Password Manager es un producto de Citrix que permite a los usuarios tener totalmente automatizado el sistema de contraseñas, también conocido por el nombre de single sign-on de Citrix. Podemos permitir:

– Logon automático: En equipos locales o remotos, en páginas webs o en cualquier tipo de aplicación que necesiten de unos credenciales, ya sean a aplicaciones medida. Todo aquello que solicite contraseña, el usuario la almacena mediante Citrix Password Manager y nunca más se le pedirá por una contraseña, automáticamente se introduciran los credenciales.
– Cambio transparente de contraseñas: Esto es, cuando una aplicación requiera que el usuario cambie su contraseña (x ejemplo por que le caduca) Citrix Password Manager le puede generar automáticamente una contraseña compleja que el usuario no tiene ni por qué saberla y se almacenará automáticamente en Password Manager para que posteriormente sea usada.
– Account Self-Service: Los usuarios pueden debloquear sus cuentas de usuarios que tengan bloqueadas o cambiar sus contraseñas de una forma fácil, todo ello mediante una seguridad extra que puede ser la de ciertas preguntas de seguridad.
– Hot Desktop o Escritorio Activo: que permite iniciar/finalizar sesión en segundos y eliminar las cuentas de inicio de sesión genéricas de usuarios en entornos de estaciones de trabajo compartidas

Instalación del servidor Citrix Password Manager – AKI
Configuración del servidor Citrix Password Manager – AKI
Instalación y configuración del cliente de Citrix Password Manager (Agente) – AKI

Bien, debemos instalar y configurar el servidor de Citrix Password Manager en un servidor para almacenar los passwords de los usuarios y distribuiremos un agente o cliente de Citrix Password Manager en los PC’s de los usuarios o en los servidores Citrix Presentation Server, vamos donde los usuarios ejecuten sus aplicaciones y queramos que se guarden sus contraseñas.

Instalación del servidor Citrix Password Manager,

Bien, lo primero de todo necesitamos instalar en un servidor el almacén central, que será donde se guarde toda la información de los usuarios. Este almacén puede guardarse en el Directorio Activo, en un recurso NTFS o una carpeta compartida Novell, en este ejemplo la almacenaremos en el DA, así que previamente, deberemos extender el esquema de AD. Posteriormente, cuando ya tengamos un almacén creado habrá que instalar el servicio de Password Manager y su consola de administración Citrix Password Manager Console.

Se necesitará un servidor de licencias, yo no lo instalaré en este documento ya que es un servidor de licencias normal en entornos Citrix, habría que bajarse el .lic correspondiente y cargarlo en el servidor de licencias.

Bien, comenzamos con la instalación, lo primero de todo es crearse el almacén central para guardar la información de las contraseñas de los usuarios, introducimos el CD2 de Citrix Presentation Server 4.5 y seleccionamos “Paso 2: Cree su almacén central.”

Seleccionamos el tipo de almacén que queremos crear, dónde almacenaremos seguras las contraseñas de los usuarios, en mi caso opto por “Cree su almacén central en el dominio Active Directory”, pero para crear el almacén en el dominio tenemos que realizar estos pasos en un controlador de dominio, ya que primero hay que extender el esquema desde él y posteriormente hay que instalar el almacén en un controlador de dominio.

Así que antes de que creemos el almacén debemos extender el esquema del Directorio Activo, así que pinchamos en “Paso 1: Extienda el esquema del Active Directory para los nuevos objetos del directorio”,

Confirmamos que hay un maestro de esquema en nuestro AD, este servidor es un controlador de dominio, y el usuario con el que estamos haciendo la instalación es un administrador de esquema. Si todo es así pulsamos en “Sí”,

Bien, se ejecuta el script de preparación del esquema (“ctxschemaprep.exe”) y esperamos a que finalice, después pulsamos cualquier tecla,

Una vez extendido el esquema, desde el mismo controlador de dominio crearemos el almacén para almacenar los passwords, seleccionamos “Paso 2: Cree su almacén central en el esquema extendido”,

Debemos confirmar que este servidor es un controlador de dominio y que el usuario actual es un usuario perteneciente al grupo administradores de dominio, “Sí”,

Esperamos mientras se crea el contenedor del almacén central… pulsamos una tecla una vez que finalice correctamente,

Bien, una vez creado el almacén central ahora debemos instalar el servicio de Citrix Password Manager y después, la consola de administración. Así que en el menú de instalación seleccionamos “Paso 3: Instale los componentes administrativos”,

Bien, seleccionamos “Paso 2: Instale Password Manager Service” para instalar lo que es el servicio, el que ejecutará Password Manager, esto será en el servidor que nos interese que corra su servicio, no tiene por qué ser ya un controlador de dominio, cualquier servidor para tal función.

Comienza el asistente, “Siguiente” para empezar,

Aceptamos la licencia “Acepto el contrato de licencia” & “Siguiente”,

Seleccionamos qué queremos instalar, Administración de claves (para que los usuarios se autentiquen rápidamente, sin tener que responder preguntas de seguridad o sin indicar su contraseña anterior), Integridad de datos (es el mecanismo de protección que utiliza el agente para evitar que se manipulen los datos de configuración guardados en el almacén central), Aprovisionamiento (permite agregar, eliminar o actualizar las credenciales de los usuarios desde la consola), Autoservicio (permite a los usuarios el restablecimiento de contraseñas y el desbloqueo de cuentas fácilmente, así no nos llaman!), Sincronización de credenciales (Acción que realiza el agente/cliente para garantizar que las credenciales y parámetros de administración almacenados localmente/en el PC coinciden con las del almacén central) e Idiomas (Simplemente, para que las preguntas se las haga al usuario en el idioma que tenga en su PC, serían: español, inglés, francés, alemán y japonés),

Seleccionamos los componentes que nos interese, los marcamos y “Siguiente”,

Ok, preparados para instalar el agente, pulsamos en “Instalar” para comenzar ya con la instalación,

… esperamos mientras instala…

OK, perfecto, ya tenemos Citrix Password Manager Service instalado, “Finalizar”,

Ahora lo que debemos instalar es la consola de administración, una Access Console, seleccionamos “Paso 3: Instale Password Manager Console”,

“Siguiente” para comenzar con la instalación de la consola,

Aceptamos la licencia marcando “Acepto el contrato de licencia” & “Siguiente”,

Seleccionamos qué componentes queremos instalar, en principio todos (Consola, Herramientas de definición de aplicaciones, Administración del servidor de licencias y Access Management Console – Diagnósticos), “Siguiente”,

… esperamos mientras se instala la consola…

Ok, consola instalada, “Finalizar”,

Ahora lo que queda es instalar un certificado de servidor en el servidor que tenga Password Manager Service, ya que se debe cifrar la conexión entre este, el almacén y los agentes. Y firmaremos el almacén central con él. Así que ya que tengo una entidad emisora de certificados, solicitaré un certificado para firmar mi almacén, nos conectamos a la CA y pedimos un certificado desde “Solicitar un certificado”.

Seleccionamos “solicitud avanzada de certificado”,

Seleccionamos “Crear y enviar una solicitid a esta CA”,

Seleccionamos la plantilla de certificado como “Servidor Web”, rellenamos el resto de campos, y lo enviamos a la entidad emisora de certificados para generar este certificado. “Enviar”,

Decimos que “Sí” para generar el nuevo certificado,

Y nos lo instalamos en el servidor que tenga el Citrix Password Manager Service, pulsamos en “Instalar este certificado”,

“Sí” para instalarlo,

Ok,

Lo que tenemos que hacer ahora es firmar el almacén central con este certificado, ejecutando el siguiente comando dentro del directorio “C:Archivos de programaCitrixMetaframe Password ManagerServiceSigningTool”:
CtxSignData.exe -s SERVDOR_PASSWORD_MANAGER_SERVICE/MPMService CERTIFICADO SERVIDOR_DC TIPO (AD/NTFS/Novell)

Configuración del servidor Citrix Password Manager,

Bien, una vez instalado el Password Manager Service, debemos configurarlo desde la consola “Access Management Console”,

Si es la primera vez que la abrimos tendremos que ejecutar el descubrimiento… lo ejecutamos, “Siguiente”,

Seleccionamos los productos que vamos a descubir y configurar, seran ambos, “Herramientas de configuración” y “Password Manager”, “Siguiente”,

Especificamos cual es nuestro almacén central, en este caso era de AD, así que marcamos “Active Directory” y seleccionamos “Cualquier controlador de dominio en el que se pueda escribir” & “Siguiente”,

Cómo hemos marcado la instalación del componente “Integridad de datos” (que eses el mecanismo de protección que utiliza el agente para evitar que se manipulen los datos de configuración guardados en el almacén central), así que debemos meter la ruta del servidor con el siguiente formato: https://SERVIDOR/MPMService y el puerto del servicio que por defecto será 443tcp. “Siguiente”,

Comprobamos que toda la información es correcta y “Siguiente”,

Esperamos que finalice el proceso del descubrimiento… y marcamos “Cerrar el asistente cuando el descubrimiento haya terminado con éxito”.

Lo que debemos hacer ahora es configurar PM, para ello, primero crearemos una configuración que aplicaremos a los usuarios que nos interese, yo crearé una que se aplique a todos los usuarios del dominio para que permita que el Agente/Cliente funcione correctamente. Así que sobre “Recursos Citrix” > “Password Manager” > “Configuraciones de usuario” y con botón derecho seleccionamos “Agregar configuración de usuario nueva”.

Desde esta consola podríamos configurar ciertas aplicaciones para los usuarios desde “Definiciones de aplicación” o crear directivas de seguridad a nivel de dominio de complejidad de contraseñas…

Le indicamos un nombre, como está será una configuración genérica para todos los usuarios y no tendrá nada en especial le llamaré ‘Configuración a Usuarios del dominio’ y agregaré al grupo de usuarios que quiero que pueda usar su Agente de Password Manager, así que desde “Agregar…” agregaré al grupo que me interese, en mi caso ‘Usuarios del dominio’. “Siguiente”,

Seleccionamos nuestra edición del producto, en mi caso es un “Password Manager Enterprise”, “Siguiente”,

Cuando querramos que se sincronicen las contraseñas de los agentes de los clientes con el almacén central, al ser un almacén de tipo Directorio Activo se conectará contra el servidor controlador de dominio que nos interese, podemos dejar “Cualquier controlador de dominio en que se pueda escribir” & “Siguiente”,

Podemos agregar si queremos grupos de aplicaciones para estos usuarios, en principio no agrego ningún tipo de aplicación y se podrá usar el agente en todas las aplicaciones. “Siguiente”,

Estás son las configuraciones que permitiremos que los usuarios puedan hacer con el Agente, podemos:
– Permitir que los usuarios revelen las contraseñas y Forzar la autenticación antes de revelar las contraseñas del usuario.
– Permitir que los usuarios pongan en pausa al Agente.
– Notificar al usuario cuando falle la sincronización del Agente.
– Detectar automátcamente las aplicaciones y pedirle al usuario que almacene las credenciales. IMPORTANTE
– Procesar automáticamente los formularios definidos cuando el agente los detecte.

“Siguiente”,

En cuanto a temas de licencia, debemmos definir cual es el servidor de licencias de Password Manager y el tipo de licenciamiento que tenemos contratado. “Siguiente”,

Estos son los métodos para proteger los datos de los credenciales, si queremos protegerlos, o si queremos que los usuarios puedan usar tarjetas inteligentes o certificados cómo método de autenticación y que Password Manager almacene está información, “Siguiente”,

Seleccionamos la opción que nos interese, para que cuando un usuario cambia su contraseña por la razón que sea, si queremos que para cambiar la contraseña introduzca la anterior o le haga las preguntas de seguridad. “Siguiente”,

Y cómo hemos instalado también la función de autoservicio, podemos elegir si los usuarios pueden cambiar sus contraseñas de Windows y si tienen la cuenta bloqueada si pueden desbloquearla. “Siguiente”,

Debemos meter la URL del servidor que tiene el módulo de administración de claves (era la función para que los usuarios se autentiquen rápidamente, sin tener que responder preguntas de seguridad o sin indicar su contraseña anterior), cómo lo he instalado en el mismo servidor que el resto de componentes meto la misma dirección en formato: https://SERVIDOR/MPMService en el puerto 443. “Siguiente”,

Igual que el módulo anterior, este el del aprovisionamiento (que permite agregar, eliminar o actualizar las credenciales de los usuarios desde la consola) introducimos la URL del servidor con el siguiente formato: https://SERVIDOR/MPMService en el puerto 443, “Siguiente”,

Comprobamos todo el resumen de la configuración y si estamos de acuerdo pulsamos en “Finalizar”. Damos por finalizada la parte de configuración básica de Password Manager, por supuesto que se pueden configurar muchos más parámetros, pero para un funcionamiento básico con esto nos vale.

Instalación y configuración del cliente de Citrix Password Manager (Agente),

Esta parte pertenece sólo a la parte cliente, esto es, donde los usuarios ejecutarán sus aplicaciones que les pidan contraseñas, pueden ser sus puestos con Windows XP o directamente servidores con Citrix Presentation Server y es ahí donde ejecutan las aplicaciones. Yo realizaré la instalación sobre un puesto de mi red basado en MS Windows XP Pro.

Así que metemos el CD de Citrix Password Manager e instalamos el cliente en un puesto, seleccionamos “Instalar el agente de Password Manager”, si no, desde la primera opción, podríamos crear un paquete para distribuirlo posteriormente con GPOs del Directorio Activo y evitar andar usuario x usuario.

Comenzamos la instalación, pulsamos en “Siguiente”,

Aceptamos la licencia, “Acepto el contrato de licencia” & “Siguiente”,

Seleccionamos las opciones del agente, lo que queremos que tenga el usuario instalado, en este caso instalaré todas para poder disfrutar de todas las ventajas, “Siguiente”,

Seleccionamos el tipo de almacén central que tenemos en la parte del servidor (en nuestro caso es ‘Microsoft Active Directory’), “Siguiente”,

Tenemos que meter la URL del servidor que ejecuta Citrix Password Manager Service con el formato: https://SERVIDOR/MPMService y el puerto predeterminado 443tcp. “Siguiente”,

Pulsamos en “Instalar” para comenzar la instalación…

… esperamos mientras se instala el agente…

Bien, pulsamos en “Finalizar” una vez instalado el agente,

Debemos reiniciar para que los cambios surgan efecto, así que pulsamos en “Sí quiero”.

Una vez reiniciado, vemos que cambia la pantalla de Logon y nos introduce un nuevo botón, el de “Autoservicio de la cuenta…” que nos permitirá que los usuarios fácilmente puedan cambiarse sus contraseñas de equipo y desbloquear la cuenta de usuario si la tienen bloqueada. En principio no muestro más de eso así que nos logueamos como un usuario y aceptamos.

Se nos abrirá de forma automática el agente de Citrix Password Manager… esperamos mientras se autentica…

Y por primera vez, debemos registrarnos en él como usuarios respondiendo las preguntas que nos haya puesto el administrador para cuando queramos desbloquear la cuenta o cambiar la contraseña vieja. Así que pulsamos en “Registrar…”

Comenzamos el asistente de registro de preguntas de seguridad para confirmar que somos nosotros cuando necesitemos alguna contraseña, “Siguiente”,

Respondemos a las preguntas que nos hacen, serían tantas cómo nos haya configurado el administrador y las preguntas que él nos haya puesto para el asistente. Vamos respondiéndolas y “Siguiente”,

Vamos respondiéndolas y “Siguiente”,

Pulsamos en “Siguiente” para enviar las respuestas al servidor de PM,

Bien, pulsamos en “Finalizar” para confirmar que se han guardado correctamente las respuestas de los usuarios.

“Finalizar”,

Y comprobaremos que se nos queda un icono en la barra de tareas, en principio no lo usaremos.

Ahora simplemente, el agente al estár en ejecución, nos saltará siempre que vayamos a introducir unos credenciales para almacenarlos, por ejemplo navegando por una página web, indicamos que “Sí” queremos que Citrix Password Manager recuerde la información de inicio de sesión de esa aplicación.

E introducimos los credenciales para vusar esa aplicación, pulsamos en “Finalizar” y la próxima vez que ejecutemos esa aplicación automáticamente nos logueará y el usuario ni se enterará que está entrando gracias a unos credenciales que usó en su día. De todas formas, hay alguna utilidad más que se le puede dar a Citrix Password Manager que podemos ver en esta demo de unos minutos – AKI.

www.bujarra.com – Héctor Herrero – nh*****@bu*****.com – v 1.0