Instalación del Plug-in de sincronización de contraseñas

Debe instalar el plugin en todos los controladores de dominio de directorios de Windows que haya en el dominio.. Para instalar el plug-in en el Windows Core Server, utilice la opción de instalación (-i console) o (-i silent) porque un instalador basado en GUI no está soportado.

Antes de empezar

  • Verifique que su sitio cumpla todos los requisitos previos. Consulte Requisitos previos.
  • Obtenga una copia del software de instalación. Consulte Descarga de software.
  • Obtenga la autoridad de administrador del sistema.

Procedimiento

  1. Si descargó el software de instalación desde Passport Advantage, realice los pasos siguientes:
    1. Cree un directorio temporal en el equipo en el que desee instalar el software.
    2. Extraiga el contenido del archivo comprimido en el directorio temporal.
  2. Inicie el programa de instalación con el archivo SetupPwdSynch.exe en el directorio temporal.
    Nota:
    • Para la instalación de Windows Core Server, utilice el mandato siguiente:
      SetupPwdSynch.exe -i console 
    • Cuando instale Windows Plug-in de sincronización de contraseñas con el Windows Remote Desktop, asegúrese de abrir la conexión de escritorio remoto utilizando el mandato mstsc/console. Si no lo hace, puede surgir el problema siguiente:

      Se ha instalado correctamente Windows Plug-in de sincronización de contraseñas. Sin embargo, al reiniciar el controlador de dominios el TivoliPwdSync DLL no está cargado y el archivo PwdSync.log no se crea en el directorio de registro del plug-in.

  3. Seleccione un idioma y haga clic en Aceptar.
  4. En la ventana de introducción, haga clic en Siguiente.
  5. Especifique dónde desea instalar el adaptador en el campo Nombre del directorio. Realice una de las siguientes acciones:
    • Haga clic en Siguiente para ver la ubicación predeterminada.
    • Haga clic en Elegir, navegue hacia un directorio diferente y haga clic en Siguiente.
  6. Seleccione el archivo de certificados de CA y haga clic en Siguiente. Para obtener información sobre la instalación de certificados CA después de la instalación de Plug-in de sincronización de contraseñas, consulte Instalación de certificados CA.
  7. Revise los valores de instalación de la ventana Resumen de preinstalación y realice uno de las acciones siguientes:
    • Haga clic en Anterior y vuelva a una ventana anterior para modificar cualquiera de estos valores.
    • Haga clic en Instalar cuando esté preparado para comenzar la instalación.
  8. Complete todos los campos de texto de la ventana PFConfig.
    Nota:
    • El programa de utilidad pfconfig no se puede ejecutar en Windows Core Server. Está incluido como un programa ejecutable independiente del paquete del adaptador y se puede utilizar para configurar el plug-in de forma remota.
    • Para la instalación de Windows Core Server:
      • Ejecute el programa de utilidad pfconfig tras la instalación, en una máquina que sea miembro del dominio alojado por la máquina núcleo. Debe haber iniciado sesión con una cuenta que tenga acceso de lectura/escritura al registro y acceso de lectura al almacén de certificados del sistema en el servidor de destino.
      • Pulse Cambiar host para seleccionar el host remoto a configurar y, a continuación, complete la información necesaria
    La ventana PFConfig tiene los campos siguientes:
    Vía de acceso de la instalación
    Especifica la vía de acceso de instalación para el Plug-in de sincronización de contraseñas. El valor especificado debe coincidir con el valor del directorio de instalación indicado anteriormente en el proceso de instalación.
    Nombre de host o IP de ITIM
    Especifica la dirección IP para el servidor IBM Security Identity Manager.
    Número de puerto SSL
    Especifica el puerto SSL para el servidor IBM Security Identity Manager. El puerto SSL predeterminado para WebSphere Application Server es 9443 en una configuración de un único servidor. Si tiene un clúster WebSphere Application Server, IBM HTTP Server debe configurarse para SSL. El puerto predeterminado para HTTP SSL es 443. Por ejemplo, shreth.tivlab.austin.ibm.com:9443
    Nota: Para obtener más información sobre cómo configurar certificados, consulte Instalación de certificados CA.
    Tiempo de espera de conexión

    Este es el valor de tiempo de espera, en segundos, de las operaciones de envío y recepción al comunicarse con el servidor de IBM Security Identity Manager.

    Certificado de usuario

    Este campo contiene el número de serie del certificado de usuario seleccionado, que se utiliza cuando el servidor de IBM Security Identity Manager se configura para SSL de bidireccional y requiere un certificado de cliente para el reconocimiento SSL. Pulse el botón Seleccionar para seleccionar un certificado del almacén de certificado del sistema.

    Validar el CN del certificado de servidor con el nombre de host

    Seleccione esta opción para verificar que el CN del nombre de asunto del certificado de servidor, recibido durante el reconocimiento SSL, sea el mismo que el nombre de host del servidor de IBM Security Identity Manager.

    Certificado registrado
    Pulse este botón para ver los detalles del certificado registrado actualmente, si corresponde. El recuadro de diálogo Certificado registrado incluye opciones para registrar un certificado, anular el registro de certificado y habilitar la verificación del certificado registrado.
    Anular registro

    Haga clic en este botón para eliminar el certificado registrado actualmente y para inhabilitar la validación del certificado registrado.

    Registrar nuevo certificado
    Haga clic en este botón para registrar un nuevo certificado. Se muestra un recuadro de diálogo en que puede seleccionar el archivo de certificado. El archivo debe contener un solo certificado y debe estar en formato binario (der).
    Nota: Al registrar un nuevo certificado, se elimina automáticamente el certificado previamente registrado.
    Habilitar validación de certificado registrado

    Seleccione esta opción para habilitar la validación del certificado registrado tras el reconocimiento SSL.

    Cuando registra un certificado, se compara con el certificado de servidor recibido en el reconocimiento SSL. Los certificados deben coincidir exactamente. Únicamente se permiten las conexiones que tienen el certificado registrado durante el reconocimiento SSL.

    DN de servicio
    Especifica el DN de destino del servicio que se supervisa.

    En el campo DN de servicio, haga clic en Configurar servicios de destino. Se muestra una lista de servicios de destino configurados.

    Nota: Una copia de Cliente de sincronización de contraseñas puede supervisar varios puntos de base. Especifique cada uno de los puntos utilizando la ventana Servicios de destino.

    Para editar un servicio de destino, haga clic en el servicio y en Editar. Se muestran las especificaciones de punto base y DN de destino de servicio. El punto base de Active Directory debe coincidir con el DN de destino del servicio en el servidor IBM Security Identity Manager.

    Punto base
    Los puntos de base especificados deben ser idénticos a los puntos de base configurados en el Adaptador de Active Directory. El punto de base predeterminado es el dominio raíz de Active Directory.
    Ejemplo 1
    Si la raíz de Active Directory es Cascades.Irvine.IBM.com, el punto de base debe especificarse así: 
    dc=Cascades,dc=Irvine,dc=IBM,dc=com
    Ejemplo 2
    Si ha instalado Windows Adaptador de Active Directory en un OU (nombre breve de la organización) de Active Directory, Usuarios, el punto de base se especificaría así: 
    cn=Users,dc=Cascades,dc=Irvine,dc=IBM,dc=com
    DN del destino de servicio

    El formato es:

    erservicename=nombredeservicio,o=nombreorganización
ou=nombrebreveorganización,dc=com
    Nota: Aunque el formato de DN se utiliza para el valor del DN de servicio, este DN no es el DN del servicio que se supervisa. Estos son valores de parámetro con el Plug-in de sincronización de contraseñas.
    erservicename
    Especifica el nombre del servicio de destino utilizado por el servidor IBM Security Identity Manager
    o
    Especifica el nombre de la organización en el servidor de IBM Security Identity Manager
    ou
    Especifica el nombre breve definido para la organización durante la instalación y la configuración del servidor IBM Security Identity Manager. Si no se conoce este valor, puede determinarse abriendo la herramienta de configuración de LDAP para el producto. Ubique el nuevo sufijo de raíz que se ha creado durante la instalación IBM Security Identity Manager.
    dc=com
    Especifica la raíz del árbol de directorios.

    Por ejemplo, si instalara el servidor IBM Security Identity Manager en el sufijo LDAP de raíz llamado ISIM y su servicio Windows Active Directory se denominase WinAD Corp Server y estuviese instalado en una organización cuyo nombre fuese Finance Org, el organigrama de IBM Security Identity Manager tiene un aspecto parecido a este:

    • + ISIM Home
      • + Corporate Org
        • + Unidad org IT
        • + Unidad org HR
      • + Finance Org
        • + Unidad org Proveedores
    Este ejemplo de Windows Adaptador de Active Directory tiene el siguiente valor de DN de servicio: 
    nombreservicio=WinAD Corp Server,o=Finance Org,
ou=ITIM,dc=com
    ISIM principal
    Especifica la cuenta de IBM Security Identity Manager con la que se envían las solicitudes de cambio de contraseña. La cuenta debe tener la autoridad correcta para enviar solicitudes de cambio de contraseña para las personas especificadas. Esta autoridad se otorga cuando se crea la información de control de acceso (ACI) para la cuenta Principal dando permisos de lectura y escritura a todos los atributos que se muestran.
    Como mínimo, la cuenta principal debe tener permisos de lectura y escritura para realizar las tareas siguientes para la sincronización de contraseñas:
    1. Busque la cuenta que inició la sincronización de contraseñas
    2. Busque el propietario de esa cuenta.
    3. Buscar las cuentas que deben tener sus contraseñas sincronizadas.
    4. Modifique esas mismas cuentas con acceso de escritura a sus atributos de contraseñas.

    Cree una cuenta específicamente para estos tipos de solicitudes.

    Consulte el Centro de información IBM Security Identity Manager para obtener más información sobre cómo crear cuentas y privilegios.

    Contraseña
    Especifica la contraseña para la cuenta de IBM Security Identity Manager en la que se envían las solicitudes de cambio de contraseña.
    Verificar contraseña
    Especifica el campo de verificación para la contraseña de la cuenta de IBM Security Identity Manager
    Notificar número máximo de hebras
    Especifica el número máximo de solicitudes de modificación de contraseña que puede procesar el plug-in de una vez. El plug-in procesa las solicitudes de sincronización de contraseñas mediante varias hebras. Este valor limita el número de hebras que se pueden crear, de manera que las solicitudes se puedan procesar en paralelo.

    Por ejemplo, si este valor se indica como 15, entonces Plug-in de sincronización de contraseñas solo procesa 15 cambios de contraseña paralelos a la vez. La siguiente solicitud de cambio de contraseña tras la 15 fallará.

    El valor predeterminado de este parámetro es 10.

    Habilitar sincronización de contraseñas
    Especifica si se debe habilitar o inhabilitar la sincronización de contraseña.

    Cuando se habilita la sincronización de contraseñas, todas las solicitudes de cambio de contraseñas se envían a IBM Security Identity Manager para sincronizar todas las contraseñas afectadas por la solicitud de cambio. Cuando la sincronización de contraseñas no está habilitada, el Plug-in de sincronización de contraseñas omite todas las solicitudes de cambio de contraseña en el recurso gestionado.

    Habilitar la verificación de reglas de contraseñas
    Valida que la contraseña cumpla con las reglas de contraseñas definidas para el usuario.

    Cuando se selecciona esta opción, se comprueba que la nueva contraseña cumple con las reglas de políticas de contraseñas definidas para cada tipo de cuenta que se va a sincronizar. La contraseña debe ser válida para todas las cuentas. De lo contrario, el cambio de contraseña falla con un error que indica que la nueva contraseña no cumple las reglas de contraseña especificadas. Consulte el Centro de información IBM Security Identity Manager para obtener más información sobre cómo configurar las políticas de contraseña de IBM Security Identity Manager.

    Requerir respuesta de ITIM
    Esta opción está habilitada sólo si se ha seleccionado Habilitar la verificación de reglas de contraseñas. Cuando se selecciona esta opción, no se pueden cambiar las contraseñas en IBM Security Identity Manager si no está disponible.
    Habilitar registro
    Permite a los administradores habilitar el registro de solicitudes de cambios de contraseñas, que se envían al Servidor de Active Directory.
    Número de archivos de registro

    Este valor controla el número de archivos de registro que se mantienen.

    Tamaño máximo del archivo de registro

    Este valor controla el tamaño máximo de los archivos de registro (en KB).

  9. En la ventana Instalación finalizada, responda a la pregunta sobre el reinicio del sistema y haga clic en Listo.
  10. Reinicie Servidor de Active Directory.
    Nota:
    1. La información de la conexión se puede modificar más tarde ejecutando el programa pfconfig.exe. Este programa la página Configuración de notificación de cambio de contraseñas de IBM Security Identity Manager.
    2. No se puede mostrar el panel Reinicio. Para que la sincronización de contraseñas funcione correctamente, debe instalar el certificado CA y reinicie el sistema.
    3. Al cambiar la configuración SSL, como agregar o eliminar un certificado, debe reiniciar el sistema.

Qué hacer a continuación

Tras finalizar la instalación debe instalar los certificados CA. Consulte Instalación de certificados CA.
Tema principal: Instalación

Comentarios