Preparación del servidor para usarlo como autenticación de usuarios

Si usa la autenticación de Windows o LDAP por primera vez, compruebe que el entorno del servidor se ajusta a los requisitos para autenticar usuarios y configure los ajustes que sean necesarios.

Para usar la autenticación de Windows

Prepare el servidor de esta forma:

Compruebe los requisitos de la autenticación de Windows.
Instale el servidor web (ISS) y el servicio de certificado de Active Directory en el servidor.
Cree un certificado de servidor.
No tiene que crear un certificado de servidor para enviar información de usuario no cifrada.

Para usar la autenticación LDAP

Compruebe los requisitos de la autenticación LDAP y configure los ajustes en función del entorno del servidor.

Requisitos de la autenticación del servidor para autenticar usuarios

Autenticación Windows
Elementos	Explicación
SO utilizables	Windows Server 2008/2008 R2/2012/2012 R2/2016/2019 Para utilizar la autenticación Kerberos con Windows Server 2008, instale el Service Pack 2 o una versión posterior.
Método de autenticación	Compatible con estos métodos de autenticación: Autenticación NTLM (NTLMv1/NTLMv2) Autenticación Kerberos Para especificar la autenticación de Kerberos, el servidor que autentique usuarios debe ser compatible con la autenticación de Kerberos. Si el servidor no es compatible con ella, la autenticación NTLM se seleccionará de forma automática.
Requisitos de autenticación	Configure un controlador de dominio en el dominio que especifique. Para obtener la información de usuario al ejecutar Active Directory, use LDAP. Recomendamos que se cifre la comunicación entre la máquina y el servidor LDAP con SSL/TLS. El servidor debe ser compatible con el método de cifrado TLS1.0/1.1/1.2 o SSL 3.0. Registre el certificado del servidor del controlador del dominio de forma anticipada. Cómo crear un certificado de servidor TLS1.0/SSL 3.0 está deshabilitado en los ajustes predeterminados de fábrica. Para usar TLS1.0/SSL 3.0, especifique que TLS1.0/SSL 3.0 debe habilitarse en Web Image Monitor. La transmisión de datos entre la máquina y el servidor KDC (Key Distribution Center) debe cifrarse cuando se habilita la autenticación Kerberos. Cifrado de la comunicación de red

El servidor puede autenticar los usuarios gestionados en otros dominios, pero no puede obtener algunos datos, como la dirección de correo electrónico.
Si se habilita la autenticación de Kerberos, la dirección de correo electrónico no se puede obtener si se especifica SSL/TLS.
Al realizar la autenticación, la información del servidor puede sobrescribir la información de la libreta de direcciones de un usuario autenticado, como la dirección de correo electrónico, aunque usted la edite.
Si ha creado un usuario nuevo en el controlador de dominio y ha seleccionado "User must change password at next logon" en la configuración de contraseñas, inicie la sesión en el ordenador y cambie la contraseña.
Si se activa la cuenta de Invitado en el servidor de Windows, los usuarios no registrados en el controlador de dominios podrán ser autenticados. Cuando se habilita esta cuenta, los usuarios se registran en la libreta de direcciones y pueden utilizar las funciones disponibles en [*Grupo por defecto].

Autenticación LDAP
Elementos	Explicaciones
Versión utilizable	LDAP, versión 2.0/3.0
Método de autenticación	Autenticación Kerberos Autenticación de tipo Digest Autenticación de texto común Cuando selecciona la autenticación de texto común, se activa la autenticación LDAP simplificada. La autenticación simplificada no puede realizarse con un atributo de usuario (como por ejemplo: cn o uid) en lugar de DN.
Requisitos de autenticación	Para usar SSL/TLS, el servidor debe ser compatible con el método de cifrado TLS1.0/1.1/1.2 o SSL 3.0. TLS1.0/SSL 3.0 está deshabilitado en los ajustes predeterminados de fábrica. Para usar TLS1.0/SSL 3.0, especifique que TLS1.0/SSL 3.0 debe habilitarse en Web Image Monitor. Para usar la autenticación de Kerberos, registre el dominio para distinguir el área de red. Programación del realm La transmisión de datos entre la máquina y el servidor KDC (Key Distribution Center) debe cifrarse cuando se habilita la autenticación Kerberos. Cifrado de la comunicación de red Al usar LDAP, solo la versión 3.0 puede usar la autenticación de tipo Digest.

Notas cuando el servidor LDAP se configura con Active Directory

Cuando se habilita la autenticación de Kerberos con SSL/TLS, no se puede obtener la dirección de correo.
La autenticación anónima podría estar disponible. Para mejorar la seguridad, deshabilite la autenticación anónima.

Al realizar la autenticación, la información del servidor puede sobrescribir la información de la libreta de direcciones de un usuario autenticado, como la dirección de correo electrónico, aunque usted la edite.
Con la autenticación LDAP, no puede especificar límites de acceso para grupos registrados en el servidor.
Al usar la máquina por primera vez, el usuario puede usar "Funciones disponibles", especificado en [Gestión de autenticación de usuario].
Para especificar "Funciones disponibles" para cada usuario, registre el usuario con "Funciones disponibles" en la libreta de direcciones o especifique las funciones disponibles en el usuario registrado automáticamente en la libreta de direcciones.

Instalación del servidor web (IIS) y el servicio de certificado de Active Directory

Instale el servicio necesario en el servidor de Windows para obtener la información del usuario registrada en Active Directory de forma automática.

Windows Server 2012/2016

En el menú [Inicio], haga clic en [Administrador de servidores].

En el menú [Administrar], haga clic en [Agregar roles y características].

Haga clic en [Siguiente].

Seleccione [Instalación basada en características o en roles] y haga clic en [Siguiente].

Seleccione un servidor.

Seleccione las casillas de verificación [Active Directory Certificate Service] y [Web Server (IIS)] y haga clic en [Siguiente].

Si aparece un mensaje de confirmación, haga clic en [Agregar características].

Seleccione las características que quiera instalar y haga clic en [Siguiente].

Lea la información del contenido y haga clic en [Siguiente].

Compruebe que [autoridad de certificado] esté seleccionada en el área de servicios de rol de los servicios de certificados de Active Directory y haga clic en [Siguiente].

Lea la información del contenido y haga clic en [Siguiente].

Cuando use Windows Server 2016, vaya al paso 12 cuando haya leído la información del contenido.

Seleccione los servicios de función que quiera instalar en el servidor web (IIS) y haga clic en [Siguiente].

Haga clic en [Instalar].

Una vez finalizada la instalación, haga clic la notificación del administrador de servidores y, a continuación, haga clic en [Configure Active Directory Certificate Service on the destination server].

Haga clic en [Siguiente].

Marque [Autoridad de certificado] en el área de servicios de función y, a continuación, haga clic en [Siguiente].

Seleccione [CA empresarial] y haga clic en [Siguiente].

Seleccione [CA raíz] y haga clic en [Siguiente].

Seleccione [Create a new private key] (Crear una nueva clave privada) y haga clic en [Siguiente].

Seleccione un proveedor de servicios de cifrado, una longitud de clave y un algoritmo Hash para crear una nueva clave privada y haga clic en [Siguiente].

En "Common name for this CA:", introduzca el nombre de la entidad emisora de certificados y haga clic en [Siguiente].

Seleccione el período de validez y haga clic en [Siguiente].

No cambie "Certificate database location:" ni "Certificate database log location:" y haga clic en [Siguiente].

Haga clic en [Configurar].

Cuando aparezca el mensaje "Configuration succeeded" (Configuración correcta), haga clic en [Cerrar].

Windows Server 2008 R2

En el menú "Inicio", vaya a "Herramientas administrativas" e inicie el administrador del servidor.

Haga clic en [Roles] en la columna izquierda y haga clic en [Agregar roles] en el menú "Acción".

Haga clic en [Siguiente].

Seleccione las casillas de verificación "Web Server (IIS)" y "Active Directory Certificate Services" y haga clic en [Siguiente].

Si aparece un mensaje de confirmación, haga clic en [Agregar características].

Lea la información del contenido y haga clic en [Siguiente].

Marque "Autoridad de certificado" y, a continuación, haga clic en [Siguiente].

Seleccione "Enterprise" y haga clic en [Siguiente].

Seleccione "CA raíz" y haga clic en [Siguiente].

Seleccione "Create a new private key" y haga clic en [Siguiente].

Seleccione un proveedor de servicios de cifrado, una longitud de clave y un algoritmo Hash para crear una nueva privada y haga clic en [Siguiente].

En "Common name for this CA:", introduzca el nombre de la entidad emisora de certificados y haga clic en [Siguiente].

Seleccione el período de validez y haga clic en [Siguiente].

No cambie "Ubicación de la base de datos de certificados:" ni "Ubicación del registro de la base de datos de certificados:" y haga clic en [Siguiente].

Lea las notas y haga clic en [Siguiente].

Seleccione los servicios de función que quiera instalar y haga clic en [Siguiente].

Haga clic en [Instalar].

Comenzará la instalación de las funciones añadidas.

Cómo crear un certificado de servidor

Para cifrar la información del usuario, cree un certificado de servidor en Windows. Se utiliza Windows Server 2016 como ejemplo.

En el menú [Inicio] vaya a [All Applications] y haga clic en [Internet Information Service (IIS) Manager] de [Herramientas administrativas].

En la columna izquierda, haga clic en [Nombre del servidor] y, a continuación, haga doble clic en [Certificado de servidor].

En la columna derecha, haga clic en [Crear una solicitud de certificado...].

Introduzca toda la información y haga clic en [Siguiente].

En "Proveedor de servicios de cifrado:", seleccione un proveedor y haga clic en [Siguiente].

Haga clic en [...] y especifique un nombre de archivo para la solicitud de certificado.

Especifique una ubicación para guardar el archivo y haga clic en [Abrir].

Haga clic en [Finalizar].