Administradores de usuarios
|
<< Click to Display Table of Contents >> Navigation: Seguridad > Administradores de usuarios |
Usted puede acceder a la configuración del administrador de usuarios en JMap Admin, presionando Usuarios/Grupos en la sección JMap Server. Seleccione la pestaña Administrador.
El administrador de usuarios permite definir la manera en que JMap administra las cuentas de usuarios y los grupos de usuarios. Esa información puede ser tratada de dos maneras:
•Usando la base de datos de cuentas de usuarios de JMap; usted crea y suprime las cuentas de usuarios directamente a partir de JMap Admin.
•Conectándose a una base de datos de cuentas de usuarios existente, tal como un sistema Windows Active Directory, un sistema compatible con LDAP (Protocolo para el acceso a directorios jerárquicos de información) o una base de datos relacional.
También es posible combinar varios sistemas para utilizarlos simultáneamente (la base de datos de JMap y Windows Active Directory, por ejemplo). Los distintos sistemas son utilizados como un solo sistema. Cuando JMap Server se conecta a una base de datos existente, la gestión de las cuentas de usuarios se simplifica ya que no se requiere la creación de cuentas de usuarios o de grupos en JMap.
Las secciones siguientes describen cada una de las opciones posibles.
Administrador de usuarios JMap BD
Este tipo de administración de cuentas de usuarios guarda los usuarios y los grupos directamente en la base de datos System de JMap Server o en una base de datos externa que contiene las tablas y los campos requeridos. El administrador JMap debe crear y administrar todas las cuentas y grupos de usuarios.
En la sección Usuarios/Grupos, haga clic en la pestaña Administrador. Seleccione Administrador de usuarios JMap BD para indicar que las cuentas de usuarios serán administradas en una base de datos relacional. Para almacenar las cuentas y grupos de usuarios en la base de datos System de JMap Server, seleccione la opción Base de datos JMap Server.
Puede también utilizar cualquier base de datos relacional que contiene las tablas y campos requeridos, seleccionando la opción Base de datos externa. En ese caso se visualiza una interfaz para especificar los parámetros de configuración. Seleccione la base de datos que utilizará, luego seleccione las tablas y los campos que contienen la información sobre los usuarios y los grupos. Si resulta necesario, puede seleccionar el modo Sólo lectura para impedir que las cuentas sean modificadas a partir de JMap Admin.
Una vez definida esta configuración, puede crear, modificar o suprimir cuentas de usuarios directamente a partir de JMap Admin.
Administrador de usuarios Active Directory
Puede conectarse a Windows Active Directory (en modo lectura solamente) seleccionando Administrador de usuarios Active Directory en Administrador de usuarios. Cuando selecciona esta opción, se abre una nueva interfaz que le permite especificar los parámetros de configuración.
Active Directory |
|
Dirección del servidor |
Dirección del servidor Windows controlador de dominio con Active Directory. |
DN |
Identificador único (Distinguished Name) que permite definir la raíz del directorio. Compuesto por una lista de entradas DC (Domain Component, componentes de dominio). Ejemplo: dc=ABC,dc=COM. |
Dominio |
Nombre del dominio Windows (ej. ABC.COM). |
Usuario/SPN |
Nombre del usuario que JMap Server usará para conectarse a Active Directory. Se recomienda crear un usuario especialmente para las necesidades de JMap. Su contraseña no debería expirar nunca. Si desea utilizar una autenticación única, debe crear un SPN (Service Principal Name, nombre principal de servicio) asociado a ese usuario. La sección Autenticación única ofrece más detalles sobre el tema. |
Contraseña |
Contraseña del usuario que JMap Server usará para conectarse al Active Directory. |
Contraseña admin. |
En JMap siempre debe existe existir un usuario denominado administrator. Si en Active Directory no existe un usuario administrator, JMap se encargará de simular uno. En ese caso, provea la contraseña asociada a ese usuario simulado. Si ya existe un usuario administrator en el Active Directory y se ingresa su contraseña, ésta será simplemente ignorada. |
Activar la autenticación única |
Activa la autenticación única. La sección Autenticación única ofrece más detalles sobre el tema. |
Tamaño máximo de página |
Active Directory limita el tamaño de las transacciones a un número máximo de registros simultáneos (tamaño de la página). El valor de este parámetro no debe ser mayor que el tamaño máximo autorizado por Active Directory (1000 es el valor por defecto en Active Directory). Un tamaño demasiado pequeño puede reducir el rendimiento. Un tamaño mayor que el límite autorizado producirá datos faltantes en las listas de usuarios. |
Configuración de LDAP (9 parámetros siguientes) |
Active Directory se basa en el protocolo LDAP. Los parámetros LDAP configurados por defecto son los que se aplican más comúnmente en Active Directory. Si al contrario, esos parámetros no corresponden a los que se utilizan, usted puede modificar los valores. |
Utilización de un directorio LDAP
Puede conectarse con cualquier directorio compatible con LDAP (en modo lectura solamente). Existen numerosos directorios compatibles con LDAP en los sistemas Unix, Linux y Windows.
Para utilizar esta opción seleccione Administrador de usuarios JMap LDAP en el Administrador de usuarios. Cuando selecciona esta opción, se abre una nueva interfaz para especificar los parámetros de configuración.
Administrador de usuarios LDAP |
|
|---|---|
URL del servidor |
Dirección del servidor LDAP. |
DN |
Identificador único (Distinguished Name) que permite definir la raíz del directorio. Compuesto por una lista de entradas DC (Domain Component, componentes de dominio). Ejemplo: dc=ABC,dc=COM. |
Usuario |
Nombre del usuario que JMap Server usará para conectarse al directorio LDAP. Se recomienda crear un usuario especialmente para las necesidades de JMap. Su contraseña no debería expirar nunca. |
Contraseña |
Contraseña del usuario que JMap Server usará para conectarse al directorio LDAP. |
Contraseña admin. |
En JMap debe existir siempre un usuario denominado administrator. Si no hay un usuario administrator en el directorio LDAP, JMap va a simular uno. En ese caso se debe ingresar una contraseña asociada a ese usuario. Si el usuario administrator existe en el directorio LDAP y se ingresa una contraseña, ésta será ignorada. |
Prefijo de autentificación |
Algunos servidores LDAP requieren un prefijo concatenado al nombre del usuario para efectuar la autentificación. Ejemplo: Prefijo: un_dominio\ Usuario: un_usuario Resultado: un_dominio\un usuario |
Sufijo de autentificación |
Algunos servidores LDAP requieren un sufijo concatenado al nombre del usuario para efectuar la autentificación. Ejemplo: Sufijo: @un_dominio Usuario: un_usuario Resultado: un usuario@un_dominio |
Clase usuarios |
Nombre de la clase de objetos LDAP que se utilizará para identificar un usuario en el directorio LDAP. |
Clase grupos |
Nombre de la clase de objetos LDAP que se utilizará para identificar un grupo en el directorio LDAP. |
Filtro de usuario |
Filtro de búsqueda que se utilizará para extraer los usuarios del directorio LDAP. Debe estar formateado según la sintaxis estándar de LDAP. |
Filtro de grupo |
Filtro de búsqueda que se utilizará para extraer los grupos del directorio LDAP. Debe estar formateado según la sintaxis estándar de LDAP. |
Atributo usuario |
Atributo de un usuario LDAP que define la identidad del mismo. |
Atributo grupo |
Atributo de un grupo LDAP que define la identidad del mismo. |
Atributo miembro |
Atributo de un grupo LDAP que define los usuarios que son miembros del mismo. |
Atributo nombre completo |
Atributo de un usuario LDAP que define el nombre completo del mismo. |
Atributo correo electrónico |
Atributo de un usuario LDAP que define el correo electrónico del mismo. |
Tamaño máximo de página |
Los directorios LDAP limitan el tamaño de las transacciones a un número máximo de registros simultáneos (tamaño de la página). El valor de este parámetro no debe ser mayor que el tamaño máximo autorizado por el directorio (1000 es el valor por defecto en los directorios LDAP). Un tamaño demasiado pequeño puede reducir el rendimiento. Un tamaño mayor que el límite autorizado producirá datos faltantes en las listas de usuarios. |
Puede obtener más detalles sobre el protocolo LDAP en el sitio http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol.
Administrador de usuarios compuesto
Este tipo de administrador de usuarios permite combinar varios administradores. Puede añadir tantos administradores como necesite. Todos funcionarán como si fuesen un único administrador de usuarios. Las secciones precedentes detallan la configuración de cada uno de los administradores de usuarios.
Sincronización de los permisos de usuarios y grupos
Cuando usted se conecta a una base de datos de cuentas de usuarios existente (Active Directory, LDAP o una base de datos relacional externa), puede resultar útil sincronizar JMap Server con la base de datos por dos razones:
•Cuando ciertos usuarios o grupos son suprimidos de la base de datos y éstos tenían permisos otorgados en JMap (ej.: abrir un proyecto, visualizar ciertas capas, etc.), los permisos no son suprimidos automáticamente en las listas de permisos en JMap Server. Esto puede suceder porque JMap Server no sabe que esos usuarios o grupos han sido eliminados en la base de datos. Estableciendo la sincronización, JMap Server elimina los permisos de los usuarios y grupos suprimidos. Si usted no sincroniza JMap Server con la base de datos, de todas maneras la situación no implica problemas a nivel de la seguridad, porque los usuarios o grupos suprimidos no pueden autenticarse para abrir una aplicación.
•Cuando la composición de los grupos de usuarios se modifica (se añaden o retiran miembros), para que JMap Server pueda cargar nuevamente la lista de los miembros de los grupos. JMap Server conserva la lista de miembros de un grupo en la memoria por razones de rendimiento.
Puede automatizar la sincronización activando la opción Sincronización automática cada y especificando un período de tiempo.