4 Uso del menú System (Sistema)

En este capítulo, se proporcionan instrucciones detalladas para la conexión al dispositivo de gestión de usuarios mediante OKM Manager. También se proporcionan instrucciones para usar las otras opciones del menú System (Sistema).

Conexión al cluster

Importante: Antes de realizar la conexión al dispositivo de gestión de claves, debe existir al menos un perfil de cluster, y debe crearse y activarse un usuario en el dispositivo de gestión de claves.

En esta sección, se describen los procedimientos para la conexión al dispositivo de gestión de usuarios mediante OKM Manager. Si es la primera vez que se conecta al dispositivo de gestión de usuarios, debe definir un perfil de cluster en primer lugar. Más adelante, puede conectarse al dispositivo de gestión de usuarios usando el perfil de cluster que ha creado. OKM Manager usa la información del perfil de cluster para iniciar comunicaciones con un cluster (la dirección IP del dispositivo de gestión de claves).

Creación de un perfil de cluster

Para crear un perfil de cluster:

  1. En el menú System (Sistema), seleccione Connect (Conectar) o, en la barra de herramientas, haga clic en el botón Connect (Conectar). Se muestra el cuadro de diálogo Connect to Cluster (Conectarse a cluster). Si tiene un perfil preexistente, el nombre del perfil de cluster y la dirección IP se muestran en los campos Cluster Name (Nombre de cluster) y IP Address (Dirección IP), respectivamente.

    El texto alrededor describe connect_to_cluster.jpg.

  2. Haga clic en el botón New Cluster Profile (Nuevo perfil de cluster). Se muestra el cuadro de diálogo Create Cluster Profile (Crear perfil de cluster).

    El texto alrededor describe new_cluster.jpg.

  3. Complete los siguientes parámetros:

    Cluster Name (Nombre de cluster)

    Escriba un valor que identifique de manera exclusiva el nombre del perfil de cluster.

    Initial IP Address or Host Name (Dirección IP o nombre de host inicial)

    Escriba el nombre de host o la dirección IP de la red de servicio del dispositivo de gestión de claves inicial de este cluster a la cual se conectará. La elección de la red a la cual se conectará depende de la red a la que está conectado el sistema informático donde se ejecuta OKM Manager.

    Nota:

    Únicamente debe crear un perfil de cluster, ya que abarca a todo el cluster y puede ser utilizado por cualquier usuario (del agente). El único motivo por el cual deberá crear otro perfil es si desea establecer un segundo cluster o si cambió las direcciones IP de todos los dispositivos de gestión de claves del cluster actual.

  4. Haga clic en el botón OK (Aceptar). Se muestra el cuadro de diálogo Connect to Cluster (Conectarse a cluster) con la información del perfil de cluster que creó.

    El texto alrededor describe connect_to_cluster_so.jpg.

  5. Complete los siguientes parámetros y haga clic en el botón Connect (Conectar):

    User ID (ID de usuario)

    Escriba el nombre del usuario que se conectará al dispositivo de gestión de claves especificado o, si es la primera vez que se conecta al dispositivo de gestión de claves después de realizar el proceso inicial de QuickStart, escriba el nombre del responsable de la seguridad creado durante el proceso de QuickStart.

    Passphrase (Frase de contraseña)

    Escriba la frase de contraseña para el usuario seleccionado.

    Cluster Name (Nombre de cluster)

    Seleccione el cluster al cual se conectará.

    Member KMAs (Dispositivos de gestión de claves miembros)

    Seleccione el dispositivo de gestión de claves al cual se conectará dentro de ese cluster.

    IP Preference (Preferencia de IP)

    Seleccione la versión del protocolo de Internet que desea: IPv4 únicamente, IPv6 únicamente o IPv6 preferentemente.

    Si un dispositivo de gestión de claves se unió al cluster después de que usted se conectó a ese cluster, ese dispositivo de gestión de claves no aparece en la lista de dispositivos de gestión de claves miembros. Para actualizar la lista, introduzca el nombre de usuario y la frase de contraseña, elija un perfil de cluster y haga clic en el botón Refresh KMAs (Actualizar dispositivos de gestión de claves).

    Importante: El dispositivo de gestión de claves autentica el ID de usuario y la frase de contraseña. La lista devuelta de direcciones IP de dispositivos de gestión de claves se utiliza para completar el perfil de cluster y se almacena en el host. La próxima vez que se conecte al dispositivo de gestión de claves, puede introducir el nombre de usuario y la frase de contraseña, elegir un perfil de cluster y seleccionar un dispositivo de gestión de claves.

  6. Si la conexión es exitosa, la barra de estado de la GUI de OKM Manager muestra el nombre de usuario y el alias, el estado de conexión del dispositivo de gestión de claves (Connected [Conectado]) y la dirección IP del dispositivo de gestión de claves.

    El texto alrededor describe connection_status1.jpg.

  7. Ahora puede usar OKM Manager para realizar diversas operaciones. Consulte desde el Capítulo 5 hasta el Capítulo 9 para conocer las operaciones que pueden realizar diversos roles de usuario.

    Nota:

    Según la asignación de roles, las tareas del panel de árbol de operaciones de gestión del dispositivo de gestión de claves pueden variar.

Supresión de un perfil de cluster

Para suprimir un perfil de cluster:

  1. En el cuadro de diálogo Connect to Cluster (Conectarse a cluster), haga clic en la flecha hacia abajo junto al campo Cluster Name (Nombre de cluster), resalte el perfil de cluster que desea suprimir y haga clic en el botón Delete Cluster Profile (Suprimir perfil de cluster). Se muestra el cuadro de diálogo Delete Cluster Profile (Suprimir perfil de cluster), que le pedirá que confirme que desea suprimir el perfil de cluster seleccionado.

    El texto alrededor describe aysdeleteclusterprofile.jpg.

  2. Haga clic en el botón Yes (Sí) para suprimir el perfil. Se suprime el perfil de cluster y usted vuelve al cuadro de diálogo Connect to Cluster (Conectarse a cluster).

Desconexión del dispositivo de gestión de claves

Para desconectarse del dispositivo de gestión de claves:

En el menú System (Sistema), seleccione Disconnect (Desconectar) o, en la barra de herramientas, haga clic en el botón Disconnect (Desconectar). Se lo desconectará inmediatamente del dispositivo de gestión de claves y el cluster de OKM. El panel de log de auditoría de la sesión indica la fecha y la hora en que se desconectó del dispositivo de gestión de claves.

Cambio de la frase de contraseña

Nota:

Esta opción de menú únicamente está activada si usted está conectado a un dispositivo de gestión de claves mediante un perfil.

Esta función permite que los usuarios cambien sus propias frases de contraseña. Esta función no invalida el certificado actual de un usuario.

Para cambiar la frase de contraseña de un usuario conectado:

  1. En el menú System (Sistema), seleccione Change Passphrase.... (Cambiar frase de contraseña). Se muestra el cuadro de diálogo Change Passphrase (Cambiar frase de contraseña).

    El texto alrededor describe change_passphrase.jpg.

  2. Complete los siguientes parámetros y haga clic en el botón OK (Aceptar):

    Old Passphrase (Frase de contraseña anterior)

    Escriba la frase de contraseña anterior del usuario.

    New Passphrase (Nueva frase de contraseña)

    Escriba la frase de contraseña nueva del usuario.

    Confirm New Passphrase (Confirmar nueva frase de contraseña)

    Vuelva a escribir la misma frase de contraseña.

  3. En el panel de log de auditoría de la sesión, se muestra el siguiente mensaje, que indica la fecha y la hora en que cambió la frase de contraseña del usuario.

Guardado de certificados

Esta función le permite exportar certificados que puede usar la utilidad de la línea de comandos de OKM (consulte "Utilidad de la línea de comandos de OKM").

El certificado de autoridad de certificación root es un certificado público guardado en formato PEM que puede utilizarse para operaciones de interfaz de línea de comandos (CLI) como un archivo PEM.

El certificado de cliente se puede guardar en formato PEM o en formato PKCS#12. El formato PEM contiene el certificado y la clave privada no cifrada. Un certificado de cliente guardado en este formato se puede utilizar para operaciones de CLI como un archivo PEM.

El formato PKCS#12 está cifrado. Un certificado de cliente guardado en este formato debe convertirse a formato PEM antes de ser utilizado para operaciones CLI (consulte "Conversión de formato PKCS#12 a formato PEM"). Se necesita una contraseña para cifrado para guardar un certificado de cliente en formato PKCS#12. La contraseña debe tener al menos 8 caracteres.

Nota:

Debe guardar estos archivos de certificados en una ubicación segura con permisos suficientes para restringir el acceso por parte de otros usuarios. Si guarda el certificado de cliente en formato PKCS#12, debe conservar la contraseña.

Para guardar los certificados:

  1. En el menú System (Sistema), seleccione Save Certificates (Guardar certificados).

    El texto alrededor describe save_certs1.jpg.

    Nota:

    La opción de menú Save Certificates (Guardar certificados) está activada únicamente si el usuario está conectado a un dispositivo de gestión de claves.

    Se muestra el cuadro de diálogo Save Certificates (Guardar certificados), con nombres de archivos generados automáticamente para el certificado de autoridad de certificación root y los certificados de cliente.

    El texto alrededor describe save_certs2.jpg.

    Puede editar estos nombres de archivo directamente o hacer clic en Browse (Examinar) para seleccionar una ruta de destino diferente o editar los nombres de archivo.

  2. En el campo Format (Formato), seleccione el formato que debe tener el certificado de cliente cuando se exporta.

  3. Si seleccionó el formato PKCS#12, escriba una frase de contraseña en el campo Passphrase (Frase de contraseña) y vuelva a escribir esta frase de contraseña en el campo Confirm Passphrase (Confirmar frase de contraseña).

  4. Haga clic en OK (Aceptar) para exportar estos certificados. Una vez que se hayan exportado estos certificados, se muestra un mensaje que indica las ubicaciones de estos archivos.

  5. Haga clic en Cancel (Cancelar) para cerrar este cuadro de diálogo y volver a la pantalla anterior.

Conversión de formato PKCS#12 a formato PEM

Si guardó el certificado de cliente en formato PKCS#12, debe convertirlo a formato PEM antes de poder usarlo con la utilidad de la línea de comandos de OKM. Use la utilidad openssl para convertirlo.

La utilidad openssl aparece en el directorio OpenSSL, que está en el directorio de instalación de la GUI de OKM Manager y la utilidad de la línea de comandos de OKM.

La sintaxis es:

openssl pkcs12 -in PKCS12file -out PEMfile -nodes

Por ejemplo:

openssl pkcs12 -in KeyTransferOperator.p12 \
-out KeyTransferOperator.pem -nodes
Enter Import Password:

El argumento -nodes es necesario para exportar la clave privada. Dado que la clave privada no está protegida con contraseña, debe gestionar adecuadamente este archivo.

Nota:

De manera opcional, se puede especificar la contraseña de importación en la línea de comandos mediante el parámetro -passin, si es necesario.

Especificación de los valores de configuración

Para especificar los valores de configuración:

  1. En el menú System (Sistema), seleccione Options.... (Opciones). Se muestra el cuadro de diálogo Options (Opciones) con los valores de configuración actuales.

    Nota:

    Las opciones seleccionadas se almacenan en el registro de Windows o en "~/.KMS Manager" para otras plataformas (donde ~ es el directorio de inicio del usuario). La clave del registro de Windows para estos valores es "My Computer\HKEY_CURRENT_USER\Software\Sun Microsystems\KMS Manager".
    El texto alrededor describe options_dialog1.jpg.

  2. Modifique los siguientes parámetros, según sea necesario, y haga clic en el botón Save (Guardar):

    Communication Timeout (Timeout de comunicación)

    Escriba un período de timeout (en segundos) para las comunicaciones con el dispositivo de gestión de claves conectado. Si el dispositivo de gestión de claves no responde antes de que trascurra el valor de timeout, OKM Manager suspende la comunicación. El valor mínimo es 1 y el valor máximo es 60. El valor predeterminado es 15.

    El texto alrededor describe comm_timeout.jpg.

Query Page Size (Tamaño de la página de consulta)

Escriba el número máximo de elementos que se mostrarán en una pantalla, un cuadro de diálogo o una ficha de un cuadro de diálogo que muestra una lista de elementos. Se puede usar la paginación para ver una lista más larga que este límite. El valor mínimo es 1 y el valor máximo es 1000. El valor predeterminado es 20.

Display Dates in Local Time Zone (Mostrar fechas en la zona horaria local)

Seleccione esta casilla de verificación para mostrar todas las fechas y horas en la zona horaria local del equipo (es decir, el lugar donde se ejecuta OKM Manager), en lugar de UTC. La casilla está seleccionada de forma predeterminada. Se muestra el siguiente mensaje de confirmación.

Display Tool Tips on List Panels (Mostrar información sobre herramientas en paneles de lista)

Seleccione esta casilla de verificación si desea ver información sobre herramientas cuando coloca el cursor sobre un elemento. Este es el valor predeterminado.

Zone ID (ID de zona)

Si los dispositivos de gestión de claves están configurados para tener direcciones IPv6 y usted desea conectarse a uno de ellos mediante una dirección IPv6 local de enlace (es decir, una que comienza con "fe80"), seleccione un ID de zona que se deberá usar al conectarse a esa dirección local de enlace.

Consulte "Direcciones IPv6 con ID de zona" para obtener más información.

Direcciones IPv6 con ID de zona

Para usuarios de sistemas Windows, la GUI de OKM Manager y las utilidades de la línea de comandos de copia de seguridad y de OKM (consulte "Utilidades de la línea de comandos") permiten introducir direcciones IPv6 locales de enlace; sin embargo, primero es necesario realizar una configuración inicial.

Nota:

Debe introducir un ID de zona cada vez que especifique una dirección local de enlace (es decir, una dirección IPv6 que comience con "fe80"). Para especificar un ID de zona, puede agregarlo al final de una dirección IPv6, después de un signo de porcentaje (%).

  1. Abra una ventana de símbolo del sistema y determine qué ID de zona están disponibles en el sistema Windows.

    netsh interface ipv6 show interface

    Los ID de zona aparecen en la columna Idx en la salida de este comando. Busque entradas que tengan en estado "Connected" (Conectado).

  2. Use el comando ping para confirmar la conectividad de red con uno de estos ID de zona. Por ejemplo:

    ping fe80::216:36ff:fed5:fba2%4

  3. Antes de abrir el cuadro de diálogo Connect (Conectar) en la GUI de OKM Manager, visualice el cuadro de diálogo Options (Opciones) y seleccione el ID de zona adecuado.

    El texto alrededor describe options_bo1.jpg.

  4. Haga clic en el botón Save (Guardar).

Salida de OKM Manager

Para salir de OKM Manager:

  1. En el menú System (Sistema), seleccione Exit (Salir) o, en la barra de título, haga clic en el botón X. OKM Manager se cierra y usted vuelve al escritorio de Windows.

  2. Si estaba conectado, OKM Manager se desconecta inmediatamente y se cierra.