18.2 Gestión de las directivas de contraseñas

Una directiva de contraseñas es un conjunto de reglas definidas por el administrador que especifican los criterios de creación y sustitución de contraseñas de usuario final. NMAS le permite aplicar las directivas de contraseñas que asigne a los usuarios en eDirectory. Estas directivas también pueden incluir funciones de autoservicio de Contraseña olvidada para reducir las llamadas al servicio de asistencia técnica para recuperar contraseñas. Otra función de autoservicio es Restablecer contraseña, que permite a los usuarios cambiar las contraseñas mientras visualizan las reglas que el administrador ha especificado en la directiva de contraseñas. Los usuarios pueden acceder a estas funciones a través de Identity Console o la aplicación de usuario de Identity Manager.

Mediante el módulo Directivas de contraseñas, puede realizar las siguientes tareas:

18.2.1 Creación de una directiva de contraseñas con parámetros por defecto

Para crear una nueva directiva de contraseñas, realice los siguientes pasos:

  1. Haga clic en las opciones Gestión de autenticación > Directivas de contraseñas de la página de destino de Identity Console.

  2. Haga clic en el icono para crear una nueva directiva de contraseñas.

  3. Especifique el nombre, el contexto, la descripción y un mensaje de cambio de contraseña en la pantalla siguiente.

  4. Si desea crear una directiva de contraseñas con la configuración por defecto, marque la casilla Crear una nueva directiva de contraseñas basada en los ajustes por defecto y haga clic en Siguiente para ver la página Resumen.

  5. Compruebe los detalles en la página Resumen y haga clic en Crear.

  6. Aparece un mensaje de confirmación que indica que la directiva de contraseñas se ha creado correctamente.

Figura 18-9 Creación de una directiva de contraseñas con parámetros por defecto

18.2.2 Creación de una directiva de contraseñas con parámetros personalizados

Para crear una directiva de contraseñas con parámetros personalizados, realice los siguientes pasos:

  1. Haga clic en las opciones Gestión de autenticación > Directivas de contraseñas de la página de destino de Identity Console.

  2. Haga clic en el icono para crear una nueva directiva de contraseñas.

  3. Especifique el nombre, el contexto, la descripción y un mensaje de cambio de contraseña en la pantalla siguiente.

  4. Si desea crear una directiva de contraseñas con los parámetros personalizados, haga clic en Siguiente.

  5. Realice las siguientes acciones en la página Configuración:

    1. Habilitar Contraseña Universal: al habilitar la contraseña universal para una directiva, puede utilizar las opciones de la función Directivas de contraseñas. Sin embargo, para poder habilitar la contraseña universal en una directiva, debe cumplir los requisitos previos de la contraseña universal en el entorno.

    2. Habilitar las reglas avanzadas para contraseñas: esta opción habilita las reglas para contraseñas que se encuentran en la pestaña Reglas avanzadas para contraseñas. Estas reglas le ayudan a proteger su entorno al proporcionarle control sobre diversos criterios, como la duración de una contraseña y el contenido de una contraseña como, por ejemplo, una combinación de letras, números, letras mayúsculas o minúsculas y caracteres especiales. Puede excluir aquellas contraseñas que no considere seguras, como el nombre de la empresa.

    3. Sincronización de contraseñas: estas opciones determinan la forma en que la contraseña universal se sincroniza en eDirectory con otros tipos de contraseñas del repositorio seguro de identidades. La función Sincronización de contraseñas incluye las siguientes opciones:

      1. Eliminar la contraseña de NDS al definir la contraseña: si esta opción está seleccionada, la contraseña de NDS se inhabilita al definir la contraseña universal. Los usuarios no podrán usar métodos o utilidades anteriores que entren a la sesión con la contraseña de DNS en lugar de comunicarse con NMAS. Si se establece esta opción, la siguiente opción Sincronizar la contraseña de NDS al definir la contraseña se inhabilitará por defecto.

      2. Sincronizar la contraseña de NDS al definir la contraseña: si selecciona esta opción, al definir la contraseña universal en aplicaciones como Identity Console, también se cambia la contraseña de NDS.

      3. Sincronizar la contraseña simple al definir la contraseña: esta opción proporciona compatibilidad con NetIQ y clientes de terceros que utilizan la contraseña simple y la provisión de usuarios.

      4. Sincronizar la contraseña de distribución al definir la contraseña: esta opción determina si el motor de metadirectorio puede recuperar o definir la contraseña universal de un usuario en eDirectory.

    4. Recuperación de la contraseña universal: Están disponibles las siguientes opciones:

      1. Permitir al usuario recuperar la contraseña: permite al agente de usuario recuperar la contraseña. Esta opción determina si la función Autoservicio de contraseña olvidada puede recuperar una contraseña en nombre de un usuario, con el fin de que se le pueda enviar por correo electrónico. Si no selecciona esta opción, la función correspondiente aparece atenuada en la pestaña Contraseña olvidada de la directiva de contraseñas.

      2. Permitir que el administrador recupere contraseñas: marque esta casilla si tiene un servicio específico que necesita esta opción. Identity Manager no necesita que los administradores recuperen contraseñas. Sin embargo, algunos servicios de terceros pueden aprovechar esta opción.

      3. Permitir lo siguiente para recuperar contraseñas: seleccione el usuario adecuado que debe recuperar la contraseña. Para ello, haga clic en el icono .

    5. Autenticación:

      1. Verificar si las contraseñas existentes cumplen la directiva de contraseñas (la verificación se produce al entrar a la sesión): esta opción es útil si va a instalar una directiva de contraseñas nueva o a cambiar las reglas avanzadas para las contraseñas de una directiva existente y desea confirmar que las contraseñas existentes cumplen las reglas nuevas o modificadas.

        Si selecciona esta opción, cuando los usuarios entren a la sesión, se analizarán las contraseñas existentes para asegurarse de que cumplan las reglas avanzadas para contraseñas de la directiva de contraseñas nueva o modificada. Si alguna contraseña no las cumple, el usuario debe cambiarla.

        Una vez que haya terminado, haga clic en Siguiente.

  6. La función Reglas avanzadas para contraseñas le ayudan a proteger el entorno al ofrecerle control sobre la información de contraseñas como, por ejemplo, la duración de una contraseña, su frecuencia de cambio y su contenido.

    Los caracteres especiales son los caracteres que no son numéricos (0-9) ni alfabéticos.

    Realice las siguientes acciones en la página Reglas avanzadas para contraseñas:

    1. Puede gestionar los ajustes de sintaxis de contraseña mediante la sintaxis de la directiva de complejidad de Microsoft (anterior a Microsoft Windows Server 2008), la directiva de contraseñas de Microsoft Server 2008 o la sintaxis de Novell.

    2. Especifique las opciones necesarias para Cambiar contraseña, Duración de la contraseña, Longitud y composición de la contraseña y Exclusiones de contraseñas en el asistente y haga clic en Siguiente.

  7. Puede reducir el coste del servicio de asistencia técnica habilitando el autoservicio de Contraseña olvidadapara los usuarios que no recuerden su contraseña. Estas funciones de autoservicio están disponibles para los usuarios a través del portal de Identity Console. Realice las siguientes acciones en la página Contraseña olvidada:

    NOTA:Si habilita Contraseña olvidada, también debe especificar si se requiere un conjunto de preguntas desafío para ayudar al usuario a entrar a la sesión.

    1. Conjuntos de preguntas desafío: si utiliza la opción Conjuntos de preguntas desafío, los usuarios no podrán utilizar el autoservicio de Contraseña olvidada hasta que respondan a las preguntas del conjunto de preguntas desafío. Para asegurarse de que se solicita a los usuarios que introduzcan esta información a través del portal de Identity Console, seleccione la opción Requerir grupo de preguntas desafío.

    2. Acción: las opciones disponibles de esta pestaña permiten al usuario restablecer la contraseña mediante conjuntos de preguntas desafío y la contraseña universal, habilitar el envío de la contraseña actual o la sugerencia de contraseña por correo electrónico y visualizar la opción de sugerencia de contraseña.

    3. Autenticar: seleccione Forzar al usuario a configurar preguntas de seguridad o sugerencias sobre la autenticación para garantizar que a los usuarios se les solicite que especifiquen los conjuntos de preguntas desafío o la sugerencia de contraseña.

      Una vez que haya terminado, haga clic en Siguiente.

  8. Una directiva no es efectiva hasta que se asigna a uno o varios objetos. Para simplificar la administración, es recomendable que asigne directivas en la parte más elevada posible del árbol. Se puede asignar una directiva de contraseñas a los siguientes objetos:

    1. Objeto Directiva de entrada: es recomendable crear una directiva de contraseñas por defecto para todos los usuarios del árbol y asignarla al objeto Directiva de entrada que se encuentra en el contenedor Seguridad.

    2. Un contenedor que es una raíz de partición: si asigna una directiva a un contenedor que es la raíz de una partición, todos los usuarios de esa partición, incluidos los usuarios de subcontenedores, heredarán la asignación de directiva.

    3. Un contenedor que no es una raíz de partición: si asigna una directiva a un contenedor que no es la raíz de una partición, solo los usuarios incluidos en ese contenedor específico heredarán la asignación de directiva. Los usuarios incluidos en subcontenedores no heredará la directiva.

      Para aplicar la directiva a todos los usuarios de un contenedor que no sea una raíz de partición, asigne la directiva a cada subcontenedor individualmente.

    4. Un usuario: puede asignar una directiva a uno o varios usuarios.

      Para asignar una directiva, haga clic en el icono . A continuación, busque y seleccione el objeto adecuado para asignar una directiva de contraseñas.

      En caso de que desee eliminar una asociación de directiva, seleccione la directiva en la lista y haga clic en el icono .

  9. Compruebe los detalles en la página Resumen y haga clic en Crear.

  10. Aparece un mensaje de confirmación que indica que la directiva de contraseñas se ha creado correctamente.

Figura 18-10 Creación de una directiva de contraseñas con parámetros personalizados

18.2.3 Modificación de una directiva de contraseñas

Para modificar una directiva de contraseñas existente, realice los siguientes pasos:

  1. Haga clic en las opciones Gestión de autenticación > Directivas de contraseñas de la página de destino de Identity Console.

  2. Seleccione la directiva de contraseñas adecuada en la lista y haga clic en el icono .

  3. Realice los cambios necesarios en la página Modificar directiva de contraseña y haga clic en Guardar.

Figura 18-11 Modificación de una directiva de contraseñas

18.2.4 Supresión de directivas de contraseña

Para suprimir directivas de contraseña, realice los siguientes pasos:

  1. Haga clic en las opciones Gestión de autenticación > Directivas de contraseñas de la página de destino de Identity Console.

  2. Seleccione las directivas de contraseñas adecuadas en la lista y haga clic en el icono .

  3. En la siguiente pantalla de advertencia, haga clic en Aceptar.

  4. Aparece un mensaje de confirmación que indica que se han suprimido las directivas de contraseñas.

Figura 18-12 Supresión de directivas de contraseñas