miembro activo
copia todos sus datos de estado al nuevo miembro del clster, incluyendo la
clave de licencia, el certificado y los datos de usuario y de sistema.
Figura 53: Consola serie: Especificacin de un nuevo miembro del clster
Figura 54: Consola serie: Confirmacin de la integracin en el clster
896
6. Introduzca el nmero para ordenarle al IVE que contine la operacin de

integracin en el clster. Cuando vea el mensaje que confirma que el equipo se
ha integrado al clster, haga clic en la ficha System > Clustering > Cluster
Status en la consola de administracin de cualquier miembro activo del clster
para confirmar que el valor de Status del miembro nuevo est en verde, lo que
indica que el IVE es un nodo habilitado en el clster.
Inhabilitacin de un IVE en clster por medio de su consola serie

Para inhabilitar un IVE dentro de un clster por medio de su consola serie:
1. Conecte la consola serie del equipo que desea inhabilitar dentro del clster.
Para obtener ms informacin, consulte IVE Consola serie en la pgina 987.
2. Introduzca el nmero correspondiente a la opcin correspondiente de System
Operations (operaciones del sistema) del IVE.
Figura 55: Consola serie: opcin System Operations
3. Introduzca el nmero correspondiente a la opcin Disable Node (inhabilitar

nodo).
Figura 56: Consola serie: opcin Disable Node
4. Introduzca y cuando la consola serie le pregunte si est seguro de que desea

inhabilitar el nodo.
Procedimientos de la consola serie 897
5. Verifique que el IVE se ha inhabilitado dentro del clster seleccionando

System > Clustering > Status en la consola de administracin de cualquier
miembro activo del clster para confirmar que el valor de Status del miembro
inhabilitado est en rojo.
Cambio de la direccin IP de un nodo del clster

Para cambiar la direccin IP de un nodo del clster:
1. Seleccione System > Clustering > Cluster status.
2. Seleccione la casilla de verificacin junto al nombre del nodo cuya direccin IP
desea cambiar.
3. Haga clic en Remove.
4. Despus de que se elimine el nodo, inicie sesin en el nodo y cambie su
direccin IP.
6. Vuelva a integrar el nodo en el clster.
NOTA: Si intenta cambiar la direccin IP de un nodo mientras an pertenece a un
clster, puede experimentar resultados inesperados.
898
Captulo 32
Delegacin de los roles de

administrador
El sistema de administracin de accesos del IVE le permite delegar varias tareas de
administracin del IVE a distintos administradores mediante los roles de
administrador del sistema y de la seguridad. Los roles de administrador del sistema
y de la seguridad son entidades definidas que especifican las funciones de
administracin y propiedades de sesin del IVE para los administradores que estn
asignados a esos roles. Se puede personalizar un rol de administrador
seleccionando los conjuntos de caractersticas, roles de usuario, territorios de
autenticacin, directivas de recursos y perfiles de recursos del IVE que las personas
con rol de administrador pueden ver y administrar. Cabe mencionar que los
administradores de sistema slo pueden administrar roles de usuario, territorios
y directivas de recursos; solo los administradores de seguridad pueden administrar
los componentes de administracin.
Por ejemplo, puede crear un rol de administrador del sistema llamado
Administradores de ayuda tcnica y asignarlo a los usuarios responsables de las
llamadas de asistencia de nivel 1, tales como ayudar a un usuario a comprender por
qu no puede tener acceso a una aplicacin web o a una pgina del IVE. Para
ayudar a solucionar problemas, puede configurar los ajustes del rol
Administradores de ayuda tcnica de la siguiente manera:
Conceda acceso de escritura a la pgina System > Log/Monitoring a los

administradores de ayuda tcnica para que as puedan ver y filtrar los registros
del IVE y llevar la cuenta de los sucesos importantes en los historiales de sesin
de cada usuario. Otorgue tambin acceso a la pgina Maintenance >
Troubleshooting para que puedan hacer un seguimiento de los problemas en
los sistemas de cada usuario.
Conceda acceso de lectura a las pginas Users > User Roles a los
administradores de ayuda tcnica para que puedan comprender qu
marcadores, recursos compartidos y aplicaciones estn disponibles para los
roles de cada usuario. Otorgue tambin acceso a las pginas Resource Policy
o Resource Profile para que puedan ver las directivas que impidan el acceso de
los usuarios a sus marcadores, recursos compartidos y aplicaciones.
899
Niegue el acceso a las pginas restantes de System y Maintenance a los

administradores de ayuda tcnica, ya que se usan principalmente para
configurar los ajustes del sistema completo (como, por ejemplo, instalar
licencias y paquetes de servicio) y no para solucionar problemas particulares de
los usuarios.
NOTA: Adems de los roles de administrador delegado que se pueden crear, el

IVE cuenta con dos tipos bsicos de administrador: super administradores (rol
.Administrators), que pueden realizar cualquier tarea de administracin mediante
la consola de administracin; y los administradores de slo lectura (rol .Read-only
Administrators), que pueden ver (pero no cambiar) toda la configuracin del IVE
mediante la consola de administracin.
Tambin puede crear un rol de administrador de la seguridad llamado Help Desk

Manager y asignarle usuarios que sean responsables de gestionar a los
administradores de ayuda tcnica. Podra configurar ajustes para el rol Help Desk
Manager para permitir que este usuario cree y elimine roles de administrador por
cuenta propia. El Help Desk Manager podra crear roles de administrador que
dividan las responsabilidades por rea funcional en el IVE. Por ejemplo, un rol de
administrador podra ser responsable de la supervisin de registros. Otro podra ser
responsable de los problemas con Network Connect.
Esta seccin contiene la siguiente informacin sobre la administracin delegada:
Licencia: Disponibilidad de roles de administrador delegado en la pgina 900
Creacin y configuracin de roles de administrador en la pgina 900
Especificacin de tareas de administracin para delegar en la pgina 903
Definicin de ajustes generales del rol de administrador de sistema en la

pgina 909
Licencia: Disponibilidad de roles de administrador delegado

El rol de administrador delegado no est disponible en el dispositivo SA 700. Sin
embargo, tenga en cuenta que todos los dispositivos Secure Access permiten
configurar los ajustes generales de roles, las opciones de administracin de acceso
y las opciones de sesin a quienes comparten el rol .Administrators para los roles
.Administrators y .Read-Only Administrators.
Creacin y configuracin de roles de administrador

Cuando se navega a Administrators > Admin Roles, se puede encontrar la pgina
Administrators. Desde esta pgina, se pueden ajustar las opciones de la sesin
predeterminada y de la interfaz de usuario para los roles de administrador
delegado.
900
Licencia: Disponibilidad de roles de administrador delegado
Captulo 32: Delegacin de los roles de administrador
Esta seccin contiene la siguiente informacin sobre la creacin y configuracin de

roles de administrador delegado:
Creacin de las roles de administrador en la pgina 901
Modificacin de los roles de administrador en la pgina 902
Eliminacin de los roles de administrador en la pgina 902
NOTA: Para crear cuentas de administracin particulares, debe agregar los usuarios
mediante el servidor de autenticacin correspondiente (no el rol). Por ejemplo,

para crear una cuenta de administracin en particular, puede usar los ajustes de la
pgina Authentication > Auth. Servers > Administrators > Users de la consola
de administracin. Para obtener instrucciones detalladas para crear usuarios en el
servidor de Administrators y en otros servidores de autenticacin, consulte
pgina 140. Para obtener instrucciones para crear usuarios en los servidores de
terceros, consulte la documentacin que trae el producto correspondiente.
Creacin de las roles de administrador

Para crear un rol de administrador:
1. En la consola de administracin, elija Administrators > Admin Roles.
Haga clic en New Role para crear un rol de administrador nuevo con los
ajustes predeterminados.
Marque la casilla de verificacin situada junto al rol de administrador actual

y haga clic en Duplicate para copiarlo con sus permisos personalizados.
Tenga en cuenta que no se pueden duplicar los roles de sistema
predeterminados (.Administrators y .Read-Only Administrators).
3. Introduzca valores para Name (obligatorio) y Description (opcional) para el rol

nuevo y haga clic en Save Changes.
4. Modifique los ajustes para el rol segn las instrucciones que aparecen en:
Administracin de los ajustes y opciones generales de los roles en la

pgina 910
Delegacin de la administracin de usuarios y roles en la pgina 904
Delegacin de la administracin del territorio de usuarios en la

pgina 905
Delegacin de la gestin administrativa en la pgina 906
Delegacin de la administracin de las directivas de recursos en la

pgina 907
Creacin y configuracin de roles de administrador 901
Delegacin de la administracin de los perfiles de recursos en la

pgina 908
Eliminacin del acceso a los sistemas IVS en la pgina 913
Modificacin de los roles de administrador

Para modificar un rol de administrador:
2. Haga clic en el nombre del rol de administrador que desea modificar.
3. Modifique los ajustes para el rol segn las instrucciones que aparecen en:

pgina 910
Delegacin de la administracin del territorio de usuarios en la

pgina 905

pgina 907
Delegacin de la administracin de los perfiles de recursos en la

pgina 908
NOTA: Si selecciona uno de los roles de administrador predeterminados del IVE

(.Administrators o .Read-Only Administrators), slo puede modificar los ajustes
de la ficha General (ya que los roles de administrador predeterminados del IVE
siempre tienen acceso a las funciones definidas mediante las fichas System,
Users, Administrators, Resource Policies, Resource Profiles e IVS).
Eliminacin de los roles de administrador

Para eliminar un rol de administrador:
2. Haga clic en la casilla de verificacin al lado del rol de administrador que desea
eliminar y haga clic en Delete.
3. Haga clic en Delete para confirmar que desea eliminar el rol seleccionado.
NOTA: No se puede eliminar los roles .Administrators y .Read Only
Administrators ya que son roles predeterminados del IVE.
902
Creacin y configuracin de roles de administrador
Especificacin de tareas de administracin para delegar

Esta seccin contiene la siguiente informacin sobre la delegacin de tareas de
administracin a varios roles de administrador delegado:
Delegacin de tareas de administracin de sistema en la pgina 903
Delegacin de la administracin del territorio de usuarios en la pgina 905

pgina 907
Delegacin de la administracin de los perfiles de recursos en la pgina 908
Delegacin de tareas de administracin de sistema

Use la ficha Administrators > Admin Roles > Seleccionar rol > System para
delegar las distintas tareas de administracin del sistema IVE a los distintos roles de
administrador. Cuando delegue privilegios, tenga en cuenta lo siguiente:
El IVE permite a todos los administradores acceso de lectura (al menos) a la

pgina de inicio de la consola de administracin (System > Status >
Overview), sin importar el nivel de privilegios que elija.
El IVE no concede acceso de escritura a los administradores delegados en las

pginas donde se pueden cambiar sus propios privilegios. Solo los roles de
administrador que trae el sistema (.Administrators y .Read-Only
Administrators) pueden tener acceso a estas pginas:
Maintenance > Import/Export (En esta pgina, los roles de .Read-Only

Administrators pueden exportar ajustes, pero no importarlos.)
Maintenance > Push Config
Maintenance > Archiving > Local Backups
El acceso de delegacin a la pgina de programacin de reuniones se controla

mediante la opcin Meetings de la pgina Administrators > Admin Roles >
Seleccionar rol > Resource Policies.
903
Delegacin de la administracin de usuarios y roles

Use la ficha Administrators > Admin Roles > Seleccionar rol > Users > Roles
para especificar los roles de usuario que puede gestionar el rol de administrador.
Cuando delegue privilegios de administracin de roles, tenga en cuenta lo siguiente:
Los administradores delegados slo pueden administrar roles de usuario.
Los administradores delegados no pueden crear roles de usuario nuevos, copiar

roles ya creados o eliminar roles.
Si permite a un administrador delegado leer o escribir en cualquier

caracterstica de un rol de usuario, el IVE tambin concede al administrador
delegado acceso de lectura a la pgina Users > User Roles > Seleccionar rol >
General > Overview para ese rol.
Si concede acceso de escritura a una directiva de recursos a un administrador

delegado mediante la pgina Administrators > Admin Roles > Seleccionar rol
de administrador > Resource Policies, ste puede crear una directiva de
recursos que se aplique a cualquier rol de usuario, aunque usted no le haya
concedido acceso de lectura al rol.
Para definir los privilegios de administracin de roles para un rol de administrador:

2. Seleccione el rol de administrador que desea modificar.
3. Seleccione la ficha Users > Roles.
4. Bajo Delegate user roles, especifique si el administrador puede administrar
todos los roles o solo algunos. Si solo desea permitir que el rol de administrador
gestione algunos roles de usuario, seleccinelos de la lista Available roles
y haga clic en Add.
5. Especifique las pginas de roles de usuario que puede gestionar el
administrador delegado seleccionando una de las siguientes opciones:
Write All: Especifica que los que comparten el rol de administrador

pueden modificar todas las pginas de roles de usuario.
Custom Settings: Le permite escoger privilegios de administrador (Deny,

Read o Write) para las pginas de un rol de usuario particular.
6. Bajo Delegate as read-only roles, seleccione los roles de usuario que desea
permitir que el administrador vea, pero sin que pueda administrarlos.
NOTA: Si especifica acceso de escritura y slo lectura para una caracterstica, el IVE
le concede el acceso ms permisivo. Por ejemplo, si elige Administrators can

manage ALL roles bajo Delegated user roles, y selecciona el rol Users en la
seccin Delegate as read-only roles, el IVE concede al rol de administrador
delegado privilegios de administracin completos del rol Users.
904
Delegacin de la administracin del territorio de usuarios

Use la ficha Administrators > Admin Roles > Seleccionar rol > Users >
Authentication Realms para especificar los territorios de autenticacin que puede
administrar el rol de administrador. Cuando delegue privilegios de administracin
de territorios, tenga en cuenta lo siguiente:
Los administradores de sistema slo pueden administrar territorios de usuario.
Los administradores de sistema no pueden crear territorios de usuario nuevos,

copiar territorios ya creados o eliminar territorios.
Si permite a un administrador de sistema leer o escribir en cualquier pgina de

un territorio de usuario, el IVE tambin concede al administrador de sistema
acceso de lectura a la pgina Users > User Realms > Seleccionar territorio >
General para ese rol.
Para definir los privilegios de administracin de territorios para un rol de

administrador:
3. Seleccione la ficha Users > Authentication Realms.
4. Bajo Delegate user realms, especifique si el administrador puede gestionar
todos los territorios de autenticacin de usuarios o solo algunos. Si solo desea
permitir que el rol de administrador gestione algunos territorios, seleccinelos
de la lista Available realms y haga clic en Add.
5. Especifique las pginas de territorios de autenticacin que puede gestionar el
administrador delegado seleccionando una de las siguientes opciones:

pueden modificar todas las pginas de territorios de autenticacin de
usuarios.

Read o Write) para las pginas de un territorio de autenticacin de usuario
particular.
6. Bajo Delegate as read-only realms, seleccione los territorios de autenticacin

de usuario seleccione los roles de usuario que desea permitir que el
administrador vea, pero sin que pueda administrarlos.
NOTA: Si especifica acceso de escritura y slo lectura para una pgina de territorios
de autenticacin, el IVE le concede el acceso ms permisivo. Por ejemplo, si elige

Administrators can manage ALL realms bajo Delegated user realms,
y selecciona el rol Users en la seccin Delegate as read-only realms, el IVE
concede al rol de administrador delegado privilegios de administracin completos
del territorio Users.
905
Delegacin de la gestin administrativa

Use la ficha Administrators > Admin Roles > Seleccionar roles > Administrators
para especificar los roles y territorios de administradores de sistema que puede
administrar el rol de administrador de la seguridad. Cuando delegue privilegios de
administracin de seguridad, tenga en cuenta lo siguiente:
El rol de administrador de la seguridad ofrece control sobre todos los roles y

territorios de administracin.
Se puede dar control de administrador de la seguridad exclusivamente respecto

a los roles o los territorios de administrador, o ambos.
Se puede restringir o conceder permiso al administrador de la seguridad para

agregar o eliminar roles y territorios de administrador.
Para definir privilegios de administrador de la seguridad:

1. En la consola de administracin, seleccione Administrators > Admin Roles >
Seleccionar rol > Administrators.
2. Seleccione la casilla de verificacin Manage ALL admin roles.
3. Si desea permitir que el administrador de la seguridad agregue y elimine roles
de administrador, marque la casilla de verificacin Allow Add/Delete admin
roles. Esto permite que el administrador de la seguridad cree roles de
administrador, aunque no comparta el rol .Administrators.
4. Indique el nivel de acceso que desea que el administrador de la seguridad fije
para los administradores del sistema en cada conjunto principal de pginas de
la consola de administracin (General, System tasks, Users, Administrators,
Resource Policies, Resource Profiles e IVS) seleccionando alguna de las
Deny All: Especifica que los que comparten el rol de administrador de la

seguridad no pueden ver ni modificar ningn ajuste de la categora.
Read All: Especifica que los que comparten el rol de administrador de la

seguridad pueden ver, pero no modificar, todos los ajustes de la categora.
Write All: Especifica que los que comparten el rol de administrador de la

seguridad pueden modificar todos los ajustes de la categora.
Custom Settings: Le permite escoger privilegios de administrador de la

seguridad (Deny, Read o Write) para las caractersticas particulares de una
categora.
5. Seleccione la casilla de verificacin Manage ALL admin realms.

6. Si desea permitir que el administrador de la seguridad agregue y elimine
territorios de administrador, marque la casilla de verificacin Allow Add/Delete
admin realms. Esto permite que el administrador de la seguridad cree
y elimine territorios de administrador, aunque no comparta el rol
.Administrators.
906
7. Indique el nivel de acceso a los territorios que desea que el administrador de la

seguridad fije para los administradores del sistema en cada conjunto principal
de pginas de la consola de administracin (General, Authentication Policy
y Role Mapping) seleccionando alguna de las siguientes opciones:
Deny All: Especifica que los que comparten el rol de administrador de la

seguridad no pueden ver ni modificar ningn ajuste de la categora.
Read All: Especifica que los que comparten el rol de administrador de la

seguridad pueden ver, pero no modificar, todos los ajustes de la categora.
Write All: Especifica que los que comparten el rol de administrador de la

seguridad pueden modificar todos los ajustes de la categora.
Custom Settings: Le permite escoger privilegios de administrador de la

seguridad (Deny, Read o Write) para las caractersticas particulares de una
categora.
NOTA: Todos los administradores que pueden gestionar roles y territorios de

administrador tienen al menos acceso de slo lectura a las opciones Name
y Description del rol de administrador y del territorio, segn se muestra en la
pgina General.
Delegacin de la administracin de las directivas de recursos

Use la ficha Administrators > Admin Roles > Resource Policies para especificar
las directivas de recursos que puede administrar el rol de administrador. Al delegar
privilegios de administracin de directivas de recursos, tenga en cuenta que los
administradores de sistema delegados no pueden modificar las siguientes
caractersticas de las directivas de recursos:
La directiva en s (es decir, la direccin IP o el nombre de host)
El orden en que el IVE evala las directivas de recursos
Para delegar privilegios de administrador para directivas de recursos:

3. Seleccione la ficha Resource Policies.
4. Indique el nivel de acceso que desea que el rol de administrador tenga para
cada uno de los mens Resource Policies seleccionando alguna de las
Deny All: Especifica que los que comparten el rol de administrador no

pueden ver ni modificar ninguna directiva de recursos.
907
Read All: Especifica que los que comparten el rol de administrador pueden
ver, pero no modificar, todas las directivas de recursos.

pueden modificar todas las directivas de recursos.

Read o Write) para cada tipo de directiva de recursos o para directivas de
recursos particulares.
5. Si desea fijar niveles de acceso personalizados para una directiva particular:

a.
Seleccione Custom Settings (arriba).
b.
Haga clic en el enlace Additional Access Policies al lado de la categora

correspondiente. (Por ejemplo, si desea controlar el acceso a una directiva
de recursos que controle el acceso a www.google.com, seleccione el enlace
Additional Access Policies al lado de Web.)
c.
Elija el nivel de acceso para la directiva (Deny, Read o Write).
d. Bajo Access Policies, seleccione la directiva de recursos para la que desea

que haya un nivel de acceso personalizado y haga clic en Add.
Delegacin de la administracin de los perfiles de recursos

Use la ficha Administrators > Admin Roles > Resource Profiles para especificar
los perfiles de recursos que puede administrar el rol de administrador. Al delegar
privilegios de administracin de perfiles de recursos, tenga en cuenta que los
administradores de sistema delegados no pueden modificar las siguientes
caractersticas de los perfiles de recursos:
El recurso propiamente tal (es decir, la direccin IP o el nombre de host)
El orden en que el IVE evala las directivas de recursos.
Para delegar privilegios de administrador para perfiles de recursos:

3. Seleccione la ficha Resource Profiles.
4. Indique el nivel de acceso que desea que el rol de administrador tenga para
cada uno de los mens Resource Profiles seleccionando alguna de las
908
Deny All: Especifica que los que comparten el rol de administrador no

pueden ver ni modificar ningn perfil de recursos.
Read All: Especifica que los que comparten el rol de administrador pueden
ver, pero no modificar, todos los perfiles de recursos.

pueden modificar todos los perfiles de recursos.

Read o Write) para cada tipo de perfil de recursos o para perfiles de
recursos particulares.
5. Si desea fijar niveles de acceso personalizados para un perfil particular:

a.
Seleccione Custom Settings (arriba).
b.
Haga clic en el enlace Additional Access Profiles al lado de la categora

correspondiente. (Por ejemplo, si desea controlar el acceso a una directiva
de recursos que controle el acceso a www.google.com, seleccione el enlace
Additional Access Profiles al lado de Web.)
c.
Haga clic en el enlace Additional Access Policies al lado de la categora

correspondiente.
d. Elija el nivel de acceso para el perfil (Deny, Read o Write).

e.
Bajo Access Profiles, seleccione el perfil de recursos para el que desea que
haya un nivel de acceso personalizado y haga clic en Add.
Definicin de ajustes generales del rol de administrador de sistema

Esta seccin contiene la siguiente informacin sobre la configuracin de opciones
generales de los roles de administrador de sistema:
Definicin de opciones predeterminadas para los roles de administrador en

la pgina 909

pgina 910
Especificacin de opciones de administracin de acceso para el rol en la

pgina 910
Especificacin de opciones generales de sesin en la pgina 911
Especificacin de las opciones de la interfaz de usuario en la pgina 912
Definicin de opciones predeterminadas para los roles de administrador

Para definir las opciones predeterminadas de todos los roles de administrador
delegado:
909
3. Modifique los ajustes en las fichas Session Options y UI Options segn las
instrucciones que aparecen en Administracin de los ajustes y opciones
generales de los roles en la pgina 910 y haga clic en Save Changes. Estas se
convierten en las opciones predeterminadas de los nuevos roles de
administrador delegado.
Administracin de los ajustes y opciones generales de los roles

Para administrar los ajustes y opciones generales de los roles:
1. En la consola de administracin, elija Administrators > Admin Roles >
Seleccionar rol > General > Overview.
2. Cree una etiqueta para el rol de administrador delegado usando los campos
Name y Description (opcional).
3. Bajo Options, marque:
Session Options para aplicar los ajustes configurados en la ficha

General > Session Options al rol.
UI Options para aplicar los ajustes configurados en la ficha General >

UI Options al rol.
Especificacin de opciones de administracin de acceso para el rol

Use la ficha Administrators > Admin Roles > General > Restrictions para
especificar las opciones de administracin de acceso para el rol. El IVE no asigna
administradores a este rol a menos que cumplan con las restricciones
especificadas. Para obtener ms informacin, consulte Marco de administracin
de acceso en la pgina 49.
Para especificar opciones de administracin de acceso para el rol:
Seleccionar rol > General> Restrictions.
2. Haga clic en la ficha que corresponde a la opcin que desea configurar para el
rol y configrela segn las instrucciones de las siguientes secciones:
910

en la pgina 60

pgina 62

pgina 65

pgina 67
Puede configurar la cantidad que desee de opciones de administracin de

acceso para el rol. Si un administrador no cumple todas las restricciones, el IVE
no asigna al administrador delegado a ese rol.
Especificacin de opciones generales de sesin

Para especificar opciones generales de sesin:
Seleccionar rol > General > Session Options.
2. Bajo Session Lifetime, especifique valores para:
Idle Timeout: Especifica los minutos que puede permanecer inactiva la

sesin de administrador antes de que se termine. El mnimo son cinco
minutos. El lmite predeterminado son diez minutos, lo que significa que si
la sesin de un administrador pasa diez minutos inactiva, el IVE termina la
sesin y registra el suceso en el registro de sistema (a menos de que usted
haya habilitado las advertencias de tiempo de espera de sesin descritas
a continuacin).
Max. Session Length: Especifica los minutos que una sesin activa de
administrador puede permanecer as antes de que se termine. El mnimo
son seis minutos. El lmite mximo para una sesin de administrador son
sesenta minutos, tras lo cual el IVE termina la sesin y registra el suceso en
el registro de sistema.
3. En Roaming session, especifique:
Enabled: Para habilitar sesiones de usuario itinerante para los usuarios

asignados a este grupo. Una sesin de usuario itinerante funciona a travs
de las direcciones IP fuente, lo que permite a los administradores mviles
(usuarios de equipos porttiles) que tienen direcciones IP dinmicas iniciar
sesin en el IVE desde una ubicacin y seguir trabajando desde otra.
Inhabilite esta caracterstica para evitar que los usuarios tengan acceso a
una sesin establecida anteriormente desde una nueva direccin IP fuente.
As ayuda a la proteccin contra un ataque que simule la sesin del usuario,
siempre que el hacker haya podido obtener una cookie vlida de sesin del
usuario.
Limit to subnet: Para limitar la sesin itinerante a la subred local

especificada en el campo Netmask. Los administradores pueden iniciar
sesin desde una direccin IP y seguir usando sus sesiones desde otra
direccin IP siempre y cuando la nueva direccin IP se encuentre dentro de
la misma subred.
Disabled: Para inhabilitar las sesiones itinerantes para los administradores

asignados a este rol. Los administradores que inicien sesin desde una
direccin IP no pueden continuar una sesin activa del IVE desde otra
direccin IP; las sesiones de administrador estn vinculadas a la direccin
IP fuente del comienzo.

911
Especificacin de las opciones de la interfaz de usuario

Use la ficha Administrators > Admin Roles > Seleccionar rol > General >
UI Options para personalizar los ajustes de la consola de administracin para los
administradores asignados a este rol, incluidos los colores de la consola, los
logotipos y los mens de navegacin jerrquica. (Para obtener informacin sobre
cmo personalizar el logotipo y los colores de la pgina de inicio de sesin de la
consola de administracin, consulte Configuracin de las pginas de inicio de
sesin estndares en la pgina 221.)
Los mens de navegacin jerrquica son mens dinmicos que aparecen cuando se
pasa el ratn por encima de uno de los mens del panel izquierdo de la consola de
administracin. Por ejemplo, si habilita los mens de navegacin jerrquica y pasa
el mouse sobre el men Authentication > Signing In de la consola de
administracin, aparecen los mens Sign-In Policies y Sign-In Pages. Puede usar
estos mens para navegar rpidamente en el sistema sin tener que hacer clic en
toda la jerarqua de mens.
NOTA:
Para obtener informacin sobre los entornos en los que se admiten los
mens jerrquicos, consulte la pgina Supported Platforms Guide del sitio
Juniper Networks Customer Support Center.
Si actualiz el sistema desde la versin 4.0, debe limpiar la memoria cach

del navegador o iniciar otro para poder usar los mens jerrquicos.
Si defini ms de 10 territorios de autenticacin o roles bajo Administrators

o Users, la consola de administracin solo muestra en los mens de
navegacin jerrquica los 10 ltimos roles o territorios a los que se tuvo
acceso. Tenga en cuenta que el IVE no muestra los 10 ltimos roles
y territorios a los que haya tenido acceso el administrador actual, sino que
aquellos a los que hayan tenido acceso todos los administradores que hayan
iniciado sesin en el IVE actual.
Para personalizar la pgina de bienvenida del IVE para los usuarios de roles:
1. En la consola de administracin, seleccione Administrators > Admin Roles >
Seleccionar rol.
2. Seleccione la casilla de verificacin UI Options en la ficha General > Overview
para habilitar los ajustes para el rol.
3. Elija General > UI Options para personalizar los ajustes para el rol.
4. En la seccin Header, especifique un archivo de imagen con el logotipo
personalizado para el encabezado y un color de encabezado diferente.
5. En la seccin Navigation Menus, indique si desea mostrar los mens de
navegacin jerrquica. Las opciones son:
912
Auto-enabled: El IVE determina si el administrador inici sesin desde una

plataforma admitida y habilita o inhabilita los mens jerrquicos, segn
corresponda.
Enabled: El IVE habilita los mens jerrquicos, sin importar la plataforma.

Si el administrador inici sesin desde una plataforma no admitida, es
posible que no pueda usar los mens jerrquicos, aunque estn habilitados.
Disabled: El IVE inhabilita los mens jerrquicos para todos los que
comparten el rol.
6. En la seccin Other, seleccione la casilla de verificacin Show copyright notice

and Secured by Juniper Networks label in footers para mostrar el logotipo
de Juniper.
NOTA: Si no desea que los roles de usuario vean el aviso de copyright, tambin
puede desmarcar la opcin en Default Settings para los roles de usuario, en
general. De esa manera, todos los roles que se creen despus no tendrn
permitido mostrar el aviso en la interfaz del usuario final.
7. Haga clic en Save Changes. Los cambios surten efecto de inmediato, pero
puede ser necesario actualizar las sesiones de explorador del usuario actual
para verlos. O haga clic en Restore Factory Defaults para restablecer la
apariencia de la consola de administracin segn los ajustes predeterminados.
Eliminacin del acceso a los sistemas IVS

Si est ejecutando una licencia IVS, tambin puede delegar acceso y
responsabilidades de administrador a sistemas IVS especficos. Se puede delegar
acceso de lectura/escritura o de solo escritura a todos los sistemas IVS o a algunos.
Para obtener ms informacin, consulte Delegacin del acceso administrativo a los
sistemas IVS en la pgina 958.
913
914
Captulo 33
Sistema IVS
El sistema IVS (Instant Virtual System) da a los proveedores de servicio
administrado (MSP) la oportunidad de ofrecer servicios de acceso remoto seguro,
recuperacin ante desastres y extranet administrada a pequeas y medianas
empresas (PYMES) de manera rentable. Para cumplir esta oportunidad, los MSP
pueden entregar soluciones de seguridad administradas desde el equipo que est
situado en las instalaciones de la empresa suscriptora (basado en un enrutador
fronterizo de las instalaciones del cliente) o dentro de la red del MSP (basado en
un enrutador fronterizo portador o basado en la red). Las soluciones de seguridad
administradas basadas en la red centralizan el equipo de puerta de enlace de
seguridad en la red del MSP. Un IVE virtualizado permite que el MSP proporcione
servicios de VPN SSL basados en red administrados a clientes mltiples desde
el mismo equipo. Es posible que el modelo de negocios bsico funcione de la
siguiente manera:
El MSP administra el equipo VPN SSL en el sitio del MSP.
Las pequeas y medianas empresas se suscriben a servicios mensuales desde

el MSP.
El MSP es responsable de la administracin del equipo, pero delega la

administracin del portal a un administrador de IVS designado por cada
empresa suscriptora.
El sistema virtual admite y aplica una separacin de la arquitectura y la

administracin entre las empresas suscriptoras, lo que proporciona una
vista completamente segura e individualizada para cada suscriptor.
Este sistema proporciona varios beneficios a los proveedores de servicio:
Ampliar la cuota de mercado: La capacidad de proporcionar funciones de VPN

SSL seguras a un mximo de 240 empresas suscriptoras desde un IVE ofrecen
al MSP economas de escala y la oportunidad de ampliar la cuota de mercado
con servicios dirigidos a las pequeas y medianas empresas.
Simplificar la administracin: Cada administrador suscriptor puede

administrar la instancia IVS de su empresa sin visibilidad de la interfaz
administrativa de otra empresa suscriptora. El administrador raz del MSP
puede administrar todas las empresas alojadas y supervisar o configurar
fcilmente los sistemas de la empresa alojada.
915
Mejorar la seguridad de los suscriptores: Cada empresa suscriptora est

completamente separada de las dems. En lo que concierne al administrador
suscriptor o a los usuarios suscriptores, ellos operan en un sistema VPN SSL
completamente independiente y protegido.
Optimizar la administracin de trfico: El trfico proveniente de los usuarios

finales o de servidores de intranet corporativa se mantiene dentro de la VLAN
de cada empresa. Los usuarios finales suscriptores nunca ven los servicios
situados en la intranet de otro suscriptor.
NOTA: No es posible obtener acceso a los instaladores de cliente independientes

directamente desde la interfaz de usuario de administracin de un IVS. Como
solucin, el administrador raz puede hacer que el siguiente vnculo est
disponible a los administradores de IVS si stos necesitan descargar los
instaladores independientes:
https://miive/dana-admin/sysinfo/installers.cgi
donde miive es el nombre de host de su IVE.

Para obtener ms informacin, consulte los siguientes temas:
Licencia: Disponibilidad de IVS en la pgina 916
Arquitectura del IVE virtualizado en la pgina 918
Creacin de clsteres en un IVE virtualizado en la pgina 946
Casos de uso del IVS en la pgina 963
Licencia: Disponibilidad de IVS
Debe tener una licencia IVS para crear sistemas IVS. (Tenga en cuenta de que
las licencias IVS no estn disponibles para los dispositivos SA 700 o SA 2000.)
Debe tener una licencia IVS y una licencia Network Connect para proporcionar
soporte DHCP centralizado a sus suscriptores.
Implementacin de un IVS
Para cada empresa suscriptora, el IVE virtualizado proporciona un portal seguro
para que los usuarios finales de la empresa (socios, clientes o empleados mviles)
obtengan acceso a sus recursos internos. Los servidores de autenticacin que
residen en las instalaciones del suscriptor o en la red del MSP autentican los
usuarios finales que inician sesin en el IVS. Una vez autenticados, los usuarios
finales establecen sesiones seguras a travs del IVS a los servidores back-end
de su empresa respectiva.
916
Licencia: Disponibilidad de IVS
Captulo 33: Sistema IVS
Figura 57: Escenario de implementacin MSP
Los siguientes elementos de lista numerados corresponden a los objetos

etiquetados en la Figura 57
1. Los usuarios finales inician sesin en las intranets de distintas empresas
suscriptoras en direcciones IP especificadas.
2. Los usuarios finales inician sesin sobre una conexin a Internet usando
un explorador web activado por SSL estndar.
3. Todo el trfico se dirige a la red del proveedor de servicio administrado (MSP).
El MSP es el cliente que mantiene la licencia del hardware y software del IVE
virtualizado.
4. Todo el trfico se dirige al IVE virtualizado. Todos los mensajes se evalan en
funcin de su direccin IP de inicio de sesin y el IVE virtualizado le asigna una
etiqueta VLAN que contiene un ID de VLAN correspondiente a una empresa
suscriptora. El IVE admite hasta 240 sistemas IVS, donde cada uno representa
un IVE de empresa suscriptora nico. El suscriptor es cualquier empresa que se
suscribe a los servicios VPN SSL alojados desde el MSP.
NOTA: El nmero de VLAN admitidas depende del nmero de sistemas IVS.

El nmero de sistemas IVS ms el nmero de VLAN debe ser menor o igual
que 240.
5. El enrutador fronterizo portador (CE) de MSP u otro dispositivo de capa 2 acta

como un punto terminal de la VLAN, y enruta el trfico sobre un tnel seguro
a un enrutador fronterizo de las instalaciones del cliente (CPE). En funcin del
ID de la VLAN, el enrutador dirige el trfico a la intranet suscriptora adecuada.
Durante esta parte del proceso, el enrutador CE elimina la etiqueta de la VLAN
que contiene el ID de la VLAN, porque una vez que el mensaje se destine
correctamente a la intranet adecuada, el ID y la etiqueta ya no sern
necesarios. El trmino intranet suscriptora es intercambiable con el trmino
intranet de la empresa.
6. El enrutador CE enva mensajes sobre la red troncal del proveedor de servicios
a los enrutadores fronterizos de las instalaciones de los clientes adecuados
mediante tneles encriptados, como tneles IPsec, GRE, PPP y MPLS. El trfico
sin etiqueta se enva sobre estos tneles a la intranet del cliente.
917
7. Los enrutadores CPE situados dentro de la intranet del cliente en las

instalaciones del cliente pueden actuar como el punto terminal de una
VLAN y enrutan el trfico desde el tnel seguro conectado al enrutador
CE a la intranet del cliente.
8. El trfico del usuario final alcanza los recursos troncales de la empresa
suscriptora. El IVE procesa cualquier mensaje devuelto a los usuarios finales
desde las intranets suscriptoras siguiendo un conjunto de pasos similar.
En una implementacin MSP tpica, los cortafuegos se presentan frente al IVE en la
DMZ del MSP, detrs del IVE en la red del MSP o en la DMZ de la intranet del cliente,
o ambos. Tenga en cuenta que es posible que exista un cortafuegos virtualizado
detrs del IVE (por ejemplo, un clster de Vsys), en cuyo caso debe tener la
capacidad de aceptar trfico etiquetado por VLAN desde el IVE reenviarlo a la VLAN
de cliente adecuada (y viceversa). Adems, la mayora de todas las
implementaciones, si no todas, tienen servidores de nombre de dominio (DNS
o Domain Name Server) o servidores de aplicaciones situados en la red del MSP
o en la intranet del cliente.
En la implementacin de un IVE virtualizado, el front-end se considera la interfaz
externa y es la interfaz que apunta a Internet o al usuario final. El back-end se
considera la interfaz interna y es la interfaz que apunta a la intranet de la empresa
suscriptora.
El IVE etiqueta el trfico entrante enviado por los usuarios finales destinado a un
servidor en la intranet suscriptora o en la red del MSP, con etiquetas de VLAN que
contienen el ID de la VLAN. El trfico entrante puede llegar a travs de la interfaz
interna o la interfaz externa del dispositivo IVE.
El trfico saliente, que es el trfico transmitido a travs del backend del IVE y est
destinado a los servidores situados en la red del MSP o la intranet suscriptora,
puede tener su origen en el mismo IVE. Por ejemplo, el trfico destinado
a servidores de autenticacin, DNS o de aplicaciones es trfico saliente,
porque es un trfico reenviado por el IVE, como el trfico de Network Connect.
Si el trfico llega como trfico entrante a una direccin IP designada para un
sistema IVS que utiliza una VLAN, cuando llega el trfico se etiqueta con etiqueta
VLAN. Cuando se identifica y dirige al destino backend adecuado, el dispositivo
terminal VLAN retira la etiqueta VLAN de la trama Ethernet y reenva el trfico al
destino backend.
Arquitectura del IVE virtualizado

La estructura del IVE virtualizado consta de un sistema raz y cualquier sistema
IVS suscriptor que el administrador raz del MSP crea posteriormente. Los
administradores del IVS suscriptor slo pueden administrar recursos en sus
sistemas IVS en particular. El administrador raz puede administrar recursos
en todos los sistemas IVS en el dispositivo.
La licencia IVS convierte el sistema IVE en un sistema raz que es funcionalmente
idntico al IVE, con la capacidad agregada de proporcionar sistemas virtuales.
El sistema raz consta de datos globales a nivel del sistema y un IVS raz
predeterminado nico, que abarca el subsistema de administracin de accesos.
918
Figura 58: Arquitectura del IVS
El administrador raz es el superadministrador del sistema raz. A menudo,

el administrador raz es el mismo administrador de IVE. El administrador raz tiene
el control administrativo sobre el sistema raz y todos los sistemas IVS suscriptores.
El administrador raz puede proporcionar sistemas IVS en el sistema raz, crear
administradores de IVS, editar la configuracin del IVS. El administrador raz puede
sobrescribir los cambios de la configuracin hechos por un administrador de IVS.
NOTA: Las instrucciones para configurar el sistema IVS y el sistema raz estn
dirigidas al administrador raz. Cuando en estas secciones se utiliza el pronombre
usted, se refiere al administrador raz. Si una persona con un rol distinto al de
administracin raz puede realizar una tarea, el texto hace una referencia clara
al rol en la descripcin de la tarea.
Como se muestra en la Figura 58:

1. El administrador de IVE aplica una licencia IVS a un dispositivo IVE que
contiene una licencia de Secure Access.
2. El sistema resultante contiene los datos globales raz y un IVS raz; a todos los
efectos, un IVE virtualizado.
3. Desde el IVS raz, el administrador raz puede crear sistemas IVS suscriptores
mltiples, cada IVS completamente por separado de cualquier otro IVS.
El sistema raz contiene un superconjunto de todas las capacidades del sistema.
Usted, como administrador raz, define todos los ajustes globales de red y los
ajustes del administrador raz en el sistema raz. Para cada suscriptor, proporciona
uno o ms sistemas IVS y los administra desde el sistema raz.
El IVS suscriptor contiene una instancia nica de la estructura de administracin de
accesos. Cuando crea un IVS para cada empresa suscriptora, tambin puede crear
una cuenta de administrador de IVS (administrador de IVS). El administrador de IVS
tiene el control administrativo completo sobre el IVS. El administrador de IVS utiliza
una consola de administracin que contiene un subconjunto de las capacidades del
administrador raz.
919
Inicio de sesin en el sistema raz o el IVS

Puede configurar direcciones URL de inicio de sesin usando mtodos diferentes:
Prefijo de direccin URL de inicio de sesin por IVS
Puertos virtuales
Puertos de VLAN
Puede usar ambos mtodos en el mismo IVS.
Inicio de sesin usando el prefijo de direccin URL de inicio de sesin

Esta caracterstica permite que los usuarios finales obtengan acceso a un IVS
utilizando un nombre de host nico y un prefijo de direccin URL de inicio de
sesin especfico para el IVS. A travs de este mtodo, los administradores
pueden asegurarse de que los usuarios puedan obtener acceso a varios sistemas
IVS mediante una direccin IP nica en el IVE.
Adicionalmente, el uso de direcciones URL basadas en ruta dan como resultado:
Ahorros en los costos de certificado: Slo necesita suministrar un certificado

para dispositivos.
Menos entradas de DNS: Slo necesita una entrada de DNS en todos los
sistemas IVS alojados en un IVE nico.
Los administradores y usuarios finales pueden iniciar sesin en un sistema IVS

usando direcciones URL de inicio de sesin similares a la siguiente (asumiendo
que la direccin URL del proveedor de servicio administrado es www.msp.com):
Direccin URL de inicio de sesin de la empresa A: www.msp.com/companyA
Direccin URL de inicio de sesin de la empresa B: www.msp.com/companyB
Direccin URL de inicio de sesin del administrador de IVS de la empresa A:

www.msp.com/companyA/admin
Direccin URL de inicio de sesin del administrador de IVS de la empresa B:

www.msp.com/companyB/admin
Puede continuar restringiendo el acceso implementando direcciones URL de inicio

de sesin adicionales que estn segregadas segn ciertos criterios, como se muestra
a continuacin:
920
www.msp.com/companyA/sales
www.msp.com/companyA/finance
www.msp.com/companyA/hr
Si no especifica un prefijo de direccin URL, el IVE establece por defecto el inicio

de sesin en puertos virtuales. Si especifica un prefijo de direccin URL de inicio
de sesin basado en rutas, se aplican las siguientes reglas:
No puede especificar una ruta de mltiples niveles para el prefijo de direccin

URL, utilizando el carcter /.
Los usuarios y administradores pueden iniciar sesin en un IVS en el puerto

interno, el puerto externo, la interfaz VLAN o el puerto virtual que todava no
est asignado a un IVS utilizando el prefijo de direccin URL seleccionado,
en otras palabras, donde el nombre de host es el nombre del DNS asignado
a una de las direcciones IP de la interfaz.
Por ejemplo, suponga que los puertos de su IVE estn asignados a nombres de DNS
especficos de la siguiente manera:
Internal Port = MSP-internal
External Port = MSP-external
VLAN Port 10 = MSP-vlan10
Virtual Port X = MSP-virtualx
Ahora, considere que el puerto 10 de la VLAN y el puerto virtual X no estn

asignados a un IVS. Si aloja el IVS de la empresa A, y el prefijo de direccin URL de
inicio de sesin de la empresa A est especificado como la empresa A en el perfil
del IVS, los usuarios finales pueden iniciar sesin en el IVS de la empresa A con
cualquiera de las siguientes direcciones URL:
MSP-internal/companyA
MSP-external/companyA
MSP-vlan10/companyA
MSP-virtualx/companyA
La caracterstica de direccin URL basada en ruta conlleva algunas restricciones:
Un usuario final o administrador puede iniciar sesin slo a un IVS desde una
interfaz de navegador determinada. Si trata de iniciar sesin en otro IVS desde
una nueva ventana del navegador en la misma interfaz, se rechaza el intento
de inicio de sesin. Debe crear una nueva instancia de navegador para iniciar
sesin a sistemas IVS mltiples.
No puede establecer sesiones simultneas mltiples, con todas las sesiones

usando Host Checker, desde el mismo punto final a diferentes sistemas IVE.
No puede establecer sesiones simultneas mltiples desde el mismo punto final
a sistemas IVS mltiples, independientemente del mtodo de inicio de sesin.
Si configura un IVS con un prefijo de direccin URL de inicio de sesin basado

en ruta, no puede usar las cookies de sesin persistentes (DSID) y mantener
la capacidad de iniciar sesin en sistemas IVS mltiples desde el mismo
explorador con el prefijo de direccin URL. La limitacin no se aplica a los
usuarios que inician sesin en el IVS con una direccin IP de inicio de sesin,
porque el sistema crea en ese caso un DSID distinto por IVS de destino.
Inicio de sesin en el sistema raz o el IVS 921
Se admite el proxy pass-through basado en los nmeros de puerto. Sin

embargo, no puede especificar una directiva de proxy pass-through cuando
se utilizan hosts virtuales, a menos que la entrada de DNS del host virtual se
asigne a la direccin IP de inicio de sesin en IVS. Si la entrada de DNS del
host virtual apunta al IVE, cuando el usuario inicia sesin lo har en la pgina
de inicio de sesin del IVS raz.
Cuando se utiliza Secure Meeting, si un usuario todava no inicia sesin en su

IVS y habilita la opcin require IVE users, todos los correos electrnicos de
invitacin a las reuniones contendrn un vnculo a la pgina de inicio de sesin
en un IVS raz.
Si un usuario de IVS crea marcadores de pginas utilizando reescritura web,

cierra la sesin y vuelve a abrir el navegador y selecciona el marcador, ver
la pgina de inicio de sesin en un IVS raz.
Inicio de sesin en puertos virtuales

Es posible que tenga razones para configurar puertos virtuales para iniciar sesin.
Los puertos virtuales proporcionan una importante segregacin del trfico. Si elige
utilizar puertos virtuales, tenga en cuenta que:
922
Debe proporcionar certificados mltiples: Necesita proporcionar un

certificado para dispositivos por direccin del puerto virtual.
Debe configurar mltiples entradas de DNS: Necesita suministrar entradas

de DNS para cada sistema IVS alojado en un IVE nico.
Si varios IVS comparten el mismo puerto virtual para el inicio de sesin, los
ajustes de seguridad de cada IVS (se permite la versin SSL/TLS o intensidad de
la encriptacin) pueden asociarse al puerto virtual. Una vez que los ajustes de
seguridad de un IVS estn asociados con el puerto virtual, estos ajustes son
eficaces para los inicios de sesin (es decir, sesiones de SSL) en ese puerto
virtual. Para garantizar la seleccin/asociacin determinista de los ajustes de
seguridad a los puertos virtuales, los IVS que comparten el mismo puerto virtual
para iniciar sesin deben tener los mismos ajustes de seguridad.
Si hay un IVS que est configurado para tener diferentes ajustes de seguridad
relativos al sistema raz, los ajustes de seguridad del sistema raz surten efecto
para iniciar sesin en el IVS a travs del prefijo de direccin URL de inicio de
sesin, mientras que los ajustes de seguridad del IVS surten efecto para iniciar
sesin en el IVS a travs del inicio de sesin en puertos virtuales. En el caso de
un IVS con encriptacin intensa (como AES) en un IVE con un sistema raz que
tenga ajustes de encriptacin ms dbil, se produce la siguiente situacin:
Se produce un error al iniciar sesin en el IVS a travs del inicio de sesin en
puertos virtuales desde un navegador IE6, porque los ajustes de seguridad
vigente para la sesin de SSL son AES, no admitidos por IE6. Sin embargo,
si el mismo usuario inicia sesin en el mismo IVS desde el mismo navegador
IE6 a travs del prefijo de direccin URL de inicio de sesin puede realizarse de
manera correcta si los ajustes de seguridad del navegador son compatibles con
los ajustes de seguridad ms dbil del sistema raz.
La direccin IP de destino de la peticin de inicio de sesin dirige el inicio de sesin

al sistema raz o al IVS. Para iniciar sesin en el sistema raz o un IVS, los usuarios
van a una direccin URL basada en el nombre de host. Usted asigna la direccin
URL, a travs de un DNS externo, a la direccin IP o a un alias de IP de la interfaz
externa del sistema IVE.
Por ejemplo, imagnese un MSP con nombre de host msp.com, que proporciona
servicios de puerta de enlace VPN SSL a dos suscriptores: s1 y s2.
Direccin URL de inicio de sesin del administrador raz: http://www.msp.com
Direccin URL de inicio de sesin de s1: http://www.s1.com
Direccin URL de inicio de sesin de s2: http://www.s2.com
El DNS externo debe asignar estas direcciones URL a direcciones IP nicas, que
deben corresponder a direcciones IP o alias alojados en el IVE, normalmente un
puerto virtual definido ya sea en el puerto interno como en el externo.
Para resumir el inicio de sesin, los usuarios de IVS pueden iniciar sesin en:
Un puerto virtual configurado en la interfaz externa del IVE.
Un puerto virtual configurado en la interfaz interna del IVE (sin etiqueta).
Una interfaz de VLAN configurada en la interfaz interna (con etiqueta).
Los usuarios del sistema raz tambin pueden iniciar sesin directamente por
medio de la interfaz interna o la interfaz externa. Para ver ms informacin acerca
del inicio de sesin, consulte Configuracin de directivas de inicio de sesin en la
pgina 214 y Configuracin las pginas de inicio de sesin en la pgina 220.
Inicio de sesin en una interfaz de VLAN

Adems de las capacidades de inicio de sesin proporcionadas por medio de la
interfaz externa (o la interfaz interna, si est configurada) por el administrador raz,
los usuarios finales pueden iniciar sesin por medio de cualquier interfaz de VLAN
que el administrador raz asigne a sus IVS. En otras palabras, el administrador del
IVS puede proporcionar la direccin IP del puerto de la VLAN a los usuarios finales
para que inicien sesin.
NOTA: No puede asignar un certificado para dispositivos explcito a ninguna
direccin IP asignada a una VLAN. Cuando se inicia sesin sobre una interfaz de
VLAN, el sistema elige el certificado para dispositivos que ya est asignado al IVS.
Si no hay un certificado que est asociado al IVS, el sistema asigna el certificado
desde la parte superior de la lista de certificados para dispositivos del IVE. Esta
lista se puede reordenar cuando se agrega o elimina un certificado, con lo que es
posible que surja un certificado inesperado durante la configuracin. Una vez que
un IVS est en estado de produccin, esto no debe significa un problema, porque
la VIP del IVS se asigna a un certificado especfico.
Inicio de sesin en el sistema raz o el IVS 923
Navegacin al IVS
Slo los administradores raz pueden navegar a un IVS desde el sistema raz. En el
IVE virtualizado, la navegacin de la consola de administracin para el sistema raz
incluye un men desplegable adicional que enumera los sistemas IVS configurados,
en todos los encabezados de pgina. Puede navegar a un IVS y administrarlo si
selecciona un IVS en el men desplegable. Los administradores de IVS deben iniciar
sesin directamente al IVS a travs de una pgina de inicio de sesin administrativo
estndar.
El administrador raz crea la cuenta de administrador de IVS inicial. Un
administrador de IVS puede crear cuentas adicionales de administrador de IVS,
utilizando el procedimiento estndar para crear cuentas de administrador, como se
describe en Creacin y configuracin de roles de administrador en la pgina 900.
Determinacin del perfil del suscriptor

Para configurar el sistema para que dirija correctamente el trfico entrante al IVS
suscriptor correcto, y el trfico saliente a la VLAN adecuada, el administrador raz
del MSP necesita compilar un perfil para cada empresa suscriptora.
Hoja de trabajo de la configuracin de IVS

Cuando crea un sistema virtual nuevo, debe crear varios otros objetos del sistema
y especificar varios datos, que incluyen direcciones IP, ID de VLAN, puertos
virtuales y ajustes de DNS. Puede utilizar esta hoja de trabajo para planear y realizar
un seguimiento de los datos del sistema durante la creacin de cada IVS. La hoja
de trabajo presenta datos en el orden general en que se debera definir el IVS.
Segn la topologa especfica de las redes de los suscriptores, es posible que
deba recopilar informacin adicional, o puede que no utilice toda la informacin
que aparece en el formulario.
Fecha:
Creado por:
Suscriptor:
Nmero de cuenta:
Comentario:
VLAN del suscriptor (System > Network > VLANs)

Ajustes de la VLAN
Nombre del puerto de la
VLAN:
ID de la VLAN (1-4094):
Informacin del puerto de la VLAN
Direccin IP:
Mscara de red:
Puerta de enlace
predeterminada:
924
Configuracin del puerto virtual de inicio de sesin del suscriptor:

(System > Network > Port 1 > Virtual Ports > New Virtual Port)
Nombre del puerto virtual
externo (para iniciar
sesin):
Direccin IP:
Nombre del puerto virtual
interno (opcional).
Direccin IP:
Instalacin de certificado para dispositivos para el nombre de host del IVS

Nombre del host del IVS:
Puerto interno:
Puerto externo:
IVS del suscriptor (System > Virtual Systems > New Virtual System)
Nombre (suscriptor):
Descripcin:
Administrador
Nombre de usuario:
Contrasea (de al menos
6 caracteres):
Propiedades
Mximo de usuarios
simultneos:
VLAN predeterminada:
Puertos virtuales
seleccionados:
(interfaz interna)
Puertos virtuales
seleccionados:
(interfaz externa)
Conjunto de IP de
Network Connect:
Rutas estticas (System > Network > Routes > New Routes)
Red/IP de destino:
Mscara de red:
Puerta de enlace:
Interfaz:
Mtrica:
925
Ajustes de DNS (Subscriber IVS > System > Network > Overview)
Nombre de host:
DNS principal:
DNS secundario:
Dominios de DNS:
WINS:
Administracin del sistema raz

Una vez que aplique la licencia IVS al IVE, aparece la nueva ficha Virtual Systems
en la interfaz de usuario del administrador. Despus de que aplica la licencia IVS,
puede ver de manera explcita el sistema raz en el men desplegable que aparece
en el rea del encabezado de la consola de administracin.
La configuracin del sistema requiere una serie de procedimientos bsicos. Una vez
que el hardware est conectado:
1. Inicie el sistema.
2. Aplique la licencia IVS a travs de la pgina Maintenance > System >
Upgrade/Downgrade de la consola de administracin.
3. Configure el sistema raz desde la consola de administracin, tal como se
describe en Aprovisionamiento de un IVS en la pgina 927.
Independientemente de la cantidad de administradores suscriptores que define
en los sistemas IVS del suscriptor, siempre debe mantener el control sobre todo
el sistema y tener visibilidad de los ajustes de todos los sistemas IVS.
Configuracin del administrador raz

La configuracin del administrador raz es similar a la tarea de crear un
administrador nuevo en un IVE independiente. Puede crear una cuenta de
administrador en la pgina Authentication > Auth. Servers > Administrators >
Users de la consola de administracin, o usando la consola serie como se describe
en Conexin a la consola serie de un dispositivo IVE en la pgina 987.
Si actualiza desde una versin del IVE anterior a la versin 5.1 del software
o posterior, el sistema considera que cualquier administrador del sistema raz
que asigna al rol .Administrators es un administrador raz para el IVE. Si vuelve
a instalar completamente el dispositivo IVE o instala un hardware completamente
nuevo, cree un administrador principal durante los pasos iniciales de la
configuracin, en la consola serie. Para obtener ms informacin acerca de la
configuracin del sistema desde la consola serie, consulte Conexin a la consola
serie de un dispositivo IVE en la pgina 987.
926
Aprovisionamiento de un IVS
En esta seccin se describen las tareas que forma parte del aprovisionamiento
de un IVS, que incluyen:
Comprensin del proceso de aprovisionamiento en la pgina 928
Configuracin de los puertos de inicio de sesin en la pgina 930
Configuracin de una red de rea local virtual (VLAN) en la pgina 932
Carga del servidor de certificados en la pgina 936
Creacin de un sistema virtual (perfil de IVS) en la pgina 937
Configuracin de alias de IP de origen basados en roles en la pgina 942
Configuracin de reglas de enrutamiento de directivas en el IVS en la

pgina 944
Creacin de clsteres en un IVE virtualizado en la pgina 946
Configuracin del DNS para el IVS en la pgina 948

pgina 950
Configuracin de servidores de autenticacin en la pgina 956
Acceso a los instaladores independientes en la pgina 959

de configuracin del IVS en la pgina 959
Supervisin de los suscriptores en la pgina 961
Resolucin de problemas de las VLAN en la pgina 962
Aprovisionamiento de un IVS 927
Comprensin del proceso de aprovisionamiento

La Figura 59 ilustra las tareas bsicas necesarias para proporcionar un IVS.
Figura 59: Proceso bsico de aprovisionamiento de un IVS
928
El aprovisionamiento de un IVS consta de los siguientes pasos, tal como se ilustra

en la Figura 59:
1. Configure uno o ms clsteres, si es necesario, a travs de la pgina System >
Clustering > Create Cluster.
2. Configure y habilite el puerto externo. El puerto externo est inhabilitado
de forma predeterminada. Debe habilitar el puerto y configurarlo para
proporcionar capacidades de inicio de sesin desde el exterior de la red.
3. Cree al menos un puerto de VLAN para cada empresa suscriptora. Debe definir
un ID nico para cada VLAN. Una empresa suscriptora puede tener varias VLAN
en el IVE.
4. Configure al menos un puerto virtual en el puerto externo para habilitar el inicio
de sesin de los usuarios finales. Tambin puede configurar puertos virtuales en
el puerto interno, para iniciar sesin desde detrs del cortafuegos, si es
necesario.
5. Cargue un servidor de certificados por empresa suscriptora.
6. Si desea utilizar puertos virtuales, por ejemplo, para admitir el origen de IP,
debe crearlos en este punto del proceso.
7. Cree un perfil de IVS para cada empresa suscriptora. El perfil de IVS establece
la conexin entre la empresa, la VLAN y los puertos virtuales disponibles.
8. Configure rutas estticas a los servidores backend. Si intenta proporcionar
acceso compartido a los recursos de la red del MSP, agregue rutas estticas a las
tablas de rutas de la VLAN que apunten a esos recursos.
9. Configure los ajustes de DNS para que todo trfico destinado a los recursos
en la red del MSP primero pase por el servidor DNS del MSP.
10. Inicie sesin como administrador de IVS.
11. Configure directivas de recursos, territorios, roles y usuarios para el IVS.
Cuando crea el IVS, aparece el nombre del IVS en el men desplegable que est en
el encabezado de la consola de administracin. Puede realizar operaciones en cada
IVS seleccionando el nombre del IVS en el men desplegable y haciendo clic en el
botn Go.
Resumen de tareas: Aprovisionamiento de un IVS

Para proporcionar un sistema IVS, debe:
1. Crear un clster si es necesario. Para obtener instrucciones, consulte Creacin
de clsteres en la pgina 869.
2. Configurar un puerto externo, que consta de la habilitacin del puerto y la
configuracin de puertos virtuales para permitir que los usuarios finales
inicien sesin desde el exterior de la red del MSP. Para obtener instrucciones,
consulte Configuracin de los puertos de inicio de sesin en la pgina 930.
929
3. Configurar una VLAN, que incluye la definicin del puerto de la VLAN

y especifica un ID de la VLAN. Para obtener instrucciones, consulte
Configuracin de una red de rea local virtual (VLAN) en la pgina 932.
4. Cargar el servidor de certificados, lo que permite que el MSP y las empresas
suscriptoras certifiquen el trfico. Para obtener instrucciones, consulte Carga
del servidor de certificados en la pgina 936.
5. Configurar puertos virtuales en la VLAN para el origen de IP para los clsteres.
Para obtener instrucciones, consulte Configuracin de un puerto virtual para
iniciar sesin en el puerto interno en la pgina 932.
6. Crear el perfil de IVS, que define el entorno de la empresa suscriptora en el IVE
virtualizado. Para obtener instrucciones, consulte Configuracin inicial de IVS
mediante una copia del sistema raz o de otro IVS en la pgina 940.
7. Configurar rutas estticas para admitir los servidores backend, los usuarios de
Network Connect y para proporcionar servicios compartidos en la red del MSP.
Para obtener instrucciones, consulte Adicin de rutas estticas a la tabla de
rutas de VLAN en la pgina 935.
8. Configurar los ajustes del DNS, para hacer que el trfico pase por el servidor
DNS del MSP. Si ejecuta Network Connect, debe configurar el DNS. Para
obtener instrucciones, consulte Configuracin del DNS para el IVS en la
pgina 948.
9. Configurar Network Connect si es necesario. Para obtener instrucciones,
consulte Configuracin de Network Connect para uso en un IVE virtualizado
en la pgina 950.
Configuracin de los puertos de inicio de sesin

Es necesario configurar puertos virtuales a travs de los cuales los usuarios finales
puedan iniciar sesin en la intranet de la empresa suscriptora. Un puerto virtual
activa un alias de IP o un puerto fsico y comparte todos los ajustes de red de dicho
puerto. Para obtener ms informacin acerca de los puertos virtuales en general,
consulte Configuracin de puertos virtuales en la pgina 711.
Esta seccin contiene los siguientes temas:
930
Configuracin del puerto externo en la pgina 931
Configuracin de un puerto virtual para iniciar sesin en el puerto externo

en la pgina 931
Configuracin de un puerto virtual para iniciar sesin en el puerto interno

en la pgina 932
Configuracin del puerto externo

Necesita habilitar y configurar el puerto externo para permitir que los usuarios
finales del IVS inicien sesin desde el exterior de la red.
Para habilitar y configurar el puerto externo:
1. Asegrese de estar en el contexto raz. Si el men desplegable del IVS situado
en la barra de encabezado de la consola de administracin muestra algo
distinto de Root, seleccione Root en el men y haga clic en Go.
2. Seleccione System > Network > Port 1 > Settings.
4. Introduzca una direccin IP vlida para el puerto externo.
5. Introduzca una mscara de red vlida para la direccin IP.
6. Introduzca la direccin de la puerta de enlace predeterminada.
El sistema habilita el puerto.
Configuracin de un puerto virtual para iniciar sesin en el puerto externo

Necesita configurar un puerto virtual para permitir que los usuarios finales del
IVS inicien sesin desde el exterior de la red por medio del puerto externo.
Por ejemplo, si los usuarios inician sesin por Internet, utilizan el puerto virtual
definido en el puerto externo.
Para configurar el puerto virtual para iniciar sesin:
2. Seleccione System > Network > Port 1 > Virtual Ports.
5. Introduzca una direccin IP vlida que proporcione el administrador de red
de la empresa suscriptora.
El sistema agrega el puerto, muestra la ficha Virtual Ports y reinicia los servicios
de red. Este puerto virtual est disponible para uso durante el proceso descrito en
Creacin de un sistema virtual (perfil de IVS) en la pgina 937. Defina todos los
puertos virtuales que necesite para iniciar sesin.
931
Configuracin de un puerto virtual para iniciar sesin en el puerto interno

Necesita habilitar y configurar el puerto interno para permitir que los usuarios
finales del IVS inicien sesin desde el interior de la red.
Para configurar el puerto virtual para iniciar sesin:
2. Seleccione System > Network > Internal Port > Virtual Ports.
5. Introduzca una direccin IP vlida que el administrador de red de la empresa
suscriptora proporciona.
El sistema agrega el puerto, muestra la ficha Virtual Ports y reinicia los servicios
de red. Puede asignar este puerto virtual a un perfil de IVS tal como se describe en
Creacin de un sistema virtual (perfil de IVS) en la pgina 937. Defina todos los
puertos virtuales que necesite para iniciar sesin.
Resumen de tareas: Configuracin de los puertos de inicio de sesin

del IVS
Para configurar los puertos de inicio de sesin del IVS, debe:
1. Configurar el puerto externo. Para obtener instrucciones, consulte
Configuracin del puerto externo en la pgina 931.
2. Configurar un puerto virtual para iniciar sesin en el puerto externo. Para
obtener instrucciones, consulte Configuracin de un puerto virtual para iniciar
sesin en el puerto externo en la pgina 931.
3. Configurar un puerto virtual para iniciar sesin en el puerto interno (opcional).
Para obtener instrucciones, consulte Configuracin de un puerto virtual para
iniciar sesin en el puerto interno en la pgina 932.
Configuracin de una red de rea local virtual (VLAN)

Al definir al menos una red de rea local virtual (VLAN, Virtual Local Area Network)
en cada IVS suscriptor, el MSP puede aprovechar el etiquetado VLAN, mediante
el cual el IVE virtualizado etiqueta el trfico con ID de VLAN 802.1Q antes de
transmitir el trfico a travs del backend. La infraestructura portadora utiliza la
etiqueta VLAN para dirigir los paquetes a la intranet suscriptora adecuada.
932
El etiquetado VLAN proporciona la separacin del trfico que el IVE transmite sobre
el backend, destinado a las intranets suscriptoras. El trfico que proviene a travs
del front-end, es decir, el trfico entrante, no tiene etiquetas VLAN. El IVS agrega la
etiqueta a un mensaje despus de su llegada a travs de uno de los puertos del IVE.
Cada VLAN se asigna a un ID de VLAN, que forma parte de una etiqueta compatible
con la norma IEEE 802.1Q que se agrega a cada trama Ethernet saliente. El ID de la
VLAN slo identifica cada suscriptor y todo el trfico del suscriptor. Este etiquetado
permite que el sistema dirija todo el trfico a la VLAN correcta y que aplique las
directivas respectivas a ese trfico.
El punto terminal de la VLAN es cualquier dispositivo en el que se identifique el
trfico etiquetado de VLAN, se le quite la etiqueta de VLAN y se reenve al tnel
correcto al backend. El punto terminal de la VLAN puede ser un enrutador CE,
un enrutador CPE, el switch L2, un cortafuegos u otro dispositivo capaz de realizar
el enrutamiento de la VLAN.
Debe definir un puerto de VLAN para cada VLAN. El administrador raz asigna el ID
de la VLAN especfica al definir el puerto de la VLAN.
Para cada VLAN que configure, el IVE virtualizado proporciona una interfaz nica
y lgica de VLAN, o un puerto, en la interfaz interna. No existe relacin entre la
direccin IP del puerto interno y la direccin IP de cualquier puerto de VLAN.
Cada puerto de VLAN tiene su propia tabla de rutas.
Cada definicin de puerto de VLAN consta de:
Port Name. El nombre del puerto tiene que ser exclusivo en todos los puertos
de la VLAN que define en el IVE virtualizado o en clster.
VLAN ID. Un nmero entero entre 1 y 4095 que identifica nicamente a la

VLAN del suscriptor/cliente.
IP Address/Netmask. Debe ser una direccin IP o una mscara de red desde

la misma red que el punto terminal de la VLAN, porque el IVE virtualizado se
conecta al punto terminal de la VLAN en una conexin de red de capa 2. Las
direcciones IP de las VLAN deben ser nicas. No puede configurar una VLAN
para que tenga la misma red que el puerto interno. Por ejemplo, si el puerto
interno es 10.64.4.30/16 y configura una VLAN como 10.64.3.30/16,
probablemente obtenga errores y resultados inesperados.
Default gateway. La direccin IP del enrutador predeterminado, normalmente

el enrutador CE o CPE. La puerta de enlace predeterminada podra actuar como
el punto terminal de la VLAN, o podra residir detrs del punto terminal de la
VLAN.
Other network settings. Heredados desde el puerto interno.
NOTA: Si no especifica una VLAN para la empresa suscriptora, debe configurar el

IVS para que transmita el trfico sobre la interfaz interna, seleccionndolo como la
VLAN predeterminada.
933
Configuracin de VLAN en el IVE virtualizado

La relacin entre una VLAN y un IVS determinado permite que el sistema raz
separe y dirija el trfico a distintos suscriptores, tal como se describe en Licencia:
Disponibilidad de IVS en la pgina 916. Puede definir VLAN mltiples para un IVS
suscriptor.
Configuracin de un puerto de VLAN

Antes de crear un nuevo sistema virtual, cree un puerto de VLAN para identificar
el trfico del suscriptor especfico.
Para crear un puerto de VLAN, realice los siguientes pasos:
2. Seleccione System > Network > VLANs para abrir la ficha VLAN Network
Settings.
4. En VLAN settings, introduzca un nombre para el puerto de VLAN.
5. Introduzca un ID de VLAN.
NOTA: El ID de VLAN debe estar entre 1 y 4095 y debe ser nico en el sistema.
El sistema raz utiliza trfico sin etiqueta y no se puede cambiar.
6. Introduzca la direccin IP para la VLAN.

7. Introduzca una mscara de red para la VLAN.
8. Introduzca una puerta de enlace para la VLAN.
Asignacin de una VLAN al IVS raz

A fin de asignar una VLAN a un rol, primero debe asignar la VLAN al IVS raz.
Si no ha asignado una VLAN al IVS raz, la VLAN no est disponible en el men
desplegable de VLAN en Users > User Roles > Seleccionar rol > VLAN/Source
IP page.
Para asignar una VLAN al IVS raz
1. Seleccione System > Virtual Systems > Root.
2. En Properties, seleccione la VLAN en la lista Available VLANs.
3. Haga clic en Add -> para mover el nombre de la VLAN a la lista Selected
VLANs.
934
Adicin de rutas estticas a la tabla de rutas de VLAN

Cuando crea un nuevo puerto de VLAN, el sistema crea dos rutas estticas de forma
predeterminada:
La ruta predeterminada para la VLAN, que apunta a la puerta de enlace

predeterminada.
La ruta de interfaz a la red conectada directamente.
Adems, puede agregar rutas estticas a los servidores compartidos en la red

del MSP.
Para agregar rutas estticas a una tabla de rutas de VLAN:
2. Seleccione System > Network > VLANs.
3. Haga clic en New Port o seleccione una VLAN existente para la que desee
agregar una ruta esttica.
4. En la parte inferior de la pgina del puerto de VLAN, haga clic en el vnculo
Static Routes.
5. En el men desplegable, seleccione la VLAN para la que desea crear rutas
estticas, si todava no est seleccionada.
6. Haga clic en New Route.
7. En la pgina New Route, introduzca la direccin IP/red de destino.
8. Introduzca la mscara de red de destino.
9. Introduzca la puerta de enlace de destino.
10. Seleccione la interfaz en el men desplegable Interface.
11. Introduzca la mtrica.
Esta mtrica es un nmero entre 0 y 15, y normalmente representa el nmero
de saltos que puede dar el trfico entre los hosts. Puede establecer la mtrica de
cada ruta para especificar la prioridad. Mientras menor sea el nmero, mayor
ser la prioridad. Por lo tanto, el dispositivo elige una ruta con una mtrica de
1 que otra ruta que tenga una mtrica de 2. Un enrutador que utiliza mtricas
compara una mtrica de ruta dinmica con la mtrica de ruta esttica y elige la
ruta que tenga la mtrica inferior.
935
12. Por ejemplo, si desea agregar rutas estticas a servicios compartidos, debe
llevar a cabo uno de los siguientes pasos:
Haga clic en Add to [VLAN] route table, donde [VLAN] es el nombre de una
VLAN disponible, para agregar la ruta a una VLAN seleccionada. Esta accin
agrega la ruta esttica a la tabla de rutas de la VLAN de una empresa
suscriptora en particular y excluye el acceso desde todas las dems VLAN,
incluso desde los usuarios de la red del MSP.
Haga clic en Add to all VLAN route tables para agregar la ruta a todas las
VLAN definidas en el sistema. Por ejemplo, seleccione esta opcin si el
administrador raz desea compartir algunos servicios entre todos los
usuarios finales de todas las empresas suscriptoras.
NOTA: Tambin puede utilizar rutas estticas si desea configurar los servicios
compartidos en la red del MSP. Para conseguir esto:
1. Agregue una ruta esttica al recurso compartido en su propia tabla de rutas

de VLAN, si el sistema raz tiene una VLAN, o en la tabla de rutas del IVE
principal, si el sistema raz utiliza la interfaz interna.
2. Haga clic en Add to all VLAN route tables, que llena todas las tablas de rutas
de VLAN con la ruta esttica. Cuando agrega la ruta esttica a todas las tablas
de rutas de VLAN, todos los perfiles de IVS pueden obtener acceso a los
servicios compartidos.
Eliminacin de una VLAN

No puede eliminar una VLAN que est asociada con un IVS. Primero, debe eliminar
el IVS o eliminar la relacin entre el IVS y el puerto de VLAN.
Para eliminar una VLAN:
2. Seleccione la casilla de verificacin situada junto al nombre de la VLAN que
desea eliminar.
3. Haga clic en Delete.
Carga del servidor de certificados

En el sistema raz, puede cargar certificados utilizando el procedimiento descrito
en Importacin de certificados en el IVE en la pgina 751.
Debe asociar los puertos virtuales que defini como puertos de inicio de sesin
para usuarios finales de IVS con el certificado para dispositivos. Puede especificar
puertos virtuales en la pgina Certificate Details, tal como se describe en
Asociacin de un certificado con un puerto virtual en la pgina 757.
936
Carga del servidor de certificados
En un IVS, slo puede importar CA de cliente fiable y CA de servidor fiable, tal como
se describe en Uso de CA de cliente de confianza en la pgina 758 y en Uso de
CA del servidor de confianza en la pgina 774.
NOTA: No puede compartir certificados entre los sistemas IVS. Debe tener una IP
y un certificado nicos para cada IVS.
Slo puede configurar el IVS raz para volver a firmar los applets/controles del IVE
en la consola de administracin. Las consolas de administracin para los sistemas
IVS suscriptores no muestran la opcin de firma nueva. Debe tomar nota de la
siguiente informacin:
Todos los usuarios finales raz y suscriptores ven los mismos applets/controles:
o bien todos los controles Juniper predeterminados, o bien todos los controles
firmados por el IVS raz.
Si no desea que los sistemas IVS suscriptores vean los controles firmados por el
certificado del IVS raz, no debe volver a firmar los controles. Si vuelve a firmar
los controles, los sistemas IVS suscriptores obtienen acceso a ellos.
Creacin de un sistema virtual (perfil de IVS)

Despus de crear un puerto de VLAN, contine la tarea de crear el nuevo sistema
virtual (perfil de IVS) para la empresa suscriptora.
Definicin del perfil de IVS en la pgina 937
Configuracin inicial de IVS mediante una copia del sistema raz o de otro IVS
en la pgina 940
El perfil de IVS define el IVS suscriptor y todos los elementos necesarios para
alcanzar la intranet del suscriptor, como los ajustes de DNS y los servidores de
autenticacin.
Definicin del perfil de IVS

Para definir el perfil de IVS:
2. Seleccione System > Virtual Systems.
3. Haga clic en New Virtual System para mostrar la pgina IVS - Instant Virtual
System.
4. Introduzca el nombre de la empresa suscriptora.
5. Introduzca una descripcin (opcional).
937
6. Seleccione Enabled si todava no est seleccionado.

NOTA: Si alguna vez necesita prohibir que un suscriptor y los usuarios finales del
suscriptor obtengan acceso al IVS a causa de problemas de facturacin u otro tipo
de problemas, inhabilite aqu su cuenta. Al inhabilitar la cuenta, puede resolver
cualquier problema del cliente y luego habilitar el acceso sin tener que eliminar
la cuenta del suscriptor y perder todos los datos de la configuracin.
7. En Initial Configuration, seleccione la configuracin para inicializar el IVS.
Default Configuration: Llena el IVS con valores predeterminados

generados por el sistema.
Root: Copia la configuracin del sistema raz al IVS nuevo o a cualquiera

de los IVS existentes en el sistema.
IVS name: Copia la configuracin del IVS seleccionado al IVS nuevo.
8. En Administrator, cree un nombre de usuario y una contrasea para el

administrador de IVS.
NOTA: El nombre de usuario y la contrasea del administrador de IVS estn

disponibles en el perfil de IVS la primera vez que crea el IVS. Si posteriormente
edita el IVS, estos campos no estarn disponibles por motivos de seguridad.
No obstante, si necesita obtener acceso al nombre de usuario y contrasea del
administrador de IVS, puede hacerlo a travs de la pgina de configuracin del
IVS, yendo al servidor de autenticacin de los administradores.
9. En User Allocation, puede establecer un lmite para el nmero de los usuarios

simultneos en el IVS. Especifique los valores de lmite para estas opciones:
Minimum Guaranteed Users: Puede especificar cualquier nmero de

usuarios entre cero (0) y el nmero mximo de usuarios simultneos
definido por la licencia de usuarios del IVE.
Burstable Maximum Users (opcional): Puede especificar cualquier nmero

de usuarios simultneos desde el nmero mnimo que especifique hasta el
nmero mximo de usuarios con licencia. Si se deja en blanco, el valor
Minimum Guaranteed Users establece el lmite para el nmero de
usuarios simultneos en el IVS.
NOTA: Si posteriormente reduce el ajuste del Burstable Maximum Users, tambin

debe editar los lmites de territorio. Los lmites de territorio no se actualizan de
manera automtica cuando cambia los ajustes de Burstable Maximum Users.
938
10. En Properties, especifique las propiedades del inicio de sesin, ajustes de

puerto y VLAN para el IVS.
a.
Seleccione una VLAN en la lista Available y haga clic en Add -> para
mover el nombre de la VLAN a la lista Selected VLANs. Puede agregar
varias VLAN a un IVS. Puede seleccionar el puerto interno como una VLAN
incluso si agreg otras VLAN a la lista Selected VLANs. A diferencia de otras
interfaces de VLAN, puede agregar el puerto interno a varios perfiles de
IVS. Si no defini una VLAN, debe seleccionar la interfaz interna.
b.
Para especificar la VLAN predeterminada para el IVS, seleccione el nombre

de la VLAN en la lista Selected VLANs y haga clic en Set Default VLAN.
El IVS marca el nombre de la VLAN con un asterisco (*). El IVE virtualizado
utiliza la VLAN predeterminada para proporcionar acceso de servidor de
autenticacin. El IVE consulta la tabla de rutas de la VLAN predeterminada
para consultar la ruta a los servidores de autenticacin de un IVS
determinado.
Debe especificar una VLAN predeterminada para cada IVS. El significado
de la VLAN predeterminada para un IVS dado es que cuando un usuario
final intenta iniciar sesin en un territorio en particular dentro de ese IVS,
ste enva el trfico al servidor de autenticacin para ese territorio sobre
la interfaz de la VLAN predeterminada.
NOTA: Debe especificar el puerto interno como la VLAN predeterminada para el

IVS raz.
c.
Si desea definir un prefijo de direccin URL de inicio de sesin en el que

los usuarios finales pueden iniciar sesin, en lugar de un puerto virtual,
agregue el prefijo al campo Sign-in URL Prefix. El prefijo es el equivalente
al primer nodo de la direccin URL, por ejemplo, companyA en la siguiente
direccin URL.
http://www.mycompany.com/companyA
Para obtener ms informacin acerca del uso de prefijos, consulte Inicio

de sesin usando el prefijo de direccin URL de inicio de sesin en la
pgina 920.
d. Si defini puertos virtuales para la interfaz interna o la interfaz externa,
puede seleccionarlos en las listas Available y hacer clic en Add -> para
moverlos a las listas Selected Virtual Ports de sus interfaces respectivas.
Para obtener ms informacin acerca de los puertos virtuales, consulte
e.
Introduzca la direccin o el rango de direcciones IP disponibles para los

clientes de Network Connect (usuarios finales). Si intenta configurar un
servidor DNS en el IVS, para un servidor situado en la intranet suscriptora,
aqu debe agregar los valores del conjunto de direcciones IP de Network
Connect disponibles. Para obtener ms informacin, consulte
Especificacin de filtros IP en la pgina 690.
939

Para obtener ms informacin sobre la manera de iniciar sesin en el IVS como
administrador de IVS, consulte Inicio de sesin en el IVS directamente como
administrador de IVS en la pgina 941.
Configuracin inicial de IVS mediante una copia del sistema raz o de otro IVS
Cuando crea un perfil de IVS nuevo, tiene la opcin de copiar la configuracin de
un sistema raz o un IVS existente para inicializar el IVS nuevo. El IVS resultante
combina la informacin que especifica en el perfil de IVS nuevo junto con la
configuracin copiada del sistema raz o del IVS existente. Los ajustes del perfil
de IVS sobrescriben los ajustes copiados.
Tenga en cuenta que la copia es una operacin nica, y no existe una relacin
continuada entre el origen de la copia y el destino de sta. Los cambios posteriores
de la configuracin del origen de la copia no se reflejan en el destino de la copia,
ni viceversa.
Advertencias
Despus de realizar una copia de la configuracin de un IVS, es necesario realizar
una reconfiguracin manual en el destino.
Los ajustes de DNS siempre se dejan en blanco, independientemente de si se

copi o no la configuracin desde otro IVS.
Cuando copie de un IVS existente, debe comprobar todas las referencias

a VLAN y puertos virtuales. Por ejemplo, es posible que necesite actualizar
la asociacin de roles a interfaces de VLAN o puertos virtuales.
Cuando copia desde un IVS existente, debe comprobar todos los perfiles
de conexin NC y reconfigurarlos, segn sea necesario, para satisfacer los
requisitos del rango de IP de NC en el perfil de IVS.
Cuando copia de un sistema raz, debe configurar manualmente las

asignaciones de los roles de administrador y el rol de territorio de
administrador. Estos ajustes no se copian del sistema raz.
Segn las restricciones de la licencia del nuevo IVS, es posible restablecer

algunos lmites de territorio de usuario y administrador. Compruebe los
territorios de usuario y administrador y configrelos segn sea necesario.
La operacin de copia puede producir que se llene el IVS de destino con ajustes
que no sean adecuados. Cuando se configura un IVS copiando la configuracin
del sistema raz o de otro IVS, se copia toda la configuracin del origen al destino,
incluidas las ACL, directivas de recursos, perfiles de recursos, archivos PAC y ms,
que frecuentemente hacen referencia a los servidores de backend especficos por
nombre, direccin URL o direccin IP. En el caso comn, estos recursos suelen ser
especficos de la intranet de la empresa o departamento (es decir, privados para un
IVS en particular) y no se deben exponer a los usuarios finales de otros IVS.
Es responsabilidad del administrador raz revisar manualmente toda la
configuracin del IVS de destino y eliminar las referencias a cualquier recurso
de la red backend y direcciones IP que no se aplican al IVS de destino.
940
Casos de uso para la configuracin inicial de IVS mediante una copia
Un IVS se crea a partir de un IVS de plantilla

Ejemplo de este caso de uso es el aprovisionamiento de sistemas virtuales.
Es posible que un proveedor de servicios desee proporcionar tres categoras
de suscriptores: Gold, Silver y Bronze. El administrador crea tres IVS (llamados
Gold, Silver y Bronze) y configura de manera manual los servidores de
autenticacin, los roles, las directivas de recursos, etc. adecuados a la categora
del suscriptor. Estos IVS no se utilizan realmente en la produccin, sino como
ejemplos de plantillas de configuracin que se pueden aplicar a IVS de
suscriptores reales. Cuando se proporciona un nuevo IVS de suscriptor,
el administrador clona la plantilla copiando la configuracin inicial para
el nuevo IVS desde los IVS plantilla Gold, Silver o Bronze.
Es responsabilidad del administrador raz manipular cuidadosamente los IVS
de plantilla para que slo contengan los ajustes que se deben compartir entre
IVS mltiples, como los servidores de autenticacin centralizados, directivas de
Host Checker, etc. Los IVS de plantilla no deben contener referencias a recursos
privados que no se deben exponer ni estar al alcance de los IVS de suscriptores
reales.
Una implementacin de IVE se convierte en una implementacin de IVS.

Este caso de uso es para copiar la configuracin desde el sistema raz. Cuando
una implementacin de un IVE independiente existente se convierte en una
implementacin de un IVS aplicando una licencia IVS y creando IVS mltiples,
los nuevos IVS pueden configurarse copiando la configuracin del sistema raz
o de otros IVS, siguiendo luego los pasos mencionados en las advertencias
anteriores.
Inicio de sesin en el IVS directamente como administrador de IVS

Iniciar sesin en el IVS directamente como administrador de IVS es diferente
de elegir el IVS desde el men desplegable del sistema virtual en la consola web
de interfaz del administrador. Si en su funcin de administrador raz desea iniciar
sesin de la misma manera en que todos los administradores de IVS deben iniciar
sesin en el IVS, realice los siguientes pasos:
1. Cierre la sesin del IVE raz.
2. Introduzca la direccin URL de inicio de sesin en la barra de direcciones de
un navegador vlido, usando el nombre de host o la direccin IP. Por ejemplo:
https://www.company.com/admin
o bien
https://10.9.0.1/admin
Inicio de sesin en el IVS directamente como administrador de IVS
941
Este ejemplo supone que asign la direccin IP 10.9.0.1 como un puerto virtual
para el inicio de sesin. El formato depende de si defini o no una entrada
de DNS para el nombre de host de inicio de sesin. Cuando inicie sesin,
el administrador puede introducir el nombre de host o la direccin IP que
defini como el puerto virtual para el inicio de sesin. Si el administrador
inicia sesin desde el interior de la red, debe utilizar la direccin IP que
configur para iniciar sesin sobre el puerto interno. Si el administrador inicia
sesin desde el exterior de la red, debe utiliza la direccin IP que configur para
iniciar sesin sobre el puerto externo.
3. Presione Enter.
4. Introduzca el nombre de usuario del administrador de IVS.
5. Introduzca la contrasea de IVS.
6. Haga clic en el botn Sign in.
Suponiendo que las credenciales sean vlidas, aparece la pgina System Status
para el IVS.
Cuando el administrador raz o el administrador de IVS salga del IVS, el dispositivo
interrumpe la conexin inmediatamente.
Configuracin de alias de IP de origen basados en roles

Si la empresa suscriptora emplea cortafuegos/dispositivos de evaluacin de
directivas en su red con el fin de separar el trfico en funcin de la direccin IP
de origen cuando se entra a la intranet desde el IVS, usted, como administrador
raz, debe configurar el IVS para que genere trfico con direcciones IP de origen
distintas. La caracterstica de alias de IP de origen basados en roles, tambin
conocida como origen de VIP, proporciona la capacidad de asignar funciones de
usuario final a las VLAN y direcciones IP de origen especficas (la direccin IP de
cualquiera de los puertos virtuales alojados en la interfaz de VLAN). Todo el trfico
que genera el IVS sobre el back-end a nombre de usuario final conlleva la direccin
IP de origen configurada para el rol del usuario final.
Por ejemplo, suponga que el trfico a una intranet suscriptora en particular necesita
diferenciarse segn su origen para clientes, socios o empleados. Existen dos
maneras de conseguir esto:
Proporcionar tres VLAN diferentes para el suscriptor, crear tres roles

correspondientes a los clientes, socios y empleados y asignar cada rol
a una VLAN distinta.
Proporcionar una VLAN nica para el suscriptor, configurar tres puertos

virtuales con direcciones IP nicas y asignar roles de clientes, socios
y empleados a la misma VLAN, pero a distintas direcciones IP de origen.
942
Asociacin de roles con VLAN y la direccin IP de origen en la pgina 943
Configuracin de puertos virtuales para una VLAN en la pgina 943
Configuracin de alias de IP de origen basados en roles
Asociacin de roles con VLAN y la direccin IP de origen

Puede utilizar alias de IP de origen basados en roles haya definido o no una VLAN.
En el caso de una configuracin sin VLAN, defina un puerto virtual y luego asigne
ese puerto a la IP de origen de un rol. Para obtener ms informacin, consulte
Cuando utiliza una VLAN, puede establecer la direccin IP de origen de un rol en
la direccin IP del puerto de VLAN o en un alias de IP configurado en un puerto
de VLAN.
Configuracin de puertos virtuales para una VLAN

Para configurar puertos virtuales para una VLAN, realice los siguientes pasos:
3. Haga clic en el nombre de la VLAN a la que desea agregar puertos virtuales.
4. Seleccione la ficha Virtual Ports.
6. Introduzca un nombre para el nuevo puerto virtual.
7. Introduzca una direccin IP vlida.
Si define el puerto para que proporcione capacidades de separacin de
subredes y trfico al suscriptor, necesita obtener la direccin IP desde el
suscriptor. Defina el puerto virtual con la direccin IP que valida el dispositivo
de evaluacin de directivas del suscriptor a fin de separar el trfico a diferentes
ubicaciones en la intranet suscriptora. Puede especificar la IP del puerto virtual
o cualquier IP de una VLAN definida en el IVS.
El IVE virtualizado reinicia varios servicios en el dispositivo.
El administrador de IVS podr crear usuarios y asignarlos a roles asociados con las
direcciones IP de origen que se definieron.
Asociacin de roles con direcciones IP de origen en un IVS

Suponiendo que el administrador raz ya configur una VLAN, los puertos virtuales
para la VLAN y el IVS, el administrador de IVS puede asociar roles con los puertos
virtuales de la siguiente manera:
1. Inicie sesin en el IVS como administrador de IVS.
2. Seleccione Users > User Roles.
3. Haga clic en New Role.
Configuracin de alias de IP de origen basados en roles 943
4. Asigne un nombre al rol.

5. Seleccione la casilla de verificacin Source IP.
6. Seleccione cualquier otra opcin y las funciones a las que desea pueda acceder
un usuario con este rol (opcional).
La pgina se actualiza y ahora aparece un conjunto de fichas.
8. Seleccione la ficha VLAN/Source IP.
9. Seleccione la VLAN, si el administrador raz defini ms de una VLAN para
este IVS.
10. Seleccione la IP de origen en el men desplegable Select Source IP.
12. Repita el proceso para cada rol nuevo.
Cuando crea nuevos usuarios, el administrador de IVS puede asignar cada usuario
a uno de los roles, lo que determina la direccin IP de origen a la que cada usuario
puede obtener acceso.
Configuracin de reglas de enrutamiento de directivas en el IVS

El IVE virtualizado utiliza una estructura de enrutamiento de directivas que depende
de reglas, tablas de rutas y entradas de rutas configuradas en el sistema.
Cuando crea una VLAN, el sistema proporciona una nueva tabla de rutas para esa
VLAN. Existen tablas de rutas de VLAN adems de la tabla de rutas principal para
el IVE. Solamente el administrador raz puede administrar las tablas de rutas de
VLAN. Los administradores de IVS no pueden ver ni obtener acceso a las tablas
de rutas.
Cada tabla de rutas de VLAN contiene las siguientes entradas de rutas:
Entradas de rutas creadas automticamente
Entradas de rutas creadas manualmente
Entradas de rutas creadas automticamente
944
Default route 0.0.0.0. Apunta a la puerta de enlace predeterminada

configurada para la interfaz de VLAN. El IVE crea esta ruta de manera interna
cuando crea la interfaz de VLAN. Los usuarios finales pueden alcanzar la
mayora de los recursos de su empresa a travs de la ruta predeterminada.
Interface route. Ruta de red correspondiente a la direccin IP de la interfaz

de VLAN.
Entradas de rutas creadas manualmente
Rutas estticas a servidores dentro de la misma VLAN a las que se puede

obtener acceso a travs de enrutadores distintos a la puerta de enlace
predeterminada.
Rutas estticas a direcciones IP de servidor en otros puertos de VLAN dentro de

la misma intranet de la empresa suscriptora o en puertos de VLAN dentro de la
red de MSP. Por ejemplo, puede definir rutas estticas en una tabla de rutas de
VLAN a servidores DNS o de autenticacin en la intranet de una empresa
suscriptora o en la red de MSP.
Rutas estticas a direcciones IP de servidor a las que se puede obtener acceso

a travs de la interfaz interna. Se requieren normalmente si la red de MSP est
conectada a la interfaz interna.
Reglas de enrutamiento en la pgina 945
Superposicin de espacios de direccin IP en la pgina 946
Definicin de directivas de recursos en la pgina 946
Reglas de enrutamiento
Se incorporaron varias reglas en el sistema para habilitar el enrutamiento correcto
del trfico a las intranets suscriptoras adecuadas. Por ejemplo, existen reglas para
asignar:
La direccin del grupo de IP de Network Connect para cada sesin de usuario

final de Network Connect a una tabla de rutas de VLAN correspondiente.
Para crear esta regla, el sistema determina el rol de un usuario final cuando el
usuario establece una sesin de Network Connect. Entonces el sistema puede
buscar el rol para la VLAN asociada.
Una direccin IP de origen configurada a una tabla de rutas de VLAN

correspondiente.
El sistema crea esta regla cada vez que se configura un puerto virtual o un alias
de IP de origen en un puerto de VLAN.
NOTA:
No existen reglas explcitas que controlen el flujo del trfico entre las redes
del MSP o del suscriptor y los usuarios finales. El trfico que llega al IVE sobre
el backend tiene definida una direccin IP de destino en la direccin IP
configurada de una de las interfaces de red, ya sea la interfaz externa,
la interfaz de VLAN o una interfaz del tnel de Network Connect.
Una aplicacin del IVE maneja automticamente el procesamiento.
No puede obtener acceso a la tabla de reglas. Esta seccin incluye una

descripcin de la tabla de reglas y de la manera de crear las reglas,
a fin de ayudarle a comprender el funcionamiento del sistema.
945
Para obtener detalles acerca del acceso al servidor de autenticacin, consulte

Reglas que rigen el acceso a los servidores de autenticacin en la pgina 956.
Para ver un ejemplo de la manera en que se puede aplicar el enrutamiento de
directivas, consulte Caso de uso de la resolucin de las reglas del enrutamiento de
directivas para IVS en la pgina 964.
Superposicin de espacios de direccin IP

El IVE virtualizado admite la superposicin de direcciones IP en las intranets
suscriptoras y la superposicin de direcciones IP de origen para Network Connect.
En este momento, el IVE virtualizado no admite interfaces de VLAN mltiples con
direcciones IP idnticas.
El IVE admite la superposicin de direcciones IP entre las redes de los clientes que
estn conectadas a las VLAN en diferentes sistemas IVS, porque los sistemas IVS no
comparten las tablas de rutas.
Suponga que la empresa 1 y la empresa 2 tienen redes internas que utilizan las
direcciones IP 10.64.0.0/16. Como estas direcciones son idnticas para la red
de cada empresa, y como cada empresa tiene un IVS completamente separado,
identificado por un ID de la VLAN nico, el MSP puede admitirlas, incluso si,
tcnicamente, se superponen.
Definicin de directivas de recursos

Tanto el administrador raz como el administrador de IVS pueden crear directivas
para los usuarios finales. Para obtener ms informacin sobre las directivas de
recursos, consulte Componentes de las directivas de recursos en la pgina 103.
Tambin puede personalizar las directivas que sern visibles a los administradores
de IVS. Sin embargo, debe personalizar cada IVS de manera independiente.
Adems, si se encuentra en el contexto de IVS raz y personaliza la consola de
administracin, slo personaliza la apariencia de la consola para usted u otros
administradores que pueden ver la consola de IVS raz. Para personalizar cualquier
consola de administracin de IVS, se debe encontrar en el contexto del IVS.
Para obtener ms informacin, consulte Informacin general de los elementos
personalizables de la consola de administracin en la pgina 996.
Creacin de clsteres en un IVE virtualizado

Puede crear clsteres para todo el IVE, incluidos todos los sistemas IVS. No puede
crear clsteres para un sistema IVS individual. Las reglas y condiciones de clsteres
de una red de IVE estndar tambin se pueden aplicar a clsteres a una red de IVS,
con las siguientes excepciones:
946
Rplicas de puertos virtuales: Cualquier puerto virtual que defina en el nodo

activo se replica al nodo pasivo. El nombre y direccin del puerto final es el
mismo en los nodos activo y pasivo.
IP de origen del puerto virtual: Dado un usuario final que se asigna a un rol
en particular, y una conexin backend desde cualquier nodo a nombre de ese
usuario final, la IP de origen de la conexin backend es la misma que la IP
de origen del puerto virtual configurado para el rol del usuario final.
Rplicas de puertos de VLAN: Cuando crea o elimina un puerto de VLAN en un

nodo de clster activo, el sistema IVE agrega o elimina de manera automtica
el puerto de VLAN en el nodo pasivo.
Definicin de la VLAN: Para cada puerto de VLAN dado, la ranura,

el nombre lgico, el ID de la VLAN, la mscara de red y la puerta de
enlace predeterminada son los mismos en todos los nodos del clster.
Direccin IP del puerto de VLAN: La direccin IP de cada puerto de VLAN

es especfica del nodo. Los puertos de VLAN correspondientes en un clster
activo/pasivo estn configurados en la misma red de IP. Slo puede configurar
una combinacin de mscara de red/direccin IP para un puerto de VLAN en el
nodo inactivo si la red resultante corresponde al puerto de VLAN en el nodo del
clster activo. Las direcciones IP de las VLAN deben ser nicas. No puede
configurar una VLAN para que tenga la misma red que el puerto interno.
Por ejemplo, si el puerto interno es 10.64.4.30/16 y configura una VLAN como
10.64.3.30/16, pueden producirse errores y comportamientos inesperados.
Enrutamiento de directivas: Puede configurar los ajustes de rutas por nodo

y por interfaz, ya sea fsica o de VLAN; pero cuando se editan, estos ajustes
de rutas se sincronizan en todo el clster.
Perfiles de IVS: Los perfiles de IVS se replican, y no se particionan, en todos los

nodos del clster.
Network Connect: Si implementa el IVE virtualizado como un clster

activo/pasivo, se propaga el perfil de conexin de Network Connect que
configur el administrador raz o el administrador de IVS dentro de cada IVS
al nodo inactivo.
Network Connect en clster activo/activo: En un clster activo/activo,

el conjunto de direcciones IP de Network Connect para cada IVS se divide
en nodos de clster individuales a travs de los ajustes a nivel de roles.
Alias de IP de origen basados en roles: Asociar un rol a un nombre de puerto

virtual abarca todo el clster, pero la asociacin de un nombre de puerto virtual
a una direccin IP es especfica para el nodo. De esta forma, diferentes nodos
de clster pueden emitir trfico de IP de backend desde diferentes direcciones
IP de origen, incluso si los usuarios finales respectivos se asignan al mismo rol.
Comportamiento de conmutacin por error: En caso de una conmutacin por

error, no desaparece la interfaz de VLAN. Los nodos activos y pasivos deben
contener la interfaz de VLAN.
NOTA: Cuando utiliza Network Connect, siempre debe definir puertos virtuales
para cada puerto de VLAN que cree. Si defini un conjunto de direcciones IP de
Network Connect y se est ejecutando en el modo de clster activo/pasivo, debe
configurar los enrutadores para que dirijan el trfico a uno de los puertos virtuales
de la VLAN como la puerta de enlace de salto siguiente. De lo contrario, es posible
que las sesiones de Network Connect no se recuperen correctamente de una
conmutacin por error.
Para obtener ms informacin sobre los clsteres, consulte Creacin de clsteres

en la pgina 869.
947
Configuracin del DNS para el IVS

Acceso a un servidor de DNS en la red del MSP en la pgina 948
Acceso a un servidor de DNS en la intranet de una empresa suscriptora en la

pgina 948
Acceso a un servidor de DNS en la red del MSP

En el sistema raz, puede configurar el acceso para que cualquier trfico destinado a
los recursos de la red del MSP pase a travs del servidor de DNS en la red del MSP.
Para acceder a un servidor de DNS en la red del MSP:
1. En la consola de administracin, elija System > Network > Overview.
2. En la resolucin de nombre del DNS, proporcione la direccin de DNS principal,
la direccin de DNS secundaria y los dominios del DNS.
Cuando agrega las direcciones del DNS, cada una se agrega al archivo
resolv.conf en el IVE, en un directorio de servidor de nombre.
3. Si utiliza WINS, proporcione la direccin del servidor WINS.
5. Siga las instrucciones que aparecen en Configuracin del perfil de conexin de
Puede proporcionar los servicios de DNS a usuarios que no sean de Network
Connect especificando un servidor DNS/WINS global en la red del MSP. El servidor
DNS/WINS global aloja DNS para todas las empresas suscriptoras involucradas.
Como alternativa, puede configurar un archivo HOSTS en el IVE con entradas de
DNS para todas las empresas suscriptoras involucradas.
Cuando configura un servidor DNS/WINS global de esta manera, proporciona
servicios de DNS a cualquier entidad solicitante, incluidos los usuarios de Network
Connect de las empresas suscriptoras involucradas que no tienen servidores de
DNS en sus intranets.
Acceso a un servidor de DNS en la intranet de una empresa suscriptora

En cada sistema IVS, puede configurar el acceso para que cualquier trfico
destinado a los recursos en la red del suscriptor de IVS pase a travs del servidor
de DNS en la red interna de la empresa.
948
Acceso a un servidor de DNS en una intranet suscriptora

Para acceder a un servidor de DNS en una intranet suscriptora:
1. Si no agreg un conjunto de direcciones IP de Network Connect vlido al perfil
de IVS cuando cre el sistema virtual, modifique el perfil de IVS para incluir las
direcciones IP de Network Connect. Para obtener ms informacin, consulte
Aprovisionamiento de un IVS en la pgina 927.
2. En la consola de administracin, seleccione el nombre del IVS suscriptor en el
men desplegable de la barra de encabezado de la consola.
3. Haga clic en Go.
4. En la pgina de la consola de administracin del IVS suscriptor, seleccione
System > Network > Overview.
5. En la resolucin de nombre del DNS, proporcione la direccin de DNS principal,
la direccin de DNS secundaria y los dominios del DNS.
6. Si utiliza WINS, proporcione la direccin del servidor WINS.
8. Configure los perfiles de conexin de Network Connect, tal como se describe
en Configuracin del perfil de conexin de Network Connect en la
pgina 950.
NOTA: Debe realizar esta tarea para cada IVS.
Configuracin de los perfiles de conexin de Network Connect

Para configurar los perfiles de conexin de Network Connect:
1. Seleccione Users > Resource Policies > Network Connect > Network
Connect Connection Profiles.
3. Proporcione un nombre para el valor de Connection Profile.
4. En el campo IP Address Pool, introduzca el rango de las direcciones IP
disponibles para el uso de los usuarios de Network Connect.
5. Seleccione cualquier otro ajuste de conexin, o utilice los valores
predeterminados.
6. Elija un rol al cual aplicar los ajustes, si es necesario. De forma predeterminada,
si no elige un rol, la directiva se aplica a todos los roles.
8. Haga clic en la ficha DNS.
949
9. Seleccione la casilla de verificacin Use Custom Settings.

10. Agregue las direcciones IP del DNS principal, del DNS secundario (opcional),
del nombre de dominio del DNS y del servidor WINS.
11. Seleccione el orden de la bsqueda del DNS. Si introduce ajustes
personalizados para el IVS, el sistema raz busca de forma predeterminada
primero el servidor DNS suscriptor, luego el servidor DNS del MSP.
Configuracin de Network Connect para uso en un IVE virtualizado

Como administrador raz, debe trabajar en conjunto con el administrador de IVS
para configurar Network Connect a fin de que los usuarios finales puedan enviar
y recibir el trfico desde la intranet suscriptora.
NOTA: Si desea utilizar Network Connect en el IVS de una empresa suscriptora
(en lugar de hacerlo slo desde el Network Connect que se ejecuta en la red del
MSP), debe configurar un servidor DNS en el IVS.
Para que los clientes puedan establecer sesiones de Network Connect a un IVS,
es necesario establecer ajustes de DNS para el IVS. De lo contrario, la sesin de
Network Connect no se inicializa correctamente y aparece un mensaje de error.
Configuracin del perfil de conexin de Network Connect

Configure el perfil de conexin de Network Connect utilizando las direcciones IP
desde el rango especificado en el conjunto de IP de Network Connect en el perfil
de IVS.
1. Seleccione Users > Resource Policies > Network Connect > Network
Connect Connection Profiles.
3. Introduzca las direcciones IP en el cuadro de texto IP Address Pool, una
direccin por lnea. El texto de ayuda de la consola de administracin muestra
ejemplos de los rangos vlidos.
4. Cambie los ajustes de transporte, encriptacin y comprensin de los valores
predeterminados, si fuese necesario.
5. Agregue el rol adecuado de la lista Available roles a la lista Selected roles.
6. Haga clic en Save changes.
950
Configuracin de Network Connect en enrutadores backend

Tanto el administrador raz como el administrador de IVS deben configurar rutas
estticas en el backend para asegurarse de que se pueden alcanzar todos los
usuarios finales de Network Connect desde la intranet suscriptora y, si fuese
necesario, desde la red del MSP.
Si desea que los usuarios de Network Connect puedan obtener acceso al servidor
DNS de la red del MSP, configure una ruta esttica en la tabla de rutas de cada
servidor de aplicaciones o de cada servidor DNS a la direccin del conjunto de IP de
Network Connect del usuario final. Establezca la puerta de enlace de salto siguiente
en la direccin IP de la interfaz interna del sistema raz. La Figura 60 ilustra esta
operacin.
Figura 60: Definicin de una ruta esttica en servidores de aplicaciones o servidores
DNS de la red del MSP
1. Los usuarios finales inician sesin a travs de una conexin a Internet, con una
direccin IP del conjunto de direcciones IP de Network Connect, para alcanzar
el servidor DNS en la red del MSP.
2. El administrador raz especifica una ruta esttica en la tabla de rutas del
servidor DNS para que apunte a una direccin IP del conjunto de direcciones
IP de Network Connect. La empresa suscriptora debe definir el conjunto de
direcciones IP de Network Connect en su intranet.
3. El servidor DNS reside en la red del MSP y sirve a todos los usuarios finales
de todas las empresas suscriptoras.
4. La tabla de rutas del servidor DNS contiene una ruta esttica en el conjunto
de direcciones IP de Network Connect y la direccin IP de la puerta de enlace
de salto siguiente.
5. La interfaz interna del dispositivo IVE es la direccin de la puerta de enlace
de salto siguiente del servidor DNS.
6. Los enrutadores CPE de los suscriptores realizan el enrutamiento adecuado
del trfico a las intranets de las empresas suscriptoras.
951
7. Cada empresa suscriptora que intenta que sus usuarios pasen a travs de los
servidores de aplicaciones o servidores DNS del MSP debe definir un conjunto
de direcciones IP de Network Connect correspondiente.
Como aparece en la Figura 61, el administrador de IVS puede configurar el
enrutador CPE del suscriptor con una ruta esttica a la direccin IP del usuario final,
teniendo la puerta de enlace de salto siguiente establecida en la direccin IP del
enrutador CE correspondiente en la red del MSP.
NOTA: De manera alternativa, el suscriptor puede configurar una ruta
predeterminada en el enrutador CPE para apuntar al enrutador CE del MSP como
la puerta de enlace de salto siguiente. En este caso, no necesita agregar rutas
estticas individuales a las direcciones del conjunto de IP de Network Connect.
Figura 61: Ajuste de una ruta esttica en una direccin IP de usuario final de Network
Connect en el enrutador CPE
1. Los usuarios finales inician sesin a travs de una conexin a Internet con una
direccin IP acordada por el MSP y la empresa suscriptora.
2. Especifique una ruta esttica en la tabla de rutas del enrutador CPE de la
empresa suscriptora para que apunte a las direcciones IP de inicio de sesin del
usuario final.
3. Tambin debe especificar la puerta de enlace de salto siguiente en la tabla de
rutas del enrutador CPE.
4. Utilice la direccin IP del enrutador CE del MSP como la IP de salto siguiente
en la tabla de rutas del enrutador CPE.
5. El enrutador CPE reside en la intranet de la empresa suscriptora. Con esta
configuracin, cada empresa suscriptora debe especificar la ruta esttica a su
propia direccin de inicio de sesin del usuario final y debe especificar la IP del
enrutador CE del MSP como la puerta de enlace de salto siguiente en la tabla de
rutas de CPE.
952
6. Una vez que el punto terminal de la VLAN del MSP (en este ejemplo, un
enrutador CE) determina la intranet suscriptora prevista, el punto terminal
dirige el trfico al enrutador CPE adecuado, que enva el trfico al recurso
correspondiente en la intranet suscriptora.
Como aparece en la Figura 62, puede configurar una ruta esttica en el enrutador
CE para que apunte a la direccin IP del usuario final, teniendo la puerta de enlace
de salto siguiente establecida en la direccin IP del puerto de VLAN del suscriptor.
NOTA:
De manera alternativa, puede configurar una ruta predeterminada en el

enrutador CE, teniendo la puerta de enlace de salto siguiente establecida en
la direccin IP del puerto de VLAN del suscriptor. En este caso, no necesita
agregar rutas estticas individuales a las direcciones del conjunto de IP de
Network Connect.
Tambin puede asignar una red completa a un conjunto de direcciones IP

de Network Connect.
Figura 62: Ajuste de una ruta esttica en una direccin IP de usuario final de Network
Connect en el enrutador CE
1. Los usuarios finales inician sesin a travs de una conexin a Internet con una
direccin IP acordada por el MSP y la empresa suscriptora.
2. Especifique una ruta esttica en la tabla de rutas del punto terminal de la VLAN
del MSP (en este ejemplo, un enrutador CE) para que apunte a las direcciones
IP de inicio de sesin del usuario final para cada empresa suscriptora.
3. Tambin debe especificar la puerta de enlace de salto siguiente en la tabla
de rutas del enrutador CE.
4. En la tabla de rutas de CE, especifique todas las direcciones IP de inicio de
sesin del usuario final como rutas estticas, y todas las direcciones IP del
puerto de VLAN correspondientes como se definen en el IVE virtualizado.
953
5. Defina al menos un ID de VLAN nico para cada empresa suscriptora. Utilice

las direcciones IP de cada VLAN como las direcciones de la puerta de enlace de
salto siguiente en la tabla de rutas del enrutador CE.
6. Los enrutadores CPE de los suscriptores realizan el enrutamiento adecuado del
trfico a las intranets de las empresas suscriptoras.
7. Cada empresa suscriptora debe proporcionar pginas de inicio de sesin para
las direcciones IP definidas como rutas estticas para el inicio de sesin de
cada usuario final.
Una vez que el punto terminal de la VLAN del MSP (en este ejemplo, un enrutador
CE) determina la intranet suscriptora prevista, el punto terminal dirige el trfico al
enrutador CPE adecuado, que enva el trfico al recurso adecuado en la intranet
suscriptora.
Configuracin de un servidor DHCP centralizado

Puede configurar uno o ms servidores DHCP centralizados si desea proporcionar
a los usuarios de IVS de Network Connect direcciones IP dinmicas, sin que sea
necesario que cada suscriptor admita un servidor DHCP especfico para el IVS.
El servidor DHCP mantiene conjuntos de direcciones IP por separado para cada
IVS, utilizando la propiedad IVS name que se define en el perfil de IVS, para
identificar nicamente los conjuntos especficos del IVS.
Una vez que reciba una peticin de un IVS, el servidor DHCP selecciona una
direccin IP segn el nombre del IVS y la direccin IP del nodo desde donde se
origina la peticin, que se entrega en el campo giaddr de la peticin. Con esta
combinacin de puntos de datos, el servidor DHCP selecciona una direccin IP
disponible en el conjunto adecuado y devuelve la direccin en la oferta de DHCP.
Para configurar que el sistema admita un servidor DHCP centralizado
1. Configure la entrada del servidor DHCP en el perfil de conexin de Network
Connect, para cada rol de Network Connect que adquirir direcciones IP
a travs de DHCP.
954
NOTA: Las siguientes notas se aplican al uso de un servidor DHCP centralizado

en la configuracin de un IVS:
Puede configurar la misma direccin IP del servidor DHCP para los roles
de Network Connect en varios sistemas IVS.
Dentro de un rol de Network Connect, si configura un conjunto de IP NC

y un servidor DHCP para el mismo rol, tiene prioridad el servidor DHCP.
La asignacin de direcciones IP de DHCP puede coexistir con la asignacin

de direcciones IP a travs de los conjuntos de IP de NC dentro de un IVS.
Puede emplear varios servidores mltiples en la red del proveedor de

servicios, con grupos distintos de sistemas IVS que apunten a distintos
servidores centrales.
2. Configure el servidor DHCP configurando en l clases y subclases para hacer la

distincin entre las peticiones de diferentes sistemas IVS y para proporcionar
direcciones IP desde conjuntos de direcciones IP especficos para el IVS.
Para configurar la entrada del servidor DHCP en el perfil de conexin de Network
Connect
1. En el contexto raz, seleccione Users > Resource Policies > Network
Connect.
2. Haga clic en la ficha NC Connection Profiles.
4. Introduzca un nombre para el perfil.
5. En IP address assignment, seleccione el botn de opcin DHCP Server.
6. Introduzca el nombre del servidor DHCP o la direccin IP.
7. En Roles, seleccione los roles aplicables en la lista Available roles y haga clic
en Add para moverlas a la lista Selected roles.
9. Repita el procedimiento para cada IVS que debe utilizar el servidor DHCP,
asegurndose de introducir el mismo nombre del servidor DHCP o la misma
direccin IP que introdujo para el sistema raz.
955
Configuracin de servidores de autenticacin

Puede configurar servidores de autenticacin, como RADIUS y Active Directory,
en la red del MSP y en las intranets de la empresa suscriptora. El servidor de
autenticacin autentica de manera diferente el trfico entrante, dependiendo de si
el trfico se autentica cuando entra a la red del MSP o cuando alcanza la intranet del
cliente.
NOTA: Si conecta un servidor de autenticacin al puerto interno, debe establecer
la VLAN predeterminada como el puerto interno cuando configura el IVS.

Los siguientes servidores de autenticacin se admiten en un IVS suscriptor:
Autenticacin local
Servidor LDAP
Servidor RADIUS
Active Directory/Windows NT
Servidor annimo
Servidor de certificados
Los siguientes servidores de autenticacin se admiten en el sistema raz:
Autenticacin local
Servidor LDAP
Servidor NIS
Servidor ACE
Servidor RADIUS
Active Directory/Windows NT
Servidor annimo
Servidor SiteMinder
Servidor de certificados
Reglas que rigen el acceso a los servidores de autenticacin

Las siguientes reglas se aplican al acceso de los servidores de autenticacin de la
red del MSP o en la red de la empresa suscriptora. Cada perfil de IVS debe incluir
ajustes para:
956
La VLAN predeterminada, que tambin puede ser el puerto interno si se

proporcion como la VLAN predeterminada.
La IP de la interfaz de VLAN predeterminada es la direccin IP de origen que

se utiliza para ponerse en contacto con el servidor de autenticacin.
Las rutas estticas de la VLAN que apuntan a los servidores de autenticacin

adecuados, que pueden residir en la red del MSP (con un ID de la VLAN
asignado o sin etiqueta en el puerto interno) o en la red de la empresa
suscriptora.
Configuracin de la autenticacin en un servidor RADIUS

Debe configurar el servidor RADIUS en cada IVS. Si tambin tiene un servidor
RADIUS en la red del MSP, todos los servidores RADIUS del IVS pueden apuntar
a la misma direccin IP del RADIUS del MSP.
Para configurar el servidor RADIUS:
1. Seleccione el contexto:
Si est en un contexto de IVS y desea definir un servidor RADIUS en la red

del MSP, seleccione Root en el men desplegable del contexto en la barra
de encabezado de la consola de administracin y haga clic en Go.
Si est en un contexto raz y desea definir un servidor RADIUS en una

intranet suscriptora, seleccione el nombre del IVS en el men desplegable
del contexto en la barra de encabezado de la consola de administracin
y haga clic en Go.
2. Consulte las instrucciones que aparecen en Configuracin de una instancia de

servidor de RADIUS en la pgina 145.
NOTA: En la versin actual, la autenticacin ACE no est disponible para sistemas

UVS individuales. Si desea utilizar la autenticacin basada en token del factor
RSA 2, debe utiliza RADIUS desde el IVS para acceder a RSA ACE.
Configuracin de la autenticacin en Active Directory

Debe configurar el servidor AD/NT en cada IVS. Si tambin tiene un servidor AD/NT
en la red del MSP, todos los servidores AD/NT del IVS pueden apuntar a la misma
direccin IP del AD/NT del MSP.
Para configurar el servidor Active Directory:
1. Seleccione el contexto:
Si est en un contexto de IVS y desea definir un servidor AD/NT en la red

del MSP, seleccione Root en el men desplegable del contexto en la barra
de encabezado de la consola de administracin y haga clic en Go.
Si est en un contexto raz y desea definir un servidor AD/NT en una

intranet suscriptora, seleccione el nombre del IVS en el men desplegable
del contexto en la barra de encabezado de la consola de administracin
y haga clic en Go.
957
2. Consulte las instrucciones que aparecen en Configuracin de una instancia de

Active Directory o dominio NT en la pgina 120.
Delegacin del acceso administrativo a los sistemas IVS

Como administrador raz, puede delegar el acceso administrativo y las
responsabilidades a sistemas IVS especficos. Se puede delegar acceso de
lectura/escritura o de solo escritura a todos los sistemas IVS o a algunos.
Para delegar el acceso administrativo a los sistemas IVS
1. Seleccione Administrators > Admin Roles > Seleccionar rol donde Seleccionar
rol indica una de los roles de administrador enumerados. Si lo prefiere, tambin
puede crear un nuevo rol de administrador.
2. Haga clic en la ficha IVS.
3. Si desea que el administrador tenga acceso de lectura/escritura al IVS,
seleccione una de las siguientes opciones:
Si desea que el administrador tenga acceso de lectura/escritura a todos los

sistemas IVS, seleccione la casilla de verificacin Administrator can
manage ALL IVSs.
Si desea limitar el acceso del administrador a sistemas IVS especficos,

seleccione la casilla de verificacin Administrator can manage SELECTED
IVSs, luego seleccione los sistemas IVS en la lista Available IVSs y haga clic
en Add para moverlos a la lista Selected IVSs.
4. Si desea que el administrador tenga acceso de slo lectura al IVS, seleccione

una de las siguientes opciones:
Si desea que el administrador tenga acceso de slo lectura a todos los

sistemas IVS, seleccione la casilla de verificacin Administrator can view
(but not modify) ALL IVSs.
Si desea limitar el acceso del administrador a sistemas IVS especficos,

seleccione la casilla de verificacin Administrator can view (but not
modify) SELECTED IVSs, luego seleccione los sistemas IVS en la lista
Available IVSs y haga clic en Add para moverlos a la lista Selected IVSs.

Al agregar estos derechos de acceso a un rol determinado, puede ejercer diferentes
niveles de control sobre los distintos administradores de MSP.
958
Delegacin del acceso administrativo a los sistemas IVS
Acceso a los instaladores independientes

Es posible que el administrador de IVS necesite obtener acceso a Host Checker,
WSAM u otros instaladores independientes. Para darle a los administradores de
IVS el acceso a los instaladores, que estn situados en la pgina Maintenance >
System > Installers, puede delegarles el acceso a travs de la pgina
Administrators > Admin Roles > Seleccionar rol > IVS. Una vez que haya
delegado el acceso, el administrador de IVS puede ver la pgina de los instaladores
desde el interior del contexto de la consola de administracin.
Para obtener ms informacin acerca de los instaladores, consulte Descarga de los
instaladores de aplicaciones en la pgina 724.

de configuracin del IVS
Utilice la caracterstica de importacin/exportacin binaria del IVE para exportar
e importar los ajustes del usuario y del sistema raz, y tambin para exportar
e importar los ajustes y perfiles del IVS suscriptor. Los dos tipos de operaciones
se excluyen mutuamente: si se exportan los ajustes del IVS, el archivo de la
configuracin exportada no contiene ajustes del sistema raz; si se exportan los
ajustes del sistema raz, el archivo de la configuracin exportada no contiene
ajustes del IVS suscriptor.
Realice las operaciones de exportacin e importacin desde el contexto del sistema
raz. En la pgina Maintenance > Import/Export > Import/Export Configuration
y en la pgina Maintenance > Import/Export > Import/Export Users, puede
encontrar los controles estndar para exportar la configuracin del usuario y el
sistema raz. El administrador de un IVS suscriptor no puede exportar ni importar
datos desde o hacia otro IVS suscriptor. Slo el administrador raz puede realizar
estas tareas.
NOTA:
Slo puede importar/exportar todos los sistemas IVS en una sola operacin.
No puede importar/exportar la configuracin de un sistema IVS individual.
Tambin puede utilizar la caracterstica de archivado binario del IVE para

realizar copias de seguridad locales de su sistema IVS. Para obtener ms
informacin, consulte Archivado de archivos de configuracin binarios del
IVE en la pgina 782.
Exportacin e importacin de la configuracin del sistema raz

Para exportar e importar la configuracin del sistema raz, navegue a la pgina
Maintenance > Import/Export > Import/Export Configuration y consulte las
instrucciones que aparecen en Importacin y exportacin de archivos de
configuracin del IVE en la pgina 787.
Acceso a los instaladores independientes 959
Exportacin de las configuraciones del IVS

Para exportar las configuraciones del IVS, realice los siguientes pasos:
1. Seleccione la pgina Maintenance > Import/Export > Import/Export IVS.
2. Para proteger el archivo de la configuracin con una contrasea, introduzca una
contrasea en el cuadro de texto Password for configuration file:.
3. Haga clic en Save Config As.
5. Proporcione un nombre de archivo y una ubicacin de destino para el archivo.
6. Haga clic en Save y en Close, si fuese necesario.
El archivo de configuracin guardado contiene los siguientes ajustes para todos los
sistemas IVS:
Perfiles IVS
Ajustes del sistema IVS
Ajustes de inicio de sesin de IVS
Administradores IVS
Usuarios IVS
Ajustes de mantenimiento de IVS
Importacin de configuraciones del IVS

Para importar las configuraciones del IVS, realice los siguientes pasos:
1. Seleccione la pgina Maintenance > Import/Export > Import/Export IVS.
2. Haga clic en Browse.
3. Busque el archivo, seleccinelo y haga clic en Open.
4. Si protegi con contrasea el archivo de configuracin, introduzca la
contrasea en el cuadro de texto Password:.
960
Realizacin de la exportacin y la importacin de los archivos de configuracin del IVS
5. Para importar los ajustes de la red al perfil de IVS, como los puertos de VLAN
y los puertos virtuales, seleccione la casilla de verificacin Import IVS Profile
Network Settings.
NOTA:
La importacin de los ajustes de la red tal como se describi anteriormente

slo funciona si exporta la configuracin del sistema y del IVS al mismo
tiempo.
No se importan los ajustes de la red en s, sino slo las referencias a los ajustes
de la red. Los ajustes de la red se importan/exportan solamente cuando se
importan/exportan los ajustes del sistema raz.

El IVS proporciona un mensaje de confirmacin si la importacin se realiza de
manera correcta. Seguidamente, el IVS reinicia ciertos servicios, lo que puede tardar
varios minutos.
NOTA:
Puede utilizar la caracterstica de importacin/exportacin de XML para

exportar e importar archivos de configuracin basados en XML en el IVS raz.
No puede utilizar la caracterstica de importacin/exportacin de XML para los
sistemas IVS suscriptores. En lugar de eso, utilice la importacin/exportacin
del archivo de configuracin binario.
Puede utilizar el envo de configuracin (Push Config) para copiar la

configuracin de un IVS raz a otro IVS raz. No es posible utilizar el envo
de configuracin para copiar los datos de configuracin entre los sistemas
IVS suscriptores o desde un IVS raz a un IVS suscriptor.
Supervisin de los suscriptores

Los archivos de registro contienen informacin detallada sobre eventos, acceso
de usuario, acceso de administrador y ms. Las entradas del registro especifican
el contexto de cada entrada, ya sea que la entrada fuese provocada por una accin
raz como por una accin en uno de los sistemas IVS. Las entradas raz contienen
la palabra Root. Por ejemplo, las siguientes entradas muestran el acceso de dos
administradores, siendo el primero Root y el segundo un administrador llamado
Test:
ADM20716 2005-05-10 10:52:19 - ive - [10.11.254.160]
Root::administrator(administrator Users)[.Administrators] - User Accounts
modified. Added Unspecified Name with username testuser1 to authentication
server System Local.
Supervisin de los suscriptores
961
Info ADM20716 2005-05-10 10:35:26 - ive - [10.11.254.160]

Test::administrator(administrator Users)[.Administrators]!Root - User Accounts
modified. Added IVE Platform Administrator with username omiadmin to
authentication server Administrators.
Suspensin del acceso de un suscriptor al IVS

Para suspender el acceso del suscriptor al IVS:
1. Seleccione System > Virtual Systems.
2. Haga clic en el botn de opcin Disabled.
Al realizar este paso, el IVS deja de estar disponible para los usuarios del IVS,
incluido el administrador del IVS. Para proporcionar acceso al IVS, seleccione
el botn de opcin Enabled.
Resolucin de problemas de las VLAN

Adems de las caractersticas estndar para la resolucin de problemas que ofrece
el IVE, el IVE virtualizado proporciona varias mejoras, especficamente para la
administracin de los sistemas IVS. Puede utilizar las siguientes caractersticas
de resolucin de problemas en el sistema raz o en cada IVS por separado:
Simulacin de directivas
Seguimiento de las directivas
Funcionalmente, estas utilidades son iguales a las capacidades del IVE estndar.
La diferencia clave tiene que ver con el contexto. Si inicia una de estas tres
utilidades en el contexto del sistema raz, obtendr resultados de usuarios,
directivas y sesiones en el sistema raz o desde la red del MSP. Si inicia las utilidades
en el contexto de un IVS suscriptor, obtendr resultados de usuarios, directivas
y sesiones en el IVS o en la intranet suscriptora. Para obtener ms informacin
acerca de las sesiones de usuario, el seguimiento de las directivas y el registro
de las sesiones, consulte Resolucin de problemas en la pgina 851.
Los comandos TCPDump, Ping, Traceroute, NSLookup y ARP estn especialmente
preparados para su uso en sistemas IVE virtualizados. Puede iniciar estos comandos
en los puertos interno y externo, as como en los puertos de VLAN seleccionados,
una buena opcin para resolver los problemas del trfico de una VLAN suscriptora.
La funcionalidad bsica de los comandos no cambia, excepto para la capacidad de
especificar un puerto de VLAN.
Realizacin de TCPDump en una VLAN

1. Si no se encuentra en el contexto del sistema raz, seleccione Root en el men
desplegable IVS del encabezado de la consola de administracin y haga clic
en Go.
2. Seleccione Maintenance > Troubleshooting > Tools > TCP Dump.
962
Resolucin de problemas de las VLAN
3. Con Internal Port seleccionado, seleccione la VLAN desde el men desplegable

VLAN Port.
4. Agregue un filtro al cuadro de texto Filter (opcional).
6. Para recuperar los resultados, haga clic en Stop Sniffing.
7. Elija el tipo de archivo Dump en el men desplegable Dump File.
8. Haga clic en Get.
9. Abra el archivo con el editor adecuado.
Uso de comandos en una VLAN (ping, traceroute, NSLookup, ARP)

1. Si no se encuentra en el contexto del sistema raz, seleccione Root en el men
desplegable IVS del encabezado de la consola de administracin y haga clic
en Go.
2. Seleccione Maintenance > Troubleshooting > Tools > Commands.
3. Seleccione un comando en el men desplegable Command (comando).
4. Introduzca el servidor de destino.
5. Seleccione la VLAN en el men desplegable VLAN Port.
6. Introduzca los dems ajustes, segn el comando que elija.
7. Haga clic en Aceptar.
Casos de uso del IVS

Los siguientes casos de uso ilustran algunas tareas comunes que posiblemente
desee realizar mientras configura el sistema IVS.
Caso de uso de la resolucin de las reglas del enrutamiento de directivas para

IVS en la pgina 964
Configuracin de un servidor de autenticacin global para varios suscriptores

en la pgina 970
Configuracin de una direccin IP del servidor DNS/WINS por suscriptor en la

pgina 970
Casos de uso del IVS 963
Configuracin del acceso a las aplicaciones Web y a la navegacin Web para

cada suscriptor en la pgina 970
Configuracin del acceso a la exploracin de archivos para cada suscriptor en

la pgina 971
Configuracin de varias direcciones IP de subred para los usuarios finales

de un suscriptor en la pgina 973
Configuracin de varios sistemas IVS para permitir el acceso al servidor

compartido en la pgina 973.

pgina 950
Caso de uso de la resolucin de las reglas del enrutamiento de directivas para IVS
Este caso de uso ilustra cmo se realiza el enrutamiento de directivas en
una implementacin de MSP. La primera parte del caso de uso detalla dos
configuraciones de la empresa suscrita y cmo los usuarios finales obtienen acceso
a sus redes de empresa suscriptora respectiva. La segunda parte del caso de uso
describe lo que pasa cuando crea una VLAN en la red del MSP para proporcionar
servicios compartidos a los usuarios finales de las empresas suscriptoras.
La empresa 1 y la empresa 2 son empresas alojadas en la red del MSP. La Tabla 50
muestra las VLAN, los ID de la VLAN, las interfaces y los roles definidos para cada
empresa. La empresa 1 tiene dos VLAN definidas, una para ventas y la otra para
recursos humanos. Cada empresa tiene un rol asociado definido para cada VLAN.
El administrador raz crea cada una de las VLAN, a las que asigna una ID de VLAN
exclusiva, y para las que indica un puerto determinado. En este caso, el
administrador raz cre las cuatro VLAN en la interfaz interna.
Tabla 50: Implementaciones en las redes de empresas suscritas y del MSP
Empresa 1
Empresa 2
VLAN
ID de la
VLAN
Interfaz
Rol
Ventas
int0.1
VENTAS
RRHH
int0.2
RRHH
Empleado
int0.3
EMPLEADO
Socio
int0.4
SOCIO
NOTA:
Las etiquetas de los puertos han cambiado. El nombre del puerto eth0
(puerto interno) ahora se llama int0 y eth1 (puerto externo) ahora es ext0.
Slo puede ver los nombres de los dispositivos de la tabla de rutas (como
int0.1) en la consola serie. Puede ver la tabla de rutas seleccionando el
elemento de men 1, luego el elemento de men 2 en la consola serie.
La Figura 63 ilustra las implementaciones de la empresa suscriptora y del MSP.
964
Figura 63: Implementacin de la empresa suscriptora y del MSP
NOTA: Las VLAN del IVS no estn vinculadas de manera explcita a las intranets
suscriptoras mediante la configuracin en el IVE. La asociacin de una VLAN a una
intranet suscriptora se consigue asignando las interfaces de la VLAN a tneles
privados en la intranet suscriptora dentro de la estructura del enrutador CE->CPE.
Para obtener ms informacin, consulte el anlisis sobre las rutas estticas en
Adicin de rutas estticas a la tabla de rutas de VLAN en la pgina 935.
En la Figura 63, los usuarios finales de Network Connect obtienen sus direcciones
IP de origen desde los conjuntos de direcciones IP de Network Connect
configurados que el administrador defini para el IVS. Adems, en la figura, los
usuarios que no son de Network Connect an pueden obtener acceso a territorios
especificados segn sus roles y segn las direcciones IP de origen (origen de VIP)
basadas en roles que define como puertos virtuales en la VLAN.
La siguiente lista describe cada elemento marcado con una etiqueta numerada en la
Figura 63.
1. Los usuarios finales de Network Connect obtienen direcciones IP desde los
conjuntos de IP de Network Connect. El trfico desde estos usuarios se enruta
a travs de la VLAN suscriptora adecuada, que se define en el puerto interno.
2. Los usuarios finales que no son de Network Connect obtienen direcciones IP
desde los conjuntos de IP virtuales (VIP). El trfico desde estos usuarios se
origina a travs de la VLAN suscriptora adecuada.
3. En la Figura 63, este cuadro numerado representa un IVS suscriptor,

que contiene dos VLAN definidas en los puertos int0.1 e int0.2.
4. En la Figura 63, este cuadro numerado representa un segundo IVS suscriptor,
que contiene dos VLAN definidas en los puertos int0.3 e int0.4.
5. El suscriptor define un rol para Ventas en VLAN1. Los usuarios finales que
inician sesin en la IP 13.10.0.1 a travs de Internet son enrutados a la intranet
de la empresa 1, a los recursos de backend adecuados situados en el territorio
de Ventas en 10.10.0.0/16. Los usuarios finales que inician sesin en la IP
13.11.0.1 son dirigidos por la VIP hasta la intranet de la empresa 1, tambin
a los recursos de backend adecuados situados en el territorio de Ventas en
10.10.0.0/16.
6. El suscriptor define un rol para RRHH en VLAN2. Los usuarios finales que
de RRHH en 10.11.0.0/16. Los usuarios finales que inician sesin en la IP
13.13.0.1 son dirigidos por la VIP hasta la intranet de la empresa 1, y tambin
a los recursos de backend adecuados situados en el territorio de RRHH en
10.11.0.0/16.
7. El suscriptor define un rol para Empleado en VLAN3. Los usuarios finales que
de Empleado en 10.10.0.0/16. Los usuarios finales que inician sesin en la IP
14.11.0.1 son dirigidos por la VIP hasta la intranet de la empresa 2, y tambin a
los recursos de backend adecuados situados en el territorio de Empleado en
10.10.0.0/16.
8. El suscriptor define un rol para Socio en VLAN4. Los usuarios finales que
de Socio en 10.11.0.0/16. Los usuarios finales que inician sesin en la IP
14.13.0.1 son dirigidos por la VIP hasta la intranet de la empresa 2, y tambin
a los recursos de backend adecuados situados en el territorio de Socio en
10.11.0.0/16.
9. La intranet de la empresa 1 admite dos territorios: Ventas en 10.10.0.0/16
y RRHH en 10.11.0.0/16. Estos territorios corresponden a los roles definidos
en la VLAN1 y la VLAN2/
10. La intranet de la empresa 2 admite dos territorios: Empleado en 10.10.0.0/16
y Socio en 10.11.0.0/16.
NOTA: Los territorios son vlidos aunque contengan contienen direcciones IP
superpuestas. Como los roles estn definidos para VLAN diferentes, los ID de
la VLAN proporcionan la separacin que les permite superponerse sin el riesgo
de que se mezcle el trfico.
966
Las tablas de rutas para cada VLAN aparecen de la siguiente manera:

Tabla 51: Tabla de rutas de la VLAN1
IP de destino
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
predeterminada en la
VLAN1
int0.1
10.10.0.0/16
0.0.0.0
int0.1

IP de destino
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
VLAN2
int0.2
10.10.0.0/16
0.0.0.0
int0.2

IP de destino
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
VLAN3
int0.3
10.10.0.0/16
0.0.0.0
int0.3

IP de destino
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
VLAN4
int0.4
10.10.0.0/16
0.0.0.0
int0.4
Ahora plantese una situacin en la que el MSP decide proporcionar servicios

compartidos a los usuarios finales de la empresa 1 y la empresa 2. Suponga que
la red del MSP tambin est en una VLAN (VLAN5). Si desea proporcionar servicios
en 10.64.0.0/16 a ambas empresas, empresa 1 y empresa 2, y servicios en
10.65.0.0/16 slo a la empresa 2, puede configurar conjuntos de Network Connect
o puertos virtuales para esas direcciones.
La Figura 64 ilustra esta situacin.
NOTA: Algunos detalles de la Figura se eliminaron o se desactivaron para mejorar
la legibilidad de la Figura 64.
Figura 64: VLAN de MSP que proporciona servicios compartidos
1. Los usuarios de la empresa 1 inician sesin a travs de Internet en la red del

MSP y en la VLAN del MSP, la VLAN5 (representada como el nmero 3 de la
ilustracin).
2. Los usuarios de la empresa 2 inician sesin a travs de Internet en la red del
MSP y en la VLAN del MSP, la VLAN5 (representada como el nmero 3 de la
ilustracin).
3. La VLAN5 del MSP proporciona acceso a los servicios compartidos en la red
del MSP.
4. Debe definir direcciones IP por separado para los usuarios finales de cada
empresa suscriptora, aunque compartan los servicios del MSP.
968
Una vez que configure rutas para admitir a los usuarios que tienen acceso a los
servicios compartidos de la red del MSP y para admitir a los usuarios que tambin
tienen acceso a los servicios restringidos de la red del MSP, las tablas de rutas de la
VLAN aparecen de la siguiente manera:
IP de destino
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
VLAN1
int0.1
10.64.0.0
Enrutador en la VLAN5
int0.5

IP de destino
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
VLAN2
int0.2
10.64.0.0
int0.5

IP de destino
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
VLAN3
int0.1
10.64.0.0
int0.5
10.65.0.0
int0.5

IP de destino
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
VLAN4
int0.2
10.64.0.0
int0.5
10.65.0.0
int0.5
NOTA: Si la red del MSP est conectada al puerto sin etiqueta (interno) las entradas
de ruta son similares, pero el puerto de salida slo es int0.
Configuracin de un servidor de autenticacin global para varios suscriptores

Si las empresas suscriptoras prefieren arrendar o comprar los servicios de
autenticacin de usted, proveedor de servicios, puede configurar en su red
un servidor de autenticacin global. En ese caso, debe realizar varias tareas:
1. Configure uno o ms servidores de autenticacin en su red del MSP.
2. Configure direcciones URL basadas en rutas o puertos virtuales para iniciar
sesin en la red del MSP.
3. Configure sistemas IVS y VLAN para asignarlos a los servidores de
autenticacin en la red del MSP.
Para obtener ms informacin, consulte Configuracin de servidores de
Configuracin de una direccin IP del servidor DNS/WINS por suscriptor

Si desea configurar una direccin IP de servidor DNS/WINS en particular por
suscriptor, puede hacerlo desde cada IVS.
Para configurar una direccin IP del servidor DNS/WINS:
1. Configure sus sistemas IVS.
2. Seleccione un IVS en el men desplegable del sistema en el rea de encabezado
de la consola de administracin y haga clic en Go. Dentro del contexto de IVS,
el color del encabezado cambia y muestra el nombre del suscriptor.
3. Seleccione System > Network > Overview.
4. Introduzca los ajustes de DNS/WINS que corresponden al servidor DNS/WINS
en la intranet suscriptora.
Para obtener ms informacin, consulte Configuracin del DNS para el IVS en la
pgina 948. Para ver un ejemplo sobre cmo configurar un servidor DNS/WINS
global, consulte Configuracin de Network Connect para uso en un IVE
virtualizado en la pgina 950.
Configuracin del acceso a las aplicaciones Web y a la navegacin Web para cada
suscriptor
Es posible que el administrador de IVS desee configurar directivas especficas
de la navegacin Web para los usuarios finales del IVS.
Para configurar el acceso a la navegacin Web, el administrador de IVS debe
configurar las siguientes pginas:
970
Users > User Roles > Nombre de rol > Web
Users > Resource Policies > Web
Configuracin del acceso de la navegacin Web

Para configurar el acceso de la navegacin Web:
1. Seleccione Users > User Roles > Nombre de rol > Web.
2. Seleccione la ficha Bookmarks.
4. Suministre los ajustes para configurar el marcador de una direccin URL
web dada.
5. Haga clic en Save Changes o en Save + New si desea agregar marcadores
mltiples.
Los marcadores que define aqu aparecen en la seccin de los marcadores
Web de Secure Access a la que obtienen acceso los usuarios finales.
7. Seleccione los privilegios de navegacin Web que desea proporcionar a sus
usuarios finales.
8. Elija las dems opciones que desee, incluidos los ajustes del valor de tiempo
de espera para la conexin HTTP.
Configuracin de las directivas de acceso de la navegacin Web

Para configurar las directivas de acceso de la navegacin Web:
1. Seleccione Users > Resource Policies > Web.
2. Suministre los ajustes adecuados en cada una de las fichas.
Para obtener informacin sobre las directivas de recursos y sobre cmo configurar
las directivas de recursos Web, consulte Reescritura web en la pgina 383
y Definicin de directivas de recursos: Informacin general en la pgina 422.
Configuracin del acceso a la exploracin de archivos para cada suscriptor

Es posible que el administrador de IVS desee configurar directivas especficas
para el acceso a la exploracin de archivos para los usuarios finales del IVS. El
administrador de IVS puede realizar este tipo de operacin en funcin de los roles.
Para configurar la exploracin de archivos, el administrador de IVS debe configurar
las siguientes pginas:
Users > User Roles > Nombre de rol > General
Users > User Roles > Nombre de rol > Files
Users > Resource Policies > Files
Configuracin del acceso a la exploracin de archivos

Para configurar el acceso a la exploracin de archivos:
1. Seleccione Users > User Roles > Nombre de rol > General.
2. En Access Features, seleccione la casilla de verificacin Files (para Windows).
4. Seleccione la ficha Files.
5. Seleccione la pgina Options.
6. Segn el tipo de sistema de archivos, seleccione las opciones que se aplican al
acceso del usuario final de IVS.
Configuracin de las directivas de acceso al sistema de archivos

Para configurar las directivas de acceso al sistema de archivos:
1. Asegrese de estar en el contexto de IVS. Si el men desplegable del IVS situado
en la barra de encabezado de la consola de administracin muestra Root,
seleccione el nombre del IVS en el men y haga clic en Go.
2. Seleccione Users > Resource Policies > Files > Access > Windows.
3. Elija el rol en el men desplegable Show policies that apply to y haga clic
en Update.
5. Proporcione los ajustes adecuados.
7. Seleccione la ficha Credentials.
8. Suministre los ajustes adecuados.
10. Repita estos pasos para cada rol.
11. Seleccione la ficha Encoding para seleccionar la codificacin del idioma y haga
clic en Save Changes.
12. Seleccione la ficha Options para establecer las opciones, como la comparacin
basada en IP para los recursos de directiva en funcin del nombre de host
y haga clic en Save Changes.
Para obtener ms informacin sobre las directivas de archivos, consulte Definicin
de directivas de recursos: Recursos de archivos para UNIX/NFS en la pgina 485.
Para obtener ms informacin sobre la codificacin, consulte Compatibilidad con
varios idiomas en la pgina 1027. Para obtener ms informacin sobre las
opciones de acceso, consulte Escritura de directivas de recursos para UNIX/NFS
en la pgina 487.
972
Configuracin de varias direcciones IP de subred para los usuarios finales

de un suscriptor
Suponga que el suscriptor desea crear subredes dentro de la intranet para admitir
la separacin del trfico entre los usuarios finales del suscriptor desde tres
departamentos distintos: Marketing, Finanzas e Ingeniera. Los procedimientos
necesarios para lograr esta tarea se dividen entre los que realiza el administrador
raz y los que realiza el administrador de IVS.
Tareas realizadas por el administrador raz

1. Crear una VLAN suscriptora. Consulte Configuracin de una red de rea local
virtual (VLAN) en la pgina 932.
2. Crear un IVS suscriptor. Consulte Creacin de un sistema virtual (perfil de IVS)
en la pgina 937.
3. Crear direcciones URL basadas en rutas en los puertos virtuales para el inicio de
sesin. ConsulteInicio de sesin usando el prefijo de direccin URL de inicio
de sesin en la pgina 920 o Configuracin de un puerto virtual para iniciar
sesin en el puerto interno en la pgina 932.
4. Crear puertos virtuales para los alias de IP de origen basados en roles. Consulte
Configuracin de alias de IP de origen basados en roles en la pgina 942.
Tareas realizadas por el administrador de IVS

1. Crear usuarios. Crear roles para Marketing, Finanzas e Ingeniera. Consulte
Configuracin de los roles de usuario en la pgina 72.
2. Asignar roles a direcciones IP de origen/VLAN. Consulte Asociacin de roles
con direcciones IP de origen en un IVS en la pgina 943.
3. Asignar usuarios a los roles. Consulte Creacin de cuentas de usuario en un
servidor local de autenticacin en la pgina 140.
Configuracin de varios sistemas IVS para permitir el acceso al servidor compartido

Puede darse el caso de que decida proporcionar a los usuarios finales de varias
empresas suscriptoras el acceso a un servidor compartido en la red del MSP.
Para obtener ms informacin acerca del acceso a servidores compartidos,
consulte Configuracin de Network Connect para uso en un IVE virtualizado
en la pgina 950 y Caso de uso de la resolucin de las reglas del enrutamiento
de directivas para IVS en la pgina 964.
Los siguientes pasos describen un caso de uso simple y sus soluciones.
Solucin n. 1
Para configurar el acceso a un servidor compartido, suponiendo que existen dos
sistemas IVS para dos suscriptores:
1. Agregue el puerto interno a la lista de VLAN seleccionadas del IVS1.
2. Agregue el puerto interno a la lista de VLAN seleccionadas del IVS2. Para
obtener instrucciones sobre cmo agregar puertos al campo de la VLAN
seleccionada del sistema IVS, consulte Aprovisionamiento de un IVS en la
pgina 927.
3. Edite la tabla de rutas del puerto interno y configure una ruta esttica que
apunte al servidor compartido, con la interfaz interna como el puerto de salida.
Solucin n. 2
Para configurar el acceso a un servidor compartido, suponiendo que existen dos
sistemas IVS para dos suscriptores:
1. Agregue la VLAN1 a la lista de VLAN seleccionadas del IVS1 y establzcala
como la VLAN predeterminada.
2. Agregue la VLAN2 a la lista de VLAN seleccionadas del IVS2 y establzcala
como la VLAN predeterminada. Para obtener instrucciones sobre cmo agregar
VLAN al campo de la VLAN seleccionada del sistema IVS, consulte
Aprovisionamiento de un IVS en la pgina 927.
3. Edite las tablas de rutas para la VLAN1 y la VLAN2 y configure una ruta esttica
en cada una que apunte al servidor compartido, con la interfaz interna como el
puerto de salida.
974
Captulo 34
Interoperabilidad de IVE e IDP

Garantizar la seguridad del trfico de recursos y las aplicaciones de trabajo en
intranet es fundamental para proteger su red frente a intrusiones externas hostiles.
Puede agregar niveles de seguridad de aplicaciones a su red de acceso remoto
mediante la integracin de un dispositivo Secure Access de Juniper Networks con
un sensor de deteccin y prevencin de intrusiones (IDP) de Juniper Networks.
El dispositivo IDP puede ofrecer los siguientes tipos de proteccin en esta solucin
(algunas formas de proteccin dependen de la configuracin especfica):
El sensor IDP supervisa la red en la cual el sistema IDP est instalado. La tarea
principal del sensor es detectar trfico de red sospechoso y anmalo segn reglas
especficas definidas en las normas IDP.
Protege contra los ataques que se producen del usuario a la aplicacin

y de la aplicacin al usuario (desde un punto final del lado servidor).
Detecta y bloquea la mayora de los gusanos de red basado en las

vulnerabilidades de software.
Detecta y bloquea caballos de Troya que no se basan en archivos.
Detecta y bloquea efectos de spyware, adware y registradores de pulsaciones

de teclas.
Detecta y bloquea muchos tipos de malware.
Detecta y bloquea ataques de da cero a travs del uso de la deteccin

de anomalas.
NOTA: Un sensor IDP puede enviar registros solamente a un dispositivo IVE. Sin
embargo, un dispositivo IVE puede recibir registros desde ms de un sensor IDP.
No necesita una licencia especial de Juniper Networks para habilitar la interaccin

entre el dispositivo IVE y el sensor IDP.
Con la consola de administracin de IVE puede configurar y administrar atributos
de interaccin entre el dispositivo IVE y un sensor IDP, incluido lo siguiente:
Parmetros de configuracin globales, como el nombre de host de IDP

o direccin IP, el puerto TCP a travs del que el sensor se comunica con el
dispositivo IVE y la contrasea nica que el dispositivo IVE y el sensor IDP
utilizan para identificarse entre s.
975
Cambio dinmico de la configuracin de IDP del dispositivo IVE y alerta al

sensor IDP de los cambios en el conjunto de direcciones IP disponibles para
los usuarios remotos.
Diversos niveles de advertencias de gravedad de ataques.
El sensor IDP se ubica detrs del IVE en su red interna y supervisa el trfico que
fluye del IVE a la LAN. Cualquier evento anormal detectado por el sensor IDP se
comunica al IVE, que se configura para tomar medidas apropiadas segn el nivel
de gravedad de los eventos informados. El sensor IDP realiza funciones de
generacin de informes, adems de cualquier creacin de registros normal para
la cual est configurado.
NOTA: Puede utilizar un sensor IDP en un clster de IVE, si el clster est
configurado con una direccin IP virtual (VIP).
Licencia: Disponibilidad de IDP

La caracterstica de integracin de IDP no est disponible en el SA 700.
Escenarios de implementacin
Los dos escenarios de implementacin ms comunes son los siguientes:
Uso del IVE por parte del cliente para acceso empresarial extendido e IDP para
la seguridad de todo el trfico del permetro, entre otros, el trfico desde el IVE.
Este escenario se ilustra en la Figura 65, en la cual el IVE se implementa en la
DMZ o en la LAN y el sensor IDP se implementa en lnea detrs del cortafuegos
y delante de la LAN.
Figura 65: Escenario 1 de topologa de IVE e IDP

Usuarios mviles
976
Licencia: Disponibilidad de IDP
Internet
IVE
Mensaje de ataque
IDP
LAN
En el segundo escenario de implementacin, IDP slo se utiliza para proteger

el trfico proveniente del IVE, pero que no est en lnea con otro trfico del
permetro. La Figura 66 ilustra este escenario de implementacin.
Captulo 34: Interoperabilidad de IVE e IDP
Figura 66: Escenario 2 de topologa de IVE e IDP

Usuarios mviles
Internet
IVE
Mensaje de ataque
IDP
LAN
Configuracin del IVE para interactuar con IDP

El sensor IDP es una potente herramienta para contrarrestar a los usuarios
que inician ataques. La integracin con el IVE permite configurar respuestas
automticas, as como tambin supervisar y administrar usuarios manualmente.
Para configurar el IVE de modo que interacte con un sensor IDP independiente
asociado, primero debe asegurarse de que el sensor IDP se haya configurado de
acuerdo con las instrucciones descritas en el apndice IVE Signaling Setup de
la Intrusion Detection and Prevention Concepts & Examples Guide.
Una vez que se configura el sensor IDP, puede especificar los eventos que desea
que ste vigile y las acciones que el IVE tomar cuando se detecte y se comunique
un evento especfico.
Existen dos ubicaciones en el IVE donde puede especificar las medidas a tomar
como respuesta a usuarios que realizan ataques.
Pgina Sensor Event policies: Defina la directiva en esta pgina para generar
una respuesta automtica ante usuarios que realicen ataques.
Pgina Users: Identifique y ponga en cuarentena o inhabilite manualmente

a usuarios en la pgina System > Status > Active Users, que muestra a los
usuarios que han realizado ataques. Para obtener ms informacin, consulte
Identificacin y administracin manual de usuarios en cuarentena en la
pgina 983.
977
Configuracin de las conexiones IDP

La ficha Sensors le permite especificar la configuracin del sistema que el IVE
utiliza para establecer una conexin a un dispositivo de deteccin y prevencin
de intrusiones (IDP) de Juniper Network.
Use la ficha System > Configuration > Sensors > Sensors para realizar varias
tareas relacionadas con la configuracin y administracin de la interaccin entre
el IVE y un sensor IDP.
Creacin de una nueva entrada de sensor IDP en la pgina 978
Habilitacin o inhabilitacin de la conexin a un sensor IDP existente en la

pgina 979
Eliminacin de una entrada del sensor IDP en la pgina 979
Reconexin a IDP y actualizacin del estado de una conexin IDP en la

pgina 979
Creacin de una nueva entrada de sensor IDP

Puede habilitar y inhabilitar entradas de conexin IDP en el IVE.
Para habilitar o inhabilitar entradas de sensor IDP existentes en el IVE:
Sensors.
NOTA: Para usar el sensor IDP con el IVE debe habilitar el registro de las directivas
aplicables.
2. Haga clic en New Sensor. La consola de administracin muestra la pgina

New Sensor.
3. En Sensor Properties, especifique la siguiente informacin:
Name: Un nombre que el IVE utilice para identificar la nueva entrada

de conexin.
Hostname: El nombre de host o la direccin IP del sensor IDP al cual se

conecta el IVE con el fin de recibir los mensajes de alerta de ataque de
la aplicacin y los recursos.
Port: El puerto TCP del sensor IDP que el IVE escucha cuando recibe
los mensajes de alerta de ataque de la aplicacin y los recursos.
One-time password: La contrasea encriptada que el IVE utiliza cuando

realiza el establecimiento de conexin inicial de seguridad de la capa de
transporte (TLS) con el sensor IDP. Debe introducir la contrasea OTP del
IVE como se muestra en la pantalla de resumen de configuracin IDP ACM.
NOTA: El nombre de host, puerto TCP y contrasea nica deben estar configurados
en el sensor IDP antes de que esta configuracin pueda realizarse correctamente.

978
4. Especifique las direcciones IP que se supervisarn en Monitoring Options

y el nivel de gravedad mnimo que el sensor IDP registrar y enviar al IVE:
a.
En el campo Addresses to monitor, especifique las direcciones IP

individuales y los rangos de direcciones que el sensor IDP supervisa para
detectar posibles ataques, una entrada por lnea. El sensor IDP comunica
solamente los datos de ataques correspondientes a las direcciones IP que
se especifican.
b.
Seleccione una de las opciones disponibles en la lista desplegable Severity

filter. El nivel de gravedad es un nmero en una escala de 1 a 5, donde 1
es informativa y 5 es crtica.
Habilitacin o inhabilitacin de la conexin a un sensor IDP existente

Puede habilitar y inhabilitar entradas de conexin IDP en el IVE.
Para habilitar o inhabilitar entradas de sensor IDP existentes en el IVE:
Sensors.
2. Seleccione la casilla de verificacin situada junto a una o ms entradas del
sensor IDP que desea habilitar o inhabilitar.
3. Haga clic en Enable o Disable para habilitar o inhabilitar las entradas del
sensor IDP, respectivamente.
Eliminacin de una entrada del sensor IDP

Puede eliminar las entradas del sensor IDP que definen una conexin entre el IVE
y un sensor IDP.
Para eliminar una o ms entradas del sensor IDP existentes del IVE.
Sensors.
2. Seleccione la casilla de verificacin situada al lado de la entrada o entradas del
sensor IDP que desea eliminar.
3. Haga clic en Delete y luego confirme que desea eliminar la entrada o las
entradas del sensor.
Reconexin a IDP y actualizacin del estado de una conexin IDP

Cuando se pierde la conexin a un sensor IDP, puede utilizar la consola de
administracin del IVE para intentar reestablecer la conexin. Tambin puede
utilizar la consola de administracin para actualizar el estado de las conexiones
existentes entre el IVE y el sensor IDP.
Si necesita reestablecer la comunicacin con un sensor IDP, debe generar una
nueva contrasea nica, tal como se describe en Creacin de una nueva entrada
de sensor IDP en la pgina 978.
979
Para volver a conectar un sensor IDP asociado:

Sensors.
2. Seleccione la casilla de verificacin situada al lado del sensor IDP que desea
volver a conectar.
3. Haga clic en Reconnect.
La consola de administracin muestra un mensaje que le comunica que el IVE
actualmente intenta reestablecer la conexin con el sensor IDP especificado.
Esta pgina se actualiza automticamente cada segundo durante el proceso
de reconexin. De lo contrario, la pgina de estado de conexin se actualiza
automticamente cada 30 segundos.
Para actualizar y mostrar el estado de conexin del sensor IDP especificado:
Sensors.
2. Seleccione la casilla de verificacin situada junto a una o ms entradas del
sensor IDP para el cual desea mostrar el estado de conexin.
3. Haga clic en Refresh.
Interaccin entre el IVE y el sensor IDP

El IVE lee la informacin de ataque a medida que el sensor IDP la enva. Despus
de recibir un bloque de informacin de ataque del sensor IDP, el IVE enva un acuse
de recibo simple al sensor que indica la recepcin de la informacin.
El IVE recibe las direcciones IP de origen y de destino y los nmeros de puerto
del host que ataca y el recurso contra el cual se lanz el ataque, junto con el
identificador del ataque, su gravedad y la hora a la que se realiz.
El IVE incorpora y muestra la informacin de ataque recibida desde el sensor IDP
en la pgina System > Status > Active Users. A partir de la direccin IP y en el
nmero de puerto de los atacantes, el IVE identificar de forma inequvoca la sesin
de usuario.
Puede elegir acciones automticas o manuales para los ataques detectados por
el sensor IDP. Para una accin manual, consulte la informacin disponible en
la pgina Active Users y decida la accin a seguir. Para una accin automtica,
configure la accin anticipadamente cuando defina sus directivas de IDP.
Cuando sepa que un usuario activo inici un ataque, puede desactivar la cuenta
del usuario y terminar la sesin de usuario o actualizarlo a un rol diferente.
El IVE muestra un mensaje de error al usuario cuya cuenta ha sido desactivada
e indica el motivo.
980
Definicin de directivas de eventos de sensor de respuesta automtica

Use la ficha System > Configuration > Sensors > Sensor Event Policies para
especificar una o ms reglas que especifiquen las medidas que el IVE tomar
cuando reciba mensajes de alerta de ataque de un sensor IDP.
Para crear una nueva regla IDP:
1. En la consola de administracin, elija System > Configuration > Sensors >
Sensor Event Policies.
2. En la pgina Sensor Event Policies, haga clic en New Rules.
3. En la pgina Juniper IDP Rule, en la seccin Rule: On Receiving...:
Seleccione un evento existente de la lista desplegable Event.
Haga clic en Events para editar un evento existente o crear un nuevo tipo
de evento y agregarlo a las opciones en la lista desplegable Events:
i.
Especifique un nombre para el evento.
ii.
Llene el campo Expressions ingresando las expresiones de forma

manual o seleccionando una o ms clusulas del Expressions
Dictionary y haciendo clic en Insert Expression.
Por ejemplo, para buscar todos los ataques de nivel de gravedad
crtico/mayor, introduzca la siguiente expresin:
idp.severity >= 4
Para buscar todos los ataques de nivel de gravedad crtico o mayor para
el trfico HTTP, introduzca la siguiente expresin:
idp.severity >= 4 AND idp.attackStr = *HTTP*
Para obtener ms informacin sobre creacin de directivas de IDP,

consulte:
Juniper Networks TechNote IDP Policy Building Primer,
nmero de pieza 552035-001, disponible en
http://www.juniper.net/solutions/literature/tech_note/552035.pdf.
iii. Cuando termine de introducir las expresiones que desea aplicar en este
evento, haga clic en Add Expression.
iv. Haga clic en Close.
4. En la seccin Count this many times, especifique un nmero entre 1 y 256
para determinar la cantidad de veces que debe producirse un evento antes
de que se tome una medida.
981
5. En la seccin ...then perform this action, especifique una de las siguientes

acciones:
Ignore (slo registrar el evento): Especifica que el IVE debe registrar el

evento, pero no realizar ninguna accin contra el perfil de usuario para
el que se aplica esta regla. Esta opcin es apropiada para los mensajes
de alerta de ataque informativos y sin gran importancia provenientes
del sensor IDP.
Terminate User Session: Especifica que el IVE debe inmediatamente

terminar la sesin de usuario y solicitar al usuario que vuelva a iniciar
sesin en el IVE.
Disable user account: Especifica que el IVE debe inhabilitar el perfil de

usuario asociado a este mensaje de alerta de ataque, lo que hace que el
cliente no pueda iniciar sesin en el IVE hasta que el administrador vuelva
a activar la cuenta de usuario. (Esta opcin slo se aplica para usuarios que
tienen una cuenta de usuario de IVE local.)
Replace users role with this one: Especifica que el rol aplicado a este
perfil de usuario debe cambiar al rol seleccionado en la lista desplegable
asociada. Este nuevo rol permanece asignado al perfil de usuario hasta
que finaliza la sesin y permite asignar un usuario a un rol controlado
especfico de su eleccin, basndose en eventos IDP especficos. Por
ejemplo, si el usuario realiza ataques, se podra asignar al usuario un rol
restringido, que limite su acceso y sus actividades.
Elija make this role assignment:
Permanent: El usuario permanece en un estado de cuarentena en sus

siguientes inicios de sesin hasta que el administrador lo saque de
ese estado.
For this session only: Predeterminado. El usuario puede iniciar otra

sesin.
aplicar esta directiva a todos los usuarios excepto a los asignados a roles
de la lista Selected roles. Asegrese de agregar roles a esta lista desde la
lista Available roles.
982
Identificacin y administracin manual de usuarios en cuarentena

Cuando el IVE coloca en cuarentena a un usuario basndose en un ataque,
se pueden mostrar y administrar los estados ubicando el vnculo del usuario
en la pgina System > Status > Active Users.
Puede identificar a usuarios en cuarentena segn varios elementos.
Un pequeo icono de advertencia que aparece delante del nombre de usuario.
El nombre de usuario con hipervnculo.
Un botn de radio Quarantined activado en la pgina del usuario en cuestin.

Si el usuario no est en cuarentena, el botn de radio est desactivado.
Para administrar usuarios en cuarentena:

1. Identifique a los usuarios en cuarentena en System > Status > Active Users.
2. Busque el usuario en cuarentena y haga clic en el vnculo del nombre
de usuario. Se abrir la pgina del usuario y mostrar varias opciones.
3. Haga clic en Disabled para no permitir que un usuario se autentique.
4. Haga clic en Quarantined para dejar a un usuario en un estado de cuarentena.
La opcin Quarantined slo se activa si el usuario ya est en cuarentena.
NOTA: El IVE asigna los usuarios en cuarentena al rol en cuarentena, sin importar
el territorio de su inicio de sesin.

6. Para volver a habilitar a los usuarios previamente puestos en cuarentena
o inhabilitados, seleccione Authentication > Auth. Servers > Seleccione
servidor > Users y haga clic en el vnculo del usuario.
NOTA: Tambin puede inhabilitar usuarios desde esta ubicacin.
7. Haga clic en Enabled para sacar a un usuario de la cuarentena.

Si desea aislar usuarios automticamente, siga los pasos que se describen en
Definicin de directivas de eventos de sensor de respuesta automtica en la
pgina 981.
NOTA: Todos los eventos de sensor se registran en System > Log/Monitoring >
Sensors > Log. Para obtener ms informacin, consulte Registro y supervisin

en la pgina 823.
983
984
Parte 6
Servicios de sistema
Esta seccin contiene la siguiente informacin acerca de los servicios del
sistema IVE:
IVE Consola serie en la pgina 987
UI personalizables para el administrador y el usuario final en la pgina 995
Secure Access 6000 en la pgina 999
Secure Access FIPS en la pgina 1011
Compresin en la pgina 1023
Compatibilidad con varios idiomas en la pgina 1027
Dispositivos de mano y PDA en la pgina 1031
985
986
Captulo 35
IVE Consola serie

La consola serie proporciona un conjunto definido de potentes funciones que
permiten administrar el IVE, y se encuentra disponible a travs de la ventana
de comandos del sistema operativo. En esta seccin se describen las tareas de
la consola serie, tales como:
Licencia: Disponibilidad de la consola serie en la pgina 987
Conexin a la consola serie de un dispositivo IVE en la pgina 987
Retroactivacin a un estado anterior del sistema en la pgina 988
Restablecimiento de un dispositivo IVE con la configuracin de fbrica

en la pgina 990
Tareas comunes de recuperacin en la pgina 993
NOTA: Para obtener informacin sobre cmo crear tarjetas de administrador

Secure Access FIPS, consulte Secure Access FIPS en la pgina 1011.
Licencia: Disponibilidad de la consola serie

Las capacidades de la consola serie estn disponibles en todos los productos Secure
Access; no es necesaria una licencia especial para usarlas.
Conexin a la consola serie de un dispositivo IVE

Antes de realizar una tarea a travs de la consola serie de un dispositivo IVE debe
conectarse a la consola mediante una consola terminal o un equipo porttil.
Licencia: Disponibilidad de la consola serie 987
Para conectarse a la consola serie de un dispositivo IVE:

1. Enchufe un cable cruzado de mdem nulo desde un terminal de consola
o equipo porttil al dispositivo IVE. Este cable viene incluido en el embalaje
del producto. No utilice un cable serie recto.
2. Configure una utilidad de emulacin de terminal, como HyperTerminal,
para que utilice estos parmetros de conexin serial:
9600 bits por segundo
8 bits sin paridad (8N1)
1 bit de parada
Sin control de flujo
3. Presione Enter hasta que la consola serie IVE aparezca.

NOTA: Si est ejecutando una mquina Secure Access FIPS y se conectar con
la consola serie por primera vez, deber cambiar el conmutador de modo del
mdulo criptogrfico a I (modo de inicializacin).
Figura 67: Consola serie del IVE
Retroactivacin a un estado anterior del sistema

El dispositivo IVE guarda la informacin actual de configuracin del sistema
y la que corresponde al estado anterior.
NOTA: Tambin puede retroactivar a un estado anterior del sistema a travs de la
consola de administracin, como se describe en Instalacin de un paquete de
actualizacin de software de Juniper en la pgina 739.
988
Captulo 35: IVE Consola serie
Retroactivacin a un estado anterior del sistema a travs de la consola

de administracin
Si actualiza el paquete del servidor y decide que desea volver al estado anterior
del equipo, recomendamos que siga los siguientes pasos desde la consola de
administracin:
1. Localice los archivos de configuracin de sistema y usuario exportados
previamente que contienen los datos del estado al que desea volver. (Para
ejecutar este paso es necesario que haya respaldado su sistema y datos de
usuario mediante la exportacin de archivos desde el men Maintenance >
Import/Export de la consola de administracin.)
2. Descargue el paquete de servicio IVE OS deseado desde Juniper Networks
Support Customer Support Center.
3. Importe el paquete de servicio IVE OS escogido a travs del men
Maintenance > System > Upgrade/Downgrade de la consola de
administracin.
4. Importe los archivos de configuracin de sistema y usuario que localiz al inicio
de esta seccin.
Retroactivacin a un estado anterior del sistema a travs de la consola serie

Si no puede acceder a la consola de administracin, conctese a la consola serie
para realizar la retroactivacin del sistema a un estado anterior.
NOTA: Si no ha realizado una actualizacin del paquete de servicio IVE OS,
no habr un estado anterior que retroactivar y esta opcin no estar disponible.
Si ha realizado alguna actualizacin del paquete de servicio IVE OS, todos los
datos de configuracin de sistema y de usuario creados despus de la
actualizacin se perdern a menos que exporte los archivos de configuracin
ms recientes antes de retroactivar el sistema y los importe despus de la
retroactivacin.
NOTA: Si est ejecutando una mquina Secure Access FIPS y desea retroactivar un
entorno de seguridad anterior, consulte las instrucciones en Recuperacin de un
entorno de seguridad archivado en la pgina 1020.
Para retroactivar el paquete de servicio IVE OS anterior:

1. Conctese a la consola serie del equipo IVE. Para obtener instrucciones,
consulte Conexin a la consola serie de un dispositivo IVE en la pgina 987.
2. Inicie sesin en la consola de administracin dentro de una ventana
del explorador.
3. Seleccione Maintenance > System > Platform.
4. Haga clic en Reboot Now, y luego regrese a la ventana de la consola. En la
ventana aparece un mensaje que indica que el sistema se est reiniciando.
989
5. Despus de algunos momentos, se le pedir que presione la tecla Tab para

ver opciones. Presione la tecla Tab, y cuando se le solicite la configuracin
que desea cargar, escriba rollback y presione la tecla Enter.
Figura 68: IVE Consola serie del IVE
Despus de hacer clic en Reboot Now en la pgina Maintenance > System >
Platform, la pantalla muestra el estado de retroactivacin del servidor y, una vez
concluida, se le pedir que presione la tecla Return (Enter) para modificar la
configuracin de sistema, tras lo cual volver a las opciones iniciales de
configuracin. Cuando termine de introducir los datos, simplemente cierre
la ventana de la utilidad.
NOTA: Si espera ms de 5 segundos para introducir su opcin, se cargar
automticamente la configuracin actual del sistema. Si desea iniciar nuevamente
el proceso, tendr que regresar a la consola de administracin y hacer clic en
Reboot Now. Despus de realizar una retroactivacin de sistema, la opcin de
retroactivacin no estar disponible hasta que vuelva a actualizar el paquete de
servicio IVE OS.
Restablecimiento de un dispositivo IVE con la configuracin

de fbrica
En casos excepcionales, es posible que necesite restablecer el dispositivo IVE a la
configuracin original de fbrica. Antes de llevar a cabo esta opcin avanzada de
recuperacin de sistema, contctese con Juniper (http://www.juniper.net/support/).
Dentro de lo posible, exporte los datos de configuracin de sistema y de usuario
ms recientes antes de realizar un restablecimiento de fbrica.
Para realizar un restablecimiento de fbrica:
1. Conctese a la consola serie. Para obtener instrucciones, consulte Conexin
a la consola serie de un dispositivo IVE en la pgina 987.
2. Inicie sesin en la consola de administracin dentro de una ventana del
explorador.
3. Seleccione Maintenance > System > Platform.
990
4. Haga clic en Reboot, y luego regrese a la ventana de la consola. En la ventana

aparece un mensaje que indica que el sistema se est reiniciando.
5. Despus de algunos momentos, se le pedir que presione la tecla Tab para
ver opciones. Presione la tecla Tab, y cuando se le solicite la configuracin
que desea cargar, escriba factory-reset y presione la tecla Enter.
Figura 69: Consola serie IVE tras hacer clic en Reboot IVE, en la pgina
Maintenance > System > Platform
NOTA: Si espera ms de 5 segundos para introducir su opcin, se cargar

automticamente la configuracin actual del sistema. Si desea iniciar nuevamente
el proceso, tendr que regresar a la consola de administracin y hacer clic en
Reboot Now.
6. Cuando se le solicite confirmacin para realizar un restablecimiento de fbrica,

escriba proceed y luego presione Enter.
Figura 70: Consola serie IVE tras escoger la opcin de restablecimiento de fbrica.
El sistema comienza el proceso de restablecer el equipo a su configuracin

original y muestra varias pantallas de datos. Despus de varios minutos, se le
pedir que presione la tecla Tab para elegir las opciones de configuracin.
991
Figura 71: Consola serie IVE despus de realizar un restablecimiento de fbrica.
7. Cuando se le solicite presionar la tecla Tab:
Espere que se inicie automticamente la seleccin predeterminada

(current), o
Presione Tab, escriba current, y luego presione Enter.
Luego se le solicitar que introduzca los ajustes de configuracin iniciales del

equipo. Para obtener ms informacin sobre cmo continuar, consulte Quick
Start Guide en Juniper Networks Customer Support Center.
Una vez finalizado el proceso de inicializacin, puede actualizar con el paquete
de servicio IVE OS ms reciente e importar los archivos guardados de
configuracin de sistema y de usuario que le permitan volver al estado de
funcionamiento ms reciente del equipo.
NOTA: Durante la configuracin inicial o un restablecimiento de fbrica, es posible
que reciba errores de IVE. Antes de iniciar los servicios, el IVE supervisa el puerto
de red durante un mximo de 120 segundos. IVE verifica el estado de la conexin
y realiza un ARPing en la puerta de enlace predeterminada. Si existe algn
problema, IVE mostrar despus de 5 segundos un mensaje en la consola serie
que comienza con NIC:...... Si la conexin se recupera dentro de 120 segundos,
el proceso de inicio continuar. Si la conexin no se recupera, aparecer el
siguiente mensaje:
Internal NIC: ................[Down code=0x1]
Pueden aparecer dos cdigos:
0x1 significa que la NIC comunica que la interfaz est apagada (por ejemplo,
debido a un cable desconectado o a que un cable se encuentra en el puerto

equivocado).
0x2 significa que la puerta de enlace es inaccesible. IVE se inicia pero no es
accesible desde las direcciones IP asociadas a ese puerto de red.
992
Tareas comunes de recuperacin

Si olvida su nombre de usuario o contrasea para IVE, el equipo se desconecta
debido a errores de configuracin, o la direccin IP del dispositivo IVE cambia y ya
no puede localizar el equipo, puede modificar la configuracin del equipo mediante
la consola serie. Siga las instrucciones de Conexin a la consola serie de un
dispositivo IVE en la pgina 987 y escoja la tarea de configuracin apropiada.
Network Settings and Tools: Permite cambiar las configuraciones estndar de

red, imprimir una tabla de enrutamiento, imprimir o eliminar una cach ARP,
ejecutar el comando ping hacia otro servidor, hacer seguimiento de la ruta a un
servidor, eliminar rutas estticas y agregar una entrada ARP.
Create admin username and password: Permite crear una nueva cuenta de
superadministrador.
Display log: Permite mostrar la configuracin del sistema, registros de usuario

o registros de acceso de administrador a travs de la consola serie. Tenga en
cuenta que debe pulsar la tecla q para volver a las opciones de la consola
serie despus de ver los registros.
System Operations: Permite reiniciar, apagar, reanudar, retroactivar

o restablecer la configuracin de fbrica del dispositivo IVE sin usar la consola
de administracin.
Toggle password protection for the console: Permite proteger la consola

serie mediante contrasea. Al poner esta opcin en on, slo los
superadministradores pueden tener acceso.
Create a Super Admin session: Permite crear una sesin de recuperacin para
la consola de administracin, incluso si ha configurado el dispositivo IVE para
bloquear el acceso a todos los administradores. Al seleccionar esta opcin,
el dispositivo genera un token temporal vlido durante 3 minutos. Introduzca
la siguiente URL en una ventana del navegador:
https://<ive-host>/dana-na/auth/recover.cgi
Luego, para iniciar sesin en la consola de administracin, introduzca el token

temporal cuando se le solicite.
NOTA: Al escoger esta opcin, el dispositivo IVE bloquea el acceso a la consola de
todos los dems administradores hasta que inicie sesin con su token en la URL
indicada. El dispositivo bloquea los intentos de inicio de sesin adicionales,
de modo que usted pueda corregir los problemas de configuracin que IVE
haya encontrado, sin que se produzcan conflictos con otras sesiones.
Tareas comunes de recuperacin 993
System Snapshot: Permite tomar una instantnea del sistema sin usar la
consola de administracin. Al escoger esta opcin, IVE toma la instantnea
inmediatamente. Puede enviar el archivo de la instantnea mediante SCP
a un sistema remoto. El sistema solicita el puerto del servidor de destino,
ID de usuario, contrasea y la ruta de destino hacia el directorio remoto.
NOTA: Si escoge no enviar el archivo de la instantnea a un sistema remoto, el IVE

guarda el archivo localmente. La prxima vez que inicie sesin en la consola de
administracin, la ficha System Snapshot mostrar un vnculo al archivo de la
instantnea. Para obtener ms informacin sobre cmo tomar una instantnea
desde la consola de administracin, consulte Creacin de imgenes instantneas
del estado del sistema IVE en la pgina 857.
Replace Administrator Card Set (Secure Access FIPS only): Permite crear
tarjetas de administrador adicionales para un entorno de seguridad. Para
obtener informacin detallada, consulte la siguiente seccin.
NOTA: Si est ejecutando un sistema Secure Access FIPS y presiona el conmutador

de borrado en el mdulo criptogrfico, ajuste el conmutador de modo del mdulo
criptogrfico en O (modo de funcionamiento) y reinicie el sistema. Para la
recuperacin, no es necesario que acceda a la consola serie.
994
Tareas comunes de recuperacin
Captulo 36
UI personalizables para el administrador

y el usuario final
El IVE permite personalizar una variedad de elementos en la consola de
administracin y en la interfaz de usuario final. Esta seccin contiene la siguiente
informacin sobre los elementos que se pueden personalizar y dnde encontrar las
opciones de configuracin correspondientes.
Licencia: Disponibilidad de UI personalizables en la pgina 995
Informacin general de los elementos personalizables de la consola de

administracin en la pgina 996
Informacin general de los elementos configurables de la interfaz de usuario

final en la pgina 997
Licencia: Disponibilidad de UI personalizables

Todos los dispositivos Secure Access permiten personalizar partes de las consolas
de administracin y del usuario final. Sin embargo, tenga en cuenta que las
caractersticas de UI personalizables no estn disponibles en el dispositivo SA 700.
Pginas de inicio de sesin personalizadas que se cargan en el IVE
Grficos personalizables que muestran las estadsticas de uso del sistema
Licencia: Disponibilidad de UI personalizables
995
Informacin general de los elementos personalizables de la consola

de administracin
El IVE permite personalizar la apariencia y aspecto de los siguientes elementos
de la interfaz de usuario en la consola de administracin:
996
Pginas de inicio de sesin (predeterminadas y personalizadas): Puede

personalizar la pgina que los administradores vern al iniciar sesin en la
consola de administracin usando los ajustes de la pgina Authentication >
Signing In > Sign-in Pages. Con los ajustes de esta pgina, puede crear
mensajes de bienvenida, mensajes de cierre de sesin y otras instrucciones;
controlar los encabezados de pgina; personalizar los mensajes de error
seleccionados; y crear un vnculo a una pgina de ayuda personalizada dentro
de la pgina de inicio de sesin del IVE predeterminada. Para obtener
instrucciones, consulte Configuracin de las pginas de inicio de sesin
estndares en la pgina 221. O bien, puede cargar su propia pgina de inicio
de sesin personalizada en el IVE. Para obtener ms informacin, consulte
Custom Sign-In Pages Solution Guide.
Apariencia y aspecto de las UI: Puede personalizar el encabezado, el color de

fondo y el logotipo que aparecen en la consola de administracin usando los
ajustes de la pgina Administrators > Admin Roles > Seleccionar rol >
General > UI Options. Tambin puede usar los ajustes de esta pgina para
habilitar o inhabilitar los mens jerrquicos emergentes que aparecen cuando
pasa el mouse sobre alguno de los mens del panel izquierdo de la consola de
administracin. Para obtener instrucciones, consulte Especificacin de las
opciones de la interfaz de usuario en la pgina 912.
Grficos de uso del sistema: Puede elegir qu grficos de uso del sistema
muestra el IVE en la pgina de apertura de la consola de administracin usando
los ajustes de la pgina System > Status > Overview. Tambin puede usar los
ajustes de esta pgina para perfeccionar la apariencia y los datos de cada uno
de los grficos. Para obtener instrucciones, consulte Visualizacin del estado
general en la pgina 845.
Mostrar las opciones de permiso automtico: Puede mostrar u ocultar las

opciones de permiso automtico tanto a usted como a otros administradores
que creen marcadores nuevos para roles usando los ajustes de la pgina
Maintenance > System > Options. Para obtener instrucciones, consulte
Ajuste de las opciones del sistema en la pgina 722.
Vistas de rol de usuario: Puede usar las opciones de personalizacin de la

pgina Users > User Roles para ver rpidamente los ajustes que se asocian
con un rol especfico o un conjunto de roles. Para obtener instrucciones,
consulte Personalizacin de las vistas de UI para roles de usuario en la
pgina 86.
Vistas de mbito de usuario: Puede usar las opciones de personalizacin de la

pgina Users > User Realms para ver rpidamente los ajustes que se asocian
con un mbito de usuario especfico o un conjunto de mbitos de usuario. Para
obtener instrucciones, consulte Personalizacin de vistas de UI de territorios
de usuario en la pgina 209.
Informacin general de los elementos personalizables de la consola de administracin
Captulo 36: UI personalizables para el administrador y el usuario final
Vistas de directivas de recursos: Puede limitar qu directivas de recursos

muestra el IVE en cualquier pgina determinada de directivas de recursos
basada en roles de usuario. Por ejemplo, puede configurar la pgina Users >
Resource Policies > Web de la consola de administracin para mostrar slo
aquellas directivas de recursos que estn asignadas al rol de usuario Ventas.
Puede personalizarlas usando los ajustes de la pgina Users > Resource
Policies > Seleccionar tipo de directiva de la consola de administracin. Para
obtener instrucciones, consulte Personalizacin de las vistas de la interfaz de
usuario de directivas de recursos en la pgina 110.
Vistas de directivas de recursos: Puede limitar qu directivas de recursos

muestra el IVE en cualquier pgina determinada de directivas de recursos
basada en roles de usuario. Por ejemplo, puede configurar la pgina Users >
Resource Policies > IPSec de la consola de administracin para mostrar
slo aquellas directivas de recursos que estn asignadas al rol de usuario
Empleado. Puede personalizarlas usando los ajustes de la pgina Users >
Resource Policies > Seleccionar tipo de directiva de la consola de
administracin. Para obtener instrucciones, consulte Personalizacin de las
vistas de la interfaz de usuario de directivas de recursos en la pgina 110.
Vistas de directivas de recursos Web: Puede limitar qu pginas de

configuracin de directivas de recursos Web muestra el IVE usando los ajustes
de la pgina Users > Resource Policies > Web > Tipo de directiva de la
consola de administracin. Para obtener instrucciones sobre la configuracin,
consulte Administracin de directivas de recursos: Personalizacin de vistas de
UI en la pgina 463.
Roles de administrador: Puede delegar responsabilidades seleccionadas

a otros administradores usando los ajustes de la seccin Administrators >
Admin Roles de la consola de administracin. De esta forma, podr
restringir la visibilidad de determinadas opciones y capacidades para
estos administradores. Para obtener instrucciones, consulte Creacin y
configuracin de roles de administrador en la pgina 900.
Informacin general de los elementos configurables de la interfaz

de usuario final
El IVE permite personalizar la apariencia y aspecto de los siguientes elementos
de la interfaz de usuario final:
Pginas de inicio de sesin (predeterminadas y personalizadas): Puede
personalizar la pgina que los usuarios ven al iniciar sesin en la consola de
administracin usando los ajustes de la pgina Authentication > Signing In >
Sign-in Pages. Con los ajustes de esta pgina, puede crear mensajes de bienvenida,
mensajes de cierre de sesin y otras instrucciones; controlar los encabezados de
pgina; personalizar los mensajes de error seleccionados; y crear un vnculo a una
pgina de ayuda personalizada dentro de la pgina de inicio de sesin del IVE
predeterminada. Para obtener instrucciones, consulte Configuracin de las pginas
de inicio de sesin estndares en la pgina 221. O bien, puede cargar su propia
pgina de inicio de sesin personalizada en el IVE. Para obtener instrucciones,
consulte el manual Custom Sign-In Pages Solution Guide.
Informacin general de los elementos configurables de la interfaz de usuario final
997
998
Apariencia y aspecto de las UI: Puede personalizar el encabezado, el color de

fondo y el logotipo que aparecen en la consola de administracin usando los
ajustes de la pgina Users > User Roles > Seleccionar rol > General > UI
Options. Tambin puede usar los ajustes de esta pgina para especificar la
primera pgina que los usuarios vern despus de iniciar sesin en el IVE, el
orden en que aparecern los marcadores del IVE, el sistema de ayuda que el
IVE mostrar a los usuarios y los diversos ajustes de la barra de herramientas.
Para obtener instrucciones, consulte Especificacin de las opciones de UI en
la pgina 79.
Apariencia y aspecto de los mensajes y UI predeterminados: Puede

especificar cul ser la apariencia y aspecto predeterminado de todos los roles
de usuarios usando los ajustes de las pginas Users > User Roles > [Default
Options] de la consola de administracin. Tambin puede usar los ajustes de
estas pginas para definir los errores predeterminados que los usuarios vern al
intentar obtener acceso a un sitio bloqueado, errores de SSO o SSL inhabilitado.
Para obtener instrucciones, consulte Definicin de opciones predeterminadas
para roles de usuario en la pgina 84.
Informacin general de los elementos configurables de la interfaz de usuario final
Captulo 37
Secure Access 6000

Secure Access 6000 de Juniper Networks es un dispositivo de prxima generacin
que presenta significativas actualizaciones en el diseo del hardware con respecto
a otros miembros de la familia Secure Access.
Hardware estndar
El chasis de SA 6000 presenta los siguientes componentes de hardware:
Puerto de consola: Puede usar el puerto de consola para dar la configuracin

inicial a SA 6000 antes de integrarlo totalmente como la puerta de enlace
segura a su red interna. Tambin puede usar el puerto de consola para realizar
ciertas tareas de configuracin y de creacin clsteres despus de que el IVE
comienza a operar como la puerta de enlace segura.
Puertos de Ethernet Port 0 (interno) y Port 1 (externo): Las conexiones

primarias del SA 6000 a la red corporativa y al mundo exterior son los puertos
Ethernet internos y externos, respectivamente. Las interfaces internas y
externas se pueden configurar mediante la pgina System > Network de la
Puerto de administracin: El puerto de administracin de SA 6000 est ahora

disponible y:
Habilita la integracin sin fisuras en una red de administracin dedicada.
Proporciona acceso y disponibilidad permanente a la administracin

del IVE.
Le permite desarrollar actividades de administracin sin afectar al trfico

de los usuarios.
Le permite separar el acceso administrativo del acceso de los usuarios

entre el IVE y los dispositivos corporativos de la red interna.
Puede configurar la informacin del puerto de administracin y los ajustes

avanzados a travs de la consola de administracin, de la misma forma que
se configura el puerto interno. Para obtener ms informacin, consulte
Configuracin del puerto de administracin en la pgina 708.
Hardware estndar 999
Puertos Dual SFP: El SA 6000 incluye dos puertos conectables de factor de

forma pequeo (SFP) Gigabit Ethernet (designados como puertos 2 y 3 en la
parte frontal del SA 6000) que le ofrecen la posibilidad de aumentar la
conectividad a componentes de red internos.
LED de estado: La parte frontal del chasis del SA 6000 tiene los siguientes LED:
PWR (verde): Indica que el dispositivo tiene electricidad y est encendido.
HD (amarillo): Indica que el disco duro est en uso (escritura o lectura

de datos).
TEMP (rojo): Cuando el LED parpadea significa que uno de los ventiladores
fall o que no est bien colocado en su puerto, o bien, que fall uno de los
ventiladores y es necesario reemplazarlo. Cuando el LED no parpadea
significa que se detect una alta temperatura interna que podra hacer que
el sistema fallara si no se soluciona.
PS FAIL (rojo): Indica que una de las fuentes elctricas est defectuosa,
se desconect o tiene un fallo absoluto.
Port 0 1000 y Port 1 1000 (verde): Indica que el enlace de las interfaces
INT 0 (interna) o INT 1 (externa) de Ethernet tiene velocidad de conexin
Gigabit Ethernet.
Port 0 100 y Port 1 100 (verde): Indica que el enlace de las interfaces INT 0
(interna) o INT 1 (externa) de Ethernet tiene velocidad de conexin
100BaseT Ethernet.
NOTA: Si estn activos los LED del Port 0 1000 y del Port 0 100 (interno), o bien,
del Port 1 1000 y del Port 1 100 (externo), la velocidad del enlace para esa interfaz
es 10BaseT.
1000
Hardware estndar
LINK TX/RX Ethernet interno y externo (verde): Indica que la interfaz

Ethernet interna o externa est transmitiendo o recibiendo datos.
Puerto 2 y 3 SFP LINK (verde): Indica que est habilitado el puerto 2 o 3 SFP.
Puerto 2 y 3 SFP TX/RX (verde): Indica que el puerto 2 o 3 SFP est

enviando o recibiendo trfico.
Captulo 37: Secure Access 6000
Unidades reemplazables in situ para el SA 6000

El chasis del SA 6000 presenta tres tipos de unidades reemplazables in situ (FRU)
que puede agregar o reemplazar. Las FRU son intercambiables en caliente,
lo que significa que no tiene que apagar el SA 6000 antes de agregar o reemplazar
alguna FRU.
Discos duros: El SA 6000 se suministra con un disco duro. Sin embargo,

puede agregar un segundo disco duro opcional al chasis del SA 6000 para
proporcionar redundancia a los componentes y ayudar a minimizar el tiempo
de inactividad del IVE. Cuando se instala un segundo disco duro (redundante),
ste mantiene una copia exacta de la informacin de la configuracin y de la
imagen del software que hay en el disco duro de trabajo. Por lo tanto, si falla
el disco duro de trabajo, el disco duro redundante asume inmediatamente la
responsabilidad de todas las funciones del IVE. Esta funcin se conoce como
el proceso de rplica de matriz redundante de discos independientes (RAID).
NOTA: Los mdulos de disco duro del SA 6000 son intercambiables en caliente.
Debe asegurarse de que el IVE haya terminado de iniciarse y que est
funcionando correctamente antes de desinstalar, reemplazar o actualizar algn
mdulo de disco duro. Una vez que inserta un nuevo mdulo de disco duro, debe
esperar hasta que finalice completamente el proceso de rplica RAID, que tarda
aproximadamente 40 minutos, antes de reiniciar o apagar el IVE.
Fuentes de alimentacin: El SA 6000 se suministra con una fuente de

alimentacin de CA en la parte posterior del chasis. Puede agregar una segunda
fuente de alimentacin opcional para apoyar las funciones de distribucin de
carga y redundancia. Adems, si necesita reemplazar una de las fuentes de
alimentacin, puede intercambiar la fuente de alimentacin defectuosa por
una de reemplazo mientras la segunda fuente de alimentacin opcional asume
la responsabilidad de toda la carga de alimentacin y as evita una situacin
donde debera apagar el IVE antes de reemplazar la unidad extrable.
Ventiladores de refrigeracin: El SA 6000 se suministra con dos ventiladores

de refrigeracin instalados en la parte posterior del chasis. Si necesita
reemplazar uno de los ventiladores de refrigeracin, puede intercambiar el
ventilador defectuoso con uno de reemplazo mientras funciona la unidad y en
cuestin de minutos. Puede adquirir ventiladores de refrigeracin adicionales
de su fabricante cuando encargue su SA 6000 o puede adquirirlos en el futuro
para reemplazar los ventiladores de refrigeracin con averas o defectuosos,
segn sea necesario. Juniper recomienda encarecidamente que el SA 6000
funcione con dos ventiladores.
Para obtener informacin sobre la manera de instalar o reemplazar cualquier

hardware mencionado aqu, consulte el manual Secure Access 6000 Field
Replaceable Units Removal and Installation Guide en el sitio Juniper Networks
1001
1002
Captulo 38
Secure Access 4500 y 6500

Secure Access 4500 y 6500 de Juniper Networks presenta significativas
actualizaciones en el diseo del hardware con respecto a otros miembros
de la familia Secure Access.
Hardware estndar
El chasis de SA 4500/6500 presenta los siguientes componentes de hardware:
Puerto de consola: Use el puerto de consola para dar la configuracin inicial

a SA 4500/6500 antes de integrarlo totalmente como la puerta de enlace segura
a su red interna. Tambin puede usar el puerto de consola para realizar
determinadas tareas de configuracin y de creacin de clsteres despus de
que el IVE comienza a operar como la puerta de enlace segura.
Puertos de enlace: De forma predeterminada y slo en SA 6500, el IVE usa

enlaces de varios puertos para proporcionar proteccin en caso de errores.
El enlace es la tecnologa en la que se agregan dos puertos fsicos en un grupo
lgico. Al enlazar dos puertos en el IVE se aumentan las capacidades de
conmutacin por error al cambiar automticamente el trfico hacia el puerto
secundario cuando el puerto primario presenta errores.
El dispositivo SA 6500 enlaza puertos de la siguiente forma:
Puerto interno = Puerto 0+Puerto 1
Puerto externo = Puerto 2+Puerto 3
El IVE indica si la funcionalidad de conmutacin por error est habilitada

a travs de un mensaje en la pgina System > Network > Overview de la
consola de administrador.
Los puertos de enlace no pueden pasar por redes separadas (con varias sedes).
Hardware estndar
1003
El dispositivo admite clsteres de hasta cuatro nodos activo/activo o de 2 nodos

activo/pasivo.
Puerto de administracin: El puerto de administracin del SA 6500:
Habilita la integracin sin fisuras en una red de administracin dedicada.
Proporciona acceso y disponibilidad permanente a la administracin

del IVE.
Le permite desarrollar actividades de administracin sin afectar al trfico

de los usuarios.
Le permite separar el acceso administrativo del acceso de los usuarios

entre el IVE y los dispositivos corporativos de la red interna.
Puede configurar la informacin del puerto de administracin y los ajustes

avanzados a travs de la consola de administracin, de la misma forma
que se configura el puerto interno. Para obtener ms informacin, consulte
Configuracin del puerto de administracin en la pgina 708.
Puertos SFP: Hay disponibles puertos conectables de factor de forma pequeo

(SFP) de 4 puertos como una caracterstica opcional para proporcionar
redundancia de vnculos a los conmutadores internos.
LEDs de estado: Hay tres LEDs que indican el estado del dispositivo, y estn
situados en el lado izquierdo del panel frontal:
Alimentacin
Acceso al disco duro
Fallo
Tabla 59 en la pgina 1004 contiene el nombre, color, estado y la descripcin

de cada LED de estado del dispositivo.
Tabla 59: LEDs de estado del dispositivo
Nombre
Color
Estado
Descripcin
POWER
Verde
Apagado
El dispositivo no est recibiendo

alimentacin
Estable
El dispositivo est recibiendo alimentacin
HARD DISK ACCESS
FAULT
1004
Hardware estndar
Amarillo Apagado
Rojo
El disco duro est inactivo
Intermitente
El disco duro est en funcionamiento
Apagado
El dispositivo funciona con normalidad
Intermitente
lento
Falla la fuente de alimentacin
Intermitente
rpido
Falla el ventilador
Fijo
Fallo trmico
Captulo 38: Secure Access 4500 y 6500
LEDs de los puertos de Ethernet: Los LED de los puertos de Ethernet muestran
el estado de cada puerto de Ethernet.
Tabla 60: LEDs Ethernet de gigabit de cobre de 4 puertos (disponible en SA 4500 y

SA 6500)
LED
Color y estado
Descripcin
Link/Activity
Verde
Enlace
Verde intermitente
Actividad
Apagado
10 Mbps
Verde
100 Mbps
Amarillo
1 Gbps
Link Speed

El chasis de SA 6500 presenta tres tipos de unidades reemplazables in situ (FRU)
que puede agregar o reemplazar. Las FRU son intercambiables en caliente, lo que
significa que no tiene que apagar el SA 6500 antes de agregar o reemplazar una
FRU. El SA 4500 tiene una fuente de alimentacin intercambiable en fro.
Para obtener informacin de seguridad, consulte el manual Juniper Networks
Products Safety Guide disponible en el sitio de Soporte tcnico de Juniper Networks.
Discos duros: El SA 6500 se suministra con un disco duro, pero puede agregar
un segundo disco duro opcional al chasis del SA 6500 para proporcionar
redundancia a los componentes y ayudar a minimizar el tiempo de inactividad
del IVE. Cuando se instala un segundo disco duro (redundante), ste mantiene
una copia exacta de la informacin de la configuracin y de la imagen del
software que hay en el disco duro de trabajo. Por lo tanto, si el disco duro
de trabajo falla, el disco duro redundante asume inmediatamente la
responsabilidad de todas las funciones del IVE. Esta funcin se conoce como
el proceso de rplica de matriz redundante de discos independientes (RAID).
NOTA: Los mdulos de disco duro del SA 6500 son intercambiables en caliente.
Debe asegurarse de que el IVE haya terminado de iniciarse y que est
funcionando correctamente antes de desinstalar, reemplazar o actualizar algn
mdulo de disco duro. Despus de insertar un nuevo mdulo de disco duro,
debe esperar hasta que finalice por completo el proceso de rplica RAID
(aproximadamente 40 minutos) antes de reiniciar o apagar el IVE.
Fuentes de alimentacin: El SA 6500 se suministra con una fuente de

alimentacin de CA en la parte posterior del chasis. Puede agregar una segunda
fuente de alimentacin opcional para apoyar las funciones de distribucin de
carga y redundancia. Adems, si necesita reemplazar una de las fuentes de
alimentacin, puede intercambiar la fuente de alimentacin defectuosa por
una de reemplazo mientras la segunda fuente de alimentacin opcional asume
la responsabilidad de toda la carga de alimentacin y as evita una situacin en
la que sea necesario apagar el IVE antes de reemplazar la unidad extrable.
1005
Ventiladores de refrigeracin: El SA 6500 se suministra con dos ventiladores

de refrigeracin instalados en la parte posterior del chasis. Si necesita
reemplazar uno de los ventiladores de refrigeracin, puede intercambiar el
ventilador defectuoso con uno de reemplazo mientras funciona la unidad y en
cuestin de minutos. Puede adquirir ventiladores de refrigeracin adicionales
de su fabricante cuando ordene su SA 6500 o puede adquirirlos en el futuro
para reemplazar los ventiladores de refrigeracin con averas o defectuosos,
segn sea necesario.
Reemplazo de los ventiladores de refrigeracin

El SA 6500 se suministra con dos ventiladores de refrigeracin instalados en la
parte posterior del chasis. Si necesita reemplazar uno de los ventiladores de
refrigeracin, puede intercambiar en caliente el ventilador defectuoso con uno
de repuesto mientras trabaja, en cuestin de minutos. Puede adquirir ventiladores
de refrigeracin adicionales de su distribuidor de Juniper autorizado o puede
adquirirlos en el futuro para reemplazar los ventiladores de refrigeracin averiados
o defectuosos, segn sea necesario.
Extraccin e instalacin de un ventilador de refrigeracin

Para extraer un mdulo del ventilador de refrigeracin:
1. Para liberar el mdulo del ventilador de refrigeracin, proceda de una de las
siguientes maneras:
Presione y deslice el activador de liberacin hacia el centro del mdulo del

ventilador de refrigeracin
Suelte los tornillos de apriete manual
2. Tome el mdulo del ventilador de refrigeracin y extrigalo con cuidado.

PRECAUCIN: Cuando extraiga el mdulo del ventilador de refrigeracin, es
importante que vuelva a instalar un ventilador de repuesto. El segundo ventilador
es necesario para permitir el adecuado flujo de aire por los componentes internos
del chasis; no es un ventilador redundante.
Para instalar un mdulo del ventilador de refrigeracin:

1. Alinee un mdulo del ventilador de refrigeracin con un puerto del ventilador
de refrigeracin vaco en la parte posterior del chasis.
2. Deslice lentamente el mdulo hacia la unidad del chasis hasta que se ajuste
en su lugar.
3. Apriete los tornillos de apriete manual, si los incluye el ventilador de
refrigeracin.
1006
Reemplazo de los ventiladores de refrigeracin
Reemplazo de un disco duro

El SA 6500 viene con dos discos duros de serie para ofrecer redundancia a los
componentes y ayudar a minimizar el tiempo de inactividad. El segundo disco duro
(redundante) mantiene una copia exacta de la informacin de configuracin y de la
imagen del software que hay en el disco duro de trabajo. Por lo tanto, si el disco
duro de trabajo falla, el disco duro redundante asume inmediatamente la
responsabilidad de todas las funciones. Esta funcin se conoce como el proceso
de rplica de matriz redundante de discos independientes (RAID).
NOTA: Los mdulos de disco duro son intercambiables en caliente. Despus

de insertar un nuevo mdulo del disco duro, debe esperar hasta que finalice
el proceso de rplica RAID antes de reiniciar o apagar el dispositivo.
Extraccin e instalacin de un disco duro

Para extraer un disco duro:
1. En el mdulo del disco duro, presione el activador de liberacin de asa azul
hacia adentro y a la derecha para liberar y retirar el asa de insercin y
extraccin.
2. Tome el asa y saque el mdulo del disco duro del chasis.
Cuando haya sacado el mdulo del disco duro, asegrese de reemplazarlo con
un disco duro de repuesto.
Para instalar un disco duro:
1. Con el asa de insercin y extraccin del mdulo del disco duro en la posicin
liberada/hacia fuera, alinee el mdulo del disco duro con un puerto vaco de
disco duro en la parte frontal del chasis.
2. Deslice con cuidado el mdulo del disco duro hacia la unidad del chasis hasta
que se ajuste en su lugar.
Retraiga el asa balancendola hacia atrs desde la parte frontal de la unidad del
disco duro hasta que est completamente a ras con la superficie del mdulo del
disco duro.
Reemplazo de mdulos IOC

Esta seccin contiene informacin acerca de la extraccin e instalacin de mdulos
IOC (IOM) en SA 6500.
PRECAUCIN: Apague el dispositivo antes de sacar o instalar un IOM. Los IOM no
son intercambiables en caliente.
Reemplazo de un disco duro
1007
Extraccin de una placa frontal plana de un IOM

Para mantener un flujo de aire adecuado a travs del dispositivo, deje las placas
frontales planas sobre las ranuras que no contienen IOM. No retire una placa frontal
plana a menos que vaya a instalar un IOM en la ranura vaca.
Para sacar una placa frontal plana:
1. Desenchufe el cable de alimentacin.
2. Suelte los tornillos de apriete manual de cada lado de la placa frontal.
3. Tome los tornillos y tire para sacar la placa frontal.
Instalacin de un IOM
Para instalar un IOM:
2. Alinee el IOM con un puerto vaco en la parte frontal del chasis.
3. Deslice con cuidado el IOM hacia adentro, hasta que se ajuste firmemente en
el dispositivo.
4. Apriete los tornillos de cada lado de la placa frontal del IOM.
5. Inserte los cables correspondientes en los conectores para los cables del IOM.
6. De ser necesario, ordene los cables para prevenir que se salgan o que se
produzcan puntos de tensin:
Asegure el cable para que no quede colgando y soportando su propio peso.
Enrolle el cable sobrante en un bucle bien ordenado para que no estorbe.
Use bridas para mantener la forma de los bucles de cable.
7. Inserte el cable de alimentacin en el receptculo de alimentacin de CA.
Extraccin de un IOM
Para extraer un IOM:
2. Desconecte los cables del IOM.
3. De ser necesario, ordene los cables para evitar que se salgan o que se
produzcan puntos de tensin.
4. Suelte los tornillos de apriete manual de cada lado de la placa frontal IOM.
5. Tome los tornillos y tire para sacar el IOM.
Si va a instalar un IOM en la ranura vaca, instale una placa frontal de IOM plana
en la ranura para mantener un flujo de aire apropiado.
1008
Reemplazo de mdulos IOC
Reemplazo de una fuente de alimentacin de CA

Extraccin e instalacin de una fuente de alimentacin de CA
El dispositivo de Juniper Networks tiene instalada una fuente de alimentacin de CA
en la parte trasera del chasis. Puede agregar una segunda fuente de alimentacin
opcional para apoyar las funciones de distribucin de carga y redundancia. Adems,
si necesita reemplazar una de las fuentes de alimentacin, puede intercambiar en
caliente la fuente de alimentacin defectuosa por una de repuesto mientras la
segunda fuente de alimentacin opcional asume la responsabilidad total de la carga
de alimentacin y as evita una situacin en la que sea necesario apagar el IVE
antes de reemplazar la unidad extrable.
Para extraer un mdulo de fuente de alimentacin de CA:
1. Presione el activador de liberacin hacia adentro y a la derecha para liberar
el mdulo.
2. Tome el asa de insercin y extraccin y tire recto del mdulo de fuente de
alimentacin del chasis.
Despus de extraer el mdulo de alimentacin, asegrese de reemplazarlo
con una fuente de alimentacin de reemplazo o coloque la cubierta falsa del
puerto de la fuente de alimentacin que vena en el chasis cuando recibi su
producto.
Para instalar un mdulo de fuente de alimentacin de CA:
1. Alinee el mdulo de fuente de alimentacin con un puerto de fuente de
alimentacin vaco en la parte posterior del chasis.
2. Deslice lentamente el mdulo de fuente de alimentacin hacia la unidad del
chasis hasta que se ajuste en su lugar.
Extraccin e instalacin de una fuente de alimentacin de CC

Para extraer un mdulo de fuente de alimentacin de CC:
2. Desconecte los cables de alimentacin de CC de los terminales de la fuente
de alimentacin de CC.
3. Presione el activador de liberacin hacia adentro y a la derecha para liberar
el mdulo.
4. Tome el mdulo de fuente de alimentacin y squelo recto del chasis.
1009
Para instalar un mdulo de fuente de alimentacin:

1. Deslice lentamente el mdulo hacia la unidad del chasis hasta que se ajuste en
su lugar.
2. Conecte los cables de alimentacin de CC al mdulo usando los terminales.
Asegrese de conectar el cable de conexin a tierra.
3. Conecte el cable de alimentacin.
1010
Captulo 39
Secure Access FIPS

FIPS, o Federal Information Processing Standards (estndares federales de
procesamiento de informacin); son las normativas del Instituto Nacional de
Estndares y Tecnologa de EEUU para administracin de claves y encriptacin de
datos. Secure Access FIPS de Juniper Networks es una extranet virtual instantnea
estndar de NetScreen serie SA4000 o SA6000 que cuenta con un mdulo
criptogrfico certificado por los estndares FIPS. El sistema Secure Access FIPS
cuenta con un mdulo de seguridad a prueba de manipulaciones y est certificado
que cumple con los criterios de seguridad 140-2 nivel 3 de los estndares FIPS.
El mdulo administra claves criptogrficas privadas y protocolos de enlace SSL
de forma simultnea, garantizando el cumplimiento con los estndares FIPS
y transfiere las tareas de infraestructura de clave pblica (PKI, Public, Key
Infastructure) desde el IVE a un mdulo dedicado, con lo que se reduce el uso
intensivo de la CPU para estas tareas.
El proceso de configuracin para los administradores de Secure Access FIPS es
prcticamente el mismo que para los administradores de Secure Access sin FIPS
y solo requiere cambios menores en la configuracin durante los procesos de
inicializacin, creacin de clsteres y generacin de certificados. Esta gua
proporciona las instrucciones apropiadas para los administradores de Secure Access
y Secure Access FIPS para los pocos casos en los que las tareas de administracin
son diferentes. Para los usuarios finales, Secure Access FIPS es exactamente igual al
sistema Secure Access normal.
Licencia: Disponibilidad de Secure Access FIPS en la pgina 1012
Ejecucin de Secure Access FIPS en la pgina 1012
Creacin de tarjetas de administrador en la pgina 1013
Creacin de un entorno de seguridad nuevo en la pgina 1017
Recuperacin de un entorno de seguridad archivado en la pgina 1020
1011
Licencia: Disponibilidad de Secure Access FIPS

Secure Access FIPS es una caracterstica de hardware incorporada en algunos
dispositivos Secure Access. No est disponible en los dispositivos SA 700.
Ejecucin de Secure Access FIPS

Cuando instale el sistema Secure Access FIPS por primera vez, la consola serie de
IVE le guiar por el proceso de creacin de un entorno de seguridad a travs de la
consola serie. Un entorno de seguridad es el sistema de administracin de claves
usado por Secure Access FIPS y consta de los siguientes elementos:
Mdulo criptogrfico: El mdulo criptogrfico (a veces tambin llamado

mdulo de seguridad de hardware o HSM) incluido con Secure Access FIPS
tiene instalado hardware y firmware directamente en el dispositivo. Un entorno
de seguridad puede contener un nico mdulo criptogrfico (entorno estndar)
o varios mdulos (entorno en clsteres). Sin embargo, un dispositivo Secure
Access FIPS nico siempre est equipado con un nico mdulo criptogrfico.
Clave del entorno de seguridad: Una clave del entorno de seguridad es una
clave encriptada Triple DES exclusiva que protege las claves de todas las
aplicaciones situadas dentro de un entorno de seguridad. Como requieren los
estndares federales de procesamiento de informacin, esta clave no se puede
importar a un entorno de seguridad, sino que se debe crear directamente desde
un mdulo criptogrfico. En un entorno de clsteres, todos los mdulos
situados dentro del entorno de seguridad comparten la misma clave del
entorno de seguridad. (Para obtener ms informacin, consulte
Implementacin de un clster en un entorno Secure Access FIPS en la
pgina 1015.)
Tarjetas inteligentes: Una tarjeta inteligente es un dispositivo extrable con

clave que se parece a una tarjeta de crdito. Esta tarjeta autentica a los usuarios
y les permite acceder a distintos datos y procesos bajo control del mdulo de
hardware criptogrfico. Durante el proceso de inicializacin, debe insertar una
de sus tarjetas inteligentes en el lector (integrado o externo, dependiendo del
modelo de dispositivo que tenga). Como parte del proceso de inicializacin,
la tarjeta inteligente se transforma en una tarjeta de administrador que permite
al portador acceder al entorno de seguridad. (Para obtener ms informacin,
consulte Reemplazo de tarjetas de administrador en la pgina 1019.)
Datos encriptados: Entre los datos del host encriptados en un entorno Secure
Access FIPS se encuentran las claves y otros datos requeridos para compartir
informacin de forma segura.
Estos elementos funcionan de forma conjunta para crear un entorno de seguridad

completo. Cuando inicie el dispositivo, ste confirmar que el entorno de seguridad
sea vlido y que el mdulo criptogrfico est en modo operativo antes de comenzar
las operaciones normales.
1012
Licencia: Disponibilidad de Secure Access FIPS
Captulo 39: Secure Access FIPS
NetScreen Puede poner el mdulo criptogrfico en modo operativo usando el

conmutador de hardware que se encuentra en la parte externa del mdulo. Los
ajustes del conmutador incluyen:
I: modo de inicializacin. Use esta configuracin cuando inicialice el mdulo

criptogrfico con un entorno de seguridad nuevo o cuando agregue un mdulo
a un entorno de seguridad existente en un clster de IVE. Tenga en cuenta que
una vez que ponga el conmutador en I y comience la inicializacin, deber
completar el proceso. De lo contrario, el entorno de seguridad slo se
inicializar parcialmente, quedando inutilizable.
O: modo operativo. Use esta configuracin para poner el mdulo criptogrfico

en modo operativo despus de la inicializacin. Tenga en cuenta que debe
poner el conmutador en O antes de encender el mdulo para notificarle a la
unidad que desea comenzar el procesamiento diario. De lo contrario, el mdulo
lo guiar a travs de la consola serie para integrarse en el entorno de seguridad
existente o para que inicialice uno nuevo.
M: modo de mantenimiento. En versiones futuras, esta configuracin se

usar para actualizar el firmware del mdulo criptogrfico. (No est disponible
todava).
Para obtener ms informacin acerca de la inicializacin del mdulo y de la

creacin de un entorno de seguridad nuevo, consulte el manual Juniper Networks
NetScreen Secure Access FIPS Getting Started Guide que se incluye con el paquete
del producto.
Creacin de tarjetas de administrador

Junto con su producto Secure Access FIPS, recibir 6 tarjetas inteligentes como
parte del paquete. Una tarjeta inteligente es un dispositivo extrable con clave que se
debe usar para obtener acceso a algunos datos y procesos crticos controlados por
el mdulo criptogrfico. Secure Access FIPS al principio le solicitar que use una de
sus tarjetas inteligentes al inicializar el mdulo criptogrfico a travs de la consola
serie. Durante este proceso, Secure Access FIPS crea un entorno de seguridad nuevo
y transforma la tarjeta inteligente en una tarjeta de administrador que le permite al
portador acceder solamente a ese entorno de seguridad.
Despus de inicializar el mdulo no necesitar la tarjeta de administrador para las
operaciones normales del IVE. Sin embargo, deber usar la tarjeta de administrador
cuando desee:
Agregar otro equipo con Secure Access FIPS a un clster. Para obtener ms
informacin, consulte Implementacin de un clster en un entorno Secure
Access FIPS en la pgina 1015.
Reinicializar un mdulo con un entorno de seguridad nuevo o diferente. Para

obtener ms informacin, consulte Recuperacin de un entorno de seguridad
archivado en la pgina 1020.
Reemplazar las tarjetas de administrador. Para obtener ms informacin,

consulte Reemplazo de tarjetas de administrador en la pgina 1019.
1013
Como regla general, cualquier operacin de Secure Access FIPS que deba ejecutar
a travs de la consola serie del IVE requiere una tarjeta de administrador.
NOTA: Cada vez que cambie el entorno de seguridad deber decidir qu har con
las tarjetas de administrador existentes. Las opciones son:
Volver a configurar las tarjetas de administrador existentes con el entorno

de seguridad nuevo.
Usar tarjetas de administrador que se inicializaron previamente en el entorno

de seguridad nuevo y dejar las tarjetas de administrador existentes sin
cambios. Sin embargo, debe tener en cuenta que si elige esta opcin no podr
usar las tarjetas antiguas para acceder al entorno de seguridad nuevo.
Precauciones con la tarjeta de administrador

Debido a la gran importancia que tienen las tarjetas de administrador en las
operaciones Secure Access FIPS y en la seguridad de las claves dentro del entorno
de seguridad, le recomendamos encarecidamente que tome las siguientes
precauciones:
1014
Cree varias tarjetas de administrador: La tarjeta de administrador no se puede

reemplazar a menos que tenga otra tarjeta vlida con su frase de seguridad
correspondiente; el mdulo criptogrfico no almacena los datos de
recuperacin para la tarjeta de administrador. Por lo tanto, le recomendamos
encarecidamente que cree al menos una tarjeta de administrador para
operaciones administrativas regulares y otra para propsitos de respaldo.
De lo contrario, corre el riesgo de perder la nica tarjeta de administrador y,
consecuentemente, perder acceso al entorno de seguridad y a toda la
informacin almacenada. Las tarjetas de administrador slo pueden crearse por
grupos, todas al mismo tiempo. No se puede agregar tarjetas adicionales a un
grupo existente.
Guarde una tarjeta de administrador de respaldo en una ubicacin segura:

Mantenga siempre sus tarjetas de administrador en un lugar seguro, separadas
de la tarjeta que usa para operaciones administrativas regulares, para
asegurarse de no perder todas las tarjetas de administrador en el mismo
siniestro (como un incendio o robo).
Sobrescriba todas las tarjetas de administrador si se pierde una: Si pierde

o daa una tarjeta de administrador, cree de inmediato un entorno de
seguridad nuevo y sobrescriba todas las tarjetas de administrador restantes del
entorno de seguridad anterior. De lo contrario, un atacante con una tarjeta de
administrador antigua podra tener acceso a los datos antiguos en el host que
estn almacenados en una cinta de respaldo o en otro host. Con los datos
antiguos en el host y con una tarjeta antigua, el atacante podra volver a crear
las claves de seguridad.
Proteja la frase de seguridad de la tarjeta de administrador: Para garantizar

la mxima seguridad, nunca escriba su frase de seguridad, no se la comunique
a usuarios que no sean de confianza ni use una frase de seguridad que sea fcil
de adivinar. La proteccin de su frase de seguridad es un nivel de seguridad
extra en sus operaciones.
Use su tarjeta de administrador con fuentes conocidas y de confianza

solamente: Adquiera tarjetas de seguridad de fuentes fiables, nunca inserte una
tarjeta de seguridad en un lector que no sea fiable y nunca inserte tarjetas de
seguridad no fiables en su lector de tarjetas inteligentes.
Implementacin de un clster en un entorno Secure Access FIPS

Adems de compartir los datos de estado, perfil de usuario, sesin de usuario
y supervisin de estado, los miembros de un clster Secure Access FIPS tambin
comparten los datos del entorno de seguridad. Todos los miembros del clster
comparten la misma clave privada y tienen acceso usando las mismas tarjetas de
administrador. Sin embargo, debido a que para cambiar el entorno de seguridad
se require acceso fsico al mdulo criptogrfico, los miembros del clster Secure
Access FIPS no pueden compartir todos sus datos usando el proceso de
sincronizacin peridica del IVE. En vez de eso, para crear un clster Secure Access
FIPS debe:
1. Crear un clster de equipos con Secure Access FIPS a travs de la consola
de administracin: Al igual que con el clster normal del IVE, cada nodo de
un clster Secure Access FIPS se inicializa usando los datos de sistema del
miembro del clster que se ha especificado, sobrescribiendo todos los datos
existentes en el equipo nodo.
2. Actualice de forma manual el entorno de seguridad en cada uno de los
equipos: Despus de crear un clster, debe inicializar cada uno de sus nodos
con el entorno de seguridad del miembro especificado, usando una tarjeta de
administrador previamente inicializada con ese entorno de seguridad y con la
consola serie. Antes de integrarlo en un clster, cada nodo est en su propio
entorno de seguridad. Por lo tanto, despus de integrar un nodo en el clster,
la tarjeta de administrador de ese nodo ya no ser vlida. Slo ser vlida la
tarjeta de administrador configurada desde el clster.
De forma similar, si desea modificar un entorno de seguridad existente en un
clster, deber actualizar individualmente el mdulo criptogrfico de cada miembro
del clster usando una tarjeta de administrador y la consola serie del IVE. Para
obtener instrucciones, consulte IVE Consola serie en la pgina 987.
El proceso bsico para crear un clster contiene los siguientes pasos de nivel
superior:
1. Inicialice un IVE desde la consola serie, creando tarjetas de administrador.
2. Cree el clster desde la consola de administracin de este IVE.
3. Agregue nodos al clster desde la consola de administracin de este IVE.
4. Reinicie el nodo integrado desde la consola serie.
5. Cuando se le solicite, proporcione los detalles del clster, incluyendo
la direccin IP, la mscara de red y el dominio del nodo actual.
1015
6. Cuando se le solicite, inserte una tarjeta de administrador desde el grupo de

tarjetas del cluster. La tarjeta de administrador del nodo, si existiese, no ser
vlida desde el momento en que el nodo se integre en el entorno de seguridad
del clster.
Para inicializar un entorno de seguridad de un miembro del clster FIPS a travs
de la consola serie:
1. Inserte una tarjeta de administrador previamente inicializada en el entorno
de seguridad de un miembro activo del clster en la ranura para la tarjeta
inteligente con los contactos hacia arriba.
NOTA: Si ya realiz los procedimientos necesarios para configurar el dispositivo

FIPS, como se describe en la Gua de inicio rpido, puede omitir este paso.
2. Cambie el conmutador de modo del mdulo criptogrfico a I (modo de

inicializacin) si no est en esa posicin.
3. Conctelo a la consola serie del equipo. Para obtener ms informacin,
consulte IVE Consola serie en la pgina 987.
4. Apague y encienda el equipo para que se reinicie y observe la consola serie.
Despus de que el software del sistema se inicie, ver un mensaje indicando
que el equipo se iniciar como un IVE independiente y que puede presionar
la tecla Tab para ver las opciones de creacin de clsteres. Presione la tecla
Tab tan pronto como vea ese mensaje.
NOTA: El tiempo para presionar la tecla Tab es de cinco segundos. Si el equipo
comienza a iniciarse en modo independiente, espere a que termine y luego vuelva
a reiniciarlo.
5. Introduzca el nmero 2 para integrarse en el clster existente o el nmero 1

para continuar como un IVE independiente.
6. Introduzca la informacin de inicializacin a medida que se solicita, a saber:
1016
Nombre de clster
Contrasea del clster
Direccin IP de un nodo del clster
Direccin IP del nodo que est agregando
Mscara de red
Direccin IP de la puerta de enlace
NOTA: Despus de que inicialice los miembros de un clster Secure Access FIPS
con el mismo entorno de seguridad, puede inhabilitar y volver a habilitar el clster
a travs de la consola de administracin. Cuando todos los miembros del clster
sean parte del mismo entorno de seguridad, ya no ser necesario usar la consola
serie.
7. Seleccione 1 para continuar la integracin en el clster.

8. Despus de que el dispositivo FIPS inicialice la tarjeta, cambie el conmutador
de modo del mdulo criptogrfico a O (modo operativo).
Creacin de un entorno de seguridad nuevo

No podr comenzar a usar un equipo con Secure Access FIPS hasta que cree un
entorno de seguridad en l. Sin embargo, es posible que en algunos casos sea
necesario sobrescribir ese entorno de seguridad con uno nuevo. Por ejemplo,
si pierde una tarjeta de administrador, le recomendamos que cree un entorno de
seguridad totalmente nuevo para evitar que alguna fuente no fiable encuentre la
tarjeta y acceda al entorno de seguridad. Es posible que tambin necesite crear
un entorno de seguridad nuevo si no puede recordar las frases de seguridad de
las tarjetas de administrador originales.
Para crear un entorno de seguridad nuevo, debe tener acceso fsico a los siguientes
elementos:
Los mdulos criptogrficos que pertenecen al entorno de seguridad
Un lector de tarjetas inteligentes (si usa un modelo ms antiguo de IVE que

no tiene incorporado un lector de tarjetas)
Una o ms tarjetas inteligentes sin formatear o tarjetas de administrador que

contengan datos que se puedan sobrescribir con seguridad
NOTA: Las tarjetas de administrador antiguas no funcionarn en el entorno de

seguridad nuevo hasta que las vuelva a formatear con la informacin del entorno
de seguridad nuevo. Tambin tenga en cuenta que una vez que ponga el
conmutador en I y comience la inicializacin, deber completar el proceso.
De lo contrario, el entorno de seguridad slo se inicializar parcialmente,
quedando inutilizable.
Para obtener informacin acerca de cmo sobrescribir un entorno de seguridad con

otro nuevo, consulte Recuperacin de un entorno de seguridad archivado en la
pgina 1020.
NOTA: ADVERTENCIA: Debe obtener de su autoridad de certificacin (CA) uno
o ms certificados para dispositivos nuevos cada vez que cree un entorno de

seguridad nuevo.
1017
Creacin de un entorno de seguridad en un IVE independiente IVE

Para crear un entorno de seguridad nuevo en un IVE independiente:
1. Inserte en la ranura correspondiente una tarjeta inteligente o una tarjeta de
administrador con los contactos hacia arriba. Verifique que esta tarjeta tenga
datos que se puedan sobrescribir con seguridad.
inicializacin).
3. Acceda a la consola serie del IVE y reinicie el IVE. Para obtener instrucciones,
consulte Conexin a la consola serie de un dispositivo IVE en la pgina 987.
Despus de que el IVE se reinicie, se le presentar la siguiente pregunta en la
consola serie:
Do you want to use the currently installed security world (y/n)?
4. Realice una de las siguientes opciones:
Si desea crear un entorno de seguridad nuevo, entonces:

i.
Introduzca n y presione Enter.
ii.
Con la pregunta Are you sure you want to delete your existing Security
World (including server certificates) (y/n)? se le solicitar que confirme
esa opcin. Si elige continuar, introduzca y y presione Enter.
iii. Introduzca el nmero de tarjetas de administrador que desea crear

y presione Enter.
iv. Introduzca y y presione Enter para confirmar la cantidad de tarjetas
que desea crear.
Si desea usar el entorno de seguridad actualmente instalado, entonces:

i.
Introduzca y y presione Enter.
ii.
Proceda con el siguiente paso en este procedimiento.
5. Vuelva a poner el conmutador de modo del mdulo criptogrfico en O (modo

operativo).
6. Agregue el nombre comn y el nombre de la empresa cuando se le solicite.
El sistema usa el certificado autofirmado existente de forma temporal.
7. Cree un nuevo certificado para dispositivos que tenga la misma clave privada
que el entorno de seguridad nuevo. Para obtener ms informacin, consulte
Creacin de una solicitud de firma de certificado (CSR) para un nuevo
certificado en la pgina 754.
NOTA: ADVERTENCIA: Debe obtener de su CA uno o ms certificados de servidor

cuando cree un entorno de seguridad nuevo.
1018
Creacin de un entorno de seguridad en un entorno de clsteres

Para crear un entorno de seguridad nuevo en un entorno de clsteres:
1. Inicie sesin en la consola de administracin de un nodo del clster. Para
acceder a la consola de administracin de un nodo, escriba en el explorador
la direccin IP interna seguida de /admin. Por ejemplo:
https://x.x.x.x/admin
2. En la ficha System > Clustering > Status, seleccione la casilla de verificacin

para todos los nodos excepto para el nodo actual en la columna Cluster
Members y luego haga clic en Disable.
3. Inicialice el miembro del clster con un entorno de seguridad. Si este es el
primer nodo del clster, cree un entorno de seguridad nuevo, como se explica
en Creacin de un entorno de seguridad nuevo en la pgina 1017.
4. Regrese a la ficha System > Clustering > Status del nodo, seleccione la casilla
de verificacin junto a los nodos inhabilitados en la columna Cluster Members
y luego haga clic en Enable.
5. Espere a que todos los miembros del clster estn en estado Enabled.
6. Cambie a I (modo de inicializacin) el conmutador de modo de los mdulos
criptogrficos de los miembros del clster que inhabilit anteriormente.
7. Reinicie cada uno de estos nodos desde la consola serie.
8. Despus de integrar un nodo en el entorno de seguridad, vuelva a poner el
conmutador de modo del mdulo criptogrfico en O (modo operativo).
Reemplazo de tarjetas de administrador

Puede reemplazar una tarjeta de administrador seleccionando la opcin Replace
Administrator Card Set desde la consola serie. No puede aumentar la cantidad de
tarjetas de administrador en un grupo existente. Si desea hacer esto, tiene que crear
un entorno de seguridad nuevo que reemplace a todas las tarjetas existentes de un
grupo y le permita crear un grupo de tarjetas mayor o menor. Para obtener ms
informacin, consulte Creacin de un entorno de seguridad en un entorno de
clsteres en la pgina 1019.
NOTA: Al reemplazar las tarjetas de administrador se reinician los servicios en el
IVE independiente o en el clster.
Si necesita reemplazar las tarjetas de administrador para un entorno de seguridad,

debe tener acceso fsico a:
UIn mdulo criptogrfico que pertenezca al entorno de seguridad
Un lector de tarjetas inteligentes (si usa un modelo ms antiguo de IVE que no

contiene un lector de tarjeta incorporado)
1019
Una tarjeta de administrador que se haya inicializado previamente con el

entorno de seguridad
Una tarjeta inteligente sin formatear o una tarjeta de administrador que

contenga datos que pueda sobrescribir con seguridad.
La misma cantidad de tarjetas inteligentes sin formatear o tarjetas de

administrador que el grupo original que pueda sobrescribir con seguridad.
NOTA: Si necesita reemplazar las tarjetas de administrador, debe reemplazarlas

con la misma cantidad de tarjetas que inicializ al principio para el entorno de
seguridad. No es posible reemplazar un grupo menor de tarjetas.
NOTA: Si necesita tarjetas inteligentes adicionales, pngase en contacto con su

distribuidor de IVE.
Para reemplazar todas las tarjetas de administrador o para crear una cantidad
mayor de tarjetas para un entorno de seguridad:
1. Siga los pasos para crear un entorno de seguridad, como se describi en
Creacin de un entorno de seguridad en un IVE independiente IVE en la
pgina 1018.
2. Elija Replace Administrator Card Set en la lista de tareas de configuracin.
3. Introduzca la frase de seguridad para el entorno de seguridad.
4. Cuando se le indique, inserte en la ranura correspondiente, y con los contactos
hacia arriba, una tarjeta inteligente sin formatear o una tarjeta de
administrador que tenga datos que pueda sobrescribir de forma segura.
5. Introduzca la informacin adicional para la inicializacin que se le solicita.
6. Repita los pasos 4 y 5 para todas las tarjetas que desee crear.
7. Guarde al menos una tarjeta de administrador en una ubicacin segura.
Recuperacin de un entorno de seguridad archivado

En casos excepcionales, es posible que necesite recuperar su sistema usando un
entorno de seguridad archivado. El entorno de seguridad archivado puede ser una
versin anterior del entorno de seguridad que ya existe en su sistema o la misma
versin. Con el fin de recuperar su sistema debe tener acceso al archivo de
configuracin del sistema (de forma predeterminada, system.cfg) que almacena
el entorno de seguridad archivado y su certificado de seguridad correspondiente.
1020
Adems, si va a sobrescribir el entorno de seguridad con uno diferente, debe tener

acceso fsico a:
Todos los mdulos criptogrficos que pertenecen al entorno de seguridad
Un lector de tarjeta inteligente (si usa un modelo ms antiguo de IVE que no

contiene un lector de tarjeta incorporado)
Una tarjeta de administrador que se haya inicializado previamente con el

entorno de seguridad y una frase de seguridad de administrador que desee
importar
Importacin de un entorno de seguridad en un IVE independiente

Para importar un entorno de seguridad existente en un IVE independiente:
1. Importe el archivo de configuracin del sistema que contiene el entorno de
seguridad archivado y su certificado correspondiente en el IVE (como se explic
en Importacin de un archivo de configuracin del sistema en la pgina 788)
y luego inicialice el entorno de seguridad, si fuese necesario. Si el archivo de
seguridad contiene un archivo:
Del mismo entorno de seguridad que ya estaba presente en el equipo,

no se requieren ms configuraciones.
De un entorno de seguridad diferente al que estaba presente en el equipo,

deber inicializar el entorno de seguridad nuevo.
NOTA: Si importa un archivo de configuracin que contiene un entorno de

seguridad nuevo, tenga en cuenta que las tarjetas de administrador existentes
no funcionarn con el entorno de seguridad importado hasta que las vuelva
a formatear con la informacin del entorno de seguridad nuevo. Tambin tenga
en cuenta que una vez que ponga el conmutador en I y comience la inicializacin,
deber completar el proceso. De lo contrario, el entorno de seguridad slo se
inicializar parcialmente, quedando inutilizable.
1. Inserte en la ranura del lector de tarjeta inteligente y con los contactos hacia
arriba, una tarjeta de administrador que se haya inicializado previamente con
el entorno de seguridad importado.
inicializacin).
3. Acceda a la consola serie del IVE y reinicie el IVE. Para obtener ms
informacin, consulte Conexin a la consola serie de un dispositivo IVE en la
pgina 987.
4. Vuelva a poner el conmutador de modo del mdulo criptogrfico en O (modo
operativo) cuando se le indique.
1021
Importacin de un entorno de seguridad a un clster

Para importar a un clster un entorno de seguridad existente:
1. Inicie sesin en la consola de administracin de un nodo del clster. Para
acceder a la consola de administracin de un nodo, escriba en el explorador
la direccin IP interna seguida de /admin. Por ejemplo:
https://x.x.x.x/admin
2. En la ficha System > Clustering > Status, seleccione la casilla de verificacin

para todos los nodos excepto para el nodo actual en la columna Cluster
Members y luego haga clic en Disable.
3. Importe al miembro del clster un entorno de seguridad archivado, como se
describi en la seccin anterior.
4. Cuando se complete el proceso de instalacin, regrese a la ficha System >
Clustering > Status en el nodo, seleccione la casilla de verificacin de los
nodos inhabilitados en la columna Cluster Members y luego haga clic en
Enable.
5. Espere a que todos los miembros del clster estn en estado Enabled.
6. Cambie a I (modo de inicializacin) el conmutador de modo de los mdulos
criptogrficos de los miembros del clster que haba inhabilitado
anteriormente.
7. Reinicie cada uno de estos nodos desde la consola serie.
8. Despus de integrar un nodo en el entorno de seguridad, vuelva a poner el
conmutador de modo del mdulo criptogrfico en O (modo operativo).
1022
Captulo 40
Compresin
El IVE mejora el rendimiento mediante la compresin de tipos comunes de datos
web y de archivo como pginas HTML, documentos de Word e imgenes. Esta
seccin contiene la siguiente informacin acerca de la compresin:
Licencia: Disponibilidad de compresin en la pgina 1023
Ejecucin de la compresin en la pgina 1023
Tipos de datos admitidos en la pgina 1025
Habilitacin de la compresin en el nivel de sistema en la pgina 1026
Creacin de perfiles y directivas de recursos de compresin en la

pgina 1026
Licencia: Disponibilidad de compresin

La compresin Gzip est disponible en todos los dispositivos Secure Access.
Ejecucin de la compresin
El IVE determina si debe comprimir los datos a los que tienen acceso los usuarios
segn el siguiente procedimiento:
1. El IVE verifica que los datos a los que se ha accedido son de un tipo
comprimible. El IVE admite la compresin de muchos tipos de datos comunes
como pginas HTML y documentos de Word. Para obtener una lista completa,
consulte Tipos de datos admitidos en la pgina 1025.
2. Si el usuario tendr acceso a datos web, el IVE verifica que el explorador admita
la compresin del tipo de datos seleccionado.
El IVE determina la compatibilidad de la compresin de acuerdo con el agente
de usuario del explorador y el encabezado accept-encoding. El IVE admite la
compresin de todos los tipos de datos web estndar si determina que el
agente de usuario es compatible con Mozilla 5, Internet Explorer 5, o Internet
Explorer 6. El IVE admite slo la compresin de datos HTML si determina que
el agente de usuario del explorador es compatible solamente con Mozilla 4.
Licencia: Disponibilidad de compresin
1023
3. El IVE verifica que la compresin est habilitada en el nivel de sistema. Puede

crear y habilitar la compresin de nivel de sistema en la pgina Maintenance >
System > Options de la consola de administracin, como se explica en
Habilitacin de la compresin en el nivel de sistema en la pgina 1026.
4. El IVE verifica que las directivas o autodirectivas de recursos de compresin
estn habilitadas para el tipo de dato seleccionado. El IVE trae directivas de
recursos que comprimen datos. Puede habilitar estas directivas o crear otras
a travs de las siguientes pginas de la consola de administracin:
Users > Resource Policies > Web > Compression
Users > Resource Policies > Files > Compression
Para obtener instrucciones, consulte Definicin de directivas de recursos:

compresin web en la pgina 454.
Tambin puede crear directivas automticas de compresin en el perfil de
recursos a travs de la pgina Users > Resource Profiles > Web > Web
Applications/Pages de la consola de administracin. Para obtener
instrucciones, consulte Definicin de una directiva automtica de compresin
web en la pgina 411.
Si se cumplen todas estas condiciones, el IVE ejecuta la directiva de recursos
correspondiente que comprime o no los datos a los que ha tenido acceso el usuario
segn la accin configurada.
NOTA: Si no se cumple condicin alguna, el IVE no ejecuta la directiva de recursos
correspondiente y no aparecen elementos de directivas de recursos en los
archivos de registro del IVE.
Actualizacin de una versin anterior

El IVE trae de fbrica tres directivas de recursos que comprimen datos web y de
archivo. Si se actualiza una versin del IVE anterior a la 4.2 y se tena habilitada
la compresin, estas directivas se habilitan. Si no tena habilitada la compresin,
estas directivas se inhabilitan.
Las directivas de recursos web y de archivo creadas durante el proceso de
actualizacin especifican que el IVE debe comprimir todos los tipos admitidos de
datos web y de archivo, incluidos los tipos que no se compriman en las versiones
anteriores del dispositivo. Todos los tipos de datos que no se compriman en
versiones anteriores del producto estn marcados con un asterisco (*) en la lista
de tipos de datos admitidos que aparece a continuacin.
1024
Ejecucin de la compresin
Captulo 40: Compresin
Tipos de datos admitidos

El IVE admite la compresin de los siguientes tipos de datos web y de archivo:
text/plain (.txt)
text/ascii (.txt)*
text/html (.html, .htm)
text/css (.css)
text/rtf (.rtf)
text/javascript (.js)
text/xml (.xml)*
application/x-javascript (.js)
application/msword (.doc)
application/ms-word (.doc)*
application/vnd.ms-word (.doc)*
application/msexcel (.xls)*
application/ms-excel (.xls)*
application/x-excel (.xls)*
application/vnd.ms-excel (.xls)*
application/ms-powerpoint (.ppt)*
application/vnd.ms-powerpoint (.ppt)*
NOTA: Los tipos de datos marcados con un asterisco * no se compriman en

versiones anteriores a la 4.2 del dispositivo IVE.
Tambin tenga en cuenta que el IVE no comprime archivos que carga en el IVE,
sino slo aquellos que descarga del IVE.
Adems, el IVE admite la compresin de los siguientes tipos de archivos del IVE:
text/html (.html, .htm)
application/x-javascript (.js)
text/javascript (.js)
text/css (.css)
application/perl (.cgi)
Tipos de datos admitidos
1025
Habilitacin de la compresin en el nivel de sistema

Para habilitar la compresin en el nivel de sistema:
Options.
2. Marque la casilla de verificacin Enable gzip compression para reducir la
cantidad de datos que se envan a los exploradores que admiten la compresin
HTTP. Tenga en cuenta que tras habilitar esta opcin, debe configurar tambin
las directivas de recursos web y de archivos que especifican los tipos de datos
que debe comprimir el IVE. Para obtener ms informacin, consulte
Compresin en la pgina 1023.
Creacin de perfiles y directivas de recursos de compresin

Para obtener informacin sobre la habilitacin de la compresin en el nivel de
recursos, consulte las instrucciones en las secciones indicadas a continuacin.
Mtodos recomendados:
Definicin de una directiva automtica de compresin web en la pgina 411

pgina 469

pgina 469
Mtodos alternativos:
1026
Definicin de directivas de recursos: compresin web en la pgina 454
Para escribir una directiva de recurso de compresin para Windows en la

pgina 481
Para escribir una directiva de recurso de compresin para Unix/NFS en la

pgina 488
Habilitacin de la compresin en el nivel de sistema
Captulo 41
Compatibilidad con varios idiomas

Los dispositivos SSL VPN proporcionan compatibilidad con muchos idiomas para
codificar archivos, mostrar la interfaz de usuario final y personalizar las pginas
de inicio de sesin y del sistema. Los dispositivos SSL VPN admiten los siguientes
idiomas:
Ingls (EEUU)
Chino (simplificado)
Chino (tradicional)
Francs
Alemn
Japons
Coreano
Espaol
NOTA: Juniper Networks traduce la consola de usuario final del IVE y los sistemas
de ayuda a los idiomas indicados anteriormente. Tenga en cuenta, sin embargo,

que la ayuda traducida para usuarios finales no est disponible en la primera
edicin del producto. Juniper Networks crea una versin traducida de la ayuda
disponible con la primera edicin de mantenimiento tras la edicin de
disponibilidad general.
Esta seccin proporciona informacin sobre:
Licencia: Disponibilidad de varios idiomas en la pgina 1028
Codificacin de archivos en la pgina 1028
Traduccin de la interfaz de usuario en la pgina 1029
Traduccin de pginas de inicio de sesin y sistema personalizadas en la

pgina 1029
1027
Licencia: Disponibilidad de varios idiomas

Todos los dispositivos Secure Access pueden funcionar en varios idiomas. Tenga en
cuenta, sin embargo, que la caracterstica de pginas de inicio de sesin traducidas
personalizadas no est disponible en los dispositivos SA 700.
Codificacin de archivos
La codificacin de caracteres es una asignacin de los caracteres y smbolos usados
en el lenguaje escrito a un formato binario usado por los equipos. La codificacin
de caracteres afecta a la manera en que se almacenan y transmiten los datos.
La opcin de codificacin de Users > Resource Policies > Files > Encoding le
permite especificar qu codificacin se debe usar cuando se comunica con archivos
compartidos de Windows y NFS. La opcin de codificacin no afecta al idioma en
que trabaja el usuario final.
Para especificar la codificacin de internacionalizacin del trfico del IVE:
Encoding.
2. Seleccione la opcin correspondiente:
Europeo occidental (ISO-8859-1) (predeterminado) (ingls, francs, alemn,

espaol)
Chino simplificado (CP936)
Chino simplificado (GB2312)
Chino tradicional (CP950)
Chino tradicional (Big5)
Japons (Shift-JIS)
Coreano
1028
Licencia: Disponibilidad de varios idiomas
Captulo 41: Compatibilidad con varios idiomas
Traduccin de la interfaz de usuario

El IVE ofrece una manera de mostrar la interfaz de usuario final en uno de los
idiomas admitidos. Al combinar esta caracterstica con las pginas de inicio de
sesin (personalizado) y de sistema y con el sistema operativo traducido se
proporciona al usuario una experiencia totalmente traducida a otro idioma.
Cuando especifica un idioma, el IVE muestra la interfaz de usuario, incluidos todos
los elementos de men, dilogos generados por el IVE y el archivo de ayuda en el
idioma elegido para todos los usuarios independientemente del territorio en que
inicien sesin.
Para configurar las opciones de traduccin:
Options.
2. Use la lista desplegable End-user Localization para especificar el idioma en
que se muestra la interfaz de usuario final (opcional). Si no especifica un
idioma, la interfaz de usuario final se muestra segn los ajustes del explorador.
NOTA: La caracterstica Confidence Online de Whole Security que admite Host

Checker actualmente no se puede traducir. Para obtener ms informacin sobre
las caractersticas de Whole Security, consulte Habilitacin de directivas
avanzadas de proteccin contra malware en la pgina 264.
Traduccin de pginas de inicio de sesin y sistema personalizadas

El IVE proporciona varios archivos zip que contienen distintos conjuntos de
archivos de plantilla de muestra de varias pginas que pueden aparecer durante el
proceso de inicio de sesin. Use los archivos de plantilla junto con el idioma del kit
de herramientas de plantilla para crear pginas traducidas y personalizadas de
inicio de sesin y sistema para los usuarios finales. Para obtener ms informacin
sobre los archivos zip y los archivos de plantilla que contienen, as como sobre el
idioma del kit de herramientas de plantilla, consulte Custom Sign-In Pages Solution
Guide.
NOTA: Modificar la pgina de inicio de sesin predeterminada con texto que est
en el idioma de su eleccin es una manera rpida de ofrecer a los usuarios una
pgina de inicio de sesin personalizada. Para obtener informacin sobre la
personalizacin de la pgina de inicio de sesin personalizada, consulte
Configuracin las pginas de inicio de sesin en la pgina 220. Use los ajustes
que aparecen en la ficha System > Authentication > Signing In Pages para
crear pginas de inicio de sesin personalizadas y traducidas. Para obtener
instrucciones, consulte el manual Custom Sign-In Pages Solution Guide.
Traduccin de la interfaz de usuario
1029
1030
Traduccin de pginas de inicio de sesin y sistema personalizadas
Captulo 42
Dispositivos de mano y PDA

Adems de permitir a los usuarios acceder al IVE desde estaciones de trabajo
y equipos pblicos estndar, el IVE permite a los usuarios finales acceder desde
PDA, dispositivos de mano y telfonos inteligentes, como i-mode y Pocket PC.
Cuando un usuario se conecta desde un PDA o un dispositivo porttil, el IVE
determina cules de sus pginas y qu funcionalidad mostrar segn los ajustes de la
pgina System > Configuration > Client Types de la consola de administracin.
De forma predeterminada, los ajustes de esta pgina especifican que, al acceder
al IVE mediante:
Dispositivo i-mode: El IVE muestra al usuario pginas en HTML compacto

(cHMTL) sin tablas, imgenes, JavaScript, Java ni marcos. Dependiendo de las
caractersticas que habilite a travs de la consola de administracin, el usuario
final puede explorar la Web, conectarse a marcadores Web, acceder a otras
aplicaciones con un nico inicio de sesin y editar sus preferencias (como
borrar la cach y editar la contrasea del IVE/LDAP). El IVE permite a los
usuarios de i-mode acceder a caractersticas compatibles mediante claves
de acceso, tanto en el teclado de su telfono como a travs de la navegacin
estndar de exploracin y seleccin.
Dispositivo Pocket PC: El IVE muestra pginas HTML con tablas, imgenes,
JavaScript y marcos, pero no procesa Java. Dependiendo de las caractersticas
que habilite a travs de la consola de administracin, el usuario final puede
tener acceso a Mobile Notes, explorar la Web, conectarse a marcadores Web,
acceder a inicio de sesin nico a otras aplicaciones y editar sus preferencias
(como borrar la cach y editar la contrasea del IVE/LDAP).
Los usuarios de PDA y de dispositivos de mano no pueden acceder a la consola

de administracin ni a la mayora de las opciones avanzadas del IVE, como la
exploracin de archivos, Network Connect, Secure Meeting, Telnet/SSH, Email
Client, Host Checker y el Cache Cleaner, debido a que los PDA y dispositivos de
mano generalmente no admiten controles ActiveX, Java ni JavaScript de los cuales
dependen estas caractersticas.
Tambin tenga en cuenta que los usuarios de i-mode no pueden acceder a opciones
basadas en cookies, incluidas cookies de sesin, y la autenticacin y autorizacin
de SiteMinder, debido a que la mayora de los exploradores de i-mode no admiten
cookies de HTTP. El IVE vuelve a escribir los hipervnculos con el fin de incluir la ID
de sesin en la URL en vez de usar cookies. El IVE lee la ID de sesin cuando el
usuario accede a la URL.
1031
NOTA: Para mejorar el tiempo de respuesta, los siguientes iconos no aparecen al

acceder a la pgina inicial del IVE: ayuda, cerrar sesin, abrir marcador en una
pgina nueva y WSAM.
Esta seccin contiene la siguiente informacin acerca de los dispositivos de mano

y PDA:
Licencia: Disponibilidad de soporte para dispositivos de mano y PDA en la

pgina 1032
Resumen de tareas: Configuracin del IVE para PDA y dispositivos de mano

en la pgina 1032
Definicin de tipos de clientes en la pgina 1034
Habilitacin de WSAM en PDA en la pgina 1036
Licencia: Disponibilidad de soporte para dispositivos de mano y PDA

Los dispositivos de mano y PDA no son compatibles con dispositivos SA 700 que
tengan licencia para exploracin Web.
Resumen de tareas: Configuracin del IVE para PDA y dispositivos

de mano
Para configurar correctamente el IVE para que funcione con PDA y dispositivos
de mano, debe:
1. Habilitar acceso a nivel del sistema: Si desea admitir exploradores que no
sean los predeterminados que incluye el IVE, debe introducir las cadenas de
agente de usuario de los sistemas operativos del PDA y del dispositivo de mano
que desea admitir en la ficha System > Configuration > Client Types. Para
obtener ms informacin, consulte Definicin de tipos de clientes en la
pgina 1034. Para obtener una lista completa de exploradores de PDA y
dispositivos de mano compatibles con el IVE, consulte el documento Supported
Platforms publicado en el sitio Web de asistencia al cliente.
2. Evaluar sus roles de usuario y directivas de recursos: Dependiendo de
las caractersticas del IVE que habilite, puede que deba modificar los roles
existentes y las directivas de recursos para usuarios de PDA y dispositivos
de mano, o crear otros nuevos. Tenga en cuenta que:
1032
Los usuarios de dispositivos mviles no pueden acceder a roles o directivas

que requieren Host Checker o Cache Cleaner debido a que los dispositivos
de mano generalmente no son compatibles con controles ActiveX, Java
o JavaScript de los cuales dependen estas caractersticas. Puede inhabilitar
estas opciones en las siguientes fichas:
Users > User Roles > Rol > General > Restrictions
Resource Policies > Web > Access > Web ACL> Directiva >
Detailed Rules
Licencia: Disponibilidad de soporte para dispositivos de mano y PDA
Captulo 42: Dispositivos de mano y PDA
Los usuarios de dispositivos mviles pueden tener problemas al leer

nombres largos de roles en sus pequeas pantallas. Si requiere que los
usuarios hagan una seleccin de una lista de roles al iniciar sesin, puede
ser recomendable que reduzca la extensin de los nombres de rol en la
ficha Users > User Roles > Rol > General > Overview.

nombres largos de marcadores en sus pequeas pantallas. Puede editar
los marcadores Web en las siguientes fichas:
Users > Resource Profiles > Web Application Resource Profiles >
Perfil > Bookmarks
Users > User Roles > Rol > Web > Bookmarks
Resource Policies > Web > Access > Web ACL > Directiva >
General
Aunque las caractersticas avanzadas, como la exploracin de archivos,

no son compatibles con PDA y dispositivos de mano, no es necesario que
las inhabilite en los roles y directivas de recursos que utilizan los usuarios
de dispositivos mviles. El IVE simplemente no muestra estas opciones
a este tipo de usuarios.
3. Evaluar a los usuarios de autenticacin y autorizacin: El IVE es compatible

con los mismos servidores de autenticacin y autorizacin para usuarios de
PDA y dispositivos de mano, como usuarios estndar, excepto el servidor de
directivas eTrust SiteMinder. SiteMinder depende de las cookies, que no son
compatibles con los exploradores de i-mode.
4. Evaluar los territorios: Dependiendo de las caractersticas del IVE que habilite,
quizs necesite modificar los territorios existentes para usuarios de PDA
y dispositivos de mano o crear otros nuevos. Tenga en cuenta que:
Los usuarios de dispositivos mviles no pueden acceder al IVE cuando

intentan iniciar sesin en un territorio que requiere Host Checker o Cache
Cleaner debido a que los dispositivos de mano generalmente no son
compatibles con controles ActiveX, Java o JavaScript de los cuales
dependen estas caractersticas. Puede inhabilitar estas opciones en las
subfichas de la pgina System > Configuration > Security.
Los usuarios de dispositivos mviles no se pueden autenticar con

respecto a un servidor eTrust SiteMinder. Puede escoger otro servidor
de autenticacin para el territorio en la ficha Users > User Realms >
Territorio > General.

nombres largos de territorios en sus pequeas pantallas. Si requiere que
los usuarios hagan una seleccin de una lista de territorios al iniciar sesin,
puede ser recomendable que reduzca la extensin de los nombres de
territorios en la ficha Users > User Realms > Territorio > General.
Resumen de tareas: Configuracin del IVE para PDA y dispositivos de mano
1033
5. Evaluar la directiva de inicio de sesin que va a usar: Si desea usar una

pgina de inicio de sesin para usuarios de Pocket PC, puede definirla en la
ficha Authentication > Signing In > Sign-in Pages creando una directiva
de inicio de sesin que se refiera a la pgina que usa las opciones de la ficha
Authentication > Signing In > Sign-in Policies. Tambin, puede crear una
pgina personalizada de inicio de sesin con los archivos de plantillas Pocket
PC disponibles en sample.zip.
6. Especificar la intensidad permitida de encriptacin: Diferentes tipos de
dispositivos permiten una encriptacin con diferentes intensidades. Debe
especificar la intensidad de la encriptacin en el IVE para que coincida con
el requisito de sus dispositivos. Por ejemplo, a menudo los telfonos mviles
slo aceptan una encriptacin de 40 bits. Revise los requisitos de dispositivo
de usuarios finales y especifique la intensidad permitida de encriptacin en
la ficha System > Configuration > Security.
Definicin de tipos de clientes

La ficha Client Types le permite especificar los tipos de sistemas en que pueden
iniciar sesin sus usuarios y el tipo de pginas HTML que muestra el IVE cuando lo
hacen. Para obtener ms informacin, consulte Dispositivos de mano y PDA en la
pgina 1031.
Para administrar los agentes de usuario:
Client Types.
2. Introduzca la cadena de agente de usuario que corresponde a los sistemas
operativos que desea admitir. Puede ser todo lo general o especfico que desee.
Por ejemplo, puede usar el ajuste predeterminado del IVE de *DoCoMo* para
que se aplique a todos los sistemas operativos de DoCoMo o puede crear una
cadena, como DoCoMo/1.0/P502i/c10, que se aplique a un solo tipo de
sistema operativo DoCoMo. Puede usar los comodines * y ? en la cadena.
Tenga en cuenta que las cadenas de agentes del IVE no distinguen maysculas
ni minsculas.
3. Especifique el tipo de HTML que el IVE debe mostrar a los usuarios que
inician sesin en el sistema operativo especificado en el paso anterior.
Las opciones son:
1034
Standard HTML: El IVE muestra todas las funciones estndar de HTML,

como tablas, grficos de tamao completo, componentes de ActiveX,
JavaScript, Java, marcos y cookies. Ideal para exploradores estndar,
como Firefox, Mozilla e Internet Explorer.
Compact HTML (iMode): El IVE muestra las pginas de pantalla pequea

compatibles con HTML. Este modo no admite cookies ni el procesamiento
de tablas, grficos, componentes de ActiveX, JavaScript, Java, cadena de
VB o marcos. (La nica diferencia entre esta opcin y la opcin de Smart
Phone HTML Basic es la interfaz de usuario.) Ideal para exploradores
de iMode.
NOTA: Form Post SSO no es compatible con dispositivos iMode.
Mobile HTML (Pocket PC): El IVE muestra pginas de pantalla pequea

compatibles con HTML que contienen tablas, pequeos grficos, JavaScript,
marcos y cookies, pero este modo no facilita el procesamiento de applets
Java ni de componentes ActiveX. Ideal para exploradores de Pocket PC.
Smart Phone HTML Advanced: El IVE muestra pginas de pantalla

pequea compatibles con HTML que contienen tablas, pequeos grficos,
marcos, cookies y algo de JavaScript, pero este modo no facilita el
procesamiento de applets Java, de componentes ActiveX ni de cadenas VB.
Ideal para exploradores de Treo y Blazer.
Smart Phone HTML Basic: El IVE muestra las pginas de pantalla pequea
compatibles con HTML. Este modo no admite cookies ni el procesamiento
de tablas, grficos, componentes de ActiveX, JavaScript, Java, cadena de VB
o marcos. (La nica diferencia entre esta opcin y la opcin de Compact
HTML es la interfaz de usuario.) Ideal para exploradores de Opera en
Symbian.
NOTA: El IVE vuelve a escribir los hipervnculos con el fin de incluir la ID de sesin
en la URL en vez de usar cookies.
4. Especifique el orden en que desea que el IVE evale a los agentes de usuarios.
El IVE aplica la primera norma de la lista que coincida con el sistema del
usuario. Por ejemplo, puede crear las siguientes asignaciones de cadena
de agente de usuario o de tipo de HTML en el siguiente orden:
a.
Cadena de agente de usuario: *DoCoMo* Asignada a: Compact HTML
b.
Cadena de agente de usuario: DoCoMo/1.0/P502i/c10 Asignada a:

Mobile HTML
Si un usuario inicia sesin en el sistema operativo especificado en la segunda

lnea, el IVE le mostrar pginas HTML compacto, que no es el HTML mvil
ms slido, debido a que esta cadena de agente de usuario coincide con el
primer elemento de la lista.
Para ordenar las asignaciones de la lista, marque la casilla de verificacin junto
a un elemento, y use las flechas hacia arriba y hacia abajo para trasladarla al
lugar correcto de la lista.
5. Marque la casilla de verificacin Enable password masking for Compact
HTML si desea enmascarar las contraseas introducidas en iMode y otros
dispositivos que usen HTML compacto. (Los dispositivos que no usen HTML
compacto enmascaran las contraseas aunque no se marque esta casilla de
verificacin.) Tenga en cuenta que las contraseas de los usuarios de iMode
contienen caracteres no numricos; debe inhabilitar el enmascaramiento de
contraseas debido a que los dispositivos iMode slo permiten datos numricos
en los campos estndar de contraseas. Si inhabilita el enmascaramiento,
las contraseas se siguen transmitiendo de forma segura, pero no se ocultan
en la pantalla del usuario.
1035
NOTA: Para habilitar la compatibilidad de reescritura para telfonos Vodafone,

introduzca Vodafone para la cadena de agente de usuario y seleccione HTML
compact como el tipo de cliente. Para conocer la compatibilidad del telfono
KDDI, introduzca KDDI para la cadena de agente de usuario y seleccione HTML
compacto como el tipo de cliente.
Habilitacin de WSAM en PDA

Al definir la proteccin de aplicaciones cliente o servidor a travs de Windows
Secure Application Manager (WSAM) en dispositivos PDA, debe definir las
aplicaciones especficas a PDA a travs de la pgina Users > User Roles >
Seleccionar rol > SAM > Applications > Add Application.
A continuacin, encontrar una lista de algunos archivos ejecutables especficos
para PDA que puede querer habilitar para dispositivos PSA:
tmail.exe: Especifica la aplicacin Pocket Outlook
El IVE admite los siguientes modos a travs de Pocket Outlook:
S-IMAP/S-POP y S-SMTP
ActiveSync: Si los PDA admitidos a los que usted da acceso de Pocket

Outlook usan ActiveSync, debe comprobar que la direccin IP del servidor
de intercambio aparezca en la lista de hosts de destino definidos dentro
del rol de usuario.
mstsc40.exe: Especifica la aplicacin Windows Terminal Services
iexplore.exe: Especifica la aplicacin Pocket Internet Explorer
NOTA: Al usar una configuracin de rol de WSAM existente, originalmente

configurada para usuarios de Windows PC a fin de proporcionar acceso a los
usuarios de PDA, compruebe que la lista de hosts de destino dentro del rol de
usuario no tenga ms de 1500 bytes. Las listas muy grandes de hosts de destino
pueden bloquear el iniciador de WSAM en los dispositivos de PDA debido a las
restricciones de bfer de memoria.
Para los usuarios de Windows Mobile 5, WSAM agrega archivos de registro

al directorio \Program Files\Juniper Networks\WSAM\Log.
1036
Habilitacin de WSAM en PDA
Habilitacin de Activesync
Gracias a Activesync, puede sincronizar datos entre un equipo de escritorio con
Windows y dispositivos de mano. El IVE se puede usar como proxy inverso que
permita a los usuarios sincronizar sus datos sin instalar una aplicacin cliente
adicional, como WSAM, en sus dispositivos de mano. Para obtener ms
informacin sobre el IVE como proxy inverso, consulte Definicin de directivas
de acceso slo con autorizacin en la pgina 215.
Tenga en cuenta lo siguiente:
Admite slo Windows Mobile 5.0 y 6.0
Admite Exchange Server 2003 y 2007
NTLM y Basic Auth del servidor de intercambio son compatibles
HTTP y HTTPS entre el IVE y el servidor de intercambio son compatibles
Si el IVE se usa para OWA y Activesync, los nombres de host para el acceso
de OWA y Activesync deben ser diferentes
No se admite comprobacin de punto final
Para configurar el IVE como proxy inverso para su uso con Activesync:
1. En la consola de administracin, elija Authentication > Signing In >
Sign-in Policies.
2. Para crear una nueva directiva de acceso slo con autorizacin, haga clic en
New URL y seleccione authorization only access. Tambin puede editar una
directiva existente haciendo clic en una URL en la columna Virtual Hostname.
3. En el campo Virtual Hostname, introduzca el nombre que se asigna a la
direccin IP del IVE. El nombre debe ser nico entre todos los nombres de
hosts virtuales usados en el modo del nombre de host del proxy pass-through.
El nombre de host se usa para acceder al servidor de intercambio introducido
en el campo Backend URL. No incluya el protocolo (por ejemplo, http:) en
este campo.
Por ejemplo, si el nombre de host virtual es myapp.ivehostname.com y la URL
backend es http://www.xyz.com:8080/, una peticin a
https://myapp.ivehostname.com/test1 a travs del IVE se convierte en una
peticin a http://www.xyz.com:8080/test1. La respuesta de la peticin
convertida se enva al explorador Web original que hizo la peticin.
4. En el campo Backend URL, introduzca la URL para el servidor de intercambio.
Debe especificar el protocolo, nombre de host y puerto del servidor.
Por ejemplo, http://www.mydomain.com:8080/*.
Si las peticiones coinciden con el nombre de host del campo Virtual
Hostname, la peticin se transforma en la URL especificada en el campo
Backend URL. El cliente es dirigido a la URL backend sin saberlo.
1037
5. Introduzca texto en la opcin Description de esta directiva (opcional).

6. Seleccione No Authorization en el men desplegable Authorization Server.
7. Seleccione un rol de usuario en el men desplegable Role Option.
Slo las siguientes opciones de roles de usuario se aplican a Autosync.
Tiempo de espera de conexin de HTTP (Users > User Roles > Nombre
de rol > Web > Options > View advanced options)
Permitir exploracin de sitios Web SSL no fiables (Users > User Roles >
Nombre de rol > Web > Options > View advanced options)
Restricciones de IP de origen (Users > User Roles > Nombre de rol >
Restricciones de exploracin (Users > User Roles > Nombre de rol >
Para obtener ms informacin sobre estas opciones de rol, consulte

Configuracin de opciones avanzadas de exploracin web en la pgina 419,
Especificacin de las restricciones de acceso de la direccin IP de origen en la
pgina 60 y Especificacin de las restricciones de acceso para exploradores
en la pgina 62.
1038
Parte 7
Esta seccin contiene los siguientes temas complementarios:
Escritura de expresiones personalizadas en la pgina 1041
Tambin puede encontrar informacin complementaria acerca del IVE en

Juniper Networks Customer Support Center. Los documentos complementarios
del centro de ayuda incluyen:
Client-side Changes Guide: describe los cambios que producen en el equipo los
componentes de Juniper Installer Service, Host Checker, Cache Cleaner, Secure
Meeting, WSAM, JSAM, Network Connect, GINA, Windows Terminal Services
y Citrix Terminal Services. Los cambios descritos en este documento incluyen
nombres y ubicaciones de archivos que estos componentes instalan, los
cambios que efectan en el registro y los archivos que permanecen tras realizar
desinstalacin. El documento tambin muestra los privilegios que deben tener
los usuarios para instalar las distintas versiones de los componentes del lado
cliente del IVE.
IVE Content Intermediation Engine Best Practices: muestra los tipos de contenido
que admite IVE a travs de su motor de intermediacin de contenido, como
HTML, JavaScript, VBScript y Java. El documento tambin incluye pautas sobre
cmo crear pginas web y aplicaciones que el motor de intermediacin de
contenido sea capaz de reescribir.
Network Connect and WSAM Error Messages: muestra los mensajes de error que
los usuarios finales pueden encontrar durante una sesin de Network Connect
o WSAM. El documento incluye, adems, el identificador nico de cada error,
su causa y la accin correspondiente que debera realizar el usuario.
Secure Access 6000 Field Replaceable Units Guide: describe cmo extraer
e instalar discos duros, unidades de energa y ventiladores en un chasis
de Secure Access 6000. Existen versiones traducidas de este documento.
Secure Access Quick Start Guide: describe cmo configurar los dispositivos
Secure Access 700, Secure Access 2000, Secure Access 4000, Secure Access
FIPS 4000, Secure Access 6000 y Secure Access FIPS 6000. Las instrucciones
de configuracin incluyen cmo instalar el hardware en la red, inicializar el
software IVE mediante la consola serie y acceder a la consola de
administracin. Existen versiones traducidas de este documento.
1039
Secure Meeting Error Messages: muestra los mensajes de error que los
administradores de IVE podran ver mientras configuran Secure Meeting,
los mensajes de error que los usuarios finales de IVE podran ver mientras
crean una reunin y los mensajes de error que los usuarios cliente de la reunin
podran ver mientras asisten a una reunin. El documento incluye, adems,
el identificador nico de cada error, su causa y la accin correspondiente que
debera realizar el usuario.
Tambin puede descargar la versin PDF de esta gua de administracin desde

Juniper Networks Customer Support Center. Tambin existen versiones traducidas.
1040
Apndice A
Escritura de expresiones personalizadas

Licencia: Disponibilidad de expresiones personalizadas en la pgina 1041
Expresiones personalizadas en la pgina 1041
Variables del sistema y ejemplos en la pgina 1046
Uso de variables del sistema en territorios, roles y directivas de recursos en la

pgina 1054
Licencia: Disponibilidad de expresiones personalizadas

La caracterstica de expresiones personalizadas es una caracterstica avanzada que
no se encuentra disponible en el dispositivo SA 700.
El IVE permite escribir expresiones personalizadas que se evalan en las reglas de
asignacin de roles, las directivas de recursos y las consultas de registro de filtros.
Una expresin personalizada es una combinacin de variables que el IVE evala
como un objeto booleano verdadero, falso o de error. Las expresiones
personalizadas permiten administrar mejor el control de acceso a los recursos al
proporcionar un medio para especificar instrucciones complejas para la evaluacin
de directivas y consultas de registro.
Puede escribir expresiones personalizadas en los siguientes formatos. Tenga en
cuenta que los elementos de estos formatos se describen con mayor detalle en la
tabla que aparece a continuacin:
variable comparisonOperator variable
variable comparisonOperator simpleValue
variable comparisonOperator (simpleValue)
variable comparisonOperator (OR Values)
variable comparisonOperator (AND Values)

Licencia: Disponibilidad de expresiones personalizadas
1041
variable comparisonOperator (time TO time)
variable comparisonOperator (day TO day)
isEmpty (variable)
isUnknown (variable)
(CustomExpr)
NOT CustomExpr
! CustomExpr
CustomExpr OR CustomExpr
CustomExpr || CustomExpr
CustomExpr AND CustomExpr
CustomExpr && CustomExpr
Los elementos usados en estos formatos de expresiones personalizadas se

describen en la siguiente tabla:
Tabla 61: Elementos de las expresiones personalizadas
variable
Representa una variable del sistema. Un nombre de variable es una

cadena separada por puntos y cada componente puede contener
caracteres del conjunto [a-z A-Z 0-9_ ] pero no puede comenzar con
un dgito [0-9]. Los nombres de variable no distinguen maysculas
de minsculas. Para conocer las variables del sistema que puede usar
en las reglas de asignacin de roles y directivas de recursos, consulte
Variables del sistema y ejemplos en la pgina 1046.
Al escribir una expresin personalizada en un campo de consulta de
registro, deber usar las variables de registro del sistema. Estas variables
se describen en Filter Variables Dictionary en la pgina Filter (ficha
System > Log/Monitoring > Events | User Access | Admin Access >
Filters > Seleccionar filtro).
Sintaxis de comillas para las variables:
El IVE admite la sintaxis de comillas para las variables de expresiones
personalizadas que le permiten usar cualquier carcter, excepto '.'
(punto) en un nombre de atributo. Para los caracteres de escape en un
nombre de atributo, coloque comillas a todo o parte del nombre de la
variable usando { } (llaves). Por ejemplo, estas expresiones son
equivalentes:
userAttr.{Login-Name} = 'xyz'
userAttr.Login{-}Name = 'xyz'
{userAttr.Login-Name} = 'xyz'
userA{ttr.L}{ogin-}Name = 'xyz'
1042
Apndice A: Escritura de expresiones personalizadas
Tabla 61: Elementos de las expresiones personalizadas (continuacin)

Caracteres de escape admitidos dentro de comillas:
\\
representa una \ (barra diagonal

inversa)
\{
representa una { (llave izquierda)
\}
representa una } (llave derecha)
\hh
representa un valor hexadecimal,

donde hh son dos caracteres de
[0-9A-Fa-f]
Ejemplos:
userAttr.{Tree Frog} = 'kermit'
userAttr.{Tree\20Frog} = 'kermit'
Notas:
No existe lmite para el nmero de comillas que puede usar en el
nombre de una variable.

Puede usar la sintaxis de comillas con cualquier variable, no slo las
variables userAttr.*.
Debe usar comillas de llaves slo al escribir expresiones
personalizadas.
comparisonOperator
es uno de las opciones siguientes:

=
igual a: se usa con cadenas,

nmeros y DN. Para obtener ms
informacin, consulte Variables y
funciones de DN en la
pgina 1046.
!=
no es igual a: se usa con cadenas,

nmeros y DN. Para obtener ms
informacin, consulte Variables y
funciones de DN en la
pgina 1046.
<
menor que: se usa con nmeros
<=
menor o igual que: se usa con

nmeros
>
mayor que: se usa con nmeros
>=
mayor o igual que: se usa con

nmeros
1043

simpleValue
es uno de las opciones siguientes:

cadena: cadena con comillas que puede contener comodines. Para
obtener ms informacin, consulte Coincidencia con comodines en

la pgina 1045.
direccin IP: a.b.c.d
subred: a.b.c.d/subnetBitCount o a.b.c.d/netmask
nmero: nmero entero positivo o negativo
da: SUN MON TUE WED THU FRI SAT
Notas sobre las cadenas:

Una cadena puede contener todos los caracteres excepto <nl>
(nueva lnea) y <cr> (retorno de carro).

Las cadenas pueden tener cualquier longitud.
Las comparaciones de cadenas no distinguen maysculas
de minsculas.
Las cadenas pueden tener comillas simples o dobles. Una cadena con
comillas puede tener comodines, incluyendo el asterisco (*), el signo

de interrogacin de cierre (?) y los corchetes ([ ]). Para obtener ms
informacin, consulte Coincidencia con comodines en la
pgina 1045.
Las comparaciones variable comparisonOperator variable se evalan
sin la coincidencia de comodn.

Use una barra diagonal inversa para salir de estos caracteres:
comilla simple (') \'

comilla doble (") \"
barra diagonal inversa (\) \\
hexadecimal \hh [0-9a-fA-F]
Nota sobre da:
Las comparaciones de da y hora se evalan en el huso horario del IVE.
Los clculos del rango de das (da TO da) comienzan con el primer da
y avanzan hasta llegar al segundo da. En los clculos del rango de horas
(hora TO hora), el primer valor debe ser anterior al segundo valor. Slo las
variables de hora se pueden comparar con valores de da y hora.
Las variables de hora son: time.* y loginTime.*.
time
es la hora del da en alguno de los siguientes formatos:

HH:MM: 24 horas
HH:MMam: 12 horas
HH:MMpm: 12 horas
H:MM: 24 horas
H:MMam: 12 horas
H:MMpm: 12 horas
Las comparaciones de da y hora se evalan en el huso horario del IVE.

Los clculos del rango de das (da TO da) comienzan con el primer da y
avanzan hasta llegar al segundo da. En los clculos del rango de horas
(hora TO hora), el primer valor debe ser anterior al segundo valor. Slo
las variables de hora se pueden comparar con valores de da y hora.
Las variables de hora son: time.* y loginTime.*.
OR Valor
es una cadena que contiene una o ms comparaciones OR:

variable comparisonOperator (nmero OR nmero ...)
variable comparisonOperator (cadena OR cadena ...)
1044

AND Valor
es una cadena que contiene una o ms comparaciones AND

variable comparisonOperator (nmero AND nmero ...)
variable comparisonOperator (cadena AND cadena ...)
isEmpty
es una funcin que toma un solo argumento de nombre de variable

(variable) y devuelve un valor booleano. isEmpty() es verdadero si la
variable se desconoce o tiene un valor de longitud cero, cadenas de
longitud cero y listas vacas.
Ejemplo: isEmpty(userAttr.terminationDate)
isUnknown
es una funcin que toma un solo argumento de nombre de variable

(variable) y devuelve un valor booleano. isUnknown() es verdadero si
no se define la variable. Los atributos de usuario (userAttr.* variables)
se desconocen si el atributo no se define en LDAP o si falla la bsqueda
del atributo (por ejemplo, si el servidor LDAP no est disponible).
Ejemplo: isUnknown(userAttr.bonusProgram)
NOT, !
es el comparisonOperator de negacin lgica. La expresin de negacin

se evala como verdadera si la CustomExpr es falsa y se evala como
falsa si la customExpr es verdadera. Los operadores NOT, AND y OR se evalan
desde la precedencia mayor a la menor en este orden: NOT (desde la derecha),
AND (desde la izquierda), OR (desde la izquierda).
OR, ||
es el operador lgico OR o ||, que son equivalentes. Los operadores NOT,

AND y OR se evalan desde la precedencia mayor a la menor en este orden: NOT
(desde la derecha), AND (desde la izquierda), OR (desde la izquierda).
AND, &&
es el operador lgico AND o &&, que son equivalentes. Los operadores NOT,
AND y OR se evalan desde la precedencia mayor a la menor en este orden: NOT
(desde la derecha), AND (desde la izquierda), OR (desde la izquierda).
CustomExpr
es una expresin escrita en la sintaxis de expresiones personalizadas

(consulte la informacin anterior).
Coincidencia con comodines

Puede usar comodines dentro de una cadena con comillas. Los comodines
admitidos son:
asterisco (*): Un asterisco coincide con cualquier secuencia de cero o ms

caracteres.
signo de interrogacin (?): Un signo de interrogacin coincide con cualquier

carcter (un solo carcter).
corchetes ([ ]): Los corchetes coinciden con un carcter de un rango de

posibles caracteres especificados entre los parntesis. Dos caracteres separados
por un guin (-) coinciden con dos caracteres en el rango especificado y con los
caracteres que intervienen lxicamente. Por ejemplo, dept[0-9] coincide con
las cadenas dept0, dept1 y hasta dept9.
Para el escape de los caracteres comodines, colquelos dentro de corchetes.

Por ejemplo, la expresin ' userAttr.x = "valor[*]" ' se evala como verdadera
si el atributo x es exactamente "valor*".
1045
Variables y funciones de DN
Puede comparar un nombre completo (DN) con otro DN o con una cadena,
pero el IVE omite los comodines, espacios en blanco y maysculas o minsculas.
Sin embargo, tenga presente que el IVE toma en consideracin el orden de las
claves de DN.
Cuando el IVE compara una expresin con un DN o una cadena, convierte la
cadena en un nombre completo antes de evaluar la expresin. Si el IVE no
puede convertir la cadena debido a una mala sintaxis, se produce un error
en la comparacin. Las variables de DN son:
userDN
certDN
certIssuerDN
El IVE tambin admite las comparaciones de sufijos de DN usando la funcin

matchDNSuffix. Por ejemplo:
matchDNSuffix (certDn, "dc=danastreet,dc=net")
Dentro de los parntesis, el primer parmetro es el DN completo y el segundo

es el DN de sufijo. Puede usar una variable o cadena para cada parmetro. Tenga
en cuenta que el primer parmetro debe tener una o ms claves que el segundo
(parmetros de sufijo). De lo contrario, si son iguales, es lo mismo que
<firstparam> = <secondparam>. Si el segundo parmetro tiene ms claves,
matchDNsuffix devuelve un resultado falso.
Variables del sistema y ejemplos

La siguiente tabla indica y define las variables del sistema, entrega un ejemplo para
cada variable del sistema y proporciona una gua respecto de los lugares en que
puede usar las variables del sistema.
NOTA: Esta lista no incluye las variables que se usan en una consulta de filtro
o en un formato de exportacin para un registro del sistema. Estas variables se
describen en Filter Variables Dictionary en la pgina Filter (ficha System >
Log/Monitoring > Events | User Access | Admin Access > Filters > Seleccionar
filtro).
1046
Tabla 62: Variables del sistema y ejemplos

Variable
Descripcin
Ejemplos
authMethod
Tipo de mtodo de autenticacin usado para

autenticar a un usuario.
authMethod = ACE Server
cacheCleanerStatus
El estado de Cache Cleaner. Valores posibles:
cacheCleanerStatus = 1
Disponible en:
1: si est en funcionamiento
cacheCleanerStatus = 0
reglas de asignacin de roles
0: si no lo est
Disponible en:
reglas de directivas de recursos

certAttr.<cert-attr>
Disponible en:
Atributos de un certificado del lado cliente.

Algunos ejemplos de atributos certAttr son:
C: pas
CN: nombre comn
campos de parmetros de SSO
description: descripcin
configuracin LDAP
emailAddress: direccin de correo electrnico
certAttr.OU = 'Retail Products Group'
GN: nombre dado

initials: iniciales
L: nombre de la localidad
O: organizacin
OU: unidad organizativa
SN: apellidos
serialNumber: nmero de serie
ST: estado o provincia
title: ttulo
UI: identificador exclusivo
Use esta variable para comprobar que el cliente

del usuario tiene un certificado del lado cliente
con los valores especificados.
certAttr.altName.<Alt-attr>
Disponible en:
configuracin LDAP
Valor de nombre alternativo del sujeto de un

certificado del lado cliente donde <Alt-attr>
puede ser:
Email
directoryName
DNS
certAttr.altName.email =
"joe@company.com"
certAttr.altName.dirNameText =
"cn=joe, ou=company, o=com"
certAttr.altName.ipAddress =
10.10.83.2
URI
UPN
ipAddress
registeredId
1047
Tabla 62: Variables del sistema y ejemplos (continuacin)

Variable
Descripcin
Ejemplos
certAttr.serialNumber
Nmero de serie del certificado del cliente.
certAttr.SerialNumber =
Disponible en:
Tenga en cuenta que todos los caracteres

certAttr.SerialNumber = "6f:05:45:ab"
distintos de [0-9 a-f A-F] se desglosan de una
cadena antes de la comparacin con
certAttr.SN. Los comodines no son compatibles.

userAttr.certSerial

configuracin LDAP
certDN
DN de sujeto del certificado del cliente.
Disponible en:
Los comodines no se permiten.
certDN = 'cn=John
Harding,ou=eng,c=Company'
certDN = userDN (match the certificate
subject DN with the LDAP user DN)
certDN = userAttr.x509SubjectName
certDN = ('cn=John
certDN.<subject-attr>
Disponible en:
Harding,ou=eng,c=Company' or
'cn=Julia Yount,ou=eng,c=Company')
Cualquier variable del DN de sujeto del

certificado del cliente, donde subject-attr es el
nombre de la clave RDN.
certDN.OU = 'company'
certDN.E = 'joe@company.com'
certDN.ST = 'CA'
Se usa para probar varios atributos de DN del

sujeto en un certificado x.509 estndar.

configuracin LDAP
certDNText
Disponible en:
El DN de usuario del certificado del cliente se

almacena como cadena. Slo se permiten las
comparaciones de cadenas para este valor.
certDNText = 'cn=John


certIssuerDN
Disponible en:
certIssuerDN = 'cn=John
DN de sujeto del emisor del certificado del
cliente. Esta variable funciona como un atributo
de DN estndar como CertDN. Los comodines
certIssuerDN = userAttr.x509Issuer
no se permiten.
certIssuerDN = ('ou=eng,c=Company'
or 'ou=operations,c=Company')

certIssuerDN.<issuer-attr>
Disponible en:
Cualquier variable del DN de sujeto del emisor

del certificado del cliente, donde issuer-attr es
el nombre de la clave RDN.
certIssuerDN.OU = 'company'
El DN de sujeto del emisor del certificado del

cliente se almacena como cadena. Slo se
permiten las comparaciones de cadenas para
este valor.
certIssuerDNText = 'cn=John
certIssuerDN.ST = 'CA'


certIssuerDNText
Disponible en:
1048

Variable
Descripcin
defaultNTDomain
Contiene el conjunto de valores Dominio de la defaultNTDomain=CORP

configuracin del servidor de autenticacin del
IVE cuando usa una autenticacin AD/NT.
Disponible en:
Ejemplos


group.<group-name>
Disponible en:
La asociacin de grupo del usuario segn

la proporciona la autenticacin de territorio
o servidor de directorio.
Permitir todos los socios con estado

activo de lunes a viernes, pero los
socios preferidos de lunes a sbado:
Nota: slo estos grupos evaluados

para las reglas de asignacin de
roles se encuentran disponibles en
las reglas detalladas (condiciones)
de las directivas de recursos.
Recomendamos que use la variable
groups en lugar de la variable
group.<group-name>, que slo se
admite para compatibilidad con
versiones anteriores.

group.silverPartner
Ejemplos de combinacin:
Disponible en:
group.goldPartner or
group.employees and time.month = 9
groups
group.preferredPartner
((group.partners and time = (Mon to Fri))

or
(group.preferredPartners and time = (Mon
to Sat))) and userAttr.partnerStatus =
'active'
Nota: los espacios no son compatibles,

como, group.sales managers
Lista de grupos segn la proporciona la
autenticacin de territorio o servidor de
directorio.
groups=('sales managers')
NOTA: puede introducir cualquier carcter en

el nombre de grupo, aunque los caracteres
comodines no se admiten.

hostCheckerPolicy
Disponible en:
Directivas de Host Checker que el cliente

ha cumplido.
hostCheckerPolicy = ('Norton' and

'Sygate') and cacheCleanerStatus = 1
Nombre de host o direccin IP que usa

el explorador para contactar al IVE.
loginHost = 10.10.10.10
La hora del da en que el usuario enva sus

credenciales al IVE. La hora est basada en
la hora del IVE.
loginTime = (8:00am)


loginHost
Disponible en:
configuracin LDAP
loginTime
Disponible en:
loginTime= (Mon to Fri)
NOTA: al usar esta variable en un campo de

parmetro SSO, la variable devuelve la hora
de cadena UNIX.
1049

Variable
Descripcin
Ejemplos
loginTime.day
El da del mes en que el usuario enva sus

credenciales al IVE, donde day es 1-31.
La hora est basada en la hora del IVE.
loginTime.day = 3
Disponible en:
Nota: no puede usar el operador TO con

esta variable.

loginTime.dayOfWeek
Disponible en:
loginTime.dayOfYear
Disponible en:
El da de la semana en que el usuario enva sus loginTime.dayOfWeek = (0 OR 6)

credenciales al IVE, donde dayOfWeek est en el loginTime.dayOfWeek = (mon TO fri)
rango [0-6] donde 0 = Domingo.
loginTime.dayOfWeek = (1)
Nota: el IVE no admite el operador TO con las loginTime.dayOfWeek = 5
expresiones time.dayOfWeek si usa nmeros en
lugar de cadenas. Es decir,
loginTime.dayOfWeek = (2 TO 6) no funciona,
pero loginTime.dayOfWeek = (mon to fri) s.
El da numrico del ao en que el usuario enva loginTime.dayOfYear = 100
sus credenciales al IVE, donde dayOfYear se
puede configurar en [0-365].
Nota: no puede usar el operador TO con esta
variable.

loginTime.month
Disponible en:

loginTime.year
Disponible en:
El mes en que el usuario enva sus credenciales loginTime.month >= 4 AND

loginTime.month <=9
al IVE, donde month se puede configurar en
[1-12] donde
1 = Enero.
variable.
El ao en que el usuario enva sus credenciales loginTime.year = 2005
al IVE, donde year se puede configurar en
[1900-2999].
variable.

loginURL
Disponible en:
loginURL = */admin
URL de la pgina a la que el usuario obtuvo
acceso para iniciar sesin en el IVE. El IVE
obtiene este valor de la columna Administrator
URLs|User URLs en la pgina Authentication
> Signing In > Sign-in Policies de la consola
de administracin.
configuracin LDAP
networkIf
Disponible en:
La interfaz de red en que se recibe la solicitud

del usuario. Valores posibles: internal, external
sourceIp = 192.168.1.0/24 and

networkIf = internal
El dominio NetBIOS NT usado en la

autenticacin NT4 y Active Directory.
ntdomain = jnpr


ntdomain
Disponible en:
1050

Variable
Descripcin
Ejemplos
ntuser
El nombre de usuario de NT usado en la

autenticacin de Active Directory
ntuser = jdoe
Disponible en:

password
password[1]
password[2]
Disponible en:
La contrasea introducida por el usuario para el password = A1defo2z

servidor de autenticacin primaria (password
y password[1]) o el servidor de autenticacin
secundario (password[2]).


realm
Disponible en:
El nombre del territorio de autenticacin

en que el usuario inici sesin.
Nota: la condicin AND siempre

devolver errores ya que un usuario
slo puede iniciar sesin en un
territorio nico de una sesin.


role
Disponible en:
sourceIP
Disponible en:
Realm = ('GoldPartners' or
'SilverPartners')
Lista de todos los roles de usuario para

la sesin.
Role = ('sales' or 'engineering')

Role = ('Sales' AND 'Support')
En el SSO, si desea enviar todos los roles a las

aplicaciones back-end, use <role sep = ";"> donde sep es la cadena de separacin de varios
valores. El IVE admite todos los separadores
excepto y >.
La direccin IP del equipo en que se autentica
el usuario. Puede especificar una mscara de
red mediante el nmeros de bits o en el
formato de la mscara de red: '255.255.0.0'.
Tenga en cuenta que puede evaluar la
expresin sourceIP con una variable de cadena
como un atributo LDAP.
sourceIP = 192.168.10.20
sourceIP = 192.168.1.0/24 and
networkIf internal
userAttr.dept = ('eng' or 'it') and
sourceIP = 10.11.0.0/16
sourceIP = 192.168.10.0/24 (Class C)
es lo mismo que:
sourceIP =
192.168.10.0/255.255.255.0
sourceIP=userAttr.sourceip
time
Disponible en:
La hora del da en que se evala la regla de

asignacin de roles o la regla de directiva de
recursos. La hora del da puede expresarse en
formato de 12 24 horas.
time = (9:00am to 5:00pm)

time = (09:00 to 17:00)
time = (Mon to Fri)
Permitir que los gerentes ejecutivos
y sus asistentes tengan acceso de
lunes a viernes:
userAttr.employeeType = ('*manager*'
or '*assistant*') and
group.executiveStaff and
time = (Mon to Fri)
1051

Variable
Descripcin
Ejemplos
time.day
El da del mes en que el usuario enva sus

credenciales al IVE, donde day es 1-31.
La hora est basada en la hora del IVE.
loginTime.day = 3
El da de la semana en que se evala la regla

de asignacin de roles o la regla de directiva
de recursos, donde dayOfWeek est en el rango
[0-6], y donde 0 = Domingo.
loginTime.dayOfWeek = (0 OR 6)
El da del ao en que se evala la regla de

asignacin de roles o la regla de directiva
de recursos. Los valores posibles son: 1-365.
time.dayOfYear = 100
El mes en que se evala la regla de asignacin

de roles o la regla de directiva de recursos. Los
valores posibles son: 1-12
time.month >= 9 and time.month <=
El ao en que se evala la regla de asignacin

de roles o la regla de directiva de recursos,
donde el ao se puede configurar en
[1900-2999].
time.year = 2005
Nombre de usuario del IVE para el servidor

de autenticacin primario del usuario
(user y user[1]) o el servidor de autenticacin
secundario (user[2]). Se usa al autenticar en
un servidor, dominio o nombre de usuario
de Active Directory.
user = 'steve'
Disponible en:

time.dayOfWeek
Disponible en:
loginTime.dayOfWeek = (1 to 5)
loginTime.dayOfWeek = 5

time.dayOfYear
Disponible en:

time.month
Disponible en:
12 and time.year = 2004
group.employees and time.month = 9

time.year
Disponible en:

user
user[1]
user[2]
Disponible en:

username
username[1]
username[2]
Disponible en:
1052
user = 'domain\\steve'
NOTA: al incluir un dominio como parte del

nombre de usuario, debe incluir dos barras
diagonales entre el dominio y el usuario.
Por ejemplo: user=yourcompany.net\\joeuser.
Nombre de usuario del IVE para el servidor de
autenticacin primario del usuario (username
y username[1]) o el servidor de autenticacin
secundario (username[2]). Si el usuario inicia
sesin en un servidor de autenticacin de
certificados, entonces el nombre de usuario
en el IVE es el mismo que CertDN.cn.
username = 'steve' and time = mon

username = 'steve'
username = 'steve*'
username = ('steve' or '*jankowski')

Variable
Descripcin
Ejemplos
userAgent
La cadena agente de usuario del explorador.
La cadena agente de usuario del

explorador.
Disponible en:

userAttr.<auth-attr>
Disponible en:
userAttr.building = ('HQ*' or
Atributos de usuario recuperados de un
'MtView[1-3]')
servidor de autenticacin o de directorio LDAP,
RADIUS o SiteMinder.
userAttr.dept = ('sales' and 'eng')
userAttr.dept = ('eng' or 'it' or
'custsupport')
userAttr.division = 'sales'
userAttr.employeeType != 'contractor'
userAttr.salaryGrade > 10
userAttr.salesConfirmed >=
userAttr.salesQuota
Ejemplos negativos:
userAttr.company != "Acme Inc" or not
group.contractors
not (user = 'guest' or group.demo)
Permitir que los gerentes ejecutivos
y sus asistentes tengan acceso de
lunes a viernes:
userAttr.employeeType = ('*manager*'
or '*assistant*') and
group.executiveStaff and
time = (Mon to Fri)
Permitir todos los socios con estado

activo de lunes a viernes, pero los
socios preferidos de lunes a sbado:
((group.partners and time = (Mon to Fri))
or
(group.preferredPartners and time =
(Mon to Sat))) and
userAttr.partnerStatus = 'active'
userDN
Disponible en:
El DN de usuario de un servidor LDAP. Si el

servidor LDAP autentica al usuario, este
DN pertenece al servidor de autenticacin;
de lo contrario, el DN proviene del servidor
de directorio/atributos del territorio.
Los comodines no se permiten.
userDN = 'cn=John
userDN = certDN
1053

Variable
Descripcin
Ejemplos
userDN.<user-attr>
Cualquier variable del DN del usuario,

donde user-attr es el nombre de la clave RDN.
Cualquier variable del DN del usuario,

donde user-attr es el nombre de la
clave RDN.
userDNText
DN de usuario almacenada como una cadena.
Disponible en:
Slo se permiten las comparaciones de

cadenas para este valor.
userDNText = 'cn=John
Disponible en:

Uso de variables del sistema en territorios, roles y directivas de

recursos
Puede usar las variables del sistema para definir atributos de territorio del usuario,
ajustes de roles y directivas de recursos. Usar las variables del sistema de este modo
le otorga flexibilidad para configurar dinmicamente algunos parmetros segn los
atributos de LDAP u otra informacin disponible para el usuario:
Al especificar variables, use la sintaxis estndar de variables <variable> como
en <user> y <time>. (Para obtener una lista de variables del sistema, consulte
Variables del sistema y ejemplos en la pgina 1046.) Al agregar un atributo
a una variable, use la sintaxis <variable.atributo> como en <userAttr.SourceIP>
y <group.sales>.
El IVE permite el uso de variables del sistema al configurar los siguientes ajustes
de roles de usuario:
1054
Web bookmarks: recurso con marcadores (URL real)
Windows/NFS File bookmarks: recurso de archivos (servidor, recurso

compartido o ruta)
Telnet/SSH: nombre de host
JSAM: servidores Exchange, nombres de host personalizados de servidor cliente
WSAM: nombres de host e IP/mscaras de red
Terminal Services: hosts de aplicaciones
UI Options\Custom Welcome Text: el mensaje de saludo puede contener

cualquier variable del sistema
NOTA: Puede usar la variable de sustitucin <USER> en las ACL de pginas Web,
telnet, archivos, SAM. No puede usar la variable en ACL de Network Connect.
Esta seccin contiene la siguiente informacin sobre las variables del sistema en
territorios, roles y directivas de recursos:
Uso de atributos de varios valores en la pgina 1055
Especificacin de los atributos de bsqueda en un territorio en la pgina 1057
Especificacin del atributo homeDirectory para LDAP en la pgina 1057
Uso de atributos de varios valores

Los atributos de varios valores (atributos que contienen dos o ms valores)
proporcionan un mtodo cmodo de definir recursos que se amplan a varios
marcadores individuales en la pgina de marcadores de los usuarios.
Por ejemplo, suponga que el directorio LDAP del usuario contiene el atributo de
varios valores HomeShares: \\Srv1\Sales;\\Srv2\Marketing. Cuando configure la
definicin del recurso compartido del archivo de Windows usando el atributo de
varios valores HomeShares, \\<userAttr.HomeShares>, el usuario ver dos
marcadores:
\\Srv1\Sales
\\Srv2\Marketing
Ahora supongamos que el directorio LDAP del usuario contiene un segundo atributo
de varios valores definido como HomeFolders: Folder1;Folder2;Folder3. Cuando
configure el recurso compartido del archivo de Windows usando los atributos de
varios valores, \\<userAttr.HomeShares>\<userAttr.HomeFolders>, el usuario ver
los siguientes seis marcadores:
\\Srv1\Sales\Folder1
\\Srv2\Marketing\Folder1
La nica excepcin a esta funcionalidad se presenta cuando la variable incluye una

cadena de separador explcita. En este caso, slo un marcador que contiene varios
recursos aparece en la pgina de marcadores de los usuarios.
Usted especifica la cadena de separador en la definicin de variable usando la
sintaxis sep=cadena donde cadena equivale al separador que desea usar. Por
ejemplo, para especificar como separador un punto y coma, use la sintaxis
<variable.Attr sep=';'>.
1055
Use la siguiente sintaxis para tratar atributos de varias variables. Tenga en cuenta
que la <variable> se refiere a una variable de sesin como <userAttr.name>
o <CertAttr.name>:
<variable[Index]>: Los ndices se especifican de varias formas. Por ejemplo, si el
nmero total de valores para un ndice determinado es 5 y desea especificar

todo el rango de valores, debe usar <variable[ALL]>. Si desea especificar slo el
cuarto valor, use <variable[4]>.
<variable> Es lo mismo que <variable[ALL]>
<variable sep='str'> y <variable[All] sep='str'>: Estas definiciones de variables
siempre se refieren a un valor de cadena nico con todos los tokens expandidos
con cadenas de separador entre los valores.
NOTA: Los nombres de variables no pueden contener espacios.
Especificacin de atributos de varios valores en un nombre de marcador

Otro caso comn del uso de los atributos de varios valores se presenta cuando
incluye una variable en un nombre de marcador y en una URL o campo de servidor
de archivos/recurso compartido.
Por ejemplo, nuevamente suponga que el directorio LDAP del usuario contiene el
atributo de varios valores HomeShares: \\Srv1\Sales;\\Srv2\Marketing. Cuando
configure la definicin del recurso compartido del archivo de Windows usando el
atributo de varios valores HomeShares, \\<userAttr.HomeShares>, y usa el mismo
atributo en el campo de nombre del marcador, <userAttr.HomeShares>, el IVE
crear dos marcadores:
Srv1\Sales este marcador apunta a \\Srv1\Sales
Srv2\Marketing este marcador apunta a \\Srv2\Marketing
Esto no crea una situacin en la que al final se tenga el siguiente conjunto

de condiciones:
1056
Srv1\Sales este marcador apunta a \\Srv1\Sales
Srv1\Marketing este marcador apunta a \\Srv1\Marketing (error)
Srv2\Sales este marcador apunta a \\Srv1\Sales (error)
Srv2\Marketing este marcador apunta a \\Srv2\Marketing
Especificacin de los atributos de bsqueda en un territorio

Para facilitar la compatibilidad con varios ajustes parametrizados en los roles
de usuario y directivas de recursos, puede especificar atributos de bsqueda
adicionales. El IVE almacena los atributos de bsqueda cuando el usuario inicia
sesin para que pueda usarlos en las definiciones de rol parametrizado o directiva
de recursos.
El IVE extrae todos los atributos actualmente almacenados en el catlogo de
servidores para el servidor de autenticacin del usuario o LDAP de autorizacin.
Por lo tanto, asegrese de agregar los atributos de usuario de LDAP que se usan
en las definiciones de directivas de recursos o roles en el primer catlogo de
servidores LDAP.
Cuando un usuario inicia sesin, el IVE recupera los atributos del usuario a los
que se hace referencia en las reglas de asignacin de roles ms todos los atributos
adicionales a los que se hace referencia en el catlogo de servidores y almacena
todos estos valores. Tenga en cuenta que esto no debera aumentar
significativamente el gasto de procesamiento porque todos los atributos del usuario
se recuperan en una sola consulta.
NOTA: Cuando sustituye variables, como en IP/mscaras de red, nombres de host,
etc., los valores de la sesin se convierten adecuadamente en el tipo de datos que
requiere la definicin particular de la aplicacin.
Especificacin del atributo homeDirectory para LDAP

Puede crear un marcador que se asigne automticamente al directorio principal
de LDAP de un usuario. Para ello, puede usar el atributo LDAP homeDirectory.
Debe configurar un territorio que especifique la instancia del servidor LDAP como
su servidor de autenticacin, y debe configurar las reglas de asignacin de roles que
apuntan al atributo homeDirectory de LDAP. Para obtener ms informacin, consulte
Creacin de marcadores de Windows que se asignan a servidores LDAP en la
pgina 475.
1057
1058
ndice
A
Access Series FIPS
documentacin complementaria ...........................1039
Access Series FIPS, Consulte Secure Access FIPS
Access-Accept, atributo de RADIUS .................................153
Access-Challenge, atributo de RADIUS ............................154
Access-Reject, atributo de RADIUS..................................154
Access-Request, atributo de RADIUS ...............................154
accin, componente de directiva de recursos .................103
Accounting-Request, atributo de RADIUS ........................154
Accounting-Response, atributo de RADIUS......................154
Acct-Authentic, atributo de RADIUS ........................152, 154
Acct-Delay-Time, atributo de RADIUS..............................154
Acct-Input-Gigawords, atributo de RADIUS......................154
Acct-Input-Octets, atributo de RADIUS ....................153, 154
Acct-Input-Packets, atributo de RADIUS ..........................154
Acct-Interim-Interval, atributo de RADIUS.......................154
Acct-Link-Count, atributo de RADIUS ......................152, 154
Acct-Multi-Session-Id, atributo de RADIUS...............152, 154
Acct-Output-Gigawords, atributo de RADIUS ...................154
Acct-Output-Octets, atributo de RADIUS .................153, 154
Acct-Output-Packets, atributo de RADIUS........................154
Acct-Session-Id, atributo de RADIUS .......................152, 154
Acct-Session-Time, atributo de RADIUS...................152, 154
Acct-Status-Type, atributo de RADIUS......................152, 155
Acct-Terminate-Cause, atributo de RADIUS .............152, 155
Acct-Tunnel-Connection, atributo de RADIUS..................155
Acct-Tunnel-Packets-Lost, atributo de RADIUS.................155
ACE/Server, Consulte servidor de autenticacin, ACE/Server
acelerador gzip .............................................................1026
ACL, Consulte perfiles de recursos, directivas automticas
ACS, Consulte servicio de confirmacin de usuarios
Active Directory, Consulte servidor de autenticacin,
Active Directory
Activesync ....................................................................1037
actualizacin
complemento de evaluacin de la seguridad
de puntos finales..................................................307
paquete de actualizacin .........................................721
actualizacin automtica, WSAM ....................................507
administracin de acceso, restricciones, especificacin ....74
administracin delegada
informacin general ................................................899
administrador
administrador de usuarios
Consulte usuario, administradores de usuarios
cuenta de usuario, creacin .....................................901
cuenta superadministrador, creacin.......................993
privilegios................................................................322
roles ........................................................................906
definicin ...................................................69, 899
Consulte tambin roles
tarjeta, Consulte Secure Access FIPS, tarjeta de
administrador
territorios.................................................................906
Consulte tambin territorios
administrador de la seguridad.........................................906
administrador raz, configuracin ...................................926
ajustes de autenticacin, para usuarios ...................301, 338
ajustes de la red
configuracin...........................................706, 708, 993
inicial.......................................................................702
alias de IP
activacin, Consulte puerto virtual
definicin ................................................................711
alias de IP de origen basados en roles.............................942
allowclipboard
parmetro................................................................611
almacenamiento en cach
almacenamiento en cach temporal ........................403
archivos Citrix ICA...................................................403
archivos de medios..................................................402
archivos de secuencias multimedia..........................403
archivos Lotus iNotes...............................................437
archivos OWA..................................................437, 456
archivos PDF ...........................................................403
archivos Power Point...............................................403
archivos QuickPlace.................................................403
archivos zip .............................................................402
configuracin
directivas automticas......................................401
directivas de recursos.......................................433
informacin general .........................................387
opciones generales ...........................................438
credenciales
Consulte SSO
encabezados............................................................403
imgenes .................................................................438
prevencin ..............................................................403
proxy web ...............................................................458
apagar el IVE...................................................................720
aplicacin
cachs, eliminacin .........................................256, 331
proporcionar acceso seguro a ............................28, 344
Consulte tambin Secure Application Manager
aplicacin Notes, Consulte Lotus Notes
aplicaciones passthrough, Consulte WSAM, ajustes de rol,
aplicaciones que se pasan por alto
ndice
1059
aplicaciones de 16 bits ................................................... 323

aplicaciones publicadas .................................................. 594
aplicaciones publicadas, Consulte Citrix, aplicaciones
publicadas
applets de Java
applet de Citrix, entrega a los usuarios .................... 361
firmado
configuracin ................................... 366, 405, 441
informacin general......................................... 441
recomendacin de reescritura.......................... 445
habilitar
a travs de opciones web ................................. 419
a travs de proxy passthrough ......................... 390
Consulte tambin directivas de control
de acceso a Java
hospedados
carga en el IVE ................................................. 347
caso se uso Citrix JICA 8.0................................ 357
creacin de una pgina Web ............................ 349
firma automtica.............................................. 348
informacin general................................. 345, 346
informacin general de la configuracin .......... 346
licencias ........................................................... 345
mejoramiento del rendimiento ........................ 346
perfiles de recursos .......................................... 350
restricciones..................................... 348, 350, 355
vinculacin de un servidor externo .................. 349
Consulte marcadores, applets de Java hospedados
applets de Java hospedados
Consulte applets de Java, hospedados
applets, Consulte applets de Java
Applications to deny, opcin........................................... 327
ARAP-Challenge-Response, atributo de RADIUS.............. 153
ARAP-Features, atributo de RADIUS................................ 153
ARAP-Password, atributo de RADIUS .............................. 153
ARAP-Security, atributo de RADIUS ................................ 153
ARAP-Security-Data, atributo de RADIUS........................ 153
ARAP-Zone-Access, atributo de RADIUS.......................... 153
archivado FTP, definicin................................................ 825
archivar, definicin ......................................................... 825
archiveFileTransferFailed, objeto MIB ............................. 838
archiveServerLoginFailed, objeto MIB ............................. 838
archiveServerUnreachable, objeto MIB............................ 838
archivo
comprobacin, configuracin.................................. 279
estadsticas de acceso.............................................. 840
URL, reescritura ...................................................... 421
archivo de configuracin
ACL y marcadores, exportacin .............................. 792
cuentas de usuario locales, exportacin .................. 789
cuentas de usuario locales, importacin .......... 790, 791
sistema, exportacin ............................................... 788
sistema, importacin............................................... 788
archivo de hosts, Consulte etc/archivo de hosts
archivos Adobe PDF, Consulte archivos PDF
archivos CAB, intemediacin mediante el IVE ................ 348
archivos de medios, almacenamiento en cach .............. 402
archivos de Windows, directivas de recursos .................. 477
archivos doc, almacenamiento en cach......................... 437
1060
ndice
archivos Excel, almacenamiento en cach ......................437

archivos ICA, almacenamiento en cach.........................403
archivos JAR, intemediacin mediante el IVE .................348
archivos PDF
almacenamiento en cach.......................403, 437, 438
reescritura de vnculos.............................................421
archivos Power Point, almacenamiento en cach....403, 437
archivos PPT, almacenamiento en cach.................403, 437
archivos QuickPlace, almacenamiento en cach .............403
archivos TAR, intemediacin mediante el IVE .................348
archivos temporales, eliminacin............................256, 331
archivos txt, almacenamiento en cach ..................437, 438
archivos Word, almacenamiento en cach ......................437
archivos xls, almacenamiento en cach ..........................437
archivos zip
almacenamiento en cach...............................402, 437
intermediacin mediante el IVE ..............................348
ARP
cach, configuracin................................................715
comando .................................................................993
tiempo de espera de ping, configuracin.........707, 709
artefacto .........................................................................190
perfiles ............................................................187, 193
Consulte tambin SAML, artefacto
asignacin de unidades, habilitar ....................................410
asociacin de grupo
LDAP .......................................................................202
recuperacin ...........................................................111
variables de expresin personalizada ....................1049
AssertionHandle .............................................................190
atributos
configuracin ..........................................................201
autenticacin bsica
directivas automticas .............................................398
directivas de recursos ..............................................426
Consulte tambin SSO
autenticacin de cliente SOAP ........................................193
autenticacin de RADIUS Access-Accept .........................145
autenticacin de RADIUS Access-Challenge ....................145
autenticacin de RADIUS Access-Reject ..........................145
autenticacin de RADIUS Access-Request .......................145
autenticacin de Windows NT, Consulte servidor de
autenticacin, Active Directory
authMethod, variable de expresin personalizada.........1047
authServerName, objeto MIB ..........................................835
ayuda, contactar a soporte tcnico ................................ xxvi
ayuda, modificar.............................................................222
B
barra de direcciones, vista para usuarios finales .............414
barra de herramientas, vista para usuarios finales ..........414
base de datos, autenticacin, Consulte servidor de
autenticacin
bitmapcaching
parmetro ...............................................................611
blockedIP, objeto MIB .....................................................835
blockedIPList, objeto MIB................................................836
bmname, parmetro.......................................................610
ndice
C
cach
complemento de Java..............................................778
eliminacin .....................................................256, 331
Cache Cleaner
ajustes de seguridad de SiteMinder..........................177
cambios en claves de registro................................1039
registro, inhabilitar ..................................319, 340, 841
restricciones ..........................................................1031
variable de expresin personalizada......................1047
cacheCleanerStatus, variable de expresin
personalizada ............................................................1047
cadena de motivos, para correccin de IMV/IMC
cadena de motivos ..................................................303
cadena de motivos, para correccin IMV/IMC .................288
Callback-Id, atributo de RADIUS .....................................155
Callback-Number, atributo de RADIUS ............................155
Called-Station-Id, atributo de RADIUS .............................155
Calling-Station-Id, atributo de RADIUS ............................155
cambios en claves de registro .......................................1039
campo giaddr .................................................................954
canal de reenvo de puerto, Consulte WSAM, canal de
reenvo de puerto
captura de SNMP iveFanNotify........................................839
captura de SNMP
iveMaxConcurrentUsersVirtualSystem.........................839
captura de SNMP ivePowerSupplyNotify .........................839
captura de SNMP iveRaidNotify ......................................839
captura de SNMP ocspResponderUnreachable ................839
capturas
configuracin ..........................................................834
definicin ................................................................825
carga de applets de Java, Consulte applets de Java,
hospedados
CDP, Consulte punto de distribucin de CRL
certAttr.altName.Alt-attr, variable de expresin
personalizada ............................................................1047
certAttr.cert-attr, variable de expresin
personalizada ............................................................1047
certAttr.serialNumber, variable de expresin
personalizada ............................................................1048
certDN, variable de expresin personalizada ................1048
certDN.subject-attr, variable de expresin
personalizada ............................................................1048
certDNText, variable de expresin personalizada..........1048
certificado
advertencias, mostrar..............................................421
atributos, configuracin...........................................201
autofirma ................................................................751
certificado comodn, definido..................................757
certificado de applet
definicin .........................................................749
importar...........................................................778
certificado de CA
carga en el IVE .................................................759
definicin .........................................................750
habilitacin de la comprobacin de CRL...........769
renovacin .......................................................764
verificacin.......................................................771
visualizacin de detalles ...................................776
certificado de dispositivo
asociacin con puerto virtual............................757
creacin de una CSR.........................................754
definicin .........................................................749
descargar..........................................................754
exportacin existente .......................................752
importacin de CSR..........................................755
importacin existente...............................752, 755
importacin renovada ......................................753
varios certificados, habilitacin ................751, 756
certificado de equipo
comprobacin usando Host Checker ................282
configuracin ...................................................763
Consulte tambin
certificado, certificado CA, cargar al IVE
Host Checker, certificado de equipo
certificado de firma de cdigo
Consulte certificado, certificado de applet
certificado del lado cliente
definicin .........................................................749
SiteMinder........................................................163
certificado del servidor, definido .............................749
certificado intermedio, definido...............................759
clave
exportacin existente .......................................752
importacin existente...............................752, 755
CRL
habilitar............................................................769
visualizacin de detalles ...................................764
formatos compatibles ..............................751, 758, 775
JavaSoft ...................................................................777
jerarqua
analizado..................................................755, 767
definicin .........................................................759
lista de revocacin
analizado..........................................................768
definicin .........................................................759
MS Authenticode .....................................................777
recomendacin de Secure Meeting ..........................643
requisitos de seguridad, definicin ............................65
restricciones, configuracin .................................53, 54
revocacin, definida ................................................759
SAML .......................................................................250
servidor Consulte servidor de autenticacin,
servidor de certificados
solicitud de firma
creacin ...........................................................754
importacin del certificado a partir de..............755
importar ...........................................................755
ndice
1061
certificado Authenticode de Microsoft............................. 777

certificado comodn, definido......................................... 757
certificado de CA, Consulte certificado, certificado de CA
certificado de firma de cdigo, Consulte certificado,
certificado de applet
certificado de JavaSoft .................................................... 777
certificado digital
Consulte tambin certificado
definicin ................................................................ 749
certificado encadenado, Consulte certificado,
certificado intermedio
certificado intermedio, Consulte certificado,
certificado intermedio
certificados IVE, Consulte certificados, certificados
del dispositivo
certIssuerDN, variable de expresin personalizada ....... 1048
certIssuerDN.issuer-attr, variable de expresin
personalizada............................................................ 1048
certIssuerDNText, variable de expresin
personalizada............................................................ 1048
CHAP-Challenge, atributo de RADIUS ............................. 155
CHAP-Password, atributo de RADIUS.............................. 155
cHTML
contraseas, enmascaramiento............................. 1035
informacin general .............................................. 1031
pginas, habilitar................................................... 1034
CIE
Consulte
Motor de intermediacin de contenido
web, reescritura
cifrados SSL, seleccin.................................................... 735
Citrix
aplicaciones publicadas, acceso....................... 363, 364
archivos, almacenamiento en cach........................ 403
compatibilidad de CSG ............................................ 364
compatibilidad de NFuse
JSAM ................................................................ 530
plantillas Web .................................................. 365
compatibilidad de WSAM ................................ 499, 502
conexin a dispositivos locales
impresoras ....................................................... 590
puertos............................................................. 590
unidades .......................................................... 590
configuracin de puertos................................. 363, 364
experiencia del usuario ................................... 363, 364
interfaz Web para MPS, compatibilidad .................. 365
marcadores, configuracin ...................................... 369
modificaciones de archivos de host......................... 364
perfiles de recursos ................................................. 361
plantilla Web
configuracin ................................................... 365
Consulte tambin
applets de Java, hospedados
Terminal Services
Class, atributo de RADIUS............................................... 155
clave ............................................................................... 752
entorno de seguridad, Consulte Secure Access FIPS,
clave del entorno de seguridad
privada, Consulte clave privada
1062
ndice
clave privada
administracin ......................................................1011
importar ..........................................................752, 755
clientPort, parmetro......................................................609
clster
activo/activo ............................................................879
figura................................................................880
visin general de la implementacin ................879
activo/pasivo ...........................................................877
figura................................................................878
visin general de la implementacin ................877
actualizacin ...........................................................887
administrar......................................................875, 886
cambio de la IP del nodo .........................................898
compatibilidad con ACE/Server ...............................118
configuracin ..................................................869, 871
contabilidad de RADIUS ..........................................151
contrasea...............................................................881
datos del sistema.....................................................720
eliminacin .............................................................888
estado definido........................................................889
inicializacin ...................................................869, 870
integracin ..............................................................874
modificacin de propiedades...........................883, 888
nombres de host .....................................................704
registro............................................................881, 882
reinicio, rearranque, apagado..................................720
restriccin de Secure Meeting..................................628
sincronizacin .................................................869, 881
sincronizacin de estado .........................................881
clster activo/pasivo, Consulte clster, activo/pasivo
clster activo/pasivo, Consulte clster, activo/pasivo
clusterConcurrentUsers, objeto MIB ................................836
colorDepth, parmetro ...................................................610
comando ping ................................................................993
Command window, opcin .............................................326
compartir, definir directivas de recursos .................467, 477
compatibilidad con ACE/Server esclavo...........................118
compatibilidad con bloqueo de nombre .........................118
compatibilidad con bsqueda de referencias ..................131
compatibilidad con CASQUE, Consulte servidor de
autenticacin, RADIUS
compatibilidad con Defender, Consulte servidor de
compatibilidad con el modo Nuevo PIN ..........................117
compatibilidad con el modo Siguiente token ..................117
compatibilidad con encriptacin DES/SDI.......................118
compatibilidad con Exchange Server ..............................651
compatibilidad con HP OpenView ..................................825
compatibilidad con MAPI........................................647, 649
compatibilidad con Outlook............................648, 649, 650
compatibilidad con Outlook Express...............................648
compatibilidad con PassGo Defender, Consulte servidor
de autenticacin, RADIUS
compatibilidad con protocolo de acceso a mensajes
en Internet ..................................................................647
compatibilidad con steelbelted-RADIUS, Consulte
servidor de autenticacin, RADIUS
ndice
compatibilidad con Windows

certificados..............................................................777
JSAM........................................................................524
compatibilidad de Norton AntiVirus, WSAM............496, 497
Complemento de evaluacin de la seguridad de
puntos finales, actualizacin........................................307
compresin
ajustes del sistema ..................................................411
compresin GZIP, restriccin...................................403
directivas automticas
archivo .............................................................469
web ..................................................................411
UNIX/NFS .........................................................488
web ..................................................................454
Windows ..........................................................481
comprobacin de los ajustes de registro,
configuracin ..............................................................280
comprobacin de procesos, configuracin ......................278
conectividad, prueba ......................................................720
conferencias, consulte Secure Meeting
configuracin de la sesin de SSH, Consulte Telnet/SSH
configuracin de la sesin de Telnet, Consulte Telnet/SSH
configuracin de NTLM
servidor Active Directory .........................................114
configuracin de NTLM
Consulte tambin SSO
configuracin, sistema de actualizacin ......................... xxvi
configuraciones avanzadas .............................................885
configuraciones del IVS
exportar ..................................................................959
importar ..................................................................959
configuraciones Network Healthcheck
(comprobacin del estado de la red) ...........................885
Configuration-Token, atributo de RADIUS .......................155
conmutacin por error....................................................878
connectComPorts
parmetro ...............................................................611
connectDrives, parmetro...............................................610
Connect-Info, atributo de RADIUS...................................155
connectPrinters, parmetro ............................................610
consola serie
inicializacin de un equipo con Secure Access
FIPS ...................................................................1012
uso para tareas de sistema ......................................987
consola web, pgina principal.........................................717
contrasea
administracin
LDAP................................................................133
RADIUS ............................................................148
servidor de autenticacin local .................138, 141
SiteMinder........................................................167
en archivo XML .......................................................796
encriptada ...............................................................796
memoria cach, configuracin ..................................78
para usuarios nuevos ...............................................796

parmetro................................................................610
pasar a otra aplicacin
Consulte SSO
requisitos de seguridad, definicin ............................66
texto sin formato .....................................................796
verificacin Consulte servidor de autenticacin
control de cach, Consulte almacenamiento en cach,
configuracin
Control panel, opcin......................................................326
controlador LSP, Consulte WSAM, controlador LSP
controlador TDI, Consulte WSAM, controlador TDI
convenciones de texto definidas .................................... xxvi
convenciones definidas
iconos..................................................................... xxvi
texto ....................................................................... xxvi
cookie de SMSESSION, Consulte servidor de autenticacin,
SiteMinder
cookies
bloqueo ...........................................................408, 448
eliminacin al trmino de la sesin .........................736
envo a aplicaciones.................................388, 401, 431
incluido en la direccin URL ....................................736
persistentes
habilitar............................................................420
restriccin ........................................................496
correccin
cadena de motivos ..................................................288
configuracin...........................................................306
Send Reason Strings, seleccionar opcin .................288
correo
estadsticas de uso ms altas ...................................840
servidores, configuracin.........................................652
correos electrnicos de notificacin, Secure Meeting,
consulte Secure Meeting, correos electrnicos
correos electrnicos, Secure Meeting, consulte Secure
Meeting, correos electrnicos
cortafuegos
compatibilidad de WSAM ........................................497
uso con Cache Cleaner ............................................337
cortafuegos personal GreenBow, compatibilidad
de WSAM ....................................................................497
cortafuegos personales
uso con Cache Cleaner ............................................337
cpuUtilNotify, objeto MIB ................................................839
creador de la reunin, Consulte Secure Meeting
CRL base
definicin ................................................................768
Consulte tambin CRL
CRL, Consulte certificado, lista de revocacin
CSR
creacin...................................................................754
importacin del certificado a partir de.....................755
importar ..................................................................755
CSS, reescritura...............................................................444
cuenta superadministrador, creacin...............................993
Custom applications, opcin ...........................................326
ndice
1063
D
datos persistentes, definidos........................................... 881
datos transitorios, definidos............................................ 881
declaracin de autenticacin, definida............................ 235
declaracin de decisin de autorizacin, definida........... 236
declaraciones.................................................................. 190
declaraciones de atributos, restricciones......................... 236
defaultNTDomain, variables de expresin
personalizada............................................................ 1049
defensa en el punto final
Consulte tambin Host Checker
informacin general ................................................ 255
Desktop Persistence, opcin ........................................... 325
desktopbackground
parmetro ............................................................... 611
desktopcomposition
parmetro ............................................................... 612
DHCP
configuracin de la compatibilidad.......................... 954
giaddr...................................................................... 954
servidores admitidos, Network Connect .................. 676
DHCP centralizado.......................................................... 954
direccin IP
ajustes de seguridad de SiteMinder ......................... 177
asignacin de Network Connect .............................. 661
configuracin .......................................... 706, 707, 709
definir en directivas de
recursos............................... 104, 105, 467, 477, 486
especificacin de los requisitos de usuario ................ 60
nodo........................................................................ 898
para el puerto externo..................................... 706, 708
resolucin ............................................................... 716
restricciones.......................... 61, 63, 66, 301, 338, 765
restricciones de inicio de sesin del usuario ............ 338
direccin MAC, configuracin de los requisitos en la
directiva de Host Checker ........................................... 282
direcciones de bucle invertido,
JSAM ........................................... 410, 520, 522, 537, 542
direcciones IP de origen de alias, Consulte IP de origen,
direccin, alias
directiva de acceso slo con autorizacin ....... 178, 181, 215
directiva de control de conexiones, seleccin
como opcin de Host Checker .................................... 263
directiva, seguimiento .................................................... 854
directivas
Consulte directivas
Consulte tambin directivas de autenticacin
Consulte tambin directivas de inicio de sesin
directivas automticas, vase perfiles de recursos,
directivas de autenticacin
configuracin .................................................. 198, 199
definicin .......................................................... 52, 195
directivas de control acceso a Java
directivas automticas............................................. 404
directivas de recursos.............................................. 439
directivas de control de acceso, Consulte perfiles de recursos,
1064
ndice
directivas de encabezados/cookies
configuracin ..........................................................431
directivas de recursos
administrar......................................................907, 908
archivo
compresin ......................................................488
compresin para Windows...............................481
control de acceso para Windows......................478
SSO de Windows..............................................479
UNIX/NFS .........................................................485
Windows..........................................................476
archivos de Windows ..............................................477
definicin ............................................................49, 54
Email Client.............................................................102
evaluacin ...............................................................106
exportacin .....................................................804, 808
importar ..................................................................802
Network Connect.....................................101, 102, 655
Secure Application Manager ....................................101
servidor ...................................................................104
Telnet/SSH...............................................................101
definicin .........................................................560
informacin general de la configuracin ..........552
opciones generales...........................................561
Terminal Services ....................................................102
web .........................................................101, 385, 422
acceso a Java....................................................387
almacenamiento en cach........................387, 433
autenticacin bsica .........................................426
compresin web.......................................387, 454
control de acceso web..............................386, 424
controles de acceso a Java................................439
firma de cdigo Java.........................................441
iniciar JSAM......................................................387
NTLM ...............................................................426
opciones generales...................................388, 462
parmetros ActiveX..........................................450
personalizacin de vistas..................................463
protocolo..........................................................388
protocolo HTTP 1.1 ..........................................459
proxy passthrough ...........................................446
proxy web................................................387, 456
reescritura........................................................387
reescritura selectiva..........................................443
SSO ..........................................................387, 425
SSO remoto......................................................429
diskFullPercent, objeto MIB.............................................836
dispositivo de licencia SA-700
reescritura de archivos ............................................465
dispositivos de mano
compatibilidad de WSAM ..............493, 504, 726, 1036
habilitar.......................................................1032, 1034
informacin general ..............................................1031
restricciones ..........................................................1032
DMZ, interfaz..........................................................706, 708
ndice
DNS
configuracin para proxy passthrough.............389, 391
nombre de host, definicin en directivas
de recursos ..........................................................105
para el puerto externo .....................................706, 708
resolucin de nombre, configuracin ......................704
servidor de aplicaciones ..........................................918
DoD 5220.M ...................................................................321
dominio NT, Consulte servidor de autenticacin,
Active Directory
Domino Web Access 6.5, restriccin ...............................403
DST, cumplimiento .........................................................642
DTD, reescritura..............................................................445
E
EAP-Message, atributo de RADIUS ..................................155
elementos de secuencia..................................................797
elementos, instancia .......................................................795
Email Client
configuracin ..........................................................652
objeto MIB ...............................................................835
restricciones ..........................................................1031
emuladores de terminal 5250, intermediacin
de trfico con ..............................................................347
Enable Custom Actions, opcin...............................306, 329
Enable Custom Instructions, opcin................................329
encriptacin
cifrados SSL personalizados.....................................735
contraseas .............................................................796
descripcin................................................................27
intensidad ...............................................................735
Encriptacin AES
compatibilidad ........................................................118
encriptacin AES
clave........................................................................327
encriptacin de 128 bits .................................................735
encriptacin de 168 bits .................................................735
enmascaramiento
contraseas en HTML compacto............................1035
nombres de host .....................................................418
enmascaramiento de nombres de host ...........................418
Consulte Secure Access FIPS, entorno de seguridad
equilibrio de carga
Citrix
configuracin ...................................................569
uso del equilibrador de carga en un clster .............879
espacios de nombres, XML .............................................797
estadsticas, visualizacin................................................840
estndar de saneamiento................................................321
etc/archivo hosts
cambia a
realizado por Host Checker ..............................578
realizado por JSAM ...........................................364
realizado por Network Connect ........................656
realizado por Terminal Services................364, 578
restricciones ............................................................578
etiqueta de final, XML .....................................................795
etiqueta de inicio, XML ...................................................795
etiqueta vaca, XML.........................................................795
eTrust, Consulte servidor de autenticacin, SiteMinder
evaluacin de directivas dinmicas .................................316
evaluacin dinmica de directivas.............................57, 197
exploracin
configuracin de opciones de usuarios finales .........418
opciones, especificacin de archivos ...............476, 485
exploracin de archivos NetBIOS, compatibilidad
de WSAM ............................................................499, 502
explorador
barra de direcciones, vista para usuarios finales ......414
barra de herramientas, vista ....................................414
restricciones de inicio de sesin, usuario ...................63
restricciones, configuracin .......................................62
seguimiento de peticin, configuracin .....................78
exportar ..........................................................................959
exportar ajustes de red ...................................................804
expresiones personalizadas
coincidencia de comodines....................................1045
formatos................................................................1041
funciones
isEmpty ................................................1042, 1045
isUnknown ...........................................1042, 1045
matchDNSuffix ...............................................1046
licencias.................................................................1041
operadores de comparacin
AND ...........................................1041, 1042, 1045
definicin .......................................................1043
NOT .....................................................1042, 1045
OR....................................1041, 1042, 1044, 1045
TO ..................................................................1042
uso
configuraciones en LDAP................................1047
en campos de parmetros de SSO..................1047
en directivas de recursos ......................1047, 1054
en filtros de registro .......................................1042
en marcadores de Terminal Services ..............1054
en marcadores de Windows ...........................1054
en marcadores Web .......................................1054
en nombres de host de Telnet/SSH.................1054
en nombres de host JSAM ..............................1054
en nombres de host WSAM ............................1054
en opciones de UI y texto personalizado ........1054
en reglas de asignacin de roles .....................1047
en roles ..........................................................1054
en territorios ..................................................1054
general .............................................................202
valores, definidos ..................................................1044
ndice
1065
variables
authMethod.................................................... 1047
cacheCleanerStatus ........................................ 1047
certAttr.altName.Alt-attr................................. 1047
certAttr.cert-attr ............................................. 1047
certAttr.serialNumber..................................... 1048
certDN ................................................. 1046, 1048
certDN.subject-attr ......................................... 1048
certDNText .................................................... 1048
certIssuerDN ........................................ 1046, 1048
certIssuerDN.issuer-attr.................................. 1048
certIssuerDNText ........................................... 1048
contrasea ..................................................... 1051
defaultNTDomain........................................... 1049
group.group-name ......................................... 1049
groups............................................................ 1049
hostCheckerPolicy.......................................... 1049
informacin general....................................... 1042
loginHost........................................................ 1049
loginTime....................................................... 1049
loginTime.day ................................................ 1050
loginTime.dayOfWeek ................................... 1050
loginTime.dayOfYear ..................................... 1050
loginTime.month ........................................... 1050
loginTime.year ............................................... 1050
loginURL ........................................................ 1050
networkIf ....................................................... 1050
ntdomain ....................................................... 1050
ntuser ............................................................ 1051
rol .................................................................. 1051
sintaxis de comillas........................................ 1042
sourceIP ......................................................... 1051
territorio ........................................................ 1051
time ..................................................... 1044, 1051
time.day......................................................... 1052
time.dayOfWeek ............................................ 1052
time.dayOfYear.............................................. 1052
time.month .................................................... 1052
time.year ....................................................... 1052
userAgent....................................................... 1053
userAttr.auth-attr............................................ 1053
userDN................................................. 1046, 1053
userDN.user-attr............................................. 1054
userDNText.................................................... 1054
username....................................................... 1052
usuario ........................................................... 1052
variables y funciones de DN .................................. 1046
externalAuthServerUnreachable, objeto MIB ................... 838
F
fanDescription, objeto MIB ............................................. 837
FAT16 ............................................................................. 325
FAT32 ............................................................................. 325
fecha y hora, ajustes....................................................... 847
Federal Information Processing Standards, Consulte
Secure Access FIPS
ficha de rutas.................................................................. 715
fichas, rutas .................................................................... 715
fileName, objeto MIB ...................................................... 835
Filter-Id, atributo de RADIUS .......................................... 155
1066
ndice
FIPS, Consulte Secure Access FIPS

firmas de virus
comprobacin de la antigedad ..............................280
Flash
permitir ...................................................................420
reescritura ...............................................................445
fontsmoothing
parmetro ...............................................................612
formato cannico
configuracin de archivo .................................477, 486
configuracin web ...................................................422
informacin general ................................103, 477, 486
Telnet/SSH...............................................................560
formato de archivo de registro estndar .........................833
formato de archivo de registro W3C ...............................833
formato de archivo de registro WELF..............................833
Framed-AppleTalk-Link, atributo de RADIUS ...................155
Framed-AppleTalk-Network, atributo de RADIUS ............155
Framed-AppleTalk-Zone, atributo de RADIUS ..................155
Framed-Compression, atributo de RADIUS .....................155
Framed-IP-Address, atributo de RADIUS .................152, 155
Framed-IP-Netmask, atributo de RADIUS........................155
Framed-IPv6-Pool, atributo de RADIUS ...........................156
Framed-IPv6-Route, atributo de RADIUS.........................156
Framed-IPX-Network, atributo de RADIUS ......................156
Framed-MTU RADIUS, atributo de RADIUS.....................156
Framed-Pool, atributo de RADIUS ...................................156
Framed-Protocol, atributo de RADIUS.............................156
Framed-Route, atributo de RADIUS.................................156
Framed-Routing, atributo de RADIUS..............................156
funcin de la expresin personalizada
isEmpty...........................................................1042, 1045
funcin de la expresin personalizada
isUnknown......................................................1042, 1045
fusin permisiva
informacin general ..................................................71
Secure Meeting........................................................638
G
GINA
Consulte Network Connect
grabacin de sesiones de usuario ...................................855
grficos
configuracin ..........................................................844
resultado de XML ....................................................718
group.groupname, variable de expresin
personalizada............................................................1049
groups, variable de expresin personalizada .................1049
GZIP, compresin, Consulte compresin, GZIP
H
habilitar cach de instrumentacin de Java.....................723
hoja de trabajo de la configuracin de IVS ......................924
hora y fecha, ajustes .......................................................847
horario de verano, cumplimiento....................................642
Host Check nativo, Consulte Host Checker
Host Checker
actualizacin automtica .........................................318
ndice
certificado de equipo
configuracin ...................................................282
Consulte tambin certificado, certificado del equipo
comprobacin de frecuencia ...................................314
correccin
configuracin ...................................................306
desinstalacin..................................................300, 338
directiva de control de conexiones ..........................263
directivas.................................................................261
ejecucin .........................................................299, 336
especificacin de restricciones
nivel de directivas de recursos .................109, 299
nivel de rol ...............................................298, 302
nivel de territorio .....................................298, 301
instalador
directorio .................................................300, 338
habilitar............................................................302
informacin general .................................316, 339
interfaz de integracin del servidor
habilitar............................................................296
registro, inhabilitar ..................................319, 340, 841
requisitos de la medicin de integridad ...................277
restricciones ..........................................................1031
host, definicin en directivas de recursos .......................105
host, parmetro ..............................................................609
hostCheckerPolicy, variable de expresin
personalizada ............................................................1049
HSM, Consulte Secure Access FIPS
HTC, reescritura..............................................................445
HTML
almacenamiento en cach...............................437, 438
reescritura ...............................................................444
HTTP
directivas de recursos de protocolo .........................459
tiempo de espera de conexin, configuracin .........421
HTTPBrowserAddress, parmetro ...................................568
I
iconos de avisos definidos ............................................. xxvi
iconos definidos, aviso................................................... xxvi
Idle-Timeout, atributo de RADIUS ...................................156
IE Explorer, ejecucin de JVM .........................................777
IE/Outlook extensions to allow, opcin............................327
imgenes instantneas, creacin ............................785, 994
imgenes, almacenamiento en cach .............................438
IMAP
compatibilidad ........................................647, 649, 651
servidor de correo ...................................................652
IMC e IMV, vista general..................................................257
iMode, Consulte dispositivos de mano
importar .........................................................................959
IMV de terceros, configuracin........................................289
informacin general de la base de informacin de

administracin ............................................................825
informacin general de MIB............................................825
informes .........................................................................961
infraestructura de claves pblicas, definida .....................749
inicio automtico
JSAM........................................................................387
Network Connect.....................................................672
Terminal Services ............................................580, 589
inicio de sesin
directivas
cambio de orden ..............................................220
configuracin ...........................................214, 217
definicin .................................................211, 214
evaluacin ........................................................219
habilitar............................................................219
inhabilitar.........................................................219
opciones, restricciones de usuario .............63, 301, 338
pginas
asignacin a directivas de inicio
de sesin ..............................................214, 218
definicin .........................................................220
estndar ...........................................................220
exportacin ......................................................806
personalizados .................................................220
propiedades.............................................................939
tareas de administracin, delegacin.......................903
inicio de sesin en IVS ....................................................941
inicio de sesin nico
Consulte SAML
Consulte SSO
iNotes, Consulte Lotus Notes
instalacin, contactar a soporte tcnico para obtener
asistencia ................................................................... xxvi
instalador para secuencia de comandos, Consulte WSAM,
instaladores.................................................................495
instaladores, descarga .....................................................725
Instant Virtual Extranet, Consulte IVE
integridad referencial......................................................797
inteligente
almacenamiento en cach, Consulte almacenamiento
en cach, configuracin
inteligentes, consulte dispositivos de mano
tarjeta, Consulte Secure Access FIPS, tarjeta de
administrador
interaccin IDP, habilitacin............................................978
intermediacin
definicin ..................................................................25
Consulte tambin web, reescritura
Internet Explorer, Consulte IE Explorer
IP de origen
alias ...........................................................................75
basado en rol.............................................................75
direccin..................................................................943
direccin, alias...........................................................75
restricciones, configuracin .................................53, 54
ipEntry, objeto MIB .................................................836, 837
ipIndex, objeto MIB.........................................................837
ipValue, objeto MIB .........................................................837
IVE, definicin ..................................................................25
ndice
1067
iveAppletHits, objeto MIB ............................................... 836

iveClusterChangedVIPTrap.............................................. 839
iveClusterDelete.............................................................. 839
iveClusterDisableNodeTrap ............................................. 839
iveConcurrentUsers, objeto MIB...................................... 836
iveCpuUtil, objeto MIB .................................................... 835
iveDiskFull, objeto MIB ................................................... 838
iveDiskNearlyFull, objeto MIB ......................................... 838
iveFileHits, objeto MIB .................................................... 836
iveLogFull, objeto MIB .................................................... 837
iveLogNearlyFull, objeto MIB .......................................... 837
iveMaxConcurrentUsersSignedIn, objeto MIB ................. 837
iveMemoryUtil, objeto MIB ............................................. 835
iveNCHits, objeto MIB..................................................... 836
iveNetExternalInterfaceDownTrap .................................. 839
iveNetInternalInterfaceDownTrap ................................... 839
iveReboot, objeto MIB..................................................... 838
iveRestart, objeto MIB..................................................... 838
iveSAMHits, objeto MIB................................................... 836
iveShutdown, objeto MIB ................................................ 838
iveStart, objeto MIB ........................................................ 838
iveSwapUtil, objeto MIB.................................................. 836
ivetermHits, objeto MIB .................................................. 836
iveTooManyFailedLoginAttempts, objeto MIB .................. 838
iveTotalHits, objeto MIB .................................................. 836
iveWebHits, objeto MIB................................................... 836
IVS.................................................................................. 915
aprovisionamiento .................................................. 927
archivado ................................................................ 786
inicio de sesin ....................................................... 941
sistema virtual......................................................... 937
ivsName, objeto MIB....................................................... 837
J
Javascript, reescritura ..................................................... 444
JCP, habilitacin .............................................................. 738
JSAM
cambios en claves de registro................................ 1039
directivas automticas..................................... 407, 410
informacin general ........................................ 491, 517
inicio automtico..................................................... 387
mensajes de contabilidad de
inicio/detencin ........................................... 151, 153
restricciones............................................................ 368
uso de expresiones personalizadas en nombres
de host .............................................................. 1054
uso para configurar Citrix................................ 367, 368
Consulte tambin Secure Application Manager
JVM
compatibilidad con Sun y Microsoft ........................ 348
firma de applets ...................................................... 777
requisitos del certificado ......................................... 441
requisitos, JSAM ...................................................... 528
trabajo con versiones incompatibles ....................... 390
K
Keep-Alives, atributo de RADIUS..................................... 156
Kill Processes, opcin ..................................................... 329
1068
ndice
L
LAN, modificacin de los ajustes de la red ..............706, 708
LDAP
asignacin de marcadores de Windows a................475
licencia de recuperacin ante desastres
Consulte modo de emergencia.................................730
licencia en caso de emergencia
Consulte modo de emergencia
licencia ICE
Consulte modo de emergencia.................................730
licencia SA-700
applets de Java hospedados.....................................345
reescritura web........................................................384
Telnet/SSH...............................................................552
licencia SA700
servidores de autenticacin .....................................112
licencias
actualizacin ...........................................................732
creacin ..................................................................730
lmites, restricciones .........................................................67
limpieza de archivos ...............................................256, 331
Linux
compatibilidad a travs de JSAM .............................524
compatibilidad a travs de Terminal Services..........363
lista de control de acceso (ACL), exportacin ..................792
lista de revocacin de certificados, Consulte certificado,
lista de revocacin
localhost, resolver servidor remoto .................................517
logDescription, objeto MIB..............................................837
logFullPercent, objeto MIB ..............................................835
logID, objeto MIB ............................................................837
loginHost, variable de expresin personalizada ............1049
Login-IP-Host, atributo de RADIUS..................................156
Login-LAT-Group, atributo de RADIUS .............................156
Login-LAT-Node, atributo de RADIUS...............................156
Login-LAT-Port, atributo de RADIUS.................................156
Login-LAT-Service, atributo de RADIUS............................156
Login-Service, atributo de RADIUS ..................................156
Login-TCP-Port, atributo de RADIUS................................156
loginTime, variable de expresin personalizada ............1049
loginTime.day, variable de expresin
personalizada.day .....................................................1050
loginTime.dayOfWeek, variable de expresin
personalizada............................................................1050
loginTime.dayOfYear, variable de expresin
personalizada............................................................1050
loginTime.month, variable de expresin
personalizada............................................................1050
loginTime.year, variable de expresin personalizada.....1050
loginURL custom, variable de expresin
personalizada............................................................1050
logMessageTrap, objeto MIB............................................838
logName, objeto MIB ......................................................836
logType, objeto MIB ........................................................837
ndice
Lotus Notes
archivos, almacenamiento en cach........................437
compatibilidad ................................................647, 651
compatibilidad de WSAM ................................499, 502
marcadores, configuracin ......................................373
perfiles de recursos .................................................371
M
Macintosh
compatibilidad
JSAM ................................................................524
Terminal Services.............................................363
mantenimiento
modo, Secure Access FIPS.....................................1013
tareas, delegacin....................................................903
mquina virtual de Java, Consulte JVM
marcadores
applets de Java hospedados
atributos requeridos .........................................354
definicin .................................................352, 416
parmetros requeridos .....................................356
restricciones.....................................................350
vinculacin a la consola del IVE........................349
archivo
creacin mediante perfiles de recursos ....467, 471
creacin mediante roles ...........473, 474, 483, 484
restricciones.....................................................471
Citrix
creacin mediante perfiles de recursos ............369
propiedades predeterminadas..................369, 373
Consulte tambin Citrix
exportacin .............................................................792
expresiones personalizas en ..................................1054
Lotus Notes
Consulte tambin Lotus Notes
Microsoft OWA
propiedades predeterminadas..........................377
Consulte tambin Microsoft OWA
proxy passthrough...................................................391
Sharepoint
Consulte tambin Sharepoint
Telnet/SSH...............................................................557
creacin mediante roles ...................................557
informacin general de
la configuracin ....................................552, 556
web
creacin mediante perfiles
de recursos ...................................394, 412, 415
creacin mediante roles ...................................416
habilitar para los usuarios
finales...................................386, 414, 417, 418

informacin general de la configuracin...........384
propiedades predeterminadas ..................393, 394
restricciones .............................................412, 413
SSO ..................................................................427
mscara de red
configuracin...........................................706, 707, 709
definicin de los requisitos de usuario .......................60
definir en directivas de recursos ..............................105
McAfee, compatibilidad de WSAM ..................................496
Meeting Series, consulte Secure Meeting
meetingCount, objeto MIB ..............................................836
meetingHits, objeto MIB..................................................836
meetingLimit, objeto MIB................................................838
meetingUserCount, objeto MIB .......................................835
meetingUserLimit, objeto MIB.........................................838
memorias cach del complemento de Java .....................778
memUtilNotify, objeto MIB..............................................839
mensajes de error
modificacin............................................................221
Secure Meeting ........................................................644
mensajes de registro crticos, definidos...........................825
mensajes de registro graves, definidos ............................825
mensajes de registro informativos, definidos ..................826
mensajes de registro leves, definidos ..............................825
mensajes de texto, Consulte Secure Meeting,
mensajes de texto
mtrica ...........................................................................935
Mic .................................................................................379
Microsoft JVM, Consulte JVM
Microsoft Outlook
Consulte Microsoft OWA
Consulte Outlook
Consulte Pocket Outlook
Consulte Secure Meeting, complemento de Outlook
Microsoft OWA
almacenamiento en cach de
archivos OWA ..............................................437, 456
informacin sobre compatibilidad ...........................651
marcadores, configuracin ......................................377
perfiles de recursos..................................................375
Mobile Notes, acceso ....................................................1031
modo de emergencia
activacin ................................................................734
desactivacin...........................................................734
modo de inicializacin, Secure Access FIPS...................1013
modo operativo, Secure Access FIPS .............................1013
mdulo criptogrfico
Consulte Secure Access FIPS
definicin ..............................................................1012
mdulo de seguridad de hardware, Consulte
Secure Access FIPS
Motor de intermediacin de contenido
documentacin complementaria ...........................1039
informacin general ..................................28, 344, 383
motor de intermediacin de contenido
Mozilla, compatibilidad, Safari, compatibilidad...............736
ndice
1069
MS Exchange
compatibilidad ........................................................ 649
compatibilidad con protocolos ................................ 647
MS-Acct-Auth-Type, atributo de RADIUS.......................... 156
MS-Acct-EAP-Type, atributo de RADIUS .......................... 156
MS-ARAP-Challenge, atributo de RADIUS........................ 156
MS-ARAP-Password-Change-Reason, atributo
de RADIUS .................................................................. 156
MS-BAP-Usage, atributo de RADIUS ................................ 157
MS-CHAP2-CPW, atributo de RADIUS ............................. 157
MS-CHAP2-Response, atributo de RADIUS...................... 157
MS-CHAP2-Success, atributo de RADIUS......................... 157
MS-CHAP-Challenge, atributo de RADIUS........................ 157
MS-CHAP-CPW-1, atributo de RADIUS ............................ 157
MS-CHAP-CPW-2, atributo de RADIUS ............................ 157
MS-CHAP-Domain, atributo de RADIUS .......................... 157
MS-CHAP-Error, atributo de RADIUS ............................... 157
MS-CHAP-LM-Enc-PW, atributo de RADIUS ..................... 157
MS-CHAP-MPPE-Keys, atributo de RADIUS ..................... 157
MS-CHAP-NT-Enc-PW, atributo de RADIUS...................... 157
MS-CHAP-Response, atributo de RADIUS........................ 157
MS-Filter, atributo de RADIUS ......................................... 157
MS-Link-Drop-Time-Limit, atributo de RADIUS ............... 157
MS-Link-Utilization-Threshold, atributo de RADIUS......... 157
MS-MPPE-Encryption-Policy, atributo de RADIUS............ 157
MS-MPPE-Encryption-Types, atributo de RADIUS............ 157
MS-MPPE-Recv-Key, atributo de RADIUS......................... 157
MS-MPPE-Send-Key, atributo de RADIUS ........................ 157
MS-New-ARAP-Password, atributo de RADIUS ................ 157
MS-Old-ARAP-Password, atributo de RADIUS.................. 158
MS-Primary-DNS-Server, atributo de RADIUS.................. 158
MS-Primary-NBNS-Server, atributo de RADIUS................ 158
MS-RAS-Vendor, atributo de RADIUS............................... 158
MS-RAS-Version, atributo de RADIUS.............................. 158
MS-Secondary-DNS-Server, atributo de RADIUS .............. 158
MS-Secondary-NBNS-Server, atributo de RADIUS ............ 158
MTU, configuracin ........................................ 707, 708, 709
MySecureMeeting
integracin
N
NAS, Consulte servidor de autenticacin, RADIUS, NAS
NAS-Identifier, atributo de RADIUS ......................... 152, 158
NAS-IP-Address, atributo de RADIUS....................... 152, 158
NAS-Port, atributo de RADIUS................................. 152, 158
NAS-Port-Id, atributo de RADIUS .................................... 158
NAS-Port-Type, atributo de RADIUS ................................ 158
nclauncher.exe................................................................ 694
NCP optimizado, habilitacin.......................................... 738
NCP, habilitacin............................................................. 738
NetBIOS, configuracin de los requisitos en la
directiva de Host Checker ........................................... 281
Netscape
compatibilidad con correo....................................... 650
compatibilidad con Messenger ................................ 648
ejecucin de JVM..................................................... 777
servidor Web........................................................... 752
1070
ndice
Network Connect............................................................954
agrupacin ..............................................................694
directivas de recursos ..............................101, 102, 655
figura.......................................................................661
informacin general ........................................234, 655
iniciador ..................................................................694
invocacin desde una aplicacin .............................694
inicio/detencin ...........................................151, 153
mensajes de error..................................................1039
opciones, especificacin ..........................................671
restricciones ..........................................................1031
servidores de DHCP admitidos ................................676
uso ..........................................................................660
uso con WSAM ........................................................497
Network Share Access, opcin ........................................325
networkIf, variable de expresin personalizada ............1050
nodos, clster .........................................................875, 886
nombre de host
configuracin ..................................627, 632, 642, 704
definir en directivas de recursos......104, 467, 477, 486
enmascaramiento....................................................418
resolucin................................................................716
NSM, uso con el IVE..........................................................35
NTFS...............................................................................325
NTP, uso .........................................................................847
ntuser, variable de expresin personalizada..................1051
O
objeto XMLHttpRequest ..................................................461
ocspResponderURL, objeto MIB ......................................837
opcin de desviacin del reloj permitida.........................192
Opcin de Intensidad de la encriptacin.........................736
opcin permitida de desviacin del reloj.........................193
opciones de divisin de encapsulamiento.......................671
Opciones de impresin...................................................324
opciones de seguridad, configuracin .............................735
operaciones de conmutacin por error ...........................879
operador de comparacin de la expresin
personalizada AND................................1041, 1042, 1045
personalizada NOT ..........................................1042, 1045
personalizada OR ........................1041, 1042, 1044, 1045
personalizada TO ......................................................1042
Oracle, configuracin a travs de proxy
passthrough ........................................................390, 392
Outlook
compatibilidad de WSAM ................................499, 502
uso con Secure Meeting
Consulte Secure Meeting, complemento de Outlook
Outlook Web Access, Consulte Microsoft OWA
OWA, Consulte Microsoft OWA
ndice
P
pgina principal, personalizar ...........................................79
pginas HMTL mviles
habilitar .................................................................1035
pginas HTML compacto
contraseas de enmascaramiento .........................1035
habilitar .................................................................1034
panel
configuracin ..........................................................844
resultado de XML ....................................................718
paquete de actualizacin
instalacin .......................................................721, 739
instalacin en un clster..........................................887
parte confirmadora, Consulte autoridad SAML
parte receptora .......................................................188, 234
Password-Retry, atributo de RADIUS ...............................158
PDA, consulte dispositivos de mano
perfil de recursos de aplicacin web personalizado, Consulte
reescritura web, perfiles de recursos
perfil POST .....................................................187, 189, 194
Consulte tambin SAML, perfil POST
Consulte tambin servidor de autenticacin, SAML
perfil, definido ................................................................237
perfiles
Consulte tambin servidor de autenticacin, SAML
Perfiles de recurso de Windows: Consulte perfiles de recurso,
archivo
perfiles de recursos
applets de Java hospedados.....................................346
archivo ....................................................................465
almacenamiento en cach web ........................401
applets de Java hospedados..............351, 573, 574
compresin web...............................................411
control de acceso a archivos.............................466
control de acceso web..............................393, 395
controles de acceso a Java................................404
JSAM ................................................................410
proxy passthrough ...........................................407
reescritura selectiva..........................................407
reescritura web ................................................406
SSO ..................................................369, 397, 578
Telnet/SSH........................................................553
WSAM ..............................................................409
plantillas
Consulte applets de Java hospedados................345
Consulte Citrix, perfiles de recursos
Consulte Lotus Notes, perfiles de recursos
Consulte Microsoft OWA, perfiles de recursos
Consulte Microsoft Sharepoint, perfiles de recursos
Telnet/SSH
definicin .........................................................553
Terminal Services, Consulte Terminal Services
URL, definicin........................................................394
web .........................................................................384
permiso automtico
marcadores
archivo .............................................................475
web ..................................................................417
servidores de aplicaciones (JSAM)............................544
servidores de aplicaciones (WSAM) .........................506
sesiones de Telnet/SSH ....................................558, 559
PIMs
instalacin .............................................................1008
PKI, definida ...................................................................749
plantillas
Consulte tambin
applets de Java, hospedados
Citrix, perfiles de recursos
Lotus Notes, perfiles de recursos
Mic
Microsoft OWA, perfiles de recursos
UI personalizable .....................................................220
plataforma, actualizacin ................................................721
Pocket Internet Explorer, compatibilidad de WSAM ......1036
Pocket Outlook, compatibilidad de WSAM ....................1036
Pocket PC
Consulte tambindispositivos de mano
POP
clientes ....................................................................651
compatibilidad.........................................647, 649, 651
servidor de correo ...................................................652
Port-Limit, atributo de RADIUS .......................................158
POST de formulario
habilitar ...................................................................400
Consulte tambin SSO remoto
POST, Consulte POST de formulario
pragma no-cache, Consulte almacenamiento en cach,
configuracin
preferencias, Consulte usuario, preferencias
productName, objeto MIB ...............................................835
productVersion, objeto MIB .............................................835
Prompt, atributo de RADIUS ...........................................158
protocolo
definir en directivas de recursos ......................104, 423
especificacin ..........................................................459
protocolo de comunicaciones de Java, habilitacin .........738
protocolo de comunicaciones de red, habilitacin...........738
protocolo de oficina postal, Consulte POP
protocolo de tiempo en red, uso .....................................847
protocolo simple de transferencia de correo, Consulte SMTP
proxy
Consulte tambin proxy passthrough
Consulte tambin proxy web
proxy inverso, comparado con proxy passthrough..........389
proxy passthrough
ajustes de DNS.................................................389, 391
ajustes del sistema...........................................390, 391
ejemplos..................................................................392
ndice
1071

informacin general de la configuracin ................. 391
perfiles de recursos ................................................. 407
recomendacin de certificado ......................... 390, 392
restricciones............................................................ 390
Proxy-State, atributo de RADIUS ..................................... 158
psDescription, objeto MIB............................................... 837
PTP, Consulte proxy passthrough
puerta de enlace
configuracin .......................................... 706, 707, 709
para el puerto externo..................................... 706, 708
puerto
ajustes ..................................................................... 939
definir en directivas de recursos.............................. 105
externo ................................................................... 706
interno .................................................................... 706
modificacin de externo.................................. 706, 708
requisitos, configuracin ......................................... 278
Consulte tambin puerto virtual
puerto interno, configuracin ................................. 706, 708
puertos externos............................................................. 706
punto de decisin de directiva, Consulte autoridad SAML
punto de distribucin de CRL
analizado................................................................. 768
descarga de CRL desde............................................ 769
R
RADIUS, Consulte servidor de autenticacin, RADIUS
raidDescription, objeto MIB ............................................ 837
rearrancar el IVE............................................................. 720
recopiladores (IMV) y comprobadores de medicin de
integridad (IMC) .......................................................... 257
recurso de Windows, marcador ...................................... 474
recursos, componente de directiva de recursos............... 103
redundancia, modo activo/pasivo ................................... 878
reescritura
Consulte tambin proxy passthrough
reescritura ActiveX
creacin de directivas de recursos........................... 450
restauracin de directivas de recursos..................... 452
reescritura de archivos
compresin ...................................................... 469
SSO .................................................................. 470
transaccin de control...................................... 468
definicin de recursos ...................................... 467
UNIX/NFS................................................. 485, 487
Windows.......................................................... 476
licencias .................................................................. 465
marcadores
UNIX/NFS......................................................... 484
Windows.......................................................... 474
opciones generales
UNIX/NFS................................................. 485, 489
Windows.................................................. 476, 482
1072
ndice
reescritura selectiva
registro
clsteres ..........................................................881, 882
especificacin de eventos en el registro...................830
eventos crticos .......................................................846
filtros
configuracin ...................................................832
formatos
configuracin ...................................................832
guardar archivos de registro ....................................828
niveles de gravedad.................................................825
registros de cliente
Cache Cleaner ..................................................338
inhabilitar.........................................319, 340, 841
Secure Meeting.................................................621
registros de instalacin, Secure Meeting ..................621
seguimiento de directivas ........................................855
registro de HKLM............................................................323
registros de los eventos de suscriptores ..........................961
registros del lado cliente, Consulte registro,
registros de cliente
Registry editor, opcin ....................................................326
regla
componente de directiva de recursos ......................103
configuracin ..................................................108, 202
reglas detalladas, Consulte regla
reiniciar el IVE ................................................................720
remote SSO
Consulte tambin SSO
Removable Drives, opcin ..............................................325
Reply-Message, atributo de RADIUS................................158
requisitos de DLL, Host Checker
Consulte Host Checker, interfaz de integracin
del servidor
Consulte Host Checker, interfaz del cliente
requisitos de la medicin de integridad, Host Checker....277
resolucin de problemas, seguimiento de directivas .......854
Restricted View of Files, opcin ......................................325
reunin de apoyo, consulte Secure Meeting, reunin de apoyo
reunin instantnea, consulte Secure Meeting,
reunin instantnea
reuniones en lnea, consulte Secure Meeting
rol
administrador..........................................................906
ajustes, administracin..............................................73
asignacin ...................................53, 71, 195, 199, 201
combinacin .............................................................71
componente de directiva de recursos ......................103
configuracin ............................................................73
definicin ......................................................49, 53, 69
evaluacin .................................................................70
exportacin .............................................................804
importar ..................................................................802
opciones de sesin de usuario, especificacin ...........76
opciones, administracin ..........................................73
ndice
restricciones ..............................................................74
restricciones de inicio de sesin
por IP ...............................................................338
por las directivas de Host Checker ...................301
rol .Administrators ..........................................................903
rol .Read-Only Administrators.........................................903
roles vlidos, definidos .............................................71, 200
RSA
ACE/Server, Consulte servidor de autenticacin,
ACE/Server
compatibilidad con RADIUS, Consulte servidor de
Run menu, opcin ..........................................................326
ruta
ruta esttica.............................................................935
tabla, VLAN .............................................................935
ruta, definicin de directivas de recursos ........468, 477, 487
rutas estticas .........................................................715, 935
S
SAM, Consulte Secure Application Manager
SAML
autoridad, definida ..................................................234
certificado, configuracin ........................................250
consumidor .............................................................192
creacin de una relacin de confianza.....................754
declaracin..............................................................189
emisor, configuracin..............................................250
perfil de artefacto
configuracin ...........................................239, 250
definicin .........................................................237
perfil POST
configuracin ...................................................250
definicin .........................................................242
receptor, Consulte parte receptora
relacin fiable, creacin...........................................249
respondedor, Consulte autoridad SAML
restricciones ....................................................236, 249
servidor Consulte servidor de autenticacin, SAML
SSO
de acceso, configuracin ..................................250
definicin .........................................................235
perfil, configuracin .........................................250
transaccin de control
autorizacin, definida.......................................236
de acceso, configuracin ..................................250
directiva, definido ............................................245
URL, configuracin ..................................................249
SCP, instantnea de sistema ...........................................994
screenSize, parmetro.....................................................610
sdconf.rec, generacin....................................................119
secuencias multimedia
archivos, almacenamiento en cach........................403
restriccin ...............................................................643
Secure Access 2000, documentacin complementaria
del dispositivo ...........................................................1039
del dispositivo ...........................................................1039

del dispositivo ...........................................................1039
del dispositivo ...........................................................1039
Secure Access FIPS
clave del entorno de seguridad, definida ...............1012
creacin de clsteres .....................................874, 1015
administrar.....................................................1014
creacin .........................................................1017
informacin general .......................................1012
recuperacin ..................................................1020
modo de funcionamiento ......................................1013
modo de inicializacin...........................................1013
modo de mantenimiento .......................................1013
tareas de recuperacin ............................................994
tarjeta de administrador
administrar.....................................................1014
descripcin.....................................................1012
informacin general .......................................1013
seguridad .......................................................1014
Consulte tambin JSAM
Consulte tambin WSAM
Secure Email Client, Consulte Email Client
Secure Meeting
ajustes de nivel de rol, configuracin...............620, 633
ajustes de nivel de sistema, configuracin ...............621
anotaciones
restriccin ........................................................630
archivos PAC, restriccin .........................................628
asistencia.................................................................628
autenticacin
configuracin ...........................................634, 636
servidores.................................................620, 638
capacidad del sistema, visualizacin........................645
chat, consulte Secure Meeting, mensajes de texto
cliente
desinstalacin...................................................643
instalacin ........................................................628
clsteres, restriccin ................................................628
compatibilidad
pruebas ....................................................625, 643
complemento de Outlook
direcciones de correo electrnico, obtencin....626
habilitar............................................................637
instalacin ........................................................623
programacin de reuniones..............................623
restricciones .....................................................624
control remoto
habilitar............................................................636
ndice
1073
restriccin ........................................................ 630

correo electrnico de notificacin
Consulte Secure Meeting, correos electrnicos
correos electrnicos
configuracin ................................................... 636
especificacin de direccin de
correo electrnico......................................... 625
habilitar ........................................................... 704
creacin .................................................................. 633
desinstalacin ......................................................... 643
direccin ................................................................. 629
direccin URL raz de la reunin ............................. 641
directivas de inicio de sesin, configuracin............ 621
enlace a................................................................... 626
horario de verano, cumplimiento ............................ 642
instalacin............................................................... 628
integracin
configuracin ................................................... 634
informacin general................................. 626, 627
licencias
nmero de reuniones....................................... 637
lmites de sesiones .................................................. 640
lmites, habilitar ...................................................... 637
Linux, restriccin..................................................... 628
Macintosh, restriccin ............................................. 628
mensajes de error ......................................... 644, 1040
mensajes de texto
habilitar ........................................................... 637
MySecureMeeting
administracin de contraseas......................... 635
especificacin de la direccin URL de
la reunin ..................................................... 641
opciones de contrasea.................................... 635
nombre de host, configuracin................ 627, 632, 642
nombres de los asistentes, mostrar ......................... 636
pginas de inicio personalizadas
configuracin ................................................... 621
restriccin ........................................................ 627
pautas de fusin permisiva...................................... 638
preferencias, configuracin ..................................... 625
presentacin ........................................................... 630
profundidad de color, configuracin........................ 642
proxys, restriccin................................................... 628
recomendacin de certificado ................................. 643
registro, inhabilitar .................................................. 841
registros
habilitar ........................................................... 621
permitir a los clientes cargar .................... 621, 641
visualizacin .................................................... 621
resolucin de problemas
restricciones.......................................................... 1031
reunin de apoyo
reunin instantnea ................................................ 631
1074
ndice
roles
asistente...........................................................628
controlador remoto ..................................630, 636
creador.............................................................622
director ............................................................629
presentador..............................................629, 630
secuencias multimedia, restriccin..........................643
servidor LDAP
configuracin ...................................132, 620, 638
servidor SMTP
direcciones de correo electrnico, obtencin ...625
habilitar....................................................625, 641
tareas programadas
creacin ...........................................................622
visualizacin.....................................................645
tiempos de espera ...................................................640
URL .........................................................................626
visor de reuniones ...................................................628
visualizacin de la actividad ....................................844
Secure Virtual Workspace ...............................................321
Security Assertion Markup Language, Consulte SAML
Seguimiento de directivas, subficha ................................854
Send Reason Strings, opcin de correccin.....................288
serie, consola Consulte consola serie
serverPort, parmetro.....................................................609
Service-Type, atributo de RADIUS ...................................158
Servicio de autenticacin remota de usuarios de acceso
telefnico, Consulte servidor de autenticacin, RADIUS
servicio de confirmacin de usuarios..............................191
definicin ........................................................188, 235
envo de respuesta SAML a......................................189
servicio de instalador
Consulte servicio de Juniper Installer
servicio de Juniper Installer
servicio de Juniper Installer, descripcin .........................725
servicio de soporte tcnico ........................................... xxvii
servidor
autenticacin, Consulte servidor de autenticacin
catlogo, configuracin............................................203
definir en directivas de recursos..............467, 477, 486
DHCP ......................................................................954
proporcionar acceso seguro a ....................28, 343, 344
servidor annimo, Consulte servidor de autenticacin,
servidor annimo
servidor de acceso de red, Consulte servidor de
autenticacin, RADIUS, NAS
servidor de autenticacin
ACE/Server
archivo de configuracin de Agent ...................118
autenticacin de SecurID..........................160, 163
compatibilidad de protocolo RADIUS ...............145
configuracin ...................................................118
modos y caractersticas admitidas....................118
resolucin de nombres de host ........................113
restricciones.....................................................117
ndice
Active Directory
administracin de contraseas.........................135
caractersticas de servidor compatibles ............121
compatibilidad con consulta de grupos ............125
configuracin ...........................................114, 121
configuracin de varios dominios.....................124
restricciones.....................................................121
asignacin a territorio..............................................196
autenticacin local
administracin de contraseas.................138, 141
administracin de cuentas de usuario ..............142
administradores de usuarios ............................142
configuracin ...................................115, 138, 827
contabilidad .....................................................152
creacin de usuarios.........................................140
restricciones.....................................................139
definicin ..........................................................52, 195
general
configuracin ...........................................113, 115
licencias ...........................................................112
LDAP
bsqueda de referencias ..................................131
configuracin ...........................................114, 129
configuracin de atributos................................201
configuracin de Secure Meeting......................132
consulta de grupos ...........................................130
recuperacin de atributos.................................111
restricciones.....................................................129
uso con Secure Meeting, consulte Secure Meeting
RADIUS ...................................................................145
atributos...........................................................153
atributos de asignacin de roles .......................153
atributos de detencin......................................152
atributos de inicio ............................................152
autenticacin CASQUE .....................................146
caractersticas de servidor compatibles ............145
configuracin ...................................................147
configuracin de atributos................................201
consideraciones del clster.......................151, 160
contabilidad .............................................148, 151
experiencia del usuario ....................................146
NAS ..................................................................147
PassGo Defender ..............................................146
protocolo ACE/Server .......................................118
recuperacin de atributos.................................112
SSO ..................................................................148
varias sesiones .................................................152
SAML
artefactos .........................................................190
AssertionHandle ...............................................190
autenticacin de cliente SOAP..........................193
cdigo de estado 302 .......................................191
configuracin ...................................................192
consumidor de SAML .......................................192

declaracin de SAML ........................................189
declaraciones ...................................................190
formato de direccin de correo electrnico ......192
formato de nombre completo de dominio
de Windows..................................................192
formato de nombre de sujeto X.509.................192
formato no especificado ...................................192
HTML FORM.....................................................189
HTTP POST ......................................................189
ID de origen .............................................190, 193
opcin de desviacin del reloj permitida ..........192
opcin permitida de desviacin del reloj ..........193
parte receptora.................................................188
perfiles de artefactos ........................187, 188, 193
perfiles POST....................................187, 189, 194
plantilla de nombre de usuario .................192, 193
servicio de confirmacin
de usuarios ...................................188, 189, 191
servicio de transferencia entre sitios ........188, 190
sitio de origen...................................................189
TARGET URL ....................................................189
TypeCode .........................................................190
URL de servicio de transferencia entre sitios
del sitio de origen .........................................192
URL de servicio del respondedor SOAP
de origen ......................................................193
valor del emisor........................................192, 193
Consulte tambin SAML
servidor annimo
configuracin ...........................................116, 827
restricciones .....................................................116
servidor de certificados
configuracin ...................................................127
definicin .........................................................759
LDAP, autenticacin en ....................................128
restricciones .....................................................127
servidor de directorios, definido ................................52
servidor NIS.............................................................144
SiteMinder
administracin de contraseas .........................167
agentes.............................................166, 178, 180
asignacin de roles...........................................184
atributos de usuario..................................171, 174
autenticacin de ACE SecurID ..........................163
autenticacin del certificado.............................163
configuracin (general).....................................172
configuracin del servidor de
directivas SiteMinder ....................................165
cookie de SMSESSION ......................................161
depuracin .......................................................186
directivas..........................................................172
dominio de cookies ..........................................176
dominio del proveedor de cookies....................176
dominios de directivas .....................................169
esquemas de autenticacin ......................163, 167
ndice
1075
inicio de sesin automtico.............. 161, 177, 185

inicio de sesin nico....................................... 225
modo de conmutacin por error ...................... 175
niveles de proteccin ....................... 164, 168, 173
nombres de usuario, determinacin................. 165
pginas de inicio personalizadas ...................... 163
reautenticacin de usuarios...................... 164, 168
recuperacin de atributos................................. 112
recursos protegidos.................. 169, 172, 173, 175
reglas ............................................................... 170
respuesta ......................................................... 170
restricciones................................... 114, 162, 1031
SSO .................................. 161, 162, 165, 177, 185
territorios ................................................. 169, 177
versiones admitidas ......................................... 162
variable de expresin personalizada...................... 1047
servidor de autenticacin local, Consulte servidor de
autenticacin, autenticacin local
servidor de autenticacin NIS, Consulte servidor de
autenticacin, NIS
servidor de contabilidad, Consulte servidor de autenticacin,
RADIUS
servidor de correo SMTP
compatibilidad ........................................................ 647
habilitar................................................................... 652
uso con Secure Meeting
Consulte Secure Meeting, servidor SMTP
servidor de directorios
definicin ................................................................ 111
Consulte tambin servidor de autenticacin
servidor del servicio de nombres de Internet de Windows,
configuracin .............................................................. 705
servidor IMV remoto, configuracin................................ 289
servidor LDAP, Consulte servidor de autenticacin, LDAP
servidor MetaFrame, Consulte Citrix
servidor NFuse, Consulte Citrix
servidor nulo, Consulte servidor de autenticacin,
servidor annimo
servidores de dfs, exploracin ........................................ 473
servidores syslog, configuracin ..................................... 831
sesin
itinerante, configuracin ........................................... 77
opciones, especificacin............................................ 76
persistente, configuracin ......................................... 78
rol, definido............................................................... 70
trmino ................................................................... 848
tiempo de espera
advertencia ........................................................ 77
configuracin ..................................................... 53
efecto sobre Cache Cleaner .............................. 337
inactiva ........................................................ 76, 79
recordatorio ....................................................... 76
Secure Meeting ................................................ 640
tiempo mximo ................................................. 76
Session-Timeout, atributo de RADIUS............................. 158
Sharepoint, marcadores, configuracin........................... 381
showDragContents
parmetro ............................................................... 611
1076
ndice
showMenuAnimation
parmetro ...............................................................611
signedInMailUsers, objeto MIB ........................................835
signedInWebUsers, objeto MIB........................................835
sincronizacin de estado.................................................881
sistema
administrador..........................................................906
capacidad, visualizacin ..........................................844
configuracin ..........................................................720
configuracin, exportacin ......................................788
configuracin, importacin......................................788
datos .......................................................................720
datos de sistema descritos.......................................881
estadsticas, visualizacin ........................................840
imagen instantnea .........................................864, 866
software, instalacin................................................739
tareas de administracin, delegacin ......................903
sistema IBM AS/400, intermediacin de trfico con........347
sistema virtual instantneo
Consulte tambin IVS................................................915
SiteMinder, Consulte servidor de autenticacin, SiteMinder
SNMP
ajustes, especificacin .............................................833
capturas
iveClusterChangedVIPTrap ...............................839
iveClusterDelete ...............................................839
iveClusterDisableNodeTrap ..............................839
iveNetExternalInterfaceDownTrap ...................839
iveNetInternalInterfaceDownTrap ....................839
compatibilidad ........................................................825
iveNetManagementInterfaceDownTrap ...................839
supervisin del IVE como un agente........................833
software
instalacin ...............................................................739
instalacin en un clster..........................................887
token, uso para iniciar sesin ..................................117
software antivirus
compatibilidad de WSAM ........................................496
comprobacin usando Host Checker .........................31
Soporte tcnico de Juniper Networks ............................. xxvi
sourceIP, variable de expresin personalizada...............1051
spyware, especificacin de requisitos..............................255
SSL
acelerador ...............................................................723
intensidad de encriptacin permitida ......................735
protocolos de enlace
administracin ...............................................1011
descarga...........................................................723
versin permitida ....................................................735
SSO
directivas automticas Consulte directivas de recursos,
directivas automticas, SSO
requisito ..................................................................401
Consulte tambin autenticacin bsica
Consulte tambin NTLM
Consulte tambin Remote SSO
Consulte tambin SAML
Consulte tambin servidor de autenticacin, SiteMinder
ndice
SSO remoto
configuracin
directivas automticas..............................398, 400
directivas de encabezados/cookies ...................431
directivas POST de formulario..........................429
licencias ..................................................................384
restricciones ....................................................389, 400
startApp, parmetro .......................................................610
startDir, parmetro .........................................................610
State, atributo de RADIUS ...............................................158
Sun JVM, Consulte JVM
supervisin de suscriptores.............................................961
supervisor de eventos, visualizacin ...............................846
suscriptores
acceso prohibido .....................................................938
supervisin ..............................................................961
suspensin del acceso .............................................961
topologa .................................................................924
swapUtilNotify, objeto MIB..............................................839
Switch to Real Desktop, opcin.......................................325
Synchronization Settings (configuraciones
de sincronizacin) .......................................................884
Synchronize last access time for user sessions........883, 884
Synchronize log messages ......................................882, 884
Synchronize user sessions ......................................882, 884
T
tarjeta aceleradora
gzip .......................................................................1026
SSL ..........................................................................723
Task manager, opcin .....................................................326
Telephone-number, atributo de RADIUS..........................158
Telnet/SSH
ajustes de terminal admitidos..................................551
definicin .........................................................560
opciones generales...........................................561
informacin general de la configuracin..................552
licencias ..................................................................552
marcadores
expresiones personalizas en...........................1054
marcadores, Consulte marcadores, Telnet/SSH
mecanismos de seguridad admitidos.......................551
opciones generales ..................................................558
opciones, especificacin ..........................................559
perfiles de recursos .................................................553
protocolos admitidos ...............................................551
restricciones ..........................................551, 554, 1031
Terminal Services
archivo de configuracin ICA
descargar .........................................................612
nmero de versin ...........................................613
personalizacin ................................583, 591, 601
personalizado o predeterminado......................570
prueba con el cliente ICA .................................613
visualizacin de ajustes
predeterminados ..................................583, 601
archivos instalados por ............................................568

Citrix
cambios en claves de registro.........................1039
comparacin con JSAM.....................................362
fiablilidad de la sesin ......................................589
marcadores ......................................................571
perfiles de recursos ..................572, 583, 591, 594
perfiles Web .....................................................367
roles .................................................................599
Consulte tambin Citrix
cliente ICA
bsqueda en el registro ....................................613
descargar..........................................................613
prueba con el archivo ICA ................................613
comandos rdp e ica .................................................566
conexin a dispositivos locales
compartir portapapeles ....................................581
impresoras ...............................................581, 590
puertos .....................................................581, 590
unidades...................................................581, 590
derechos necesarios para instalar y utilizar..............568
directivas de recursos, configuracin...............102, 615
disponibilidad ..........................................................563
enlaces desde otros sitios
configuracin ...................................................608
equilibrio de carga
Consulte Terminal Services, granja de
servidores Citrix
experiencia del usuario............................................566
granja de servidores Citrix
conectarse a .............................................569, 601
restricciones .............................................568, 591
informacin general de la configuracin..................564
licencias...................................................................563
marcadores
configuracin ...........................................571, 599
inicio automtico..............566, 580, 589, 594, 606
uso de expresiones personalizas en................1054
nombre de host/coincidencia de IP..........................617
parmetros ..............................................................609
perfiles de recursos, configuracin ..................570, 591
roles, configuracin .................................................599
sesiones, configuracin Consulte Terminal Services,
marcadores
SSO .........................................................................566
configuracin ...........................579, 587, 597, 604
Windows Terminal Services
cambios en claves de registro.........................1039
Compatibilidad de WSAM o Pocket PC ...........1036
marcadores ......................................................571
perfiles de recursos ..................................572, 583
roles .................................................................599
Terminal Services de Windows, Consulte Terminal Services
Termination-Action, atributo de RADIUS .........................159
ndice
1077
territorio
administrador ......................................................... 906
administrar ..................................................... 905, 906
asignacin a directiva de inicio de sesin ................ 215
definicin ............................................................ 49, 52
requisitos de seguridad.............................................. 53
variable de expresin personalizada...................... 1051
territorios de autenticacin, consulte territorios
themes
parmetro ............................................................... 611
THMTL, usar para crear pginas personalizadas ............. 220
tiempo de espera
advertencia, ajuste .................................................... 77
recordatorio, ajuste ................................................... 76
Secure Meeting........................................................ 640
sesin inactiva........................................................... 76
sesin inactiva, actividad de aplicacin ..................... 79
sesin mxima.......................................................... 76
Consulte tambin tiempos de espera de la sesin
tiempos de espera de inactividad, Secure Meeting.......... 640
time, variable de expresin personalizada .................... 1051
time.day, variable de expresin personalizada .............. 1052
time.dayOfWeek, variable de expresin
personalizada............................................................ 1052
time.dayOfYear, variable de expresin
personalizada............................................................ 1052
time.month, variable de expresin personalizada......... 1052
time.year, variable de expresin personalizada ............. 1052
tipos de clientes, consulte dispositivos de mano
TLS, versin permitida.................................................... 735
token de hardware, uso para iniciar sesin ..................... 117
token de respondedor ptico, Consulte servidor de
autenticacin, RADIUS, CASQUE
token, uso para iniciar sesin ......................................... 117
tokens de SecurID, Consulte servidor de autenticacin,
ACE/Server, SecurID
tokens de SoftID, Consulte servidor de autenticacin,
ACE/Server
traceroute, comando....................................................... 993
trfico TCP, brindar seguridad, Consulte WSAM, trfico TCP
transmisin de credenciales
a otra aplicacin Consulte SSO
verificacin Consulte servidor de autenticacin
transmisin de nombre de usuario
a otra aplicacin Consulte SSO
verificacin, Consulte servidor de autenticacin
Trend Micro, compatibilidad de WSAM ........................... 497
Trusted Computing Group (TCG) ..................................... 255
Trusted Network Connect (TNC) ..................................... 255
tnel de acceso de autenticacin previa
descripcin.............................................................. 310
especificacin.......................................................... 311
tnel de acceso, Consulte tnel de acceso de
autenticacin previa
Tunnel-Assignment-ID, atributo de RADIUS .................... 159
Tunnel-Client-Auth-ID, atributo de RADIUS ..................... 159
Tunnel-Client-Endpoint, atributo de RADIUS................... 159
Tunnel-Link-Reject, atributo de RADIUS.......................... 159
Tunnel-Link-Start, atributo de RADIUS ............................ 159
Tunnel-Link-Stop, atributo de RADIUS ............................ 159
1078
ndice
Tunnel-Medium-Type, atributo de RADIUS ......................159

Tunnel-Password, atributo de RADIUS.............................159
Tunnel-Preference, atributo de RADIUS...........................159
Tunnel-Private-Group-ID, atributo de RADIUS .................159
Tunnel-Reject, atributo de RADIUS..................................159
Tunnel-Server-Auth-ID, atributo de RADIUS.....................159
Tunnel-Server-Endpoint, atributo de RADIUS ..................159
Tunnel-Start, atributo de RADIUS ....................................159
Tunnel-Stop, atributo de RADIUS ....................................159
Tunnel-Type, atributo de RADIUS ....................................159
type, parmetro ..............................................................609
U
UDP
puerto 6543.............................................................865
trfico, brindar seguridad, Consulte WSAM, trfico UDP
UI personalizable
cargar ......................................................................220
consola de administracin, ajustes de directiva
de recursos ..........................................................463
Secure Meeting
configuracin ...................................................621
restriccin ........................................................627
uso con SiteMinder..................................................163
unidad de transmisin mxima,
configuracin ..............................................707, 708, 709
UNIX
directivas de recursos, definicin ............................486
marcadores .............................................................484
perfiles de recurso, Consulte perfiles de recurso, archivo
servidor de autenticacin, Consulte servidor de
autenticacin, NIS
URL
enmascaramiento....................................................418
estadsticas de acceso..............................................840
URL de inicio de sesin, definicin..........................217
vista para usuarios
Consulte marcadores, web
URL de comprobacin de estado ....................................879
URL de comprobacin de estado L7 ...............................879
URL de inicio de sesin URL, definicin..........................214
URL de servicio de transferencia de archivo, Consulte
servidor de autenticacin, SAML
URL de servicio de transferencia entre sitios del sitio
de origen.....................................................................192
URL de servicio del respondedor SOAP de origen ...........193
userAgent, variable de expresin personalizada............1053
userAttr.auth-attr, variable de expresin
personalizada............................................................1053
userDN, variable de expresin personalizada................1053
userDN.user-attr, variable de expresin
personalizada............................................................1054
userDNText, variable de expresin personalizada .........1054
username
User-Name, atributo de RADIUS .............................152, 159
User-Password, atributo de RADIUS ................................159
uso de CPU, visualizacin ...............................................845
uso de la capacidad de transferencia, visualizacin ........845
ndice
uso de memoria, visualizacin........................................845

usuario
administracin de cuentas.......................................142
administradores de usuarios
autenticacin....................................................114
definicin .........................................................143
atributos, configuracin...........................................201
creacin ..................................................................140
cuentas
creacin .....................................................73, 140
exportacin ..............................................789, 808
importar...................................................790, 791
local .................................................................808
datos
importar...........................................................792
datos de perfil .........................................................881
datos de sesin........................................................881
forzar a salir ............................................................848
parmetro ...............................................................609
preferencias
almacenamiento de credenciales .....................388
configuracin ...................................................420
especificacin de credenciales..................389, 400
restricciones de inicio de sesin
por navegador ....................................................63
rol
definicin ...........................................................69
Consulte tambin rol
territorios
exportacin
visualizacin de la actividad ....................................844
usuario no perteneciente a la red, definido.....................623
usuario perteneciente a la red, definicin .......................623
usuarios mximos garantizados por territorio...................68
usuarios mnimos garantizados por territorio....................68
usuarios simultneos mximos.........................................67
usuarios simultneos mnimos .........................................67
usuarios simultneos, ajustes de seguridad
de SiteMinder..............................................................177
utilidad de lado cliente....................................................694
utilidad de lnea de comandos ........................................694
V
variable de expresin personalizada .............................1050
variable USER
en marcadores de UNIX ..........................................484
en marcadores de Windows ....................................474
en marcadores Web ................................................417
variables de expresin personalizada
de dominio .....................................................1049, 1050
VBScript, reescritura .......................................................444
velocidad del vnculo, configuracin ...............706, 707, 709
ventana de chat, Consulte Secure Meeting, mensajes de texto
versin de la supervisin de firmas de virus y versin
del cortafuegos en el cliente ........................................274
virtual
nombre de host
configuracin ...................................407, 447, 704
Consulte tambinnombre de host
puerto......................................................................943
asociacin con un certificado ...........................757
definicin .........................................................756
habilitar............................................................711
sistema, IVS.............................................................937
vista general de actualizacin de tiempo de
inactividad cero...........................................................717
vista general de las caracterstica de
administracin central.................................................717
VLAN ......................................................................932, 939
definicin de puerto ........................................710, 933
eliminacin..............................................................936
tabla de rutas...........................................................935
VPN sin clientes, informacin general.............................655
VPN SSL, Consulte IVE
W
web
compresin
Consulte compresin
directivas de control acceso
directivas automticas..............................393, 395
directivas de recursos...............................386, 424
estadsticas de uso ms altas ...................................840
marcadores
Consulte marcadores
proxy
directivas de recursos...............................387, 456
intermediacin de solicitudes a ........................427
reescritura
Citrix ................................................................361
configuracin predeterminada .........................406
directivas automticas......................................406
informacin general de la configuracin...........384
licencias ...........................................................384
Lotus Notes ......................................................371
marcadores ......................................................415
Microsoft OWA.................................................375
Microsoft Sharepoint ........................................379
opciones generales ...........................................418
perfiles de recursos ..........................................392
Windows 2000................................................................321
Windows Mobile, Consulte dispositivos de mano
Windows XP ...................................................................321
WINS
servidor, configuracin ............................................705
ndice
1079
WSAM
actualizacin ........................................................... 507
ajustes de rol
aplicaciones que se pasan por alto ................... 504
configuracin de aplicaciones .......................... 501
configuracin de servidores ............................. 503
opciones generales........................................... 506
ajustes de zona de Internet ..................................... 506
aplicaciones admitidas
Citrix........................................................ 499, 502
cortafuegos personal GreenBow ....................... 497
Exploracin de archivos NetBIOS............. 499, 502
Lotus Notes .............................................. 499, 502
McAfee............................................................. 496
Microsoft Outlook .................................... 499, 502
Norton AntiVirus ...................................... 496, 497
PDA ............................................................... 1036
Pocket Internet Explorer ................................ 1036
Pocket Outlook .............................................. 1036
Trend Micro ..................................................... 497
Windows Terminal Services ........................... 1036
cambios en claves de registro................................ 1039
canal de reenvo de puerto, informacin general .... 496
coincidencia de IP/nombre de host ......................... 510
compatibilidad de PDA
Consulte dispositivos de mano, compatibilidad
de WSAM
controlador LSP, informacin general ..................... 495
controlador TDI, informacin general ..................... 495
depuracin .............................................................. 497
desinstalacin ......................................................... 506
directivas automticas..................................... 407, 409
especificacin de servidores............................. 508
opciones generales........................................... 510
experiencia del usuario ........................................... 495
informacin general ........................................ 491, 493
inicio automtico..................................................... 506
instalador para secuencia de comandos
Consulte WSAM, instaladores ........................... 495
instaladores
descargar ......................................................... 726
Consulte tambin WSAM, scripts
licencias .................................................................. 492
inicio/detencin ........................................... 151, 153
mensajes de error ................................................. 1039
perfiles de recursos
directivas automticas...................................... 500
marcadores ...................................................... 498
perfiles de aplicacin cliente ............................ 498
perfiles de red de destino................................. 500
permiso automtico de servidores
de aplicaciones .................................................... 506
preferencias de usuario ........................................... 494
1080
ndice
restricciones ............................................................368
scripts
ejecucin..................................................512, 513
ejemplo ............................................................513
escritura ...........................................................510
habilitar............................................................507
trfico TCP, seguridad .............................................496
trfico UDP, seguridad.............................................496
uso con Network Connect .......................................497
uso de expresiones personalizadas en nombres
de host...............................................................1054
uso para configurar Citrix ........................................367
X
XML
contraseas .............................................................796
ejemplo del cdigo ..................................................795
espacios de nombres...............................................797
importar/exportar
ajustes de la red ...............................................804
archivo de instancia .........................................794
asignacin de instancia XML a UI .....................798
cuentas de usuario locales ................................808
elementos de instancia.....................................795
etiqueta de final ...............................................795
etiqueta de inicio..............................................795
etiqueta vaca ...................................................795
integridad referencial .......................................797
pginas de inicio de sesin...............................806
secuencia de elementos ...................................797
reescritura .......................................................444, 447
XSLT, reescritura .............................................................444

6.3 ES IVEAdminGuide

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

6.3 ES IVEAdminGuide

Cargado por

Copyright:

Formatos disponibles

Juniper Networks Secure Access

Juniper Networks, Inc.

Audiencia .................................................................................................... xxiii

Verificacin inicial y conceptos clave

Verificar la accesibilidad del usuario ................................................................ 3

Gua de administracin de Secure Access de Juniper Networks

Puedo garantizar la redundancia en el entorno de mi IVE? .................... 32

Marco de administracin de acceso

Administracin de acceso general

Licencia: Disponibilidad de la administracin de acceso ................................ 52

Licencia: Disponibilidad de roles de usuario................................................... 70

Licencia: Disponibilidad de perfiles de recursos ............................................. 92

Licencia: Disponibilidad de directivas de recursos........................................102

Servidores de autenticacin y de directorios

Licencia: Disponibilidad de servidores de autenticacin...............................112

Gua de administracin de Secure Access de Juniper Networks

Configuracin de una instancia de servidor de RADIUS ...............................145

Licencia: disponibilidad de territorios de autenticacin ................................196

Directivas de inicio de sesin

Licencia: Disponibilidad de directivas y pginas de inicio de sesin.............213

Inicio de sesin nico

Licencia: Disponibilidad de inicio de sesin nico........................................223

Defensa en el punto final

La arquitectura TNC dentro de Host Checker ...............................................257

Gua de administracin de Secure Access de Juniper Networks

Uso de registros de Host Checker.................................................................319

Licencia: Disponibilidad de Cache Cleaner ...................................................332

Plantillas de applets de Java hospedados

Licencia: disponibilidad de applets de Java hospedados ...............................345

Informacin general sobre las plantillas Web de Citrix.................................361

Plantillas de Lotus iNotes

Plantillas de Microsoft OWA

Plantillas de Microsoft Sharepoint

Licencia: Disponibilidad de la reescritura web..............................................384

Gua de administracin de Secure Access de Juniper Networks

Definicin de directivas de recursos: protocolo HTTP 1.1 ............................459

Licencia: Disponibilidad para la reescritura de archivos ...............................465

Secure Application Manager

Licencia: Disponibilidad de Secure Application Manager..............................492

Especificacin de opciones WSAM a nivel de rol ...................................506

Licencia: Disponibilidad de Telnet/SSH ........................................................552

Licencia: Disponibilidad de Terminal Services..............................................563

Gua de administracin de Secure Access de Juniper Networks

Definicin de perfiles de recursos: Windows Terminal Services ...................572

Licencia: Disponibilidad de Secure Meeting .................................................619

Licencia: Disponibilidad de Email Client ......................................................648

Resumen de tareas: Configuracin de Network Connect..............................658

Gua de administracin de Secure Access de Juniper Networks

Administracin general del sistema

Licencia: Disponibilidad de la administracin del sistema............................701

Licencia: Disponibilidad de certificados .......................................................750

Archivado del sistema

Licencia: Disponibilidad de archivado del sistema .......................................781

Gua de administracin de Secure Access de Juniper Networks

Licencia: Disponibilidad de registro y supervisin ........................................823

Licencia: Disponibilidad de la resolucin de problemas ...............................851

Licencia: Disponibilidad para creacin de clsteres......................................870

Delegacin de los roles de administrador

Licencia: Disponibilidad de roles de administrador delegado .......................900

Gua de administracin de Secure Access de Juniper Networks

Licencia: Disponibilidad de IVS ....................................................................916

Acceso a los instaladores independientes.....................................................958

Interoperabilidad de IVE e IDP

Licencia: Disponibilidad de IDP....................................................................976