Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La administración de contraseñas para varias cuentas de usuario es una de las complejidades de administrar un entorno empresarial con varios orígenes de datos. Microsoft Identity Manager 2016 (MIM) proporciona dos soluciones de administración de contraseñas:
Sincronización de contraseñas: utiliza el servicio de notificación de cambio de contraseña (PCNS) para capturar los cambios de contraseña de Active Directory y propagarlos a otros orígenes de datos conectados.
Administración de cambios de contraseña basada en el usuario: utiliza el Instrumental de administración de Windows (WMI) a través del departamento de soporte técnico basado en web y las aplicaciones de autoservicio de restablecimiento de contraseña.
Mediante la sincronización de contraseñas y la administración de cambios de contraseña basada en el usuario, puede hacer lo siguiente:
Reduzca el número de contraseñas diferentes que los usuarios tienen que recordar.
Establezca o cambie simultáneamente las contraseñas de varias cuentas de un usuario a la misma contraseña.
Permitir que los usuarios cambien sus propias contraseñas en Active Directory e inserten el cambio de contraseña en otros sistemas.
Elimine el riesgo de crear una contraseña o un almacén de credenciales adicionales.
Sincronice las contraseñas entre varios orígenes de datos mediante Active Directory como origen autoritativo.
Realice operaciones de administración de contraseñas en tiempo real, independientemente de las operaciones de MIM.
Extensiones de contraseña
Los agentes de administración para servidores de directorios admiten el cambio de contraseña y establecen operaciones de forma predeterminada. En el caso de los agentes de administración de conectividad extensible, base de datos y basados en archivos, que no admiten el cambio de contraseña y establecen operaciones de forma predeterminada, puede crear una biblioteca de vínculos dinámicos (DLL) de extensión de contraseña de .NET. Se llama al archivo DLL de extensión de contraseña de .NET cada vez que se invoca una llamada de cambio o conjunto de contraseñas para cualquiera de estos agentes de administración. Las opciones de extensión de contraseña se configuran para estos agentes de administración en Synchronization Service Manager. Para obtener más información sobre cómo configurar extensiones de contraseña, consulte la Referencia para desarrolladores de FIM.
| La administración de contraseñas se admite de forma predeterminada en los agentes de administración para: | Con una extensión de contraseña, la administración de contraseñas también se admite en los agentes de administración para: |
|---|---|
| Active Directory | Archivos de texto de par atributo-valor |
| Active Directory Lightweight Directory Services (ADLDS) | Archivos de texto delimitado |
| IBM Directory Server | Lenguaje de marcado de servicios de directorio (DSML) |
| Lotus Notes | Conectividad extensible |
| Novell eDirectory | Archivos de texto de ancho fijo |
| Servidores de directorios de Sun y Netscape | Base de datos universal de IBM DB2 |
| Formato de intercambio de datos LDAP (LDIF) | |
| Microsoft SQL Server | |
| Base de datos de Oracle |
Sincronización de contraseñas
La sincronización de contraseñas funciona con el servicio de notificación de cambio de contraseña (PCNS) en un dominio de Active Directory y permite que los cambios de contraseña que se originen en Active Directory se propaguen automáticamente a otros orígenes de datos conectados. MIM lo logra ejecutando como un servidor de llamada a procedimiento remoto (RPC) que escucha una notificación de cambio de contraseña de un controlador de dominio de Active Directory. Cuando miM recibe y autentica la solicitud de cambio de contraseña, se procesa mediante MIM y se propaga a los agentes de administración adecuados.
Importante
MIM no admite la sincronización de contraseñas bidireccionales. La configuración de la sincronización de contraseñas bidireccionales puede crear un bucle, que consumirá recursos del servidor y tendrá un efecto potencialmente negativo en Active Directory y MIM.
El PCNS se ejecuta en cada controlador de dominio de Active Directory. Los sistemas que reciben las notificaciones de contraseña se conocen como destinos. El servidor MIM debe configurarse como destino de PCNS en Active Directory antes de enviar notificaciones de contraseña. La configuración de PCNS debe definir un grupo de inclusión y, opcionalmente, un grupo de exclusión. Estos grupos se usan para restringir el flujo de contraseñas confidenciales del dominio. Por ejemplo, para enviar contraseñas para todos los usuarios, pero no enviar contraseñas administrativas, puede optar por usar Usuarios de dominio como grupo de inclusión y Administradores de dominio como grupo de exclusión. Para obtener más información sobre cómo configurar el servicio de notificación de cambio de contraseña, consulte Using Password Synchronization
Los componentes implicados en el proceso de sincronización de contraseñas son:
servicio de notificación de cambio de contraseña (Pcnssvc.exe): el servicio de notificación de cambio de contraseña se ejecuta en un controlador de dominio y es responsable de recibir notificaciones de cambio de contraseña del filtro de contraseña local, ponerlas en cola para el servidor de destino que ejecuta MIM y usar RPC para entregar las notificaciones. El servicio cifra la contraseña y garantiza que la contraseña permanezca segura hasta que se entregue correctamente al servidor de destino que ejecuta MIM.
nombre de entidad de seguridad de servicio (SPN): el SPN es una propiedad en el objeto de cuenta de Active Directory que usa el protocolo Kerberos para autenticar mutuamente el PCNS y el destino. El SPN garantiza que el PCNS se autentique en el servidor correcto que ejecuta MIM y que ningún otro servicio pueda recibir las notificaciones de cambio de contraseña. El SPN se crea y asigna mediante la herramienta setspn.exe. Para obtener más información sobre cómo configurar el SPN, consulte Uso de la sincronización de contraseñas.
filtro de notificación de cambio de contraseña (Pcnsflt.dll): el filtro de contraseña se usa para obtener contraseñas de texto no cifrado de Active Directory. La autoridad de seguridad local (LSA) carga este filtro en cada controlador de dominio de Windows Server que participa en la distribución de contraseñas en un servidor de destino que ejecuta MIM. Una vez instalado el filtro y reiniciado el controlador de dominio, el filtro comienza a recibir notificaciones de cambio de contraseña para los cambios de contraseña que se originan en ese controlador de dominio. El filtro de notificación de contraseña se ejecuta simultáneamente con otros filtros que se ejecutan en el controlador de dominio.
utilidad de configuración del servicio de notificación de cambio de contraseña (Pcnscfg.exe): la utilidad pcnscfg.exe se usa para administrar y mantener los parámetros de configuración del servicio de notificación de cambio de contraseña almacenados en Active Directory. Estos parámetros de configuración, como definir los servidores de destino, el intervalo de reintento de cola de contraseñas y habilitar o deshabilitar un servidor de destino, se usan al autenticar y enviar notificaciones de contraseña al servidor de destino que ejecuta MIM. La configuración del servicio se almacena en Active Directory, por lo que solo es necesario actualizar la configuración en un controlador de dominio. Active Directory replica el cambio en todos los demás controladores de dominio.
servidor de llamada a procedimiento remoto (RPC) en el servidor que ejecuta MIM: cuando está habilitada la sincronización de contraseñas, se inicia el servidor RPC en el servidor que ejecuta MIM, lo que le permite recibir notificaciones del servicio de notificación de cambio de contraseña. RPC selecciona dinámicamente un intervalo de puertos que se van a usar. Si necesita que MIM se comunique con el bosque de Active Directory a través de un firewall, debe abrir un intervalo de puertos.
DLL de extensión de contraseña: el archivo DLL de extensión de contraseña proporciona una manera de implementar operaciones de cambio o conjunto de contraseñas mediante una extensión de reglas para cualquier base de datos, conectividad extensible o agente de administración basado en archivos. Esto se logra mediante la creación de un atributo cifrado de solo exportación denominado "export_password" que realmente no existe en el directorio conectado, pero se puede tener acceso a él y establecerlo en extensiones de reglas de aprovisionamiento o se puede usar durante el flujo de atributos de exportación. Para obtener más información sobre la configuración de extensiones de contraseña, consulte la referencia para desarrolladores de FIM.
Preparación para la sincronización de contraseñas
Antes de configurar la sincronización de contraseñas para el entorno de MIM y Active Directory, compruebe lo siguiente:
MIM se instala según las instrucciones de instalación.
Los agentes de administración de los orígenes de datos conectados que se van a administrar para la sincronización de contraseñas ya se crean y se sincronizan correctamente los objetos.
Para configurar la sincronización de contraseñas:
Amplíe el esquema de Active Directory para agregar las clases y atributos necesarios para instalar y ejecutar el servicio de notificación de cambio de contraseña (PCNS).
Instale el PCNS en cada controlador de dominio.
Configure el nombre de entidad de seguridad de servicio (SPN) en Active Directory para la cuenta de servicio de MIM.
Configure el PCNS para comunicarse con el servicio MIM de destino.
Configure los agentes de administración para que los orígenes de datos conectados se administren para la sincronización de contraseñas.
Habilite la sincronización de contraseñas en MIM.
Para obtener más información sobre cómo configurar la sincronización de contraseñas, consulte Uso de la sincronización de contraseñas.
Proceso de sincronización de contraseñas
El proceso de sincronización de una solicitud de cambio de contraseña de un controlador de dominio de Active Directory con otros orígenes de datos conectados se muestra en el diagrama siguiente:
El usuario inicia la solicitud de cambio de contraseña presionando Ctrl+Alt+Supr. La solicitud de cambio de contraseña, incluida la nueva contraseña, se envía al controlador de dominio más cercano.
El controlador de dominio registra la solicitud de cambio de contraseña y notifica el filtro de notificación de cambio de contraseña (Pcnsflt.dll).
El filtro de notificación de cambio de contraseña pasa la solicitud al servicio de notificación de cambio de contraseña (PCNS).
El PCNS comprueba la solicitud de cambio de contraseña y, a continuación, autentica el nombre de entidad de seguridad de servicio (SPN) mediante Kerberos y reenvía la solicitud de cambio de contraseña en RPC cifrada al servidor de destino de MIM.
MIM valida el controlador de dominio de origen y, a continuación, usa el nombre de dominio para buscar el agente de administración que presta servicios a ese dominio y usa la información de la cuenta de usuario en la solicitud de cambio de contraseña para buscar el objeto correspondiente en el espacio del conector.
Mediante la información de la tabla de combinación, MIM determina los agentes de administración que reciben el cambio de contraseña e inserta el cambio de contraseña en ellos.
Seguridad de sincronización de contraseñas
Se han solucionado los siguientes problemas de seguridad de sincronización de contraseñas:
Autenticación desde el origen de contraseña: cuando se recibe la notificación de cambio de contraseña, MIM realiza la autenticación Kerberos, así como el controlador de dominio de origen para asegurarse de que el destinatario y el remitente son válidos. Tras recibir una notificación de cambio de contraseña, MIM garantiza que el autor de la llamada tenga una cuenta en el contenedor Controladores de dominio del dominio al que pertenece.
Error de sincronización de contraseñas en un origen de datos de destino debido a una conexión no segura: si el agente de administración se ha configurado para requerir una conexión segura, pero no se detecta una, se produce un error en la sincronización. La sincronización se sigue produciendo si el agente de administración se ha configurado para permitir conexiones no seguras. Permitir conexiones no seguras solo debe habilitarse después de examinar y comprender los riesgos implicados.
Almacenamiento seguro de contraseñas: MIM solo almacena contraseñas cifradas temporalmente. Todas las contraseñas recibidas por MIM durante una operación de notificación de cambio de contraseña se cifran en cuanto entran en el proceso de MIM. El momento en que se envían correctamente al origen de datos conectado de destino, se descifran y la memoria que almacena la contraseña se borra inmediatamente. Si la operación no puede escribir en el origen de datos conectado de destino, la contraseña cifrada se almacena hasta que se han intentado todos los reintentos y, a continuación, se borra de la memoria.
Colas de contraseñas seguras: las contraseñas almacenadas en las colas de contraseñas de PCNS se cifran hasta que se entregan.
Escenarios de recuperación de errores de sincronización de contraseñas
Idealmente, siempre que un usuario cambie una contraseña, el cambio se sincroniza sin errores. En los escenarios siguientes se describe cómo MIM se recupera de errores comunes de sincronización:
notificación de contraseña con error de Active Directory a MIM: esto puede ocurrir si la red está inactiva o si el servidor que ejecuta MIM no está disponible. La notificación de cambio de contraseña permanece en cola localmente en el controlador de dominio por parte del PCNS. El PCNS vuelve a adjuntar la notificación según su configuración de intervalo de reintento.
sincronización de contraseñas con error en un origen de datos de destino: esto también puede ocurrir si la red está inactiva o si el origen de datos de destino no está disponible. La notificación de cambio de contraseña se pone en cola y se reintenta según la configuración del agente de administración para reintentar el intento y el intervalo de reintento. Todas las contraseñas se cifran mientras se almacenan para reintentar y se eliminan cuando la operación se realiza correctamente o se alcanzan los límites de reintento.
Activación de un servidor en espera activa que ejecuta MIM después de un error: en el caso del servidor principal que ejecuta MIM, puede configurar un servidor en espera activo para la sincronización de contraseñas y activarlo sin pérdida de cambios de contraseña. Para obtener más información, consulte MIISactivate: Server Activation Tool
Algunos errores son lo suficientemente graves que es probable que ninguna cantidad de reintentos produzca una operación correcta. En estos casos, se registra un evento de error y se detiene el proceso. No se reintentan los siguientes eventos:
| Evento | Severidad | Descripción |
|---|---|---|
| 6919 | Información | No se realizó una operación de conjunto de sincronización de contraseñas porque la marca de tiempo estaba obsoleta. |
| 6921 | Error | La operación del conjunto de sincronización de contraseñas no se procesó porque la administración de contraseñas no está habilitada en el agente de administración de destino. |
| 6922 | Error | La operación del conjunto de sincronización de contraseñas no se procesó porque la administración de contraseñas no está configurada en el agente de administración de destino. |
| 6923 | Advertencia | No se procesó la operación del conjunto de sincronización de contraseñas porque no se encontró el objeto de espacio del conector de destino en el directorio conectado. |
| 6927 | Error | Error en la operación del conjunto de sincronización de contraseñas porque la contraseña no cumple la directiva de contraseñas del sistema de destino. |
| 6928 | Error | Error en la operación del conjunto de sincronización de contraseñas porque la extensión de contraseña del agente de administración de destino no está configurada para admitir operaciones de conjunto de contraseñas. |
Administración de cambios de contraseña basada en el usuario
MIM proporciona dos aplicaciones web que usan Instrumental de administración de Windows (WMI) para restablecer contraseñas. Al igual que con la sincronización de contraseñas, se activa la administración de contraseñas al configurar el agente de administración en el Diseñador de agentes de administración. Para obtener información sobre la administración de contraseñas y WMI, consulte la Referencia para desarrolladores de MIM.
MIM crea dos grupos de seguridad durante la instalación que admiten específicamente operaciones de administración de contraseñas:
FIMSyncBrowse: los miembros de este grupo tienen permiso para recopilar información sobre las cuentas de un usuario al realizar operaciones de búsqueda con consultas WMI.
FIMSyncPasswordSet: los miembros de este grupo tienen permiso para realizar operaciones de búsqueda de cuentas, conjuntos de contraseñas y cambio de contraseña mediante las interfaces de administración de contraseñas con WMI.