Configurar la característica Cambiar contraseña

  • Artículo

Publicada: noviembre de 2009

Se aplica a: Forefront Threat Management Gateway (TMG)

Configurar la característica Cambiar contraseña

La característica Cambiar contraseña se admite cuando los clientes facilitan credenciales mediante la utilización de autenticación basada en formularios e Forefront TMG autentica clientes utilizando uno de los métodos siguientes:

  • Autenticación con validación de las credenciales del cliente mediante Active Directory en un controlador de dominio.

  • Autenticación con validación de credenciales de cliente mediante un servidor LDAP.

Tenga en cuenta que tanto Active Directory como un servidor LDAP utilizan el protocolo LDAP para la comunicación. Antes de configurar esta característica, compruebe lo siguiente:

  • La conexión al servidor LDAP o Active Directory del controlador de dominio debe efectuarse a través de LDAP seguro (LDAPS). Para utilizar una conexión LDAP segura, es necesario que se encuentre instalado en el controlador de dominio un certificado de servidor. El nombre común del certificado debe coincidir con el nombre de dominio completo (FQDN) que especifica para el servidor de autenticación.

  • El equipo de Forefront TMG debe tener el certificado raíz de la entidad de certificación (CA) que emite el certificado de servidor en el almacén de entidades de certificación raíz de confianza para el equipo local.

  • Si utiliza autenticación LDAP, debe crear un servidor LDAP que contenga los servidores LDAP que se utilizarán para autenticar usuarios. Configure los siguientes ajustes para el conjunto de servidores LDAP:

    • Habilite la conexión al servidor LDAP a través de una conexión segura.

    • Indique un FQDN para el nombre del servidor LDAP. Asegúrese de que el FQDN coincide con el nombre común especificado en el certificado de servidor instalado en el servidor LDAP (controlador de dominio).

    • Deshabilite la realización de consultas del catálogo global (GC).

    • Indique el dominio en el que pueden identificarse cuentas de usuario e indique los detalles de una cuenta que se utilizará para enlazar al servidor LDAP y para realizar consultas sobre las credenciales de los usuarios conectados.

    • Para enlazar al servidor de autenticación y comprobar el nombre de usuario y el estado de la contraseña es necesaria una cuenta. En el caso de autenticación de dominio, debe ser una cuenta con los privilegios necesarios para realizar modificaciones en Active Directory.

Para crear un conjunto de servidores LDAP

  1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.

  2. En la ficha Tareas, haga clic en Configurar servidor de autenticación.

  3. En la ficha Servidores LDAP, haga clic en Agregar para abrir el cuadro de diálogo Agregar conjunto de servidores LDAP.

  4. Indique un nombre para el conjunto de servidores LDAP.

  5. Haga clic en Agregar para agregar cada nombre de servidor LDAP, descripción y período de tiempo de espera. El período de tiempo de espera es el tiempo, en segundos, durante el que Forefront TMG intentará obtener respuestas desde un servidor LDAP antes de intentarlo con el siguiente servidor LDAP de la lista. Tenga en cuenta que es posible modificar el orden en el que se tiene acceso a los servidores utilizando las teclas FLECHA ARRIBA y FLECHA ABAJO.

  6. En Dominio, indique el nombre de dominio completo (FQDN) para Active Directory. Tenga en cuenta que éste es el dominio en el que se definen las cuentas de usuario y no el dominio al que Forefront TMG está unido.

  7. Seleccionar Utilizar catálogo global provoca que sea necesario consultar el catálogo global del servidor LDAP.

  8. Seleccione Conectar los servidores LDAP a través de una conexión segura si desea cifrar la comunicación LDAP (utilizar el protocolo LDAPS).

  9. Es posible indicar las credenciales utilizadas para conectar a Active Directory para la comprobación del estado de la cuenta de usuario y la modificación de contraseñas de cuenta. De esta forma dispondrá de funciones de administración de contraseñas, para la autenticación de formularios HTML.

  10. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar conjunto de servidores LDAP.

  11. En Expresión de inicio de sesión, haga clic en Nuevo para agregar una expresión de inicio de sesión. Una expresión de inicio de sesión permite asignar un conjunto de servidores LDAP a un grupo de usuarios concreto. Por ejemplo, es posible asignar un conjunto de servidores LDAP a los usuarios FABRIKAM\*, y otro conjunto de servidores LDAP a los usuarios CONTOSO\*. Forefront TMG intenta coincidir con las expresiones de inicio de sesión en el orden mostrado. Es posible cambiar el orden utilizando las teclas FLECHA ARRIBA y FLECHA ABAJO.

  12. Haga clic en Cerrar.

  13. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.

Nota

  • Para obtener información acerca de la autenticación en el Forefront TMG, vea Información general de autenticación en Forefront TMG.

  • Al configurar Forefront TMG para autenticación LDAP, la configuración de los servidores LDAP se aplica a todas las reglas u objetos de red que usan la autenticación LDAP.

Configuración de escucha de web para cambio de contraseña

Para la escucha de web asociada con una regla de publicación Outlook Web Access que utilice autenticación basada en formularios, utilice el siguiente procedimiento para permitir a los usuarios cambiar su contraseña.

Para configurar una escucha de web para cambio de contraseña

  1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.

  2. En el panel de detalles, haga clic en la regla de publicación Outlook Web Access correspondiente.

  3. En la ficha Tareas, haga clic en Editar regla seleccionada.

  4. En la ficha Escucha, haga clic en Propiedades. O, si lo desea, puede seleccionar primero una escucha de web diferente en la lista desplegable, o hacer clic en Nuevo para crear una escucha de web nueva para esta regla.

  5. En la ficha Autenticación, compruebe que está seleccionado Autenticación de formularios HTML.

  6. En la ficha Formularios, realice una de las acciones siguientes.

    1. Seleccione Usar formularios HTML personalizados en lugar del predeterminado.

    2. En Escriba el directorio del conjunto de formularios HTML personalizados, escriba únicamente el nombre del directorio, como por ejemplo MisFormularios, en lugar de la ruta completa.

    3. En la lista desplegable Mostrar el formulario HTML en este idioma, seleccione el idioma que desee. Por ejemplo, para asegurarse de que se muestran los formularios sólo en inglés, seleccione English [en].

    4. Seleccione Permitir a los usuarios cambiar sus contraseñas.

    5. Seleccione Recordar a los usuarios que su contraseña expirará en este número de días: y, a continuación, seleccione el número de días pertinente.

  7. Haga clic en Aceptar y, a continuación, en Aceptar de nuevo para cerrar los cuadros de diálogo.

  8. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.

Tras configurar correctamente la escucha de web para la regla de publicación Outlook Web Access, se avisará a los usuarios conectados mediante la autenticación basada en formularios si su contraseña está a punto de expirar, y tendrán la posibilidad de cambiar su contraseña antes y después de que caduque.

Temas relacionados

Conceptos

Configurar la publicación de Outlook Web Access