Prueba de la autenticación del servidor de directorios para una cuenta de administrador

Es posible comprobar si un servidor Active Directory o LDAP autentica el nombre de usuario y la contraseña para una cuenta de administrador que se cree. La comprobación evalúa si usted añadió el nombre de usuario y la contraseña correctamente y si el nombre de cuenta existe en el servidor de directorio.
Se usa el mismo nombre de usuario y contraseña para una cuenta de administrador en
Symantec Endpoint Protection Manager
como se hace en el servidor de directorio. Cuando el administrador inicia sesión en el servidor de administración, el servidor de directorio autentica el nombre de usuario y la contraseña del administrador. El servidor de administración usa la configuración de servidor de directorio que agregó para buscar la cuenta en el servidor de directorio.
Es posible también comprobar si un servidor Active Directory o LDAP autentica una cuenta de administrador sin el nombre de usuario y la contraseña. Una cuenta sin el nombre de usuario o la contraseña es de acceso anónimo. Es necesario crear una cuenta de administrador con acceso anónimo para nunca bloquear a los administradores si la contraseña cambia en el servidor de directorio.
En el servidor de Windows 2003 Active Directory, la autenticación anónima está deshabilitada de forma predeterminada. Por lo tanto, cuando se agrega un servidor de directorio sin un nombre de usuario en una cuenta de administrador y se hace clic en
Comprobar cuenta
, aparece el mensaje de error
Error al autenticar la cuenta
. Para resolver este problema, cree dos entradas del servidor de directorios, una para probar y una para el acceso anónimo. El administrador aún puede iniciar sesión en el servidor de administración usando un nombre de usuario y una contraseña válidos.
Paso 1: Agregar varias conexiones del servidor de directorios
Para hacer que la prueba sea más fácil para el acceso anónimo, agregue por lo menos dos entradas del servidor de directorios. Use una entrada para probar la autenticación y la segunda entrada para probar el acceso anónimo. Estas entradas usan el mismo servidor de directorios con diferente configuración.
De forma predeterminada, la mayoría de los usuarios residen en CN=Users a menos que sean trasladados a otra unidad organizativa. Los usuarios del servidor de directorio LDAP se crean en CN=users, DC=<
sampledomain
>, DC=local. Para descubrir dónde un usuario reside en LDAP, use ADSIEdit.
Use la siguiente información para configurar los servidores de directorios para este ejemplo:
  • CN=John Smith
  • OU=test
  • DC=<
    sampledomain
    >
  • DC=local
El ejemplo usa Active Directory LDAP (389) predeterminado, pero puede además usar Secure LDAP (636).
  1. Para agregar las conexiones del servidor de directorios para comprobar la autenticación de Active Directory y LDAP Server, en la consola haga clic en
    Administración
    >
    Servidores
    , seleccione el servidor predeterminado y haga clic en
    Editar propiedades del servidor
    .
  2. En la ficha
    Servidores de directorios
    , haga clic en
    Agregar
    .
  3. En la ficha
    General
    , agregue la configuración del servidor de directorios siguiente y después haga clic en
    Aceptar
    .
    Directorio 1
    • Nombre:
      <
      sampledomain
      > Active Directory
    • Tipo de servidor:
      Active Directory
    • Dirección IP o nombre del servidor:
      server01.<
      sampledomain
      >.local
    • Nombre de usuario:
      <
      sampledomain
      >\administrator
    • Contraseña:
      <
      contraseña del servidor de directorio
      >
    Directorio 2
    • Nombre:
      <
      sampledomain
      > LDAP con nombre de usuario
    • Tipo de servidor:
      LDAP
    • Dirección IP o nombre del servidor:
      server01.<
      sampledomain
      >.local
    • Puerto LDAP:
      389
    • LDAP BaseDN:
      DC=<
      sampledomain
      >, DC=local
    • Nombre de usuario:
      <
      sampledomain
      >\administrator
    • Contraseña:
      <
      contraseña del servidor de directorio
      >
    Directorio 3
    • Nombre:
      <
      sampledomain
      > LDAP sin nombre de usuario
    • Tipo de servidor:
      LDAP
    • Dirección IP o nombre del servidor:
      server01.<
      sampledomain
      >.local
    • Puerto LDAP:
      389
    • LDAP BaseDN:
      <vacío>
      Deje este campo vacío cuando se usa el acceso anónimo.
    • Nombre de usuario:
      <vacío>
    • Contraseña:
      <vacío>
      Una vez que se haga clic en
      Aceptar
      , una advertencia aparece. Pero el servidor de directorio es válido.
      Cuando se intenta agregar un BaseDN sin un nombre de usuario y contraseña, la advertencia aparece.
Paso 2: Agregar varias cuentas de administrador
Agregue varias cuentas de administrador del sistema. La cuenta para el acceso anónimo no tiene un nombre de usuario o una contraseña.
  1. Para agregar las cuentas de administrador utilizando las entradas del servidor de directorios, en la consola haga clic en
    Administrador
    >
    Administradores
    y, en la ficha
    General
    , agregue las cuentas de administrador que se han especificado en el paso anterior.
  2. Tras agregar cada cuenta de administrador y hacer clic en la opción
    Comprobar cuenta
    , se ve un mensaje. En algunos casos, el mensaje aparece para invalidar la información de la cuenta. Pero el administrador aún puede iniciar sesión en
    Symantec Endpoint Protection Manager
    .
  3. En la ficha
    General
    , escriba la siguiente información:
    Administrador 1
    • Nombre:
      <
      sampledomain
      > LDAP sin nombre de usuario
    • Tipo de servidor:
      LDAP
    • Dirección IP o nombre del servidor:
      server01.<
      sampledomain
      >.local
    • Puerto LDAP:
      389
    • LDAP BaseDN:
      <vacío>
      Deje este campo vacío cuando se usa el acceso anónimo.
    • Nombre de usuario:
      <vacío>
    • Contraseña:
      <vacío>
      Una vez que se haga clic en
      Aceptar
      , una advertencia aparece. Pero el servidor de directorio es válido.
      Cuando se intenta agregar un BaseDN sin un nombre de usuario y contraseña, la advertencia aparece.
    Administrador 2
    • Nombre de usuario:
      john
    • Nombre completo:
      John Smith
    • Dirección de correo electrónico:
      [email protected]<
      sampledomain
      >.local
    • En la ficha
      Derechos de acceso
      , haga clic en
      Administrador del sistema
      .
    • En la ficha
      Autenticación
      , haga clic en
      Autenticación de directorios
      .
      En la lista desplegable
      Servidor de directorio
      , seleccione <
      sampledomain
      > LDAP con el nombre de usuario.
      En el campo
      Nombre de la cuenta
      , escriba
      john
      .
      Haga clic en
      Comprobar cuenta
      .
      El administrador del sistema
      john
      no puede iniciar sesión en
      Symantec Endpoint Protection Manager
      con la autenticación del directorio.
    Administrador 3
    • Nombre de usuario:
      john
    • Nombre completo:
      John Smith
    • Dirección de correo electrónico:
      [email protected]<
      sampledomain
      >.local
    • En la ficha
      Derechos de acceso
      , haga clic en
      Administrador del sistema
      .
    • En la ficha
      Autenticación
      , haga clic en
      Autenticación de directorios
      .
      En la lista desplegable
      Servidor de directorio
      , seleccione <
      sampledomain
      > LDAP con el nombre de usuario.
      En el campo
      Nombre de la cuenta
      , escriba
      John Smith
      .
      Haga clic en
      Comprobar cuenta
      .
      El administrador del sistema
      john
      puede iniciar sesión en
      Symantec Endpoint Protection Manager
      con la autenticación del directorio.
    Administrador 4
    • Nombre de usuario:
      john
    • Nombre completo:
      John Smith
    • Dirección de correo electrónico:
      [email protected]<
      sampledomain
      >.local
    • En la ficha
      Derechos de acceso
      , haga clic en
      Administrador del sistema
      .
    • En la ficha
      Autenticación
      , haga clic en
      Autenticación de directorios
      .
      En la lista desplegable
      Servidor de directorio
      , seleccione <
      sampledomain
      > LDAP sin nombre de usuario.
      En el campo
      Nombre de la cuenta
      , escriba
      John Smith
      .
      Haga clic en
      Comprobar cuenta
      .
      Se produce un error en la autenticación de la cuenta, pero el administrador del sistema
      John Smith
      puede iniciar sesión en
      Symantec Endpoint Protection Manager
      .