# Usuarios del servidor. Integración con LDAP/Active Directory

Partes de este tema pueden estar traducidos automáticamente.

# Cuentas

En la sección User Accounts puede agregar nuevas cuentas de usuario, así como editar y eliminar las existentes.

No es posible editar la información de los usuarios en el modo LDAP. El formulario para ingresar información del usuario está disponible solo en el modo Registry.

En la versión gratuita de TrueConf Server Free existen limitaciones en el número máximo de cuentas de usuario, lo cual se detalla más en la página de este producto.

/docs/server/media/users_list/es.png
  1. Agregando un usuario.

  2. La búsqueda de usuarios está disponible por TrueConf ID, nombre, apellido, nombre para mostrar, email.

  3. Visualización de grupos de usuarios existentes en el servidor.

  4. Exportación de la lista de usuarios a un archivo CSV para su posterior importación al área personal de TrueConf Group (se realiza en la sección Maintenance del panel de control del terminal). Este botón solo está disponible en modo Registry. El archivo CSV se guarda en codificación UTF-8 y se utiliza ";" como separador, es decir, se ignoran las preferencias de configuración.

  5. Lista de usuarios registrados en el servidor. En la parte inferior del avatar de cada usuario se muestra su estado:

/docs/server/media/gui/online/es.png — en línea;

/docs/server/media/gui/offline/es.png — desconectado;

/docs/server/media/gui/busy/es.png — está en una reunión o llamada de video;

/docs/server/media/gui/owner/es.png — es el propietario de la conferencia;

/docs/server/media/gui/inactive/es.png — la cuenta ha sido desactivada por el administrador (ver el campo Status en el perfil).

Para configurar la posibilidad de que los usuarios externos se conecten a su servidor de videoconferencia, consulte en nuestra base de conocimientos.

Para cambiar la información del usuario, haga clic en su nombre. Para eliminar al usuario, haga clic en el botón /docs/server/media/gui/delete_user/es.png.

# Perfil de usuario

Al hacer clic en la cuenta de usuario en cualquier sección del panel de control, accederá al menú de edición de datos sobre él:

/docs/server/media/user_profile_fields/es.png
  1. Trasladar al usuario a estado "activo" o "inactivo" (ver abajo). Estos usuarios aparecerán en la lista general con transparencia y con un estado de color gris.

  2. Desconexión forzada del usuario de TrueConf Server en todas las aplicaciones cliente. Esto puede ser útil para permitir rápidamente la conexión de otro usuario al alcanzar el número máximo de conexiones (de acuerdo con la licencia).

  3. TrueConf ID — es un nombre único utilizado para la autenticación en la aplicación del cliente y para realizar llamadas. El nombre de usuario (parte del TrueConf ID antes del @) solo puede consistir en caracteres latinos y cirílicos, números, guiones bajos, guiones y puntos. Especificar el nombre del servidor después del nombre de usuario (un sufijo en formato @server al lado del campo de entrada) es necesario para llamar a un usuario de otro servidor. El nombre de usuario se establece al crear un usuario y posteriormente no puede ser cambiado.

  4. Introducción de la contraseña del usuario. La contraseña establecida no se puede ver después de completar la creación o edición de la cuenta, pero se puede reemplazar por otra. Con el botón /docs/server/media/gui/password_icon/es.png junto al campo de confirmación de contraseña, puede ver los requisitos para ella.

  5. Dirección de correo electrónico para enviar notificaciones al usuario por parte de TrueConf Server a través del SMTP vinculado al servidor.

  6. El nombre ingresado se mostrará en la agenda de otros usuarios. Este campo se pre-rellena con el nombre de usuario introducido en el paso 3. Sin embargo, el valor del campo puede ser cambiado.

  7. Datos personales del usuario. Estos campos no son obligatorios.

  8. Defina la pertenencia del usuario a grupos. Al hacer clic en la flecha, se mostrará una lista de los grupos existentes en el servidor. Para agregar al usuario a uno o varios grupos, simplemente marque la casilla a la izquierda del nombre.

  9. Si es necesario, puede agregar los números de teléfono del usuario. Al acceder al perfil del usuario en la aplicación cliente de TrueConf, será posible llamar a cualquiera de estos números con solo hacer clic en él.

  10. Si se utiliza la telefonía SIP, en este campo puede indicar un número para realizar llamadas mediante el protocolo SIP. Entonces, en el perfil del usuario en la aplicación cliente de TrueConf, aparecerá el campo correspondiente. Al hacer clic en él, la llamada se realizará en el formato #sip:<number>, y el número se puede indicar como <number>, sip:<number> o #sip:<number>.

  11. Guardado de cambios o eliminación de la cuenta, así como regresar a la página anterior a la lista de usuarios.

Si el usuario introduce la contraseña incorrecta el número de veces indicado en la sección Users → Settings, la autorización a través de la aplicación web será bloqueada durante un día. Para habilitar nuevamente el acceso manualmente, puede presionar el botón Unlock en la página de su perfil:

/docs/server/media/unblock_user/es.png

# Desactivación del usuario

La posibilidad de que cada usuario se autentique se regula en su cuenta con la casilla Active. Si el usuario no está activo, su cuenta seguirá existiendo, pero la autenticación a través de ella no será posible y se mostrará un mensaje correspondiente en cualquier aplicación cliente:

/docs/server/media/inactive_user/es.png

# Llamadas y conferencias

Si está editando una cuenta de usuario previamente creada, justo debajo de los datos del mismo verá la sección Calls and conferences, donde encontrará enlaces para acceder:

  • en el historial de llamadas de este usuario;

  • a la lista filtrada por este usuario de la lista general de conferencias programadas y salas virtuales creadas en el servidor. Es decir, se mostrarán aquellos eventos en los que el usuario es participante.

/docs/server/media/user_calls_block/es.png

El historial de llamadas contiene todas las sesiones de comunicación del usuario en llamadas punto a punto y en conferencias:

/docs/server/media/user_calls_list/es.png
  1. Interfaz común para trabajar con la tabla (ver descripción de la sección de informes). Además, es posible filtrar los eventos por los siguientes tipos:

    • Todos los tipos (por defecto);

    • Llamada entrante;

    • Llamada saliente;

    • Llamada perdida;

    • Conference.

2. Para mostrar la información detallada, seleccione la sesión deseada en la lista de la izquierda (sesión de comunicación). Para las reuniones programadas periódicamente y las salas virtuales asociadas a ellas, puede haber varias sesiones de acuerdo con el número de veces que se ha iniciado el evento.

3. Al seleccionar una sesión asociada con la conferencia, en la tarjeta de la derecha se mostrarán:

  • nombre y ID de la conferencia;

  • el nombre mostrado de su propietario;

  • duración de esta sesión;

  • fecha y hora de inicio de la sesión;

  • enlace para ir a la información detallada de la sesión en la sección Call history;

  • enlace a la página de la conferencia relacionada. Estará ausente para las reuniones rápidas concluidas que se inician "sobre la marcha" en las aplicaciones de cliente TrueConf.

# Configuración de la aplicación

En la página de creación y edición de la cuenta, puede configurar parámetros especiales que se activarán en la aplicación cliente cuando el usuario inicie sesión. Estos determinan las restricciones del bitrate entrante y saliente y se encuentran en el bloque Application settings.

Si no se especifican dichos parámetros, entonces se aplican al usuario las configuraciones de su grupo (si están establecidas). Si existen restricciones en varios de sus grupos, se aplicarán los valores más estrictos (menores). La configuración del grupo se muestra (para su revisión, sin la posibilidad de cambio) junto a los campos de entrada para las configuraciones del usuario.

/docs/server/media/user_profile_application_settings/es.png

Si los límites de bitrate se establecen a nivel de usuario o grupo, el usuario no podrá cambiarlos en la aplicación cliente TrueConf, pero verá qué ajustes se han establecido.

Las configuraciones de la aplicación para el usuario tienen prioridad sobre las configuraciones para el grupo: si establece una restricción para el usuario que es más baja que la del grupo, entonces se aplicarán las restricciones del usuario.

# Área personal del usuario

En la parte inferior de la página se encuentra el directorio de contactos del usuario y los botones para editarla. El directorio de contactos incluye a todos los usuarios que figuran en los directorios de los grupos a los que pertenece el usuario.

Puede agregar entradas individuales a la lista, que solo serán visibles para el usuario que está editando. Tenga en cuenta que no solo puede agregar un usuario de TrueConf Server, sino cualquier cadena de llamada como una entrada en la libreta de direcciones, por ejemplo, el ID de una conferencia, suscriptores SIP/H.323 o RTSP. Más tarde, puede eliminarlos aquí mismo con el botón /docs/server/media/gui/delete_user/es.png, y el propio usuario puede hacerlo en la libreta de direcciones en la aplicación cliente o en el área personal.

Si la edición de la agenda no está prohibida a nivel de grupo, el usuario puede agregar contactos por su cuenta y organizarlos en grupos en la aplicación cliente. Estos grupos solo se muestran para el usuario en cuestión y no afectan a la lista de grupos en el panel de control. Sin embargo, los contactos agregados por el usuario se muestran en la agenda de su cuenta en el panel de control y el administrador puede editar esta lista.

/docs/server/media/user_profile_address_book/es.png
  1. Interfaz para agregar un suscriptor a la lista. Comience a escribir el nombre de usuario o el nombre para mostrar, y en la lista desplegable aparecerán opciones para una rápida adición (si está registrado en el servidor).

  2. Lista de grupos a los que pertenece el usuario y cuyas libretas de direcciones están incluidas en la libreta de direcciones del usuario sin la posibilidad de eliminación.

  3. Búsqueda de usuarios.

  4. Lista de suscriptores que se muestran en la agenda. Al hacer clic en un usuario registrado en este servidor, pasará a la edición de su perfil.

# Grupos

En la sección Groups puede crear, renombrar, editar y eliminar grupos, así como incluir y excluir usuarios de los mismos, crear una libreta de direcciones e indicar configuraciones específicas de la aplicación para los usuarios de un grupo en particular.

La edición manual de la lista de usuarios y configuraciones no está disponible en el modo LDAP. Solo puede cargar grupos desde el directorio LDAP como se muestra a continuación.

Independientemente del modo de almacenamiento de datos (Registry o LDAP), las siguientes grupos están presentes por defecto:

  • Usuarios sin grupo — se refiere automáticamente a los usuarios que no han sido agregados explícitamente a ningún grupo durante la configuración de la cuenta o en esta sección como se muestra a continuación;

  • Federated users para usuarios que realizan llamadas hacia usuarios y conferencias de su TrueConf Server gracias a la federación;

  • Guest users, donde se incluyen los invitados que se conectan a sus conferencias públicas (webinars).

No se pueden renombrar ni eliminar los grupos predeterminados.

# Edición de grupos en modo Registry

/docs/server/media/groups/es.png
  1. Para agregar un nuevo grupo, ingrese su nombre y haga clic en Create.

  2. A nivel de grupo, puede prohibir / permitir las siguientes funciones:

    • Edición del área personal. Al marcar esta casilla, el administrador permite a los usuarios del grupo cambiar los nombres mostrados de los participantes, eliminar/agregar nuevos suscriptores y realizar cualquier otro cambio en su propia área personal. Si la casilla no está marcada, los usuarios de este grupo no podrán realizar los cambios mencionados anteriormente. En este caso, todas las modificaciones son realizadas por el administrador en el panel de control y se aplican a todas las áreas personales de los usuarios de este grupo.

    • Realización de llamadas punto a punto. Los usuarios podrán responder a las llamadas entrantes.

    • Creación de conferencias de grupo.

    • Compartir el escritorio o ventanas individuales de aplicaciones.

    • Proporcionar la capacidad de administrar su propio escritorio.

    • Presentación de diapositivas.

    • La transferencia de archivos en chats de cualquier tipo: tanto personales como grupales.

    • Descarga de archivos en los chats. Si no se dispone de este derecho, el usuario verá en el chat un mensaje sobre la falta de esta función en lugar del archivo y la opción de descargarlo.

    • Registro de reuniones en la aplicación del cliente. No afecta la posibilidad de activar la grabación al crear una reunión en el planificador de la aplicación o en el área personal.

    • Autoridad del operador. Este derecho permite a los miembros del grupo actuar como moderadores y les da acceso a la herramienta de administración de reuniones en tiempo real en cualquier evento al que se unan.

Estas configuraciones permiten diferenciar los derechos de los distintos usuarios del servidor.

3. Pasar a la edición del nombre y composición del grupo.

4. Configuración de la agenda para los miembros del grupo.

5. Ir a la configuración de las restricciones de ancho de banda para los participantes del grupo.

6. Para eliminar uno o varios grupos, márquelos con las casillas y haga clic en Delete selected. Las cuentas de sus miembros no se eliminarán del servidor.

# Edición de grupos en modo LDAP

Al cambiar el modo de almacenamiento de datos de usuarios de TrueConf Server a modo LDAP, la lista de usuarios y grupos se importa del directorio LDAP (por ejemplo, Active Directory). Tenga en cuenta que los grupos necesarios deben estar presentes en el objeto de directorio especificado para la búsqueda de usuarios. Por ejemplo, si al configurar LDAP ha especificado en el campo Group la cadena cn=UsersGroup,ou=People,dc=example,dc=com, entonces en el lado LDAP, el objeto UsersGroup debe contener los grupos de cuentas requeridos.

En este caso, la creación de grupos de usuarios y la adición de sus cuentas no están disponibles en el panel de control de TrueConf Server, pero puede agregarlos desde LDAP. Para ello:

  1. En el panel de control del servidor, diríjase a la sección Users → Groups.

  2. Haga clic en Change encima de la lista de grupos.

  3. En la ventana que se abre, ingrese parte del nombre del grupo que desea agregar y haga clic en el botón de búsqueda /docs/server/media/gui/search/es.png.

  4. En la lista de grupos filtrados, haga clic en /docs/server/media/gui/add/es.png junto a aquellos que desea agregar a la lista.

  5. Haga clic en Save para aplicar los cambios.

/docs/server/media/import_ldap_groups/es.png

Para los grupos importados desde LDAP, así como en el modo Registry, están disponibles las configuraciones de derechos de usuario y libreta de direcciones.

# Cómo funcionan las restricciones de permisos

Si el usuario forma parte de varios grupos, las configuraciones permisivas tienen prioridad sobre las restrictivas. Por ejemplo, la cuenta pertenece a los grupos IT y DevOps. Si a nivel del grupo IT tiene permiso para mostrar presentaciones, podrá hacerlo independientemente de la configuración de esta capacidad para el grupo DevOps.

Para los usuarios que llaman a los abonados de su instancia de TrueConf Server a través de la federación, la lista de características se forma a partir de los derechos que están configurados en su lado (para el grupo Federated users) y en el lado de su servidor de videoconferencia. Por ejemplo, si ha desactivado la capacidad de transferencia de archivos para usuarios federados, ellos no podrán enviarlos al participar en su conferencia, incluso si este derecho está activado para ellos en su TrueConf Server. De manera similar, un usuario federado no podrá enviar un archivo si usted lo ha permitido pero no existe tal derecho para su grupo en el lado de su servidor de videoconferencia.

# Edición del nombre y composición del grupo

Al hacer clic en el nombre de un grupo de la lista se abrirá la página User Accounts. En ella puede cambiar el nombre del grupo y editar la lista de sus miembros utilizando los botones correspondientes:

/docs/server/media/group_settings/es.png

Para ampliar la lista, haga clic en el botón Add a user. En la ventana que se abre, seleccione los usuarios que desea agregar al grupo seleccionado. Después de seleccionar todos los usuarios, haga clic en Save:

/docs/server/media/add_user_in_group/es.png

Para cambiar el nombre del grupo, haga clic en Rename. En la ventana que se abre, ingrese el nuevo nombre y haga clic en Save (o Cancel, si desea cerrar la ventana sin guardar los cambios):

/docs/server/media/rename_group/es.png

Además, usted puede hacer clic en el botón /docs/server/media/gui/save_btn/es.png para exportar la lista de usuarios de un grupo específico a un archivo CSV para su posterior importación al área personal TrueConf Group.

# Configuración del directorio para usuarios del grupo

En la columna Address Book de cada grupo hay un enlace Customize. Al hacer clic en él se abrirá el menú de edición de la libreta de direcciones, que es común para todos los usuarios de ese grupo. Los participantes también pueden agregar nuevos contactos a la libreta de direcciones por su cuenta, pero solo si en la configuración de permisos está marcada la opción Address Book Editing.

Puede agregar a la libreta de direcciones del grupo (es decir, a la libreta de direcciones de cada uno de sus miembros) a todos los usuarios de otro grupo a la vez. Para esto sirve la sección Define, which users will be shown in the address book of the users in the group. Tenga en cuenta que la adición automática de usuarios a la libreta de direcciones y la adición manual se aplican de manera independiente una de la otra.

/docs/server/media/group_address_book/es.png

También está disponible la adición manual de suscriptores de diferentes tipos de manera similar a su adición en la libreta de direcciones en el perfil del usuario. Sin embargo, el miembro del grupo no podrá eliminarlos por su cuenta, ya que estos contactos han sido añadidos para todo el grupo, no a su área personal.

Los miembros del grupo pueden buscar a otros usuarios del servidor mediante la función de búsqueda y añadirlos por su cuenta a su lista de contactos (si se permite la edición de la agenda).

# Configuración de la aplicación para usuarios del grupo

Al hacer clic en el enlace Customize de la columna Application en la fila del grupo en la tabla principal, se abrirá un menú en el que puede establecer las restricciones de ancho de banda para los usuarios pertenecientes a dicho grupo.

/docs/server/media/group_application_settings/es.png

# Alias

# Descripción del trabajo

Los alias permiten llamar a un usuario de TrueConf Server o a cualquier suscriptor que sea accesible a través del servidor (SIP, H.323, RTSP o un usuario de otro servidor) ingresando no la cadena completa para su llamada, sino un alias corto. Añadir un alias es como si se creara un nuevo usuario con un nuevo nombre, en cuyo lugar efectivamente actúa uno de los usuarios existentes (en el sentido de que todas las llamadas al nuevo nombre se redirigen al usuario existente).

Esta función es especialmente útil para organizar llamadas en TrueConf Server desde dispositivos móviles con teclado numérico. Puede crear alias numéricos para usuarios del servidor para que puedan ser llamados desde estos dispositivos.

/docs/server/media/aliases/es.png
  1. El pseudónimo puede contener tanto números como letras. El número máximo de caracteres permitidos es 32. La actualización de los pseudónimos en el servidor se realiza solo después de reiniciar.

  2. Línea de llamada (incluyendo el inicio de sesión del usuario del servidor). Las llamadas al pseudónimo serán redirigidas a este suscriptor.

  3. Añadir un nuevo alias a la lista.

  4. Para eliminar uno o varios alias, márcalos con las casillas y haz clic en Delete selected.

Para que la lista se actualice después de añadir o eliminar alias, asegúrese de reiniciar el servidor.

# Uso en la federación

Al usar la federación mediante alias, puedes llamar de la misma manera que con TrueConf ID, y la resolución del alias se realizará en el servidor especificado después de @ en el alias completo como alias@server, por ejemplo, 122@video.server.name.

A continuación, veremos 2 formas de usar alias en las instancias de TrueConf Server one.name y two.name, que están unidas en una federación.

Ejemplo 1

En cada uno de los TrueConf Server se configuran sus propios alias. Es decir, en el servidor one.name hemos establecido el alias 111 para el usuario userA.

Para llamar al usuario userA desde el servidor two.name, es necesario especificar en la barra de direcciones:

111@server, donde server es el nombre DNS o la dirección IP one.name.

Ejemplo 2

En el servidor two.name crear un alias 111 para el usuario userA del servidor one.name, que ya estará asignado al formato de llamada correspondiente:

userA@server, donde server es el nombre DNS o la dirección IP one.name.

Entonces, los usuarios del servidor two.name podrán llamar a los usuarios del servidor one.name sin tener que ingresar su IP o nombre DNS, simplemente indicando los alias en la línea de dirección en la aplicación cliente. Por ejemplo, 111 de nuestro ejemplo.

La segunda opción es más transparente para los usuarios, pero más complicada de configurar un sistema de alias cómodo.

# Autenticación

En esta sección, puede configurar los métodos de autenticación de los usuarios de su TrueConf Server.

Existen dos zonas de seguridad diferentes para la autenticación: confiable (por defecto llamada Trusted network) y externa (no confiable) (por defecto llamada Internet). Estas están presentes por defecto, no se pueden eliminar, pero se pueden configurar como se muestra a continuación.

A la zona externa se asignarán automáticamente todos aquellos que no estén incluidos en la de confianza. Así, según la IP del usuario se determinará a qué zona será asignado.

/docs/server/media/auth_zones/es.png
  1. Zonas de seguridad. Al hacer clic en cada una de ellas, se abren sus ajustes.

  2. Métodos de autenticación especificados para cada zona.

  3. Activación o desactivación de la zona. Después de desactivar la zona, los usuarios que pertenecen a ella recibirán una notificación correspondiente sobre la imposibilidad de conectar al intentar conectarse a su TrueConf Server. Los usuarios que se hayan conectado previamente seguirán trabajando con el sistema hasta que expire el plazo de validez del token de autorización.

  4. Métodos de verificación disponibles para configurar. Al hacer clic en Kerberos SSO y AD FS, se abrirá la ventana emergente correspondiente configuración. Para los métodos Login and password y NTLM (Single Sign-On), no hay configuración; simplemente se activan con los interruptores de la derecha.

  5. Estado de configuración y funcionamiento de cada método.

  6. Activación de métodos de autenticación.

Para que estén disponibles los métodos Kerberos SSO, NTLM SSO y AD FS, debe seleccionarse y configurarse el modo de almacenamiento de cuentas LDAP.

# Configuración de zonas de acceso

Al hacer clic en el nombre de la zona de confianza, se abrirá la página de configuración:

/docs/server/media/auth_network/es.png
  1. Cambio del nombre de la zona, por ejemplo, a "Red corporativa".

  2. Subredes que pertenecen a esta zona. Al hacer clic en cualquier registro, se abrirá la ventana para editar la dirección y la máscara de subred. También puede eliminar la subred allí.

  3. Agregando una nueva subred.

  4. Selección de métodos de autenticación.

  5. No olvide guardar los cambios.

Para la zona externa solo se pueden configurar el nombre y los métodos de autenticación.

# Configuración de SSO y AD FS

Tecnología de inicio de sesión único (Single sign-on, SSO) al integrarse con el servidor LDAP permite a los usuarios de su TrueConf Server autenticarse automáticamente en él después de iniciar sesión en el sistema operativo de sus PC y abrir la aplicación cliente TrueConf. Para ello, se puede utilizar uno de dos protocolos: Kerberos (opens new window) o NTLM (opens new window).

Para que la autenticación SSO utilizando NTLM funcione correctamente, es necesario que el servidor donde está instalado el software TrueConf Server y las PC de los usuarios estén registrados en el dominio. Para Kerberos, es necesario que las PC de los usuarios estén registradas en el dominio, pero para la máquina con TrueConf Server esto no es obligatorio.

Para activar NTLM, basta con habilitarlo en el bloque State, no hay configuraciones adicionales para ello.

Para configurar la conexión mediante el protocolo Kerberos, haga clic en el enlace Kerberos SSO en el bloque Authentication methods (en la página Authentication con la lista de zonas de seguridad):

/docs/server/media/auth_kerberos/es.png

En la ventana que aparece, seleccione:

  • archivo keytab que se utilizará para la autenticación;

  • si es necesario, haga clic en More e introduzca su valor de ServicePrincipalName (SPN) en lugar del guardado en el archivo.

Servicios de federación de Active Directory (Active Directory Federation Services, AD FS) es un componente de software de Windows Server que proporciona funcionalidad de proveedor de autenticación para acceder a recursos fuera del sistema corporativo de Active Directory, como aplicaciones web.

Además de AD FS, se pueden utilizar otras soluciones para implementar la autenticación de dos factores, como Keycloak o Indeed Access Manager.

Para configurar la integración con los servicios de federación, haga clic en el enlace AD FS en el bloque Authentication methods e introduzca los parámetros obligatorios:

/docs/server/media/auth_adfs/es.png
  1. Identificador (Client ID) de la aplicación OAuth que se ha creado en el lado de AD FS para obtener el token de acceso.

  2. URI en el lado de para recibir la respuesta de AD FS, que también debe especificarse en el lado del servicio de federación.

  3. Al hacer clic en More, puede cambiar (si es necesario):

    • URL del formulario de autorización en el lado de AD FS, que se utiliza para obtener un token de acceso para el usuario de TrueConf Server al conectar;

    • ámbito de aplicación (Scope);

    • el nombre del proveedor de autenticación que se muestra en la lista de métodos en la página de configuración de zonas de acceso y en las aplicaciones cliente TrueConf durante la autenticación de dos factores;

    • así como desactivar la verificación del certificado SSL de AD FS por parte de TrueConf Server.

# LDAP / Active Directory

Se admiten dos modos de almacenamiento de datos de usuarios de TrueConf Server: Registry y LDAP (opens new window). Es posible alternar entre ellos en cualquier momento presionando el botón Switch:

/docs/server/media/user_storage_mode/es.png

# Modo Registro

El modo Registry se utiliza por defecto. En este modo, el servidor almacena la información de los usuarios en el ordenador local. Añadir y eliminar nuevos usuarios es posible desde el panel de control. Si el servidor del modo de almacenamiento Registry se cambió al modo LDAP de almacenamiento de datos, los registros existentes de los usuarios ya no se utilizarán.

Al cambiar de este modo al modo LDAP, los datos de los usuarios almacenados en el ordenador local no se eliminan, por lo que cambiar a otro modo y volver no dañará la información guardada.

# Modo LDAP

En este modo de almacenamiento, el servidor utiliza la información de los usuarios de un directorio LDAP remoto o local. Esto ofrece una serie de ventajas para el uso del servidor en estructuras corporativas:

  • sincronización automática de la información del usuario;

  • ausencia de necesidad de autorización en el puesto de trabajo dentro de la red;

  • transparencia, rapidez y comodidad en la administración;

  • seguridad en la administración;

  • soporte para diferentes servicios de directorios: Microsoft Active Directory, FreeIPA, OpenLDAP, 389 Directory Server y otros.

No es posible editar la lista de usuarios y la configuración de los grupos utilizando el panel de control del servidor en modo LDAP. Por defecto, las configuraciones de LDAP corresponden a Microsoft Active Directory. La información de los usuarios se edita utilizando las herramientas de gestión de Active Directory.

Obtenga más información sobre el protocolo LDAP y el servicio de directorio de Microsoft Active Directory en nuestro sitio web.

En el modo LDAP, los derechos de los usuarios se determinan por la pertenencia a un grupo determinado del Active Directory. Para activar este modo, marque la casilla en el campo LDAP → Enable y haga clic en el botón LDAP settings, que aparecerá debajo después de esto. Se abrirá el formulario de configuración de LDAP:

/docs/server/media/ldap/es.png
  1. Tipo de servidor compatible: Active Directory, OpenLDAP, 389 Directory Server. De esto dependen los nombres predeterminados de los atributos que el servidor lee del directorio LDAP. También puede seleccionar la opción Custom, para establecer manualmente los nombres de los atributos. Después de elegir el tipo de servidor, para cambiar a los nombres de atributos correspondientes, despliegue el bloque Advanced debajo y haga clic en el botón Default. Verá que los nombres de los atributos en la columna Value han cambiado. Si es necesario, puede ingresar los valores deseados y luego haga clic en el botón Apply, que se encuentra en el mismo bloque Advanced.

  2. Establecimiento de una conexión segura con el servidor LDAP en modo protegido (a través del protocolo LDAPS) para la transferencia segura de datos de usuario a través de la red.

  3. Elección automática o manual de la configuración del servidor LDAP.

  4. En modo automático, el servidor LDAP puede seleccionarse de los servidores predeterminados del dominio DNS especificado en este campo. Los servidores predeterminados se determinan mediante las correspondientes entradas DNS tipo SRV. Para Active Directory, aquí se puede especificar el nombre DNS del dominio AD.

  5. Dirección y puerto del servidor LDAP para la configuración manual. Puede utilizar el catálogo global para conectarse al servicio de directorios. Para ello, especifica el puerto 3268 o 3269 para trabajar con los protocolos LDAP y LDAPS respectivamente.

  6. Base de Búsqueda (Base Distinguished Name) — es un objeto del directorio para la búsqueda de usuarios, por ejemplo, ou=People,dc=example,dc=com.

  7. Modos de autenticación TrueConf Server en el servidor LDAP.

  8. Parámetros de autorización en el servidor LDAP.

  9. En este campo es posible indicar el grupo LDAP de usuarios que pueden autenticarse en TrueConf Server, por ejemplo, cn=TC_Users,ou=People,dc=example,dc=com. Se puede seleccionar el grupo utilizando el botón Browse. Para que sea posible hacer clic en este botón, es necesario rellenar correctamente los campos de unión al servidor LDAP (en los bloques Server settings y Authentication), incluyendo el campo Base DN.

  10. Parámetros adicionales de LDAP. Esto permitirá ajustar los parámetros para diferentes tipos de servidores LDAP.

Tenga en cuenta que si cambia el tipo de servidor (por ejemplo, de Active Directory a OpenLDAP), los parámetros adicionales de LDAP no se restablecen automáticamente. Para cambiar a los valores predeterminados para el nuevo servidor, debe expandir el bloque Advanced y hacer clic en el botón Default.

Al cambiar del modo LDAP a Registry, es posible importar registros de usuarios. Para ello, en la pestaña User storage debe seleccionar el modo Registry y marcar la casilla Import user information, luego presionar el botón Switch.

Las contraseñas de los usuarios no se importan. Después de la importación, las cuentas están en estado "inactivo" (véase la descripción de la sección User accounts).

En el perfil de usuario en modo LDAP, solo estará disponible para editar el digest-password, el cual es obligatorio establecer al registrar un terminal SIP/H.323 en TrueConf Server. Esta misma contraseña debe especificarse en la configuración de autorización del terminal:

/docs/server/media/ldap_user/es.png

La directorio de grupos y usuarios registrados en el servidor de videoconferencia permite crear grupos de usuarios y definir sus permisos en el servidor. En el modo Registry, un usuario puede pertenecer a uno de los grupos creados; este parámetro se puede cambiar en la ventana de edición del usuario. En el modo LDAP, esta pestaña ofrece la posibilidad de especificar los permisos en el servidor para varios grupos LDAP seleccionados. La pertenencia de un usuario a los grupos se determina en el directorio LDAP.

Para importar grupos de usuarios desde LDAP, vaya a la sección Users → Groups. Haga clic en el botón Change y seleccione los grupos que necesita en la lista que aparecerá. Para más información, consulte el artículo sobre configuración de grupos de usuarios.

Al importar grupos de usuarios desde LDAP, en la lista se mantienen aquellos grupos que están presentes por defecto en él.

Si tiene varios servidores TrueConf conectados a un LDAP común, el usuario puede iniciar sesión en su área personal a través de la página de invitado de cualquiera de ellos. Además, con un LDAP común, los usuarios de otro servidor TrueConf pueden participar en conferencias privadas utilizando el inicio de sesión de invitado.

# Cómo cargar cuentas de usuario de diferentes dominios

  1. En el dominio principal al que se conectará TrueConf Server, cree un grupo con un alcance (rango) Domain Local.

  2. Coloque en este grupo las cuentas de los usuarios (o grupos de usuarios con un rango universal, en consecuencia, la anidación de grupos solo se admite dentro de un único bosque) que se planea cargar en el servidor.

  3. Realice los pasos 1 y 2 para todos los dominios desde los cuales planea importar las cuentas.

  4. En la configuración de LDAP, en el campo Path (distinguishedName), especifique este grupo.

  5. Asegúrese de que en la sección Advanced de la configuración de LDAP, el parámetro Trust Enabled sea igual a 1 (valor predeterminado).

# Instalación de certificado para conexión LDAPS

Para la conexión mediante el protocolo LDAPS, puede ser necesario añadir el certificado SSL raíz del dominio al servidor físico o virtual en el que está implementado TrueConf Server, donde se encuentra el servidor con el rol de controlador de dominio. Para hacer esto, copie el certificado SSL raíz del dominio en cualquier lugar en la máquina con TrueConf Server.

Tenga en cuenta que se requiere un certificado en formato .crt. Por lo tanto, si está en otro formato, será necesario convertirlo como se muestra en este artículo.

Después de esto, instale el certificado .crt dependiendo del sistema operativo:

Para sistemas operativos de la familia Windows

  1. Haga doble clic con el botón izquierdo del ratón en el certificado.

  2. En la ventana emergente de instalación del certificado, haga clic en el botón Install Certificate.

  3. En la ventana de selección de ubicación de almacenamiento, especifique Local Machine.

  4. En la siguiente ventana de configuración de almacenamiento, seleccione Place all certificates in the following storage y haga clic en Browse.

  5. En la lista de almacenamientos, seleccione Trusted Root Certification Authorities y haga clic en OK.

  6. Para completar la configuración, haga clic en los botones Next y Finish.

  1. Ejecute el siguiente comando en el terminal como administrador:
cp /home/$USER/cert.crt /usr/local/share/ca-certificates && update-ca-certificates

donde /home/$USER/cert.crt es la ruta completa al certificado .crt después de haberlo copiado a la máquina con TrueConf Server.

2. Reinicie la máquina con TrueConf Server.

  1. Ejecute el siguiente comando en el terminal como administrador:
cp /home/$USER/cert.crt /etc/pki/ca-trust/source/anchors/ && update-ca-trust

donde /home/$USER/cert.crt es la ruta completa al certificado .crt después de haberlo copiado a la máquina con TrueConf Server.

2. Reinicie la máquina con TrueConf Server.

# Solución de problemas típicos al usar LDAP

Al configurar LDAP, pueden surgir errores al conectarse al servicio de directorio. Entonces, después de pulsar el botón Apply, situado en el bloque de parámetros de conexión, aparecerá el mensaje correspondiente en la parte superior de la ventana. A continuación, se analizan los problemas típicos.

Error LDAP error 81 (Servidor caído)

Falta de conexión con el servicio de directorio. Lo más probable es que no haya acceso a él por parte de TrueConf Server en la dirección y puerto TCP indicados (389 para una conexión normal y 636 para una conexión segura LDAPS). Puede verificar la conexión usando la utilidad de consola telnet (disponible en Windows y Linux):

telnet [ldap-server] [port]

donde [ldap-server] es la dirección y [port] es el puerto del servidor con la función de controlador de dominio. Por ejemplo, para comprobar el acceso a través de LDAPS, se debería realizar:

telnet ldap.example.com 636

Si no hay conexión, debe verificar la configuración del equipo de red o del software de interconexión de redes, y también asegurarse de que el servidor con el rol de controlador de dominio esté en funcionamiento.


Error LDAP error 49 (Credenciales inválidas)

No se puede autenticar en el servidor LDAP. Es necesario asegurarse de que en la configuración de LDAP, en la sección Authentication se han ingresado los datos correctos de la cuenta de servicio utilizada para conectarse al servicio de directorio.


Error LDAP error -1

Este error puede ocurrir al conectarse al servicio de directorio a través de una conexión segura LDAPS. Hay varias razones posibles.

  1. Es necesario asegurarse de que en la máquina física o virtual en la que está implementado TrueConf Server se haya cargado el certificado SSL raíz del dominio en el que se encuentra el servidor con el rol de controlador de dominio. Después de cargar el certificado, puedes verificar la conexión utilizando la herramienta openssl, ejecutando el siguiente comando en el terminal de Windows o Linux:
openssl s_client -connect [ldap-server]:[port]

donde [ldap-server] es la dirección y [port] es el puerto del servidor con el rol de controlador de dominio.

2. Si TrueConf Server está implementado en un sistema operativo de la familia Linux y se está configurando una conexión a Microsoft Active Directory, asegúrese de que el campo Domain contenga el nombre de dominio completo (FQDN) de la máquina en la que se implementa el servidor con el rol de controlador de dominio. Debe incluir el nombre de la máquina, por ejemplo, server-name.ldap.example.com. En este caso, en el comando de verificación de la conexión SSL del punto anterior, es necesario utilizar específicamente el FQDN.


La conexión se ha establecido, pero la lista de cuentas está vacía

Asegúrese de que en la sección Advanced se utilice un conjunto de filtros que corresponda al tipo de servidor seleccionado (Active Directory, OpenLDAP, 389 Directory Server). Para cambiar a los nombres de atributos correspondientes después de cambiar el tipo de servidor, haga clic en el botón Default y configure los filtros necesarios.


Aparecieron los usuarios del dominio principal, pero no aparecieron los usuarios de los dominios de confianza

Asegúrese de que:

  1. En el bloque Advanced en la configuración de LDAP, el parámetro Trust Enabled tiene el valor 1.

  2. La cuenta utilizada para conectarse al servidor del controlador de dominio tiene permisos de lectura del atributo member of en el contenedor ForeignSecurityPrincipals.

# Configuración de contraseña y bloqueo

# Requisitos de la contraseña

Al utilizar el modo Registry, puede especificar la longitud mínima permitida del contraseña (de 2 a 64) y la presencia de caracteres obligatorios (letras en mayúsculas y minúsculas, números, símbolos especiales) para el usuario de su TrueConf Server. Estos parámetros se verificarán al añadir una nueva cuenta y al cambiar la contraseña de una ya existente, incluida la edición de la contraseña por parte del usuario en su área personal:

/docs/server/media/password_settings/es.png

Al ingresar una contraseña que no cumple con los requisitos, se mostrará un mensaje correspondiente. Utilizando el botón /docs/server/media/gui/password_icon/es.png junto al campo de confirmación de contraseña, puede ver los parámetros necesarios:

/docs/server/media/password_requirements/es.png

# Bloqueo automático

En este bloque puede activar la política de bloqueo de usuario en caso de ingreso incorrecto de la contraseña durante la autorización.

Las configuraciones de bloqueo están disponibles tanto en modo Registry como en LDAP. Este bloqueo se realiza del lado del servidor de videoconferencia y no está relacionado con las configuraciones en AD/LDAP.

/docs/server/media/block_settings/es.png

Se puede especificar:

  • el período de bloqueo (el usuario puede ser desbloqueado manualmente en su perfil en cualquier momento);

  • número de intentos fallidos de introducción de contraseña antes del bloqueo;

  • tiempo después del último intento de introducir la contraseña, tras el cual el contador de intentos se reiniciará.

Consideremos el siguiente ejemplo. Supongamos que se han especificado las configuraciones:

  • Duración del bloqueo = 6:00, es decir, 6 horas;

  • Número máximo de intentos de inicio de sesión fallidos = 5;

  • Resetear el contador de bloqueo después = 00:10, es decir, 10 minutos.

Entonces, si al intentar la autorización para un inicio de sesión existente en el servidor (TrueConf ID) habrá 5 intentos fallidos de introducir la contraseña con una diferencia entre cada intento inferior a 10 minutos, la cuenta se bloqueará durante 6 horas. Y si después de cualquiera de los intentos (por ejemplo, el cuarto) habrá 10 minutos, entonces el contador contará de nuevo a partir de uno.