
Citrix Self-Service Password Reset – Autoservicio de restablecimiento de contraseñas y desbloqueo de cuentas
En la recién sacada versión 7.11 de Citrix XenApp y XenDesktop y únicamente para los usuarios Platinum, tenemos una gran novedad! Podremos descargar en nuestros queridos usuarios su gestión de cuentas, no generando incidencias del tipo que no recuerden sus contraseñas o se les haya bloqueado su cuenta de usuario.
Self Service Password Reset nos permitirá:
- Cada usuario, se registrará en SSPR mediante una serie de preguntas que deberá responder. Dichas preguntas obviamente las configuraremos previamente los administradores.
- En caso de necesidad, un usuario podrá desde el StoreFront o desde el Receiver forzar el reseteo de su contraseña en caso de haberla olvidado o incluso la activación de su cuenta de usuario si es que estuviese bloqueada. Todo ello gracias a una serie de preguntas de seguridad que sólo él conocería.
- Todo ello sin necesidad de generar una incidencia en nuestro departamento de soporte, por fin el usuario podría ser autónomo.
Self-Service Password Reset (SSPR) ha sido rediseñado y adaptado para funcionar con la nueva arquitectura FlexCast Management Architecture (FMA). Soportado bajo Windows Server 2016, Windows 2012 R2 y 2008 R2, necesitaremos instalarlo en un servidor dedicado. Necesario tener StoreFront 3.5 y el servidor de licencias al menos en la versión 11.13.1. También será necesario un share SMB, donde guardaremos el almacén de SSPR; a considerar que cada usuario ocupará 30Kb de espacio, este DataStore, será donde se almacenan las respuestas a las preguntas de los usuarios, securizado mediante NTFS o esquema del AD.
Tras la instalación, dispondremos de una consola de administración, con la que administraremos y configuraremos el servicio SSPR, éste se comunica con StoreFront y los Virtual Delivery Agent. Los VDA permiten la comunicación para registrar y validar las preguntas/respuestas de los usuarios con el SSPR Service.
Receivers soportados: Windows, Linux y web. No soportados: Mac, Chrome, Receivers para dispositivos móviles (iOS, Android o web).
Por ahora, no estaría soportado el uso externo mediante Citrix NetScaler Gateway, por lo que sería uso exclusivo interno!
Instalación,
Sobre el autorun del CD de Citrix XenDesktop 7.11, pulsamos en “Autoservicio de restablecimiento de contraseñas”,
Aceptamos los términos del contrato, los leemos previamente & “Siguiente”,
Cambiamos el path si nos interesase de los componentes, y pulsamos en “Siguiente”,
Confirmamos que abrimos el 443tcp en el firewall de Windows, “Siguiente”,
Comprobamos el resumen y si es correcto, simplemente pulsamos en “Instalar” y esperamos a que finalice.
… esperamos unos minutos mientras acaba la instalación…
Nos pedirá un reinicio para continuar con el resto de componentes.
… seguimos esperando 😉 …
Bien, listo, pulsamos en “Finalizar” y arrancamos!
Necesitaremos un certificado SSL válido, valdrá con crearlo desde nuestra propia CA. Lo instalaremos tras la instalación del servicio ya que nos habrá instalado el rol de IIS.
Crearemos opcionalmente un usuario en nuestro Directorio Activo que será la cuenta de Proxy de Datos, será la cuenta que use SSPR para acceder al almacén de ficheros.
Además, como comentaba, necesitamos un recurso compartido que será usado como central store. Deberemos asegurarnos de cifrar el contenido marcando la opción en la carpeta. Deberemos añadir con permisos full las cuentas de Administradores locales y admins de dominio, además de la Cuenta de usuario de proxy de datos & el Servicio de Red deberá tener permisos de lectura.
Lo primero será abrir la consola de administración de Self-Service Password Reset, pulsamos en “Configuración de servicio”.
Pulsamos en “Nueva configuración del servicio”,
Este asistente nos guiará para configurar la ubicación del almacén central, además de indicar los dominios válidos para SSPR, “Siguiente”,
Indicamos la ruta UNC del almacén central, “Siguiente”,
Seleccionamos los dominios para los cuales podremos habilitar SSPR, pulsamos en “Propiedades”,
Debemos introducir las cuentas de usuario que utilizaremos tanto para la cuenta de proxy de datos como para el autoservicio. La primera deberá tener todos los permisos sobre el share, y la segunda la posibilidad de desbloquear cuentas en el AD, así como contraseñas.
Si todo es correcto, acabamos el asistente pulsando “Finalizar”.
En el menú izquierdo, pulsamos en “Configuración de usuario”, debemos crear una “Nueva configuración de usuario”,
Podremos filtrar los usuarios que queremos que utilicen este servicio, podremos filtrar bien introduciendo una ruta LDAP y/o mediante grupos del Directorio Activo. “Siguiente”,
Indicamos el nombre del servidor de licencias de nuestra infraestructura Citrix XenApp o XenDesktop, “Siguiente”,
Y seleccionamos las opciones que queremos, si queremos que los usuarios se puedan restablecer su contraseña y/o su cuenta de usuario en el caso que este bloqueada. Deberemos introducir la URL del servicio en el formato: https://SERVIDOR_SSPR/MPMService/ y pulsamos en “Crear”.
Bien, por último, en el menú “Verificación de la identidad” será donde podremos “Administrar preguntas” para los usuarios.
Seleccionaremos primeramente el idioma de las preguntas, y si queremos que mientras escriben las respuestas se vea su respuesta o no (y tengan que introducirla dos veces para verificar). “Siguiente”,
Aquí será donde podamos agregar, quitar o modificar las preguntas que queremos que respondan los usuarios. “Siguiente”,
Y por último, donde asignaremos las preguntas al grupo de idiomas! “Finalizar”,
Por último, deberemos habilitar en nuestros StoreFront SSPR, para ello, en “Almacenes”, sobre nuestro Store “Administrar métodos de autenticación”.
Sobre “Nombre de usuario y contraseña” > “Configurar autoservicio de cuentas”,
En Autoservicio de cuentas deberemos seleccionar “Citrix SSPR”, pulsamos en “Configurar…”
Y habilitamos las opciones que nos interesen, además indicamos la URL del servicio en formato https://SERVIDOR_SSPR/MPMService
Veremos ya al iniciar sesión en el StoreFront que tenemos la posibilidad de usar el autoservicio, pero, primeramente nos loguearemos como un usuario para generar las respuestas a las preguntas y poder utilizar el servicio cuando lo necesitemos.
Tras iniciar sesión en StoreFront, veremos un nuevo icono llamado “Tareas”, desde ahí podremos llegar a “Administrar preguntas de seguridad”, lo ejecutamos.
Y por seguridad nos pedirá validarnos una primera vez,
Deberemos responder a las preguntas que hemos establecido…
Y ya siempre que necesitemos, podremos si necesitamos Desbloquear la cuenta o Restablecer la contraseña
Por ejemplo, para resetear una cuenta, nos pedirá nuestro nombre de usuario, pulsamos en “Siguiente”,
Nos hará las preguntas que ya respondimos en su día, las contestamos…
Y listo! cuenta recuperada! Con esto fácilmente podremos bajar aproximadamente el 20% de las incidencias de nuestros usuarios, ya que gran parte de éstas son debidas a olvidos o errores de este tipo!