Embed Size (px)
Citation preview
Inicio de sesión único de BlackBerry Administration ServiceVersión: 5.0 | Service Pack: 2
Nota de seguridad
Publicado: 2010-07-20SWD-1147121-0720021811-005
Contenido1 Proteger los recursos de la empresa al configurar el registro único de BlackBerry Administration Service................ 2
Arquitectura: registro único de BlackBerry Administration Service......................................................................................... 2
Cómo el registro único de BlackBerry Administration Service utiliza Kerberos para ayudarle a proteger los recursos de
su empresa....................................................................................................................................................................................... 3
Cómo completa BlackBerry Administration Service la autenticación Kerberos...................................................................... 3
2 BlackBerry Administration Service y direcciones Web de BlackBerry Web Desktop Manager que son compatibles
con el registro único de BlackBerry Administration Service................................................................................................. 5
3 Flujo de proceso: acceso a la consola de BlackBerry Administration Service y a BlackBerry Web Desktop Manager
al configurar el registro único de BlackBerry Administration Service................................................................................ 6
4 Configurar la autenticación de registro único para BlackBerry Administration Service y BlackBerry Web Desktop
Manager........................................................................................................................................................................................ 8
Requisitos del sistema para el entorno de su empresa.............................................................................................................. 8
Requisitos del sistema: exploradores para usuarios de BlackBerry Web Desktop Manager, BlackBerry Administration
Service y BlackBerry Monitoring Service...................................................................................................................................... 9
Configurar la delegación restringida para la cuenta de Microsoft Active Directory para que sea compatible con la
autenticación de registro único..................................................................................................................................................... 11
Activar la autenticación de registro único para BlackBerry Administration Service.............................................................. 11
5 Resolución de problemas: registro único de BlackBerry Administration Service.............................................................. 13
Los usuarios pueden ver la página de inicio de sesión una vez que se ha configurado el registro único de BlackBerry
Administration Service................................................................................................................................................................... 13
6 Recursos relacionados................................................................................................................................................................ 14
7 Glosario......................................................................................................................................................................................... 15
8 Comentarios................................................................................................................................................................................. 17
9 Aviso legal..................................................................................................................................................................................... 18
Proteger los recursos de la empresa al configurar elregistro único de BlackBerry Administration Service
1
Puede configurar BlackBerry® Administration Service para que los administradores o los usuarios de BlackBerry® Web DesktopManager tengan que iniciar sesión en la consola de BlackBerry Administration Service o en BlackBerry Web Desktop Managermediante la autenticación de Microsoft® Active Directory®. Si configura BlackBerry Administration Service para que seacompatible con la autenticación de Microsoft Active Directory en BlackBerry® Enterprise Server 5.0 SP2, también puede configurarel registro único para que los administradores o los usuarios puedan acceder a la consola de BlackBerry Administration Serviceo BlackBerry Web Desktop Manager directamente sin tener que iniciar sesión.
Si configura el registro único, BlackBerry Administration Service utiliza el protocolo Kerberos™ y la delegación restringida paraayudar a proteger el entorno de su empresa y para autenticar y autorizar a los administradores y usuarios. El protocolo Kerberosestá diseñado para permitir que BlackBerry Administration Service compruebe las cuentas de administrador y de usuario enMicrosoft Active Directory. La delegación restringida está diseñada para limitar los recursos para los que BlackBerryAdministration Service puede proporcionar acceso a los administradores y usuarios autenticados.
Arquitectura: registro único de BlackBerry Administration Service
Componente Descripción
BlackBerry® Administration Service BlackBerry Administration Service le permite administrar BlackBerry Domain, que
incluye componentes de BlackBerry® Enterprise Server, cuentas de usuario y
características de administración del dispositivo BlackBerry.
controlador de dominio Un controlador de dominio es un servidor que autentica y autoriza a los usuarios
de Windows® y los servidores de Windows con un dominio de Windows.
Nota de seguridad Proteger los recursos de la empresa al configurar el registro único de BlackBerry Administration Service
2
Componente Descripción
Microsoft® Active Directory® Microsoft Active Directory es un directorio LDAP que almacena información de
usuario.
Cómo el registro único de BlackBerry Administration Service utiliza Kerberospara ayudarle a proteger los recursos de su empresaEl registro único de BlackBerry® Administration Service implementa la autenticación Kerberos™ que permite que BlackBerryAdministration Service pueda autenticar a administradores y a usuarios de BlackBerry® Web Desktop Manager en la red de suempresa de forma altamente segura.
BlackBerry Administration Service incluye dos servicios Kerberos que utiliza para autenticar con exploradores. El servidor deaplicaciones de BlackBerry Administration Service y el servidor Web de BlackBerry Administration Service alojan los serviciosKerberos. BlackBerry Administration Service necesita dos servicios Kerberos para poder autenticar la capa Web y la capa deaplicaciones. El servicio Kerberos que el servidor Web de BlackBerry Administration Service aloja comprueba las solicitudes delos exploradores para acceder a la capa Web. El servicio Kerberos que el servidor de aplicaciones de BlackBerry AdministrationService aloja comprueba las solicitudes del servidor Web de BlackBerry Administration Service para acceder a la capa deaplicaciones.
Los servicios Kerberos se identifican utilizando SPN que se crean y asignan a una cuenta de Microsoft® Active Directory®. Debecrear la cuenta de Microsoft Active Directory como una cuenta de servicio de Kerberos en el dominio de Microsoft Active Directoryque incluye BlackBerry Administration Service, y configurar la delegación restringida para la cuenta de Microsoft Active Directory.Debe configurar la cuenta de Microsoft Active Directory para que confíe sólo en el servicio Kerberos que el servidor de aplicacionesde BlackBerry Administration Service aloja para la delegación restringida y únicamente cuando el servicio de aplicaciones deBlackBerry Administration Service utilice Kerberos.
Si el entorno de su empresa incluye varios bosques de cuentas de Microsoft Active Directory, debe configurar una cuenta deMicrosoft Active Directory para cada bosque de cuentas. Sin embargo, no necesita configurar la delegación restringida para lascuentas de Microsoft Active Directory que configure en los bosques de cuentas.
Cómo completa BlackBerry Administration Service la autenticación KerberosCuando BlackBerry® Administration Service se inicia, se autentica con el dominio de Microsoft® Active Directory® a través dela cuenta de Microsoft Active Directory. El controlador de dominio emite las claves Kerberos™ y el vale de servicio Kerberos paralos dos servicios Kerberos. Las claves Kerberos permiten que BlackBerry Administration Service pueda comprobar los vales deservicio Kerberos que envían los exploradores durante el registro único.
Los exploradores compatibles con la autenticación integrada de Windows® pueden obtener el vale de servicio Kerberosautomáticamente para BlackBerry Administration Service cuando los administradores o usuarios se desplazan a la consola deBlackBerry Administration Service o a BlackBerry® Web Desktop Manager.
Nota de seguridad Cómo el registro único de BlackBerry Administration Service utiliza Kerberos para ayudarle a proteger los recursos de su empresa
3
El servicio Kerberos que el servidor Web de BlackBerry Administration Service aloja utiliza sus claves Kerberos para comprobarlos vales de servicio Kerberos que envían los exploradores cuando solicitan el acceso a la consola de BlackBerry AdministrationService o a BlackBerry Web Desktop Manager. Si los vales de servicio Kerberos son válidos, el servidor Web de BlackBerryAdministration Service delega la solicitud al servidor de aplicaciones de BlackBerry Administration Service.
Para delegar la solicitud, el servidor Web de BlackBerry Administration Service crea un vale de servicio utilizando su identidadpara el servicio Kerberos que el servidor de aplicaciones de BlackBerry Administration Service aloja. Cuando el servicio Kerberosque el servidor de aplicaciones de BlackBerry Administration Service aloja comprueba el vale de servicio, BlackBerryAdministration Service completa el proceso de autenticación Kerberos para los administradores o usuarios, y éstos pueden verla página principal de la consola de BlackBerry Administration Service o la página principal de BlackBerry Web Desktop Manager.
Nota de seguridad Cómo completa BlackBerry Administration Service la autenticación Kerberos
4
BlackBerry Administration Service y direcciones Web deBlackBerry Web Desktop Manager que son compatiblescon el registro único de BlackBerry Administration Service
2
Si configura el registro único de BlackBerry® Administration Service, debe indicar a los administradores y a los usuarios deBlackBerry® Web Desktop Manager que accedan a la consola de BlackBerry Administration Service y a BlackBerry Web DesktopManager a través de las siguientes direcciones Web:• https://<BAS_pool_FQDN>/webconsole/login• https://<BAS_pool_FQDN>/webdesktop/login
La autenticación de registro único tiene prioridad sobre otros métodos de autenticación que permiten a los administradores yusuarios iniciar sesión en la consola de BlackBerry Administration Service o en BlackBerry Web Desktop Manager. Si las políticasde seguridad de su empresa requieren que los administradores o los usuarios utilicen otro método de autenticación, debe indicara los administradores o los usuarios que accedan a la consola de BlackBerry Administration Service o a BlackBerry Web DesktopManager a través de las siguientes direcciones Web:• https://<BAS_pool_FQDN>/webconsole/app• https://<BAS_pool_FQDN>/webdesktop/app
Por ejemplo, las políticas de seguridad de su empresa podrían solicitar que los administradores inicien sesión mediante el registroúnico de BlackBerry Administration Service y que los usuarios de BlackBerry Web Desktop Manager inicien sesión a través delos nombres de usuario y contraseñas de IBM® Lotus Notes®. En esta situación, puede indicar a los administradores que iniciensesión en BlackBerry Administration Service mediante la dirección Web https://<BAS_pool_FQDN>/webconsole/login e indicara los usuarios de BlackBerry Web Desktop Manager que inicien sesión en BlackBerry Web Desktop Manager a través de la direcciónWeb https://<BAS_pool_FQDN>/webdesktop/app.
Nota de seguridad BlackBerry Administration Service y direcciones Web de BlackBerry Web Desktop Manager que son compatibles con el registro únicode BlackBerry Administration Service
5
Flujo de proceso: acceso a la consola de BlackBerryAdministration Service y a BlackBerry Web DesktopManager al configurar el registro único de BlackBerryAdministration Service
3
1. Un administrador o un usuario de BlackBerry® Web Desktop Manager utiliza un explorador para desplazarse a la páginaWeb de BlackBerry® Administration Service (https://<BAS_pool_FQDN>/webconsole/login) o la página Web de BlackBerryWeb Desktop Manager (https://<BAS_pool_FQDN>/webdesktop/login).
2. El servidor Web de BlackBerry Administration Service envía una solicitud HTTP Negotiate al explorador para iniciar laautenticación de registro único.Para obtener más información sobre la solicitud HTTP Negotiate, consulte http://msdn.microsoft.com/en-us/library/ms995330.aspx.
3. El explorador recupera el TGT del administrador o usuario desde la caché del vale del ordenador que utiliza el administradoro usuario.El explorador utiliza el TGT para solicitar el vale de servicio para el servidor Web de BlackBerry Administration Service(denominado HTTP/<BAS_pool_FQDN>) al controlador de dominio.
4. El controlador de dominio proporciona al explorador el vale de servicio para el servidor Web de BlackBerry AdministrationService.
5. El explorador envía el vale de servicio al servidor Web de BlackBerry Administration Service en respuesta a la solicitud HTTP-Negotiate.
6. El servidor Web de BlackBerry Administration Service realiza las acciones siguientes:• Confirma el vale de servicio mediante la clave Kerberos™ que ha recibido del controlador de dominio al iniciar los
servicios de BlackBerry Administration Service.• Solicita un vale de servicio para el servidor de aplicaciones de BlackBerry Administration Service (denominado
BASPLUGIN111/<BAS_pool_FQDN>) en nombre del usuario.
Nota de seguridad Flujo de proceso: acceso a la consola de BlackBerry Administration Service y a BlackBerry Web Desktop Manager al configurar elregistro único de BlackBerry Administration Service
6
7. El controlador de dominio proporciona al servidor Web de BlackBerry Administration Service el vale de servicio para elservidor de aplicaciones de BlackBerry Administration Service.
8. El servidor Web de BlackBerry Administration Service envía el vale de servicio al servidor de aplicaciones de BlackBerryAdministration Service.
9. El servidor de aplicaciones de BlackBerry Administration Service realiza las acciones siguientes:• Confirma el vale de servicio mediante la clave Kerberos que ha recibido del controlador de dominio al iniciar los
servicios de BlackBerry Administration Service. Si el vale de servicio es válido, el administrador o usuario se autenticancorrectamente con BlackBerry Administration Service mediante Kerberos.
• Comprueba si el administrador o usuario son un usuario de dispositivo BlackBerry o un administrador de BlackBerryAdministration Service.
• Comprueba la función del administrador o usuario y le asigna los permisos asociados con dicha función.• Envía una sesión de seguridad al servidor Web de BlackBerry Administration Service para el administrador o usuario.
10. El servidor Web de BlackBerry Administration Service redirecciona al administrador o usuario a la página de inicio de laconsola de BlackBerry Administration Service o la página de inicio de BlackBerry Web Desktop Manager.
Nota de seguridad Flujo de proceso: acceso a la consola de BlackBerry Administration Service y a BlackBerry Web Desktop Manager al configurar elregistro único de BlackBerry Administration Service
7
Configurar la autenticación de registro único paraBlackBerry Administration Service y BlackBerry WebDesktop Manager
4
Si configura BlackBerry® Administration Service para que sea compatible con la autenticación de Microsoft® Active Directory®,puede activar la autenticación de registro único. La autenticación de registro único le permite acceder a BlackBerry AdministrationService y permite a los usuarios del dispositivo BlackBerry acceder a BlackBerry Web Desktop Manager sin que sea necesarioque ni usted ni los usuarios escriban un nombre de usuario y una contraseña de Microsoft Active Directory. De formapredeterminada, si inicia sesión en BlackBerry Administration Service o bien si los usuarios inician sesión en BlackBerry WebDesktop Manager a través de la autenticación de Microsoft Active Directory, el explorador le solicita o solicita a los usuarios queescriban un nombre de usuario y una contraseña de Microsoft Active Directory. Si activa la autenticación de registro único einicia sesión en un ordenador mediante una cuenta de Microsoft Active Directory, puede evitar la pantalla de inicio de sesión yacceder directamente a BlackBerry Administration Service y BlackBerry Web Desktop Manager. BlackBerry Monitoring Serviceno es compatible con la autenticación de registro único.
Antes de activar el registro único, debe configurar la delegación restringida para la cuenta de Microsoft Active Directory enBlackBerry Administration Service.
Requisitos del sistema para el entorno de su empresaLos siguientes requisitos del sistema se aplican al configurar la autenticación de registro único para BlackBerry® AdministrationService y BlackBerry® Web Desktop Manager o al configurar BlackBerry MDS Connection Service para que sea compatible conla autenticación integrada de Windows®.
Elemento Requisito
servicios de red Microsoft® Active Directory® en Windows Server® 2003 con nivel funcional de dominio
o superior.
servidor de aplicaciones Para que BlackBerry MDS Connection Service admita autenticación integrada de
Windows, Microsoft® IIS 6.0 o 7.0 con autenticación integrada de Windows®
servidor de archivos Para que BlackBerry MDS Connection Service admita autenticación integrada de
Windows, servicios de archivo de Windows Server 2003 o servicios de archivo de Windows
Server 2008
Nota de seguridad Configurar la autenticación de registro único para BlackBerry Administration Service y BlackBerry Web Desktop Manager
8
Requisitos del sistema: exploradores para usuarios de BlackBerry WebDesktop Manager, BlackBerry Administration Service y BlackBerryMonitoring Service
Elemento Requisito
navegador • Windows® Internet Explorer® 7.0 a 8.0
• Mozilla® Firefox® 3.6
• Safari 4 para Mac
• Google Chrome™ 4
Windows Internet Explorer 7 o posterior ofrece una compatibilidad óptima con las
características de BlackBerry® Web Desktop Manager y BlackBerry Administration
Service. Según el explorador que use, es posible que BlackBerry Web Desktop
Manager y BlackBerry Administration Service no reconozcan los dispositivos
BlackBerry y que el explorador evite que active dispositivos conectados al ordenador,
realice copias de seguridad y restaure datos o agregue y actualice aplicaciones del
dispositivo.
configuración del explorador para
Windows Internet Explorer
Para que sea compatible con el acceso al explorador, debe configurar los siguientes
parámetros:
• preferencias de idioma configuradas para mostrar páginas Web codificadas
• la revisión 955839 de Microsoft® debe estar instalada en los ordenadores de
los usuarios con el fin de garantizar que se muestran las zonas horarias
correctas
• la configuración siguiente debe estar activada para ser compatible con
Microsoft® ActiveX®
• Preguntar automáticamente si se deben usar controles Microsoft ActiveX
• Descargar controles Microsoft ActiveX firmados
• Ejecutar controles y complementos de Microsoft ActiveX
• Activar la secuencia de comandos de los controles Microsoft ActiveX
marcados como seguros
• ser compatible con JavaScript®
• cookies activadas
Nota de seguridad Requisitos del sistema: exploradores para usuarios de BlackBerry Web Desktop Manager, BlackBerry Administration Service yBlackBerry Monitoring Service
9
Elemento Requisito
• ser compatible con TLS o SSL
• tener el certificado SSL instalado para permitir conexiones de confianza con
BlackBerry Administration Service
• si utiliza Windows Vista™, la dirección Web de BlackBerry Administration
Service debe estar agregada como sitio Web de confianza y la opción Activar
modo protegido no debe estar seleccionada
• si configura la autenticación de registro único para BlackBerry Administration
Service
• los sitios Web de BlackBerry Web Desktop Manager y BlackBerry
Administration Service deben estar asignados a la zona de la intranet
local
• la opción Activar la autenticación integrada de Windows debe estar
seleccionada
• si no configura la autenticación de registro único para BlackBerry
Administration Service
• los sitios Web de BlackBerry Web Desktop Manager, BlackBerry
Administration Service, y BlackBerry Monitoring Service deben estar
asignados a la intranet local o a la zona de seguridad de los sitios de
confianza
configuración del explorador para
Firefox, Safari y Google Chrome
Para que sea compatible con el acceso al explorador, debe configurar los siguientes
parámetros:
• compatibilidad con JavaScript
• cookies activadas
• ser compatible con TLS o SSL
• para permitir conexiones de confianza con BlackBerry Administration Service,
el certificado SSL debe estar instalado
La autenticación de registro único para BlackBerry Administration Service no es
compatible con Google Chrome.
Nota de seguridad Requisitos del sistema: exploradores para usuarios de BlackBerry Web Desktop Manager, BlackBerry Administration Service yBlackBerry Monitoring Service
10
Configurar la delegación restringida para la cuenta de Microsoft ActiveDirectory para que sea compatible con la autenticación de registro único1. Mediante la herramienta ADSI Edit de Windows Server®, agregue los siguientes nombres principales de servicios del grupo
de BlackBerry® Administration Service a la cuenta de Microsoft® Active Directory®:• HTTP/<BAS_pool_FQDN> (por ejemplo, HTTP/BASconsole104.example.com)• BASPLUGIN111/<BAS_pool_FQDN> (por ejemplo, BASPLUGIN111/BASconsole104.example.com)
2. Si crea grupos independientes de instancias de BlackBerry Administration Service e instancias de BlackBerry Web DesktopManager en el grupo de BlackBerry Administration Service, agregue el SPN HTTP/<BAS_pool_FQDN> de cada grupo a lacuenta de Microsoft Active Directory.
3. Configure la cuenta de Microsoft Active Directory para la delegación restringida utilizando los siguientes parámetros:• confiar en este usuario sólo para la delegación a servicios específicos• utilizar sólo Kerberos™
4. En las propiedades de la cuenta de Microsoft Active Directory, en la ficha Delegación, agregue BASPLUGIN111/<BAS_pool_FQDN> a la lista de servicios.
Después de terminar: Para obtener más información acerca de la configuración de la delegación restringida para la cuenta deMicrosoft Active Directory con el fin de poder acceder a BlackBerry Administration Service, visite www.blackberry.com/btsc paraleer el artículo KB22717.
Activar la autenticación de registro único para BlackBerry AdministrationService1. En BlackBerry® Administration Service, en el menú Servidores y componentes, expanda Topología de la solución
BlackBerry > BlackBerry Domain > Vista de componente.
2. Haga clic en BlackBerry Administration Service.
3. En la ficha Autenticación de Microsoft® Active Directory®, haga clic en Editar componente.
4. En la sección Dominio de inicio de sesión, en la lista desplegable Autenticación de registro único para BlackBerryAdministration Service activada, haga clic en Sí.
5. Para configurar la cuenta de Microsoft® Active Directory® para cada uno de los bosques, en la sección Nombre del bosquede la cuenta, escriba el nombre de dominio del usuario, el nombre de usuario y la contraseña de la cuenta de MicrosoftActive Directory.
6. Haga clic en Guardar todo.
7. En los Servicios de Windows®, reinicie todos los servicios de BlackBerry® Enterprise Server.
Nota de seguridad Configurar la delegación restringida para la cuenta de Microsoft Active Directory para que sea compatible con la autenticación deregistro único
11
8. Indique a todos los administradores y usuarios de dispositivos BlackBerry® que agreguen las direcciones Web de BlackBerryAdministration Service y BlackBerry® Web Desktop Manager a la lista de sitios Web en la zona de la intranet local y queinstalen el certificado de BlackBerry Administration Service o BlackBerry Web Desktop Manager en el almacén de certificadosde sus ordenadores.
Nota de seguridad Activar la autenticación de registro único para BlackBerry Administration Service
12
Resolución de problemas: registro único de BlackBerryAdministration Service
5
Los usuarios pueden ver la página de inicio de sesión una vez que se haconfigurado el registro único de BlackBerry Administration ServiceTrate de realizar las acciones siguientes:
• Compruebe que los administradores o los usuarios de BlackBerry® Web Desktop Manager utilizan la dirección Web correctade la consola de BlackBerry Administration Service o BlackBerry Web Desktop Manager.
• Compruebe que el explorador se ejecuta en un ordenador que forma parte del dominio de confianza de su empresa.• Si el explorador se ejecuta en un dominio distinto al dominio en el que se ejecuta BlackBerry Administration Service,
compruebe que ha configurado el enrutamiento del sufijo de dominio entre los dominios. Si no ha configurado elenrutamiento del sufijo de dominio, el explorador no podrá acceder al KDC que genera el vale de servicio para BlackBerryAdministration Service.
• Compruebe que el administrador o usuario ha configurado el explorador para que sea compatible con la autenticaciónintegrada de Windows®.
• Compruebe que el explorador no se ejecuta en el ordenador que aloja BlackBerry Administration Service. Si el exploradorse ejecuta en el ordenador que aloja BlackBerry Administration Service, el explorador no podrá recuperar el vale de serviciopara BlackBerry Administration Service.
• Compruebe que el administrador o usuario ha agregado las direcciones Web de la consola de BlackBerry AdministrationService y BlackBerry Web Desktop Manager a la lista de sitios de confianza de la intranet.
Nota de seguridad Resolución de problemas: registro único de BlackBerry Administration Service
13
Recursos relacionados 6
Puede utilizar los siguientes recursos relacionados para obtener más información sobre Kerberos™ y la delegación restringida:• Autenticación Kerberos y solución de problemas de delegación• Referencia técnica de la autenticación Kerberos• Extensiones Kerberos de Windows Server® 2003• Transición de protocolo Kerberos y delegación restringida• Extensiones de protocolo Kerberos: Especificación de protocolo de servicio del usuario y delegación restringida• Exploración de extensiones S4U Kerberos en Windows Server 2003• IIS y Kerberos. Parte 2: Nombres principales de servicio• IIS y Kerberos. Parte 3: Un ejemplo sencillo• Seguridad de BlackBerry
Nota de seguridad Recursos relacionados
14
Glosario 7
APIApplication Programming Interface (Interfaz de programación de aplicaciones)
GSSAPILa Interfaz de programación de aplicaciones de servicios de seguridad genéricos(GSSAPI) es una API estándar de IETF quepermite a las aplicaciones acceder a servicios de seguridad (como, por ejemplo, Microsoft® Active Directory®). El protocoloKerberos™ es un tipo de GSSAPI.
HTTPProtocolo de transferencia de hipertexto
HTTPSHypertext Transfer Protocol over Secure Sockets Layer (Protocolo de transferencia de hipertexto a través de un nivel desocket seguro)
HTTP NegotiateHTTP Negotiate es una extensión de autenticación que proporciona registro único a las aplicaciones Web compatibles conla autenticación integrada de Windows®. HTTP Negotiate ha sido desarrollado por Microsoft.
IETFGrupo de trabajo de Ingeniería de Internet
IISInternet Information Services
KDCUn centro de distribución de claves (KDC) es un servidor que realiza la función de árbitro de confianza para el protocoloKerberos™. El KDC emite solicitudes de servicio y guarda una lista de las solicitudes que ha emitido. Los controladores dedominio son KDC.
Protocolo KerberosEl protocolo Kerberos™ es un protocolo de autenticación de Microsoft® Active Directory® que permite que una aplicaciónde terceros de confianza pueda autenticar a los clientes intercambiando vales de servicio cifrados con Microsoft ActiveDirectory.
LDAPLightweight Directory Access Protocol (Protocolo ligero de acceso a directorios)
extensión S4U2proxy
Nota de seguridad Glosario
15
La extensión S4U2proxy (del inglés Service-for-User-to-Proxy) completa el proceso de delegación restringida. Permite queun servicio habilitado para Kerberos™ recupere el vale de servicio de otro servicio habilitado para Kerberos desde el KDCen nombre de un cliente.
solicitud de servicioUna solicitud de servicio es una clave Kerberos™ que un cliente de un servicio habilitado para Kerberos puede utilizar parainiciar una sesión de confianza con dicho servicio habilitado para Kerberos. El cliente del servicio habilitado para Kerberosrecupera la clave de servicio para dicho servicio habilitado para Kerberos desde el KDC.
SPNUn nombre principal de servicio (SPN) es un atributo de un usuario o grupo de Microsoft® Active Directory® que admite laautenticación mutua entre un cliente de un servicio habilitado para Kerberos® y dicho servicio habilitado para Kerberos.Una cuenta de Microsoft Active Directory puede tener uno o más SPN.
SPNEGOEl Mecanismo de negociación GSSAPI simple y protegido (SPNEGO) es un pseudomecanismo de GSSAPI que negocia unoo más mecanismos reales. Un cliente puede utilizar SPNEGO cuando debe autenticarse con un servicio remoto pero ni elcliente ni el servicio conocen los protocolos de autenticación que admite el otro.
SSLSecure Sockets Layer (Capa de sockets seguros)
TGSEl Servicio de concesión de vales (TGS) es un servicio de KDC que concede vales de servicio a los servicios habilitados paraKerberos™ de la red de sus empresa.
TGTEl Vale de concesión de vales (TGT) es un vale de servicio que el cliente de un servicio habilitado para Kerberos™ envía alTGS para solicitar el vale de servicio para dicho servicio Kerberos.
TLSTransport Layer Security (Seguridad de capa de transporte)
Nota de seguridad Glosario
16
Comentarios 8
Para ofrecer comentarios acerca de este documento, visite www.blackberry.com/docsfeedback.
Nota de seguridad Comentarios
17
Aviso legal 9
©2010 Research In Motion Limited. Todos los derechos reservados. BlackBerry®, RIM®, Research In Motion®, SureType®,SurePress™ y las marcas comerciales, nombres y logotipos relacionados son propiedad de Research In Motion Limited y estánregistrados y/o se utilizan en EE.UU. y en diferentes países del mundo.
Google Chrome es una marca comercial de Google Inc. IBM y Lotus Notes son marcas comerciales de International BusinessMachines Corporation. JavaScript es una marca registrada de Sun Microsystems, Inc. Kerberos es una marca comercial deMassachusetts Institute of Technology. Mac y Safari son marcas comerciales de Apple Inc. Microsoft, Active Directory, ActiveX,Internet Explorer, Windows, Windows Server y Windows Vista son marcas comerciales de Microsoft Corporation. Mozilla y Firefoxson marcas comerciales de Mozilla Foundation. Todas las demás marcas comerciales son propiedad de sus respectivospropietarios.
Esta documentación, incluida cualquier documentación que se incorpore mediante referencia como documento proporcionadoo disponible en www.blackberry.com/go/docs, se proporciona o se pone a disposición "TAL CUAL" y "SEGÚN SUDISPONIBILIDAD" sin ninguna condición, responsabilidad o garantía de ningún tipo por Research In Motion Limited y susempresas afiliadas ("RIM") y RIM no asume ninguna responsabilidad por los errores tipográficos, técnicos o cualquier otraimprecisión, error u omisión contenidos en esta documentación. Con el fin de proteger la información confidencial y propia deRIM, así como los secretos comerciales, la presente documentación describe algunos aspectos de la tecnología de RIM en líneasgenerales. RIM se reserva el derecho a modificar periódicamente la información que contiene esta documentación, si bien tampocose compromete en modo alguno a proporcionar cambios, actualizaciones, ampliaciones o cualquier otro tipo de información quese pueda agregar a esta documentación.
Esta documentación puede contener referencias a fuentes de información, hardware o software, productos o servicios, incluidoscomponentes y contenido como, por ejemplo, el contenido protegido por copyright y/o sitios Web de terceros (conjuntamente,los "Productos y servicios de terceros"). RIM no controla ni es responsable de ningún tipo de Productos y servicios de terceros,incluido, sin restricciones, el contenido, la exactitud, el cumplimiento de copyright, la compatibilidad, el rendimiento, la honradez,la legalidad, la decencia, los vínculos o cualquier otro aspecto de los Productos y servicios de terceros. La inclusión de unareferencia a los Productos y servicios de terceros en esta documentación no implica que RIM se haga responsable de dichosProductos y servicios de terceros o de dichos terceros en modo alguno.
EXCEPTO EN LA MEDIDA EN QUE LO PROHÍBA ESPECÍFICAMENTE LA LEY DE SU JURISDICCIÓN, QUEDAN EXCLUIDAS PORLA PRESENTE TODAS LAS CONDICIONES, APROBACIONES O GARANTÍAS DE CUALQUIER TIPO, EXPLÍCITAS O IMPLÍCITAS,INCLUIDA, SIN NINGÚN TIPO DE LIMITACIÓN, CUALQUIER CONDICIÓN, APROBACIÓN, GARANTÍA, DECLARACIÓN DEGARANTÍA DE DURABILIDAD, IDONEIDAD PARA UN FIN O USO DETERMINADO, COMERCIABILIDAD, CALIDAD COMERCIAL,ESTADO DE NO INFRACCIÓN, CALIDAD SATISFACTORIA O TITULARIDAD, O QUE SE DERIVE DE UNA LEY O COSTUMBREO UN CURSO DE LAS NEGOCIACIONES O USO DEL COMERCIO, O RELACIONADO CON LA DOCUMENTACIÓN O SU USOO RENDIMIENTO O NO RENDIMIENTO DE CUALQUIER SOFTWARE, HARDWARE, SERVICIO O CUALQUIER PRODUCTO OSERVICIO DE TERCEROS MENCIONADOS AQUÍ. TAMBIÉN PODRÍA TENER OTROS DERECHOS QUE VARÍAN SEGÚN ELESTADO O PROVINCIA. ES POSIBLE QUE ALGUNAS JURISDICCIONES NO PERMITAN LA EXCLUSIÓN O LA LIMITACIÓN DEGARANTÍAS IMPLÍCITAS Y CONDICIONES. EN LA MEDIDA EN QUE LO PERMITA LA LEY, CUALQUIER GARANTÍA IMPLÍCITAO CONDICIONES EN RELACIÓN CON LA DOCUMENTACIÓN NO SE PUEDEN EXCLUIR TAL Y COMO SE HA EXPUESTOANTERIORMENTE, PERO PUEDEN SER LIMITADAS, Y POR LA PRESENTE ESTÁN LIMITADAS A NOVENTA (90) DÍAS DESDEDE LA FECHA QUE ADQUIRIÓ LA DOCUMENTACIÓN O EL ELEMENTO QUE ES SUJETO DE LA RECLAMACIÓN.
Nota de seguridad Aviso legal
18
EN LA MEDIDA MÁXIMA EN QUE LO PERMITA LA LEY DE SU JURISDICCIÓN, EN NINGÚN CASO RIM ASUMIRÁRESPONSABILIDAD ALGUNA POR CUALQUIER TIPO DE DAÑOS RELACIONADOS CON ESTA DOCUMENTACIÓN O SU USO,O RENDIMIENTO O NO RENDIMIENTO DE CUALQUIER SOFTWARE, HARDWARE, SERVICIO O PRODUCTOS Y SERVICIOSDE TERCEROS AQUÍ MENCIONADOS INCLUIDOS SIN NINGÚN TIPO DE LIMITACIÓN CUALQUIERA DE LOS SIGUIENTESDAÑOS: DIRECTOS, RESULTANTES, EJEMPLARES, INCIDENTALES, INDIRECTOS, ESPECIALES, PUNITIVOS O AGRAVADOS,DAÑOS POR PÉRDIDA DE BENEFICIOS O INGRESOS, IMPOSIBILIDAD DE CONSEGUIR LOS AHORROS ESPERADOS,INTERRUPCIÓN DE LA ACTIVIDAD COMERCIAL, PÉRDIDA DE INFORMACIÓN COMERCIAL, PÉRDIDA DE LA OPORTUNIDADDE NEGOCIO O CORRUPCIÓN O PÉRDIDA DE DATOS, IMPOSIBILIDAD DE TRANSMITIR O RECIBIR CUALQUIER DATO,PROBLEMAS ASOCIADOS CON CUALQUIER APLICACIÓN QUE SE UTILICE JUNTO CON PRODUCTOS Y SERVICIOS DE RIM,COSTES DEBIDOS AL TIEMPO DE INACTIVIDAD, PÉRDIDA DE USO DE LOS PRODUCTOS Y SERVICIOS DE RIM O PARTE DEÉL O DE CUALQUIER SERVICIO DE USO, COSTE DE SERVICIOS SUSTITUTIVOS, COSTES DE COBERTURA, INSTALACIONESO SERVICIOS, COSTE DEL CAPITAL O CUALQUIER OTRA PÉRDIDA MONETARIA SIMILAR, TANTO SI DICHOS DAÑOS SE HANPREVISTO O NO, Y AUNQUE SE HAYA AVISADO A RIM DE LA POSIBILIDAD DE DICHOS DAÑOS.
EN LA MEDIDA MÁXIMA EN QUE LO PERMITA LA LEY DE SU JURISDICCIÓN, RIM NO TENDRÁ NINGÚN OTRO TIPO DEOBLIGACIÓN O RESPONSABILIDAD CONTRACTUAL, EXTRACONTRACTUAL O CUALQUIER OTRA, INCLUIDA CUALQUIERRESPONSABILIDAD POR NEGLIGENCIA O RESPONSABILIDAD ESTRICTA.
LAS LIMITACIONES, EXCLUSIONES Y DESCARGOS DE RESPONSABILIDAD SE APLICARÁN: (A) INDEPENDIENTEMENTE DELA NATURALEZA DE LA CAUSA DE LA ACCIÓN, DEMANDA O ACCIÓN SUYA, INCLUIDA PERO NO LIMITADA ALINCUMPLIMIENTO DEL CONTRATO, NEGLIGENCIA, AGRAVIO, EXTRACONTRACTUAL, RESPONSABILIDAD ESTRICTA OCUALQUIER OTRA TEORÍA DEL DERECHO Y DEBERÁN SOBREVIVIR A UNO O MÁS INCUMPLIMIENTOS ESENCIALES O ALINCUMPLIMIENTO DEL PROPÓSITO ESENCIAL DE ESTE CONTRATO O CUALQUIER SOLUCIÓN CONTENIDA AQUÍ; Y (B) ARIM Y A SUS EMPRESAS AFILIADAS, SUS SUCESORES, CESIONARIOS, AGENTES, PROVEEDORES (INCLUIDOS LOSPROVEEDORES DE SERVICIOS DE USO), DISTRIBUIDORES AUTORIZADOS POR RIM (INCLUIDOS TAMBIÉN LOSPROVEEDORES DE SERVICIOS DE USO) Y SUS RESPECTIVOS DIRECTORES, EMPLEADOS Y CONTRATISTASINDEPENDIENTES.
ADEMÁS DE LAS LIMITACIONES Y EXCLUSIONES MENCIONADAS ANTERIORMENTE, EN NINGÚN CASO NINGÚNDIRECTOR, EMPLEADO, AGENTE, DISTRIBUIDOR, PROVEEDOR, CONTRATISTA INDEPENDIENTE DE RIM O CUALQUIERAFILIADO DE RIM ASUMIRÁ NINGUNA RESPONSABILIDAD DERIVADA DE O RELACIONADA CON LA DOCUMENTACIÓN.
Antes de instalar, usar o suscribirse a cualquiera de los Productos y servicios de terceros, es su responsabilidad asegurarse deque su proveedor de servicios de uso ofrezca compatibilidad con todas sus funciones. Puede que algunos proveedores de serviciosde uso no ofrezcan las funciones de exploración de Internet con una suscripción al servicio BlackBerry® Internet Service. Consultecon su proveedor de servicios acerca de la disponibilidad, arreglos de itinerancia, planes de servicio y funciones. La instalacióno el uso de los Productos y servicios de terceros con productos y servicios de RIM puede precisar la obtención de una o máspatentes, marcas comerciales, derechos de autor u otras licencias para evitar que se vulneren o violen derechos de terceros.Usted es el único responsable de determinar si desea utilizar Productos y servicios de terceros y si se necesita para ello cualquierotra licencia de terceros. En caso de necesitarlas, usted es el único responsable de su adquisición. No instale o utilice Productosy servicios de terceros hasta que se hayan adquirido todas las licencias necesarias. Cualquier tipo de Productos y servicios deterceros que se proporcione con los productos y servicios de RIM se le facilita para su comodidad "TAL CUAL" sin ningunacondición expresa e implícita, aprobación, garantía de cualquier tipo por RIM y RIM no sume ninguna responsabilidad en relacióncon ello. El uso de los Productos y servicios de terceros se regirá y estará sujeto a la aceptación de los términos de licenciasindependientes aplicables en este caso con terceros, excepto en los casos cubiertos expresamente por una licencia u otro acuerdocon RIM.
Nota de seguridad Aviso legal
19
Algunas funciones mencionadas en esta documentación requieren una versión mínima del software de BlackBerry® EnterpriseServer, BlackBerry® Desktop Software y/o BlackBerry® Device Software.
Los términos de uso de cualquier producto o servicio de RIM se presentan en una licencia independiente o en otro acuerdo conRIM que se aplica en este caso. NINGUNA PARTE DE LA PRESENTE DOCUMENTACIÓN ESTÁ PENSADA PARA PREVALECERSOBRE CUALQUIER ACUERDO EXPRESO POR ESCRITO O GARANTÍA PROPORCIONADA POR RIM PARA PARTES DECUALQUIER PRODUCTO O SERVICIO DE RIM QUE NO SEA ESTA DOCUMENTACIÓN.
Algunas funciones mencionadas en esta documentación requieren desarrollo adicional o Productos y servicios de terceros paraacceder a aplicaciones empresariales.
Research In Motion Limited295 Phillip StreetWaterloo, ON N2L 3W8Canadá
Research In Motion UK Limited Centrum House 36 Station Road Egham, Surrey TW20 9LF Reino Unido
Publicado en Canadá
Nota de seguridad Aviso legal
20
