PINsafe – Configuración básica 2

Continuando con los anteriores documentos del despliegue del appliance de PINsafe o su instalación en linux, debemos realizar una serie de configuraciones que serán más o menos comunes en la mayoría de las instalaciones, posteriormente podremos integrar distintos servicios bajo está configuración.

 

 

Lo primero será cambiar el tipo de base de datos a internal, para ello desde: «Dabatase» > «General» > Poner la BD a ‘Internal’ & «Apply».

 

Ahora, desde «Mode» > «General» > Estableceremos el «Mode» a ‘Synchronized’ & «Apply»,

 

Vamos a definir por ahora un repositorio de usuarios locales XML, mas tarde crearemos otro para integrarlo con nuestros LDAP.
Desde «Repository» > «Servers» > «New Entry» > Le establecemos un nombre XML y en tipo ‘XML’, «Apply».

 

 

Ahora sincronizamos los usuarios de este repositorio local desde «User Administration», pulsando en «User Sync».

 

 

Confirmamos en «Status» que aparece lo que hemos configurado correctamente.

 

Configuramos los parámetros de correo electrónico desde «Server > «SMTP», con esto realizaremos los avisos a los usuarios, que se les ha dado de alta, que se les ha asignado un PIN, cambiado, o directamente para el Dual Channel.

 

En nuestro Directorio Activo, daremos de alta un par de grupos, uno será para meter a los administradores de PINsafe y otro para los usuarios que queremos que lo utilicen, además metemos los usuarios que nos interese en cada grupo.

 

Creamos el repositorio de usuarios para nuestro AD desde «Repository» > «Servers» > «New Entry» de tipo Active Directory y le indicamos un nombre & «Apply»,

 

Lo configuramos desde «Repository» > «NOMBRE_REPO». Indicaremos el ‘Username’ con el nombre de usuario con permisos de acceso a nuestro Directorio Activo, junto a su contraseña. Además indicaremos en ‘Hostname/IP’ la IP de un controlador de dominio y en el puerto estableceremos LDAP o LDAPS, en función de lo que tengamos.

 

En «Repository» > «Groups» rellenamos las rutas LDAP de los grupos de usuario y administradores que hemos creado anteriormente en nuestro repositorio del Directorio Activo, así como si nos interesa, estableceríamos el nombre al grupo, ej:
cn=PINSafeUsers, ou=Grupos, ou=Tundra IT, dc=tundra-it, dc=local
cn=PINSafeAdmins, ou=Grupos, ou=Tundra IT, dc=tundra-it, dc=local

 

En «Transport» > «General» > «SMTP» configuramos el transporte de correo electrónico a nuestros usuarios, para que le lleguen de forma correcta los correos y de qué, para ello indicaremos el atributo donde viene definido la dirección de correo del usuario (normalmente ‘email’ en ‘Destination attribute’), además indicaremos qué grupo de usuariostienen permiso de recepción de claves (‘Strings Repository Group’) o de alertas (‘Alert Repository Group’).

 

Comprobamos que funciona desde «User Administration» > Cambiamos el repositorio al del AD & pulsamos «User Sync» para confirmar que traemos a nuestros usuarios.

 

Si es correcto, cambiamos el tiempo de sincronización con LDAP desde «Repository» > «REPOSITORIO_AD» > «Synchronization schedule» al tiempo que nos interese, en mi caso me vale con 15 minutos.

 

Configuramos  en «Server» > «Single Channel» nuestro primer método de autenticación, que será con el cuadro del Código de Seguridad o Security String, permitiremos que los usuarios lo soliciten al introducir su usuario en el campo de texto de user cuando se logueen (‘Allow session reques by username’ = ‘Yes’), si queremos que independientemente del nombre de usuario que se introduzca la clave, para evitar que nos adivinen nombres de usuario, en Image file podremos seleccionar que sea otra imagen en vez que la que viene predeterminada, así como indicar si queremos además el uso de letras mayúsculas/minúsculas con los números para hacer el OTC más robusto. Además, en «Image Rendering» podremos hacer que la imagen sea dinámica y se mueva el contenido de la Security String.

 

Y bueno, una vez aprovisionados los usuarios les llegará un mail indicando su PIN predeterminado, nosotros desde «User Administration» podremos realizar las gestiones básicas tales como crearle un nuevo PIN a los usuarios, reenviárselo, desbloquear la cuenta…

Héctor Herrero