HP Integrated Lights-Out 2 Manual del usuario
Página 55
Uso de la autenticación basada en dos factores junto con la autenticación de directorio
En algunos casos, la configuración de la autenticación basada en dos factores junto con la
autenticación de directorio es complicada. iLO 2 puede utilizar el esquema extendido de HP o el
esquema del directorio predeterminado para integrar los servicios de directorio. Para garantizar
la seguridad, cuando se exige la autenticación basada en dos factores, iLO 2 utiliza un atributo
del certificado de cliente como nombre de inicio de sesión del usuario de directorio. El atributo
de certificado de cliente que utiliza iLO 2 viene determinado por la configuración de los valores
de Certificate Owner Field (Campo de propietario del certificado) en la página Two-Factor
Authentication Settings (Configuración de la autenticación basada dos factores). Si el valor de
Certificate Owner Field (Campo de propietario del certificado) es SAN, iLO 2 obtiene el nombre
de inicio de sesión del usuario de directorio a partir del atributo UPN del SAN. Si el valor es
Subject (Sujeto), iLO 2 obtiene el nombre completo de usuario de directorio a partir del sujeto del
certificado.
La elección del valor de Certificate Owner Field (Campo de propietario del certificado) depende
del método de integración de directorios que se utilice, de la arquitectura de directorios y de la
información que se incluya en los certificados de usuario emitidos. Los siguientes ejemplos suponen
que se dispone de los permisos necesarios.
Autenticación mediante Default Directory Schema (Esquema de directorio predeterminado), parte
1: El nombre completo de un usuario en un directorio es CN=John
Doe,OU=IT,DC=MyCompany,DC=com
, y los atributos del certificado de John Doe son los
siguientes:
•
Sujeto: DC=com/DC=MyCompany/OU=IT/CN=John Doe
•
SAN/UPN: [email protected]
La autenticación en iLO 2 con username:[email protected] y la contraseña funcionará
si no se exige la autenticación basada en dos factores. Tras activar la autenticación basada en
dos factores, si se ha seleccionado SAN en la página Two-Factor Authentication Settings
(Configuración de la autenticación basada en dos factores), la página de inicio de sesión rellenará
automáticamente el campo Directory User (Usuario de directorio) con [email protected].
Se puede introducir la contraseña, pero el usuario no será autenticado. El usuario no es autenticado
porque [email protected], que se obtuvo del certificado, no es el nombre completo
del usuario en el directorio. En este caso, deberá seleccionar Subject (Sujeto) en la página
Two-Factor Authentication Settings (Configuración de la autenticación basada en dos factores).
Seguidamente, el campo Directory User (Usuario de directorio) en la página de inicio de sesión
se llenará con el nombre completo real del usuario:
CN=John Doe,OU=IT,DC=MyCompany,DC=com
Si se introduce la contraseña correcta, el usuario se autenticará.
Autenticación mediante Default Directory Schema (Esquema de directorio predeterminado), parte
2: El nombre completo de un usuario en el directorio es
[email protected],OU=IT,DC=MyCompany,DC=com
y los atributos del certificado
de John Doe son los siguientes:
•
Sujeto: DC=com/DC=MyCompany/OU=Employees/CN=John Doe/
•
SAN/UPN: [email protected]
•
La búsqueda de contexto en la página de Directory Settings (Valores de configuración de
directorio) está ajustada a: OU=IT,DC=MyCompany,DC=com
En este ejemplo, si se ha seleccionado SAN en la página Two-Factor Authentication Settings
(Configuración de la autenticación basada en dos factores), en la página de inicio de sesión se
rellenará automáticamente el campo Directory User (Usuario de directorio) con
[email protected]
. Tras introducir la contraseña correcta, el usuario se autenticará.
El usuario será autenticado incluso en el caso de que [email protected] no sea el
Seguridad
55