Documentación de Oracle Cloud Infrastructure

Manejo de fallos de red en la autenticación delegada

Manejar un fallo de red en una autenticación delegada.

La mayoría de las organizaciones siguen confiando en Microsoft Active Directory (AD) para gestionar sus cuentas de usuario, y los usuarios confían en Active Directory para la autenticación y el acceso a varios sistemas. Si por algún motivo, los usuarios no pueden autenticarse con las credenciales de Active Directory, esto tiene un gran impacto en las operaciones diarias y los negocios de las organizaciones.

Para evitar situaciones como estas, IAM proporciona una funcionalidad de gestión de fallos de red. Esta funcionalidad ayuda a los usuarios a conectarse con las credenciales de la aplicación Active Directory incluso cuando IAM no puede acceder al puente de Active Directory (AD).

Puede configurar la autenticación delegada para un dominio del AD en IAM de modo que un usuario pueda utilizar su contraseña deActive Directory para autenticarse en IAM.

Si no se puede acceder al puente de AD, los usuarios no pueden validar sus credenciales con Active Directory y, por lo tanto, no pueden conectarse a IAM. No se puede acceder a Active Directory por varios motivos. Puede deberse a que una conectividad de red entre la conexión de AD y IAM esté caída.

Para evitar esta situación, IAM proporciona la función de almacenamiento en caché de contraseñas local para realizar una autenticación local en caso de no que se pueda acceder a este puente. Esta funcionalidad ayuda a los usuarios delegados a conectarse a IAM aunque no se puede acceder a este puente. Por motivos de seguridad, esta contraseña se almacena en formato hash en IAM.

Compruebe que la duración de esta contraseña en memoria caché en IAM sea limitada. Puede configurar la duración máxima (5 días) que defina para almacenar la contraseña en caché en IAM. Por ejemplo, si su conectividad de red está caída y ha definido la duración de su contraseña en caché en 2 días, esto permite a los usuarios conectarse a IAM durante solo 2 días. Sin embargo, si Active Directory sigue sin ser accesible durante más tiempo que la duración especificada, no podrá conectarse a IAM.

Para protegerse frente a la posibilidad de que alguien pueda utilizar ataque de fuerza bruta para acceder a su cuenta, puede limitar el número de intentos de contraseña incorrectos durante el almacenamiento de contraseñas en caché en IAM. Después de varios intentos fallidos, IAM bloqueará la cuenta de usuario. El límite que se puede configurar es 5.

No puede realizar las siguientes operaciones mientras la conectividad de red está inactiva:

  • Un usuario no puede cambiar su propia contraseña

  • Un usuario no puede restablecer su propia contraseña validando el token

  • Un usuario no puede cambiar su propia dirección de correo electrónico

  • Un administrador no puede cambiar la contraseña de un usuario a un valor conocido

  • Un administrador no puede restablecer la contraseña de un usuario cuya contraseña está autenticada por Active Directory

Sin embargo, si ha cambiado recientemente una contraseña en Active Directory, puede conectarse a IAM con esa contraseña mientras que la conectividad está caída, siempre y cuando ya se haya conexión a IAM mientras Active Directory estaba disponible.

Nota

A veces, puede aparecer un error del sistema aunque proporcione una contraseña correcta. Esto se debe a que la memoria caché de contraseñas está vacía o a que la contraseña ha caducado.

Activación del Almacenamiento en Caché de Contraseñas Local

Debe activar la funcionalidad de almacenamiento en caché de contraseñas local para permitir a los usuarios a los que se ha delegado autenticación conectarse a IAM en caso de no poder acceder a la aplicación Microsoft Active Directory.
  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
  2. Seleccione el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. En la página de detalles del dominio, haga clic en Seguridad.
  3. Seleccione Autenticación delegada.
  4. Amplíe el nodo situado a la derecha del puente de AD para el que desea activar la memoria caché de contraseñas.
  5. Seleccione Desactivar en el conmutador Activar caché de contraseñas.
  6. Defina la duración durante cuánto tiempo desea almacenar esta contraseña, en Duración de contraseña de caché (días).
  7. Seleccione cuántos intentos incorrectos de contraseña desea durante el almacenamiento en caché de la contraseña en Número de intentos incorrectos de contraseña durante el almacenamiento en caché de contraseñas.
  8. Seleccione Guardar.