Activación del acceso seguro y remoto a IBM Lotus iNotes con IBM Lotus Mobile Connect

Aprenda de qué manera se puede usar la opción totalmente basada en la Web (clientless) de IBM® Lotus® Mobile Connect en conjunto con IBM Lotus iNotes™ para obtener acceso seguro y remoto a los servidores empresariales de iNotes desde dispositivos (portátiles, laptops, estaciones de trabajo) que requieren acceso por fuera de los límites de la intranet de la empresa.

John Kari, Senior Software Engineer, IBM

John Kari es Senior Software Engineer para IBM en el Research Triangle Park, Carolina del Norte. Tiene más de 17 años de experiencia y es actualmente el principal programador de desarrollos de puertas de enlace de Lotus Mobile Connect. John cuenta con una amplia experiencia en interfaces de clientes, desde las perspectivas de preventa y posventa, comprende profundamente la seguridad empresarial en general, y es experto en las capacidades totalmente basadas en la Web (clientless) de Lotus Mobile Connect.



05-05-2010 (Primera publicación 05-05-2010)

Nota del editor: ¿Sabe mucho sobre este tema? ¿Desea compartir su experiencia? Participe hoy mismo en el programa del wiki sobre IBM Lotus software.

Introducción

Este artículo está dirigido a los clientes de IBM Lotus iNotes que desean obtener un acceso seguro y remoto a los servidores empresariales de Lotus iNotes desde dispositivos tales como los asistentes personales digitales (PDA por su denominación en inglés), laptops, o estaciones de trabajo que requieren acceso por fuera de los límites de la intranet de la empresa. Con Lotus Mobile Connect , usted puede lograrlo de dos maneras.

Lotus Mobile Connect ofrece una solución completa de red privada virtual (VPN por su denominación en inglés) basada en el cliente/servidor, para la cual se instala el cliente de Lotus Mobile Connect en diversas plataformas de usuario compatibles. Para las aplicaciones basadas en HTTP (como por ejemplo, Lotus iNotes), Lotus Mobile Connect ofrece también una opción clientless que no requiere la instalación de software adicional en el dispositivo del usuario; en cambio, ofrece una autenticación segura a través del inicio de sesión basado en un buscador (ver figura 1).

Este artículo explica de qué manera se usa la opción clientless de Lotus Mobile Connect conjuntamente con Lotus iNotes.

Figura 1. Opción clientless de Lotus Mobile Connect con Lotus iNotes
Opción clientless de Lotus Mobile Connect con Lotus iNotes

¿Por qué Lotus Mobile Connect?

Lotus Mobile Connect ofrece una plataforma certificada por Federal Information Processing Standards (FIPS) 140-2 que contiene los últimos códigos del nivel de seguridad de conexión (SSL) / seguridad del nivel de transporte (TLS) y mecanismos de autenticación estándar en la industria. La opción clientless de Lotus Mobile Connect, es decir, los servicios de acceso a HTTP de Lotus Mobile Connect HTTP, usa los mismos algoritmos de autenticación y codificación que el cliente de VPN total. Los servicios de acceso a HTTP se pueden configurar para que se ejecuten en simultáneo con las sesiones de VPN total, brindando una solución de acceso remoto multifunción con poco espacio ocupado, gracias a lo cual los administradores de IT pueden controlar la amplitud de acceso por usuario.

La consola de gestión de Lotus Mobile Connect, Gatekeeper, provee acceso a todas las opciones de configuración y un control total sobre los códigos, los métodos de autenticación, las restricciones de seguridad y los destinos empresariales.

¿Cómo funciona?

Los servicios de acceso a HTTP de Lotus Mobile Connect aseguran las comunicaciones forzando a las aplicaciones remotas basadas en HTTP a conectarse usando la tecnología SSL/TLS estándar de la industria. Los códigos SSL/TLS son configurables y se pueden restringir a los algoritmos certificados de FIPS 140-2. También se dispone de una validación de certificados en dos sentidos, para agregar un nivel adicional de confianza a la sesión.

Una vez establecidas las comunicaciones seguras, el Connection Manager envía un pedido basado en formulario para que la aplicación remota ingrese las credenciales del usuario. La información de las credenciales está codificada en x-www-url y se envía a través de una conexión segura usando una operación HTTP POST. Los servicios de acceso a HTTP decodifican y validan la información mediante un método de autenticación configurable.

Ante el éxito de la validación, el servicio de acceso a HTTP construye un token y lo envía a la aplicación remota con el modelo operacional Set-Cookie de HTTP. El cookie contiene un token codificado específico para Lotus Mobile Connect y provoca la activación de los bits seguros de la sesión. Luego, se espera que el cliente remoto incluya el cookie que contiene el token en todas las solicitudes de conexión futuras.

Ahora que el token se encuentra presente en los flujos de HTTP, el servicio de acceso a HTTP abre una conexión a un host empresarial y transmite el tráfico en ambos sentidos, de manera similar a una puerta de enlace SSL/TLS.

Lo que no es

El soporte clientless de Lotus Mobile Connect Connection Manager no es un proxy de HTTP. No oculta contenido alguno ni almacena otra información contenida en el cuerpo del flujo de datos de HTTP. No es un optimizador, compresor ni redactor de token, y no puede despejar el caché de un buscador. Debido al uso de un cookie de sesión segura, los usuarios deben asegurarse de salir de la sesión del navegador cuando finalicen la sesión de una aplicación.


¿Por qué Lotus iNotes?

Lotus iNotes es una aplicación basada en Internet que provee acceso al correo de Lotus Notes y a la información de la gestión de información personal (PIM por su denominación en inglés) desde un navegador Wen estándar. Debido a que los navegadores usan HTTP como transporte primario, esta aplicación puede aprovechar al máximo la opción clientless de Lotus Mobile Connect para obtener acceso a las bases de datos de correos ubicadas en la intranet de la empresa desde un navegador compatible con acceso a Internet.

Lotus iNotes, anteriormente conocido como IBM Lotus Domino® Web Access, soporta tres tipos de modos de uso. El modo full ofrece el conjunto más completo de características y está hecho para usarlo cuando la amplitud de banda no representa un problema. Es el modo preferido para usar desde estaciones de trabajo dedicadas con una conexión de red de alta velocidad al servidor de correo. En las versiones de Lotus Domino anteriores a la 8.0.1, el modo full era el único modo existente. Incluye las siguientes áreas funcionales principales:

  • Página de bienvenida (página de inicio que se puede personalizar)
  • Correo
  • Calendario
  • Contactos
  • Tareas a realizar
  • Bloc de notas

Lotus iNotes soporta también la codificación del estilo de Lotus Notes y S/MIME y una capacidad de limpieza de cachés para ciertos navegadores. Conjuntamente con el servidor Lotus Sametime®, ofrece mensajería instantánea y reconocimiento de presencia integradas. Lotus iNotes ofrece también una capacidad offline con casi todas las funciones y archivo local mediante Domino Off-Line Services (DOLS). Cuando se implementa con la oferta de Lotus Domino Unified Communications, ofrece además diversas características de comunicaciones unificadas.

El modo lite, que apareció por primera vez con Lotus Domino 8.0.1, es una versión con menos características que ha sido optimizada para los entornos con restricciones de amplitud de banda. Su versión inicial provee soporte solamente a la función Correo y cierto acceso limitado a los datos del Calendario mediante una barra lateral. Al igual que el modo full, ofrece una completa experiencia de usuario que aprovecha al máximo las técnicas más novedosas de Asynchronous JavaScript™ y XML (AJAX). La interfaz del usuario (UI) es aún más consistente con la completa oferta a los clientes de Lotus Notes.

El modo ultralite apareció en la versión 8.0.2 de Lotus Domino y está diseñada para los navegadores de los últimos dispositivos móviles con poca amplitud de banda. La versión inicial soporta los dispositivos Apple iPhone e iPod Touch. La UI cumple acabadamente con los lineamientos recomendados por Apple para las aplicaciones de iPhone. El modo ultralite aprovecha al máximo la mínima cantidad de script y está diseñada para funcionar desde navegadores con scripts cancelados.


Arquitectura

Examinemos la arquitectura de los dos componentes del producto que se tratan aquí, Lotus Mobile Connect y Lotus iNotes.

Servicios de acceso a HTTP de Lotus Mobile Connect

Los servicios de acceso a HTTP de Connection Manager proveen una función de puerta de enlace de SSL/TLS para las comunicaciones en HTTP desde cualquier flujo de datos de cliente de la versión 1.1 de HTTP, como por ejemplo un navegador Web. La conexión ofrece acceso a servicios basados en Internet y contenidos dentro de la empresa sin que sea necesaria la presencia de un cliente VPN. La sesión se vuelve segura gracias al uso de SSL/TLS y puede estar restringida para que sólo permita conexiones de hosts específicos o rangos de direcciones.

Los servicios de acceso a HTTP constituyen un subsistema dentro de Lotus Mobile Connect, responsable de aplicar opciones de configuración establecidas a todas las solicitudes de conexión y a todo el tráfico de datos. Este subsistema tiene a su cargo la aplicación de la seguridad, la validación del acceso, la generación de información de auditoría, y la transmisión del tráfico a los servidores deseados ubicados en la empresa.

SSL/TLS

Los servicios de acceso a HTTP de Connection Manager usan SSL o TLS cuando se comunican con el navegador o con una aplicación del cliente. Las versiones 2 y 3 del protocolo SSL se encuentran soportadas, al igual que los siguientes algoritmos:

  • Algoritmos de clave pública
    • RSA (claves de 1024, 768, o 512 bits)
  • Algoritmos de criptografía simétrica
    • DES (clave de 56 bits)
    • Triple DES (clae de 168 bits)
    • RC4 (claves de 40, 56, o 128 bits)
  • MAC (Message authentication codes)
    • SHA-1
    • MD5

Los certificados X.509 pueden proveer autenticación para las comunicaciones SSL/TLS. Dichos certificados, junto con los certificados raíz que sirven para validar el certificado de la otra parte, se almacenan en una base de datos de claves instalada con Connection Manager. El administrador de Connection Manager puede configurar la fuente de esta base de datos, usando la consola de administración de Gatekeeper. Además, el administrador puede configurar los certificados raíz y los certificados en el cliente que se deseen, con la interfaz de administración del conjunto de herramientas de SSL, IBM Key Management.

Lotus Mobile Connect soporta la restricción de los códigos SSL/TLS a aquellos que estén aprobados conforme a FIPS 140-2 y soporta el rechazo de las solicitudes de conexión compatibles solamente con códigos de la versión 2 de SSL/TLS.

Autenticación

Los servicios de acceso a HTTP autentican cada una de las conexiones seguras a HTTP, verificando las credenciales de los usuarios en el flujo de datos. De no haber ninguna, se emite un pedido basado en un formulario para que se solicite la ID de usuario y la contraseña válidas. Esta función usa algoritmos y métodos de autenticación disponibles para todos los componentes de Lotus Mobile Connect.

Los métodos de autenticación son contendores de recursos que definen de qué manera Lotus Mobile Connect pide y valida credenciales de usuarios remotos. Lotus Mobile Connect soporta métodos de validación de credenciales con lo siguiente:

  • Servidores de directorios compatibles con LDAP V3
  • Servidores del protocolo RADIUS
  • ID segura de RSA incluyendo el soporte al token siguiente
  • Intercambio de certificados X.509
  • Cuentas de usuarios del sistema Lotus Mobile Connect

Para más información sobre métodos de autenticación, consulte la guía del Administrador del Centro de Información sobre Lotus Mobile Connect.

Single Sign-On (SSO)

Los servicios de acceso a HTTP pueden activar SSO mediante Lightweight Third Party Authentication (LTPA). LTPA ofrece un mecanismo para almacenar la información de autenticación de usuarios en un token que se genera cuando los usuarios son autenticados con éxito con Connection Manager. El token queda codificado y firmado por medio de una contraseña y un par de claves pública/privada, que se almacenan en una cookie de HTTP, y se incluyen en todas las solicitudes del dominio SSO configurado.

Las claves de LTPA se comparten con otros servidores compatibles con LTPA dentro del mismo dominio, de manera que los servidores puedan validar el token y autenticar las solicitudes de usuarios en lugar de pedirlas al usuario. Los tokens de LTPA incluyen un marcador de tiempo con vencimiento configurable; una vez que vence el token, se emite otro pedido de autenticación.

El token de LTPA se usa en lugar del token específico de Lotus Mobile Connect y se envía a la aplicación del cliente de HTTP en forma de cookie HTTP, usando la directiva Set-Cookie. Los clientes de HTTP incluyen este token en todas sus futuras solicitudes a HTTP.

Recurso de los servicios de acceso a HTTP

El recurso de los servicios de acceso a HTTP contiene información que le dice a Lotus Mobile Connect cómo autenticar usuarios y dónde transmitir el tráfico al servidor de back-end. Cada recurso de los servicios de acceso a HTTP puede enviar el tráfico a un único servidor de aplicaciones o proxy. Existen tres opciones para configurar el acceso a múltiples servidores de aplicaciones de back-end:

  • Lotus iNotes Redirector. Lotus Mobile Connect se encuentra totalmente integrado a Lotus iNotes Redirector, lo cual permite que una única definición de servicios de acceso a HTTP funcione con múltiples servidores de correo Lotus iNotes de back-end.
  • Use un reverse proxy de transferencia de códigos. Esta opción permite que un reverse proxy envíe el tráfico al destino adecuado, en base a la información incluida en el URL de destino.
  • Asigne diferentes puertos de escucha a cada definición de recurso de servicios de acceso a HTTP. Debido a que cada recurso de servicios de acceso a HTTP puede configurarse para que envíe tráfico a un servidor de back-end o proxy distinto, configure cada servicio para que escuche en un puerto diferente. Los usuarios deben conocer este puerto para agregarlo a la solicitud del URL, por ejemplo: https://inotes.xyz.com:12345.
  • Use múltiples direcciones de protocolo de Internet. La configuración de los servicios de acceso a HTTP incluye la capacidad de enlazar el servicio a una dirección IP específica. De este modo, pueden existir múltiples recursos de servicios de acceso a HTTP que escuchen en el mismo conjunto de puertos. Esta opción es necesaria para las aplicaciones que esperan usar los puertos 80 y 443 estándar de HTTP. El URL al usuario simplemente se ve como diferentes nombres de host, como por ejemplo, https://inotes1.example.com, https://inotes2.example.com.

Pedido configurable basado en formulario

Lotus Mobile Connect genera el formulario de pedido después de analizar los token del encabezado de HTTP, con el fin de determinar el tipo de navegador y el lugar preferido (ver figura 2). Los archivos de plantilla que se usan para este formulario están instalados con el producto en subdirectorios específicos de la ubicación. Estas plantillas están diseñadas para ser personalizables, siempre y cuando permanezcan inalterables la función y la estructura de atributos básicos.

Figura 2. Pantalla de pedidos basados en formulario
Pantalla de pedidos basados en formulario

Los administradores tienen libertad para modificar los fondos, las imágenes, el texto, etc. Los archivos de recursos se ubican fuera de la ruta de instalación en subdirectorios específicos de la ubicación, de la siguiente manera:

  • AIX: /opt/IBM/ConnectionManager/http/msg/<locale>/
  • Linux / Solaris: /opt/ibm/ConnectionManager/http/msg/<locale>/
  • Windows Server: Los archivos C:\Program Files\IBM\Connection Manager\http\msg\<locale>Resource enviados a los navegadores tienen un prefijo_ estándar, mientras que el archivo de recursos destinado a dispositivos móviles posee un prefijo _ móvil. Estos archivos se cargan a demanda, y cualquier cambio se visualiza la próxima vez que se accede al mismo sin necesidad de reiniciar el servidor. La versión móvil del formulario de pedido está diseñada para las visualizaciones en iPhone/iPod (ver figura 3).
Figura 3. Versión móvil de la pantalla de pedidos
Versión móvil de la pantalla de pedidos

Cuando usted ingresa una ID de usuario y una contraseña y oprime el botón Login, el navegador genera una operación POST codificada en el URL que contiene los campos ingresados junto con campos ocultos que incluyen información sobre la sesión.

Las aplicaciones basadas en HTTP pueden responder al pedido sin necesidad de mostrar la página al usuario. Usted sólo podrá identificar el pedido de Lotus Mobile Connect si consulta el token del servidor en el encabezado de HTTP.

Lotus iNotes

Lotus iNotes se instala como parte de la instalación del servidor Lotus Domino, siempre y cuando no se detecte la opción Lotus iNotes cuando se realice una instalación personalizada. Para más detalles sobre la instalación y configuración de Lotus iNotes, consulte Lotus Domino Administrator Help (Ayuda para el administrador de Lotus Domino).


Configuración

La activación del acceso a Lotus iNotes con los servicios de acceso a HTTP requiere decisiones de arquitectura y pasos de configuración para ambos componentes. Esta sección describe las opciones y los requerimientos para cada uno de los componentes.

Lotus iNotes

Para cada uno de los servidores de Lotus iNotes a los cuales accede Lotus Mobile Connect, se necesitan la dirección de red interna o el nombre del host y el Puerto TCP para poder configurar adecuadamente el servicio de acceso a http de Lotus Mobile Connect. Si usted desea una canalización codificada entre los servidores de Lotus iNotes y Lotus Mobile Connect, deberá importar un certificado en formato PKCS12 para cada uno de los servidores de Lotus iNotes a la base de datos de claves para Lotus Mobile Connect.

Lotus Mobile Connect

La configuración de Lotus Mobile Connect implica establecer métodos de autenticación y definir una o más instancias del recurso de los servicios de acceso a HTTP. Esta sección incluye imágenes de pantalla tomadas del controlador de la consola de gestión de Lotus Mobile Connect.

Consideremos una arquitectura de muestra que incluye un único servicio de acceso a HTTP configurado para autenticar usuarios en base a un servidor de directorios LDAP de Lotus Domino LDAP y para luego transmitir el tráfico autenticado a un nodo Redirector de Lotus iNotes.

Los pasos suponen que se está usando la interfaz de gestión del controlador de Lotus Mobile Connect.

Recurso del servidor de directorios

En primer lugar, creamos un recurso del servidor de directorios, con estos pasos:

  1. Con el botón derecho del mouse, haga clic en una carpeta de nivel superior, o cree una nueva carpeta para que incluya la información de configuración, y seleccione Add resource - Directory server (Agregar recurso: servidor de directorios).
  2. En la ventana Add a Directory Server (Agregar servidor de directorios) (ver figura 4), ingrese un nombre común (cualquier texto que describa el recurso).
  3. Ingrese el Hostname o la dirección IP del servidor de directorios.
  4. Ingrese el nombre específico de base, el sufijo más específico común a todos los usuarios. En el árbol de directorios, este es el punto de inicio para resolver las cuentas de usuarios. Haga clic en Next (Siguiente).

    Figura 4. Ventana Add a Directory Server
    Ventana Add a Directory Server
  5. En la siguiente pantalla (ver figura 5) ingrese el número de puerto del servicio.
  6. Si no se permiten las búsquedas anónimas, ingrese el nombre particular y la contraseña de un Administrador.
  7. Si el servidor de directorios requiere una conexión segura, active la opción Use secure connection (Usar conexión segura) e ingrese una base de datos de claves y un archivo intermedio. Si el servidor de directorios usa un certificado con firma propia, usted deberá importar ese certificado a la base de datos de claves.
  8. Haga clic en Next. Seleccione una Primary OU (Unidad organizacional primaria), y presione Finish (Finalizar).

    Figura 5. Segunda ventana Add a Directory Server
    Segunda ventana Add a Directory Server

Recurso del perfil de autenticación

El siguiente paso consiste en definir un perfil de autenticación que utilice el recurso del servidor de directorios del paso anterior. El perfil de autenticación es un contenedor que define de qué manera el servicio de acceso a HTTP pide y valida las credenciales de los usuarios.

Lotus Mobile Connect soporta la validación de certificados en ambos sentidos de identidad segura de LDAP, RADIUS/RSA, y los métodos de autenticación específicos del sistema. Este ejemplo usa la autenticación de LDAP para el servidor de directorios de Lotus Domino:

  1. Con el botón derecho del mouse, vuelva a presionar el contenedor System, pero esta vez seleccione Add Resource - Authentication Profile - LDAP-bind Authentication (Agregar recurso: Perfil de autenticación: Autenticación enlazada con LDAP).
  2. En la ventana Add a New Authentication Profile (Agregar un nuevo perfil de autenticación) (ver figura 6), ingrese un nombre común y una descripción opcional (cualquier texto que describa el perfil).
  3. Seleccione una política de contraseñas. Esta política se usa para determinar la cantidad de intentos de conexión que deberán fallar antes de que se bloquee la cuenta. Para Visualizar/Editar una política de contraseñas, consulte el contendor Default Resources - Wireless Password Policy (Recursos predeterminados: Política de contraseñas inalámbricas) .
  4. Alternativamente, seleccione una copia de seguridad del perfil de autenticación que se utilizará si el perfil no logra conectarse con servidores externos. Haga clic en Next.

    Figura 6. Ventana Add a New Authentication Profile
    Ventana Add a New Authentication Profile
  5. En la ventana siguiente (ver figura 7) que se abre, seleccione Servidor de Directorios que se definió anteriormente.
  6. El campo clave Usuario es el atributo que usa Lotus Mobile Connect upara buscar el nombre de usuario provisto a raíz del pedido de credencial en el servidor de directorios. De manera predeterminada, lleva al correo, y puede configurarse para cualquier atributo que forme parte del registro del usuario de LDAP.

    Figura 7. Segunda ventana Add a New Authentication Profile
    Segunda ventana Add a New Authentication Profile
  7. Alternativamente, ingrese criterios de búsqueda adicionales, como por ejemplo información del grupo o tipo de empleado, si desea restringir el acceso a ciertos grupos o tipos de empleados. Este campo requiere la anotación X.500, por ejemplo, (&(employeeType=active)(group=remoteAccess)).
  8. Fije el número máximo de hilos de procesamiento. Cada sesión active se asigna a un hilo para su procesamiento. El hilo es responsable del intercambio de datos entre el navegador del cliente y el servidor de aplicaciones de back-end. Se necesitará algo de prueba y error para obtener la cantidad optima de hilos, aunque un buen criterio general consiste en considerar 1 hilo por cada 100 sesiones simultáneas. Haga clic en Next.
  9. En la siguiente ventana (ver figura 8), si desea un single sign-on (SSO), seleccione la opción Enable LTPA (Activar LTPA). Los pasos necesarios para completar la configuración de SSO se detallan posteriormente en este artículo. Por ahora, esta configuración puede quedar sin marcar. Haga clic en Next.

    Figura 8. Tercera ventana Add a New Authentication Profile
    Tercera ventana Add a New Authentication Profile
  10. En la ventana siguiente, seleccione la Primary OU y haga clic en Finish.

Una vez creado el recurso, se pueden encontrar opciones de configuración adicional en el panel Properties (Propiedades). Para más información sobre estas opciones, consulte la guía del administrador del sistema o, en el panel de propiedades, seleccione "Tip on a specific option (Consejo práctico sobre una opción específica)."

Recursos de los servicios de acceso a HTTP

En este momento, debemos crear un recurso de los servicios de acceso a HTTP. Los servicios de acceso a HTTP están diseñados para transmitir el tráfico autenticado a un único proxy o servidor de aplicaciones de back-end. Si hay múltiples servidores de aplicaciones de back-end se requerirán múltiples definiciones de servicios de acceso a HTTP.

En el caso de Lotus iNotes, Lotus Mobile Connect contiene un código de integración para trabajar con la función Redirector de iNotes, lo cual permite que un único servicio de acceso a HTTP transmita el tráfico a múltiples servidores de correo de Lotus iNotes.

Los servidios de acceso a HTTP requieren que los certificados públicos den seguridad a las comunicaciones. Lotus Mobile Connect ofrece una utilidad para trabajar con una base de datos de claves, generando un Certificate Request Message - CRM (Mensaje de pedido de certificado) que se usa cuando se solicita un certificado para un nombre de máquina específica, y se generan certificados con firma propia. Esta utilidad, wg_keyman, se ubica en el subdirectorio bin del directorio de instalación.

Siga estos pasos para agregar una solicitud de servicio de acceso a HTTP:

  1. Para agregar un recurso de servicios de acceso a HTTP, presione con el botón derecho del mouse sobre el recurso Connection Manager (Administrador de conexiones), y seleccione Add - HTTP Access Service (Agregar: servicio de acceso a http). Se abrirá la ventana que se muestra en la figura 9.

    Figura 9. Agregado de un servicio de acceso a HTTP
    Agregado de un servicio de acceso a HTTP
    • En el campo Service URL (URL del servicio), ingrese la cadena de texto que corresponda al URL incluido en el certificado usado para asegurar las conexiones.
    • En el campo TCP Port to listen on (Puerto TCP donde escuchar), ingrese el puerto TCP en el cual escucha el servicio para buscar solicitudes de acceso. El predeterminado es el valor predeterminado de SSL 443.
    • En el campo Description (Descripción), ingrese cualquier tipo de descripción textual del servicio.
    • En el campo Current state (Estado actual), seleccione el estado del servicio. Active significa que Connection Manager active el servicio; Defined equivale a caído, en cuyo caso Connection Manager no inicia el servicio y lo vuelve inalcanzable.
  2. Haga clic en Next para abrir la ventana que se muestra en la figura 10.

    Figura 10. Especificación del modo operacional del servicio de acceso a HTTP
    Especificación del modo operacional del servicio de acceso a HTTP
    • En el campo HTTP Proxy address (Dirección de Proxy de HTTP), ingrese el nombre del host o la dirección IP de un reverse proxy o un servidor de aplicaciones para enviar el tráfico autenticado.
    • En el campo HTTP Proxy port (Puerto de Proxy de HTTP), ingrese un servidor de aplicaciones o el proxy del puerto de TCP para enviar el tráfico autenticado.
    • Seleccione la opción Require SSL to proxy (Requerir SSL a proxy) para requerir SSL/TLS entre el servidor de Lotus Mobile Connect y el proxy o servidor de aplicaciones
    • En el campo Authentication Profile (perfil de autenticación), ingrese el método de autenticación que se usará para validar las credenciales de usuarios remotos.
    • Si la opción SSO Domain está establecida, este valor anulará lo establecido en el método de autenticación. De lo contrario, se usarán las propiedades del método de autenticación.
  3. Haga clic en Next para abrir la ventana que se muestra en la figura 11.

    Figura 11. Especificación del máximo número de hilos y del tiempo muerto
    Especificación del máximo número de hilos y del tiempo muerto
  4. En el campo Maximum number of processing threads (Máximo número de hilos de procesamiento), ingrese la cantidad de hilos de procesamiento simultáneos. El número de sesiones simultáneas y la cantidad de procesadores se deberán tomar en cuenta al establecer este valor. El valor recomendado para un sistema de dos procesadores con 1000 sesiones simultáneas es 5.
  5. En el campo Maximum idle time (Máximo tiempo muerto), ingrese el tiempo máximo durante el cual una sesión puede estar en reposo antes de que Connection Manager limpie el token de autenticación de la sesión, obligando al cliente a solicitar nuevamente autorización.
  6. Seleccione el puerto de enlace a una opción de dirección específica para configurar el servicio para que quede enlazado a una dirección de Internet específica. Al realizar este enlace, se pueden configurar múltiples recursos de servicios de acceso a HTTP para que escuchen sobre los mismos puertos, permitiendo así que se usen diferentes servidores de back-end en la dirección de Internet de la solicitud inicial. Se pueden asignar múltiples direcciones a una única interfaz de red usando solapamiento de IP.
  7. En el campo Address to bind to (Dirección a la cual enlazar), ingrese la dirección de Internet o el nombre del host al cual enlazar el servicio

Asegure el servicio de acceso a HTTP con un certificado

Secure Sockets Layer (SSL) / Transport Layer Security (TLS) se usa para asegurar las comunicaciones en los servicios de acceso a HTTP. Esto requiere que se almacene un certificado para el nombre de host visible externamente en un archivo de la base de datos de claves Cryptographic Message Syntax (CMS).

Lotus Mobile Connect viene con una utilidad, wg_ikeyman, para gestionar los archivos de bases de datos de claves. La utilidad genera certificados con firmas propias y CRMs para obtener un certificado público de una autoridad de certificación.

Los certificados con firma propia pueden funcionar pero requieren que el usuario acepte e importe el certificado cuando se conecta por primera vez al servicio de acceso a HTTP. Por este motivo, se recomiendan los certificados públicos válidos. Para generar y usar un certificado con firma propia, siga estos pasos:

  1. En la línea de comando, ingrese wg_ikeyman.
  2. Trabaje con un nuevo archivo de base de datos de claves o use uno de los archivos de bases de datos de claves instalados por Lotus Mobile Connect:

    • Para usar un archivo existente, seleccione Key Database File > Open. Fije el tipo de base de datos de claves en CMS, use el botón Browse (Navegar) para navegar por el directorio de instalación de Lotus Mobile Connect, y luego seleccione el archivo http.trusted.kdb.
    • Si crea un nuevo archivo de base de datos de claves, asegúrese de seleccionar la opción "Stash the password to a file (Guardar la contraseña en un archivo)".
  3. Ingrese la contraseña; la predeterminada es "trusted."
  4. Para crear un certificado con firma propia, seleccione Create - New Self-Signed Certificate. Como mínimo, ingrese una etiqueta de clave y un nombre común. El nombre común deberá corresponder al nombre de host externo totalmente habilitado del servidor Lotus Mobile Connect.
  5. Haga clic en OK, y salga de la aplicación de IBM Key Management.
  6. Con Gatekeeper (Controlador), abra el panel de propiedades del servicio de acceso a HTTP, seleccione la pestaña SSL, y verifique que los campos de nombre de Archivo de la base de datos de claves y nombre de Archivo de la contraseña de guardado estén correctamente configurados. Use la ruta completa de ser posible.
  7. Alternativamente, seleccione la pestaña SSL Ciphers (Códigos SSL) y seleccione los códigos adecuados. Las configuraciones predeterminadas tienen por objeto permitir todos los códigos V2 y V3. Haga clic en OK.

Single Sign-On (SSO)

La activación de SSO para Lotus Mobile Connect y Lotus iNotes requiere un archivo de claves comunes generado Lotus Mobile Connect e importado por el redirector de Lotus iNotes y los nodos del servidor de correo.

Configuración/Activación de SSO en Lotus Mobile Connect

Usted puede activar SSO para Lotus Mobile Connect usando el Gatekeeper, navegando al método de autenticación usado por el servicio de acceso a HTTP y modificando la pestaña LTPA/SSO en el panel Properties (ver figura 12), de la siguiente manera:

  1. Seleccione la casilla de verificación Enable LTPA (Activar LTPA).
  2. Ingrese el dominio del token de LTPA. Este valor por lo general es el nombre de host totalmente habilitado del servidor de LDAP o RADIUS que se usa para la autenticación.
  3. Seleccione el campo de identificación de usuario del token de LTPA. Use el nombre diferenciado si autentica respecto a LDAP, y la identificación de usuario para RADIUS o Secure ID.
  4. Seleccione la casilla de verificación Enable SSO para fijar un dominio de SSO. El dominio de SSO se usa para informar a los navegadores cuándo deben incluir el token de LTPA token como un cookie en los flujos del encabezado de HTTP.

    Para los servicios de acceso a HTTP, este valor deberá ser el nombre de host externo totalmente habilitado que se usa para acceder al servicio de acceso a HTTP desde un navegador. Si se usa más de un nombre de host, el mismo puede fijarse en el dominio externo. Este valor también puede ser la definición del servicio de acceso a HTTP, en cuyo caso anulará la configuración del perfil de autenticación.

  5. Seleccione Enable SSO solamente en las conexiones de SSL. El token de LTPA posee información sensible y deberá ser incluido por el navegador sólo cuando se comunica con Lotus Mobile Connect en una conexión segura.

    Figura 12. Pestaña LTPA/SSO
    Pestaña LTPA/SSO
  6. En la sección de acciones sobre claves de LTPA, seleccione el botón de radio Generate new keys (Generar nuevas claves) e ingrese una contraseña que contenga de 6 a 32 caracteres. Recuerde esta contraseña, ya que la necesitará para importar el archivo de claves a los nuevos servidores de iNotes.
  7. Haga clic en el botón Apply para generar las claves criptográficas que se usan para generar tokens de LTPA. Estas claves son almacenadas internamente por Lotus Mobile Connect y ahora deberán ser exportadas.

Exportación de claves de LTPA a un archivo

El paso anterior genera claves criptográficas y una contraseña que se usa en la generación del token de LTPA. Para que SSO funcione adecuadamente, estos datos deben exportarse en un formato aceptable para los otros servidores de aplicaciones que otorgan acceso en base a este token. Para que Lotus Mobile Connect exporte las claves y los datos de configuración, siga estos pasos

  1. En la sección de acciones sobre claves de la pestaña LTPA/SSO tab (ver figura 12), seleccione el botón de radio Export to keyfile (Exportar a archivo de claves) e ingrese un nombre de archivo. Incluya la ruta completa a ese archivo.
  2. Haga clic en Apply para exportar el archivo. El archivo de claves es un archivo ASCII de lectura para el usuario que se puede transferir a los servidores de aplicaciones de iNotes.

Importe el archivo de claves de LTPA a los servidores de Lotus iNotes

Para que SSO funcione adecuadamente, todos los servidores deben concordar sobre las claves criptográficas, la información de los usuarios, y otros datos de configuración de otro tipo. Lotus Mobile Connect ha generado un archivo de claves; en este momento, debe ser importado por todos los servidores de iNotes participantes. Siga estos pasos:

  1. Inicie el cliente Lotus Domino Administration y seleccione File - Open Server.
  2. Ingrese el nombre del servidor sobre el cual trabajará, y en la pestaña Configuration, expanda Server y seleccione All Server Documents en el recuadro de navegación de la izquierda.
  3. En el menú del documento Server, seleccione Create - Web SSO Configuration.
  4. En la ventana Web SSO Configuration (ver figura 13), ingrese un Configuration Name (Bombre de configuración) único, como por ejemplo, LtpaTokenLOTUSMOBILECONNECT, e ingrese el Dominio DNS que aloja a los servidores de aplicaciones, por ejemplo, .xyz.com. Luego, en la sección Participating Servers, agregue los nombres de los servidores de Lotus Domino que participan en la configuración de SSO.

    Figura 13. Ventana Web SSO Configuration
    Ventana Web SSO Configuration
  5. Haga clic en Keys (en la barra de menú superior de la ventana Web SSS Configuration) y seleccione Import WebSphere LTPA Keys (Importar claves LTPA de WebSphere).
  6. En el prompt Enter Import File Name (ver figura 14), ingrese la ubicación del archivo de claves obtenido en el paso del trabajo con el archivo Lotus Mobile Connect Export Key y haga clic en OK.

    Figura 14. Ingreso del prompt Import File Name
    Ingreso del prompt Import File Name
  7. Ingrese la contraseña del archivo de claves y haga clic en OK.
  8. Se abrirá una ventana que muestra información sobre la configuración del token de LTPA. Haga clic en Save y Close.
  9. Retorne a la pestaña Configuration del documento Server, seleccione All Server Documents, y seleccione el servidor al cual desea importer nuevamente el archivo de claves.
  10. En el documento Server, seleccione la pestaña Internet Protocols, y luego seleccione la pestaña Domino Web Engine (ver figura 15).
  11. Fije el campo de autenticación se sesión en Multiple Servers (SSO), y el campo Web SSO Configuration en el Nombre de Configuración establecido en el paso 4 anterior.
  12. Guarde y cierre el documento, y reinicie los servidores.

    Figura 15. Documento Domino Server
    Documento Domino Server

Conclusión

La fuerza de trabajo de la actualidad se vuelve cada vez más móvil. Las empresas deben extender el alcance de sus aplicaciones de PIM y correo a usuarios con acceso a navegadores a través de dispositivos provistos por la compañía o disponibles al público, laptops, y estaciones de trabajo. La combinación de Lotus iNotes como aplicación basada en la Web y Lotus Mobile Connect para el acceso remoto seguro ofrece a los clientes de Lotus Notes una solución rica en características y seguridad para cumplir con esta necesidad crítica del negocio.

Recursos

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=Lotus
ArticleID=487539
ArticleTitle=Activación del acceso seguro y remoto a IBM Lotus iNotes con IBM Lotus Mobile Connect
publish-date=05052010