ThinMan: integración de múltiples directorios LDAP

2020-02-26T15:34:50+01:0020 febrero 2020|

La autenticación centralizada es extremadamente importante en los entornos de TI actuales. Generalmente, esta es proporcionada por directorios habilitados para LDAP como Microsoft Active Directory Domain Services (ADDS). A menudo, las empresas mantienen infraestructuras LDAP muy complejas que pueden incluir diferentes dominios y subdominios. Esto puede deberse a varias razones. Cuando se trata de usar múltiples directorios LDAP para proporcionar servicios de autenticación y permisos a entornos de Thin Client, esto puede presentar un desafío.

A partir de la versión 7.9.1, ThinMan incluye una poderosa funcionalidad de integración de múltiples directorios LDAP para proporcionar opciones y flexibilidad de configuración para la autenticación centralizada en entornos de Thin Client. Echemos un vistazo a esta integración de múltiples directorios LDAP, por qué es necesaria y cómo se implementa en ThinMan.

¿Por qué pueden ser necesarios múltiples directorios LDAP?

Uno de los aspectos más importantes de cualquier entorno es la configuración de la identidad de los usuarios. La mayoría de las políticas y permisos de seguridad se basan en un tipo de fuente de identidad centralizada. Para la mayoría de los entornos empresariales de hoy en día, la administración de identidad es atendida por un directorio LDAP (Lightweight Directory Access Protocol), como los Servicios de dominio de Active Directory de Microsoft. LDAP proporciona servicios generales de autenticación para clientes que acceden a recursos. Esto también incluye entornos de Thin Client.

Debido a cualquier número de razones, las empresas pueden necesitar la flexibilidad para apuntar a más de un origen de directorio LDAP para obtener permisos o servicios de autenticación. Esto puede deberse a lo siguiente:

  • La organización es muy grande, con múltiples filiales y regiones geográficas que requieren el uso de múltiples entornos de dominio.
  • Es posible que haya habido una fusión reciente que requiera la coexistencia, al menos por un tiempo, de múltiples dominios con cuentas de usuario y otros recursos.
  • Otras situaciones como adquisiciones corporativas y otras reestructuraciones.
  • Una empresa puede realizar la gestión y administración de la infraestructura y servir como «resource forest» para otro dominio o dominios múltiples.

Las organizaciones que ejecutan múltiples directorios LDAP, por una razón u otra, a menudo necesitan la capacidad de hacer uso de todos los directorios para asignar permisos, o tal vez necesitan un subconjunto de varios directorios para servicios de autenticación dependiendo de cómo esté estructurado su negocio.

Como se mencionó anteriormente, proporcionar autenticación a varios recursos en entornos de Thin Client generalmente depende de poder apuntar a los servicios de directorio LDAP. Para las empresas que ejecutan varios directorios en su entorno empresarial, tener una solución que se limita a conectarse a un solo directorio LDAP puede ser muy limitado y crear desafíos adicionales.

La nueva funcionalidad de ThinMan es la capacidad de integración de múltiples directorios LDAP para proporcionar la flexibilidad necesaria en las configuraciones de múltiples dominios, a menudo muy complejas.

Integración de múltiples directorios LDAP en ThinMan

La nueva funcionalidad está disponible en las versiones de ThinMan 7.9.1 y superiores. Además, ThinMan Advanced (versiones 8.x) también añade los Feature Packs ADMIN+ y USER+ y mejora las características incluidas.

¿Dónde es posible en ThinMan aprovechar la integración LDAP múltiple?

  • Política de usuario: cuando se utiliza ThinMan Login, la autenticación de usuario se puede combinar con la aplicación de políticas de uso específicas del dispositivo al que estás accediendo, a través de la definición de perfiles de usuario. Esto incluye la posibilidad de usar/solicitar los métodos de acceso de Smart Identity (con smart card o con autenticación de dos factores). Al definir los criterios que se aplicarán para los diferentes tipos de usuarios (recursos a los que se debe acceder, configuración del entorno, etc.), es posible elegir qué usuarios o grupos aplicarlos también buscandolos entre los diferentes directorios/dominios LDAP en los que los usuarios/grupos residen.
  • Administración de ThinMan: es posible elegir qué roles asignar a los usuarios y/o grupos de usuarios en la Lista de control de acceso (ACL) para la administración de ThinMan, pudiendo conectar usuarios registrados con LDAP y elegir usuarios y grupos de diferentes dominios.

Configurar la integración multi-LDAP en ThinMan Server

La configuración de múltiples directorios LDAP se puede hacer con unos pocos clics. En  General Options Settings > LDAP Servers puedes definir los servidores LDAP utilizados por los servicios Profile Manager, ThinMan Login e Smart Identity.

Como puedes ver a continuación, tienes la posibilidad de definir la «lista» de servidores y directorios LDAP que se utilizarán para la autenticación. Los dominios también se pueden agregar pero no habilitar. El indicador debe establecerse al agregar el dominio para su uso en la autenticación.

Configuración de múltiples servidores LDAP en ThinMan

Configuración de LDAP múltiple en Policy Properties

Para las aplicaciones y las políticas de dispositivos hay una nueva sección incluida en el menu Settings de autenticación que le permite configurar los servicios de dominio LDAP utilizados para fines de autenticación y está disponible cuando se utilizan las funciones de inicio de sesión ThinMan y/o Smart Identity.

Cuando se seleccionan varios dominios, el usuario puede elegir el dominio para la autenticación desde el menú.

Elección de dominios en la configuración de políticas de ThinMan

Filtros de usuario

También es posible definir qué usuarios tienen ThinMan Login y Smart Identity habilitados a nivel de usuario individual o mediante grupos. Si no hay filtros, los servicios están habilitados para todos los usuarios en el dominio. Además, como puedes ver a continuación, puedes filtrar usuarios en varios dominios en el mismo cuadro de diálogo User Filter.

Filtro ThinMan Login y Smart Identity basado en usuario o grupo

Rendimiento en configuración multi-LDAP

Al consultar el LDAP para obtener autorizaciones de seguridad en empresas con entornos LDAP muy grandes (con decenas de miles de usuarios, dispositivos, etc.), el rendimiento es muy importante. La búsqueda de texto para la integración multi-LDAP de ThinMan se ha optimizado para un mayor rendimiento al reducir la cantidad de los objetos renderizados.

Si el número de los objetos es superior a 1000, se invita al usuario a usar el campo de búsqueda de texto para filtrar aún más la consulta de búsqueda. De esta manera, se mejora el rendimiento de las consultas LDAP mientras se devuelven objetos de manera efectiva.

Conclusiones

Trabajar con múltiples dominios puede ser un problema complejo y las soluciones a menudo podrían permitir la integración de una sola fuente de identidad. Praim ThinMan te permite integrar múltiples fuentes LDAP y potencialmente autenticar a todos los usuarios de estas múltiples fuentes.

Mediante la integración multi-LDAP con ThinMan, es posible administrar de manera efectiva el acceso diferenciado y la autenticación de usuarios y grupos a través de las funciones: ThinMan Login, Smart Identity y User policy. Las diversas características pueden combinarse entre sí y asociarse de manera flexible con usuarios/grupos que pueden filtrarse por dominio, limitando la autenticación o ciertos recursos solo a aquellos que desea autenticar.