Antes de que el usuario pueda acceder a cualquier aplicación o directiva, debe entrar en la red (es decir, entrar en eDirectory de NovellTM) para verificar los derechos de entrada y para establecer una conexión a los servidores de red en los que necesite autenticarse.
Si ha instalado el Cliente NovellTM, el Agente de gestión de ZfD 4 y el servidor de etapa intermedia de ZfD, hay tres situaciones de entrada:
Cuando se utiliza el Cliente Novell para autenticarse, toda la comunicación entre eDirectory y el sistema de archivos del servidor utiliza el protocolo NCP tradicional de Novell. Para obtener más información sobre la autenticación mediante el Cliente Novell, consulte Uso del Cliente Novell para la autenticación de la sección Autenticación de la guía de Instalación.
Si los usuarios se encuentran dentro del cortafuegos de la empresa (o si no hay cortafuegos) y tanto el agente como el cliente están instalados en estaciones de trabajo de usuario, el cliente se lanza como la interfaz de usuario de GINA (identificación y autenticación gráfica) de entrada por defecto.
El proceso de autenticación en eDirectory mediante el cliente de 32 bits en esta situación se representa en el diagrama siguiente:
Paso
Explicación
Un usuario con los derechos adecuados introduce las credenciales de eDirectory en los campos de entrada de la interfaz GINA del Cliente Novell.
El Cliente Novell envía la petición de autenticación a eDirectory en un paquete NDAP/LDAP.
eDirectory confirma que las credenciales de entrada son válidas y envía el paquete de respuesta de autenticación mediante NDAP/LDAP a la estación de trabajo del usuario.
El Cliente Novell de la estación de trabajo del usuario recibe el paquete de respuesta de autenticación y confirma una autenticación satisfactoria. Se establece la conexión de red.
Sin embargo, si esas mismas estaciones de trabajo se sacan del cortafuegos, el cliente continuará lanzándose como GINA de entrada por defecto. Los usuarios podrán entrar localmente en sus propios escritorios de Windows*, aunque no podrán autenticarse en eDirectory mediante el servidor de etapa intermedia de ZfD.
Si los usuarios que tienen instalado tanto el agente como el cliente en sus máquinas desean autenticar y recibir aplicaciones fuera del cortafuegos, pueden hacerlo mediante un método alternativo de entrada, aunque sus estaciones de trabajo sólo podrán recibir archivos de aplicación, no directivas. Por esta razón, es necesario eliminar el cliente e instalar el agente en aquellas estaciones de trabajo que se van a utilizar fuera del cortafuegos.
Para obtener más información sobre el método de entrada alternativo utilizado cuando el cliente y el agente se instalan juntos en una estación de trabajo situada fuera del cortafuegos, consulte Entrada mediante NetIdentity .
El diagrama que aparece a continuación muestra el proceso de autenticación de un usuario en eDirectory mediante el Agente de gestión de ZfD situado detrás del cortafuegos.
Paso
Explicación
Un usuario accede al Agente de gestión de ZfD e introduce un Id. de usuario y una contraseña.
El agente recoge las credenciales del usuario. Mediante métodos de clave privada o pública y de cifrado de clave de sesión, las credenciales pasan de forma segura al servidor de etapa intermedia de ZfD (a través de un cortafuegos de empresa) mediante HTTP o HTTPS.
NOTA: La seguridad de las credenciales siempre se consigue mediante las técnicas mencionadas anteriormente, tanto si el mecanismo de transporte es HTTP como si es HTTPS.
El servicio Web del servidor de etapa intermedia de ZfD recibe las credenciales a través del cortafuegos, anula su análisis, las convierte en un paquete NDAP/LDAP y, a continuación, utiliza NDAP/LDAP para pasarlas a través del puerto del cortafuegos en segundo plano a eDirectory.
NOTA: No se utilizan licencias de NetWare® en el servidor de etapa intermedia de ZfD. Las conexiones con licencia se utilizan en el servidor de ZfD.
eDirectory recibe el paquete NDAP/LDAP, confirma que las credenciales de entrada son válidas y envía el paquete de respuesta de autenticación a través de NDAP/LDAP al servidor de etapa intermedia de ZfD.
El servidor de etapa intermedia de ZfD vuelve a cifrar el paquete LDAP o NDAP devuelto en XML y, a continuación, envía el paquete de confirmación XML mediante HTTP o HTTPS al Agente de gestión de ZfD.
El agente recibe el paquete XML, anula su análisis y lo convierte en formato binario, en el que el usuario de la estación de trabajo puede reconocer una entrada satisfactoria.
Cuando eDirectory autentica a los usuarios, se autentican en cualquier servidor del árbol para el que el administrador les haya concedido derechos.
El servidor de etapa intermedia de ZfD utiliza LDAP/NDAP para autenticarse en eDirectory debido a las capacidades de búsqueda de estos protocolos. Si selecciona Contraseñas no cifradas durante la instalación del servidor de etapa intermedia de ZfD, la petición de autenticación puede utilizar sólo el Id. de usuario (sin contexto) para buscar el árbol completo del usuario que se está autenticando. Sin una contraseña no cifrada, el usuario debe entrar mediante su nombre completo o usted debe restringir a ese usuario a un dominio de autenticación, que es un contexto concreto del directorio.
Para obtener más información sobre la autenticación y la función del servidor de etapa intermedia de ZfD en el acceso a los archivos de ZENworks, consulte ¿En qué consiste el servidor de ZfD? .
Entrada mediante NetIdentity
Si los usuarios evitan la entrada del Agente de gestión de ZfD al entrar únicamente a la estación de trabajo local, aún tendrán que autenticarse en eDirectory para acceder a sus aplicaciones.
Si el icono del Explorador de aplicaciones aparece en el escritorio del usuario o en la bandeja del sistema, el usuario tiene la opción (al hacer clic con el botón derecho en el icono) de entrar en el servidor de etapa intermedia de ZfD. Si el usuario decide entrar, aparece la interfaz GINA de entrada de NetIdentity:
Cuando el usuario introduce su Id. de usuario y su contraseña en la interfaz GINA de entrada de NetIdentity, esas credenciales se otorgan al servidor de etapa intermedia de ZfD, que las pasa a eDirectory para la autenticación. NetIdentity utiliza el mismo proceso de autenticación que la interfaz GINA de entrada del Agente de gestión de ZfD. Para obtener más información, consulte Entrada mediante el Agente de gestión de ZfD .
