Consideraciones sobre la implementación - Metasys - LIT-12011279 - General System Information - Metasys System - 11.0

Boletín técnico de orientaciones sobre redes y TI

Product
Document type
Technical Bulletin
Document number
LIT-12011279
Version
11.0
Revision date
2021-06-16

La función del servicio Active Directory, tal como está implementada en el sistema Metasys, utiliza la infraestructura del servicio Active Drectory existente en el sitio del cliente. A continuación aparecen consideraciones importantes:

  • Se admiten usuarios del servicio Active Directory en los dominios del sistema operativo de clase servidor y en los dominios de solo lectura.

  • El uso de un controlador de dominio de solo lectura de un sistema operativo de clase servidor viene determinado por el departamento de TI, que se encarga de crear las cuentas para la autenticación con el controlador de dominio. Los inicios de sesión de SSO y del servicio Active Directory funcionan con el controlador de dominio de solo lectura del sistema operativo de clase servidor, tanto si el controlador de dominio de solo lectura principal está en línea, fuera de línea o no es accesible (siempre y cuando las credenciales de usuario del servicio Active Directory estén en caché en el controlador de solo lectura). Si existe una relación de confianza entre el controlador de dominio de solo lectura y otro dominio, el inicio de sesión del servicio Active Directory funciona correctamente siempre que se pueda acceder al dominio de confianza. En este caso, Kerberos gestiona el reenvío al dominio correcto. SSO no funciona con un usuario del servicio Active Directory en un dominio de confianza de un controlador de dominio de solo lectura porque el SSO usa NTLM y el mensaje no se reenvía.

  • Se admite el esquema de servicios Active Directory de forma predeterminada Para obtener información detallada, consulte Información obtenida de los servicios de Active Directory.

  • NTLMv2 es necesario para lograr un estricto acceso SSO sin necesidad de registrarse en el sistema Metasys usando la autenticación integrada de Windows con IIS. El resto de las autenticaciones se realiza mediante Kerberos, que incluye el nombre de usuario del servicio Active Directory, la contraseña y la selección de dominio en la pantalla de inicio de sesión del sistema Metasys y la autenticación en los servicios Active Directory para las consultas LDAP.

  • El sistema Metasys no almacena ni gestiona las contraseñas de los usuarios del servicio Active Directory. Los usuarios del servicio Active Directory a los que se les da acceso al sistema Metasys (identificados por el identificador de seguridad [SID]) no los crea ni gestiona el sistema Metasys. El sistema mantiene los permisos de autorización solo para el sistema Metasys.

  • Las credenciales del servicio Active Directory que se proporcionan en la pantalla de inicio de sesión del sistema Metasys se cifran con un algoritmo de gran potencia antes de enviarse a través de la red desde la interfaz de SMP al servidor Metasys y a SCT.

  • Para garantizar que el sistema SSO de Metasys funcione correctamente, la directiva de seguridad Seguridad de red: nivel de autenticación de LAN Manager se debe configurar con ajustes compatibles en el equipo con servidor Metasys y SCT, en cualquier máquina cliente de la interfaz de SMP y en el controlador de dominio del servicio Active Directory.

  • La estructura del servicio Active Directory puede incluir uno o varios bosques que consten de uno o varios dominios. El sistema Metasys requiere una estructura del servicio Active Directory que permita el uso de nombres con formato UPN de dominio completo o nombres con formato UPN exacto o alternativo. Los dominios de etiqueta única son un ejemplo de una estructura de directorio que no es compatible con el sistema Metasys. Los dominios de etiqueta única son dominios que no incluyen .com, .edu, etc. A los usuarios de cualquier dominio se les puede dar privilegios de acceso al sistema Metasys, siempre y cuando existan relaciones de confianza y privilegios apropiados dentro de los servicios Active Directory.

  • El equipo con el servidor Metasys y SCT deben colocarse en una unidad organizativa del servicio Active Directory (OU) que no esté afectada por las directivas de grupo (como las que se le aplican normalmente a un escritorio) que descargan software a la máquina. Este software puede afectar negativamente al funcionamiento del dispositivo del sistema Metasys.

  • Se requiere una cuenta de servicio en Active Directory que conste de un nombre de usuario, una contraseña y un dominio de Active Directory. Para obtener información detallada, consulte Cuenta de servicio.