Usuarios y grupos. Integración con LDAP/Active Directory

TrueConfAlrededor de 92 min

Usuarios y grupos. Integración con LDAP/Active Directory

Partes de este tema pueden estar traducidos automáticamente.

Recordamos los pasos mínimos para obtener un sistema de comunicación corporativa en funcionamiento:

  1. Elija una máquina (PC, servidor físico o virtual) con el equipo adecuado.

  2. Instalar TrueConf Server.

  3. Iniciar sesión en el panel de control.

  4. Registrar servidor.

  5. Configurar HTTPS (se utiliza para muchas funciones clave, como la integración con el servidor de IA, la programación de reuniones, etc.) y especificar la dirección externa del servidor (página de invitados).

  6. Configure la disponibilidad del servidor para los usuarios dentro de la red corporativa y, si es necesario, desde la red externa (fuera de la red empresarial).

  7. Crear cuentas de usuario o integrar el servidor con el servicio de directorio mediante el protocolo LDAP/LDAPS. ◀️ ¡Está aquí!

  8. Instale aplicaciones de cliente para los usuarios y enséñeles a conectarse a su servidor (consulte la documentación de la aplicación de escritorio).

Cuentas

En la sección User Accounts, puede agregar nuevas cuentas de usuario, así como editar y eliminar las existentes.

No es posible editar la información de los usuarios en el modo LDAP. El formulario para ingresar información del usuario está disponible solo en el modo Registry.

En la versión gratuita de TrueConf Server Free, existen limitaciones en el número máximo de cuentas, las cuales se detallan en la página de esta solución.

/docs/server/media/users_list/es.png
  1. Haga clic en el botón Add user para comenzar a crear una nueva cuenta.

  2. El campo Search permite filtrar usuarios por TrueConf ID, nombre, apellido, nombre para mostrar y correo electrónico.

  3. El interruptor Groups permitirá cambiar a la visualización de la lista de grupos de usuarios disponibles en el servidor. Podrá expandir cada grupo para ver la lista de sus miembros. Los grupos se configuran por separado.

  4. Utilice el botón /docs/server/media/gui/save_btn/es.png para exportar la lista de usuarios a un archivo CSV para su posterior importación en la libreta de direcciones TrueConf Group. La importación se realiza en la sección Maintenance del panel de control del terminal. Este botón solo está disponible en el modo Registry. El archivo CSV se guarda en codificación UTF-8 y utiliza ";" como delimitador, ignorando así las configuraciones de preferencias.

  5. A continuación se muestra una lista de usuarios registrados en el servidor. En la parte inferior del avatar de cada usuario se muestra su estado:

Para modificar los datos del usuario, haga clic en su nombre. Para eliminar al usuario, presione el botón /docs/server/media/gui/delete_user/es.png.

Autorización del terminal con la cuenta de usuario

Es posible registrar un terminal SIP/H.323 en el servidor con la cuenta de usuario. Esto permite obtener una serie de ventajas al trabajar con él:

  • exportación automática de la libreta de direcciones para el códec TrueConf Group (la configuración detallada se describe en la documentación del terminal);

  • seguimiento del estado del terminal como usuario normal en el área personal (en línea, ocupado, fuera de línea).

Es importante entender que después de la autorización de cada terminal, se utiliza 1 licencia en línea adicional a la licencia del gateway (detalles en la sección de licenciamiento).

No se recomienda registrar el mismo terminal en un servidor simultáneamente mediante SIP y H.323.

Perfil del usuario

Si crea un usuario o hace clic en cualquiera de los ya existentes en la lista, será dirigido a la página para completar su información:

/docs/server/media/user_profile_fields/es.png
  1. Con la casilla Active, puede cambiar el estado del usuario a "activo" o "inactivo" (ver más abajo). Estos usuarios se mostrarán en la lista general con transparencia y con un estado de color gris.

  2. Utilice el botón Disconnect para desconectar al usuario de TrueConf Server en todas las aplicaciones cliente. Esto puede ser útil para permitir rápidamente que otro usuario se conecte cuando se alcanza el número máximo de conexiones (de acuerdo con la licencia).

  3. Haga clic en el enlace View junto al elemento History of devices para ver la información sobre las conexiones de este usuario al servidor (más detalles a continuación).

  4. TrueConf ID — es un nombre único utilizado para la autorización en la aplicación cliente y la realización de llamadas. El nombre de usuario (la parte de TrueConf ID antes de @) puede consistir únicamente en caracteres latinos y cirílicos, números, guiones bajos, guiones y puntos. El TrueConf ID completo con el nombre del servidor después del nombre de usuario (añadido en el formato @server al lado del campo de entrada) es necesario para llamar a un usuario de otro servidor. El nombre de usuario se establece al crear el usuario y no puede ser cambiado posteriormente.

  5. Indique la contraseña del usuario. La contraseña establecida no se podrá ver después de completar la creación o edición de la cuenta, pero se puede cambiar por otra. Con el botón /docs/server/media/gui/password_icon/es.png junto al campo de confirmación de contraseña, puede ver los requisitos para la misma.

  6. A continuación, especifique la dirección de correo electrónico para enviar notificaciones al usuario, distribuidas TrueConf Server a través del servidor SMTP vinculado.

  7. Otro campo obligatorio es Display name, que se mostrará en la libreta de direcciones de otros usuarios. Este campo se llena previamente con el nombre de usuario introducido en el paso 3. Sin embargo, el valor del campo puede ser modificado.

  8. Luego sigue una lista de varios datos del usuario y su pertenencia a la empresa. Estos campos no son obligatorios para completar.

  9. En la lista desplegable Groups, puede asignar al usuario a las grupos necesarias. Al hacer clic en la flecha, se mostrará la lista de grupos existentes en el servidor. Para añadir al usuario a uno o varios grupos, simplemente marque la casilla a la izquierda del nombre.

  10. Si es necesario, puede especificar los números de teléfono del usuario. Al acceder al perfil del usuario en la aplicación cliente TrueConf, podrá llamar a cualquiera de estos números simplemente haciendo clic en él.

  11. Si se utiliza telefonía SIP, puede especificar el número para llamadas a través del protocolo SIP en el campo correspondiente. Entonces, en el perfil del usuario de la aplicación cliente TrueConf, se mostrará el campo correspondiente. Al hacer clic en él, la llamada se realizará en el formato #sip:<number>, y el número se puede especificar como <number>, sip:<number> o #sip:<number>.

Si el usuario introduce una contraseña incorrecta consecutivamente tantas veces como se indica en la sección Users → Settings, la autorización a través de la aplicación web se bloqueará durante un día. Se puede habilitar manualmente el acceso presionando el botón Unlock en la página de su perfil:

/docs/server/media/unblock_user/es.png

Desactivación de usuario

La posibilidad de autorización para cada usuario se regula en su cuenta con la casilla Active. Si el usuario está inactivo, su cuenta continúa existiendo, pero no será posible autorizarse a través de ella, y en cualquier aplicación cliente se mostrará un mensaje correspondiente:

/docs/server/media/inactive_user/es.png

Historial de dispositivos del usuario

En la lista History of devices, para cada usuario de su servidor, puede ver una tabla de sus autorizaciones activas y completadas en el servidor. Esta lista esencialmente representa información del registro Reports → Endpoints, filtrada por usuario específico:

/docs/server/media/devices/es.png

En la lista se muestran todas las conexiones activas, y la versión de la aplicación se indicará en la primera columna Application. Para las conexiones desde el navegador, se mostrará la opción TrueConf WebClient.

Puede forzar la finalización de una conexión activa específica, es decir, cerrar la sesión de un usuario. Por ejemplo, para seguridad, cerrar la sesión de un usuario en un smartphone perdido. Para hacerlo, pulse el botón /docs/server/media/gui/logout/es.svg junto al dispositivo deseado en la lista. Aparecerá una ventana de confirmación donde podrá desactivar el inicio de sesión automático, obligando al usuario a introducir su contraseña en la próxima autenticación. También puede prohibir el inicio de sesión automático sin cerrar la sesión del usuario del servidor, para ello haga clic en el enlace Disable en la fila correspondiente.

Llamadas y conferencias

Si está editando una cuenta de usuario creada anteriormente, justo debajo de la información sobre él verá el bloque Calls and conferences donde habrá enlaces para acceder:

  • en el historial de llamadas de este usuario;

  • al listado general filtrado por este usuario de conferencias planificadas y salas virtuales creadas en el servidor. Es decir, se mostrarán aquellos eventos en los que el usuario es participante.

/docs/server/media/user_calls_block/es.png

El historial de llamadas contiene todas las sesiones de comunicación del usuario en llamadas punto a punto y en conferencias:

/docs/server/media/user_calls_list/es.png
  1. Interfaz general para trabajar con la tabla (ver descripción de la sección de informes). Es posible filtrar eventos por los siguientes tipos:

    • All types (por defecto);
    • Incoming call;
    • Outgoing call;
    • Missed call;
    • Conference.
  2. 2. Para mostrar la información detallada, seleccione la sesión deseada en la lista de la izquierda (sesión de comunicación). Para las reuniones programadas periódicamente y las salas virtuales asociadas a ellas, puede haber varias sesiones de acuerdo con el número de veces que se ha iniciado el evento.

  3. 3. Al seleccionar una sesión asociada con la conferencia, en la tarjeta de la derecha se mostrarán:

    • nombre y ID de la conferencia;

    • el nombre mostrado de su propietario;

    • duración de esta sesión;

    • fecha y hora de inicio de la sesión;

    • enlace para obtener más información sobre la sesión en la sección Call history;

    • el enlace a la página de la conferencia vinculada. No estará disponible para las conferencias rápidas finalizadas, que se inician "al vuelo" en las aplicaciones cliente TrueConf.

Ajustes de la aplicación

En la página de creación y edición de cuentas, se pueden establecer parámetros especiales que se activarán en la aplicación cliente cuando este usuario inicie sesión. Estos parámetros determinan las limitaciones del bitrate de entrada y salida, y se encuentran en el bloque Application settings.

Si no se especifican dichos parámetros, entonces se aplican al usuario las configuraciones de su grupo (si están establecidas). Si existen restricciones en varios de sus grupos, se aplicarán los valores más estrictos (menores). La configuración del grupo se muestra (para su revisión, sin la posibilidad de cambio) junto a los campos de entrada para las configuraciones del usuario.

/docs/server/media/user_profile_application_settings/es.png

Si se han establecido restricciones de velocidad de bits a nivel de usuario o de grupo, el propio usuario no podrá cambiarlas en la aplicación cliente TrueConf, pero podrá ver las configuraciones que se han establecido.

Las configuraciones de la aplicación para el usuario tienen prioridad sobre las configuraciones para el grupo: si establece una restricción para el usuario que es más baja que la del grupo, entonces se aplicarán las restricciones del usuario.

Libreta de direcciones del usuario

En la parte inferior de la página se encuentra el directorio de contactos del usuario y los botones para editarla. El directorio de contactos incluye a todos los usuarios que figuran en los directorios de los grupos a los que pertenece el usuario.

Puede añadir registros individuales a la lista que se mostrarán solo para el usuario que está editando. Tenga en cuenta que puede agregar no solo un usuario de TrueConf Server como entrada en la libreta de direcciones, sino cualquier cadena de llamada, como un ID de conferencia, abonados SIP/H.323 o RTSP. Posteriormente, podrá eliminarlos aquí mismo con el botón /docs/server/media/gui/delete_user/es.png, mientras que el usuario podrá hacerlo en la libreta de direcciones en la aplicación cliente o en el área personal.

Si la edición de la libreta de direcciones no está prohibida a nivel de grupo, el usuario puede añadir contactos y organizarlos en grupos en la aplicación cliente. Estos grupos solo se muestran al usuario y no afectan la lista de grupos en el panel de control. Sin embargo, los contactos añadidos por el usuario se muestran en la libreta de direcciones para su cuenta en el panel de control y el administrador puede editar esta lista.

/docs/server/media/user_profile_address_book/es.png
  1. Interfaz para agregar un suscriptor a la lista. Comience a escribir el nombre de usuario o el nombre para mostrar, y en la lista desplegable aparecerán opciones para una rápida adición (si está registrado en el servidor).

  2. Lista de grupos a los que pertenece el usuario y cuyas libretas de direcciones están incluidas en la libreta de direcciones del usuario sin la posibilidad de eliminación.

  3. Búsqueda de usuarios.

  4. Lista de suscriptores que se muestran en la agenda. Al hacer clic en un usuario registrado en este servidor, pasará a la edición de su perfil.

Puede encontrar ejemplos de cadenas de llamadas que se pueden añadir a la libreta de direcciones en la documentación del área personal del usuario.

Grupos

En la sección Groups, puede crear, renombrar, editar y eliminar grupos, así como incluir y excluir usuarios de ellos, crear una libreta de direcciones y especificar configuraciones individuales de la aplicación para los usuarios de cada grupo.

La edición manual de la lista de usuarios y configuraciones (como el nombre del grupo) no está disponible en el modo LDAP. Solo puede cargar grupos desde el directorio LDAP como se muestra a continuación.

Independientemente del modo de almacenamiento de datos (Registry o LDAP), las siguientes grupos están presentes por defecto:

  • Users without group — incluye automáticamente a los usuarios que no han sido añadidos explícitamente a ningún grupo al configurar la cuenta o en esta sección como se muestra a continuación;
  • Federated users para los usuarios que realizan llamadas hacia los usuarios y conferencias de su TrueConf Server gracias a la federación;
  • Guest users, a la que acceden los invitados que se unen a tus conferencias públicas (webinarios).

No se pueden renombrar ni eliminar los grupos predeterminados.

Cada grupo de usuarios tiene ciertos permisos para usar su servidor de videoconferencias.

Lista de derechos para el grupo de usuarios

Tenga en cuenta que no se pueden activar ciertos permisos para los grupos preconfigurados. Esto se hace tanto por razones de seguridad (por ejemplo, se limita la concesión de permisos de operador) como por lógica (por ejemplo, dado que un invitado no tiene una cuenta permanente en su servidor, no podrá crear conferencias).

El derecho a realizar llamadas para los usuarios federativos será el mismo que se configure en su servidor. Por ejemplo, si en otro servidor un usuario pertenece a un solo grupo y las llamadas están prohibidas allí, entonces tampoco podrá llamar a sus usuarios.

A continuación se enumeran los derechos que se pueden configurar para los grupos de usuarios TrueConf Server:

  • /docs/server/media/gui/rights/contacts/es.svg Edición de la libreta de direcciones. Al marcar esta casilla, el administrador permite a los usuarios del grupo cambiar los nombres mostrados de los participantes, eliminar/agregar nuevos contactos y realizar otros cambios en su propia libreta de direcciones. Si la casilla no está marcada, los usuarios de este grupo no podrán realizar los cambios mencionados. En este caso, todos los cambios son realizados por el administrador en el panel de control y se aplican a todas las libretas de direcciones de los usuarios de este grupo.
  • /docs/server/media/gui/rights/calls/es.svg Realización de llamadas punto a punto. De este modo, los usuarios podrán responder a las llamadas entrantes.
  • /docs/server/media/gui/rights/conferences/es.svg Creación de conferencias grupales.
  • /docs/server/media/gui/rights/screen_sharing/es.svg Compartir el escritorio o ventanas de aplicaciones individuales.
  • /docs/server/media/gui/rights/desktop_control/es.svg La posibilidad de enviar una solicitud para controlar el escritorio del interlocutor.
  • /docs/server/media/gui/rights/desktop_control_own/es.svg Brindar la posibilidad de controlar su escritorio.
  • /docs/server/media/gui/rights/slideshow/es.svg Presentación de diapositivas, que se importan de archivos o se crean a partir de imágenes por el usuario. No depende del derecho a mostrar el escritorio o las aplicaciones.
  • /docs/server/media/gui/rights/file_send/es.svg Transferencia de archivos en chats de cualquier tipo: tanto personales como grupales.
  • /docs/server/media/gui/rights/file_receive/es.svg Descarga de archivos en los chats. Si no tiene este permiso, el usuario verá un mensaje en el chat indicando la falta de esta posibilidad en lugar del archivo y la opción de descargarlo.
  • /docs/server/media/gui/rights/recording/es.svg Grabación de conferencias en la aplicación del cliente. No afecta la posibilidad de activar la grabación al crear una conferencia en el planificador de la aplicación o en el área personal.
  • /docs/server/media/gui/rights/surveys/es.svg Creación de encuestas y su distribución por campañas.
  • /docs/server/media/gui/rights/transcripts/es.svg Ver y gestionar las transcripciones disponibles. Este permiso concede acceso a las transcripciones del usuario de este grupo en el área personal del servidor de IA y su TrueConf Server. La transcripción del usuario en este caso es aquella a la que se concede acceso mediante las siguientes configuraciones:
    • por el administrador en la configuración general TrueConf Server, vea parámetros generales en el panel de control. Por ejemplo, de forma predeterminada, todos los participantes de la conferencia tienen acceso a la transcripción (los moderadores tienen acceso completo, los demás solo de lectura);

    • mediante la gestión manual de la configuración por parte de otros usuarios, para más detalles vea la descripción de cómo trabajar con las transcripciones en el área personal.

      La restricción de acceso no impide la posibilidad de gestionar la grabación de audio para las transcripciones (ver más abajo).

      Si esta casilla no está marcada (derecho revocado), los usuarios no verán la sección Transcripts en la aplicación ni en el área personal TrueConf Server, y al intentar iniciar sesión en el servidor de IA verán un mensaje de acceso denegado.

  • /docs/server/media/gui/rights/transcripts_full/es.svg Acceso completo a todas las transcripciones de los eventos de este TrueConf Server. En este caso, el usuario de este grupo podrá ver y gestionar cualquier transcripción, incluidas las de las conferencias en las que no participó. Para que este derecho funcione, es necesario marcar ambas casillas: esta y /docs/server/media/gui/rights/transcripts/es.svg ver y gestionar las transcripciones disponibles.
  • /docs/server/media/gui/rights/transcripts_recording/es.svg La posibilidad de activar la grabación de audio para el reconocimiento (transcripción) al crear una conferencia y en la administración de reuniones en tiempo real durante el evento.
  • /docs/server/media/gui/rights/operator/es.svg Permisos del operador. Este derecho permite a los miembros del grupo ser moderadores y acceder a la herramienta de administración de reuniones en tiempo real en cualquier evento al que se unan.

Cómo funcionan las restricciones de derechos

Si el usuario forma parte de varios grupos, las configuraciones permisivas tienen prioridad sobre las restrictivas. Por ejemplo, la cuenta pertenece a los grupos IT y DevOps. Si a nivel del grupo IT tiene permiso para mostrar presentaciones, podrá hacerlo independientemente de la configuración de esta capacidad para el grupo DevOps.

Los derechos al nivel de grupos de usuarios se complementan con restricciones para zonas de autenticación.

Para los usuarios que llaman a los suscriptores de su instancia de TrueConf Server a través de la federación, la lista de capacidades se basa en los permisos configurados en su lado (para el grupo Federated users) y en el lado de su servidor de videoconferencia. Por ejemplo, si ha desactivado la capacidad de transferencia de archivos para usuarios federados, no podrán enviarlos durante su conferencia, incluso si este permiso está activado para ellos en su TrueConf Server. De manera similar, un usuario federado no podrá enviar un archivo si usted lo ha permitido, pero dicho permiso no existe para su grupo en su servidor de videoconferencia.

Configuración de grupos en modo Registry

A continuación se muestra un ejemplo de configuración de grupos para el modo Registry, mientras que algunos parámetros serán diferentes para el modo LDAP.

/docs/server/media/groups/es.png
  1. Para añadir un nuevo grupo, haga clic en el botón Add, introduzca su nombre en la ventana emergente y haga clic en Create.

  2. En el nivel de grupo, puede habilitar o deshabilitar ciertas funciones mediante casillas de verificación en columnas específicas. Estas configuraciones permiten diferenciar los permisos de varios usuarios del servidor. Se proporciona una lista completa de ellos arriba, y también consulte la descripción de cómo funcionan los permisos cuando un usuario pertenece a diferentes grupos. La gestión de permisos también está disponible en el modo de edición de un grupo específico en la pestaña User rights.

  3. Haga clic en el grupo deseado en la lista para proceder a editarlo. Al hacer clic en la columna Group Name, podrá ordenar la lista alfabéticamente.

  4. Para eliminar uno o más grupos, márquelos con las casillas de verificación y haga clic en Delete. Las cuentas de sus miembros no se eliminarán del servidor.

Configuración de grupos en modo LDAP

La edición manual de la lista de usuarios y configuraciones (como el nombre del grupo) no está disponible en el modo LDAP. Solo puede cargar grupos desde el directorio LDAP como se muestra a continuación.

Al cambiar el modo de almacenamiento de datos de usuarios de TrueConf Server a modo LDAP, la lista de usuarios y grupos se importa del directorio LDAP (por ejemplo, Active Directory). Tenga en cuenta que los grupos necesarios deben estar presentes en el objeto de directorio especificado para buscar usuarios. Por ejemplo, si al configurar LDAP ha indicado en el campo Group la cadena cn=UsersGroup,ou=People,dc=example,dc=com, entonces en el lado LDAP, el objeto UsersGroup debe contener los grupos de cuentas requeridos.

En este caso, la creación de grupos de usuarios y la inclusión de sus cuentas no está disponible en el panel de control de TrueConf Server, pero puede añadirlos desde LDAP. Para ello:

  1. En el panel de control del servidor, dirígete a la sección Users → Groups.

  2. Haz clic en Add encima de la lista de grupos:

    /docs/server/media/import_ldap_groups/es.png
  3. En la ventana que se abre, introduzca parte del nombre del grupo que desea añadir y haga clic en el botón Search:

    /docs/server/media/group_ldap_search/es.png
  4. En la lista de grupos filtrados, haga clic en el nombre de los que desea agregar a la lista. Aparecerán en la lista Selected:

    /docs/server/media/selected_groups/es.png
  5. Haga clic en Add para aplicar los cambios.

Para los grupos importados desde LDAP, al igual que en el modo Registry, están disponibles las configuraciones de derechos de los usuarios, libreta de direcciones, restricciones para aplicaciones cliente, llamadas grupales.

Edición de grupo

Al hacer clic en el nombre del grupo de la lista, se abrirá la página de edición:

/docs/server/media/group_settings/es.png

Usted puede:

Para cambiar el nombre del grupo, haga clic en el botón /docs/server/media/gui/edit_grey/es.svg a la derecha del nombre. En la ventana que se abre, ingrese el nuevo nombre y haga clic en Rename (o Cancel si desea cerrar la ventana sin guardar los cambios):

/docs/server/media/rename_group/es.png

También puede presionar el botón /docs/server/media/gui/save_btn/es.png para exportar la lista de usuarios de un grupo específico a un archivo CSV para importación posterior en el área personal TrueConf Group.

Edición de la lista de participantes del grupo

En el modo LDAP, el botón de agregar no se muestra en la pestaña Participants. En este caso, se importa todo el grupo como se muestra arriba.

no ve la lista de participantes del evento;

  1. Ábrela en la lista compartida.

  2. Vaya a la pestaña Participants.

  3. Haga clic en el botón Add.

  4. En la ventana que se abre, seleccione los usuarios que desea agregar al grupo seleccionado (filtro disponible por nombre o TrueConf ID). Después de seleccionar todos los usuarios, haga clic en Save:

/docs/server/media/add_user_in_group/es.png

Para eliminar a un usuario del grupo, haga clic en el botón /docs/server/media/gui/cross/es.svg a la derecha de la fila con su nombre.

Configuración de la libreta de direcciones para los usuarios del grupo

En la pestaña Address Book de cada grupo, puede configurar una lista de contactos que sea común para todos los usuarios de ese grupo:

/docs/server/media/group_address_book/es.png

Los participantes también pueden agregar nuevos contactos a la libreta de direcciones por sí mismos, pero solo si la casilla Address Book Editing está habilitada en la configuración de permisos. Tenga en cuenta que el agregar usuarios a la libreta de direcciones por parte del administrador y el agregar manualmente por el propio usuario se aplican de manera independiente.

Puede añadir a la libreta de direcciones de un grupo (es decir, a la libreta de direcciones de cada uno de sus miembros) todos los usuarios que pertenezcan a otro grupo de una sola vez. Para hacerlo:

  1. En la sección Choose the users who will be displayed in the address book of group participants, marque la opción User groups.

  2. Haga clic en el menú desplegable al lado y marque los grupos necesarios.

  3. Para guardar la configuración, pulse el botón Apply.

En el bloque Group address book, también está disponible la adición manual de suscriptores de diversos tipos, de manera similar a su adición en la libreta de direcciones en el perfil del usuario. Sin embargo, un miembro del grupo no podrá eliminarlos por sí mismo, ya que estos contactos se agregan para todo el grupo y no en su libreta de direcciones personal.

Configuración de las preferencias de la aplicación para los usuarios del grupo

Al hacer clic en el enlace Customize de la columna Application en la fila del grupo en la tabla principal, se abrirá un menú donde podrá especificar las restricciones de ancho de banda para los usuarios pertenecientes a ese grupo.

Recordamos que los ajustes de la aplicación para el usuario tienen prioridad sobre los ajustes del grupo.

Si se han establecido restricciones de velocidad de bits a nivel de usuario o de grupo, el propio usuario no podrá cambiarlas en la aplicación cliente TrueConf, pero podrá ver las configuraciones que se han establecido.

/docs/server/media/group_application_settings/es.png

Le recordamos que si se establecen restricciones de canal para la aplicación para un usuario específico, estos parámetros tendrán prioridad sobre la configuración del grupo.

Configuración de llamadas grupales

Es posible configurar para un grupo de usuarios la opción de realizar una llamada grupal. Al activarla, se puede llamar no a un usuario específico, sino a todo el grupo a la vez: todos los miembros verán la llamada entrante. Tan pronto como alguien conteste la llamada, esta se rechazará automáticamente para los demás.

Para activar una llamada grupal:

  1. Seleccione el grupo necesario en la lista general y vaya a la pestaña Call settings:

    /docs/server/media/group_call/es.png
  2. Active la casilla Enable group call pickup.

  3. Especifique un ID para realizar la llamada, que debe ser único dentro del servidor, es decir, no coincidir con otros ID de llamadas grupales y TrueConf ID cuentas de usuario. Para iniciar una llamada grupal, debe usar este ID en el formato id@example.com, donde example.com es la dirección de su servidor, por ejemplo, 001@video.example.com. Puede utilizar letras, números y los símbolos . _ - como ID. Esta cadena de llamada puede añadirse a la libreta de direcciones para su uso futuro. Por defecto, se rellena con el ID del grupo, pero puede especificar el suyo propio (por ejemplo, una cadena corta para mayor comodidad).

Para guardar la configuración, no olvide presionar el botón Apply.

Псевдоним

Descripción del trabajo

Los alias permiten encontrar un suscriptor al que puede llamar ingresando una cadena corta (una especie de filtro) en lugar de la cadena completa para su llamada. Como tal suscriptor puede ser:

  • usuario del mismo servidor;

  • usuario de otro servidor con el que se ha configurado la federación;

  • cadena de llamada mediante los protocolos SIP, H.323, RTSP (terminal, cámara IP, etc.);

  • conferencia (incluida en otro servidor).

Agregar un alias crea un nuevo filtro para una búsqueda rápida en las aplicaciones cliente. En el panel de control, el administrador NO puede tratar un alias como un ID completo; por ejemplo, no es posible añadir un alias a la libreta de direcciones de un usuario o grupo.

Esta función es especialmente útil para organizar llamadas en TrueConf Server desde dispositivos móviles con teclado numérico. Los cómodos alias permiten encontrar rápidamente a un suscriptor de cualquiera de los tipos mencionados anteriormente y llamarlo o añadirlo a la libreta de direcciones.

/docs/server/media/aliases/es.png
  1. El alias puede contener números, letras, guiones - y guiones bajos _. El número máximo de caracteres permitidos es 32.

  2. La cadena de llamada (incluido el inicio de sesión del usuario del servidor). Las llamadas al alias serán redirigidas a este suscriptor. Para especificar una conferencia, se debe usar el formato \c\ID@server.

  3. Añadir un nuevo alias a la lista.

  4. Para eliminar uno o varios alias, márquelos con las casillas de verificación y presione Delete selected.

Ejemplos de cadenas de llamada para configurar un alias:

  • ceo_user — usuario de su servidor actual con el nombre de usuario ceo_user

  • other_user@example.com — es un usuario de otro servidor con la dirección example.com, con el cual se ha configurado federación.

  • \c\webinar — conferencia en el servidor actual (su servidor), el ID se puede copiar en la tarjeta del evento después de seleccionarlo en la lista general

  • \c\webinar@example.com — conferencia de otro servidor con la dirección example.com, con el cual se ha configurado la federación.

  • #sip:@10.110.8.217 — terminal SIP con la dirección 10.110.8.217. Si necesitas llamar a un terminal registrado en el servidor, al configurar el alias puedes especificar el nombre de usuario con el que el terminal está autorizado.

Uso en la federación

Al usar la federación con seudónimos, se puede llamar de la misma manera que con TrueConf ID, y la resolución del alias se realizará en el servidor especificado después de @ en el seudónimo completo del tipo alias@server, por ejemplo, 122@video.server.name.

A continuación, analizaremos dos maneras de usar alias en las instancias TrueConf Server one.name y two.name, que están federadas.

Ejemplo 1

Cada uno de los TrueConf Server tiene configurados sus propios alias. Es decir, en el servidor one.name, hemos asignado el alias 111 al usuario userA.

Para llamar al usuario userA desde el servidor two.name, es necesario especificar en la barra de direcciones:

111@server, donde server es el nombre DNS o la dirección IP one.name.

Ejemplo 2

En el servidor two.name crear un alias 111 para el usuario userA del servidor one.name, que ya estará asignado al formato de llamada correspondiente:

userA@server, donde server es el nombre DNS o la dirección IP one.name.

Entonces, los usuarios del servidor two.name podrán llamar a los usuarios del servidor one.name sin tener que ingresar su IP o nombre DNS, simplemente indicando los alias en la línea de dirección en la aplicación cliente. Por ejemplo, 111 de nuestro ejemplo.

La segunda opción es más transparente para los usuarios, pero más complicada de configurar un sistema de alias cómodo.

Autenticación

En la sección Users → Authentication, puede configurar los métodos de autenticación para los usuarios de su TrueConf Server.

Autenticación es el proceso en el que el servicio verifica y la aplicación/usuario confirma la identidad, es decir, que la entidad es tal como se ha declarado. Por ejemplo, que el usuario realmente es quien dice ser al conectarse al servidor. Después de verificar la identidad, se realiza la autorización, que es la concesión de permisos para realizar ciertas acciones en dicho servicio de acuerdo con la configuración.

TrueConf Server soporta los siguientes métodos de autenticación:

Existen dos zonas de seguridad diferentes para la autenticación: la confiable (por defecto se llama Trusted network) y la externa (no confiable) (por defecto se llama Internet). Estas zonas están presentes desde el principio, no se pueden eliminar, pero se pueden configurar como se muestra a continuación.

A la zona externa se asignarán automáticamente todos aquellos que no estén incluidos en la de confianza. Así, según la IP del usuario se determinará a qué zona será asignado.

/docs/server/media/auth_zones/es.png
  1. Zonas de seguridad. Al hacer clic en cada una de ellas, se abren sus ajustes.

  2. Métodos de autenticación especificados para cada zona.

  3. Activación o desactivación de la zona. Después de que se desactive la zona, los usuarios asociados a ella recibirán una notificación de error al intentar conectarse a su TrueConf Server. Los usuarios que ya estaban conectados seguirán trabajando con el sistema hasta que expire el token de autorización.

  4. Métodos de verificación disponibles para configurar. Los métodos Login and password y NTLM SSO no tienen ajustes; simplemente se activan con los interruptores a la derecha. Para otros proveedores añadidos, la edición está disponible haciendo clic en el nombre. También se puede eliminar los proveedores innecesarios, pero no es posible eliminar los métodos de conexión por NTLM y Kerberos; deben desactivarse si es necesario.

  5. Estado de configuración y funcionamiento de cada método.

  6. Activación de métodos de autenticación.

  7. Adición de proveedores de autenticación de dos factores: AD FS (Active Directory Federation Services), Keycloak, configuraciones manuales para agregar otro proveedor.

Para que los métodos Kerberos SSO, NTLM SSO, AD FS y Microsoft Outlook SSO estén disponibles, debe seleccionarse y configurarse el modo de almacenamiento de cuentas LDAP. Para otros métodos de autenticación (Keycloak, configuraciones manuales), esto no es necesario.

Configuraciones de zonas de acceso

Al hacer clic en el nombre de la zona de confianza, se abrirá la página de configuración:

/docs/server/media/auth_network/es.png
  1. Puede cambiar el nombre de la zona, por ejemplo, a "Red corporativa".

  2. En el bloque Subnet masks, especifique los segmentos de red que pertenecen a esta zona. Al hacer clic en cualquier registro, se abrirá una ventana de edición de la dirección y la máscara de subred. Allí también puede eliminar una subred. Debe especificarse al menos una subred para la zona de confianza.

  3. Para añadir una nueva subred a la lista, presione el botón Add.

  4. En el bloque Authentication methods, seleccione los parámetros que necesita marcando las casillas correspondientes. La lista de zonas se forma a partir de los siguientes métodos: inicio de sesión y contraseña, NTLM SSO, Kerberos SSO y otros proveedores de autenticación que se han añadido manualmente como se muestra a continuación.

A continuación se encuentra el bloque Available rights, donde puede seleccionar los permisos disponibles para cada zona. La lista de permisos disponibles es la misma que en las configuraciones de grupos, y las restricciones se suman a las que ya existen para los grupos. Es decir:

  • el derecho está permitido para el usuario si se encuentra en la zona donde este derecho es permitido, y pertenece al menos a un grupo al que se le ha otorgado este derecho;

  • El derecho está prohibido para el usuario si se encuentra en una zona donde este derecho está prohibido o pertenece a grupos a los que no se les ha otorgado este derecho.

No olvide guardar los cambios para aplicarlos en el servidor.

Para la zona externa, se pueden configurar el nombre, los métodos de autenticación y los derechos disponibles, pero no se pueden especificar las subredes.

Configuraciones de SSO

La tecnología de inicio de sesión único (Single sign-on, SSO) al integrarse con el servidor LDAP permite a los usuarios de su TrueConf Server autenticar automáticamente en él después de iniciar sesión en el sistema operativo de sus PC y ejecutar la aplicación cliente TrueConf. Para esto, se pueden utilizar una de las siguientes opciones: Kerberos, NTLM, Outlook SSO (al integrarse con Microsoft Exchange Server).

Para que la autenticación SSO funcione con NTLM, es necesario que el servidor donde está instalado el software TrueConf Server y las PC de los usuarios estén registradas en el dominio. Para Kerberos, es necesario que las PC de los usuarios estén registradas en el dominio, pero no es obligatorio para la máquina con TrueConf Server.

Para activar NTLM, solo necesitas habilitarlo en el bloque State, no hay configuraciones adicionales para ello.

Para configurar la conexión mediante el protocolo Kerberos, haga clic en el enlace Kerberos SSO en el bloque Authentication methods (en la página Authentication con la lista de zonas de seguridad):

/docs/server/media/auth_kerberos/es.png

En la ventana que aparece, seleccione:

  • archivo keytab que se utilizará para la autenticación;

  • si es necesario, pulse More e indique su propio valor ServicePrincipalName (SPN) en lugar del guardado en el archivo.

Para configurar el funcionamiento de SSO en el complemento de correo para Outlook, haga clic en el enlace Outlook SSO. En la ventana que se abrirá, ingrese las direcciones:

  • Microsoft Exchange Server host para la verificación del token de autenticación, tiene el formato {host} sin el prefijo del protocolo (es decir, sin http/https);
  • Microsoft Autodiscover Service host, tiene el formato {host} sin el prefijo del protocolo (es decir, sin http/https);
  • Además, puede desactivar la verificación del certificado SSL para el servidor Autodiscover.

/docs/server/media/outlook_sso/es.png

Adición de proveedores de autenticación de dos factores (2FA)

Es posible añadir uno o más métodos de autenticación de dos factores (proveedores de AD FS o OAuth 2.0 / OpenID Connect) para luego poder seleccionarlos para la zona deseada. No hay límite en la cantidad de proveedores que se pueden añadir. Para hacerlo, en el bloque Authentication methods presione Add y elija la opción necesaria:

/docs/server/media/auth_mfa/es.png
Servicios de federación de Active Directory (Active Directory Federation Services, AD FS) es un componente de software de Windows Server que proporciona funcionalidad de proveedor de autenticación para acceder a recursos fuera del sistema corporativo de Active Directory, como aplicaciones web.

Para configurar la integración con el proveedor de autenticación deseado, haga clic en el botón Add en el bloque correspondiente e introduzca los siguientes parámetros en la ventana de configuración:

  1. El identificador (Client ID) de la aplicación OAuth, que se ha creado en el lado del proveedor OAuth para obtener el token de acceso.

  2. URI en el lado TrueConf Server para recibir la respuesta del proveedor. Este URI también debe especificarse en el lado del proveedor.

  3. Authorization form URL en el lado del proveedor.
  4. Request token URL, se utiliza al conectar usuarios a TrueConf Server en caso de autenticación exitosa.
  5. Logout URL.
  6. Ámbito (Scope). Se especifica el scope que se seleccionó al configurar la regla en el lado del proveedor, por ejemplo, para AD FS consulte la documentación de Microsoft. Se pueden indicar varios ámbitos, en cuyo caso deben enumerarse separados por comas sin espacios.

  7. El nombre del proveedor de autenticación que se muestra en la lista de métodos en la página de configuración de las zonas de acceso y en las aplicaciones cliente TrueConf durante la autenticación de dos factores.

  8. Puede desactivar la verificación del certificado SSL recibido del proveedor en el lado de TrueConf Server.

  9. Para diferenciar más fácilmente un método de autenticación de otro, puede especificar una imagen diferente cargándola en formato SVG.

Además de AD FS, se pueden utilizar otras soluciones para implementar la autenticación de dos factores a través de OAuth 2.0, como Keycloak. La lista de configuraciones será la misma que para AD FS.

LDAP / Active Directory

Se admiten dos modos de almacenamiento de datos de usuarios TrueConf Server: Registry y LDAP. Puede cambiar entre ellos en cualquier momento presionando el botón Switch:

/docs/server/media/user_storage_mode/es.png

Modo de Registro

El modo Registry se utiliza por defecto. En este modo, el servidor almacena la información de los usuarios en el ordenador local. Añadir y eliminar nuevos usuarios es posible desde el panel de control. Si el servidor del modo de almacenamiento Registry se cambió al modo LDAP de almacenamiento de datos, los registros existentes de los usuarios ya no se utilizarán.

Al cambiar de este modo al modo LDAP, los datos de los usuarios almacenados en el ordenador local no se eliminan, por lo que cambiar a otro modo y volver no dañará la información guardada.

Durante la transición de LDAP a Registry, es posible importar usuarios del servicio de directorio al almacenamiento local del servidor. Esto le permitirá no perder datos de las cuentas si deja de usar AD/LDAP por alguna razón o si ya no necesita sincronizar las cuentas. Para transferir las cuentas del servicio de directorio al almacenamiento de Registry, marque la casilla Import user information:

¿Cómo funciona la transferencia?

/docs/server/media/ldap_transfer/es.png
  1. Se guardarán los datos para los campos que estaban en LDAP/AD y están en el modo Registry (consulte la descripción del perfil).

  2. La contraseña no se transferirá ni se creará una nueva; este campo permanecerá vacío y el administrador deberá establecer una nueva contraseña manualmente.

  3. Las cuentas serán desactivadas.

Modo LDAP

En este modo de almacenamiento, el servidor utiliza la información de los usuarios de un directorio LDAP remoto o local. Esto ofrece una serie de ventajas para el uso del servidor en estructuras corporativas:

  • sincronización automática de la información del usuario;

  • ausencia de necesidad de autorización en el puesto de trabajo dentro de la red;

  • transparencia, rapidez y comodidad en la administración;

  • seguridad en la administración;

  • soporte para diferentes servicios de directorios: Microsoft Active Directory, FreeIPA, OpenLDAP, 389 Directory Server, etc.

No se puede editar la lista de usuarios y la configuración de grupos utilizando el panel de control del servidor en modo LDAP. Por defecto, los ajustes de configuración para LDAP corresponden a Microsoft Active Directory. La información de los usuarios se edita mediante las herramientas de administración de Active Directory. Sin embargo, después de eliminar un usuario del lado del servicio de directorio, el avatar guardado localmente en la máquina con TrueConf Server también se eliminará.

Además, en este modo, el usuario conserva la opción de establecer un avatar y un nombre para mostrar en la aplicación o en el área personal. Estos datos también se actualizarán en el lado del servicio de directorios, pero bajo las siguientes condiciones:

  • los campos Display Name y Allow Avatar Propagating están configurados correctamente en configuraciones adicionales de LDAP;

  • La cuenta con la que TrueConf Server se conecta al directorio LDAP tiene permiso para escribir estos campos para los objetos.

Para obtener más detalles sobre el protocolo LDAP y el servicio de directorios de Microsoft Active Directory, visite nuestro sitio web.

En el modo LDAP, los derechos de los usuarios se determinan según su pertenencia a un grupo específico de Active Directory. Para activar este modo, marque la casilla en el campo LDAP → Enable y haga clic en el botón LDAP settings que aparecerá abajo después de esto. Se abrirá el formulario de configuración de LDAP:

/docs/server/media/ldap/es.png
  1. En la lista desplegable Server Type, seleccione su servicio de directorios, se admiten: Active Directory, OpenLDAP, 389 Directory Server, FreeIPA. Esto afecta los nombres predeterminados de los atributos que el servidor lee desde el directorio LDAP. También puede seleccionar la opción Custom para establecer manualmente los nombres de los atributos. Después de elegir el tipo de servidor, para cambiar a los nombres de atributos correspondientes, despliegue el bloque Advanced a continuación y haga clic en el botón Default. Verá que los nombres de los atributos en la columna Value han cambiado. Si es necesario, puede especificar los valores deseados y luego presionar el botón Apply, que se encuentra en este mismo bloque Advanced.

  2. Utilice la casilla Secure connection si está utilizando una conexión con el servidor LDAP en modo seguro (a través del protocolo LDAPS) para la transmisión segura de datos de usuario a través de la red.

  3. Los interruptores Auto detect determinan el modo de especificar la dirección del servidor y el puerto.

  4. En el campo Domain, especifique su dominio. En modo automático, el servidor LDAP puede seleccionarse de los servidores predeterminados del dominio DNS indicado en este campo. Los servidores predeterminados se determinan según los registros DNS correspondientes del tipo SRV. Para Active Directory, puede especificar aquí el nombre DNS del dominio AD.

  5. En los campos Server y Port, especifique la dirección/puerto del servidor LDAP durante la configuración manual. Puede utilizar el catálogo global para conectarse al servicio de directorios. Para ello, indique el puerto de conexión 3268 al trabajar con el protocolo LDAP o 3269 en el caso de LDAPS.

  6. Especifique en el campo Base DN (Base Distinguished Name) el objeto del directorio para buscar usuarios, por ejemplo, ou=People,dc=example,dc=com.

  7. En el bloque Authentication, seleccione el modo de autenticación TrueConf Server en el servidor LDAP. Se admiten las siguientes opciones:

    • Simple — con el nombre de usuario/contraseña especificados;
    • NTLM — por nombre de usuario y contraseña, pero mediante el protocolo NTLM;
    • Current NT user (disponible solo para instalaciones en Windows) — el servidor intentará conectarse al servicio de directorio utilizando la cuenta con la que funcionan sus servicios (más detalles se describen a continuación);
    • GSS — mediante inicio de sesión y contraseña, pero a través de protocolo GSS;
    • Kerberos Keytabse describe en detalle a continuación.

En Active Directory, los protocolos obsoletos NTLMv1 y LM están desactivados, por lo que al utilizar TrueConf Server en sistemas operativos Linux, la autenticación NTLM puede no funcionar.

8. Si es necesario, especifique los parámetros de autenticación en el servidor LDAP en los campos Name y Password.

9. En el campo Path (distinguishedName) se puede especificar un grupo de usuarios LDAP que pueden autenticarse en TrueConf Server, por ejemplo, cn=TC_Users,ou=People,dc=example,dc=com. Puede seleccionar un grupo usando el botón Browse. Para poder presionar este botón, es necesario completar correctamente los campos de conexión al servidor LDAP (en los bloques Server settings y Authentication), incluido el campo Base DN.

10. Puede ajustar parámetros adicionales de LDAP en el bloque Advanced.

Si se cambia el tipo de servidor (por ejemplo, de Active Directory a OpenLDAP), el restablecimiento de los parámetros adicionales de LDAP no se realiza automáticamente. Para restablecer los valores predeterminados de los parámetros para el nuevo servidor, debe expandir el bloque Advanced y hacer clic en el botón Default.

Al cambiar del modo LDAP al modo Registry, es posible importar registros de usuarios. Para ello, en la pestaña User storage, seleccione el modo Registry y marque la casilla Import user information, luego presione el botón Switch.

Las contraseñas de los usuarios no se importan. Después de la importación, las cuentas se encuentran en estado "inactivo" (ver la descripción en la sección User accounts).

En el perfil de usuario en modo LDAP, solo estará disponible para edición la contraseña digest, que es obligatorio establecer al registrar el terminal SIP/H.323 en TrueConf Server. Esta misma contraseña debe indicarse en la configuración de autorización del propio terminal:

/docs/server/media/ldap_user/es.png

La directorio de grupos y usuarios registrados en el servidor de videoconferencia permite crear grupos de usuarios y definir sus permisos en el servidor. En el modo Registry, un usuario puede pertenecer a uno de los grupos creados; este parámetro se puede cambiar en la ventana de edición del usuario. En el modo LDAP, esta pestaña ofrece la posibilidad de especificar los permisos en el servidor para varios grupos LDAP seleccionados. La pertenencia de un usuario a los grupos se determina en el directorio LDAP.

Para importar grupos de usuarios desde LDAP, dirígete a la sección Users → Groups. Haz clic en el botón Change y selecciona los grupos deseados en la lista que se abre. Para más detalles, consulta el artículo sobre la configuración de grupos de usuarios.

Al importar grupos de usuarios desde LDAP, en la lista se mantienen aquellos grupos que están presentes por defecto en él.

Si tienes varios servidores TrueConf conectados a un LDAP común, el usuario puede acceder al área personal a través de la página de invitado de cualquiera de ellos. Además, con un LDAP común, los usuarios de otro servidor TrueConf pueden participar en conferencias privadas utilizando un inicio de sesión de invitado.

Autorización como usuario NT en Windows

Si TrueConf Server está instalado en Windows y no desea especificar datos de autenticación en el panel de control para la integración con el directorio LDAP, puede usar los que están especificados en el sistema operativo. En este caso, TrueConf Server utilizará el inicio de sesión con el que funcionan los servicios:

  1. Asegúrese de que la máquina con TrueConf Server instalado esté en el mismo dominio que el directorio LDAP requerido (por ejemplo, AD). Dado que, por defecto, los objetos AD (incluidos los PC introducidos en él) tienen derechos para leer la lista de objetos, esto será suficiente para obtener la lista de usuarios/grupos. Sin embargo, si desea que al cambiar los avatares en TrueConf también cambien en el lado del servicio de directorios, deberá crear otro usuario y otorgarle los derechos necesarios, así como asegurarse de que en los parámetros adicionales esté configurado Allow Avatar Propagating: 1.

  2. Vaya al sistema operativo para la gestión de servicios (por ejemplo, ejecutando el comando services.msc en el terminal/PowerShell):

    /docs/server/media/win_services/es.png
  3. Haga doble clic en el servicio TrueConf Server para abrir sus propiedades y vaya a la pestaña Log On:

    /docs/server/media/win_log_on/es.png
  4. Elija la opción This account e ingrese el nombre de usuario/contraseña necesarios:

    /docs/server/media/win_nt_user/es.png
  5. Si es necesario especificar un usuario en particular (cuando la cuenta de usuario del sistema predeterminada no es adecuada), repita los pasos 3-4 para los servicios TrueConf Web Manager y TrueConf Server Manager.

Generación de un archivo keytab para la autenticación Kerberos del servidor

Si para conectarse al servicio de directorios a través de LDAP/LDAPS se utiliza el protocolo Kerberos, será necesario cargar un archivo keytab para conectar el propio TrueConf Server. Este archivo deberá ser generado en el lado del servicio de directorios.

La generación del archivo keytab en este caso se realiza para el usuario (UPN) con el que TrueConf Server accederá al servicio de directorio, y no para el SPN. Por lo tanto, dicho usuario debe ser creado en el lado del servicio de directorio.

No se debe confundir la generación de un archivo keytab para conectar el servidor de videoconferencia al servicio de directorio con la generación de keytab para conectar a los usuarios al servidor. ¡Son tareas diferentes! Sin embargo, si el servidor obtiene datos a través de Kerberos, para la conexión de los usuarios se pueden utilizar métodos de autenticación convenientes.

Generación de un archivo keytab para Active Directory

Si se está configurando la integración con MS Active Directory (MS AD), para generar el archivo keytab:

  1. En la máquina con AD instalado, inicie PowerShell.

  2. Si no se ha creado previamente un usuario para acceder al servicio de directorio, agréguelo utilizando el siguiente comando:

New-ADUser -Name "[user]" -SamAccountName "[user]" -Path "OU=example_ou,DC=example,DC=com" -AccountPassword (ConvertTo-SecureString "[pass]" -AsPlainText -force) -Enabled $true

donde:

[user] — nombre de usuario del nuevo usuario en el sistema operativo;

OU=example_ou,DC=example,DC=com — grupo LDAP del usuario;

[pass] — contraseña del nuevo usuario.

3. Para mayor comodidad, establezca una política de contraseña para el usuario de manera que la contraseña no caduque (tenga una duración indefinida) y no se pueda cambiar. En lugar de [user], indique el nombre de usuario creado anteriormente:

Get-ADUser [user] |  Set-ADUser -PasswordNeverExpires:$True -CannotChangePassword:$true

4. Ejecute el comando para generar el archivo keytab:

ktpass -princ [user]@example.com -mapuser [user] -crypto ALL -ptype KRB5_NT_PRINCIPAL -pass [pass] -target example.com -out c:\ldap.keytab

donde:

[user] — el nombre de usuario previamente creado en el sistema operativo;

example.com — nombre de dominio;

[pass] — contraseña del usuario;

c:\ldap.keytab — ruta para guardar el archivo en la máquina con AD, puede especificar otra que sea conveniente.

Después de eso, transfiera el archivo a cualquier PC desde el cual administre TrueConf Server, y cárguelo al configurar el modo LDAP.

Opciones adicionales de LDAP

A continuación, se enumeran los parámetros adicionales de LDAP y su propósito (campos de usuarios, reglas de filtros, etc.). Dependiendo del tipo de proveedor seleccionado, algunos parámetros contendrán valores predefinidos (que se pueden restablecer si es necesario).

Si en la central telefónica y TrueConf Server se utiliza la integración con el mismo directorio LDAP (por ejemplo, Microsoft Active Directory), se pueden utilizar campos adicionales para facilitar las llamadas a los usuarios. Por ejemplo, configurar alias en el directorio LDAP e indicar un campo del directorio en Additional → User Alias List. Entonces, al importar usuarios, se obtendrán sus alias y estos se podrán utilizar de inmediato en el sistema TrueConf. De este modo, se podrá llamar directamente a los usuarios usando esos mismos alias, sin necesidad de configurar una asignación adicional. Esto es conveniente si se utilizan alias numéricos para marcación rápida desde teléfonos SIP y terminales SIP/H.323.

  • Login — inicio de sesión;
  • Display Name — nombre completo visible;
  • First Name — nombre;
  • Middle Name — segundo nombre / patronímico;
  • Last Name — apellido;
  • Email — correo electrónico;
  • Company — nombre de la organización;
  • Branch — el nombre de la sucursal;
  • Department — departamento;
  • Job Title — puesto;
  • Manager — nombre del gerente;
  • Address — dirección del usuario;
  • Max Results — el número total de páginas devueltas por los resultados de búsqueda (por defecto para todas las plantillas de proveedores LDAP es 5000);
  • Max Request Limit — la cantidad de páginas devueltas por una sola solicitud (por defecto, 1000 para todas las plantillas), es decir, es exactamente el número de páginas que el servidor solicita datos del directorio LDAP hasta alcanzar Max Results resultados;
  • Filter Disabled — determina si el usuario está activado o no;
  • Group Member — define qué participantes están en un grupo específico;
  • memberOf (solo para Active Directory) es un parámetro que se encarga de vincular un objeto a grupos y contiene una lista de registros DN de grupos para cada usuario (se utiliza al filtrar usuarios por grupos);
  • Filter Login — filtro de búsqueda por logins;
  • Filter CallID — no se utiliza, se conserva para la compatibilidad retroactiva;
  • Filter Group — un filtro para buscar por grupos, de modo que no se carguen otros objetos que coincidan con el nombre de búsqueda;
  • Attr primaryGroupId(solo para Active Directory) parámetro ID del grupo;
  • Attr primaryGroupToken(solo para Active Directory) parámetro del token del grupo;
  • Attr objectSid(solo para Active Directory) el parámetro ID del objeto;
  • Attr SIP Phone — número SIP para contactar al usuario;
  • Mobile Phone — número de móvil para contactar con el usuario;
  • Work Phone — número de teléfono de trabajo para contactar al usuario;
  • Home Phone — teléfono personal para contactar con el usuario;
  • User Status Attr — atributo que, según el estado del usuario, determina su ausencia en varios servidores al mismo tiempo;
  • User ID Attr — un atributo que, mediante el ID del usuario, determina su ausencia en diferentes servidores simultáneamente;
  • Full ID Attr — es un atributo que, utilizando la ID completa del usuario (incluyendo el dominio), determina su ausencia simultánea en diferentes servidores;
  • DetailedUserInfo Attribute — redefinición de los campos que se mostrarán en la información del usuario;
  • User Alias List — una lista de atributos que, después de la autorización, serán los alias del usuario (separados por comas ,);
  • TrustPartner Attr(solo para Active Directory) filtro que permite unir varios dominios en un dominio de confianza;
  • FlatName Attr(solo para Active Directory) nombre visible para el dominio de confianza si se combinan varios dominios en un dominio de confianza;
  • TrustedDomain Filter(solo para Active Directory) filtro que permite unir varios dominios en un dominio de confianza;
  • ForeignSecurityPrincipal Filter(solo para Active Directory) filtro que permite unir varios dominios en un dominio de confianza;
  • Trust Enabled(solo para Active Directory) filtro que permite unir varios dominios en un dominio de confianza;
  • FilterClientSearchByLoginGroup — (boolean) se utiliza para buscar contactos en la aplicación cliente. Si no se especifica, toma el valor true y como objetos se encontrarán solo aquellos usuarios que pertenezcan al grupo de inicio de sesión. Si se establece a false, también se pueden encontrar otros usuarios en el directorio LDAP que por alguna razón aún NO formen parte del grupo de inicio de sesión;
  • Use Avatars — se debe establecer en 1 para la correcta carga de avatares en las aplicaciones;
  • Allow Avatar Propagating — se debe establecer en 1 para la correcta carga de avatares en las aplicaciones;
  • AddressBook Refresh — temporizador (en segundos) para la caché periódica de las relaciones entre grupos y la regeneración de las libretas de direcciones. Una vez transcurrido el tiempo, se considera que no se ha encontrado nada en la solicitud;
  • Filter AddressBook — un filtro que se puede usar para crear la libreta de direcciones del usuario;
  • TimeOut — tiempo para la conexión/ejecución de la solicitud (en segundos). Una vez transcurrido este tiempo, se considera que no se ha encontrado nada para la solicitud;
  • thumbnailPhoto Attr — avatar;
  • jpegPhoto Attr — lugar de almacenamiento del avatar;
  • Meeting Room Filter — filtro para obtener una lista de lugares para la realización de conferencias (por ejemplo, salas de reuniones), se utiliza junto con Meeting Room Search Filter Attr;
  • Meeting Room Search Filter Attr — atributo LDAP que contiene los lugares de celebración de las conferencias;
  • Meeting Room BaseDN — no se utiliza;
  • LDAP Login with subdomain — permitir el acceso a los usuarios de subdominios, de modo que su nombre de usuario tenga el formato sub.domain\user.

Números de teléfono adicionales

Para la integración con Microsoft Active Directory (AD), puede ser útil especificar varios atributos para un solo campo. Esto se debe a que AD puede almacenar múltiples datos con diferentes nombres de atributos, por ejemplo: mobile y otherMobile. Para mostrar varios datos de contacto de un mismo tipo en la tarjeta de contacto, es necesario especificar los atributos necesarios separados por comas en el valor del campo en la lista Additional.

Por ejemplo, para mostrar varios números de teléfono en la tarjeta del abonado, ingrese el valor mobile,otherMobile en la columna LDAP Property Name para el campo Mobile Phone.

Para los proveedores de otro tipo, esto no es necesario, ya que en el lado del servicio de directorio se pueden almacenar varios valores a la vez, separados por comas.

Cómo cargar cuentas de usuario desde diferentes dominios

  1. Para la cuenta con la que TrueConf Server se autentificará en el servicio de directorio, es necesario otorgar el derecho de leer los objetos "Foreign Security Principals" de otros dominios y el derecho de autenticarse en ellos.

  2. Debe usar el tipo de autenticación GSS o Kerberos Keytab.

  3. En el dominio principal al que se conectará TrueConf Server, cree un grupo con un alcance (rango) de Domain Local.

  4. Coloque en este grupo las cuentas de los usuarios (o grupos de usuarios con un rango universal, en consecuencia, la anidación de grupos solo se admite dentro de un único bosque) que se planea cargar en el servidor.

  5. Realice los pasos 1 y 2 para todos los dominios desde los cuales planea importar las cuentas.

  6. En la configuración de LDAP, especifique este grupo en el campo Path (distinguishedName).

  7. Asegúrese de que en el bloque Advanced, en la configuración de LDAP, el parámetro Trust Enabled esté establecido en 1 (valor predeterminado).

Instalación de certificado para conexión LDAPS

Para conectarse mediante el protocolo LDAPS, puede ser necesario añadir a la máquina física o virtual donde se despliega TrueConf Server, el certificado SSL raíz del dominio donde se ubica el servidor con el rol de controlador de dominio. Para ello, copie el certificado SSL raíz del dominio en cualquier ubicación de la máquina con TrueConf Server.

Tenga en cuenta que se requiere un certificado en formato .crt. Por lo tanto, si está en otro formato, será necesario convertirlo como se muestra en este artículo.

Después de esto, instale el certificado .crt dependiendo del sistema operativo:

Para sistemas operativos de la familia Windows

  1. Haga doble clic con el botón izquierdo del ratón en el certificado.

  2. En la ventana de instalación del certificado que aparece, haga clic en el botón Install Certificate.

  3. En la ventana de selección de ubicación de almacenamiento, especifique Local Machine.

  4. En la siguiente ventana de configuración de almacenamiento, seleccione Place all certificates in the following storage y haga clic en Browse.

  5. En la lista de almacenes, seleccione Trusted Root Certification Authorities y haga clic en OK.

  6. Para finalizar la configuración, presione los botones Next y Finish.

На Debian:

  1. Ejecute el siguiente comando en el terminal como administrador:
cp /home/$USER/cert.crt /usr/local/share/ca-certificates && update-ca-certificates

donde /home/$USER/cert.crt es la ruta completa al certificado .crt después de haberlo copiado a la máquina con TrueConf Server.

2. Reinicie la máquina con TrueConf Server.

En CentOS:

  1. Ejecute el siguiente comando en el terminal como administrador:
cp /home/$USER/cert.crt /etc/pki/ca-trust/source/anchors/ && update-ca-trust

donde /home/$USER/cert.crt es la ruta completa al certificado .crt después de haberlo copiado a la máquina con TrueConf Server.

2. Reinicie la máquina con TrueConf Server.

Solución de problemas típicos al usar LDAP

Al configurar LDAP, pueden ocurrir errores de conexión con el servicio de directorio. En tal caso, después de hacer clic en el botón Apply, que se encuentra en el bloque de parámetros de conexión, aparecerá un mensaje correspondiente en la parte superior de la ventana. A continuación, se analizan problemas típicos.

Error LDAP error 81 (Servidor caído)

No hay conexión con el servicio de directorios. Es probable que desde TrueConf Server no haya acceso a él en la dirección y puerto TCP especificados (389 para una conexión normal y 636 para LDAPS seguro). Puede verificar la conexión utilizando la utilidad de consola telnet (disponible en Windows y Linux):

telnet [ldap-server] [port]

donde [ldap-server] es la dirección y [port] es el puerto del servidor con la función de controlador de dominio. Por ejemplo, para comprobar el acceso a través de LDAPS, se debería realizar:

telnet ldap.example.com 636

Si no hay conexión, debe verificar la configuración del equipo de red o del software de interconexión de redes, y también asegurarse de que el servidor con el rol de controlador de dominio esté en funcionamiento.


Error LDAP error 49 (Credenciales no válidas)

No se puede autenticar en el servidor LDAP. Es necesario asegurarse de que los datos de la cuenta de servicio utilizados para conectarse al servicio de directorio estén correctos en la configuración de LDAP en la sección Authentication.


Error Error LDAP 53

Por lo general, esto se debe a restricciones en las políticas del servicio de directorio, por ejemplo, NTLM está desactivado para AD. También asegúrese de que el campo Base DN esté correctamente especificado.


Error LDAP error -1

Este error puede ocurrir al conectarse al servicio de directorio a través de una conexión segura LDAPS. Hay varias razones posibles.

  1. Es necesario asegurarse de que en la máquina física o virtual donde está desplegado TrueConf Server, se cargue el certificado SSL raíz del dominio en el que se encuentra el servidor con el rol de controlador de dominio. Después de cargar el certificado, puede verificar la conexión usando la utilidad openssl, ejecutando el siguiente comando en la terminal de Windows o Linux:
openssl s_client -connect [ldap-server]:[port]

donde [ldap-server] es la dirección y [port] es el puerto del servidor con el rol de controlador de dominio.

2. Si TrueConf Server está implementado en un sistema operativo de la familia Linux y se configura la conexión a Microsoft Active Directory, asegúrese de que el campo Domain contenga el nombre de dominio completo (FQDN) de la máquina en la que está implementado el servidor con el rol de controlador de dominio. Debe incluir el nombre de la máquina, por ejemplo, server-name.ldap.example.com. En este caso, en el comando para verificar la conexión SSL del punto anterior, debe utilizarse precisamente el FQDN.


La conexión se ha establecido, pero la lista de cuentas está vacía

Asegúrese de que el bloque Advanced utilice un conjunto de filtros que corresponda al tipo de servidor seleccionado (Active Directory, OpenLDAP, 389 Directory Server). Para cambiar a los nombres de atributos correspondientes después de modificar el tipo de servidor, presione el botón Default y configure los filtros necesarios.


Aparecieron los usuarios del dominio principal, pero no aparecieron los usuarios de los dominios de confianza

Asegúrese de que:

  1. En el bloque Advanced de la configuración LDAP, el parámetro Trust Enabled tiene un valor de 1.

  2. La cuenta utilizada para conectarse al servidor del controlador de dominio tiene permisos para leer el atributo member of del contenedor ForeignSecurityPrincipals.

Configuración de contraseña y bloqueo

Requisitos de la contraseña

Al utilizar el modo Registry en el bloque Password requirements, puede especificar la longitud mínima permitida para la contraseña (de 2 a 64) y la presencia de caracteres obligatorios (letras en mayúsculas y minúsculas, números, caracteres especiales) para el usuario de su TrueConf Server. Estos parámetros se verificarán al agregar una nueva cuenta y al cambiar la contraseña de una cuenta existente, incluso cuando el usuario la edite en su área personal:

/docs/server/media/password_settings/es.png

También se permiten como caracteres para la contraseña aquellos que no se pueden establecer como obligatorios, incluidos los emojis, por ejemplo: ⚠️№ßÜ🕐.

Si la contraseña no cumple con los requisitos, se mostrará un mensaje correspondiente. Puede ver los parámetros necesarios utilizando el botón /docs/server/media/gui/password_icon/es.png junto al campo de confirmación de la contraseña:

/docs/server/media/password_requirements/es.png

Bloqueo automático

En el bloque Account lockout policy, puede configurar la lógica para bloquear a un usuario en caso de un intento fallido de contraseña durante la autorización.

La configuración de bloqueo está disponible tanto en el modo Registry como en LDAP. Este es un bloqueo del lado del servidor de videoconferencia y no está relacionado con la configuración en AD/LDAP.

/docs/server/media/block_settings/es.png

Se puede especificar:

  • duración del bloqueo (puede desbloquear manualmente al usuario en su perfil en cualquier momento);

  • número de intentos fallidos de introducción de contraseña antes del bloqueo;

  • tiempo después del último intento de introducir la contraseña, tras el cual el contador de intentos se reiniciará.

Consideremos el siguiente ejemplo. Supongamos que se han especificado las configuraciones:

  • Account lockout duration = 6:00, es decir, 6 horas;
  • Maximum number of failed login attempts = 5;
  • Reset account lockout counter after = 00:10, es decir, 10 minutos.

Entonces, si al intentar autorizar un inicio de sesión existente en el servidor (TrueConf ID) se realizan 5 intentos fallidos de contraseña con menos de 10 minutos de diferencia entre cada intento, la cuenta se bloqueará durante 6 horas. Y si después de alguno de los intentos (por ejemplo, el cuarto) pasa un intervalo de 10 minutos, el contador se reiniciará comenzando desde uno.

Visualización de campos desde la tarjeta de usuario

En el bloque Fields visibility, puede seleccionar qué campos del perfil de cualquier usuario de su servidor verán distintos tipos de usuarios. Las configuraciones independientes están disponibles en las siguientes columnas:

  • Users of your server — indica lo que pueden ver tus usuarios cuando acceden a la tarjeta de contacto (información sobre otro usuario) en la aplicación o en el área personal;
  • Federated users — qué datos ven los participantes del servidor federado al visualizar los contactos de los usuarios de su servidor;
  • Guest users — qué información sobre sus usuarios se revela a los invitados de conferencias públicas (seminarios web).

En este caso, el valor del nombre visible siempre se muestra.

/docs/server/media/fields/es.png

En caso de integración con el servicio de directorio a través de LDAP/LDAPS, estos datos se toman de los atributos correspondientes, que se describen en el apartado Advanced.


Después de completar la configuración de los usuarios, puede instalarles las aplicaciones cliente y enseñarles a conectarse a su servidor (consulte la documentación de la aplicación de escritorio). Con esto, habrá concluido el mínimo de pasos necesarios para lanzar el mensajero corporativo con videoconferencia TrueConf.