Guía de administración

Local Navigation

Documentación de producto   Documentación del administrador   BlackBerry Enterprise Server Express 5   BlackBerry Enterprise Server Express para IBM Lotus Domino   Guía de administración BlackBerry Enterprise Server Express for IBM Lotus Domino - 5.0.2

Configurar la autenticación integrada de Windows para que los usuarios puedan acceder a los recursos en la red de su empresa

Para permitir a los usuarios de dispositivos BlackBerry® acceder a los recursos en la red de su empresa a través de dispositivos BlackBerry sin que sea necesario que los usuarios escriban un nombre de usuario y contraseña cada vez que acceden a los recursos de red, puede configurar BlackBerry MDS Connection Service para que sea compatible con la autenticación integrada de Windows®. Los usuarios pueden, a continuación, acceder a los recursos de red como sitios de la intranet y carpetas de red compartidas en sus dispositivos utilizando BlackBerry® Browser o la aplicación Archivos sin escribir un nombre de usuario y una contraseña.

Antes de configurar BlackBerry MDS Connection Service para que sea compatible con la autenticación integrada de Windows, debe crear una cuenta de Microsoft® Active Directory® en cada dominio de Microsoft Active Directory que incluya los recursos para los que desea activar la autenticación integrada de Windows. Debe configurar la delegación restringida para las cuentas de Microsoft Active Directory de modo que deleguen el acceso a cada sitio de la intranet o cada carpeta de red compartida en el dominio Microsoft Active Directory.

También debe configurar una relación de confianza bidireccional entre el dominio de Microsoft Active Directory en el que se esté ejecutando BlackBerry MDS Connection Service y otros dominios de Microsoft Active Directory de otros bosques a los que deba conectar BlackBerry MDS Connection Service. La extensión S4U2proxy que utiliza BlackBerry MDS Connection Service para recuperar las solicitudes de servicio Kerberos™ para los usuarios requiere una relación de confianza bidireccional entre los dominios de Microsoft Active Directory.

Tras activar la autenticación integrada de Windows y especificar una cuenta de Microsoft Active Directory en BlackBerry Administration Service, debe especificar patrones de dirección Web para los recursos de red a los que desea que puedan acceder los usuarios, crear una regla de extracción para los patrones de dirección Web, permitir el acceso a los patrones de dirección Web mediante la regla de extracción y asignar la regla de extracción a los usuarios o a un grupo.

Tras configurar BlackBerry MDS Connection Service para que sea compatible con la autenticación integrada de Windows BlackBerry MDS Connection Service utiliza la cuenta de Microsoft Active Directory para comprobar la información de inicio de sesión de un usuario y acceder a los recursos de red en su nombre. A continuación, BlackBerry Enterprise Server Express envía información desde los recursos de red al dispositivo del usuario.

Configurar la cuenta de Microsoft Active Directory para delegar el acceso

Requisitos previos: configurar la cuenta de Microsoft Active Directory para delegar el acceso a un sitio de la intranet

  • Compruebe que ha configurado la autenticación integrada de Windows® para el servidor de aplicaciones que aloja el sitio de la intranet.
  • Compruebe que el servidor de aplicaciones que aloja el sitio de la intranet y la aplicación Web que se ejecuta en el servidor de aplicaciones son compatibles con la autenticación Kerberos™.
  • Compruebe que tiene permiso para actualizar la cuenta de Microsoft® Active Directory® en Microsoft Active Directory.
  • Compruebe que tiene acceso a la herramienta setspn de Windows Server® que se incluye con las herramientas de soporte de Windows Server. Para obtener más información acerca de la herramienta setspn, visite http://technet.microsoft.com para leer Descripción general de setspn.
  • Si no ha configurado una cuenta de Microsoft Active Directory para delegar el acceso a un sitio de la intranet o a una carpeta compartida, en Microsoft Active Directory, debe crear una cuenta de Microsoft Active Directory que cumpla con las siguientes condiciones:
    • una contraseña que cumpla con los requisitos de seguridad de su empresa
    • no es necesario que el usuario cambie su contraseña la próxima vez que inicie sesión
    • la contraseña del usuario nunca caduca
  • Si ha configurado un grupo de servidores de aplicaciones para alojar el sitio de la intranet, y el grupo se ejecuta en Microsoft® IIS y está ubicado tras un equilibrador de carga, especifique una cuenta de usuario (también denominada identidad) para el grupo que aloja el sitio de la intranet. Para obtener más información, consulte: http://technet.microsoft.com/en-us/library/cc771170(WS.10).aspx.

Configurar la cuenta de Microsoft Active Directory para delegar el acceso a un sitio de la intranet

Es necesario que sólo disponga de una cuenta de Microsoft® Active Directory® en cada dominio de Microsoft Active Directory que incluya los recursos para los que desea activar la autenticación integrada de Windows®.

Para obtener más información acerca de cómo configurar la cuenta de Microsoft Active Directory mediante setspn y Microsoft Active Directory, visite www.blackberry.com/btsc para consultar el artículo KB22726.

  1. Si un grupo de servidores de aplicaciones aloja un sitio de la intranet y el grupo se ejecuta en Microsoft® IIS y está ubicado tras un equilibrador de carga, utilice setspn o ADSI para agregar los nombres principales de servicio (SPN) del sitio de la intranet a la cuenta de usuario (también denominada identidad) del grupo. Debe configurar los nombres principales de servicio mediante el FQDN y el nombre del sitio de la intranet que los usuarios escriben en sus exploradores (por ejemplo, si los usuarios escriben http://intranet_site en sus exploradores, el nombre del sitio de la intranet es intranet_site).
  2. En Microsoft Active Directory, en las propiedades de la cuenta de Microsoft Active Directory, si no aparece la ficha Delegación, actualice los registros predeterminados del nombre principal de servicio (SPN) de HOST para la cuenta de Microsoft Active Directory.
  3. En las propiedades de la cuenta de Microsoft Active Directory, en la ficha Delegación, configure las siguientes opciones:
    • confiar en este usuario sólo para la delegación a servicios especificados
    • utilizar cualquier protocolo de autenticación
  4. Haga clic en Agregar.
  5. Realice una de las siguientes tareas:
    • Si un grupo de servidores de aplicaciones aloja el sitio de la intranet y el grupo se ejecuta en Microsoft IIS y está ubicado tras un equilibrador de carga, seleccione la cuenta de usuario que ejecuta los grupos de aplicaciones en los servidores de Microsoft IIS.
    • Si el sitio de la intranet está alojado por un servidor de aplicaciones, seleccione dicho servidor de aplicaciones.
  6. Seleccione el tipo de servicio HTTP para la cuenta de usuario o el servidor de aplicaciones que ha especificado.
  7. Repita los pasos del 1 al 6 para cada sitio de la intranet para el que desee activar la autenticación integrada de Windows.
Después de terminar:
  • Si es necesario, configure BlackBerry® MDS Connection Service para que utilice una cuenta de Microsoft Active Directory cuando el servidor de mensajería esté en un dominio de Microsoft Active Directory remoto.
  • Active la autenticación integrada de Windows cuando los usuarios accedan a los recursos en la red de su empresa.

Requisitos previos: configurar la cuenta de Microsoft Active Directory para delegar el acceso a una carpeta compartida

  • Compruebe que ha configurado la autenticación integrada de Windows® para el servidor de archivos que aloja las carpetas compartidas.
  • Compruebe que tiene permiso para actualizar la cuenta de Microsoft® Active Directory® en Microsoft Active Directory.
  • Compruebe que tiene acceso a la herramienta setspn de Windows Server® que se incluye con las herramientas de soporte de Windows Server. Para obtener más información acerca de la herramienta setspn, visite http://technet.microsoft.com para leer Descripción general de setspn.
  • Si no ha configurado una cuenta de Microsoft Active Directory para delegar el acceso a un sitio de la intranet o a una carpeta compartida, en Microsoft Active Directory, debe crear una cuenta de Microsoft Active Directory que cumpla con las siguientes condiciones:
    • la contraseña cumple los requisitos de seguridad de su empresa
    • no es necesario que el usuario cambie su contraseña la próxima vez que inicie sesión
    • la contraseña del usuario nunca caduca

Configurar la cuenta de Microsoft Active Directory para delegar el acceso a una carpeta compartida

Es necesario que sólo disponga de una cuenta de Microsoft® Active Directory® en cada dominio de Microsoft Active Directory que incluya los recursos para los que desea activar la autenticación integrada de Windows®.

Para obtener más información acerca de cómo configurar la cuenta de Microsoft Active Directory mediante setspn y Microsoft Active Directory, visite www.blackberry.com/btsc para consultar el artículo KB22726.

  1. En Microsoft Active Directory, en las propiedades de la cuenta de Microsoft Active Directory, si no aparece la ficha Delegación, actualice los registros predeterminados del nombre principal de servicio (SPN) de HOST para la cuenta de Microsoft Active Directory.
  2. En las propiedades de la cuenta de Microsoft Active Directory, en la ficha Delegación, configure las siguientes opciones:
    • confiar en este usuario sólo para la delegación a servicios especificados
    • utilizar cualquier protocolo de autenticación
  3. Haga clic en Agregar.
  4. Seleccione el servidor de archivos que aloja la carpeta compartida.
  5. Seleccione el tipo de servicio CIFS para el servidor de archivos que ha especificado.
  6. Repita los pasos del 3 al 5 para cada carpeta compartida para la que desee activar la autenticación integrada de Windows.
Después de terminar:
  • Si es necesario, configure BlackBerry® MDS Connection Service para que utilice una cuenta de Microsoft Active Directory cuando el servidor de mensajería esté en un dominio de Microsoft Active Directory remoto.
  • Active la autenticación integrada de Windows cuando los usuarios accedan a los recursos en la red de su empresa.

Configurar BlackBerry MDS Connection Service cuando el servidor de mensajería está ubicado en un dominio Microsoft Active Directory remoto

Si el ordenador que aloja BlackBerry® MDS Connection Service no está ubicado en el mismo dominio de Microsoft® Active Directory® que el servidor de catálogo global o el servidor de mensajería y desea configurar la compatibilidad con la autenticación integrada de Windows®, debe crear una cuenta de Microsoft Active Directory que BlackBerry MDS Connection Service pueda utilizar para conectarse al servidor de catálogo global.

En un entorno de Microsoft® Exchange, debe crear la cuenta de Microsoft Active Directory en el dominio de Microsoft Active Directory que incluye el servidor de mensajería.

En un entorno de IBM® Lotus® Domino®, si el servidor de mensajería está ubicado en el mismo dominio de Microsoft Active Directory que el servidor de catálogo global, debe crear la cuenta de Microsoft Active Directory en ese dominio. Si el servidor de mensajería está ubicado en un dominio de Microsoft Active Directory diferente al del servidor de catálogo global, debe crear la cuenta de Microsoft Active Directory en el dominio de Microsoft Active Directory que incluye el servidor de catálogo global.

No es necesario que configure la delegación restringida para la cuenta de Microsoft Active Directory que cree en el dominio de Microsoft Active Directory que incluye el servidor de mensajería o el servidor de catálogo global.

Configurar BlackBerry MDS Connection Service cuando el servidor de mensajería está ubicado en un dominio de Microsoft Active Directory remoto

Antes de comenzar: Cree una cuenta de Microsoft® Active Directory® en el dominio de Microsoft Active Directory en el que esté alojado el servidor de mensajería o el servidor de catálogo global.
  1. En el ordenador que aloja BlackBerry® MDS Connection Service, desplácese a <unidad>:\Archivos de programa\Research In Motion\BlackBerry Enterprise Server\MDS\Servers\instance\config.
  2. En un editor de texto, abra el archivo rimpublic.properties.
  3. Lleve a cabo una de las siguientes acciones:
    • Si el servidor de IBM® Lotus® Domino® está instalado en un dominio de Microsoft Active Directory con un servidor de catálogo global, en el archivo rimpublic.properties, escriba application.handler.exchange.domain=<nombre_dominio> donde <nombre_dominio> es el dominio de Microsoft Active Directory que contiene el servidor de mensajería. Por ejemplo, escriba application.handler.exchange.domain=domain123.example.com.
    • Si el servidor de Lotus Domino no está instalado en un dominio de Microsoft Active Directory con un servidor de catálogo global, en el archivo <nombre_dominio>rimpublic.properties, escriba application.handler.exchange.domain=<nombre_dominio> donde <nombre_dominio> es el dominio de Microsoft Active Directory que contiene el servidor de catálogo global. Por ejemplo, escriba application.handler.exchange.domain=domain123.example.com.
  4. Guarde y cierre el archivo rimpublic.property.
  5. En los servicios de Windows®, reinicie el servicio de BlackBerry MDS Connection Service.
Después de terminar: Active la autenticación integrada de Windows cuando los usuarios de dispositivos BlackBerry accedan a los recursos de la red de su empresa.

Activar la autenticación integrada de Windows para que los usuarios puedan acceder a los recursos en la red de su empresa

Antes de comenzar:
  • Configure la cuenta de Microsoft® Active Directory® para acceder a los recursos de la red de la empresa.
  • Si es necesario, configure BlackBerry® MDS Connection Service para que utilice una cuenta de Microsoft Active Directory cuando el servidor de mensajería esté en un dominio de Microsoft Active Directory remoto.
  1. En BlackBerry Administration Service, en el menú Servidores y componentes, expanda Topología de la solución BlackBerry > BlackBerry Domain > Vista de componente.
  2. Haga clic en MDS Connection Service.
  3. Haga clic en Editar componente.
  4. En la lista desplegable Autenticación integrada activada, haga clic en .
  5. Proporcione la siguiente información para cada cuenta de Microsoft Active Directory:
    • En el campo Dominio de usuario de delegación, escriba el FQDN (por ejemplo, ldap.example.com).
    • En el campo Nombre de usuario de delegación, escriba el nombre de usuario.
    • En los campos Contraseña y Confirmar, escribe la contraseña.
  6. Haga clic en Guardar todo.
  7. En la ficha HTTP, haga clic en Editar componente.
  8. En la lista desplegable Compatibilidad de autenticación activada, haga clic en .
  9. Haga clic en Guardar todo.
  10. En la ficha Patrones de URL de extracción, especifique patrones de dirección Web para los sitios de la intranet o las carpetas de red compartidas a las que desea permitir el acceso de los usuarios de dispositivos BlackBerry (por ejemplo, intranet_site(:80)?(\/.*)?). Los patrones de dirección Web están basados en expresiones regulares de Java®. Tenga en cuenta la especificación de los siguientes patrones de dirección Web:
    • Especifique .*\:.*\/.* como patrón de dirección Web con el fin de poder evitar que los usuarios utilicen cualquier otro patrón de dirección Web para acceder a los sitios de la intranet o las carpetas de red compartida.
    • Especifique .* como patrón de dirección Web para OCSP, LDAP y TCP con el fin de permitir a los usuarios comunicarse con servidores OCSP, servidores LDAP o servidores TCP.
  11. En la ficha Reglas de control de acceso, cree una regla de extracción para cada patrón de dirección Web que haya especificado. Una vez creada la regla de extracción, en la lista desplegable Autenticación, haga clic en Integrada o Integrada y RSA.
  12. Haga clic en Guardar todo.
  13. Asigne las reglas de extracción a los usuarios o grupos que desea que accedan a los sitios de la intranet o carpetas de red compartida.
  14. En el menú Servidores y componentes, expanda Topología de la solución BlackBerry > BlackBerry Domain > Vista de componente > MDS Connection Service.
  15. Haga clic en una instancia de BlackBerry MDS Connection Service.
  16. Haga clic en Editar instancia.
  17. En la lista desplegable Autorización de extracción, haga clic en .
  18. Haga clic en Guardar todo.
  19. Repita los pasos del 16 al 20 para cada instancia de BlackBerry MDS Connection Service.
Tema siguiente: Restricción del contenido de la aplicación de inserción que los usuarios pueden recibir
Tema anterior: Configurar los límites de descarga para tipos de contenido multimedia

¿Le ha resultado útil esta información? Envíenos sus comentarios.