View
3
Download
0
Category
Preview:
Citation preview
PowerBroker Password Safe
Guía del usuario final
Versión 6.6: febrero de 2018
Información de revisión/actualización: Versión de
software de febrero de 2018: Número de revisión de
PowerBroker Password Safe 6.6: 0
SEDE CORPORATIVA
5090 N. 40th Street
Phoenix, AZ 85018
Teléfono: 1 818-575-4000
AVISO DE DERECHOS DE AUTOR Copyright © 2018 BeyondTrust Software, Inc. Todos los derechos reservados.
La información contenida en este documento está sujeta a cambios sin previo aviso.
No se puede fotocopiar, reproducir, ni copiar o traducir de ninguna manera a otro idioma ninguna parte de este
documento sin el consentimiento previo por escrito de BeyondTrust Software.
BeyondTrust Software no es responsable de ningún error que contenga el presente documento ni de daños
directos, indirectos, especiales, fortuitos o consecuentes, incluso la pérdida de ganancias o de datos, ya sea
basado en una garantía, contrato, perjuicio o cualquier otra teoría legal en relación con la distribución,
rendimiento o uso de este material.
Todas las marcas y nombres de productos que se usan en este documento son marcas comerciales, marcas
comerciales registradas o nombres comerciales de sus respectivos propietarios. BeyondTrust Software no está
asociado con ningún otro comerciante o producto mencionados en este documento.
Contenido
Guía del usuario final
iii © 2018. BeyondTrust Software, Inc.
Contenido
Introducción 4
Convenciones de nombres de productos de BeyondTrust 4
Cómo comunicarse con Soporte técnico 4
Asistencia técnica de administración de cuentas con privilegios 4
Soporte técnico de administración de vulnerabilidades 4
Primeros pasos 5
Cómo iniciar sesión en la consola 5
Cómo seleccionar un idioma para mostrar 5
Cómo cambiar la contraseña de inicio de sesión 5
Cómo restablecer la contraseña 6
Cómo navegar por el portal web de Password Safe 7
Cómo leer la cuadrícula Cuentas 7
Cómo usar los enlaces rápidos 8
Proceso de emisión de contraseñas 9
Cómo solicitar una emisión de contraseña 9
Cómo recuperar una contraseña 10
Verificación multisistema 11
Cómo solicitar sesiones de SSH o RDP 12
Flujo de trabajo de una solicitud de sesión 12
Cómo solicitar una sesión remota 13
SSH Direct Connect 14
RDP Direct Connect 14
Como exigir la hora de finalización de la sesión 15
Cómo solicitar sesiones proxy remotas 16
Introducción
Guía del usuario final
4 © 2018. BeyondTrust Software, Inc.
Introducción
PowerBroker Password Safe incluye una interfaz basada en web para ejecutar solicitudes y aprobaciones de
contraseñas. Puede iniciar el portal web de Password Safe al seleccionar Password Safe del menú en Password
Safe.
Un usuario de Password Safe tiene autorización de iniciar sesión en la aplicación Password Safe y realizar tareas.
Las tareas específicas que puede realizar un usuario están determinadas por los privilegios de usuario asignados
a ese usuario.
El administrador de Password Safe configura el portal web.
Convenciones de nombres de productos de BeyondTrust
En esta Guía de usuario, se usan las siguientes convenciones de nombres para los productos de BeyondTrust:
Cómo comunicarse con Soporte técnico
Para recibir soporte técnico, ingrese en el Portal del cliente y siga el enlace del producto para el que necesita recibir asistencia.
El Portal del cliente contiene información sobre cómo comunicarse con Soporte técnico por teléfono y por chat,
además de descargas de productos, instaladores de productos, administración de licencias, cuenta, últimas
versiones de productos, documentación de productos, difusiones web y demostraciones de productos.
Teléfono
Soporte técnico para administración de cuentas con privilegios
Dentro de los Estados Unidos continentales:
800.234.9072 Fuera de los Estados Unidos
continentales: 818.575.4040
Soporte técnico para administración de vulnerabilidades
Norteamérica/Sudamérica: 866.529.2201 | 949.333.1997
+ ingresar código de acceso
Todas las demás regiones:
Soporte técnico estándar: 949.333.1995
+ ingresar código de acceso
Soporte técnico para nivel Platinum: 949.333.1996
+ ingresar código de acceso
En línea
http://www.beyondtrust.com/Resources/Support/
PowerBroker Password Safe Password Safe
http://www.beyondtrust.com/Resources/Support/http://www.beyondtrust.com/Resources/Support/
Guía del usuario final
5 © 2018. BeyondTrust Software, Inc.
Primeros pasos
Primeros pasos
Cómo iniciar sesión en Consola
El administrador de Password Safe configura las credenciales de inicio de sesión
para el portal web. Comuníquese con el administrador si tiene dudas respecto de
cuáles credenciales de inicio de sesión debe usar. Puede iniciar sesión en el portal
web usando uno de los siguientes tipos de autenticación:
• Active Directory: ingrese las credenciales de Active Directory. Seleccione un dominio de la lista y haga clic en Iniciar sesión.
• LDAP: ingrese las credenciales de LDAP. Seleccione un servidor LDAP de la lista y haga clic en Iniciar sesión.
• Radius: ingrese las credenciales de Password Safe. Una vez que haya ingresado correctamente las credenciales,
ingrese el código de Radius y haga clic en Iniciar sesión.
• Tarjeta inteligente: inicie sesión en el portal web de Password Safe, seleccione un certificado e ingrese el código NIP de la tarjeta inteligente.
• Tipos de autenticación de terceros que admiten SAML 2.0.
Nota: Podría haber un mensaje de pancarta previo al inicio de sesión configurado en el sistema. Debe hacer clic
en Aceptar antes de poder ingresar las credenciales.
Cómo seleccionar un idioma para mostrar
El portal web de Password Safe se puede mostrar en los siguientes idiomas:
Inglés, coreano, japonés, portugués y español.
Seleccione el idioma en el menú Configuración.
Nota: El menú Elección de idioma no se muestra de manera predeterminada. Si no se enumera ningún
idioma, comuníquese con el administrador de BeyondInsight.
Cómo cambiar la contraseña de inicio de sesión
Puede cambiar la contraseña de inicio de sesión de la consola.
No puede cambiar la contraseña en los siguientes casos:
• Si inicia sesión con credenciales de Active Directory o de LDAP.
• Si la cuenta se encuentra actualmente bloqueada.
Para cambiar la contraseña de inicio de sesión:
1. En la consola, seleccione el icono de Perfil y luego seleccione el enlace Cambiar contraseña.
2. Cambie su contraseña, luego haga clic en Cambiar contraseña.
La contraseña debe tener por lo menos 6 caracteres pero no más de 64 caracteres.
Guía del usuario final
6 © 2018. BeyondTrust Software, Inc.
Primeros pasos
Cómo restablecer la contraseña
Si no recuerda la contraseña de la consola, haga clic en el enlace ¿Olvidó la contraseña? en la página de inicio de sesión.
Recibirá un correo electrónico del administrador de la consola. Se incluye un enlace de restablecimiento en este
correo electrónico. Haga clic en el enlace para cambiar la contraseña.
Nota: El restablecimiento de la contraseña de la consola no está disponible para usuarios que inician
sesión con credenciales de Active Directory o de LDAP.
Guía del usuario final
7 © 2018. BeyondTrust Software, Inc.
Cómo navegar por el portal web de Password Safe
Cómo navegar por el portal web de Password Safe
Para lograr una eficiencia óptima, se recomienda que la resolución de la pantalla del portal web de PowerBroker
Password Safe no sea inferior a 1280 x 800 píxeles.
Nota: Ningún recurso está rellenado cuando inicia sesión por primera vez en el portal web de Password Safe.
Haga clic en una pestaña para buscar en el portal web el sistema o la aplicación donde necesita acceso.
Cómo leer la cuadrícula Cuentas
Todas las columnas de la cuadrícula se pueden reorganizar haciendo clic en el título y arrastrándolo a la
ubicación deseada. Se muestra la siguiente información en la cuadrícula Cuentas:
• Favoritos: haga clic en la estrella para agregar las cuentas que más usa a la lista de Favoritos. Luego,
puede seleccionar el botón Favoritos para mostrar solamente las cuentas favoritas.
• Sistema: nombre del sistema.
• OneClick: columna de botones con rayo. Un botón OneClick en gris atenuado indica que la cuenta no se puede
acceder por medio de OneClick.
• Directorio: nombre del directorio, si corresponde.
• Cuenta: nombre de usuario de la cuenta. Se puede seleccionar el icono “i” para mostrar más información
sobre la cuenta.
• Descripción de la cuenta: descripción que se proporciona en la cuenta administrada cuando se configura la cuenta administrada.
• Estado: indica si la cuenta está disponible. El color verde indica que la cuenta se encuentra actualmente
disponible. El color rojo indica que la cuenta no está disponible.
• Plataforma: tipo de plataforma.
• Aplicación: la aplicación administrada por Password Safe, si corresponde.
• Grupo de trabajo: el grupo de trabajo al que está vinculada la cuenta, si corresponde.
Guía del usuario final
8 © 2018. BeyondTrust Software, Inc.
Cómo navegar por el portal web de Password Safe
El título de cada columna tiene su propio filtro de búsqueda. Seleccione Contiene, Comienza con, Es igual a o
No es igual a en el menú y luego ingrese una letra o palabra clave en el campo proporcionado.
Cómo usar enlaces rápidos
El portal web de Password Safe usa enlaces rápidos para navegar por las diferentes áreas de la
aplicación. Los enlaces que se muestran dependen de los roles asignados en Password Safe.
Guía del usuario final
9 © 2018. BeyondTrust Software, Inc.
Proceso de emisión de contraseñas
Proceso de emisión de contraseñas
La emisión de contraseñas para cuentas del sistema administrado que requieren doble control es un proceso de tres
pasos. Cada paso está a cargo de un usuario de Password Safe con uno de los siguientes roles: solicitante, aprobador,
solicitante/aprobador. El uso del doble control garantiza la seguridad de la contraseña de la cuenta del sistema,
establece responsabilidad y facilita el doble control de las cuentas administradas.
Existen tres etapas en el proceso de emisión de contraseñas:
• Solicitud de contraseña: un solicitante autorizado solicita una emisión de contraseña.
• Aprobación de la contraseña: un aprobador autorizado revisa y aprueba la solicitud de emisión.
• Recuperación de contraseña: el solicitante autorizado muestra la contraseña.
Cómo solicitar una emisión de contraseña
Para solicitar una contraseña, haga lo siguiente:
1. Inicie sesión en el portal web de Password Safe.
2. Haga clic en MENÚ para expandirlo y luego seleccione Cuentas.
3. Haga clic en la pestaña del tipo de sistema al que necesita acceso.
4. Seleccione el sistema de la lista.
5. En la página Solicitudes, establezca lo siguiente:
– Fecha de inicio: seleccione la fecha de inicio de la sesión que corresponde con la política de acceso.
– Hora de inicio: seleccione Inmediatamente para emitir la contraseña a la hora actual. De otra
manera, haga clic en el icono de programación para configurar el plazo de tiempo de la emisión.
Se puede programar una solicitud para el futuro. Por ejemplo, programe una emisión que corresponda con el
mantenimiento programado.
– Duración solicitada: establezca durante cuánto tiempo estará disponible la contraseña. El periodo de
tiempo comienza cuando se realiza la solicitud.
El valor predeterminado es de dos horas. La duración máxima predeterminada es de 6 días, 23 horas y
59 minutos. Los valores de configuración de la Duración de emisión predeterminada y de la Duración de
emisión máxima se definen en la cuenta administrada.
– Solicitud de acceso: seleccione el tipo de sesión. Puede ser: Contraseña, Sesión de RDP, SSH o Sesión de la aplicación.
Proceso de emisión de contraseñas
Guía del usuario final
10 © 2018. BeyondTrust Software, Inc.
– Motivo: ingrese el motivo de la solicitud. De manera predeterminada, el campo Motivo es
obligatorio pero se puede deshabilitar a través de las opciones de BeyondInsight. La longitud
máxima permitida es de 200 caracteres.
– Sistema de tickets: (opcional) seleccione un sistema de tickets e ingrese el número del ticket. Los
sistemas de tickets se pueden usar como referencia cruzada.
6. Haga clic en Enviar solicitud. Se enviará un correo electrónico al aprobador, si la notificación por correo electrónico está configurada.
Cómo recuperar una contraseña
Las contraseñas aprobadas para emisión (por parte del aprobador) se pueden mostrar en cualquier momento
(y con la frecuencia que sea necesaria) mientras dure la emisión.
Una vez aprobada la contraseña, se enviará una notificación por correo electrónico a
la cuenta de correo electrónico. Para recuperar la contraseña:
1. Haga clic en el enlace para ver una ventana con la fecha y hora en que se aprobó la emisión y los
comentarios incluidos por el aprobador.
2. Haga clic en Recuperar contraseña para mostrar la contraseña de la cuenta del sistema.
La contraseña se mostrará en una ventana separada durante 20 segundos máximo. El cuadro de diálogo se
puede cerrar antes de que se agote el tiempo de espera de 20 segundos.
3. Para copiar la contraseña en el portapapeles, presione Ctrl+A seguido de Ctrl+C.
4. Use la contraseña para iniciar sesión en el sistema dentro del plazo de tiempo de emisión de la contraseña.
Proceso de emisión de contraseñas
Guía del usuario final
11 © 2018. BeyondTrust Software, Inc.
Verificación multisistema
Los sistemas administrados se pueden vincular a una cuenta de Active Directory. Puede enviar una solicitud a esta
cuenta de Active Directory y luego acceder a los sistemas administrados vinculados a esa cuenta.
Nota: El administrador de Password Safe debe configurar los permisos correctos para que el sistema
administrado use esta función.
Para solicitar la verificación multisistema:
1. Inicie sesión en el portal web de Password Safe.
2. Haga clic en MENÚ para expandirlo y luego seleccione Cuentas.
3. Seleccione el sistema administrado.
4. Seleccione los valores de configuración de la solicitud según se describe en la sección Cómo solicitar una emisión de contraseña.
5. Seleccione la casilla Verificación multisistema.
6. Haga clic en Enviar solicitud.
Guía del usuario final
12 © 2018. BeyondTrust Software, Inc.
Cómo solicitar sesiones de SSH o RDP
Cómo solicitar sesiones de SSH o RDP
Con el sistema de solicitud y aprobación de Password Safe, puede solicitar sesiones remotas que usan los
tipos de conexión SSH o RDP. Password Safe actúa como proxy al proporcionar administración de sesiones a
los sistemas de destino. No se transmiten las credenciales de contraseña compartidas. Esto permite una
administración de sesiones intrínsecamente segura.
Cuando lo configure el administrador de Password Safe, puede solicitar acceso a un sistema administrado con
una sesión remota.
Flujo de trabajo de una solicitud de sesión
El siguiente diagrama demuestra el flujo de trabajo para solicitar una sesión de RDP y solicitar un RDP por medio de Direct Connect.
Guía del usuario final
13 © 2018. BeyondTrust Software, Inc.
Cómo solicitar sesiones de SSH o RDP
Cómo solicitar una sesión remota
Para solicitar una sesión remota, haga lo siguiente:
1. Inicie sesión en el portal web de Password Safe.
2. Haga clic en MENÚ para expandirlo y luego seleccione Cuentas.
3. Seleccione el sistema al que desea acceder.
4. Ingrese los siguientes detalles de la sesión:
– Fecha de inicio: ingrese una fecha de inicio que corresponde con la política de acceso. Se pueden realizar
solicitudes con anticipación para periodos de emisión futuros.
– Hora de inicio: hora en que se inicia la sesión.
– Duración de la solicitud: ingrese la duración de la sesión. El periodo de duración predeterminado es de
6 días, 23 horas y 45 minutos. La duración se configura en la cuenta administrada.
– Solicitud de acceso: seleccione la casilla del tipo de acceso requerido. En este caso, puede ser Sesión de RDP
o Sesión de SSH.
– Motivo: ingrese el motivo de la solicitud. De manera predeterminada, el campo Motivo es
obligatorio pero se puede deshabilitar a través de las opciones de BeyondInsight.
– Sistema del ticket y Número de ticket: seleccione la información del ticket si el sistema administrado
está asociado a un sistema de ticket.
5. Haga clic en Enviar solicitud.
Guía del usuario final
14 © 2018. BeyondTrust Software, Inc.
Cómo solicitar sesiones de SSH o RDP
SSH Direct Connect
SSH Direct Connect usa un cliente de SSH para iniciar una sesión en un sistema de destino.
Al usar Direct Connect, se omite el proceso de solicitud habitual a la cuenta administrada. Como solicitante,
puede acceder al sistema sin ni siquiera ver las credenciales de las cuentas administradas.
Nota: La información del solicitante, que incluye el Motivo y la Duración de la solicitud, se rellena
automáticamente con los valores de configuración predeterminados de Password Safe.
Para tener acceso al sistema administrado con SSH Direct Connect:
1. Inicie sesión en el portal web de Password Safe.
2. Haga clic en MENÚ para expandirlo y luego seleccione Cuentas.
3. Busque el sistema al que desea acceder.
4. Haga clic en el icono con un rayo.
RDP Direct Connect
Puede usar Direct Connect para iniciar una sesión de RDP. Al usar Direct Connect, se omite el proceso de solicitud
habitual a la cuenta administrada. Como solicitante, puede acceder al sistema sin ni siquiera ver las credenciales de
las cuentas administradas.
Si al solicitante se le concede aprobación automática para sesiones de RDP, se mostrará un mensaje que
indicará La solicitud requiere aprobación. Si la solicitud no se aprueba en el lapso de 5 minutos, esta
conexión se cerrará. Después de 5 minutos, el cliente RDP se desconecta y puede enviar otra solicitud de
conexión. En cuanto se apruebe la solicitud, se conectará automáticamente.
Para usar RDP Direct Connect, debe descargar el archivo de RDP desde el portal web de Password Safe. Esta descarga
se realiza una sola vez. Para cada combinación de cuenta y sistema, debe descargar el archivo de RDP único asociado
con ella.
Para descargar el archivo de RDP:
1. Inicie sesión en el portal web de Password Safe.
2. Haga clic en MENÚ para expandirlo y luego seleccione Cuentas.
3. Busque el sistema al que desea acceder.
4. Haga clic en la flecha de descarga que se muestra:
Guía del usuario final
15 © 2018. BeyondTrust Software, Inc.
Cómo solicitar sesiones de SSH o RDP
Al ejecutar el archivo, se establece una conexión con el sistema de destino. Luego, debe ingresar la contraseña
que usa para la autenticación en Password Safe.
Nota: RDP Direct Connect solo admite impulsar la autenticación de dos factores. No se admite una
respuesta a una pregunta de comprobación para el acceso.
Nota: Los usuarios de LDAP que usan el atributo de nombramiento de la cuenta de correo electrónico no pueden usar RDP Direct Connect.
Restricciones de contraseña
En sistemas Windows 2008 y Windows 7, las sesiones de RDP finalizarán si las contraseñas contienen más de
81 caracteres. Las siguientes son las limitaciones de la contraseña:
• Windows 2008 y Windows 7: cantidad máxima de caracteres permitidos para una contraseña es 81. Si una
contraseña supera los 81 caracteres, el usuario no puede iniciar sesión con la cuenta seleccionada.
• Windows 2012: cantidad máxima de caracteres permitidos para una contraseña es 127. Si una
contraseña supera los 127 caracteres, el usuario no puede iniciar sesión con la cuenta seleccionada.
Cómo exigir una hora de finalización de la sesión
Cuando se crea una política de acceso, se asigna un plazo de tiempo que permite el acceso al recurso. Como
parte de esa política, el administrador de Password Safe puede exigir el final de la sesión y cerrar la sesión
cuando se agote el tiempo.
En las sesiones, se muestra un contador de tiempo que indica cuándo finalizará la sesión.
Sesión de RDP:
Sesión de SSH:
Guía del usuario final
16 © 2018. BeyondTrust Software, Inc.
Casos de uso
Cómo solicitar sesiones proxy remotas
En entornos más grandes, los recursos a los que accede podrían no estar en su región. Si el administrador de
Password Safe lo configuró, puede seleccionar un nodo que esté asociado con otra región.
Puede seleccionar un nodo cuando solicite los siguientes tipos de sesiones:
• Sesiones de Direct Connect
• Solicitudes de sesión de SSH
• Solicitudes de sesión de RDP
• Sesiones de administrador
Las siguientes capturas de pantalla muestran ejemplos del selector de nodos.
• Cuando use el inicio rápido para solicitar una sesión, haga clic en Abrir sesión de RDP y luego seleccione un nodo de la lista:
• Cuando solicite una sesión como “Solicitante”, haga clic en Abrir sesión de SSH y luego seleccione un nodo de la lista:
Recommended