Lotus Mobile Connect - Administrator Guide

182
Lotus Mobile Connect Guía del administrador Versión 6.1

Transcript of Lotus Mobile Connect - Administrator Guide

Lotus Mobile Connect

Guía del administrador

Versión 6.1

���

Lotus Mobile Connect

Guía del administrador

Versión 6.1

���

Nota: Antes de utilizar esta información y el producto al que da soporte, lea la información que encontrará en “Avisos” en la

página 163.

Quinta edición (diciembre de 2006)

Esta edición se aplica a la versión 6, release 1 de IBM Lotus Mobile Connect (5724R20) con sus funciones de cliente

asociadas. Esta edición se aplica a los siguientes releases y modificaciones hasta que se indique lo contrario en las

nuevas ediciones. Compruebe que esté utilizando la edición correspondiente al nivel del producto.

Si el usuario envía información a IBM, concede a IBM el derecho no exclusivo de utilizar o distribuir la información

suministrada de cualquier forma que considere oportuna, sin incurrir en ninguna obligación con respecto al usuario.

©Copyright International Business Machines Corporation y otros 1994, 2006. Reservados todos los derechos.

Nota para los usuarios del Gobierno de los Estados Unidos — Documentación relacionada con la restricción de

derechos — el uso, la duplicación y la divulgación están limitados de acuerdo con las restricciones del contrato GS

ADP Schedule Contract con IBM Corp.

Contenido

Acerca de la Guía del administrador . . v

Novedades en este release . . . . . . . . . . v

Capítulo 1. Visión general . . . . . . . 1

Comunicación de los Servicios de acceso móvil . . . 1

Comunicación HTTP . . . . . . . . . . . . 2

Comunicación de mensajes . . . . . . . . . 3

Operación de entrega de mensajes cortos . . . . 3

Operación de mensajes originados en dispositivos

portátiles . . . . . . . . . . . . . . 4

Componentes principales . . . . . . . . . . 5

Almacenamiento de datos persistente . . . . . 5

Connection Manager . . . . . . . . . . . 6

Gatekeeper . . . . . . . . . . . . . . 8

Roles de cliente . . . . . . . . . . . . 8

Proveedores de red . . . . . . . . . . . 9

Capítulo 2. Planificación . . . . . . . 11

Definir los recursos . . . . . . . . . . . . 13

Unidad organizativa . . . . . . . . . . 13

Gestor de accesos . . . . . . . . . . . 14

Connection Manager . . . . . . . . . . 15

Servicios de mensajería . . . . . . . . . 16

Servicios de acceso HTTP . . . . . . . . . 16

Servicios de acceso móvil . . . . . . . . . 18

Gestor de clústeres . . . . . . . . . . . 19

Grupos . . . . . . . . . . . . . . . 21

Conexión de red móvil (MNC) . . . . . . . 22

Discriminador de dispositivos . . . . . . . 24

Servidor de directorios . . . . . . . . . 25

Usuario . . . . . . . . . . . . . . . 26

Administrador . . . . . . . . . . . . 27

Listas de control de accesos y perfiles de ACL . . 28

Perfil de autenticación . . . . . . . . . . 30

Política de contraseñas . . . . . . . . . . 32

Su red . . . . . . . . . . . . . . . . 33

Proveedores de redes inalámbricas . . . . . 33

Conexiones PPP nativas . . . . . . . . . 35

Almacenamiento de datos . . . . . . . . 35

Información de número de puerto . . . . . . 38

Enviar paquetes de contabilidad a servidores

RADIUS . . . . . . . . . . . . . . 40

Capacidad y rendimiento . . . . . . . . . 41

Seguridad . . . . . . . . . . . . . . 41

Capítulo 3. Antes de la instalación . . . 55

Software obligatorio . . . . . . . . . . . 55

Requisitos de software para el almacenamiento

de datos persistente . . . . . . . . . . 55

Anotaciones de la instalación . . . . . . . . 58

Requisitos de hardware del proveedor de red . . . 58

Determinar el almacenamiento virtual necesario . . 59

Determinar el espacio en disco necesario . . . . 59

Asegurar almacenamiento suficiente para

anotaciones en sistemas basados en UNIX . . . 59

Conectividad de red para el Connection Manager . 60

Instalar y configurar el soporte de X.25 . . . . . 60

Capítulo 4. Instalación y configuración

inicial . . . . . . . . . . . . . . . 63

Lista de comprobación de la instalación . . . . . 63

Instalar el Gatekeeper . . . . . . . . . . . 64

Instalar el Gatekeeper en AIX . . . . . . . 64

Instalar el Gatekeeper en Linux . . . . . . . 65

Instalar el Gatekeeper en Solaris . . . . . . 66

Instalar el Gatekeeper en Windows . . . . . 67

Instalar el Connection Manager . . . . . . . . 68

Instalar el Connection Manager en AIX . . . . 69

Instalar el Connection Manager en Linux o

Solaris . . . . . . . . . . . . . . . 70

Configurar IBM Directory . . . . . . . . . 70

Configuración de Red Hat Directory . . . . . . 71

Configurar Sun ONE Directory Server . . . . . 72

Configurar OpenLDAP . . . . . . . . . . 72

Añadir automáticamente el esquema a un

servidor OpenLDAP local . . . . . . . . 73

Añadir manualmente el esquema a un archivo de

configuración del servidor OpenLDAP . . . . 73

Configuración de DB2 . . . . . . . . . . . 75

Configurar Oracle . . . . . . . . . . . . 76

Configurar el gestor de accesos . . . . . . . . 77

Capítulo 5. Configuración de recursos 81

Lista de comprobación de configuración inicial . . 81

Definir un Connection Manager utilizando el

Gatekeeper . . . . . . . . . . . . . . 82

Añadir una interfaz de red móvil . . . . . . . 83

Añadir otros recursos específicos de los servicios de

acceso móvil . . . . . . . . . . . . . . 84

Añadir una conexión de red móvil . . . . . . 85

Añadir usuarios . . . . . . . . . . . . . 85

Añadir recursos en modalidad por lotes . . . . 85

Añadir servicios de mensajería . . . . . . . . 85

Añadir Servicios de acceso HTTP . . . . . . . 87

Habilitar la comunicación segura . . . . . . . 88

Configurar certificados SSL en el Connection

Manager . . . . . . . . . . . . . . 88

Configurar certificados SSL entre el Gatekeeper y

el gestor de accesos . . . . . . . . . . . 89

Utilizar servidores de contabilidad o de

autenticación de terceros . . . . . . . . . 91

Configurar nodos de clúster . . . . . . . . . 93

Configurar nodos de clúster para MNC sin

conexión . . . . . . . . . . . . . . 94

Configurar un servidor de directorios . . . . . 96

Configurar la búsqueda de cuenta de usuario . . 96

Configurar un servidor de directorios alternativo 97

Capítulo 6. Administración . . . . . . 101

Utilización del Gatekeeper . . . . . . . . . 101

iii

Navegación en la interfaz del Gatekeeper . . . 101

Búsqueda de recursos . . . . . . . . . 104

Adición de recursos . . . . . . . . . . 105

Visualización de las anotaciones del Connection

Manager . . . . . . . . . . . . . . 105

Visualización de usuarios . . . . . . . . 106

Utilización de grupos de difusión . . . . . 106

Supervisión del flujo de paquetes . . . . . . . 107

Sintaxis . . . . . . . . . . . . . . 107

Descripción . . . . . . . . . . . . . 107

Distintivos . . . . . . . . . . . . . 110

Ejemplos . . . . . . . . . . . . . . 113

Aplicar mantenimiento . . . . . . . . . . 113

Vías de acceso de instalación . . . . . . . 113

Consideraciones sobre la migración . . . . . 114

Bajadas de software . . . . . . . . . . 115

Eliminar el Connection Manager . . . . . . . 118

Eliminar el Gatekeeper . . . . . . . . . . 119

Instalar y configurar el plug-in TAI . . . . . . 120

Capítulo 7. Utilización de los servicios

de acceso móvil . . . . . . . . . . 121

Definición de los recursos que utilizan los servicios

de acceso móvil . . . . . . . . . . . . 121

TCP-Lite . . . . . . . . . . . . . . 121

Conexión y perfiles de transporte . . . . . 122

Grupos para los servicios de acceso móvil . . . 128

Dispositivo portátil . . . . . . . . . . 129

Perfil de módem . . . . . . . . . . . 129

Conversor de direcciones de red . . . . . . 129

Correlación de paquetes . . . . . . . . . 131

Filtro . . . . . . . . . . . . . . . 131

Alias de direccionamiento . . . . . . . . 131

Interfaz de red móvil (MNI) . . . . . . . 132

Habilitación de la comunicación segura para los

servicios de acceso móvil . . . . . . . . . 136

Control de tráfico de datos . . . . . . . . 136

Configuración de la autenticación entre los

servicios de acceso móvil y el Mobility Client . 136

Configuración de un RNC redundante con

conmutadores A/B controlados de forma remota . 137

Capítulo 8. Utilización de los servicios

de mensajería . . . . . . . . . . . 139

Definición de los recursos que utilizan los servicios

de mensajería . . . . . . . . . . . . . 139

Servicio de aplicaciones . . . . . . . . . 139

Habilitación de la comunicación segura para los

servicios de mensajería . . . . . . . . . . 140

Configuración de los certificados SSL para los

servicios de mensajería . . . . . . . . . 140

Configuración de los certificados SSL para las

aplicaciones de proceso de mensajes . . . . . 140

Configuración de una MNC SMPP . . . . . . 142

Configuración de una MNC WCTP . . . . . . 145

Apéndice A. Referencia de

programación . . . . . . . . . . . 147

Apéndice B. Información del esquema

de base de datos . . . . . . . . . . 149

Esquema de base de datos de contabilidad y

facturación . . . . . . . . . . . . . . 149

Esquema de base de datos de sesión . . . . . 156

Recuperación del espacio después de suprimir los

registros . . . . . . . . . . . . . . . 158

Apéndice C. Otros recursos . . . . . 159

Utilizar el Information Center . . . . . . . . 159

Accesibilidad . . . . . . . . . . . . . 160

Navegar por medio del teclado . . . . . . 160

Obtener ayuda en línea . . . . . . . . . . 160

Ayuda de Gatekeeper . . . . . . . . . 160

Ayuda de IBM Key Management . . . . . . 161

Información de consulta . . . . . . . . . . 161

Avisos . . . . . . . . . . . . . . 163

Marcas registradas . . . . . . . . . . . . 165

Índice . . . . . . . . . . . . . . . 167

iv Lotus Mobile Connect Administrator’s Guide

Acerca de la Guía del administrador

En esta información se describe cómo instalar, configurar, utilizar y gestionar IBM

Lotus Mobile Connect.

Novedades en este release

En el sitio web de soporte puede encontrar una matriz de características de

Mobility Client y las opciones que soporta cada sistema operativo. Hay una matriz

para cada versión del Mobility Client. Asegúrese de utilizar la matriz

correspondiente a su versión.

Novedades en esta versión:

v IBM WebSphere Everyplace Connection Manager ha sido mejorado y

reorganizado, y su nombre es ahora IBM Lotus Mobile Connect.

v Soporte añadido de Connection Manager y Gatekeeper para:

– Sun Solaris 10

– SuSE Linux Enterprise Server 9 y 10

– Red Hat Enterprise Linux 4.0v Soporte añadido de Connection Manager para:

– Oracle 10g Release 1 o 10g Release 2

– DB2 9.1v Se ha eliminado el soporte de Connection Manager y Gatekeeper para:

– RedHat Enterprise Linux 3.0 ES y AS

– SuSE 8.1, SuSE8.2, SuSE 9.0 y SuSE Linux Enterprise 8

– Solaris 8.0 y Trusted Solaris 8.0v Se ha eliminado el soporte de Connection Manager para:

– Oracle 8.0

– DataDirect Connect para controladores ODBC configurado en la modalidad

de cliente Oracle. DataDirect Connect para controladores ODBC ahora debe

estar configurado en la modalidad de protocolo de conexión de Oracle.

– Adaptadores X.25 en los sistemas operativos Linux y Solaris

– Proxy WAPv Se ha eliminado el requisito de que exista LDAP (Lightweight Directory Access

Protocol) versión 3 para almacenar la información de configuración en un

servidor de servicios de directorio (DSS). Puede seguir utilizando un DSS, pero

también una base de datos relacional compatible con ODBC o el sistema de

archivos local. Para obtener más información, consulte los apartados siguientes:

– Temas generales en “Almacenamiento de datos persistente” en la página 5

– Temas de planificación en “Almacenamiento de datos” en la página 35

– “Configurar el gestor de accesos” en la página 77v Se ha eliminado el requisito de almacenar los datos de sesión mediante una base

de datos relacional compatible con ODBC.

v Se ha añadido soporte para una nueva conexión de red móvil (MNC),

HTTP-TCP.

v Gatekeeper utiliza Java 1.4.2 service release 6, excepto en el sistema operativo

Windows, donde se utiliza Java 1.4.2 release de servicio 5.

v

v Se ha eliminado el soporte de Mobility Client para:

– Red por satélite nativa Norcom

– Palm OS

– Pocket PC 2002

– RedHat Enterprise Linux 3.0 ES y AS

– Dispositivos Sony Ericsson P900 y P910

– SuSE 8.1, SuSE 8.2, SuSE 9.0 y SuSE Linux Enterprise 8v Se ha añadido soporte de Mobility Client para estos dispositivos de Nokia: E60,

E61 y E70

v Puede configurar Mobility Client para que utilice un inicio de sesión integrado

de Windows, de modo que cuando inicie la sesión en Windows, se utilicen las

mismas credenciales para iniciar la sesión en Connection Manager.

v Está disponible el servicio itinerante a través de redes completamente integrado

en el Mobility Client para Linux.

v Hay disponibles dos protocolos nuevos para conexiones IP: HTTP y HTTP sobre

SSL. La lógica de la conexión inteligente permite a Mobility Client en Linux,

Windows, o Windows CE determinar cuál utilizar, según su entorno. Cuando se

habilitan todos los protocolos, los intentos de conexión se realizan en este orden.

UDP, HTTP y HTTP sobre SSL. Consulte el tema de la ayuda en línea de

Gatekeeper Configuración de conexiones inteligentes para obtener información sobre

la configuración.

v Los requisitos detallados del sistema sólo están disponibles en línea. Consulte el

apartado “Software obligatorio” en la página 55 para obtener una lista de URL.

v Hay disponible ayuda en línea sensible al contexto para el Mobility Client para

Linux.

v La documentación del producto Information Center se encuentra en Internet y la

proporciona Eclipse.

vi Lotus Mobile Connect Administrator’s Guide

Capítulo 1. Visión general

El Lotus Mobile Connect le permite conectar de forma segura dispositivos

portátiles a la intranet privada de la empresa y a Internet. Utiliza protocolos

basados en estándares para conectarse a una gran variedad de redes, tanto

alámbricas como inalámbricas, de forma eficiente y con facilidad.

El Lotus Mobile Connect incluye los siguientes componentes:

Connection Manager

Proporciona una interfaz de comunicaciones estándar (TCP/IP) a diversas

redes inalámbricas, de acceso telefónico y LAN con optimización de datos

y seguridad. El Connection Manager puede configurar por separado:

Servicios de acceso móvil

Crea un túnel IP seguro y optimizado para la comunicación con el

software del Mobility Client en el sistema. El Mobility Client

puede utilizar una conexión inalámbrica o alámbrica con los

servicios de acceso móvil que se conectan a la intranet privada de

la empresa o a Internet.

Comunicación HTTP

Cree un túnel seguro para la comunicación HTTP entre clientes

HTTP.

Servicios de mensajería

Permite que una aplicación envíe mensajes a los clientes de

mensajería, como un buscapersonas o un teléfono, utilizando

diversas redes inalámbricas. Servicios de mensajería incluye el

soporte para la entrega de mensajes cortos (SMS) y la entrega de

mensajes originados en dispositivos portátiles.

Gatekeeper

Una interfaz administrativa fácil de utilizar que le permite definir y

gestionar recursos inalámbricos.

Mobility Client

Mobility Client ofrece un túnel IP seguro y optimizado para la

comunicación con los servicios de acceso móvil utilizando diversas redes

inalámbricas y alámbricas.

Comunicación de los Servicios de acceso móvil

Los Servicios de acceso móvil integran el acceso de datos de redes inalámbricas y

alámbricas para que las aplicaciones y los datos puedan estar disponibles en un

dispositivo portátil. Los servicios de acceso móvil soportan una amplia gama de

redes inalámbricas y de acceso telefónico, que se describen de forma más detallada

en el apartado “Proveedores de redes inalámbricas” en la página 33.

Los programas de aplicación existentes que utilizan una interfaz TCP/IP pueden

utilizar redes inalámbricas o redes con cable. La utilización de TCP/IP integra la

comunicación bajo una capa de interfaz común que protege los detalles específicos

de la red frente a la aplicación de usuario. Los Servicios de acceso móvil a través

de la conexión al Mobility Client proporciona mejoras específicas de la red, como

por ejemplo:

1

v Compresión de datos

v Cifrado de datos

v Optimización de datos

v Autenticación

Una configuración básica de los servicios de acceso móvil se ilustra en la Figura 1.

El dispositivo portátil con el software de Mobility Client está a la izquierda y

utiliza una conexión inalámbrica, de acceso telefónico o LAN. El dispositivo

portátil se conecta a través de la red al Connection Manager y a otros servidores

que permiten al dispositivo portátil acceder a las aplicaciones de empresa y a

Internet. En efecto, la conexión entre los servicios de acceso móvil y los clientes

Mobility es una red privada virtual (VPN) propietaria.

Las aplicaciones inalámbricas que utilizan una conexión orientada a paquetes no

IP, como por ejemplo Mobitex o DataTAC, están soportadas por los servicios de

acceso móvil.

Comunicación HTTP

Los Servicios de acceso HTTP crean un túnel seguro para la comunicación HTTP

entre clientes HTTP, como por ejemplo un navegador web. Servicios de acceso

HTTP se instala con el Connection Manager. Junto con un proxy HTTP, los

Servicios de acceso HTTP utilizan los perfiles de autenticación del sistema,

RADIUS o por enlace LDAP para proporcionar el mismo servicio que un proxy

HTTP de autenticación.

Figura 1. Comunicación inalámbrica y alámbrica

2 Lotus Mobile Connect Administrator’s Guide

Tenga en cuenta que los Servicios de acceso HTTP no son lo mismo que utilizar un

transporte TCP-Lite para proporcionar el servicio códec (codificador/decodificador)

HTTP entre el Connection Manager y los clientes Mobility. El códec HTTP reduce

el recuento de bytes en el aire (OTA) eliminando y/o codificando por bytes los

campos de cabecera de una corriente de datos HTTP. Consulte el apartado “Codec

HTTP” en la página 122 para obtener más información.

Comunicación de mensajes

Los Servicios de mensajería soportan varios tipos de modalidades de mensaje:

v Servicio de Mensajes Cortos (SMS)

v Entrega de mensajes cortos a través de redes propietarias (como por ejemplo,

Mobitex o DataTAC)

v Correo electrónico utilizando SMTP

v Protocolo Simple de Paginación de Red (SNPP)

v Protocolo de Transferencia de Comunicaciones Inalámbricas (WCTP)

Ejemplos de operaciones de mensajes podrían ser noticias, cotizaciones de bolsa,

mensajes de buscapersonas, mensajes de difusión y la notificación de eventos,

como por ejemplo la llegada de correo electrónico.

Operación de entrega de mensajes cortos

Una operación de entrega de mensajes cortos empieza cuando una aplicación o

servlet de proceso de mensajes utiliza las IBM Lotus Mobile Connect Messaging

Services and Push APIs para enviar un mensaje a los servicios de mensajería. Los

servicios de mensajería reenvían el mensaje a un centro de servicio de mensajes

cortos (SMS-C), a un servidor SMTP o a otro servidor de red para su posterior

entrega a un cliente.

Figura 2. Servicios de acceso HTTP

Capítulo 1. Visión general 3

La Figura 3 muestra un dispositivo portátil a la izquierda que recibe mensajes

procedentes de los servicios de mensajería, que han recibido la información de una

aplicación de proceso de mensajes.

Operación de mensajes originados en dispositivos portátiles

La Figura 4 muestra un dispositivo portátil a la izquierda que envía mensajes a los

servicios de mensajería, los cuales reenvían la información a una aplicación o

servlet de proceso de mensajes.

Una operación de mensaje originado en un dispositivo portátil empieza cuando un

cliente envía un mensaje a un proveedor de red para que lo entregue a los

servicios de mensajería. Los servicios de mensajería utilizan un operación de envío

Figura 3. Comunicación de mensajes

Figura 4. Servicios de mensajería que aceptan mensajes originados en dispositivos portátiles

4 Lotus Mobile Connect Administrator’s Guide

HTTP para reenviar el mensaje a una aplicación o servlet que utiliza las IBM Lotus

Mobile Connect Messaging Services and Push APIs.

Componentes principales

La red está formada por varios componentes principales:

v “Almacenamiento de datos persistente”

v “Connection Manager” en la página 6

v “Gatekeeper” en la página 8

v “Roles de cliente” en la página 8

v “Proveedores de red” en la página 9

Almacenamiento de datos persistente

Estos tipos de datos se almacenan de forma persistente para ser utilizados por el

Connection Manager:

1. La base de usuarios de propiedades y datos de cuenta. Existen varias

posibilidades para almacenar de forma persistente la base de usuarios. En el

apartado “Usuario” en la página 26 encontrará más detalles.

2. Información de configuración, como por ejemplo un identificador de recursos o

el estado actual de un recurso.

3. Información de sesión, que consta de todas las actividades que tienen lugar

durante el establecimiento, mantenimiento y liberación de cualquier conexión

con el Connection Manager, como por ejemplo la información de identificación

de mensajes.

4. Información de contabilidad y facturación, que incluye la información de sesión

así como información adicional, como por ejemplo flujos de paquetes,

información sobre direcciones y la duración de una conexión.

El almacenamiento de datos puede residir en cualquier sistema principal accesible

y puede contener información acerca de los recursos de más de un Connection

Manager.

Información de configuración

La información de configuración sobre recursos de red inalámbricos se almacena

utilizando uno de estos métodos:

v Un servicio de directorio compatible con el protocolo LDAP (Lightweight

Directory Access Protocol) versión 3

v Una base de datos relacional compatible con ODBC

v sistema de archivos local

Puede seleccionar el método de almacenamiento que desea utilizar para cada

instalación de Connection Manager. Esta selección se realiza durante la

configuración inicial del gestor de accesos. Al hacer esta selección, tenga en cuenta

que no hay manera de cambiar de un método a otro y retener los datos de

configuración existentes.

Una base de datos relacional o un servicio de directorio pueden residir en

cualquier sistema principal accesible y pueden almacenar información sobre más

de un Connection Manager y una red inalámbrica.

Para obtener más información sobre la planificación, consulte los apartados:

“Almacenamiento de datos” en la página 35

Capítulo 1. Visión general 5

|

|

|||||

“Requisitos de software para el almacenamiento de datos persistente” en la

página 55

Información de sesión

La información sobre los datos de la sesión se almacena en una base de datos

relacional compatible con ODBC o en el sistema de archivos local.

La información relacionada con la sesión consta de todas las actividades que tienen

lugar durante el establecimiento, mantenimiento y liberación de cualquier conexión

con el Connection Manager. Una base de datos relacional puede residir en

cualquier sistema principal accesible y puede almacenar información acerca de más

de un Connection Manager.

Para obtener más información sobre la planificación, consulte los apartados:

v “Información de sesión almacenada en una base de datos relacional” en la

página 37

v “Requisitos de software para el almacenamiento de datos persistente” en la

página 55

.

Información de contabilidad y facturación

La información de contabilidad y facturación no es información de estado sino más

bien información acerca del flujo de paquetes. La información sobre los datos de

contabilidad y facturación se almacena en el sistema de archivos local o en una

base de datos relacional compatible con ODBC. Una base de datos relacional puede

residir en cualquier sistema principal accesible y puede almacenar información

acerca de más de un Connection Manager.

Para obtener más información de planificación, consulte el apartado “Información

de sesión almacenada en una base de datos relacional” en la página 37.

Si desea utilizar una herramienta de informe para auditar y ordenar los datos,

consulte el apartado “Esquema de base de datos de contabilidad y facturación” en

la página 149.

Connection Manager

El Connection Manager integra todas las redes soportadas dentro de un mismo

sistema principal multiubicado. Puede conectar redes de radio con cualquier red

inalámbrica, desde redes de área local (LAN) a redes de área amplia (WAN). Todos

los dispositivos fijos y portátiles pueden enlazarse al mismo Connection Manager,

sea cual sea la red de radio, y todas las unidades pueden acceder al mismo

conjunto de aplicaciones. Los usuarios con diferentes necesidades de aplicaciones

(basadas en los costes de transmisión, cobertura y dispositivos disponibles) pueden

seleccionar la mejor red de radio para su situación.

El Connection Manager puede configurarse para permitir la comunicación

utilizando los servicios de acceso móvil, los Servicios de acceso HTTP o los

servicios de mensajería. El Connection Manager también soporta:

Opciones de seguridad

Existen varias formas de aplicar la seguridad de la red, de las aplicaciones

y de los datos. Consulte la Figura 7 en la página 42 y utilice la Tabla 6 en

la página 42 para determinar las opciones y revisar la información de

planificación y configuración.

6 Lotus Mobile Connect Administrator’s Guide

Soporte de clústeres

El Connection Manager puede configurarse para ser un nodo principal o

subordinado de un clúster. De esta manera, el Connection Manager

distribuye y atiende las solicitudes de comunicación y proporciona

eficiencia de compensación de carga. Un gestor de clústeres se instala

automáticamente cuando se instala el Connection Manager. Consulte el

apartado “Soporte de varios nodos de clúster” en la página 20 para ver un

ejemplo descriptivo.

Conexión de red móvil (MNC)

La mayoría del tráfico de datos que fluye a través del Connection Manager

utiliza una conexión de red móvil (MNC) para cada tipo específico de red

o portador a través de cual se conectan los clientes. Para ver una lista de

los tipos de MNC disponibles, consulte el apartado “Conexión de red

móvil (MNC)” en la página 22.

Búsqueda de servidor de directorios

Para sacar partido de las bases de datos de cuentas de usuario existentes,

el servidor de directorios proporciona la definición de cómo ponerse en

contacto con otro servidor de servicios de directorio (DSS). Consulte el

apartado “Servidor de directorios” en la página 25.

Grupos

Proporciona una forma de agrupar recursos y asignarlos colectivamente, en

lugar de hacerlo individualmente. Consulte el apartado “Grupos” en la

página 21.

Anotaciones

El Connection Manager proporciona servicios de anotaciones de mensajes,

contabilidad y rastreo. Consulte la Guía de resolución de problemas para

obtener más información.

Gestión de red

El Connection Manager puede configurarse para enviar rupturas a una

estación de gestión SNMP (Protocolo Simple de Gestión de Red). Consulte

la Guía de resolución de problemas para obtener más información.

Soporte a dispositivos específicos del sistema operativo

Algunas funciones de Connection Manager no están disponibles en todos los

sistemas operativos. Tabla 1 describe las funciones soportadas por cada sistema

operativo.

Tabla 1. Matriz de funciones y de las opciones que admite cada sistema operativo

Función AIX Linux Solaris

Servicios de acceso

móvil

Sí Sí Sí

Servicios de acceso

HTTP

Sí Sí Sí

Servicios de

Mensajería

Sí Sí Sí

Soporte a DB2 Sí Sí Sí

Soporte a Oracle Sí Sí Sí

soporte de X.25 Sí No No

Soporte a MNC Todos los disponibles Todos los

disponibles, excepto

X.25

Todos los

disponibles, excepto

X.25

Capítulo 1. Visión general 7

||||

||

||||

|||||

|||||

|||||

||||

||||

||||

|||||

||||

Gatekeeper

El Gatekeeper es una interfaz administrativa fácil de utilizar que le permite definir

y gestionar recursos inalámbricos. Mediante la utilización del Gatekeeper, puede

configurar gestores de conexiones, registrar usuarios y dispositivos portátiles,

especificar controles de anotaciones y rastreo, y realizar muchas otras tareas

administrativas.

Elementos de la interfaz del Gatekeeper

La interfaz del Gatekeeper está dividida en dos paneles mediante una columna

vertical. Puede mover esta columna a la izquierda o a la derecha para tener una

mejor visión de cada panel.

El panel izquierdo de la interfaz contiene tres separadores, Tareas, Recursos y

Navegador de archivos, que le ofrecen acceso a la información y las tareas que

puede realizar y a los recursos que puede gestionar.

El separador Tareas muestra tareas comunes como, por ejemplo, Buscar un

recurso, Ver registros, Añadir un recurso, o Difundir un mensaje.

Los recursos se muestran en el separador Recursos dentro de la jerarquía de las

unidades organizativas. Las unidades organizativas son como contenedores que se

utilizan para agrupar todos los recursos y controlar el acceso a estos recursos por

parte de los administradores. En la parte inferior del separador Recursos hay un

botón Renovar que sirve para renovar la vista de los recursos.

La información de configuración se muestra en el separador Navegador de

archivos y se puede utilizar para solucionar los problemas del Gatekeeper. De

manera predeterminada, este separador no se muestra. Consulte el apartado

“Opciones –> Propiedades de Gatekeeper” en la página 103 para obtener más

información acerca de este separador.

Puede tener muchos administradores que utilizan diferentes instalaciones del

Gatekeeper al mismo tiempo. Cuando inicie una sesión en el Gatekeeper, el perfil

de ACL (lista de control de accesos) del ID de administrador determina los

recursos que puede ver y con los que puede trabajar.

Para obtener más información, consulte los apartados “Navegación en la interfaz

del Gatekeeper” en la página 101 y “Obtener ayuda en línea” en la página 160.

Roles de cliente

El Connection Manager se conecta con clientes en función de las características que

haya instalado y configurado.

Servicios de acceso móvil

clientes Mobility y dispositivos portátiles

Servicios de acceso HTTP

Clientes HTTP (Protocolo de Transporte de Hipertexto) que utilizan HTTP

Versión 1.1, como por ejemplo un navegador web

Servicios de mensajería

Clientes de mensajería, como por ejemplo buscapersonas.

Mobility Client

El Mobility Client proporciona un túnel IP seguro y optimizado para la

comunicación con los servicios de acceso móvil utilizando diversas redes

inalámbricas y alámbricas. Después de configurar las redes inalámbricas, LAN y de

8 Lotus Mobile Connect Administrator’s Guide

|

|||

|||||

acceso telefónico utilizando la interfaz administrativa del Gatekeeper, puede iniciar

el Mobility Client y una conexión de red. Una vez que se ha establecido la

conexión de red, las aplicaciones IP del dispositivo portátil pueden ejecutarse a

través de una red inalámbrica o alámbrica.

El Mobility Client se coloca debajo de la pila TCP/IP y le permite ejecutar las

aplicaciones IP en todas las redes soportadas. Para el usuario final, una red de

radio se convierte simplemente en otra red que no requiere interfaces de

programación ni protocolos de comunicaciones especializados.

Los programas de aplicación móviles que utilizan una interfaz TCP/IP tienen

acceso a las redes inalámbricas y alámbricas. Los programadores pueden

desarrollar aplicaciones en un entorno de red de área local (LAN) utilizando la

interfaz del programador de aplicaciones (API) TCP/IP estándar y, a continuación,

ejecutar las aplicaciones en el entorno del Connection Manager sin modificaciones.

Proveedores de red

Los proveedores de red son portadores de redes específicas, tanto IP como no IP, a

las que se conecta el Connection Manager. El soporte para los proveedores de red

varía en función de los protocolos que utilizan los operadores de las redes. Cada

proveedor de red puede tener identificadores exclusivos de hardware y software

para objetos similares, o bien métodos exclusivos para conectar la red inalámbrica

al Connection Manager. El Connection Manager establece una conexión utilizando

una conexión a red móvil (MNC) adaptada específicamente a cada tipo de

proveedor de red.

Las redes inalámbricas que el usuario instala, configura y mantiene se basan en las

necesidades de la organización y en la disponibilidad de opciones, velocidad de

datos, capacidad de transferencia y área de cobertura del proveedor de red. Para

obtener más información acerca de los proveedores de red que soporta el

Connection Manager, consulte el apartado “Proveedores de redes inalámbricas” en

la página 33.

Capítulo 1. Visión general 9

10 Lotus Mobile Connect Administrator’s Guide

Capítulo 2. Planificación

El Gatekeeper le permite definir los recursos que representan la red. Los recursos

se definen después de instalar los componentes principales. Es importante

entender los tipos de recursos disponibles y las formas en que puede utilizarlos

para administrar el entorno de red para satisfacer sus necesidades de flexibilidad,

seguridad y control.

La Figura 5 en la página 12 muestra una representación gráfica de todos los

recursos de Connection Manager. El color en la representación gráfica indica cómo

se crean los recursos desde el separador Recursos; el color negro indica que se

pulsa con el botón derecho el recurso padre y el color verde indica que se pulsa

con el botón derecho del ratón la OU en la que se desea crear el nuevo recurso.

11

Tenga en cuenta que se crearán automáticamente tres unidades organizativas. La

OU de nivel superior tiene la etiqueta Mobile Connect y todos los recursos se crean

en ella. La OU con la etiqueta Sistema se utiliza para visualizar los usuarios

específicos que no autentica el Connection Manager. En el apartado “Visualización

de usuarios” en la página 106 encontrará más detalles. La OU con la etiqueta

Recursos predeterminados contiene algunos filtros, perfiles y grupos utilizados

habitualmente. Consulte la ayuda en línea de Gatekeeper para obtener más

detalles.

Figura 5. Jerarquía de recursos del Connection Manager

12 Lotus Mobile Connect Administrator’s Guide

||||||||

Definir los recursos

Los siguientes recursos se definen utilizando el Gatekeeper:

v “Unidad organizativa”

v “Gestor de accesos” en la página 14

v “Connection Manager” en la página 15

– “Servicios de acceso móvil” en la página 18

– “Servicios de acceso HTTP” en la página 16

– “Servicios de mensajería” en la página 16

– “Gestor de clústeres” en la página 19v “Grupos” en la página 21

v “Conexión de red móvil (MNC)” en la página 22

v “Discriminador de dispositivos” en la página 24

v “Servidor de directorios” en la página 25

v “Usuario” en la página 26

v “Administrador” en la página 27

v “Listas de control de accesos y perfiles de ACL” en la página 28

v “Perfil de autenticación” en la página 30

v “Política de contraseñas” en la página 32

Los recursos son específicos de los servicios de acceso móvil incluyen los

siguientes:

v “TCP-Lite” en la página 121

– “Codec HTTP” en la página 122v “Conexión y perfiles de transporte” en la página 122

v “Grupos para los servicios de acceso móvil” en la página 128

v “Dispositivo portátil” en la página 129

v “Perfil de módem” en la página 129

v “Conversor de direcciones de red” en la página 129

v “Correlación de paquetes” en la página 131

v “Filtro” en la página 131

v “Alias de direccionamiento” en la página 131

v “Interfaz de red móvil (MNI)” en la página 132

El recurso específico del servicios de mensajería es “Servicio de aplicaciones” en la

página 139.

Unidad organizativa

Las unidades organizativas (OU) son contenedores que se utilizan para agrupar los

recursos y controlar el acceso a estos recursos por parte de los administradores.

Los OU se crean en una estructura de árbol, similar a los directorios. Cada recurso

de un sistema inalámbrico se asigna a una OU primaria.

Las OU utilizan el esquema de denominación X.500, definido en la RFC 1777 del

Grupo de ingeniería de Internet (IETF). En el directorio raíz hay un nombre

distinguido base especificado como o=nombreorg,c=nombreunidad. Por ejemplo, si

desea representar una empresa llamada BigEye con oficinas por todo Canadá,

asigne un nombre distinguido base de o=BigEye,c=Canadá. Debajo, cree unidades

Capítulo 2. Planificación 13

organizativas para cada provincia donde opera la empresa BigEye. Si estas

provincias son Ontario, Quebec y Manitoba, habría las siguientes tres OU:

ou=Manitoba,o=BigEye,c=Canadá

ou=Ontario,o=BigEye,c=Canadá

ou=Quebec,o=BigEye,c=Canadá

Las unidades organizativas pueden anidarse en cualquier número de niveles.

Si la red de Ontario tiene subredes centradas en Ottawa y Toronto, las OU podrían

tener el siguiente aspecto:

ou=Ottawa,ou=Ontario,o=BigEye,c=Canadá

ou=Toronto,ou=Ontario,o=BigEye,c=Canadá

Otra forma de representar esta organización es la siguiente:

BigEye,Canadá

Manitoba

Ontario

Ottawa

Toronto Quebec

Todos los recursos se asignan a una OU primaria, donde se controla el acceso a los

recursos. Los recursos también pueden asociarse a OU adicionales. Por ejemplo,

podría crear una segunda jerarquía para representar diferentes divisiones de la

empresa, independientemente de su ubicación. Por ejemplo, podría crear OU

llamadas Ventas, Pruebas y Desarrollo. A continuación, podría asignar recursos a

estas OU adicionales para verlos en estas agrupaciones. El único recurso que no se

puede asociar con una OU adicional es una OU.

Cuando se suprime una OU, se suprimen todos los recursos que tienen como OU

primaria la OU suprimida.

Gestor de accesos

El gestor de accesos es el interfaz del servidor de Gatekeeper que gestionar la

información de configuración de Connection Manager. Cuando un administrador

realiza cambios en la configuración, el gestor de accesos actualiza el

almacenamiento de datos persistente y actualiza dinámicamente Connection

Manager que se está ejecutando con los nuevos datos de configuración.

El gestor de accesos se implementa como un daemon llamado wgmgrd y se instala

automáticamente con el Connection Manager.

Si utiliza LDAP (lightweight directory access protocol) para almacenar las

propiedades del Connection Manager, puede especificar un servidor de servicios

de directorio (DSS) alternativo para que sea una réplica de sólo lectura o una

relación de igual a igual que sincroniza un servidor primario con un servidor

alternativo. Consulte el apartado “Configurar un servidor de directorios

alternativo” en la página 97.

El recurso del gestor de accesos sólo está disponible para configuración desde el ID

de administrador (gkadmin) predeterminado del Connection Manager. Cuando

inicie la sesión como administrador predeterminado, el gestor de accesos se

visualizará como la entrada superior del separador Recursos. Cuando se conecte

por primera vez a un Connection Manager desde el Gatekeeper, debe iniciar la

sesión como administrador predeterminado y, a continuación, se le solicitará que

configure el gestor de accesos.

14 Lotus Mobile Connect Administrator’s Guide

|||||

|||||||

El gestor de accesos realiza lo siguiente:

v Recibe mandatos del Gatekeeper codificados en XML.

v Ejecuta los mandatos.

v Recibe los resultados de los mandatos. Si la información de configuración se

actualiza como resultado de los mandatos, el Connection Manager recibe

automáticamente una notificación de que se requiere una actualización y vuelve

a cargar los datos.

v Convierte los resultados en XML.

v Devuelve los resultados al Gatekeeper.

El gestor de accesos se puede configurar para aceptar sólo las conexiones de los

Gatekeepers que utilizan direcciones IP específicas y pueden trabajar con varios

Gatekeepers remotos.

De manera predeterminada, el gestor de accesos está configurado de manera que

todas las contraseñas de usuario y administrador se cifran antes de almacenarse.

Este valor debe ser igual para todos los gestores de accesos y gestores de

conexiones que utilizan el mismo servicio de directorio para almacenar la

información de configuración.

Si el servicio de directorio cifra las contraseñas, asegúrese de que esta propiedad

está desactivada. Para impedir el cifrado de las contraseñas, desmarque los

recuadros de selección Cifrar contraseñas antes del almacenamiento en el

separador DSS de Connection Manager de las propiedades del gestor y del

Connection Manager. Consulte el apartado “Edición de propiedades de recursos”

en la página 101 para obtener más información.

El gestor de accesos seguro es un proceso opcional (wgmgrsd) que se instala con el

Connection Manager y gestiona las interacciones entre el Gatekeeper y Connection

Manager. El gestor de accesos seguro utiliza la capa de sockets protegidos (SSL)

para cifrar y descifrar el tráfico entre el Gatekeeper y el gestor de accesos. Para

obtener más información sobre esta opción de seguridad, consulte el apartado

“Autenticación y cifrado entre el Gatekeeper y el gestor de accesos” en la página

52.

Connection Manager

Después de instalar el Connection Manager y de instalar el soporte de red

necesario que utilizará Connection Manager, utilice el Gatekeeper para definir el

recurso del Connection Manager y las propiedades para su administración. Otros

recursos que son recursos dependientes del Connection Manager son los siguientes:

v Servicios de acceso móvil

v Servicios de acceso HTTP

v Servicios de mensajería

v Gestor de clústeres

v MNC

v Discriminador de dispositivos

Las propiedades que puede configurar para el Connection Manager incluyen las

siguientes:

Pasarela

Además de un campo de identificador y descripción, puede especificar el

Capítulo 2. Planificación 15

intervalo de supervisión de sistema, el tiempo máximo de inactividad, las

conexiones de estado máximas y el puerto de estado.

Anotaciones

Especifica las ubicaciones de los archivos de anotaciones de mensajes y

rastreo así como los niveles de anotaciones de mensajes.

Alertas

Especifica si la notificación de alertas por correo electrónico está habilitada

y define un servidor SMTP, una lista de eventos y los administradores que

recibirán la notificación.

Contabilidad y facturación

Especifica dónde se almacena la información de anotaciones a efectos de

contabilidad y facturación.

Contabilidad RADIUS

Especifica si se utilizan servidores de contabilidad RADIUS.

Base de datos de sesión

Especifica la base de datos relacional que almacena datos de la sesión.

Gestión de red

Especifica si un daemon SNMP (Protocolo Simple de Gestión de Red) se

ejecuta en qué estaciones de gestión de red, así como el nivel de

anotaciones que se utiliza para las rupturas.

OU Especifica las unidades organizativas y las unidades organizativas

adicionales en las que el Connection Manager está definido.

Servicios de mensajería

Los Servicios de mensajería permiten que un servidor de aplicaciones web envíe

mensajes a un cliente, como por ejemplo un buscapersonas o un teléfono, en una

red inalámbrica.

Los Servicios de mensajería soportan varios tipos de modalidades de mensaje:

v Servicio de Mensajes Cortos (SMS)

v Entrega de mensajes cortos a través de redes propietarias (como por ejemplo,

Mobitex o DataTAC)

v Correo electrónico que utiliza SMTP

v Protocolo Simple de Paginación de Red (SNPP)

Ejemplos de operaciones de mensajes podrían ser noticias, cotizaciones de bolsa,

mensajes de buscapersonas, mensajes de difusión y la notificación de eventos,

como por ejemplo la llegada de correo electrónico. Consulte la Tabla 2 en la página

22 para obtener una lista de las MNC disponibles para las conexiones de

mensajería.

Servicios de mensajería tiene un recurso dependiente: servicio de aplicación.

Los servicios de mensajería requieren que se utilice una base de datos relacional

compatible con ODBC para almacenar los datos de sesión.

Servicios de acceso HTTP

Los servicios de acceso HTTP proporcionan un túnel seguro para la comunicación

HTTP con cualquier cliente HTTP Versión 1.1. La conexión entre los servicios de

16 Lotus Mobile Connect Administrator’s Guide

||

acceso HTTP y un cliente HTTP se protege mediante la capa de sockets protegidos

(SSL). La conexión entre el servidor proxy HTTP y los servicios de acceso HTTP se

protegen opcionalmente con SSL.

Los servicios de acceso HTTP utilizan un método de autenticación que establece

una conexión HTTP segura con una corriente de datos de cliente HTTP, por

ejemplo, desde un navegador. Los servicios de acceso HTTP comprueban la

existencia de credenciales válidas en la corriente de datos y, si no existe ninguna,

devuelven una pantalla de inicio de sesión basada en formulario que solicita al

usuario un ID de usuario y una contraseña válidos.

A continuación, los servicios de acceso HTTP envían la corriente de datos HTTP a

un servidor proxy HTTP. La conexión con el proxy HTTP puede estar configurada

para que sólo permita conexiones desde los sistemas principales especificados.

Cuando un cliente HTTP intenta conectarse a los servicios de acceso HTTP, la

cabecera del cliente HTTP se analiza en busca de una cookie que tenga un símbolo

de par nombre-valor concreto. Estos símbolos de par nombre-valor se establecen en

el perfil de autenticación.

Hay dos tipos de cookies válidas: LTPA y una cookie específica de Connection

Manager, cuando LTPA no está configurado. Si el nombre que se encuentra en la

cabecera es LtpaToken=, se utiliza el símbolo codificado en LTPA. Si el nombre que

se encuentra en la cabecera es WgSessionKey=, se utiliza la clave de sesión

codificada de Connection Manager. Si se encuentra una cookie válida en la

cabecera, la solicitud del cliente HTTP se reenvía a un proxy HTTP. Esta cookie se

emplea en los intentos de conexión futuros y tiene un tiempo de vida igual al de la

sesión del navegador, aunque en el caso del símbolo LTPA, el tiempo de vida del

símbolo se puede configurar por separado.

Cuando no hay ninguna cookie valida en la cabecera, se envía una página de inicio

de sesión al cliente HTTP. Una vez que el usuario inicie una sesión y proporcione

las credenciales válidas, los servicios de acceso HTTP establecen una cookie y

redirigen la solicitud de nuevo al cliente HTTP que seguidamente se reconecta, esta

vez con una cookie válida en la cabecera, que los servicios de acceso HTTP utilizan

para validar la sesión y reenviar la solicitud a un proxy HTTP.

La página de inicio de sesión se crea automáticamente y utiliza estos tres archivos,

que vienen en el directorio /wireless/http/msg/<idioma>, que se pueden

personalizar para la pantalla de inicio de sesión:

login_hdr.html

″Espacio reservado para la barra de título″

login_motd.html

″Mensaje del día″

login_tlr.html

″Espacio reservado para los derechos de autor y las declaraciones de

exención de responsabilidad″

Observe que no puede haber <cuerpo> ni elementos <html> en estos archivos

HTML.

No existe ninguna manera explícita de finalizar sesión en esta conexión segura sin

cerrar la ventana del navegador. A modo de sugerencia, edite uno de estos tres

archivos para incluir un mensaje con la indicación de que se cierre la ventana del

Capítulo 2. Planificación 17

navegador una vez que el usuario haya terminado con la conexión, para asegurar

que nadie más pueda utilizarla. Debe saber que la utilización de los Servicios de

acceso HTTP para acceder a la intranet de la empresa desde sistemas cuya

seguridad no se conoce o no es fiable puede comprometer la seguridad de la

información de inicio de sesión o de los datos, si hay instalado un determinado

spyware. Cuando utilice los Servicios de acceso HTTP desde sistemas que no sean

los que controla o confía completamente, asegúrese de que las políticas de

seguridad ofrecen protección contra estos riesgos o soportan la aceptación de los

mismos.

Cada recurso solicitado (URL) debe tener como prefijo un URL de servicio. Por

ejemplo, si el URL de servicio está configurado como mobile.miempresa.com,

cuando el cliente HTTP entra esa ubicación en el navegador, los servicios de acceso

HTTP redirigen el URL como https://mobile.miempresa.com/http://miempresa.intranet.com.

El URL de servicio se puede entrar directamente en un navegador o almacenar en

un código Host de una cabecera HTTP de la corriente de datos de una aplicación.

Si el valor de Host no coincide con el valor del URL de servicio, los servicios de

acceso HTTP envían un código de estado HTTP 301 Movido Permanentemente al

cliente HTTP, además del URL pertinente para redirigir al puerto configurado para

el servicio HTTP. El valor de Host también debe coincidir con el valor almacenado

en el certificado del cliente para evitar que aparezcan avisos de proceso de

certificado en algunos navegadores

Para añadir servicios de acceso HTTP, en el panel izquierdo, pulse con el botón

derecho del ratón sobre Connection Manager al que desea añadir los servicios y, a

continuación, pulse Añadir --> Servicio de acceso HTTP.

Servicios de acceso móvil

Los Servicios de acceso móvil integran el acceso para todas las redes inalámbricas

y alámbricas soportadas en un único recurso.

Otros recursos que son recursos dependientes de los servicios de acceso móvil

incluyen los siguientes:

v Determinados grupos, como por ejemplo de difusión, filtros y correlación de

paquetes o NAT

v Perfil de conexión

v Conversor de direcciones de red (NAT)

v Correlaciones de paquetes

v Filtros

v Alias de direccionamiento

v Interfaz de red móvil (MNI)

Las propiedades que puede configurar para los servicios de acceso móvil incluyen

las siguientes:

General

Además de un campo de descripción, puede especificar el tiempo máximo

de inactividad.

Protocolo de enlace inalámbrico/PPP

Especifica los valores globales que afectan a todas las redes que ha

instalado y configurado para utilizar con los servicios de acceso móvil. Por

ejemplo, el puerto UDP y TCP utilizado para actualizaciones de

18 Lotus Mobile Connect Administrator’s Guide

contraseñas y los valores del protocolo punto a punto, como por ejemplo

los intervalos de tiempo de espera y el número máximo de transmisiones

de configuración, terminación y solicitud de eco.

Difusión

Especifica los servidores de aplicaciones de difusión, tanto si la interfaz es

de protocolo de datagramas de usuario (UDP) o de llamada a

procedimiento remoto (RPC), que tienen permiso para enviar difusiones a

dispositivos activos utilizando los servicios de acceso móvil.

Gestor de clústeres

Un gestor de clústeres es un recurso que realiza compensación de carga dinámica y

mejora la disponibilidad en los gestores de conexiones. Cada instalación de un

Connection Manager crea un único recurso de gestor de clústeres.

Edite las propiedades del gestor de clústeres para definir un Connection Manager

como nodo principal, nodo subordinado o como ambos. Un nodo principal

despacha tráfico a los nodos subordinados. Un nodo subordinado está configurado

para aceptar tráfico procedente de uno o varios nodos principales. Un gestor de

clústeres que está definido como nodo principal y a la vez como nodo subordinado

despacha tráfico y procesa datos. Tenga en cuanta que sólo hay un nodo principal

por cada gestor de clústeres.

Para despachar tráfico para una red determinada, asegúrese de que servicios de

mensajería esté configurado como el nodo principal de un clúster.

Para despachar tráfico para una MNC de mensajería, asegúrese de que la MNC

está instalada y configurada en el mismo sistema que los servicios de mensajería.

Un nodo principal inicia la comunicación con los nodos subordinados. Como parte

del rol de recibir y despachar tráfico, un nodo principal mantiene una

comunicación bidireccional con los nodos subordinados. Proporcione una copia de

seguridad para los gestores de conexiones que están configurados como nodos

principales con el fin de asegurar la disponibilidad de los recursos más

importantes.

Los nodos subordinados envían información de carga a los nodos principales y

controlan cuándo debe empezar o finalizar la aceptación de tráfico procedente de

los nodos principales en función de un algoritmo de distribución configurable. Los

algoritmos de distribución son los siguientes:

Por turno circular

El nodo principal repite continuamente la secuencia de distribución del

tráfico entre una serie de nodos subordinados, uno tras otro.

Por turno circular ponderado

El nodo principal repite continuamente la secuencia de distribución del

tráfico entre una serie de nodos subordinados, basándose en los umbrales

de utilización de CPU configurables, denominados límites de nivel

superior e inferior.

Basado en dispositivo/MNC

El nodo principal distribuye el tráfico entre los nodos subordinados,

basándose en la MNC o en el identificador de dispositivo exclusivo del

que procedía.

Capítulo 2. Planificación 19

Cuando concluye un nodo principal, el gestor de clústeres notifica a los nodos

subordinados que deben cancelar anormalmente las transacciones pendientes que

se vuelven a direccionar a través del nodo principal.

Los nodos subordinados pueden configurarse en uno de los tres estados siguientes:

Activo La modalidad normal de operación en la que el gestor de clústeres

despacha el tráfico de acuerdo con el algoritmo de distribución

configurado para el nodo subordinado.

Definido

Una modalidad de operación en la que el gestor de clústeres notifica

inmediatamente al nodo subordinado que debe cancelar anormalmente

todas las transacciones pendientes.

Mantenimiento

Una modalidad de operación en la que el gestor de clústeres no direcciona

tráfico nuevo hacia este nodo subordinado, permitiendo que finalice el

tráfico después de que se hayan completado todas las transacciones

pendientes Para verificar que ha finalizado todo el tráfico, utilice el

programa de utilidad wg_monitor y compruebe el número de sesiones

activas. En el apartado “Supervisión del flujo de paquetes” en la página

107 encontrará más detalles acerca del programa de utilidad.

Los nodos subordinados pueden agruparse en grupos de clústeres y los nodos

principales pueden configurarse para despachar tráfico sólo a los nodos

subordinados de estos grupos. De manera predeterminada, si un gestor de

clústeres no tiene grupos para gestionar, gestiona todos los nodos subordinados

que no están asignados a un grupo de clústeres. Consulte el apartado “Configurar

nodos de clúster” en la página 93 para obtener más información.

Puede mejorar el rendimiento de las MNC sin conexión, como por ejemplo, ip-lan,

enlazando el puerto UDP a una dirección IP específica. Consulte el apartado

“Configurar nodos de clúster para MNC sin conexión” en la página 94 para

obtener más información.

Soporte de varios nodos de clúster

Se pueden configurar varios gestores de conexiones como un clúster para distribuir

la carga en una configuración de varios nodos. Además de aprovechar al máximo

las funciones de multiprocesador de UNIX, el soporte de clúster de Connection

Manager mejora la escalabilidad y añade un recurso dinámico de compensación y

compartimiento de la carga de trabajo con un clúster físico.

Puede agrupar los nodos subordinados y asignar un nodo principal que despacha

tráfico a nodos específicos del grupo de clústeres. Los nodos subordinados pueden

añadirse dinámicamente a un grupo de clústeres para aumentar la capacidad del

clúster.

20 Lotus Mobile Connect Administrator’s Guide

La Figura 6 muestra un ejemplo del Connection Manager configurado para

distribuir la carga de trabajo. Cada recuadro de la Figura 6 es un Connection

Manager, configurado como nodo subordinado (llamado S) o como nodo principal

(llamado P).

El nodo principal es un Connection Manager configurado para recibir el tráfico de

una conexión de red móvil y distribuir la carga de trabajo entre sus nodos

subordinados. Los nodos subordinados están configurados para aceptar y procesar

el tráfico procedente del nodo principal de acuerdo con un algoritmo de

distribución configurable. Para proporcionar una copia de seguridad del nodo

principal, puede utilizarse HACMP (High Availability Cluster Multi-Processing)

con una segunda máquina. No es necesario realizar una copia de seguridad de los

nodos subordinados.

Grupos

Un grupo es una forma de recopilar recursos inalámbricos para utilizarlos como

grupo en lugar de hacerlo por separado. Puede crear grupos de los siguientes

tipos:

MNC Una agrupación de conexiones de red móvil que pueden asignarse a otro

recurso. Por ejemplo, puede asignar un grupo MNC a un nodo

subordinado, eliminado la necesidad de asignar cada MNC

individualmente.

En el caso de las MNC de conexión de mensajería, puede asignar MNC a

un grupo y direccionar los mensajes sólo a las MNC especificadas en dicho

grupo.

Clúster

Una agrupación de nodos subordinados que pueden asignarse a un nodo

principal, eliminando la necesidad de asignar individualmente cada nodo

subordinado. Para obtener más información, consulte el apartado “Gestor

de clústeres” en la página 19.

Figura 6. Ejemplo de clúster con varios gestores de conexiones

Capítulo 2. Planificación 21

Para ver una lista de otros grupos disponibles, consulte el apartado “Grupos para

los servicios de acceso móvil” en la página 128.

Conexión de red móvil (MNC)

Una conexión de red móvil (MNC) es un recurso que se asigna al Connection

Manager y define un tipo específico de conexión de red. La MNC consta de un

controlador de línea, un intérprete de protocolo de red y uno o más puertos físicos.

Configure una MNC para cada proveedor de red que vaya a utilizar.

Los tipos de MNC incluyen:

v Conexiones de mensajería, consulte la Tabla 2.

v Conexiones de acceso móvil, consulte la Tabla 3 en la página 23.

No todas las MNC están disponibles en todos los sistemas operativos. Por ejemplo,

el soporte de la MNC X.25 sólo está disponible en AIX.

Las MNC que requieren detalles de configuración específicos incluyen las

siguientes:

v “Configuración de una MNC SMPP” en la página 142

v “Configurar nodos de clúster para MNC sin conexión” en la página 94

v “Configuración de un RNC redundante con conmutadores A/B controlados de

forma remota” en la página 137

Los tipos de MNC incluyen:

Tabla 2. MNC disponibles para las conexiones de los servicios de mensajería

Tipo de

MNC

Descripción Instalar este soporte de red

ardis-tcp Direccionamiento de contexto estándar (SCR)

Motient que utiliza TCP

Ardis

ardis-x25 SCR Motient que utiliza X.25 Ardis

mobitex Conexión estándar internacional Mobitex que

utiliza X.25

Mobitex

mobitex-tcp

Mobitex que utiliza TCP, como por ejemplo

el servidor de aplicaciones de Internet (IAS)

Mobitex

Mobitex

sms-ois Servicio de mensajes cortos (SMS) que utiliza

la especificación de interfaz abierta

SMS

sms-ois-x25

Servicio de mensajes cortos (SMS) que utiliza

la especificación de interfaz abierta a través

de X.25

SMS

sms-rpa Mensajería inalámbrica RPA SMS

sms-smpp Servicio de mensajes cortos que utiliza el

Protocolo de Igual a Igual de Mensajes

Cortos (SMPP) Versión 3.4

SMS

sms-ucp Servicio de mensajes cortos que utiliza

UCP/EMI (Universal Computer

Protocol/External Machine Interface)

SMS

sms-smpp-x25

Servicio de mensajes cortos que utiliza SMPP

Versión 3.4 a través de X.25

SMS

22 Lotus Mobile Connect Administrator’s Guide

||

Tabla 2. MNC disponibles para las conexiones de los servicios de

mensajería (continuación)

Tipo de

MNC

Descripción Instalar este soporte de red

sms-ucp-x25

Servicio de mensajes cortos que utiliza

UCP/EMI a través de X.25

SMS

smtp Protocolo Simple de Transporte de Correo,

como se especifica en la RFC 821. Tenga en

cuenta que las ampliaciones de la RFC, como

por ejemplo el soporte de MIME o la

autenticación de servidor de correo, no están

soportadas.

SMTP

snpp Protocolo Simple de Paginación de Red,

como se especifica en la RFC 1861. Tenga en

cuenta que todas las funciones del nivel uno

y los elementos obligatorios del nivel dos

están soportados. El nivel 3 de SNPP no está

soportado.

SNPP

wctp Protocolo de Transferencia de

Comunicaciones Inalámbricas

WCTP

Tabla 3. MNC disponibles para los servicios de acceso móvil que utilizan conexiones WLP

(protocolo de enlace inalámbrico) o PPP (protocolo punto a punto)

Tipo de

MNC

Descripción Instalar este soporte de red

ardis-tcp Direccionamiento de contexto estándar (SCR)

Motient que utiliza TCP

Ardis

ardis-x25 SCR Motient que utiliza X.25 Ardis

dataradio-bdlc

Controlador de enlace de datos de estación

base (BDLC) Dataradio

Dataradio

dataradio-msc

Controlador multisitio (MSC) Dataradio Dataradio

datatac-5000

DataTAC 5000 que utiliza X.25 DataTAC

datatac-6000

DataTAC 6000 que utiliza TCP DataTAC

dial-pstn Red telefónica pública conmutada, incluidas

las conexiones PPP nativas

Acceso telefónico

dial-tcp Conexión de acceso telefónico a través de un

servidor de módem conectado por IP,

incluidas las conexiones PPP nativas

Acceso telefónico

ip-lan Red basada en IP, como por ejemplo CDPD,

frame relay, conexión con Proveedor de

servicios de Internet (ISP) o LAN

LAN IP

http-tcp-lan

Basado en HTTP-TCP LAN IP

mobitex Conexión estándar internacional Mobitex que

utiliza X.25

Mobitex

mobitex-tcp

Mobitex que utiliza TCP, como por ejemplo

el servidor de aplicaciones de Internet (IAS)

Mobitex

Mobitex

Capítulo 2. Planificación 23

||||

Tabla 3. MNC disponibles para los servicios de acceso móvil que utilizan conexiones WLP

(protocolo de enlace inalámbrico) o PPP (protocolo punto a punto) (continuación)

Tipo de

MNC

Descripción Instalar este soporte de red

rnc-3000 Controlador de red de radio 3000 RNC-3000

tcp-lan Basado en TCP LAN IP

Discriminador de dispositivos

El discriminador de dispositivos funciona juntamente con los servidores de acceso

a red (NAS) para identificar inequívocamente los dispositivos cada vez que los

dispositivos se conectan a la red. Se requiere la identidad exclusiva de un

dispositivo antes de que el Connection Manager pase la identidad del dispositivo a

otros servidores web y proxies de la red. Cuando se habilita el discriminador de

dispositivos, el identificador exclusivo del dispositivo se pasa desde el servidor

NAS al Connection Manager una vez que se ha solicitado en forma de mensajes de

autenticación RADIUS o de contabilidad RADIUS.

El tipo de mensajes RADIUS que se envían desde el servidor NAS (autenticación o

contabilidad) depende de la configuración del servidor NAS y de si existen en la

red otros servidores de autenticación o contabilidad. Puede configurar el

discriminador de dispositivos para que devuelva respuestas RADIUS directamente

al servidor NAS, o bien puede configurarlo como proxy. Como proxy, el

discriminador de dispositivos reenvía los mensajes RADIUS a otros servidores de

la red y luego devuelve las respuestas subsiguientes al servidor NAS.

Dado que el servidor NAS normalmente se configura para distribuir una dirección

IP desde una agrupación de direcciones a los usuarios cuando éstos se conectan a

la red, esta dirección IP no identifica de forma exclusiva a un usuario específico.

Puesto que los dispositivos normalmente no utilizan la misma dirección cada vez

que se conectan a la red, el servidor NAS también debe configurarse para enviar

otro identificador que identifique de manera exclusiva el dispositivo.

El identificador exclusivo enviado por el servidor NAS se define en el

discriminador de dispositivos en términos de su tipo de atributo RADIUS. Estos

tipos de atributos están definidos en la RFC 2865 de autenticación RADIUS y en la

RFC 2866 de contabilidad RADIUS.

Al definir el discriminador de dispositivos, especifique qué tipo de atributo

RADIUS desea utilizar para identificar de manera exclusiva el dispositivo. El

identificador debe ser exclusivo para cada dispositivo y debe ser el mismo cada

vez que un determinado dispositivo se conecta a la red.

El identificador de dispositivo exclusivo puede ser cualquiera de los siguientes

tipos de atributos RADIUS:

Tabla 4. Tipos de atributos RADIUS

Tipo de atributo RADIUS Nombre de atributo

RADIUS

Descripción

31 ID de la estación

llamante

Número de teléfono de

dispositivo o número MSISDN

1 Nombre de usuario ID de usuario de dispositivo

24 Lotus Mobile Connect Administrator’s Guide

|||

Tabla 4. Tipos de atributos RADIUS (continuación)

Otro tipo de atributo definido

en la RFC 2865 RADIUS o en

la RFC 2866 de contabilidad

RADIUS

Nombre de atributo

RADIUS

El tipo de atributo que

especifique debe tener un valor

de atributo RADIUS asociado

imprimible (el valor no puede

ser binario). El valor del atributo

también debe ser exclusivo para

cada teléfono o dispositivo que

se conecte al Connection

Manager.

Cuando un dispositivo se conecta a la red, el servidor NAS envía el identificador

de dispositivo exclusivo al Connection Manager en los mensajes de autenticación

RADIUS o de contabilidad RADIUS. El servidor NAS debe estar configurado para

enviar el tipo de atributo RADIUS apropiado. El discriminador de dispositivos

extrae la dirección IP de dispositivo y el identificador de dispositivo exclusivo del

mensaje RADIUS, los asocia entre sí y almacena la información. En todas las

solicitudes subsiguientes de este dispositivo, el discriminador de dispositivos

puede recuperar esta información.

Cuando utilice la gestión de clústeres, defina los discriminadores de dispositivos

sólo en el nodo principal. El nodo principal utiliza el protocolo de agrupación en

clústeres para los nodos subordinados apropiados.

Los usuarios que están identificados por el discriminador de dispositivos no se

visualizan como usuarios activos en el Gatekeeper.

Si se utiliza la conversión de direcciones de red (NAT) con el

discriminador de dispositivos

Si se utiliza la conversión de direcciones de red (NAT) para convertir una dirección

IP de la red local a una dirección IP distinta conocida en otra red (o para convertir

una dirección IP a una combinación de dirección IP/número de puerto origen

diferente), el uso del discriminador de dispositivos no está soportado.

El servidor NAS envía un mensaje RADIUS al Connection Manager cada vez que

un cliente móvil se conecta al servidor NAS. El mensaje RADIUS contiene la

dirección IP asignada al dispositivo portátil y un identificador de dispositivo

exclusivo, como por ejemplo un número de teléfono o ID de usuario. En todas las

solicitudes subsiguientes del dispositivo portátil, el Connection Manager utiliza

esta información para establecer una correlación entre la dirección IP del

dispositivo portátil y el identificador exclusivo.

Si existe una máquina NAT en la red entre el dispositivo portátil y el Connection

Manager, la dirección IP origen se cambia por una dirección que asigna la máquina

NAT. Normalmente, esta reasignación de direcciones es dinámica, de modo que es

posible que a un dispositivo individual no se le asigne la misma dirección IP cada

vez que se conecta a la red. El problema es que la dirección IP del mensaje

RADIUS no coincidirá con la dirección asignada por la máquina NAT. La máquina

NAT simplemente modifica la dirección origen de la solicitud del dispositivo y

generalmente no tiene conocimiento de los datos que fluyen a través de ella.

Servidor de directorios

Un servidor de directorios es un recurso que aprovecha las bases de datos de

cuentas de usuario existentes y proporciona la definición de cómo ponerse en

contacto con otro servidor de servicios de directorio (DSS). Siempre y cuando la

Capítulo 2. Planificación 25

base de datos existente soporte un acceso de cliente LDAP (Protocolo Ligero de

Acceso a Directorio), el Connection Manager puede cargar, utilizar y modificar

atributos específicos almacenados con los registros de usuario existentes en los

servidores de directorios locales y/o remotos.

Un recurso de servidor de directorios también se asigna a perfiles de autenticación

por enlace LDAP para especificar qué servidores se utilizan para realizar la

operación de enlace LDAP para autenticar clientes.

Para redirigir las búsquedas de servicio de directorio de determinados atributos de

ID de usuario, añada un recurso de servidor de directorios y, a continuación, edite

las propiedades del gestor de accesos para definir qué servidor de directorio de

empresa desea utilizar. Consulte el apartado “Configurar la búsqueda de cuenta de

usuario” en la página 96 para obtener más información.

Cree un recurso de servidor de directorios para cada servicio de directorio remoto

al que desea redirigir las búsquedas.

Los atributos de ID de usuario utilizados habitualmente que pueden redirigirse

incluyen el nombre común (cn) y la contraseña (userPassword). Para obtener una

lista completa de los atributos de ID de usuario, en una línea de mandatos del

Connection Manager especifique: lswg -T -s wlUser. Para obtener más

información acerca del mandato lswg, utilice el Manual de consulta de mandatos de

IBM Lotus Mobile Connect. Consulte también el apartado “Integrar el Connection

Manager con los esquemas LDAP existentes” en la página 55.

Usuario

Un usuario es una cuenta creada para que una persona pueda utilizar el Mobility

Client para conectarse al servicios de acceso móvil. Si especifica que el ID de

usuario requiere una contraseña, debe asignar una política de contraseñas que

defina las normas de la contraseña. Consulte el apartado “Política de contraseñas”

en la página 32.

Existen varias posibilidades para almacenar de forma persistente la base de

usuarios.

v Utilizar una infraestructura DSS existente. Existe una rama separada de un árbol

de directorio con la que el Connection Manager puede interactuar para asegurar

que los usuarios están autenticados y que el tráfico está cifrado. Para utilizar un

DSS existente, seleccione Utilizar servidor de directorios de empresa en el

separador DSS de usuario de las propiedades del gestor de accesos. La

autenticación y el cifrado pueden realizarse de varias maneras:

Operación de enlace LDAP

Cuando se utiliza este método se elimina de necesidad de gestionar

usuarios en el Gatekeeper. El Connection Manager accede al DSS de

usuario como sólo lectura. Para proteger la conexión, utilice el algoritmo

de intercambio de claves Diffie-Hellman para cifrar el tráfico ya que las

credenciales de autenticación fluyen en el aire.

Para configurar esta opción, utilice un perfil de autenticación por enlace

LDAP y establezca el algoritmo de intercambio de claves en el perfil de

conexión. Consulte los apartados “Perfil de autenticación” en la página

30 y “Conexión y perfiles de transporte” en la página 122.

Protocolo de distribución de claves de dos partes (TPKDP) donde el DSS de

usuario es de sólo lectura

La conexión se protege utilizando el algoritmo de intercambio de claves

26 Lotus Mobile Connect Administrator’s Guide

TPKDP, donde el Connection Manager se autentica ante el Mobility

Client y el Mobility Client se autentica ante el Connection Manager. El

Connection Manager accede al DSS de usuario como sólo lectura. El

Connection Manager mantiene una copia duplicada de la cuenta de

usuario que incluye campos como el número de intentos de inicio de

sesión fallidos o la cuenta bloqueada. Este método afecta al rendimiento

ya que se requiere una búsqueda para el DSS de usuario y para la copia

duplicada local.

Cuando se utiliza TPKDP, el registro de usuario debe tener como

mínimo la clase de objeto ″person″. Además, el Connection Manager

debe poder recuperar el atributo userPassword, que debe almacenarse

utilizando Borrar texto, Secure Hash Algorithm (SHA) o Salted Secure

Hash Algorithm (SSHA). Normalmente, el acceso a userPassword

requiere una búsqueda enlazada en que el DSS debe configurarse con un

nombre distinguido (DN) administrativo y una contraseña que tenga

acceso a este atributo.

Para configurar esta opción, cree la base de usuarios en el Gatekeeper y

establezca el algoritmo de intercambio de claves en el perfil de conexión.

TPKDP donde el DSS de usuario es ampliable

La conexión entre el Connection Manager y el Mobility Client se protege

utilizando el algoritmo de intercambio de claves TPKDP. El Connection

Manager accede al DSS de usuario y adjunta la clase de objeto

ibm-wlUser a cada cuenta de usuario. Este método mejora el

rendimiento ya que sólo se requiere una única búsqueda. El Connection

Manager sólo modifica el registro de cuenta de usuario en el DSS en los

casos de anomalía, como por ejemplo un inicio de sesión fallido.

Para configurar esta opción, cree la base de usuarios en el Gatekeeper y

establezca el algoritmo de intercambio de claves en el perfil de conexión.

A continuación, en el separador DSS de usuario de las propiedades del

gestor de accesos, seleccione Ampliar registros para que incluyan el

esquema de Connection Manager.v Utilizar el DSS del Connection Manager para gestionar usuarios. Para configurar

esta opción, seleccione Utilizar servidor de directorios de Connection Manager

en el separador DSS de usuario de las propiedades del gestor de accesos. La

autenticación y el cifrado pueden realizarse de varias maneras, pero para

obtener el mayor rendimiento, utilice el intercambio de claves TPKDP.

Nota: No utilice un almacenamiento para los usuarios en un DSS con el mismo

nombre distinguido (DN) base que el gestor de accesos.

Los ID de usuario no pueden tener más de 32 caracteres ni contener espacios. No

son sensibles a las mayúsculas y minúsculas. Consulte el apartado “Adición de

recursos” en la página 105 para obtener instrucciones sobre cómo añadir ID de

usuario al Gatekeeper.

Administrador

Un administrador es un usuario definido del Gatekeeper. La primera vez que

utilice el Gatekeeper, debe iniciar la sesión como administrador predeterminado en

el sistema del gestor de accesos. Para utilizar el ID de administrador (gkadmin)

predeterminado, es necesario configurar el gestor de accesos.

Una vez que haya finalizado la configuración inicial, puede crear ID de

administrador adicionales. Existen tres categorías de acceso de administrador:

Capítulo 2. Planificación 27

||||

Administrador predeterminado de Connection Manager (gkadmin)

Un administrador preconfigurado (gkadmin) que puede editar las

propiedades del gestor de accesos y dispone del control de acceso Todos

para todos los recursos de todas las unidades organizativas. El

administrador predeterminado puede crear otros ID de administrador y

perfiles de ACL. El tipo de acceso de gkadmin se limita al superusuario.

Las listas de control de accesos no son válidas para esta cuenta. Esta

cuenta no puede caducar.

Superusuario

Un administrador que, con la excepción del gestor de accesos, tiene

definido el control de acceso Todos para todos los recursos de todas las

unidades organizativas. Un administrador superusuario puede crear otros

ID de administrador y perfiles de ACL.

Lista de control de accesos

Un administrador a quien se le ha asignado un perfil de lista de control de

accesos (ACL) configurado por un administrador predeterminado o por un

administrador superusuario. Un perfil de ACL es una recopilación de ACL

que define el nivel de acceso a los recursos. Un administrador con un

perfil de ACL asignado no puede crear otros ID de administrador ni

perfiles de ACL.

Por ejemplo, puede crear un perfil de ACL y asignarlo a un ID de administrador

para que sólo funcione con los recursos de usuario, restableciendo las contraseñas

y bloqueando o desbloqueando las cuentas de usuario. O bien, puede crear un

perfil de ACL y asignarlo a un ID de administrador que puede funcionar con

cualquier tipo de recurso, pero sólo dentro de una o más OU especificadas.

Puede especificar si el administrador predeterminado puede iniciar una sesión de

manera remota en el gestor de accesos utilizando el Gatekeeper. Para impedir el

acceso remoto de administradores que utilizan el ID de administrador

predeterminado, edite las propiedades del gestor de accesos en el separador

Seguridad. Consulte el apartado “Edición de propiedades de recursos” en la

página 101.

En AIX, Linux y Solaris, puede habilitar a los usuarios para iniciar la sesión

utilizando los ID de usuario del sistema operativo local. Puede especificar si

pueden iniciar sesión de manera remota, así como la categoría de acceso que

tienen. Para permitir el acceso de usuarios al sistema local, edite las propiedades

del gestor de accesos en el separador Seguridad.

Nota: Los usuarios de AIX, Linux y Solaris que inician la sesión utilizando el ID

de administrador raíz del sistema operativo tienen el mismo acceso a los

recursos que el administrador predeterminado, incluido el acceso remoto.

Listas de control de accesos y perfiles de ACL

Una lista de control de accesos (ACL) es una tabla de niveles de acceso para todos

los tipos de recursos por unidad organizativa (OU). Un perfil de ACL es una

recopilación de ACL que se asigna a los ID de administrador para definir su nivel

de acceso a los recursos. Puede crear tantos perfiles de ACL como desee y puede

asignar un perfil a tantos ID de administrador como quiera.

Para ver el nivel de acceso del administrador conectado actualmente al Gatekeeper,

pulse Archivo –> Listas de control de accesos.

28 Lotus Mobile Connect Administrator’s Guide

||||||||

|||||||

||||||

|||||

|||

Para la mayoría de recursos de una OU, los niveles de acceso disponibles son los

siguientes:

Todos El nivel más alto de acceso; el administrador puede suprimir y realizar

todas las demás operaciones en este recurso.

Crear El administrador puede ver, editar y añadir los recursos de este tipo.

Modificar

El administrador puede ver y editar los recursos existentes de este tipo.

Sólo lectura

El administrador sólo puede ver los recursos de este tipo.

Ninguno

El administrador no puede ver los recursos de este tipo.

Cada nivel de acceso incluye todos lo que están debajo del mismo. Si asigna el

acceso Crear a un recurso de una OU, también otorga el acceso Modificar y Sólo

lectura al recurso de dicha OU.

Los recursos que no están asignados directamente a una OU heredan el acceso del

recurso padre. Por ejemplo, un gestor de clústeres hereda el acceso del Connection

Manager.

En el caso de los administradores a los que se les asigna un perfil de ACL, cuando

desee que estos administradores gestionen un recurso, otórgueles acceso a dicho

recurso y otorgue un acceso distinto a todos los recursos necesarios para dar

soporte a dicho recurso. Por ejemplo, si gestiona usuarios, otórgueles como mínimo

acceso de sólo lectura a recursos, como por ejemplo políticas de contraseñas, de

modo que pueda asignar una política al usuario.

Además de los niveles generales de acceso, tres recursos heredan niveles

adicionales de autorización cuando se les asigna niveles de acceso específicos de

una OU: Connection Manager, Usuario y Grupo de difusión.

Lista de control de accesos del Connection Manager

Puede asignar acceso adicional a los administradores que tienen acceso Sólo

lectura, Crear o Modificar a los gestores de conexiones de una OU. Este acceso

adicional está habilitado de manera predeterminada cuando un administrador tiene

acceso Todos, Crear o Modificar al Connection Manager de una OU:

v Restablecer archivos de anotaciones — la posibilidad de restablecer archivos de

anotaciones de mensajes, rastreo y contabilidad

Puede asignar este acceso adicional a los administradores que tienen acceso Sólo

lectura, Crear o Modificar. Este acceso adicional está habilitado de manera

predeterminada cuando un administrador tiene acceso Todos a los gestores de

conexiones de una OU:

v Ver anotaciones de contabilidad — la posibilidad de ver el archivo de

anotaciones de contabilidad

v Ver anotaciones de mensajes — la posibilidad de ver el archivo de anotaciones

de mensajes

v Ver anotaciones de rastreo de usuario — la posibilidad de ver el archivo de

anotaciones de rastreo

Capítulo 2. Planificación 29

Puede asignar este acceso adicional a los administradores que tienen acceso

Modificar o Crear. Este acceso adicional está habilitado de manera predeterminada

cuando un administrador tiene acceso Todos a los gestores de conexiones de una

OU:

v Iniciar/detener un Connection Manager— la posibilidad de iniciar y concluir

gestores de conexiones

Lista de control de accesos de Usuario

Puede asignar este acceso adicional a los administradores que tienen acceso Sólo

lectura a los usuarios de una OU. Este acceso adicional está habilitado de manera

predeterminada cuando un administrador tiene acceso Todos, Crear o Modificar a

los usuarios de una OU:

v Restablecer contraseña — la posibilidad de restablecer la contraseña de un

usuario

v Restablecer cuenta de inicios de sesión anómalos — la posibilidad de devolver a

cero la cuenta de inicios de sesión anómalos de un ID de usuario

v Bloquear/desbloquear una cuenta — la posibilidad de conmutar un ID de

usuario entre bloqueado y desbloqueado

v Forzar fin de sesión — la posibilidad de desconectar un usuario del Connection

Manager

Lista de control de accesos de Grupo de difusión

Difundir un mensaje — habilitado de manera predeterminada cuando un

administrador tiene acceso Todos, Crear y Modificar a los grupos de difusión de

una OU. Puede asignar este acceso adicional a los administradores que tienen

acceso Sólo lectura a los grupos de difusión de una OU.

Perfil de autenticación

Un perfil de autenticación es un conjunto de propiedades de configuración de

terceros que se asignan a un perfil de conexión o a los Servicios de acceso HTTP.

Estas propiedades controlan cómo se autentican los clientes. Tenga en cuenta que

las conexiones de mensajería, como por ejemplo las MNC de servicio de mensajes

cortos (SMS), no utilizan perfiles de autenticación.

Cuando se crean o editan las propiedades de un perfil de conexión o de los

Servicios de acceso HTTP, se asigna un perfil de autenticación. Existe un perfil del

sistema predeterminado que viene con el Gatekeeper. Puede crear otros perfiles,

uno para cada conjunto de propiedades que desee asignar a un servicio individual.

Los perfiles de autenticación incluyen los siguientes:

RADIUS

Autentica a un cliente utilizando RADIUS (Remote Authentication Dial-In

User Service). Puede configurar una solicitud adicional de ID de usuario y

contraseña RADIUS para un cliente. Si la solicitud opcional no está

configurada, este método de autenticación utiliza un ID de usuario y

contraseña especificados anteriormente, como por ejemplo un ID de

usuario y contraseña del Mobility Client, para autenticar al cliente. Si la

solicitud no está validada o si la falla autenticación RADIUS, se envía un

mensaje de error al cliente. Para obtener información más detallada,

consulte el apartado “Autenticación de terceros mediante RADIUS” en la

página 46.

Enlace LDAP

Autentica a un cliente utilizando la autenticación por enlace LDAP

30 Lotus Mobile Connect Administrator’s Guide

(Protocolo Ligero de Acceso a Directorio) realizando una búsqueda de DSS

utilizando un campo de clave configurable. Después de que el DSS realiza

una operación de enlace LDAP y asocia satisfactoriamente el campo de

clave a un nombre distinguido, el cliente se autentica. Si la operación de

enlace LDAP no es satisfactoria, se envía un mensaje de error al cliente. Si

se especifica la autenticación del sistema además de la autenticación por

enlace LDAP, se solicitará al cliente que presente dos veces las credenciales

(ID de usuario y contraseña). Para obtener información más detallada,

consulte el apartado “Autenticación de terceros por enlace LDAP” en la

página 47.

Basada en certificados

Solicita a un cliente las credenciales válidas utilizando certificados X.509

almacenados. Si la operación de verificación de certificados no es

satisfactoria, se envía un mensaje de error al cliente. Tenga en cuenta que

sólo los perfiles de conexión pueden utilizar perfiles de autenticación

basada en certificados. Para obtener información más detallada, consulte el

apartado “Autenticación de terceros mediante certificados” en la página 48.

Soporte de autenticación ligera de terceros

Los perfiles de autenticación RADIUS y por enlace LDAP pueden configurarse

para utilizar la autenticación LTPA (autenticación ligera de terceros) y el inicio de

sesión único (SSO) sólo para los Servicios de acceso HTTP. LTPA y SSO son

funciones distintas pero complementarias. Habilitar LTPA significa que se genera

un símbolo LTPA con un tiempo de vida específico cuando un usuario se autentica

ante Connection Manager. SSO utiliza el símbolo LTPA y lo almacena en una

cookie del navegador para dar soporte al inicio de sesión único (SSO) con otros

servidores de aplicaciones preparados para LTPA en el mismo dominio de DNS.

Para que la caducidad del símbolo LTPA se maneje correctamente, el Connection

Manager y otros servidores de aplicaciones preparados para LTPA deben tener los

relojes sincronizados.

SSO puede habilitarse para utilizar sólo conexiones SSL (capa de sockets

protegidos).

Todos los servidores que utiliza el soporte LTPA del Connection Manager deben

tener el mismo conjunto de claves y contraseña LTPA. Estas claves se obtienen

utilizando el proceso manual de exportar un archivo de claves desde uno de los

servidores y luego importar el archivo de claves a todos los servidores

participantes. El Connection Manager se inicia con wecmltpa como contraseña

LTPA predeterminada.

Hay varias acciones que pueden configurarse para las claves LTPA:

Generar claves nuevas

Especifica que se generan claves nuevas para utilizar con los símbolos

LTPA. Si se generan claves nuevas, se cancelan los símbolos LTPA actuales.

Las claves nuevas se deben exportar a un archivo de claves LTPA con el fin

de que los servidores de aplicaciones preparados para LTPA participantes

puedan importar un archivo de claves LTPA actualizado para obtener las

claves nuevas.

La acción de generar claves LTPA nuevas tarda tiempo en completarse y se

inicia la primera vez que LTPA se habilita en un Connection Manager o

cuando la acción de clave está configurada para generar claves nuevas. La

generación de claves nuevas requiere una contraseña LTPA para generar

claves.

Capítulo 2. Planificación 31

Importar desde archivo de claves

El archivo de claves LTPA especificado se importa para que el Connection

Manager pueda utilizarlo.

Exportar a archivo de claves

El Connection Manager crea el archivo de claves LTPA especificado.

Ninguno

No se realiza ninguna acción.

Las acciones de claves LTPA se aplican inmediatamente y no tienen persistencia

como valores de configuración.

Siempre que caduca un símbolo LTPA, se produce una nueva solicitud de

autenticación. Otra vez que se fuerza una nueva solicitud de autenticación incluye

la terminación de una sesión del navegador.

Utilizar LTPA en un entorno WebSphere Portal o WebSphere Application

Server: Si utiliza el Connection Manager en un entorno WebSphere Portal o

WebSphere Application Server, hay que tener en cuenta lo siguiente en relación con

la integración:

v El Gestor de accesos debe configurarse para no cifrar contraseñas cuando se

utiliza LTPA/SSO.

v WebSphere Portal o WebSphere Application Server puede utilizar un ID de

usuario definido por un Connection Manager. Sin embargo, una configuración

predeterminada del Connection Manager no puede utilizar un ID de usuario

definido por WebSphere Portal o WebSphere Application Server.

v El conjunto de clases de objeto que WebSphere Portal o WebSphere Application

Server utiliza de manera predeterminada para sus sufijos no permiten que estos

mismos sufijos sean utilizados por la configuración predeterminada del

Connection Manager para crear o acceder a usuarios.

Política de contraseñas

Cuando se crea un ID de usuario y se requiere una contraseña, se especifica una

política de contraseñas para dicho usuario. Una política de contraseñas contiene

normas acerca de las contraseñas de los usuarios y puede configurarse para

especificar lo siguiente:

v El número mínimo de caracteres alfabéticos (a-z, A-Z) que debe tener una

contraseña.

v El número mínimo de caracteres no alfabéticos (por ejemplo, 0-9, #, &, $, %) que

debe tener una contraseña.

v El número máximo de veces que puede repetirse un carácter en una contraseña.

v Si la contraseña puede incluir o no el ID de usuario en su serie.

v Si la contraseña puede empezar o acabar con un carácter numérico.

v El número mínimo de caracteres que debe tener la contraseña.

v El número mínimo de caracteres de la contraseña nueva que deben ser distintos

de los que había en la contraseña antigua. Esta configuración está inhabilitada

cuando el almacenamiento de datos persistente del servicio de directorio cifra las

contraseñas mediante un algoritmo de cifrado en un solo sentido, como el

algoritmo SHA (Secure Hash Algorithm).

v El número de contraseñas anteriores que no podrá reutilizar el usuario.

v La antigüedad máxima (en días) de la contraseña del usuario. Cuando la

contraseña alcanza esta antigüedad, hay que cambiarla para que pueda

producirse una conexión satisfactoria.

32 Lotus Mobile Connect Administrator’s Guide

v La antigüedad mínima (en días) que debe tener la contraseña del usuario para

que se pueda cambiar.

v El número de intentos de contraseña incorrecta antes de que se bloquee la

cuenta de usuario. Si se supera este número, se bloquea la cuenta y el usuario

no puede conectarse.

v Si el usuario tiene permiso para cambiar la contraseña.

v El número máximo de caracteres idénticos que pueden repetirse

consecutivamente.

v El número mínimo de caracteres que deben utilizarse de dos de los tres grupos

siguientes: letras mayúsculas y minúsculas, números o signos de puntuación y

caracteres especiales.

Cuando se instala el Connection Manager, la unidad organizativa Recursos

predeterminados proporciona dos políticas. La política de contraseñas sin

restricciones no contiene normas. También existe una política de contraseñas

moderadamente segura con un conjunto de restricciones de normas de contraseña.

Puede modificar la política predeterminada y especificar valores para todos o la

mayoría de usuarios editando las propiedades de la política de contraseñas.

Consulte el apartado “Edición de propiedades de recursos” en la página 101.

También puede crear políticas de contraseñas adicionales para satisfacer diferentes

conjuntos de requisitos. Consulte el apartado “Adición de recursos” en la página

105.

Su red

Antes de instalar y configurar el Connection Manager, debe planificar cómo desea

manejar varios aspectos de su funcionamiento:

v ¿Qué portadores o proveedores de red utilizará?

v Para cada MNC que defina en los servicios de acceso móvil, ¿qué modelo de

validación de cliente se necesita?

v ¿Qué jerarquía de unidad organizativa debe desarrollarse que represente la

infraestructura de la organización?

v ¿Cuántos gestores de conexiones instalados necesita para soportar el número de

usuarios que se conectarán simultáneamente?

v ¿Qué subred de direccionamiento IP utilizará para definir una MNI en los

servicios de acceso móvil? ¿Cuántas subredes necesita definir?

v ¿Qué opciones de seguridad implementará?

v ¿Cómo desea administrar los recursos inalámbricos?

v ¿Cuántos administradores necesita definir y qué listas de control de accesos

necesita asignar a cada ID de administrador?

v Si tiene la intención de utilizar la capa de sockets protegidos (SSL), obtenga los

certificados que utilizará.

En las secciones siguientes encontrará información que le ayudará a responder

estas preguntas.

Proveedores de redes inalámbricas

También conocidos como portadores, el Connection Manager soporta:

v Servicio de Mensajes Cortos (SMS)

– Especificación de Interfaz Abierta (OIS)

Capítulo 2. Planificación 33

– Radio Page America (RPA)

– Protocolo de Igual a Igual de Mensajes Cortos (SMPP)

– Protocolo Simple de Transporte de Correo (SMTP)

– Protocolo Simple de Paginación de Red (SNPP)

– Universal Computer Protocol (UCP)

– Protocolo de Transferencia de Comunicaciones Inalámbricas (WCTP)v Protocolo Simple de Transporte de Correo

v Protocolo Simple de Paginación de Red

v Redes Públicas de Radio por Paquetes

– DataTAC — La red de radio móvil compartida que proporciona protocolos de

Motorola para portadoras de red; por ejemplo:

- DataTAC 4000 (EE.UU.) Motient (antes Advanced Radio Data Information

Services (ARDIS))

- DataTAC 5000 (Europa)

- Modacom (Alemania)

- DataTAC 6000 (Asia)

- DataTAC/IP– Mobitex (mundial)

– Mobitex/IP (EE.UU.)

– Cellular Digital Packet Data de circuitos integrados (CS-CDPD)

– General Packet Radio Service (GPRS) basado en Global System for Mobile

(GSM) Communication

– Personal Digital Cellular Packet (PDC-P) (Japón)v Redes celulares

– Advanced Mobile Phone Service (AMPS) y Narrow-Band Advanced Mobile

Phone Service (N-AMPS)

– Code-Division Multiple Access (CDMA)

– Global System for Mobile (GSM) Communication

– Integrated Digital Enhanced Network (iDEN)

– Personal Communications Services 1900 (PCS)

– Personal Digital Cellular (PDC) (Japón)

– Personal Handyphone (PHS) (Japón)

– Time Division Multiple Access (TDMA)v Conexiones de acceso telefónico

– Dial/TCP

– Red Telefónica Conmutada (RTC) o POTS (Plain Old Telephone Service)

– RDSI (sólo AIX)

– Protocolo punto a punto (PPP)

– Conexiones RTC/RDSI con un servidor de módem, como por ejemplo 3Com

Total Control System (TCS)v Redes privadas por paquetes

– Dataradio

– DataTAC 3000 (Motorola Private Mobile Radio (PMR))

– ASTRO 25v 1xRTT

v eVDO

34 Lotus Mobile Connect Administrator’s Guide

v CDMA2000

v Cualquier red basada en IP

v Conexiones a Internet

– Conexiones de empresa

– Proveedor de servicios de Internet (ISP)

- Módem por cable

- Línea de suscriptores digitales (DSL)v LAN inalámbrica

– 802.11

Conexiones PPP nativas

Puede conectarse al Connection Manager desde cualquier dispositivo de acceso

telefónico que soporte el protocolo punto a punto (PPP), como se define en la RFC

1661. Con las conexiones PPP nativas, no se recibe la ventaja del cifrado o la

compresión, pero el dispositivo puede declararse y gestionarse como un

dispositivo portátil y las transacciones de la cuenta se anotan.

Asegúrese de que el cliente PPP nativo no habilita la compresión o el cifrado antes

de conectarse al Connection Manager. El Connection Manager proporciona

optimización de datos, como por ejemplo filtrar e impedir la retransmisión de

datos. Para autenticar los clientes PPP nativos, el Connection Manager utiliza el

protocolo de autenticación por contraseña (PAP) o el protocolo de autenticación

por negociación de solicitud (CHAP).

Almacenamiento de datos

La información que almacena y utiliza el Connection Manager incluye:

v La base de usuarios de propiedades y datos de cuenta. Existen varias

posibilidades para almacenar de forma persistente la base de usuarios. En el

apartado “Usuario” en la página 26 encontrará más detalles.

v La información de configuración está almacenada en:

– Un servidor de servicio de directorio compatible con LDAP versión 3.

– Una base de datos relacional (RDB) compatible con ODBC. Seleccione esta

opción si no dispone de un DSS o no desea instalarlo.

– Archivos almacenados en el sistema de archivos local. Seleccione esta opción

sólo si desea utilizar Connection Manager en un entorno de prueba de

concepto o un entorno de producción pequeño con menos de 100 usuarios.

Esta selección se realiza durante la configuración inicial del gestor de accesos.

v La información de sesión está almacenada en:

– Una base de datos relacional (RDB) compatible con ODBC.

– Archivos almacenados en el sistema de archivos local. Seleccione esta opción

sólo si desea utilizar Connection Manager en un entorno de prueba de

concepto o un entorno de producción pequeño con menos de 100 usuarios.v Información de contabilidad y facturación – se almacena en una base de datos

relacional o en un archivo y opcionalmente se envía a un servidor de

contabilidad RADIUS

Hay muchos factores que determinan la mejor opción de almacenamiento de datos

en su entorno de red.

Capítulo 2. Planificación 35

|

|

||

|||

|

||

Si desea utilizar Connection Manager en una instalación autónoma, como un

entorno de prueba de concepto o un entorno de producción pequeño con menos de

100 usuarios, todos los datos se pueden almacenar en archivos del sistema de

archivos local.

El uso de una RDB tiene ventajas como la fiabilidad, la auditoría de funciones, la

generación de informes y las opciones integradas de recuperación y copia de

seguridad. Es una opción viable para las empresas pequeñas o las grandes.

Si tiene un servicio de directorio empresarial existente compatible con el protocolo

LDAP (Lightweight Directory Access Protocol), puede utilizarlo para almacenar la

información de configuración y de la base de usuarios. Los entornos como un nodo

múltiple o las configuraciones de alta disponibilidad pueden sacar provecho del

servidor del servicio de directorio.

Información de configuración almacenada en un servidor de

servicios de directorio

La información de configuración acerca de los recursos inalámbricos se puede

almacenar en un servidor de servicio de directorio (DSS).

Cuando configure el gestor de accesos utilizando el Gatekeeper, se le solicitará que

defina el ID de usuario y contraseña del administrador DSS, la dirección IP y el

número de puerto del DSS.

También puede identificar un DSS alternativo que se utilizará si el DSS primario

no está disponible. Los tipos de DSS que deben proporcionar la función

redundante del DSS primario incluyen:

Réplica de sólo lectura

El DSS alternativo se configura como réplica. El DSS primario (maestro) se

configura para propagar actualizaciones al DSS alternativo (réplica). Si el

DSS primario no está disponible, el gestor de accesos recupera entradas del

DSS alternativo, pero no lo actualiza. El administrador DSS es responsable

de determinar la planificación de la réplica entre el DSS primario y

alternativo

Igual a igual

El Connection Manager actualiza el servidor primario, que se sincroniza

con el servidor alternativo. Si el servidor primario tiene una anomalía, el

Connection Manager utiliza el servidor alternativo y continúa utilizando

dicho servidor hasta que éste falla o bien hasta que se vuelve a establecer

la opción Servidor DSS activo en Primario.

El servicio de directorio puede residir en cualquier sistema principal conectado al

Connection Manager y puede contener información acerca de más de un

Connection Manager y red inalámbrica. Consulte el apartado “Requisitos de

software para el almacenamiento de datos persistente” en la página 55 para

obtener más información.

Información de configuración almacenada en una base de datos

relacional

La información de configuración sobre los recursos inalámbricos se puede

almacenar en una base de datos relacional compatible con ODBC, como IBM DB2

Universal Database.

Cuando configure el gestor de accesos utilizando el Gatekeeper, especifique el

nombre de la base de datos de información de configuración y el ID de usuario y

36 Lotus Mobile Connect Administrator’s Guide

||||

|||

|||||

|||||

||

la contraseña del administrador de base de datos. El gestor de accesos cifra la

contraseña antes de almacenarla con la configuración del Connection Manager.

Especifique también la ubicación de la base de datos o la dirección IP y el número

de puerto del servidor de base de datos remota.

Una base de datos relacional puede residir en cualquier sistema principal accesible

y puede almacenar información acerca de más de un Connection Manager.

Consulte el apartado “Requisitos de software para el almacenamiento de datos

persistente” en la página 55 para obtener más información.

Información de sesión almacenada en una base de datos

relacional

La información sobre los datos de la sesión se puede almacenar en una base de

datos relacional compatible con ODBC, como IBM DB2 Universal Database. Una

sesión consta de todas las actividades que tienen lugar durante el establecimiento,

mantenimiento y liberación de cualquier conexión con el Connection Manager.

Los servicios de mensajería requieren que se utilice una RDB compatible con

ODBC para almacenar los datos de la sesión.

Cuando configure el gestor de accesos utilizando el Gatekeeper, especifique el

nombre de la base de datos de información de sesión y el ID de usuario y la

contraseña del administrador de la base de datos. El gestor de accesos cifra la

contraseña antes de almacenarla con la configuración del Connection Manager.

Especifique también la ubicación de la base de datos o la dirección IP y el número

de puerto del servidor remoto de la base de datos.

Información de contabilidad y facturación almacenada en una

base de datos relacional

La información de contabilidad y facturación abarca los datos de sesión y de los

paquetes individuales. En este caso, los datos de paquetes consisten en información

acerca de paquetes IP individuales o mensajes SMS. Si desea utilizar una

herramienta de informe para auditar y ordenar los datos de sesión y generar

consultas para producir informes de utilización, configure el Connection Manager

para que utilice una base de datos relacional. Consulte el apartado “Esquema de

base de datos de contabilidad y facturación” en la página 149. Además, puede

configurar el Connection Manager para que envíe información de contabilidad y

facturación a servidores de contabilidad RADIUS.

La información de contabilidad y facturación se almacena en un sistema de

archivos local o en una base de datos relacional compatible con ODBC. El sistema

de contabilidad y facturación puede configurarse dinámicamente. Cuando se

cambian las opciones de configuración, el Connection Manager suspende la

conexión de contabilidad y facturación, procesa el cambio y luego reanuda la

conexión automáticamente. Los mensajes de error se informan al archivo de

anotaciones de mensajes del Connection Manager y, cuando Tivoli NetView está

instalado, a la estación de gestión de red.

El soporte para la base de datos relacional de contabilidad y facturación (wgacct)

puede instalarse por separado con el Connection Manager. Una base de datos

relacional puede residir en cualquier sistema principal conectado y puede

almacenar información acerca de más de un Connection Manager. Consulte el

apartado “Almacenamiento de base de datos utilizando una base de datos

relacional” en la página 56 para obtener más información.

Capítulo 2. Planificación 37

||||

||||

||

Cuando la información de contabilidad facturación se almacena en una base de

datos relacional, debe especificar el nombre de la base de datos y el ID de usuario

y la contraseña del administrador de la base de datos. El gestor de accesos cifra la

contraseña del administrador de la base de datos antes de almacenarla con la

configuración del de Connection Manager. Para instalaciones de DB2, el nombre de

la base de datos predeterminada es wgacct y también debe especificar la ubicación

de la base de datos o la dirección IP y el número de puerto del servidor de base de

datos remota.

Información de número de puerto

En este tema se ofrecen los números de puerto necesarios para que los utilice

Connection Manager e instrucciones sobre cómo cambiarlos.

Connection Manager y el gestor de accesos se instalan en la misma máquina y

necesitan un puerto para la comunicación con Gatekeeper.

9555 Comunicación entre Gatekeeper y el gestor de accesos

9559 Comunicación entre Gatekeeper y el gestor de accesos mediante SSL

Para cambiar estos números de puerto, actualice primero el archivo /etc/services y,

a continuación:

AIX Renueve el daemon inetd especificando refresh -s inetd.

Linux (utilizando el daemon xinetd)

Renueve el daemon inetd especificando kill -SIGUSR2 `ps -e | grep

xinetd | awk ’{print $1}’`.

Linux utilizando el daemon inetd) o Solaris

Renueve el daemon inetd especificando kill -HUP `ps -e | grep inetd |

awk ’{print $1}’`.

Existen otros puertos predeterminados en los que Connection Manager está a la

escucha. Para cambiar estos números de puerto, utilice Gatekeeper para editar las

propiedades de Connection Manager, de los servicios de acceso móvil o de los

servicios de mensajería.

Entre estos puertos se incluyen los siguientes:

Tabla 5. Puertos en los que Connection Manager está a la escucha

Número de

puerto y

protocolo

Componente que

utiliza

Direction Comentario

80 - TCP v Servicios de acceso

HTTP

v Servicios de acceso

móvil

Lado de Internet de

Connection Manager

desde los clientes HTTP

y lado de Intranet al

proxy HTTP

Depende de la

ubicación del servidor

de aplicaciones, web o

proxy HTTP

443 - TCP v Servicios de acceso

HTTP

v Servicios de acceso

móvil

Lado de Internet de

Connection Manager

desde los clientes HTTP

y lado de Intranet al

proxy HTTP

Depende de la

ubicación del servidor

de aplicaciones, web o

proxy HTTP

38 Lotus Mobile Connect Administrator’s Guide

|||

||

|||||

||||

||

Tabla 5. Puertos en los que Connection Manager está a la escucha (continuación)

Número de

puerto y

protocolo

Componente que

utiliza

Direction Comentario

1645 o 1812 -

UDP

Mensajes de

autenticación RADIUS

Bidireccional – Lado de

Intranet de Connection

Manager

Se utiliza

conjuntamente con el

discriminador de

dispositivos o con

servidores de

autenticación RADIUS

de terceros

1646 o 1813 -

UDP

Mensajes de

contabilidad RADIUS

Bidireccional – Lado de

Internet de Connection

Manager

Se utiliza

conjuntamente con el

discriminador de

dispositivos o con

servidores de

autenticación RADIUS

de terceros

9557 - TCP Connection Manager No hay implicación del

cortafuegos

Se utiliza entre

Connection Manager y

el programa de utilidad

wg_monitor

14356 - TCP Connection Manager Depende de la

ubicación de los nodos

subordinados - Si los

nodos están dentro del

DMZ, no hay

implicación del

cortafuegos; en caso

contrario, es el lado de

Intranet de Connection

Manager

El nodo subordinado

de un clúster está a la

escucha de las

solicitudes entrantes

procedentes de un

nodo principal -

inactivo de manera

predeterminada

8888 - UDP Servicios de acceso

móvil

Bidireccional Se utiliza entre Mobility

Client y Connection

Manager para cambiar

la contraseña de cliente

8889 - TCP y

UDP

Servicios de acceso

móvil

Bidireccional – Lado de

Internet e Intranet

Connection Manager, a

menos que se haya

establecido

específicamente para

enlazar a una dirección

IP de un lado o del otro

Recepción basada en IP

9551 - TCP Puerto de configuración

RPC

Bidireccional Connection Manager

escucha las solicitudes

de configuración

dinámicas y se protege

con autenticación

basada en RPC, como si

se utilizase portmap.

Capítulo 2. Planificación 39

|

|||||||||||

Tabla 5. Puertos en los que Connection Manager está a la escucha (continuación)

Número de

puerto y

protocolo

Componente que

utiliza

Direction Comentario

9553 - TCP Puerto de difusión RPC Bidireccional Connection Manager

escucha las solicitudes

de difusión dinámicas y

se protege con

autenticación basada en

RPC, como si se

utilizase portmap.

9610 - TCP Servicios de acceso

móvil

Bidireccional Receptor de solicitudes

de autenticación

RADIUS de terceros

desde Mobility Clients

13131 - TCP Servicios de Mensajería Bidireccional – Lado de

Intranet de Connection

Manager

Puerto de

envío/recepción para el

tráfico de API de los

servicios de mensajería

13132 - TCP Servicios de Mensajería Bidireccional – Lado de

Intranet de Connection

Manager

Puerto de

envío/recepción seguro

para el tráfico de API

de los servicios de

mensajería

Enviar paquetes de contabilidad a servidores RADIUS

Puede configurar el Connection Manager para que envíe paquetes de

activación/desactivación de contabilidad y de inicio/detención de contabilidad a

un servidor RADIUS a efectos de contabilidad y facturación para el tráfico IP y

WLP (protocolo de enlace inalámbrico optimizado). La información de

configuración consiste en una dirección IP y puerto para un servidor de

contabilidad RADIUS primario y secundario (opcional), además de un secreto

compartido de contabilidad RADIUS que el gestor de accesos cifra antes de

almacenarlo con la configuración del Connection Manager. Si el servidor RADIUS

primario no responde antes de tres segundos, el paquete vuelve a enviarse, hasta

un total de veces. El primer reintento utiliza un intervalo de tres segundos

mientras espera una respuesta del servidor RADIUS. El segundo reintento utiliza

un intervalo de nueve segundos mientras espera una respuesta del servidor

RADIUS. Si fallan los dos reintentos, el error se anota utilizando una ruptura de

gestión de red y el Connection Manager se conecta al servidor RADIUS

secundario. Se envía otra ruptura de gestión de red cuando ambos servidores

RADIUS no responden.

Cada paquete de solicitud de contabilidad RADIUS válido hace que el servidor

RADIUS envíe el correspondiente paquete de respuesta. Al concluir el Connection

Manager, se envía un paquete de desactivación de contabilidad pero el Connection

Manager no espera un paquete de respuesta del servidor RADIUS antes de

concluir. Cuando se inhabilita la configuración de contabilidad RADIUS durante la

operación normal, el paquete de desactivación de contabilidad se envía al servidor

RADIUS y el Connection Manager continúa procesando los paquetes de respuesta

y reintentando las solicitudes de paquetes que no han obtenido un acuse de recibo.

No se generan nuevos paquetes de solicitud mientras la configuración de

contabilidad RADIUS está inhabilitada.

40 Lotus Mobile Connect Administrator’s Guide

||||||||||

|

Capacidad y rendimiento

Hay varios factores que determinan el rendimiento general del Connection

Manager:

v Los recursos del sistema disponibles que están determinados por la memoria y

la potencia del sistema.

v Las demás aplicaciones que se ejecutan en el sistema.

v El número de usuarios que están conectados simultáneamente al Connection

Manager.

v El tipo y la cantidad de transacciones de aplicación que utilizan la conexión

inalámbrica.

Aunque el Connection Manager y el Gatekeeper pueden ejecutarse en la misma

máquina, es posible que se necesite más memoria y capacidad de proceso para

obtener el rendimiento deseado.

Además de las funciones de multiprocesador, se pueden configurar varios gestores

de conexiones como un clúster para distribuir la carga de entre ellos. Diseñados

como nodos principal y subordinado en un gestor de clústeres, mejoran el

rendimiento ya que distribuyen y dan servicio de forma eficiente a las solicitudes

de comunicación. Consulte el apartado “Gestor de clústeres” en la página 19 para

obtener más información.

Seguridad

El Connection Manager tiene varias formas de aplicar la seguridad de la red, de las

aplicaciones y de los datos. Existen varios tipos de opciones de seguridad:

Acceso

El proceso mediante el cual los usuarios de cada extremo de un enlace de

comunicación conocen la identidad del usuario del otro extremo se llama

autenticación. El mecanismo básico de autenticación consiste en la

presentación mutua de una clave secreta.

Los servicios de acceso móvil proporcionan automáticamente la

autenticación a los clientes Mobility. Además, puede conectar fácilmente

servidores RADIUS (Remote Authentication Dial-In User Service) de

terceros para proporcionar un acceso seguro.

Confidencialidad

Dado que el enlace de comunicación podría no ser privado, los datos

también deben cifrarse antes de ser enviados. El cifrado de datos ayuda a

impedir el acceso no autorizado a los mismos, transformándolos a un

formato ininteligible y, de esta forma, los datos originales no pueden leerse

o sólo pueden leerse mediante un proceso de descifrado. Los datos se

transforman en datos cifrados utilizando la clave de sesión que se

intercambia durante el proceso de autenticación. Los servicios de acceso

móvil proporcionan opcionalmente el cifrado a los clientes Mobility.

Autorización

La garantía que el usuario está autenticado y tiene permiso para acceder a

los datos. Una conexión SSL (capa de sockets protegidos) con el

Connection Manager asegura que el enlace de comunicación se accede

forma de segura, es confidencial y está autorizado.

Utilizar IPSec

Puede configurar el sistema operativo para que utilice IPsec con el fin de proteger

los datos transmitidos entre el Connection Manager y los servidores remotos o bien

entre los nodos de clúster. Por ejemplo, es posible que desee proteger la

Capítulo 2. Planificación 41

comunicación entre el Connection Manager y el almacenamiento de datos

persistente (servidores de servicios de directorio y servidores de bases de datos

relacionales), el proxy HTTP y software opcional, como por ejemplo los servidores

de autenticación o contabilidad RADIUS.

En AIX, asegúrese de que los conjuntos de archivos apropiados se instalan desde el

paquete de bonificación. Para obtener más información, consulte el Redbook

deIBM™ A Comprehensive Guide to Virtual Private Networks, Volume III: Cross-Platform

Key and Policy Management, SG24-5309.

Opciones de seguridad

La Figura 7 muestra las opciones configurables que están disponibles para aplicar

la seguridad de la red. La Tabla 6 describe las opciones y proporciona enlaces a la

información de planificación y configuración. Para entender mejor cómo puede

aplicar la seguridad de la red, utilice la Figura 7 con la Tabla 6.

Tabla 6. Referencia cruzada entre las opciones de seguridad y la información de planificación o configuración

Identificador en

la Figura 7

Descripción Información de planificación Para obtener información de

configuración, consulte

1 Conexión SSL (capa de sockets

protegidos) entre el navegador

web y el servidor de

aplicaciones seguro

No aplicable No aplicable; proporcionada

automáticamente por el

navegador web

Figura 7. Opciones de seguridad del Connection Manager

42 Lotus Mobile Connect Administrator’s Guide

Tabla 6. Referencia cruzada entre las opciones de seguridad y la información de planificación o

configuración (continuación)

Identificador en

la Figura 7 en la

página 42

Descripción Información de planificación Para obtener información de

configuración, consulte

2 Protocolo de enlace

inalámbrico optimizado

Consulte los apartados

“Autenticación entre los

servicios de acceso móvil y los

clientes Mobility” en la página

44 y “Cifrado entre los

servicios de acceso móvil y los

clientes Mobility” en la página

45

Proporcionada

automáticamente por la

conexión entre el Connection

Manager y el Mobility Client;

para configurar el tipo de

autenticación utilizado,

consulte el apartado

“Configuración de la

autenticación entre los

servicios de acceso móvil y el

Mobility Client” en la página

136

3 Conexión SSL entre el cliente

HTTP y los servicios de acceso

HTTP

Puede configurar las

conexiones de capa de sockets

protegidos para cada punto

final: el cliente HTTP y los

servicios de acceso HTTP. La

configuración de punto final

del cliente HTTP depende de

la implementación del

software de cliente y no se

explica en este documento.

“Configurar certificados SSL en

el Connection Manager” en la

página 88 con los servicios de

acceso HTTP

4 Servidor de autenticación

RADIUS, por enlace LDAP y

basada en certificados

Consulte el apartado

“Autenticación de terceros en

el Connection Manager” en la

página 46

“Utilizar perfiles de

autenticación RADIUS” en la

página 92

5 Conexión SSL entre el gestor

de accesos y el Gatekeeper

Consulte el apartado

“Autenticación y cifrado entre

el Gatekeeper y el gestor de

accesos” en la página 52

“Configurar certificados SSL

entre el Gatekeeper y el gestor

de accesos” en la página 89 y

“Añadir un perfil de inicio de

sesión seguro” en la página 91

6 Conexión SSL entre los

servicios de acceso HTTP y el

servidor de aplicaciones seguro

Puede configurar las

conexiones de capa de sockets

protegidos para cada punto

final: servicios de acceso HTTP

y servidores HTTP seguros.

“Configurar certificados SSL en

el Connection Manager” en la

página 88 con los servicios de

acceso HTTP

7 Conexión SSL entre los

servicios de acceso móvil y las

aplicaciones que utilizan las

API de push y de servicios de

mensajería

Consulte el apartado

“Autenticación y cifrado entre

los servicios de mensajería y

las aplicaciones que utilizan

las API de push y de servicios

de mensajería” en la página 52

“Configurar certificados SSL en

el Connection Manager” en la

página 88 y “Configuración de

los certificados SSL para las

aplicaciones de proceso de

mensajes” en la página 140

8 Conexión SSL entre gestores de

clústeres

Consulte el apartado

“Autenticación y cifrado entre

gestores de clústeres” en la

página 52

“Configurar certificados SSL en

el Connection Manager” en la

página 88, entre gestores de

conexiones de un clúster

Capítulo 2. Planificación 43

Tabla 6. Referencia cruzada entre las opciones de seguridad y la información de planificación o

configuración (continuación)

Identificador en

la Figura 7 en la

página 42

Descripción Información de planificación Para obtener información de

configuración, consulte

9 Conexión SSL entre el Mobility

Client y la MNC de HTTPS

Consulte los apartados

“Autenticación entre los

servicios de acceso móvil y los

clientes Mobility” y “Cifrado

entre los servicios de acceso

móvil y los clientes Mobility”

en la página 45

“Configurar certificados SSL en

el Connection Manager” en la

página 88 con los servicios de

acceso HTTP

Autenticación y cifrado

Es necesario un conjunto gestionado de certificados de clave pública, por lo

general emitido por una entidad emisora de certificados, para habilitar las

comunicaciones SSL. Los certificados raíz se almacenan en una base de datos de

claves y se protegen mediante una contraseña oculta. La capa de sockets

protegidos (SSL) utiliza la interfaz IBM Key Management para ofrecer las

siguientes alternativas al certificado de clave pública:

1. El servidor de red con el que está comunicándose tiene un certificado que

emite una autoridad de certificación conocida. En este caso, el certificado raíz

ya está en la base de datos de claves predeterminada.

Los certificados predeterminados incluyen los siguientes: VeriSign Class 3

Public Primary CA, VeriSign Class 2 Public Primary CA, VeriSign Class 1

Public Primary CA, RSA Secure Server CA, Thawte Personal Basic CA, VeriSign

Test CA Root Certificate, Thawte Personal Premium CA, Thawte Premium

Server CA, Thawte Server CA y Thawte Personal Freemail CA.

2. El servidor de red con el que está comunicándose tiene un certificado que

emite una autoridad de certificación desconocida. En este caso, cree una

solicitud de certificado, envíe la solicitud y reciba un certificado raíz que se

añade a una base de datos de claves.

3. El servidor de red con el que está comunicándose tiene un certificado

autofirmado creado por y para dicho servidor de red. En este caso, cree una

solicitud de certificado personal y añada un certificado raíz a la base de datos

de claves.

Al configurar conexiones SSL, utilice la interfaz IBM Key Management que se

suministra y se instala automáticamente con el Connection Manager y el

Gatekeeper.

Autenticación entre los servicios de acceso móvil y los clientes

Mobility

La autenticación es un prerrequisito para poder cifrar el enlace de comunicación

entre los servicios de acceso móvil y el Mobility Client. Los servicios de acceso

móvil utilizan un protocolo punto a punto (PPP) modificado que se llama

protocolo de enlace inalámbrico optimizado (WLP) para autenticar la conexión

entre ellos mismos y los clientes Mobility. Se configura un perfil de conexión y se

asigna a la MNC a través de la cual se conectan los clientes Mobility.

Puede configurar un perfil de conexión para que realice intercambios de claves que

utilizan:

44 Lotus Mobile Connect Administrator’s Guide

Protocolo de distribución de claves de una parte

El Mobility Client se autentica ante el Connection Manager utilizando una

contraseña.

Protocolo de distribución de claves de dos partes

El Connection Manager y los clientes Mobility autentican la contraseña del

otro. El Mobility Client valida que el Connection Manager tenga la

contraseña de cliente antes de enviar la contraseña al Connection Manager

Algoritmo de negociación de claves Diffie-Hellman

Tanto el Connection Manager como el Mobility Client tienen los medios

para calcular la misma clave.

Nota: Esta opción no realiza ninguna autenticación.

Algunos dispositivos tienen números de serie asociados al hardware que pueden

utilizarse para la identificación. Los usuarios que se conectan utilizando el Mobility

Client configurado para el intercambio de claves por contraseña pueden tener un

nivel adicional de seguridad aprovechando los identificadores de dispositivos. La

identificación de dispositivo no está soportada en todos los dispositivos y

plataformas de cliente. Cuando está disponible, la Ayuda del Mobility Client ->

Acerca se actualiza para visualizar el identificador de dispositivo. Si un usuario

está configurado para utilizar la identificación de dispositivo, el identificador

exclusivo se combina con la contraseña durante la autenticación. Para obtener más

información de configuración, consulte el tema: ″Utilizar la identificación de

dispositivo con los clientes Mobility″ en la ayuda en línea de Gatekeeper.

Para obtener información más detallada acerca del intercambio de claves del

Mobility Client, consulte el apartado “Conexión y perfiles de transporte” en la

página 122.

Cifrado entre los servicios de acceso móvil y los clientes

Mobility

Puede cambiar el tipo de cifrado utilizado para los datos transmitidos entre el

Mobility Client y el servicios de acceso móvil:

Estándar de cifrado avanzado (AES)

Una cifra de bloque basada en la publicación FIPS (Federal Information

Processing Standard) 197. Las potencias de clave de 128, 192 ó 256 son

configurables. La potencia de clave de 256 bits es el tipo de cifrado más

potente que soporta el Mobility Client.

Estándar de cifrado digital (DES)

Una cifra de bloque que ha sido un estándar de cifrado comercial en los

Estados Unidos durante muchos años.

El cifrado se negocia entre el Connection Manager y el Mobility Client cuando se

establece la sesión. El Connection Manager establece el nivel mínimo de cifrado. Si

el Mobility Client propone un nivel de cifrado superior al mínimo requerido por el

Connection Manager, se utilizará el nivel superior. Por ejemplo, cuando el Mobility

Client propone utilizar AES 256 y el Connection Manager tiene el valor mínimo

establecido en AES 128, se utiliza AES 256. Si el Mobility Client ofrece un nivel de

cifrado inferior al mínimo requerido por el Connection Manager, Connection

Manager fuerza al cliente hasta el nivel mínimo de manera automática.

Para utilizar un Connection Manager compatible con FIPS (Federal Information

Processing Standards) 140-2, utilice un entorno de sistema operativo homologado

por Common Criteria, como por ejemplo

Capítulo 2. Planificación 45

||

||||||||

v AIX 5L 5.2 que utiliza la opción de instalación Controlled Access Protection

Profile (CAPP) y Evaluation Assurance Level 4+ (EAL4+)

v AIX 5.2 con el Paquete de mantenimiento recomendado 5200-01

v Solaris 9 nivel de mantenimiento 08/03

A continuación, conecte los clientes Mobility en los sistemas operativos Microsoft

Windows utilizando el cifrado AES o DES. Si se aplica el mantenimiento, se

invalida la certificación FIPS de Common Criteria. Algunos niveles de

mantenimiento de sistema operativo están homologados como compatibles con

FIPS, como por ejemplo AIX 5.2 Nivel de mantenimiento 1. Para obtener una lista

completa de todos los sistemas operativos que están homologados, consulte

Midsize Systems under Certification Reports o National Information Assurance

Partnership.

Autenticación de terceros en el Connection Manager

Puede configurar perfiles de autenticación para:

v Autenticación de terceros RADIUS (Remote Authentication Dial-In User Service)

v autenticación por enlace LDAP

v Autenticación basada en certificados

Algunos proveedores de autenticación de terceros permiten que los usuarios

cambien sus contraseñas. Es posible que se visualice un diálogo de cambio

contraseña en el sistema del Mobility Client, pero la contraseña no puede

cambiarse.

Si configura un perfil de conexión para que utilice un intercambio de claves del

protocolo de distribución de claves de una o dos partes y especifica un perfil de

autenticación secundario para realizar una autenticación adicional, se necesitará

más tiempo para autenticar los clientes Mobility.

Tenga en cuenta que la conexión entre el Connection Manager y el Mobility Client

no está activa hasta que finaliza el proceso de autenticación. Los paquetes

transmitidos antes de la finalización del proceso de autenticación se descartan.

Tenga en cuenta que los clientes HTTP pueden conectarse utilizando la

autenticación ligera de terceros (LPTA) y el inicio de sesión único (SSO). Consulte

el apartado “Perfil de autenticación” en la página 30.

Autenticación de terceros mediante RADIUS: Puede configurar un perfil de

autenticación para proporcionar autenticación RADIUS (Remote Authentication

Dial-In User Service). Actuando en nombre de los Servicios de acceso HTTP o los

clientes Mobility conectados a éste, el Connection Manager dirige las solicitudes de

autenticación a un servidor RADIUS.

Aunque no formen parte de la especificación RFC RADIUS y no estén soportados

por el Connection Manager, algunos proveedores de software permiten que los

usuarios cambien sus contraseñas RADIUS. Por ejemplo, en el Mobility Client se

visualiza un diálogo de cambio de contraseña, pero la contraseña no puede

cambiarse.

Cuando un perfil de conexión está configurado para utilizar un algoritmo de

intercambio de claves basado en contraseña con un perfil de autenticación

secundario utilizando la autenticación RADIUS, se visualizan dos ventanas de

conexión en el Mobility Client; una para la autenticación del sistema del

Connection Manager y otra para el servidor RADIUS. Después de que los usuarios

46 Lotus Mobile Connect Administrator’s Guide

del Mobility Client inician una sesión utilizando la ventana Conectar, se visualiza

una segunda ventana para que puedan iniciar una sesión en el servidor RADIUS.

El ID de usuario y la contraseña utilizados en la ventana Autenticación de

certificado están definidos en el servidor RADIUS, aunque es posible que sean el

mismo ID de usuario y contraseña que se utilizan para la conexión con el

Connection Manager.

En función de los requisitos de seguridad, los usuarios pueden guardar los valores

de la ventana Conectar del Connection Manager entre sesiones de modo que sólo

visualizarán la ventana de inicio de sesión de autenticación de certificado. Si el ID

de usuario y la contraseña utilizados en el servidor RADIUS son el mismo ID de

usuario y contraseña que se han utilizado para establecer una conexión con el

Connection Manager, puede impedir que se visualice la ventana de conexión de

autenticación de certificado configurando el perfil de autenticación RADIUS para

que no se solicite al usuario un ID y una contraseña.

Cuando un perfil de conexión está configurado para utilizar un algoritmo de

intercambio de claves públicas con un perfil de autenticación secundario utilizando

la autenticación RADIUS, los usuarios pueden especificar el ID de usuario y la

contraseña del servidor RADIUS en la ventana Autenticación de certificado.

Los Servicios de acceso HTTP examinan las cabeceras HTTP para encontrar un ID

de usuario y una contraseña en cada solicitud. Si el ID de usuario y la contraseña

están disponibles en la solicitud, no se solicitan al usuario. En caso contrario,

cuando un cliente envía una solicitud, el Connection Manager solicita el ID de

usuario y la contraseña a la solicitud y espera a que el cliente los devuelva. Estas

credenciales se utilizan para realizar la autenticación RADIUS.

Al crear un perfil de autenticación RADIUS, identifique una lista de servidores

RADIUS a utilizar. Todos los servidores RADIUS de un único perfil de

autenticación deben utilizar el mismo secreto compartido y el mismo número de

puerto.

Autenticación de terceros por enlace LDAP: Puede configurar un perfil de

autenticación para utilizar una autenticación por enlace LDAP para los Servicios de

acceso HTTP o los perfil de conexións.

Los Servicios de acceso HTTP examinan las cabeceras HTTP para encontrar un ID

de usuario y una contraseña en cada solicitud. Si el ID de usuario y la contraseña

están disponibles en la solicitud, no se solicitan al usuario. En caso contrario,

cuando un cliente envía una solicitud, el Connection Manager solicita el ID de

usuario y la contraseña a la solicitud y espera a que el cliente los devuelva. Estas

credenciales se utilizan para realizar la autenticación por enlace LDAP.

Cuando un perfil de conexión está configurado para utilizar un algoritmo de

intercambio de claves basado en contraseña con un perfil de autenticación

secundario utilizando la autenticación por enlace LDAP, se visualizan dos ventanas

de conexión en el Mobility Client; una para la autenticación del sistema del

Connection Manager y otra para el servidor LDAP. Después de que los usuarios

del Mobility Client inician una sesión utilizando la ventana Conectar, se visualiza

una segunda ventana para que puedan iniciar una sesión en el servidor LDAP. El

ID de usuario y la contraseña utilizados en la ventana de conexión de LDAP están

definidos en el servidor LDAP, aunque es posible que sean el mismo ID de usuario

y contraseña que se utilizan para la conexión con el Connection Manager.

Capítulo 2. Planificación 47

En función de los requisitos de seguridad, los usuarios pueden guardar los valores

de la ventana Conectar entre sesiones de modo que sólo visualizarán la ventana de

inicio de sesión LDAP. Si el ID de usuario y la contraseña utilizados en el servidor

LDAP son el mismo ID de usuario y contraseña que se han utilizado para

establecer una conexión con el Connection Manager, puede impedir que se

visualice la ventana de conexión de LDAP configurando el perfil de autenticación

LDAP para que no se solicite al usuario un ID y una contraseña.

Cuando un perfil de conexión está configurado para utilizar un algoritmo de

intercambio de claves públicas con un perfil de autenticación secundario utilizando

la autenticación LDAP, los usuarios pueden especificar el ID de usuario y la

contraseña del servidor LDAP en la ventana Conectar.

Una vez que se ha validado la solicitud, este perfil de autenticación realiza una

búsqueda de servidor de servicios de directorio (DSS) utilizando un campo de

clave configurable. Después de que el DSS realiza una operación de enlace LDAP

para asociar el campo de clave a un nombre distinguido base, el cliente se

autentica.

Cuando cree un perfil de autenticación por enlace LDAP, especifique lo siguiente:

v Un nombre descriptivo

v Dirección IP y número de puerto de los servidores de servicios de directorio

v Tiempo máximo de inactividad que especifique cuánto tiempo debe mantenerse

conectado el DSS

v Campo de clave de usuario, como por ejemplo uid o correo, para determinar

qué campo se busca en el árbol de directorio

v Nombre distinguido base (DN base) que es la raíz o el sufijo del árbol de

directorio en el que empieza la búsqueda de recursos de autenticación de

clientes.

v Opcionalmente, puede proteger la conexión entre el DSS y el Connection

Manager utilizando la capa de sockets protegidos (SSL).

Autenticación de terceros mediante certificados: En los servicios de acceso móvil,

puede configurar un perfil de conexión para que utilice un perfil de autenticación

basada en certificados. Tenga en cuenta que sólo están soportados los certificados

RSA (Rivest-Shamir-Adleman).

Además de especificar un nombre descriptivo para el perfil, debe elegir cómo

solicita las credenciales al cliente el perfil de autenticación. Connection Manager

siempre verifica la firma digital y, de manera opcional, comprueba:

Caducidad

Todos los certificados tienen una fecha de emisión y una fecha de

caducidad. Connection Manager comprueba que la hora actual del sistema

está dentro del rango válido. Todas las horas se comparan en el uso

horario GMT.

Confianza y revocación

Puede comprobar la relación de confianza con el usuario mediante los

certificados de la autoridad de certificados (CA) almacenados en una base

de datos de claves. Identifique el nombre de archivo de la base de datos de

claves y el nombre de archivo de la contraseña oculta. Asismismo, para

comprobar que la CA no tenga certificados revocados, puede especificar un

directorio en el sistema de archivos local desde el que Connection Manager

48 Lotus Mobile Connect Administrator’s Guide

puede comprobar las listas de revocación de certificados (CRLs). Configure

un proceso para entregar CRL desde su autoridad de certificados a este

directorio de forma periódica.

Nota: No se da soporte al código de razón removeFromCRL de las

extensiones de entrada CRL de Delta. Para eliminar un certificado

de un CRL, emita una CRL de Delta y una base nueva que no

contenga el certificado no revocado.

Nombre de asunto

Elija entre verificar la clave de asunto con respecto a los atributos de

cuenta de usuario o bien la búsqueda de un servidor de directorios en su

empresa:

Atributos de la cuenta de usuario, en los que partes de la clave de asunto

de certificado coinciden con una parte del registro de usuario

almacenado en el servidor de servicio de directorio (DSS) de Connection

Manager

La clave de asunto se define como el campo de asunto de las credenciales

de certificado que se pasan al Connection Manager desde el Mobility

Client durante la autenticación. La cuenta de usuario se define como la

cuenta almacenada en formato X.500 en el servidor de servicios de

directorio (DSS) de Connection Manager.

Para cada atributo especificado en el campo La clave de usuario de

certificado coincide con la cadena, debe haber un atributo correspondiente

especificado en el campo La clave de asunto de certificado coincide con la

cadena. Cree una regla para especificar qué atributos se debe intentar que

coincidan. Separe cada regla con un punto y coma (;). Para extraer un

atributo de un tipo base como, por ejemplo, DN (nombre distinguido),

cualifique el tipo base desde su atributo con dos puntos (:). A continuación,

separe los argumentos individuales dentro del tipo base con una coma (,).

Ejemplos:

1. Supongamos que desea que coincida el DN completo y, si esto falla,

intentar el nombre común (CN) y, si esto falla, intentar los valores de

organización (O) y país (C) del DN.

La clave de usuario es dn; cn; dn:o, dn:c y la clave de asunto es dn;

dn:cn; dn:o, dn:c

Estos valores intentarán hacer que coincidan el DN de usuario

completo y el DN completo en la clave de asunto. Si esto falla, extraiga

el atributo CN del registro de usuarios y compárelo con el valor CN

extraído del DN en la clave de asunto. Si esto falla, extraiga los

atributos O y C del registro de usuarios y compárelos con los valores O

y C extraídos del DN en la clave de asunto, y si los valores O y C

coinciden, se otorga la autenticación.

2. Supongamos que desea que coincida sólo la dirección de correo

electrónico.

La clave de usuario es mail y la clave de asunto es dn:email

Estos valores intentarán hacer coincidir la dirección de correo

electrónico del usuario tal y como está almacenada en el DSS con la

parte del DN que es la dirección de correo electrónico en la clave de

asunto.

3. Supongamos que desea que coincidan la organización (o) y el país (c).

En este caso, la clave de usuario almacenada en el DSS utiliza el

convenio de componente de dominio (dc).

Capítulo 2. Planificación 49

||||

|||

||||

|||||

||||||||

|

|||

||

|||||||

||

|

||||

|||

La clave de usuario es dn:dc, dn:dc y la clave de asunto es dn:o, dn:c

Estos valores extraerán el valor o del DN de asunto y buscarán en el

DN de usuario un valor DC que coincida. Si se encuentra una

coincidencia, extraiga el valor c del DN de asunto y buscarán en el DN

de usuario un valor DC que coincida. Si los valores O y C coinciden, se

otorga la autenticación

Servidor de directorio, en el que se especifica el servidor de servicios de

directorio (DSS) de la empresa en el que se efectúa la búsqueda de la

clave de asunto de certificado

Si el DSS puede localizar el nombre distinguido (DN) de la clave de

asunto, la clave se autentica.

También puede especificar una serie de texto para utilizarla en el filtro de

búsqueda LDAP (lightweight directory access protocol), tal y como se

define en RFC 2254: “La representación de tipo serie de los filtros de

búsqueda de LDAP”. Esta serie de filtros ubica un DN de usuario del

atributo de asunto en el certificado. El atributo de asunto se sustituye en

esta serie de filtros siempre que se produce %s.

Como alternativa puede especificar si además de buscar la clave de asunto,

el registro de usuario que coincide con la clave de asunto se valida para

convertirse en un miembro de un grupo. Si selecciona esta opción, debe

especificar:

v Un lista delimitada por puntos y comas de nombres distinguidos (DN)

de grupos permitidos. Cuando el registro de usuario es miembro de uno

o más de los grupos especificados, la autenticación se realiza. Cuando el

registro de usuario no es miembro de uno de estos grupos, la

autenticación no se realiza correctamente.

v Una lista delimitada por puntos y comas de atributos de búsqueda.

v La modalidad de evaluación de pertenencia a grupo, especificar cómo se

determina la pertenencia como miembro en un grupo:

– Grupo a usuario

Seleccione esta opción para buscar los grupos permitidos y

determinar si contienen el usuario específico como miembro.

– Usuario a grupo

Seleccione esta opción para efectuar una búsqueda de los atributos de

usuario con el fin de establecer si el usuario es miembro de los

grupos permitidos. El atributo de búsqueda se recupera directamente

del nombre distinguido (DN) del asunto.

Si utiliza la modalidad de evaluación Usuario a grupo, puede

especificar si se realiza una búsqueda reiterada, de tal modo que si un

usuario es miembro de un grupo anidado bajo otro grupo, Connection

Manager debe determinar todos los grupos de los que el usuario es

miembro, incluidos los padres de los grupos anidados.

Algunas implementaciones LDAP tienen funciones de cálculo

reiterado implícito y otras no. Por ejemplo, IBM® Directory Server da

soporte a la función de búsqueda reiterada implícita cuando se utiliza

la modalidad de evaluación de Usuario a grupo. Aunque el servidor

Microsoft® Active Directory da soporte a la función de búsqueda

Usuario a grupo utilizando el atributo memberOf, este atributo lista

los grupos que hay debajo y no contiene la lista recurrente de

50 Lotus Mobile Connect Administrator’s Guide

|

|||||

|||

||

||||||

||||

|||||

|

||

|

||

|

||||

|||||

|||||||

predecesores anidados. Si ha seleccionado una modalidad de

evaluación de Usuario a grupo, asegúrese de seleccionar la búsqueda

anidada si la implementación de servidor no puede realizar la

búsqueda reiterada implícita.

Ejemplos:

1. Desea realizar una búsqueda de los atributos de usuario para

determinar si el usuario de miembro de los grupos permitidos. Está

utilizando un DSS de Microsoft Active Directory con una estructura de

grupo plana. Debe especificar estas propiedades en el separador de

autenticación basada en certificados:

v DN de grupos permitidos: cn=Connection Manager

Users,dc=ibm,dc=com

v Atributo de pertenencia como miembro: memberOf

v Modalidad de evaluación: Usuario a grupo

v Realizar una búsqueda de grupo anidado: inhabilitado

El DN de la clave de asunto de certificado es cn=Cathy

Johnson,cn=Users,dc=ibm,dc=com y genera una sola búsqueda con

estas características:

v Base: cn=Cathy Johnson,cn=Users,dc=ibm,dc=com

v Ámbito de aplicación: un nivel

v Atributos para recuperar: memberOf

Los resultados de la búsqueda podrían ser:

(“cn=Development,dc=ibm,dc=com”, “cn=Connection Manager

Users,dc=ibm,dc=com”) El DN del grupo permitido está en esta lista;

por lo tanto, la autenticación prosigue.

2. Desea efectuar una búsqueda de los grupos permitidos para determinar

si contienen el usuario específico como miembro. Utiliza un DSS

OpenLDAP. Debe especificar estas propiedades en el separador de

autenticación basada en certificados:

v DN de grupos permitidos: cn=Connection Manager

Users,dc=ibm,dc=com

v Atributo de pertenencia como miembro: uniqueMember

v Modalidad de evaluación: Grupo a usuario

El DN de la clave de asunto de certificado es uid=cathy,dc=ibm,dc=com

y genera una sola búsqueda con estas características:

v Base: dc=ibm,dc=com (del objeto de definición del servidor de

directorios)

v Filtro: (uniqueMember=uid=cathy,dc=ibm,dc=com)

v Ámbito: subárbol Atributos para recuperar: dn

Los resultados de la búsqueda podrían ser: cn=Connection Manager

Users,dc=ibm,dc=com, y este resultado coincide con uno de los grupos

permitidos, por lo que la autenticación continúa.

Cuando un perfil de conexión está configurado para utilizar un algoritmo de

intercambio de claves basado en contraseña con un perfil de autenticación

secundario utilizando la autenticación de certificados, se visualizan dos ventanas

de conexión en el Mobility Client; una para la autenticación del sistema del

Connection Manager y otra para el certificado. Después de que los usuarios del

Mobility Client inician una sesión utilizando la ventana Conectar, se visualiza una

segunda ventana para que puedan especificar el certificado y la contraseña. En

Capítulo 2. Planificación 51

||||

|

|||||

||

|

|

|

|||

|

|

|

||||

||||

||

|

|

||

||

|

|

|||

|||||||

función de los requisitos de seguridad, los usuarios pueden guardar los valores de

la ventana entre sesiones, de modo que sólo aparecerá la ventana de certificados o

no habrá ninguna solicitud.

Cuando un perfil de conexión está configurado para utilizar un algoritmo de

intercambio de claves públicas con un perfil de autenticación secundario utilizando

la autenticación de certificados, los usuarios deben configurar el cliente para que

no solicite un ID de usuario y contraseña en la ventana Conectar.

Autenticación y cifrado entre los servicios de mensajería y las

aplicaciones que utilizan las API de push y de servicios de

mensajería

Puede configurar los servicios de mensajería para que utilicen las comunicaciones

SSL (capa de sockets protegidos) entre ellos mismos y los servidores de proceso de

mensajes o iniciadores de push para servir el contenido seguro a los clientes de

mensajería. Cuando un cliente de mensajería necesita realizar una solicitud segura

a un servidor web, los servicios de mensajería decodifican la solicitud y abren una

conexión SSL en nombre del cliente.

Emitido por una autoridad de certificación, un conjunto gestionado de certificados

de clave pública se instala en una base de datos de claves predeterminada para

que las aplicaciones que utilizan las API de push y de servicios de mensajería

puedan habilitar la negociación de la comunicación SSL entre los servicios de

mensajería y un servidor web seguro. La base de datos de claves predeterminada

(ppg.trusted.kdb) es distinta de las otras bases de datos de claves.

Autenticación y cifrado entre el Gatekeeper y el gestor de

accesos

El Gatekeeper se comunica con el gestor de accesos abriendo un socket en el que la

comunicación de datos entre los dos puntos finales no está cifrada. Para autenticar

y cifrar esta conexión, puede habilitar las comunicaciones SSL (capa de sockets

protegidos) en cada uno de los dos puntos finales, haciendo que la conexión sea

segura.

Emitido por una autoridad de certificación, un conjunto gestionado de certificados

de clave pública se instala en una base de datos de claves predeterminada en el

punto final del gestor de accesos seguro y también en el punto final del

Gatekeeper para habilitar la negociación de la comunicación SSL. La base de datos

de claves predeterminada (wgmgrsd.trusted.kdb) es distinta de las otras bases de

datos de claves.

Puede forzar las conexiones remotas del Gatekeeper a utilizar una conexión SSL.

Cuando un administrador inicia una sesión remotamente en el Gatekeeper, si las

propiedades del gestor de accesos están configuradas, sólo se aceptan las

conexiones remotas que utilizan SSL. Edite las propiedades del gestor de accesos

en el separador Seguridad para establecer esta configuración. Consulte el apartado

“Edición de propiedades de recursos” en la página 101.

Autenticación y cifrado entre gestores de clústeres

Puede configurar el Connection Manager para que utilice las comunicaciones SSL

(capa de sockets protegidos) entre gestores de clústeres para proteger la

comunicación internodo.

Emitido por una autoridad de certificación, un conjunto gestionado de certificados

de clave pública se instala en una base de datos de claves para que el gestor de

52 Lotus Mobile Connect Administrator’s Guide

|||

||||

accesos pueda habilitar la negociación de la comunicación SSL entre los gestores de

clústeres. La base de datos de claves (cm.trusted.kdb) es distinta de las otras bases

de datos de claves.

Acceso de administrador

Gatekeeper autentica a quien utiliza la interfaz exigiendo un ID de administrador y

una contraseña. Con el Gatekeeper, puede organizar los recursos inalámbricos en

OU y, a continuación, especificar los tipos de accesos que tiene cada administrador

para cada tipo de recurso de cada OU.

Por ejemplo, puede agrupar los usuarios geográficamente y dar a los

administradores acceso sólo a los usuarios de determinadas ubicaciones. Podría

asignar un administrador para que trabaje con dispositivos portátiles y otro para

que trabaje con las MNC. Al planificar la estructura organizativa de los recursos,

puede dar a los administradores mucho o poco acceso y capacidad como desee.

Si no desea utilizar las OU para controlar el acceso a los recursos inalámbricos,

puede definir todos los recursos en la OU raíz, que se crea la primera vez que

inicia una sesión en el gestor de accesos.

Cuando inicie una sesión en el Gatekeeper como administrador predeterminado

del Connection Manager (gkadmin), tendrá Todo el acceso a todos los tipos de

recursos de todas las OU. Puede crear administradores con distinto acceso a

diferentes tipos de recursos. Debe definir al menos un administrador que no sea el

administrador predeterminado.

Puede especificar si el administrador predeterminado (gkadmin) puede iniciar una

sesión de manera remota en el gestor de accesos utilizando el Gatekeeper. Para

impedir el acceso remoto del administrador predeterminado, edite las propiedades

del gestor de accesos en el separador Seguridad. Consulte el apartado “Edición de

propiedades de recursos” en la página 101.

Nota: Los usuarios de AIX, Linux y Solaris que inician la sesión utilizando el ID

raíz del sistema operativo tienen el mismo acceso a los recursos que el

administrador predeterminado, incluido el acceso remoto.

Capítulo 2. Planificación 53

|||||

|||||

|||

54 Lotus Mobile Connect Administrator’s Guide

Capítulo 3. Antes de la instalación

Las tareas previas a la instalación incluyen cumplir los requisitos de hardware y

software, configurar el software de la base de datos y asegurarse de que la

conexión de red que desee desplegar esté instalada.

Nota: Connection Manager versión 6.1 se puede instalar directamente en un

release anterior a la versión 5.

Software obligatorio

La lista de requisitos detallados del sistema sólo se encuentra disponible en línea.

Consulte los apartados siguientes:

v Requisitos detallados del sistema

v Requisitos de hardware

v Requisitos de los sistemas operativos con soporte

v Lista de software soportado

Requisitos de software para el almacenamiento de datos

persistente

Para realizar un despliegue de más de 100 usuarios, el Connection Manager

requiere almacenamiento de los datos de sesión en una base de datos relacional

ODBC (Open Database Connectivity). También puede utilizar un servicio de

directorio utilizando la base de datos LDAP (Lightweight Directory Access

Protocol) para almacenar la información de configuración.

Almacenamiento de base de datos utilizando un servicio de

directorio

Para almacenar la información de configuración de sus recursos, puede utilizar un

servicio de directorio que utilice una de las bases de datos LDAP (Lightweight

Directory Access Protocol), tal y como se describe en Lista de software con soporte.

Tenga en cuenta que puede ejecutar la autenticación secundaria por enlace LDAP

utilizando cualquier servidor compatible con LDAP versión 3.

Integrar el Connection Manager con los esquemas LDAP existentes: Si la

infraestructura de red ya incluye un servicio de directorio, es posible que desee

ampliar el esquema LDAP para incluir el Connection Manager o sólo las cuentas

de usuario del Mobility Client. Este procedimiento se realiza después de instalar el

Connection Manager y antes de iniciar por primera vez el Gatekeeper.

1. Determine si desea ampliar el esquema LDAP para incluir datos de cuentas de

usuario o todos los recursos del Connection Manager.

2. Examine el directorio de configuración de instalación del Connection Manager.

En AIX y Solaris, es /opt/IBM/ConnectionManager/conf y en Linux, es

/opt/ibm/ConnectionManager/conf. Busque los archivos de configuración que

coinciden con el servicio de directorio que tiene instalado.

IBM Tivoli Directory

Para las cuentas de usuario: ibm-cm.wluser.ldif. Para todos los recursos

del Connection Manager: ibm-cm.ldif.

55

||

Sun ONE Directory Server (antes iPlanet)

Para las cuentas de usuario: iplanet-cm.wluser.ldif. Para todos los

recursos del Connection Manager: iplanet-cm.ldif.

Red Hat Directory

Para las cuentas de usuario: netscape-cm.wluser.at.conf y

netscape-cm.wluser.oc.conf. Para todos los recursos del Connection

Manager: netscape-cm.at.conf y netscape-cm.oc.conf.

OpenLDAP

Para las cuentas de usuario: open-cm.wluser.conf. Para todos los

recursos del Connection Manager: open-cm.conf.

Examine cuidadosamente el contenido del archivo para asegurarse de que este

esquema puede coexistir satisfactoriamente con la instalación existente. Busque

en el esquema todo lo que podría solaparse o colisionar con lo que ya tiene

definido en el árbol de directorio.

3. Utilice el mandato ldapmodify para ampliar el esquema. Por ejemplo, al

ejecutar IBM Directory desde un sistema que está en la misma red que la

instalación del servicio de directorio existente, especifique lo siguiente:

ldapmodify -f archivo -D dn enlace -w contraseña -h sistemaprincipal -c

donde

archivo es el archivo de configuración que coincide con el servicio de directorio

que ha instalado

dn enlace

es el nombre distinguido (dn) del administrador que tiene la

autorización de ampliación de esquema para el servicio de directorio.

Por ejemplo, cn=root.

contraseña

es la contraseña del administrador

sistemaprincipal

es el nombre de sistema principal del servidor de servicios de directorio4. Busque el archivo slapd.errors y examínelo para determinar si se han

producido errores como consecuencia de la ampliación del esquema. Por

ejemplo, en un sistema AIX que ejecuta IBM, este archivo se encuentra en el

directorio /tmp/.

5. Opcionalmente, cree un ID de administrador de servicio de directorio que

tenga los permisos ACL (lista de control de accesos) apropiados para utilizar

con los objetos y atributos del Connection Manager. Asegúrese de que el acceso

incluye autorización de lectura, escritura y modificación.

6. Inicie el Gatekeeper y configure el gestor de accesos para utilizar el nombre

distinguido y la contraseña del administrador que ha creado en el paso

anterior.

Almacenamiento de base de datos utilizando una base de datos

relacional

Para almacenar la información de sesión y, opcionalmente, para la información de

configuración o de contabilidad y facturación, instale cualquiera de los siguientes

clientes y un servidor que le dé servicio, tal y como se describe en el apartado

Lista de software soportado.

56 Lotus Mobile Connect Administrator’s Guide

Antes de instalar el Connection Manager, asegúrese de que el cliente de tiempo de

ejecución de la base de datos relacional (si es necesario, consulte la información

sobre DataDirect Connect 5.1 y el controlador de Oracle Wire Protocol) está

instalado en la misma máquina.

Si configura varios gestores de conexiones para que utilicen el mismo servidor de

bases de datos relacionales y diferentes servidores de servicios de directorio,

asegúrese de que cada Connection Manager utiliza un nombre de base de datos

relacional distinto.

Para DB2, instale el cliente de tiempo de ejecución DB2 en la máquina del

Connection Manager. Consulte el apartado “Configuración de DB2” en la página

75.

El Connection Manager comprueba si hay una versión soportada de DB2 antes de

comprobar si existe una versión soportada de Oracle. Si tanto DB2 como Oracle

están instalados en la máquina, DB2 se utiliza de manera predeterminada cuando

la versión es 8.1 o posterior.

Consulte el apartado “Almacenamiento de datos” en la página 35 para obtener

información sobre cómo distinguir entre la información de sesión y la información

de contabilidad y facturación.

Consulte el apartado “Esquema de base de datos de contabilidad y facturación” en

la página 149 para obtener información sobre cómo configurar una base de datos

que se utilizará con las herramientas de informe y auditoría.

Buscar una versión soportada de Oracle: Durante la instalación en AIX, Linux o

Solaris, Connection Manager comprueba si hay una versión soportada del cliente

Oracle. Para realizar la comprobación, Connection Manager primero busca en el

entorno una variable ORACLE_BASE y, si se encuentra, utiliza el valor de

ORACLE_BASE. Connection Manager busca en el directorio indicado por

ORACLE_BASE un directorio de release de Oracle (por ejemplo, 9.0.1) para

determinar si está disponible una versión soportada de Oracle.

Cuando la variable ORACLE_BASE no está establecida, la instalación de

Connection Manager busca un archivo llamado oraInst.loc que crea el programa de

instalación de Oracle. En AIX y Linux, este archivo se encuentra en

/etc/oraInst.loc. En Solaris, este archivo se encuentra en /var/opt/oracle/oraInst.loc. El archivo oraInst.loc contiene entradas como las siguientes:

v inventory_loc=/u01/app/oracle/oraInventory

v inst_group=oinstall

Si se encuentra el archivo, Connection Manager toma el valor de inventory_loc y

busca en el directorio $inventory_loc/../product/ un directorio de release de

Oracle (por ejemplo, 9.0.1) para determinar si está disponible una versión

soportada de Oracle. En el archivo de ejemplo anterior, Connection Manager

buscaría en /u01/app/oracle/oraInventory/../product/ un directorio de release

de Oracle (por ejemplo, 9.0.1).

Finalmente, si no se encuentra un cliente Oracle, el Connection Manager

comprueba el archivo /opt/odbc/odbc.ini. Si este archivo existe, el Connection

Manager supone que DataDirect Connect está instalado y que se accederá a las

bases de datos del Connection Manager utilizando la modalidad de Oracle Wire

Protocol. La característica Oracle Wire Protocol de DataDirect Connect proporciona

una forma de acceder a una base de datos Oracle sin el cliente Oracle.

Capítulo 3. Antes de la instalación 57

Anotaciones de la instalación

Al instalar componentes, algunos sistemas operativos proporcionan un método

para anotar las actividades y los resultados de la instalación con indicaciones de la

hora apropiadas.

AIX Utilice el archivo smit.log del directorio inicial para leer los resultados de

la instalación. Debe tener permiso de escritura para el directorio inicial o

bien el archivo smit.log no se creará. SMIT no sobrescribe el archivo

smit.log y el archivo se añade cuando es posible.

Linux - Connection Manager

Como parámetro adicional del script install_wg, adjunte 2>&1 | tee

myfile.log, donde myfile.log es una vía de acceso y archivo que se elige para

registrar la instalación.

Linux - Gatekeeper

Como parámetro adicional del mandato rpm, adjunte 2>&1 | tee myfile.log,

donde myfile.log es una vía de acceso y archivo seleccionado para registrar

la instalación.

Linux - Mobility Client

Como parámetro adicional del script install_wc, adjunte 2>&1 | tee

myfile.log, donde myfile.log es una vía de acceso y archivo seleccionado para

registrar la instalación.

Solaris

Como parámetro adicional del mandato pkgadd, adjunte 2>&1 | tee

myfile.log, donde myfile.log es una vía de acceso y archivo seleccionado para

registrar la instalación.

Windows - Gatekeeper

La instalación coloca un archivo denominado gkInstallLog.txt en el

directorio de instalación.

Requisitos de hardware del proveedor de red

En función de los proveedores de red a los que desee dar soporte, es posible que

necesite el siguiente hardware y acceso a red:

v Se necesita una tarjeta X.25 si conecta el Connection Manager en AIX a

cualquiera de las siguientes redes y no utiliza una conexión TCP:

– Motient-X.25

– DataTAC-5000

– Mobitex

– Modacom-SCR

– UCP/EMI que utiliza X.25

– SMPP que utiliza X.25

Nota: Si se conecta a cualquiera de estas redes utilizando una conexión TCP, y

no a través de X.25, no necesita una tarjeta de coprocesador X.25.

v Adaptador asíncrono y módem si conecta el Connection Manager a una red

celular de circuitos conmutados utilizando la comunicación RS232, como por

ejemplo RTC, GSM o AMPS.

v Es necesario un adaptador LAN si conecte Connection Manager a cualquiera de

las siguientes redes:

– Una pasarela de red de radio (RNG) de una red de radio DataTAC-TCP,

Mobitex-TCP o RNC3000.

– Un controlador multisitio (MSC) para la red Dataradio

58 Lotus Mobile Connect Administrator’s Guide

|||

– Otros proveedores de red, como un protocolo simple de transferencia de

correo (SMTP) o un proveedor de red SNPP desde los cuales los datos se

dirigen a Connection Manager a través de Internet o de otro tipo de conexión,

como frame relay

Asegúrese de que la conexión de red y el sistema del proveedor de red estén

completamente operativos antes de iniciar Connection Manager.

Determinar el almacenamiento virtual necesario

El almacenamiento virtual es la suma de RAM y el espacio de paginación en el

almacenamiento en disco. Cuanto más almacenamiento virtual pueda asignar al

Connection Manager y al gestor de accesos, mayor será su rendimiento.

v Se requieren aproximadamente 15 MB de almacenamiento virtual para el primer

Gatekeeper que se conecta al gestor de accesos y 5 MB para cada Gatekeeper

que se conecte a continuación.

v Se requieren aproximadamente 35 KB de almacenamiento virtual para cada

usuario o dispositivo portátil conectado.

Determinar el espacio en disco necesario

Para cada paquete transmitido entre los servicios de acceso móvil y un Mobility

Client o dispositivo portátil, puede generarse un registro de contabilidad de 24

bytes. En una prueba de campo, una cuenta activa típica produjo 250–500 paquetes

por día, dando como resultado un total de 6–12 KB de espacio en disco necesarios

por Mobility Client o dispositivo portátil al día.

También se necesita espacio en disco de tiempo de ejecución adicional para las

anotaciones ampliadas de eventos internos al Connection Manager. Estas

anotaciones adicionales pueden consumir megabytes de espacio en disco en pocos

minutos. Una configuración estándar que sólo anota errores y avisos podría añadir

varios kilobytes al archivo de anotaciones por semana. Para obtener más

información sobre anotaciones, consulte el apartado “Visualización de las

anotaciones del Connection Manager” en la página 105.

Asegurar almacenamiento suficiente para anotaciones en

sistemas basados en UNIX

Para asegurar que hay espacio suficiente para almacenar los archivos de

anotaciones, inicie una sesión como usuario raíz para determinar y establecer el

espacio libre en el sistema de archivos de las anotaciones. El sistema de archivos

predeterminado es /var.

Para determinar la cantidad de espacio libre y asignar almacenamiento suficiente

para instalar y ejecutar el Connection Manager, en una línea de mandatos

especifique:

df -k /<var>

donde <var> es el sistema de archivos de las anotaciones.

La columna Free muestra el espacio libre disponible. La cantidad mostrada es el

número de bloques de 1024 bytes disponibles. 2048 bloques forman 2 MB de

almacenamiento.

Capítulo 3. Antes de la instalación 59

Si el valor Free es inferior a 65536, la cantidad total de espacio libre es menor que

32 MB. Reste 65536 menos el valor Free para determinar cuántos bloques deben

añadirse.

En AIX, utilice el siguiente mandato para aumentar el espacio libre:

# chfs -a size=+número_de_bloques_de_512_bytes /var

Por ejemplo, para aumentar el espacio libre en 4 MB, especifique:

# chfs -a size=+8192 /var

Conectividad de red para el Connection Manager

Para configurar TCP/IP para el sistema, debe obtener la siguiente información de

IP y red para definir el Connection Manager como nodo local:

v Nombre de sistema principal

v Dirección IP

v Máscara de red

v Dirección IP del servidor de nombres (opcional)

v Nombre de dominio del servidor de nombres (opcional)

v Dirección de la pasarela predeterminada

v Tipo de interfaz de red (Ethernet, IEEE 802.3 o Token Ring)

Asegúrese de que esta información de IP y red está especificada en el sistema

operativo.

En un sistema Linux, asegúrese de que inetd o xinetd esté ejecutándose y que el

correlacionador de puertos esté ejecutándose.

Instalar y configurar el soporte de X.25

Para el soporte de X.25 en AIX versión 5.1, se necesita el siguiente software:

v AIXlink 1.1.5.0 o posterior

– Entorno de ejecución AIXlink/X.25

– Soporte de servidor AIXlink/X.25

– Interfaz de programación de red (NPI) de AIXlink/X.25

Para el soporte de X.25 en AIX versión 5.2 o AIX 5.3, se necesita soporte de

AIXlink versión 2.0.1.

Utilice conexiones X.25 entre el Connection Manager y una pasarela de red de

radio (RNG) o el centro de servicio de mensajes cortos (SMS-C) de las siguientes

redes:

v Motient

v DataTAC-SCR

v Mobitex

v Modacom-SCR

v UCP/EMI

v SMPP

Para configurar la conectividad de X.25:

1. Instale y configure la tarjeta X.25.

2. Instale y configure el controlador de dispositivo para cada tarjeta instalada.

60 Lotus Mobile Connect Administrator’s Guide

3. Verifique la instalación de software y hardware, y luego pruebe la red X.25 para

asegurar una conectividad correcta.

Capítulo 3. Antes de la instalación 61

62 Lotus Mobile Connect Administrator’s Guide

Capítulo 4. Instalación y configuración inicial

Utilice la lista de comprobación de la instalación para buscar los procedimientos

que le harán asegurarse de que ha instalado completamente el soporte del

proveedor de red y Lotus Mobile Connect.

Lista de comprobación de la instalación

__ 1. Cumpla los requisitos de hardware y software de los componentes.

__ 2. Para el almacenamiento persistente de los datos de sesión, instale el

soporte de bases de datos relacionales o planifique el almacenamiento de

los datos de la sesión con el sistema de archivos local.

Para instalar el soporte de bases de datos relacionales, consulte el apartado:

v “Configuración de DB2” en la página 75.

v “Configurar Oracle” en la página 76.__ 3. Para el almacenamiento persistente de la información de configuración,

planifique el almacenamiento de los datos de configuración utilizando el

mismo método que seleccionó para almacenar los datos de sesión, o utilice

LDAP (Lightweight Directory Access Protocol) e instale un servidor de

servicios de directorio (DSS). Consulte los apartados siguientes:

v “Configurar IBM Directory” en la página 70

v “Configuración de Red Hat Directory” en la página 71

v “Configurar Sun ONE Directory Server” en la página 72

v “Configurar OpenLDAP” en la página 72__ 4. Asegúrese de que TCP/IP está configurado en el sistema. Consulte el

apartado “Conectividad de red para el Connection Manager” en la página

60.

__ 5. Asegúrese de que el software, el puerto físico y los controladores de línea

para las conexiones de red que desea desplegar estén correctamente

instalados. Para línea serie multilínea, o adaptadores de LAN, utilice las

instrucciones de instalación del fabricante.

__ 6. Instale y configure IBM Tivoli License Manager (ITLM) y asegúrese de que

este componente puede supervisar el proceso del Connection Manager.

Tenga en cuenta que ITLM no está disponible en todos los sistemas

operativos. Por ejemplo, ITLM versión 2.1 sólo da soporte limitado de

Linux y una versión específica de kernel. Consulte IBM Tivoli License

Manager Support.

__ 7. Instale el Gatekeeper. Consulte el apartado “Instalar el Gatekeeper” en la

página 64.

__ 8. Instale el Connection Manager. Consulte el apartado “Instalar el

Connection Manager” en la página 68.

Nota: Si instala el Connection Manager, debe instalar también la solución

IBM Support Assistant (ISA) for IBM Lotus Mobile Connect. Puede

obtener el paquete de software del programa de utilidad ISA en el

sitio web de IBM Support Assistant.

__ 9. Consulte el apartado “Seguridad” en la página 41 para revisar las opciones

de seguridad y, a continuación, determine si desea utilizar una conexión

segura:

63

|||

|

|

|

|||||

|

|

|

|

v Entre el Connection Manager y los servidores web seguros

v Entre los servicios de mensajería y las aplicaciones que utilizan las API

de push y de servicios de mensajería

v Entre gestores de clústeres

En caso afirmativo, instale los certificados de clave para habilitar la

comunicación SSL. Consulte el apartado “Habilitar la comunicación

segura” en la página 88.

__ 10. Si tiene la intención de utilizar una conexión segura entre el Gatekeeper y

el gestor de accesos, cree un perfil de inicio de sesión seguro. En caso

contrario, cree un perfil de inicio de sesión. Inicie el Gatekeeper y configure

el gestor de accesos. Consulte el apartado “Configurar el gestor de accesos”

en la página 77.

__ 11. Determine si utilizará servidores RADIUS para la autenticación de terceros

o para fines de contabilidad y facturación. Si es así, configure los servidores

RADIUS. Consulte el apartado “Utilizar servidores RADIUS” en la página

92 para obtener más información.

__ 12. Determine qué componentes desea configurar. Si desea utilizar los servicios

de acceso móvil y los clientes Mobility, consulte la Guía del usuario de

Mobility Client para los sistemas operativos que utilizarán los clientes.

__ 13. Instalación completa. Para obtener información sobre cómo configurar el

Connection Manager, consulte el apartado Capítulo 5, “Configuración de

recursos”, en la página 81.

Instalar el Gatekeeper

El Gatekeeper puede instalarse en el mismo sistema que el Connection Manager y

el gestor de accesos o en otro sistema. La primera vez que inicie el Gatekeeper,

asegúrese de iniciar sesión en el sistema del gestor de accesos utilizando el ID y la

contraseña del administrador gkadmin. Este ID de administrador predeterminado

tiene acceso de superusuario. Una vez que haya instalado satisfactoriamente el

Gatekeeper, puede crear nuevos ID de administrador distintos de gkadmin.

Puede instalar el Gatekeeper en cualquiera de los sistemas operativos que aparecen

en Requisitos de los sistemas operativos con soporte con protocolo TCP/IP

instalado:

Si Gatekeeper se ejecuta en sistemas UNIX, instale Netscape, Mozilla, Konqueror,

Epiphany, Galeon o 11mlview.

El Gatekeeper puede instalarse en varios sistemas operativos. Consulte los

apartados siguientes:

v “Instalar el Gatekeeper en AIX”

v “Instalar el Gatekeeper en Windows” en la página 67

v “Instalar el Gatekeeper en Solaris” en la página 66

v “Instalar el Gatekeeper en Linux” en la página 65

Instalar el Gatekeeper en AIX

La vía de acceso del archivo en el CD 1 de instalación es: /usr/sys/inst.images/wgcfg.

1. Inicie una sesión como usuario raíz en el sistema donde desea instalar el

Gatekeeper.

64 Lotus Mobile Connect Administrator’s Guide

2. Si ha instalado previamente el Gatekeeper y utilizaba SSL entre Gatekeeper y

gestor de accesos:

Versión del Gatekeeper anterior a la 5.1

Utilice ikeyman para exportar todos los certificados a una ubicación

temporal.

Gatekeeper versión 5.1 o posterior

Copie el archivo trusted.jks existente desde el directorio de instalación

a una ubicación temporal. 3. Si ha instalado previamente el Gatekeeper, desinstálelo. Consulte el apartado

“Eliminar el Gatekeeper” en la página 119.

4. Coloque el CD 1 de instalación en la unidad de CD e invoque smitty y

seleccione esta vía de acceso a través de los menús:

Mantenimiento e Instalación de Software

Instalar y Actualizar Software

Instalar y Actualizar con software disponible MÁS RECIENTE

5. Para el dispositivo / directorio de ENTRADA de software, pulse F4 para

seleccionar la unidad de CD.

6. Establezca Instalar automáticamente el software de requisito en SÍ, si

actualmente no tiene instalado Java SDK 1.4.2, release de servicio 6.

7. Para SOFTWARE a instalar, pulse F4 para obtener una lista de los

componentes a instalar.

8. Pulse F7 para seleccionar el Gatekeeper (wgcfg) y, a continuación, pulse Intro

tres veces.

Nota: Si dispone de Java SDK 1.4.2 con un release de servicio anterior al

release de servicio 6, pulse F7 y seleccione wgcfg y Java14.sdk.El directorio de instalación es /opt/IBM/Gatekeeper y contiene enlaces en el

directorio /usr/bin para los siguientes scripts:

v wgcfg

v wgcfgikeyman

v wgcfgnewjvm

v wgcfgnewwin 9. Si estaba utilizando SSL entre Gatekeeper y gestor de accesos:

Versión del Gatekeeper anterior a la 5.1

Utilice ikeyman para añadir los certificados al nuevo archivo

trusted.jks del Gatekeeper (o un archivo jks creado por el usuario).

Gatekeeper versión 5.1 o posterior

Copie el archivo trusted.jks existente de la ubicación temporal al

directorio de instalación.10. Para iniciar el Gatekeeper, especifique wgcfg.

Instalar el Gatekeeper en Linux

La vía de acceso del paquete de instalación en el CD de instalación 1 es:

linux/IBMwgcfg-6.1-0.0.i386.rpm.

1. Inicie una sesión como usuario raíz en el sistema donde desea instalar el

Gatekeeper.

2. Si ha instalado previamente el Gatekeeper y utilizaba SSL entre Gatekeeper y

gestor de accesos:

Capítulo 4. Instalación y configuración inicial 65

|

||

|

Versión del Gatekeeper anterior a la 5.1

Utilice ikeyman para exportar todos los certificados a una ubicación

temporal.

Gatekeeper versión 5.1 o posterior

Copie el archivo trusted.jks existente desde el directorio de instalación a

una ubicación temporal.3. Si ha instalado previamente el Gatekeeper, desinstálelo.

4. Inserte el CD 1 de instalación en la unidad de CD y monte el CD.

5. Si no ha instalado IBM JRE 1.4.2 service release 6, desde el directorio /linux del

CD de instalación 1, ejecute:

rpm -ivh IBMJava2-142-ia32-JRE-1.4.2-6.0.i386.rpm

6. En el directorio /linux, ejecute el mandato

rpm -ivh IBMwgcfg-6.1-0.0.i386.rpm

Este mandato instala el Gatekeeper en el directorio de /opt/ibm/Gatekeeper y

crea enlaces en el directorio /usr/bin para los siguientes scripts:

v wgcfg

v wgcfgikeyman

v wgcfgnewjvm

v wgcfgnewwin7. Si estaba utilizando SSL entre Gatekeeper y gestor de accesos:

Versión del Gatekeeper anterior a la 5.1

Utilice ikeyman para añadir los certificados al nuevo archivo trusted.jks

del Gatekeeper (o un archivo jks creado por el usuario).

Gatekeeper versión 5.1 o posterior

Copie el archivo trusted.jks existente de la ubicación temporal al

directorio de instalación.8. Para iniciar el Gatekeeper, ejecute el script wgcfg.

Instalar el Gatekeeper en Solaris

La vía de acceso del archivo de adición de paquete en el CD 1 de instalación es:

/solaris/IBMwgcfg.solaris.pkg.

1. Inicie una sesión como usuario raíz en el sistema donde desea instalar el

Gatekeeper.

2. Si ha instalado previamente el Gatekeeper y utilizaba SSL entre Gatekeeper y

gestor de accesos:

Versión del Gatekeeper anterior a la 5.1

Utilice ikeyman para exportar todos los certificados a una ubicación

temporal.

Gatekeeper versión 5.1 o posterior

Copie el archivo trusted.jks existente desde el directorio de instalación a

una ubicación temporal.3. Si ha instalado previamente el Gatekeeper, desinstálelo. Suprima todos los

archivos en el directorio donde ha instalado el Gatekeeper. Por ejemplo,

especifique pkgrm IBMwgcfg.

4. Inserte el CD 1 de instalación en la unidad de CD y monte el CD.

5. Desde el directorio /solaris del CD de instalación, añada el paquete:

pkgadd -d ./IBMwgcfg.solaris.pkg

66 Lotus Mobile Connect Administrator’s Guide

|

||

|

El directorio de instalación es /opt/IBM/Gatekeeper y contiene enlaces en el

directorio /usr/bin para los siguientes scripts:

v wgcfg

v wgcfgikeyman

v wgcfgnewjvm

v wgcfgnewwin6. Si estaba utilizando SSL entre Gatekeeper y gestor de accesos:

Versión del Gatekeeper anterior a la 5.1

Utilice ikeyman para añadir los certificados al nuevo archivo trusted.jks

del Gatekeeper (o un archivo jks creado por el usuario).

Gatekeeper versión 5.1 o posterior

Copie el archivo trusted.jks existente de la ubicación temporal al

directorio de instalación.7. Para iniciar el Gatekeeper, ejecute el script wgcfg.

Instalar el Gatekeeper en Windows

La vía de acceso del archivo en el CD 1 de instalación es: /win32/wgcfgsetup.win32.exe.

1. Si ha instalado previamente el Gatekeeper y utilizaba SSL entre Gatekeeper y

gestor de accesos:

Versión del Gatekeeper anterior a la 5.1

Utilice ikeyman para exportar todos los certificados a una ubicación

temporal.

Gatekeeper versión 5.1 o posterior

Copie el archivo trusted.jks existente desde el directorio de instalación a

una ubicación temporal.2. Coloque el CD 1 de instalación en la unidad de CD.

3. Pulse Instalar –> Instalar Gatekeeper –> Instalar el Gatekeeper en Windows.

4. Siga las instrucciones del asistente durante el proceso de instalación. El

directorio de instalación predeterminado es C:\Archivos de

programa\IBM\Gatekeeper.

5. Si estaba utilizando SSL entre Gatekeeper y gestor de accesos:

Versión del Gatekeeper anterior a la 5.1

Utilice ikeyman para añadir los certificados al nuevo archivo trusted.jks

del Gatekeeper (o un archivo jks creado por el usuario).

Gatekeeper versión 5.1 o posterior

Copie el archivo trusted.jks existente de la ubicación temporal al

directorio de instalación.6. Para iniciar el Gatekeeper, pulse Inicio > Programas > IBM Lotus Mobile

Connect > Gatekeeper.

Nota: Desde el directorio en el que se encuentran los archivos de instalación del

Gatekeeper, puede realizar una instalación silenciosa en plataformas

Windows de 32 bits. El mandato para iniciar la instalación silenciosa es:

wgcfgsetup.win32.exe -silent -P installLocation=<vía de acceso>

Capítulo 4. Instalación y configuración inicial 67

||

|

|||

|

donde <vía de acceso> es la vía de acceso de instalación de la aplicación

Gatekeeper. Si omite el distintivo -P, la vía de acceso de instalación

predeterminada es el directorio \Archivos de programa\IBM\Gatekeeper de

la unidad del sistema Windows.

El mandato de la instalación silenciosa hace que el indicador de mandatos

vuelva de inmediato, mientras el proceso de instalación sigue ejecutándose

en segundo plano. Utilice start /WAIT si no desea que el indicador de

mandatos vuelva hasta que el proceso de instalación haya finalizado:

start /WAIT wgcfgsetup.win32.exe -silent -P installLocation=<vía de acceso>

Instalar el Connection Manager

Antes de instalar los componentes desde los CD de instalación, lea los archivos

readme del CD de Inicio rápido.

Todas las instalaciones se empaquetan en una única unidad. Todo, incluido el

soporte de idiomas (excepto AIX), IBM Tivoli License Manager, el soporte de red

IP, los módulos criptográficos y los servicios de acceso móvil se encuentran en un

paquete que se instala con el tiempo de ejecución. En AIX, el soporte de idioma se

encuentra en paquetes independientes.

Antes de realizar la instalación, revise estas notas de instalación:

1. Si está realizando una migración desde una versión anterior, consulte la

información sobre actualizaciones y cambios en las vías de acceso de

instalación, en el apartado “Vías de acceso de instalación” en la página 113.

2. Asegúrese de que la versión de Connection Manager es la misma o posterior a

la de los Mobility Clients que se conectan a él.

3. El Connection Manager también requiere almacenamiento de datos

persistente. Consulte el apartado “Requisitos de software para el

almacenamiento de datos persistente” en la página 55.

4. Asegúrese de que el puerto 9555 para conexiones no SSL o los puertos 9555 y

9559 para conexiones SSL estén disponibles en el sistema para permitir la

comunicación entre el Connection Manager, el gestor de accesos y el

Gatekeeper. Para obtener una lista de otros números de puerto utilizados,

consulte la Guía de resolución de problemas de IBM Lotus Mobile Connect.

5. El Connection Manager instala automáticamente el software IBM Key

Management (gskit), si todavía no se ha detectado como instalado.

6. En sistemas Solaris, el software de IBM Key Management (gskit) no se instala

automáticamente.

7. El Connection Manager debe instalarse en una instalación de sistema

operativo nueva o de sobrescritura.

8. Antes de instalar el Connection Manager, instale y configure el soporte para

las conexiones de red que utilizará:

9. Si encuentra un error durante la instalación, asegúrese de desinstalar el

Connection Manager antes de volver a instalarlo.

10. Utilice el Gatekeeper para todos los pasos de configuración después de que

haya finalizado la instalación.

11. Después de la instalación y la configuración inicial, asegúrese de mantener

una copia de seguridad del archivo wgated.conf almacenado, para tenerlo a

salvo en caso de que se produzca una anomalía.

12. El Connection Manager no da soporte a la instalación silenciosa.

68 Lotus Mobile Connect Administrator’s Guide

||||

||||

|

|

|||||

|||

|

El paquete de software del Connection Manager utiliza:

AIX el programa installp que se instala y elimina utilizando SMIT o los menús

de instalación smitty. El directorio de instalación es /opt/IBM/ConnectionManager.

Linux el programa rpm para la instalación y para desinstalar. El directorio de

instalación es /opt/ibm/ConnectionManager.

Para obtener información sobre cómo realizar la instalación utilizando el

asistente de instalación, consulte el manual IBM Lotus Mobile Connect

Getting Started Guide

Solaris

el programa pkgadd para la instalación y utiliza pkgrm para desinstalar. El

directorio de instalación es /opt/IBM/ConnectionManager.

Instalar el Connection Manager en AIX

1. Coloque el CD 1 de instalación en la unidad de CD e invoque smitty y

seleccione esta vía de acceso a través de los menús:

Mantenimiento e Instalación de Software

Instalar y Actualizar Software

Instalar y Actualizar con software disponible MÁS RECIENTE

2. Para el dispositivo / directorio de ENTRADA de software, pulse F4 para

seleccionar la unidad de CD.

3. Para SOFTWARE a instalar, pulse F4 para obtener una lista de los

componentes.

4. Pulse F7 para seleccionar los componentes que desea instalar y, a continuación,

pulse Intro tres veces.

La instalación de Connection Manager añade una entrada para rc.wgated en

/etc/inittab parecida a: rcwgated:2:once:/etc/rc.wgated > /dev/console

2>/dev/null Esta entrada garantiza que el proceso wgated se iniciará si la máquina

se recicla. Sin embargo, esta entrada puede causar problemas en un entorno

HACMP (High Availability Cluster Multiprocessing). Si está utilizando HACMP

para controlar el arranque de wgated, elimine o comente la entrada rc.wgated en

/etc/inittab.

Utilizar catálogos de mensajes de entorno local UTF-8

Para utilizar un formato de codificación UTF-8 (Formato de Transformación de

Unicode o UCS de 8 bits) en sistemas AIX, primero instale el soporte de entorno

local UTF-8 del sistema operativo AIX y, a continuación, instale el catálogo de

mensajes codificados UTF-8 del Connection Manager para el entorno local UTF-8

que está utilizando. Los catálogos de mensajes están disponibles en el directorio de

instalación del Connection Manager y tienen UTF-8 como parte del nombre de

archivo; por ejemplo, wg.msg.EN_US.UTF-8 o wg.msg.DE_DE.UTF-8.

Para instalar el soporte de entorno local UTF-8 del sistema operativo AIX desde el

directorio de instalación del Connection Manager:

1. Invoque smitty y seleccione esta vía de acceso a través de los menús:

Entornos de Sistema

Gestionar Entorno de Idioma

Cambiar/Mostrar Aplicaciones para un Idioma

Añadir Idioma para la Aplicación ya Instalada

2. Pulse F4 para seleccionar el soporte de conversión de idiomas de UTF-8

deseado y, a continuación, pulse Intro.

Capítulo 4. Instalación y configuración inicial 69

|||

||

|||

||

3. Teclee . para el dispositivo/directorio de entrada y pulse Intro dos veces.

Los cambios en el entorno de idioma primario no entran en vigor hasta que se

haya instalado BOS y se haya reiniciado el sistema.

Instalar el Connection Manager en Linux o Solaris

1. En distribuciones Linux, asegúrese de que no se crea un alias del nombre de

sistema principal de la máquina en el archivo /etc/hosts para la dirección de

bucle de retorno antes de realizar la instalación.

2. Inserte el CD 1 de instalación en la unidad de CD y vaya al directorio a

/linux/ o /solaris/.

3. Especifique ./install_wg.

4. En un sistema Linux, se le solicitará si desea inhabilitar el inicio automático al

arrancar el sistema. El valor predeterminado es que el Connection Manager se

iniciará al arrancar el sistema.

5. En un sistema Solaris, se le solicitará que indique qué paquetes desea instalar.

Pulse Intro.

Notas:

1. En distribuciones Linux, asegúrese de que esté instalado un paquete del shell

Korn (ksh). Un paquete que habitualmente está disponible es pdksh.

2. En distribuciones Red Hat, si el cortafuegos bloquea el tráfico, asegúrese de que

las MNI que ha configurado aparecen como dispositivos fiables en el panel de

configuración Nivel de seguridad. El nombre del programa que configura el

cortafuegos es redhat-config-securitylevel.

3. Si utiliza la biblioteca de cliente de IBM Tivoli Directory Server y un entorno

local distinto al inglés, cambie a un entorno local UTF-8 en la línea de

mandatos o utilice Gatekeeper para ver los usuarios. Si no utiliza un entorno

local UTF-8, el resultado no se verá correctamente cuando se utilice la línea de

mandatos para mostrar a los usuarios.

Utilizar catálogos de mensajes de entorno local UTF-8

Para utilizar un formato de codificación UTF-8 (Formato de Transformación de

Unicode o UCS de 8 bits) en sistemas Solaris, instale los entornos locales con

Solaris Web Start como se describe en la guía de instalación de Solaris SPARC

Edition. Asegúrese de instalar el entorno local con Solaris Web Start antes de

desinstalar Connection Manager.

En distribuciones Linux, los entornos locales UTF-8 se instalan automáticamente

cuando se instala el Connection Manager.

Configurar IBM Directory

IBM Directory Server tiene una herramienta de configuración (ldapxcfg) o un

programa de utilidad de línea de mandatos (ldapcfg) que pueden utilizarse para

configurar el servidor de servicios de directorio. La herramienta de configuración

le orientará paso a paso en el proceso de configurar el servidor web y el ID de

administrador del servidor de servicios de directorio (DSS). Puede ejecutar el

asistente o utilizar los pasos de la línea de mandatos para configurar el software

DSS. Consulte el manual IBM Directory Server Installation and Configuration

Guide para obtener las instrucciones de configuración completas de la versión 5.1.

70 Lotus Mobile Connect Administrator’s Guide

|||||

|||||

Después de la instalación, si la configuración no se inicia automáticamente, utilice

la herramienta de configuración o el programa de configuración de la línea de

mandatos para realizar las siguientes tareas:

v Definir el nombre distinguido (DN) y una contraseña del administrador de IBM

Directory Server. Esta operación puede compararse a la definición del ID de

usuario raíz y contraseña en un sistema UNIX.

v Configurar la base de datos.

Además, puede configurar la herramienta de configuración para llevar a cabo las

siguientes tareas:

v Configurar (o reconfigurar) y desconfigurar la base de datos

v Habilitar e inhabilitar las anotaciones de cambios

v Añadir y eliminar sufijos

v Añadir y eliminar archivos de esquema

v Importar y exportar datos LDIF

v Realizar una copia de seguridad, restaurar y optimizar la base de datos

Configuración de Red Hat Directory

Antes de iniciar el Gatekeeper y configurar el gestor de accesos, copie dos archivos

de configuración en el servidor de servicio de directorio (DSS) de Red Hat y edite

el archivo de configuración LDAP:

1. En AIX o Solaris, en el directorio /opt/IBM/ConnectionManager/conf del

sistema del Connection Manager, copie los archivos netscape-cm.at.conf y

netscape-cm.oc.conf en el directorio del DSS donde se almacenan las

definiciones de clase de objeto y atributo.

En Linux, en el directorio /opt/ibm/ConnectionManager/conf del sistema del

Connection Manager, copie los archivos netscape-cm.at.conf y

netscape-cm.oc.conf en el directorio del DSS donde se almacenan las

definiciones de clase de objeto y atributo.

2. Edite el archivo slapd.conf para añadir las líneas siguientes:

v include /etc/netscape-cm.at.conf

v include /etc/netscape-cm.oc.conf

donde etc es el nombre del directorio que almacena los dos archivos copiados

desde el directorio de configuración del Connection Manager.

Red Hat Directory tiene un asistente que le orientará paso a paso en el proceso de

configurar el servidor de directorios y el ID de administrador DSS. Asegúrese de:

v Anotar el nombre distinguido (DN) y la contraseña del gestor de directorios. El

valor del DN raíz del gestor de directorios se utiliza en la configuración del

gestor de accesos como nombre distinguido y contraseña del administrador.

v Hay un sufijo configurado en el servidor de directorios que se identificará en

gestor de accesos como nombre distinguido (DN) base.

v La selección Cifrado de contraseña está establecida en Secure Hash Algorithm

(SHA) o Borrar texto en el separador Contraseñas de la configuración del

servidor de Red Hat Directory. Si desea que Red Hat Directory cifre contraseñas,

asegúrese de que en el separador Almacenamiento de datos de las propiedades

del gestor de accesos, los recuadros de selección Cifrar contraseñas antes del

almacenamiento estén desmarcados. El Connection Manager no soporta Unix

crypt.

Capítulo 4. Instalación y configuración inicial 71

v Utilice la consola de Red Hat para indexar los atributos que buscará más

frecuentemente, como activestatus. Como mínimo, asegúrese de que los

siguientes atributos están indexados:

– ibm-wlOtherOu

– objecttype

Indexar los atributos buscados más frecuentemente mejorará el rendimiento y

asegurará que no produzcan tiempos de espera y fallos en las búsquedas.

Configurar Sun ONE Directory Server

Antes de iniciar el Gatekeeper y configurar el gestor de accesos, añada el archivo

de esquema LDAP del Connection Manager al servidor de servicios de directorio

(DSS) de Sun ONE Directory Server (antes iPlanet):

En el sistema del Connection Manager, especifique:

ldapmodify -c -h srv_DSS D dn_admin_DSS -w contraseña_admin_DSS -f

iplanet-cm.ldif -p puerto

donde srv_DSS es la dirección IP decimal con puntos o el nombre de host del

servidor DSS, dn_admin_DSS es el nombre distinguido del administrador DSS (el

valor predeterminado es cn=Directory Manager), contraseña_admin_DSS es la

contraseña del administrador DSS y puerto es el número utilizado para configurar

el DSS.

Sun ONE Directory Server tiene un asistente que le orientará paso a paso en el

proceso de configurar el servidor de directorios y el ID de administrador DSS.

Asegúrese de:

v Anotar el nombre distinguido (DN) y la contraseña del gestor de directorios. El

valor del DN raíz del gestor de directorios se utiliza en la configuración del

gestor de accesos como nombre distinguido y contraseña del administrador.

v Hay un sufijo configurado en el servidor de directorios que se identificará en

gestor de accesos como nombre distinguido (DN) base.

v La selección Cifrado de contraseña está establecida en Secure Hash Algorithm

(SHA), Salted Secure Hash Algorithm (SSHA) o Borrar texto en el separador

Contraseñas de la configuración de Sun ONE Directory Server. Si desea que Sun

ONE Directory cifre las contraseñas, asegúrese de que en el separador DSS de

Connection Manager de las propiedades del gestor de acceso, el recuadro de

selección Cifrar contraseñas antes del almacenamiento no esté seleccionado. El

Connection Manager no soporta Unix crypt.

v Utilice la consola de Sun ONE para indexar los atributos que seguramente

buscará más frecuentemente, como por ejemplo activestatus. Como mínimo,

asegúrese de que los siguientes atributos están indexados:

– ibm-wlOtherOu

– objecttype

Indexar los atributos buscados más frecuentemente mejorará el rendimiento y

asegurará que no produzcan tiempos de espera y fallos en las búsquedas.

Configurar OpenLDAP

Las versiones soportadas de OpenLDAP son las que se proporcionan con las

distribuciones de Linux soportadas.

72 Lotus Mobile Connect Administrator’s Guide

Añadir automáticamente el esquema a un servidor OpenLDAP

local

Un script que añade el esquema del Connection Manager a un servidor

OpenLDAP local se incluye en la versión Linux del Connection Manager en

/opt/ibm/ConnectionManager /conf/useopenldap.sh. Una vez que ha finalizado

la instalación, si un archivo de configuración anterior /opt/ibm/ConnectionManager/wgated.conf no se encuentra en el sistema, se le solicitará que

ejecute el script. Puede elegir ejecutar el script más adelante.

El script finaliza si falla un paso o si se responde negativamente a una solicitud. Se

visualizan mensajes que describen lo que está haciendo el script:

1. Las comprobaciones del script utilizan una consulta rpm (Red Hat Package

Manager) para determinar si se ha instalado una versión del servidor

OpenLDAP que es compatible con el Connection Manager. Si ha compilado e

instalado manualmente OpenLDAP, no se detectará.

2. El archivo de esquema del Connection Manager se copia en el directorio de

esquema OpenLDAP y las sentencias include se añaden a slapd.conf, como se

describe en el apartado “Añadir manualmente el esquema a un archivo de

configuración del servidor OpenLDAP”.

3. Se le solicitará que reinicie el servidor LDAP. Si responde no, el script finaliza.

Para que los cambios surtan efecto, tendrá que reiniciar el servidor.

4. Se le solicitará que configure el Connection Manager para que utilice el

servidor OpenLDAP. El script recupera los atributos rootdn y rootpw del

archivo slapd.conf.

5. Si la contraseña está oculta, se le solicitará la contraseña.

6. El sufijo se crea si no existe ya.

7. El gestor de accesos se configura para utilizar el servidor OpenLDAP con el

puerto predeterminado 389.

Cuando el script haya finalizado, los valores de la configuración OpenLDAP se

guardarán y utilizarán como valores predeterminados de la configuración del

servidor LDAP la primera vez que se ejecute el asistente de configuración del

gestor de accesos.

Si falla algún paso o si responde negativamente a una solicitud, arregle el

problema y vuelva a ejecutar el script.

Añadir manualmente el esquema a un archivo de

configuración del servidor OpenLDAP

Para añadir manualmente el esquema de Connection Manager a un archivo de

configuración del servidor OpenLDAP:

1. Copie el archivo de esquema Connection Manager, /opt/ibm/ConnectionManager/conf/open-cm.conf, en el directorio de esquema

OpenLDAP. Normalmente el directorio es /etc/openldap/schema.

2. Añada los archivos de esquema al archivo de configuración LDAP, slapd.conf.

Normalmente, este archivo se encuentra en /etc/openldap/slapd.conf. El

ejemplo siguiente muestra un archivo de configuración predeterminado típico

con las adiciones de archivos de esquema necesarias resaltadas en negrita.# $OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,

# v 1.8.8.7 2001/09/27 20:00:31 kurt Exp $

#

# See slapd.conf(5) for details on configuration options.

# This file should NOT be world readable.

Capítulo 4. Instalación y configuración inicial 73

#

include /etc/openldap/schema/core.schema

include /etc/openldap/schema/cosine.schema

include /etc/openldap/schema/inetorgperson.schema

include /etc/openldap/schema/nis.schema

include /etc/openldap/schema/open-cm.conf

# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory

# service AND an understanding of referrals.

#referral ldap://root.openldap.org

pidfile /var/lib/slapd.pid

argsfile /var/lib/slapd.args

# Load dynamic backend modules:

# modulepath /usr/lib/openldap/openldap

# moduleload back_ldap.la

# moduleload back_ldbm.la

# moduleload back_passwd.la

# moduleload back_shell.la

#

# Sample Access Control

# Allow read access of root DSE

# Allow self write access

# Allow authenticated users read access

# Allow anonymous users to authenticate

#

#access to dn="" by * read

#access to *

# by self write

# by users read

# by anonymous auth

#

# if no access controls are present, the default is:

# Allow read by all

#

# rootdn can always write!

#######################################################################

# ldbm database definitions

#########################################################

database ldbm

suffix "dc=my-domain,dc=com"

#suffix "o=My Organization Name,c=US"

rootdn "cn=Manager,dc=my-domain,dc=com"

#rootdn "cn=Manager,o=My Organization Name,c=US"

# Cleartext passwords, especially for the rootdn, should

# be avoid. See slappasswd(8) and slapd.conf(5) for details.

# Use of strong authentication encouraged.

rootpw secret

# The database directory MUST exist prior to running slapd AND

# should only be accessible by the slapd/tools. Mode 700 recommended.

directory /var/lib/openldap-ldbm

# Indices to maintain

index objectClass eq

Notas:

1. Para OpenLDAP 2.1.x, ejecute el mandato ldapadd en el sufijo especificado en

el archivo slapd.conf.

Por ejemplo, utilice un archivo LDIF, como el siguiente:

74 Lotus Mobile Connect Administrator’s Guide

dn: dc=my-domain,dc=com

objectclass: dcObject

objectclass: organizationalUnit

ou: top level suffix

dc: my-domain

con el mandato ldapadd:

ldapadd -D rootdn -w rootpw -p 389 -h 127.0.0.1 -f LDIF

donde rootdn y rootpw están especificados en el archivo slapd.conf y LDIF es el

nombre del archivo LDIF que desea utilizar.

2. OpenLDAP 2.1.13 y superiores sólo pueden tener un sufijo por base de datos.

Configuración de DB2

El Connection Manager necesita un asistente para instancias para que la instancia

de la base de datos de DB2 se instale y se configure correctamente. Si utiliza DB2

con Connection Manager, asegúrese de instalar DB2 Administration Client o el

cliente de Application Development DB2.

Al configurar DB2, seleccione una instalación local o remota. En una instalación

local, el asistente para instancias de DB2 debe estar instalado en la misma máquina

que el Connection Manager. En una instalación remota, el asistente para instancias

de DB2 está instalado en la misma máquina que el Connection Manager y el

servidor de DB2 está conectado a la red.

Asegúrese de instalar el soporte de idiomas de DB2 para el idioma que se utilizará

para instalar y configurar el Connection Manager.

La configuración predeterminada del Connection Manager utilizando DB2 crea

automáticamente un ID de instancia de base de datos de wgdb y un ID de sistema

operativo de wgdb. Asegúrese de que el ID o la contraseña de la instancia de DB2

no tengan más de ocho bytes.

Al configurar DB2 en distribuciones Linux, es bastante habitual que aparezca un

mensaje SQL10003 ″No hay suficientes recursos del sistema para procesar la

solicitud″. Este problema se produce cuando el script de configuración del

Connection Manager intenta crear y configurar una nueva instancia de DB2. La

solución consiste en aumentar el recurso de kernel msgmni, tal y como se describe

en el HOW-TO de Linux.

Cuando instale el servidor DB2 para uso remoto, cree un ID de instancia en el

servidor DB2 que sea el mismo que el ID del administrador de DB2 que está

especificado en el Connection Manager.

En una instalación remota, el Connection Manager necesita el servidor y el número

de puerto o nombre de servicio del servidor DB2. Para determinar el número de

puerto, compruebe el archivo de servicios en el servidor DB2. Después de instalar

y configurar el Connection Manager, el Gatekeeper y el gestor de accesos, añada

un Connection Manager a la interfaz del Gatekeeper para configurar las

propiedades de la base de datos.

También debe asignar un nombre de base de datos y un ID administrativo y una

contraseña. El nombre de base de datos debe tener ocho caracteres como máximo.

El nombre predeterminado de la base de datos de información de sesión es

wgdata. El nombre predeterminado de la base de datos de información de

Capítulo 4. Instalación y configuración inicial 75

||||

|||||

contabilidad y facturación es wgacct. Puede asignar un ID administrativo exclusivo

o bien puede utilizar el ID de instancia, wgdb. En una instalación local, el

Connection Manager puede utilizar el ID de instancia, wgdb, para conectarse con

DB2, que tiene una contraseña predeterminada vpn4ibm. En una instalación

remota, elija el ID administrativo y la contraseña del servidor remoto que desea

utilizar.

Notas:

1. El usuario que configura DB2 en el Connection Manager debe tener

autorización para crear y catalogar las bases de datos de DB2. Añadir el

usuario al grupo de administración de DB2 creado al instalar DB2 (ya sea de

manera local o remota) es una manera de garantizar que estas autorizaciones

existan.

2. En una instalación local, wgdb pasa a ser el ID de usuario de sistema

operativo. Asegúrese de que los demás servicios de sistema operativo, como

por ejemplo FTP, Telnet y SSH, están bloqueados para esta cuenta de usuario.

Revise los otros servicios que haya configurado para bloquear esta cuenta de

usuario.

3. Si está configurando DB2 en un sistema AIX, el servicio DB2 Warehouse

Manager podría causar un conflicto de puerto con el Mobility Client cuando

intente conectarse al Gatekeeper. Para evitar este conflicto, elimine o comente

las líneas de los puertos 11000, 11001 y 11002 en el archivo <DB2

Server>/etc/services.

Configurar Oracle

Para configurar Oracle para utilizarlo con el Connection Manager:

1. Asegúrese de que el Connection Manager está instalado.

2. Asegúrese de que cumple los requisitos del software de terceros e instale el

software siguiendo las recomendaciones del fabricante.

3. Para Oracle Versión 9.0.1, 9.2.0.1, 9.2.0.2, 10g Release 1 o 10g Release 2,

asegúrese de que el controlador de DataDirect Connect ODBC Versión 5.1 esté

instalado. Descargue y aplique también los parches más recientes del

controlador DataDirect ODBC.

4. Cree o elija una base de datos Oracle para que contenga información de sesión

y tablas de contabilidad y facturación.

5. Realice una copia del archivo odbc.ini del controlador ODBC en el directorio

conf del directorio de instalación de Connection Manager y edite esta copia del

archivo odbc.ini. Por ejemplo, en AIX, copie el archivo odbc.ini del controlador

ODBC en /opt/IBM/ConnectionManager/conf y edite /opt/IBM/ConnectionManager/conf/odbc.ini. Connection Manager utilizará esta copia del

archivo odbc.ini.

6. Añada una nueva línea llamada wgdata=Texto de comentario en la sección del

archivo llamada Orígenes de datos ODBC, donde el texto de comentario puede

ser cualquier serie descriptiva. Si ha instalado el soporte para contabilidad y

facturación, añada también una nueva línea llamada wgacct en la misma

sección del archivo.

7. Utilice la sección de Oracle Wire Protocol como plantilla y cree las definiciones

correspondientes. La sección de Oracle Wire Protocol proporciona acceso a la

base de datos Oracle sin necesidad de un cliente Oracle.

Para una sección de Oracle Wire Protocol, actualice los valores de las claves

Descripción, NombreSistemaPrincipal, NúmeroPuerto y SID (si es necesario).

NombreSistemaPrincipal es un nombre de sistema principal o dirección IP que

identifica el servidor Oracle. NúmeroPuerto identifica el número de puerto en

76 Lotus Mobile Connect Administrator’s Guide

|||||

||||

el que el servidor Oracle está a la escucha. SID es un identificador del sistema

Oracle que es necesario si el servidor Oracle soporta más de una instancia de

una base de datos Oracle.

8. Elimine las claves IDInicioSesión y Contraseña.

9. Guarde el archivo y salga del mismo.

Cuando cree un Connection Manager, el asistente Añadir le solicitará que configure

la base de datos relacional. Asigne un nombre de base de datos y un ID

administrativo y contraseña de base de datos. Para Oracle, el nombre de base de

datos corresponde al nombre de origen de datos definido en el archivo odbc.ini.

Configurar el gestor de accesos

Para configurar el gestor de accesos, inicie el Gatekeeper por primera vez.

1. Cuando inicie el Gatekeeper por primera vez, se visualiza la ventana Perfil de

inicio de sesión. Para configurar un nuevo perfil de inicio de sesión e iniciar

una sesión:

a. Determine si desea una conexión cifrada entre el Gatekeeper y el gestor de

accesos utilizando la capa de sockets protegidos (SSL). Pulse Añadir perfil

seguro para utilizar SSL o bien pulse Añadir perfil para conectarse al gestor

de accesos sin una conexión cifrada. Para obtener más información, consulte

el apartado “Añadir un perfil de inicio de sesión seguro” en la página 91.

Para añadir un perfil sin una conexión cifrada:

1) Escriba un nombre descriptivo del perfil en el campo Nombre de perfil

de inicio de sesión. Este nombre describe el par de nombre de sistema

principal y puerto que se utiliza para establecer una conexión con el

gestor de accesos cuando se selecciona este perfil de inicio de sesión.

2) Especifique la dirección IP o el nombre de sistema principal de destino

del sistema donde está instalado el gestor de accesos en el campo

Nombre de sistema principal.

Además, puede especificar si la resolución de nombres se intenta

automáticamente para el campo de nombre de sistema principal. Quite

la marca del recuadro de selección para las redes sin servicio de sistema

de nombres de dominio (DNS) o al conectarse a un gestor de accesos

multiubicado; de lo contrario, marque el recuadro de selección Intentar

resolución de nombres.

3) Especifique el número de puerto del gestor de accesos en el campo

Puerto. De manera predeterminada, el número de puerto es 9555.

Consulte la Guía de resolución de problemas para obtener más información

sobre los puertos.b. Después de añadir un perfil de inicio de sesión, seleccione el perfil y luego

pulse Aceptar.

c. Especifique gkadmin como ID de administrador y la contraseña

predeterminada inicial (gk4admin) para el sistema del gestor de accesos y, a

continuación, pulse Iniciar sesión. Después de haber configurado

correctamente el gestor de accesos, puede crear ID de administración

adicionales distintos a gkadmin.2. Cuando el inicio de sesión haya finalizado, en sistemas AIX, Solaris o Linux

que no se instalaron con el asistente de instalación InstallShield, el asistente del

gestor de accesos le permite decidir dónde almacenar los datos de sesión y de

configuración. Si utiliza una base de datos relacional (RDB), el asistente

intentará identificar la que está utilizando y le solicitará la información

necesaria para configurarla correctamente para trabajar con el gestor de accesos.

Capítulo 4. Instalación y configuración inicial 77

|||||

||||||

Para obtener una descripción de los distintos tipos de datos almacenados,

consulte el apartado “Almacenamiento de datos persistente” en la página 5.

Para obtener una descripción de los distintos métodos de almacenamiento,

consulte el apartado “Almacenamiento de datos” en la página 35.

Si decide almacenar los datos de la sesión en archivos que utilizan el sistema

de archivos local, pulse Siguiente. De no hacerlo así, para almacenar los datos

de sesión en una base de datos relacional, siga las indicaciones del asistente y

complete el proceso de configuración:

a. Identifique el nombre o el alias de la base de datos. El valor

predeterminado es wgdata. Si utiliza DB2, identifique también el ID de la

instancia de cliente de DB2. El valor predeterminado es wgdb.

b. Si utiliza DB2, identifique la ubicación del directorio de la base de datos de

sesiones del sistema. El valor predeterminado es /home/wgdb en AIX y

Linux. El valor predeterminado es /export/home/wgdb en Solaris.

c. Especifique el ID y la contraseña del administrador de base de datos con los

que ha configurado el software del servicio de directorio.

d. Si utiliza DB2, identifique si la base de datos está ubicada en el mismo

sistema que Connection Manager o en un sistema independiente. Si está

ubicada en un sistema independiente, identifique la dirección IP y el

número de puerto.

e. Determine si una base de datos de información de sesión existente se borra

al crear Connection Manager. Cuando se borra una base de datos, las

entradas del catálogo de la base de datos se eliminan y el directorio que

contiene los datos se suprime. El valor predeterminado es que la base de

datos DB2 existente no se borra.

f. Pulse Siguiente.3. Si decide almacenar los datos de configuración utilizando el mismo método

para seleccionar los datos de sesión, pulse El mismo método que el

seleccionado para el almacenamiento de datos de sesión y, a continuación,

pulse Siguiente. En caso contrario, para almacenar los datos de configuración

utilizando un servidor de servicio de directorio (DSS), siga las indicaciones del

asistente y complete el proceso de configuración:

a. Especifique el nombre distinguido del administrador como ID de

administrador y contraseña con los que ha configurado el software del

servicio de directorio. Por ejemplo, especifique cn=wg.

b. Especifique la dirección IP y el número de puerto del servidor de servicios

de directorio primario.

c. Determine si la conexión con el DSS debe utilizar la capa de sockets seguros

(SSL). Si es así, identifique el número de puerto, el nombre del archivo de la

base de datos de claves y el nombre de archivo de la contraseña oculta.

d. Determine si las contraseñas se cifran antes de que se almacenen. Si el

servicio de directorio cifra las contraseñas, asegúrese de que no hay una

marca de selección en este recuadro.

e. Pulse Siguiente.4. Identifique el nombre distinguido base que se utiliza para crear una estructura

de directorios que proporciona una clave exclusiva para localizar los recursos

del Connection Manager. Utilizando la notación X.500 estándar, especifique el

nombre distinguido base que especifica el nodo raíz o el sufijo de la unidad

organizativa primaria de este Connection Manager. Tenga en cuenta que este

campo es sensible a las mayúsculas y minúsculas.

78 Lotus Mobile Connect Administrator’s Guide

||||

||||

|||

|||

||

||||

|||||

|

||||||

|||

||

|||

|||

|

Por ejemplo, utilizando un nodo raíz, especifique o=ibm,c=us. Para un punto

de entrada que se encuentra más abajo del árbol de directorio, especifique

ou=la,ou=ca,o=ibm,c=us.

Pulse Siguiente.

5. Determine si desea que los administradores que inician una sesión de manera

remota puedan utilizar el ID de administrador predeterminado, gkadmin, y si

los intentos de inicio de sesión remotos se deben forzar a utilizar SSL.

Nota: Los usuarios de AIX, Linux y Solaris que inician la sesión utilizando el

ID raíz del sistema operativo tienen el mismo acceso a los recursos que

el administrador predeterminado (gkadmin), incluido el acceso remoto.

6. Especifique las ubicaciones de los archivos de anotaciones del gestor de accesos

y del gestor de accesos seguro, así como los niveles de anotaciones.

7. Pulse Siguiente. A continuación, pulse Finalizar.

Después de configurar el gestor de accesos, se le solicitará que defina los recursos

del Connection Manager. Para obtener más información sobre cómo definir los

recursos que representan su infraestructura, consulte el apartado Capítulo 5,

“Configuración de recursos”, en la página 81.

Capítulo 4. Instalación y configuración inicial 79

|||

|||

80 Lotus Mobile Connect Administrator’s Guide

Capítulo 5. Configuración de recursos

Después de instalar los componentes del Connection Manager y utilizar el

Gatekeeper para configurar el gestor de accesos y el almacenamiento de datos

persistente, estará preparado para definir los recursos que representan la

infraestructura de la red.

Al definir estos recursos, implementa la planificación que ha realizado y que se

describe en el apartado “Su red” en la página 33.

Para obtener información más detallada sobre cómo administrar estos recursos,

consulte el apartado “Utilización del Gatekeeper” en la página 101.

Lista de comprobación de configuración inicial

Después de completar el asistente de configuración del gestor de accesos, se le

solicitará que defina un Connection Manager, las interfaces de red móvil (MNI) y

los usuarios. Sin embargo, puede configurar los recursos de red en cualquier

orden.

Todos los pasos empiezan desde el separador Recursos. Estos pasos pueden

ayudarle a realizar la configuración inicial:

__ 1. Si tiene la intención de utilizar unidades organizativas (OU) distintas para

agrupar los recursos de red, cree una jerarquía organizativa. Para obtener

una descripción de las unidades organizativas, consulte el apartado

“Unidad organizativa” en la página 13. Para añadir una OU:

a. Pulse con el botón derecho del ratón la OU en la que desea crear una

nueva OU.

b. Seleccione Añadir recurso –> Unidad organizativa.

Repita estos pasos hasta que haya creado toda la jerarquía.

__ 2. Para cada Connection Manager instalado, cree un recurso de Connection

Manager.

a. Pulse con el botón derecho del ratón la OU en la que desea añadirlo.

b. Seleccione Añadir recurso –> Connection Manager. Se visualiza una

ventana de inicio de sesión que le permite elegir un perfil o definir un

perfil nuevo.

Después de iniciar una sesión, el asistente Añadir le guiará durante el

proceso de definir el Connection Manager.

Consulte el apartado “Definir un Connection Manager utilizando el

Gatekeeper” en la página 82 para obtener más detalles.

__ 3. Si tiene la intención de utilizar los siguientes recursos, consulte:

v “Añadir servicios de mensajería” en la página 85

v “Añadir Servicios de acceso HTTP” en la página 87__ 4. Para cada Connection Manager, añada tipos específicos de conexiones de

red utilizando las MNC. Puede añadir MNC del mismo tipo a las distintas

optimizaciones de red. Consulte el apartado “Añadir una conexión de red

móvil” en la página 85.

__ 5. Cree usuarios para servicios de acceso móvil. Consulte el apartado “Añadir

usuarios” en la página 85.

81

__ 6. Puede recopilar algunos recursos para utilizarlos como grupo en lugar de

hacerlo por separado. Cree el grupo y añádale estos recursos: MNC,

clústeres, lista de usuarios de difusión, dispositivos, usuarios DHCP,

correlación de paquetes o NAT y filtros.

Consulte el apartado “Grupos” en la página 21 para obtener una

descripción de los grupos. Para crear un grupo:

a. Pulse con el botón derecho del ratón la OU en la que desea añadir un

nuevo grupo.

b. Pulse Añadir recurso –> Grupo –> y, a continuación, seleccione el tipo

de grupo que desea añadir. Cuando cree recursos que pertenezcan a

dicho grupo, especifique el nombre de grupo.__ 7. Cree administradores para gestionar los recursos. Para obtener una

descripción de los administradores, consulte el apartado “Administrador”

en la página 27. Para añadir un administrador:

a. Determine si el administrador debe tener un acceso restringido distinto

del acceso de Superusuario. Si es así, primero cree un perfil de ACL.

Pulse con el botón derecho del ratón la OU en la que desea crear el

perfil y, a continuación, pulse Añadir recurso –> Perfil de ACL.

b. Para crear el ID de administrador, pulse con el botón derecho del ratón

la OU en la que desea crear el ID de administrador.

c. Pulse Añadir recurso –> Administrador.__ 8. Determine si desea utilizar perfiles de autenticación para asignar a las

MNC o a los Servicios de acceso HTTP. Determine qué otras opciones de

seguridad desea configurar. Consulte el apartado “Seguridad” en la página

41 para determinar las opciones de seguridad y buscar procedimientos de

configuración.

Un perfil de autenticación del sistema, que utiliza el campo de contraseña

de las cuentas de usuario definidas en LDAP para validar sesiones, se

incluye como recurso predeterminado. La autenticación del sistema

también incluye una extensión de las propiedades de autenticación ligera

de terceros (LPTA) y de inicio de sesión único (SSO) que pueden habilitarse

una vez que la autenticación se ha realizado satisfactoriamente. Otros

perfiles de autenticación que pueden añadirse son: RADIUS, basada en

certificados y por enlace LDAP.

Para añadir un perfil de autenticación:

a. Pulse con el botón derecho del ratón la OU en la que desea añadir un

nuevo perfil de autenticación.

b. Pulse Añadir recurso –> Perfil de autenticación–> y, a continuación,

seleccione el tipo de perfil que desea añadir.__ 9. Si desea utilizar un servidor de directorios, consulte el apartado

“Configurar la búsqueda de cuenta de usuario” en la página 96.

__ 10. Determine qué gestores de conexiones desea habilitar en un clúster.

Consulte los apartados “Gestor de clústeres” en la página 19 y “Configurar

nodos de clúster” en la página 93.

Definir un Connection Manager utilizando el Gatekeeper

Cuando se conecte a una máquina del Connection Manager y todavía no haya

configurado el gestor de accesos, lo primero que hará el asistente es ayudarle a

realizar dicha configuración. Consulte el apartado “Configurar el gestor de

accesos” en la página 77.

82 Lotus Mobile Connect Administrator’s Guide

Al definir un Connection Manager, implementa la planificación que ha realizado y

que se describe en el apartado “Su red” en la página 33. A medida que lleva a cabo

los pasos del asistente, repase los valores predeterminados y especifique lo

siguiente:

v Una serie que identifique de manera exclusiva el Connection Manager

v Una descripción opcional

v Mensajes e información de rastreo; los niveles de los mensajes que desea anotar.

Un Connection Manager que esté configurado exclusivamente como nodo

subordinado en un clúster no necesita tener instalado el soporte de MNC.

Cuando haya acabado de definir los recursos asociados a un Connection Manager,

se le preguntará si desea iniciar el Connection Manager ahora.

Existen algunas características, como por ejemplo los valores de alertas, que sólo

pueden establecerse utilizando la ventana Propiedades del Connection Manager.

Consulte el apartado “Edición de propiedades de recursos” en la página 101 para

obtener más información.

Añadir una interfaz de red móvil

En el separador Recursos, pulse con el botón derecho del ratón los servicios de

acceso móvil a los que desea añadir una interfaz de red móvil (MNI) y, a

continuación, pulse Añadir –> Interfaz de red móvil.

A medida que lleva a cabo los pasos del asistente, repase los valores

predeterminados y especifique lo siguiente:

v Cómo se direcciona el tráfico fuera de la MNI. En AIX y Solaris, se asigna una

dirección IP y una máscara de subred para utilizar una subred a través de la

cual el tráfico se direcciona públicamente. En sistemas Linux , puede elegir

entre:

– Utilizar un servidor DHCP ubicado externamente

– Utilizar un servidor DHCP externo con NAT

– Utilizar una subred a través de la cual el tráfico se direcciona públicamente

Para obtener una descripción completa de estas opciones, consulte el apartado

“Interfaz de red móvil (MNI)” en la página 132.

v El estado inicial de la MNI: elija activar si desea que la MNI sea utilizada por el

servicios de acceso móvil al iniciarse. Elija inactivo si no desea que la MNI se

utilice inmediatamente.

v Si Connection Manager envía información de configuración del sistema de

nombres de dominio (DNS) y del servicio de nombres Internet de Windows

(WINS) a los clientes Mobility conectados a esta MNI. La configuración DNS se

utiliza para resolver nombres de sistema en direcciones IP. El protocolo WINS,

en combinación con la difusión de búsqueda de nombres, se utiliza para

convertir nombres de sistema en direcciones IP. En caso de hacerlo, especifique

la dirección IP del servidor primario y, opcionalmente, la dirección IP de un

servidor secundario.

v Si la MNI utiliza filtros para impedir o permitir la comunicación entre las

direcciones IP de una MNI. En las listas de filtros existentes y de correlaciones

de paquetes, elija los que desea aplicar a esta MNI.

Es posible que desee crear una OU que contenga los filtros y las correlaciones de

paquetes definidos. Si desea poner los filtros o las correlaciones de paquetes en

Capítulo 5. Configuración de recursos 83

grupos para que puedan utilizarse juntos, cree primero los grupos y después, a

medida que define cada filtro o correlación de paquetes, colóquelos en un grupo.

1. Pulse el separador Recursos.

2. Pulse con el botón derecho del ratón la OU en la que desea añadir un nuevo

grupo.

3. Seleccione Añadir recurso –> Grupo –>Grupo de filtros o Añadir recurso –>

Grupo –>Grupo de correlaciones de paquetes o NAT.

Para añadir un filtro o una correlación de paquetes:

1. Pulse el separador Recursos.

2. Pulse con el botón derecho del ratón la OU en la que desea añadir un nuevo

filtro o correlación de paquetes.

3. Seleccione Añadir recurso –> Filtro o Correlación de paquetes–> TCP, UDP,

ICMP u otros.v Determine si desea que los clientes Mobility puedan negociar las entradas de

tabla de direccionamiento durante el inicio de sesión. En caso afirmativo,

especifique la lista de direcciones IP que son rutas válidas que el Connection

Manager baja al Mobility Client.

Añadir otros recursos específicos de los servicios de acceso móvil

Para obtener más información acerca de las propiedades que definen estos recursos

específicos de los servicios de acceso móvil, consulte los apartados siguientes:

v “TCP-Lite” en la página 121

– “Codec HTTP” en la página 122v “Conexión y perfiles de transporte” en la página 122

v “Grupos para los servicios de acceso móvil” en la página 128

v “Dispositivo portátil” en la página 129

v “Perfil de módem” en la página 129

v “Conversor de direcciones de red” en la página 129

v “Correlación de paquetes” en la página 131

v “Filtro” en la página 131

v “Alias de direccionamiento” en la página 131

v “Interfaz de red móvil (MNI)” en la página 132

Para crear cualquiera de estos recursos, con la excepción de la interfaz de red

móvil y el alias de direccionamiento, realice lo siguiente:

1. Pulse el separador Recursos.

2. Pulse con el botón derecho del ratón la OU en la que desea crear el recurso.

3. Seleccione Añadir recurso > Recurso a crear.

Para crear un alias de direccionamiento o una MNI:

1. Pulse el separador Recursos.

2. Pulse con el botón derecho del ratón en el servicios de acceso móvil al que

desee añadir el recurso y, a continuación, pulse Añadir > Alias de

direccionamiento o MNI.

84 Lotus Mobile Connect Administrator’s Guide

Añadir una conexión de red móvil

En el separador Recursos, pulse con el botón derecho del ratón el Connection

Manager al que desea añadir una conexión de red móvil y, a continuación, pulse

Añadir –>Conexión de red móvil.

A medida que lleva a cabo los pasos del asistente, repase los valores

predeterminados y realice lo siguiente:

v Elija un tipo de red en la lista desplegable. Cada tipo de red requiere parámetros

específicos de la red, como por ejemplo uno o más puertos físicos.

v Especifique una descripción opcional

v Elija un perfil de conexión. Consulte el apartado “Conexión y perfiles de

transporte” en la página 122.

v Especifique el puerto UDP en el que Connection Manager está a la escucha.

v Seleccione el estado inicial de la MNC. Elija activo si desea que la MNC sea

utilizada por el Connection Manager al iniciarse. Elija inactivo si no desea que la

MNC se utilice inmediatamente.

Añadir usuarios

Añada usuarios individualmente o en una modalidad por lotes.

Para definir los ID de usuario individualmente, pulse con el botón derecho del

ratón en la OU a la que desee añadir un nuevo usuario. Seleccione Añadir recurso

–> Usuario. Rellene los campos para identificar el usuario.

Añadir recursos en modalidad por lotes

Si está familiarizado con los archivos de formato de intercambio de datos (LDIF)

del protocolo ligero de acceso a directorio (LDAP), puede añadir un gran número

de usuarios (sólo entorno personalizado) o dispositivos portátiles en modalidad

por lotes. Dado que este proceso elude el programa del Gatekeeper, no se lleva a

cabo el proceso de errores que el Gatekeeper realiza al añadir recursos.

Consulte la documentación de la implementación de DSS para obtener información

sobre cómo crear archivos LDIF. Cuando haya terminado de editar los archivos,

cárguelos en la base de datos de servicios de directorio.

Añadir servicios de mensajería

En el separador Recursos, pulse con el botón derecho del ratón el Connection

Manager al que desea añadir los servicios de mensajería y, a continuación, pulse

Añadir –> servicios de mensajería.

Cuando defina los servicios de mensajería en el Connection Manager, especifique el

número de puerto en el que el Connection Manager está a la escucha de solicitudes

procedentes de aplicaciones que utilizan las API de push y de servicios de

mensajería. El puerto predeterminado es 13131.

Para cada MNC de mensajería que desea definir:

v Elija un tipo de red en la lista desplegable. Cada tipo de red requiere parámetros

específicos de la red, como por ejemplo uno o más puertos físicos.

v Determine si desea que esta MNC pertenezca a un grupo MNC preexistente.

Capítulo 5. Configuración de recursos 85

v Seleccione el estado inicial de la MNC. Elija activo si desea que la MNC sea

utilizada por el Connection Manager al iniciarse. Elija inactivo si no desea que la

MNC se utilice inmediatamente.

v Especifique un número de puerto de servicio de aplicaciones o una combinación

de URL/número de puerto predeterminado que indica una dirección IP decimal

con puntos (o un nombre de sistema principal) seguida de un número de puerto

que esta MNC utiliza para reenviar los mensajes originados en un dispositivo

portátil y enviados desde el dispositivo portátil a los servicios de mensajería. Si

especifica un dominio y nombre de sistema principal, los servicios de mensajería

utilizan una operación de búsqueda en el sistema de nombres de dominio (DNS)

para resolver el nombre en una dirección IP. Si el servidor DNS no está

disponible, la operación de búsqueda puede tardar varios minutos en

completarse y ello podría afectar negativamente al rendimiento. Si prevé que la

red puede tener problemas de resolución de DNS, asegúrese de que el URL

predeterminado se especifica como una dirección IP decimal con puntos.

También puede configurar conexiones para que utilicen la capa de sockets

protegidos (SSL) entre los servicios de mensajería y las aplicaciones que utilizan las

API de push y de servicios de mensajería. El puerto predeterminado para las

solicitudes SSL es 13132. Para obtener más información, consulte el apartado

“Configuración de los certificados SSL para los servicios de mensajería” en la

página 140.

Existen propiedades adicionales que pueden configurarse una vez que haya

terminado de añadir los servicios de mensajería:

v El nivel de mensajes almacenado en la base de datos de información de sesión.

Seleccione entre:

Ninguno

No se almacenan mensajes en la base de datos. Los mensajes que estén

en cola cuando se concluye el Connection Manager no se recuperan

cuando éste se vuelve a iniciar. El resultado de esta selección es un

aumento de la productividad en los servicios de mensajería.

Sólo mensajes de entrega retardada

Sólo se almacenan los mensajes que están en cola y pendientes porque

una aplicación ha sometido un mensaje para entregarlo más adelante.

Los mensajes que estén en cola cuando se concluye el Connection

Manager se recuperan cuando éste se vuelve a iniciar.

Todos Todos los mensajes se almacenan en la base de datos. Los mensajes que

estén en cola cuando se concluye el Connection Manager se recuperan

cuando éste se vuelve a iniciar. El resultado de esta selección es una

disminución de la productividad en los servicios de mensajería.v Dos campos adicionales que especifican cuándo los registros de estado de los

mensajes procesados se descartan o comprueban para determinar si han

caducado.

Vea las propiedades de los servicios de mensajería para editar estos campos.

Consulte el apartado “Edición de propiedades de recursos” en la página 101.

Puede añadir un servicio de aplicaciones genérico o paso a través a los servicios de

mensajería. En el panel izquierdo, pulse con el botón derecho del ratón sobre los

servicios de mensajería a los que desea añadir un servicio de aplicaciones y, a

continuación, pulse Añadir servicio de aplicaciones.

Para un servicio de aplicaciones genérico, especifique lo siguiente:

86 Lotus Mobile Connect Administrator’s Guide

v El nombre común del servicio

v El puerto de entrada que utiliza el cliente de mensajería

v Qué protocolo de transporte debe utilizarse (UDP, TCP o TCP con SSL) entre los

servicios de mensajería y el servidor de aplicaciones

v La dirección y el número de puerto del servidor de aplicaciones

v La cantidad de tiempo que los servicios de mensajería mantienen información

específica acerca del dispositivo portátil después de que no haya habido tráfico

en ninguno de los dos sentidos.

v Si se debe incluir el identificador de dispositivo en la corriente de datos

v Qué MNC o grupos MNC utilizan el servicio de aplicaciones

Para un servicio de aplicaciones paso a través, especifique el nombre común del

servicio de aplicaciones y qué MNC o grupos MNC utilizan el servicio de

aplicaciones.

Añadir Servicios de acceso HTTP

Determine si desea habilitar los servicios de acceso HTTP. En el separador

Recursos, pulse con el botón derecho del ratón el Connection Manager al que

desea añadir los servicios de acceso HTTP y, a continuación, pulse Añadir –>

Servicio de acceso HTTP. Repase los valores predeterminados y especifique lo

siguiente:

v El puerto en el que el Connection Manager está a la escucha de la comunicación

con los servidores HTTP seguros (HTTPS) y con un puerto opcional no seguro

desde el que se redirige todo el tráfico.

v El URL de servicio que los clientes utilizan en su aplicación HTTP (como por

ejemplo un navegador).

v Si se utilizan certificados de autenticación.

v Valores de seguridad utilizando la capa de sockets protegidos (SSL). Existen

varias formas de configurar el conducto SSL:

– Después de crear servicios de acceso HTTP, debe tener un certificado

almacenado en el sistema Connection Manager, protegido por una contraseña

oculta que se utiliza entre Connection Manager y los clientes HTTP. Con la

interfaz IBM Key Management, almacene el certificado utilizando la base de

datos de claves y los archivos de contraseña oculta. Estos archivos son

http.trusted.kdb y http.trusted.sth, y se encuentran en el directorio de

instalación. La contraseña oculta predeterminada es ″trusted″. Para cambiar

los valores predeterminados, edite las propiedades de los servicios de acceso

HTTP en el separador SSL.

– Determine si desea forzar la validación de certificados de dos vías, en la que

el navegador cliente también debe proporcionar un certificado que se

comprueba comparándolo con los certificados almacenados en la base de

datos de claves de Connection Manager. Para cada servicio de acceso HTTP

que se debe verificar, ejecute este mandato:

chwg -s ibm-wlHttpService -l http-service0 -a ibm-wlSslHandshake=509

donde http-service0 es el servicio de acceso HTTP que desea configurar y 509

es el número de puerto. El valor predeterminado de número de puerto es 508.

– Determine si desea tener un certificado almacenado en el sistema Connection

Manager que se utiliza entre Connection Manager y los servidores de

aplicaciones HTTP. Si es así, almacene el certificado utilizando la base de

datos de claves y los archivos de contraseña oculta mediante la interfaz IBM

Capítulo 5. Configuración de recursos 87

Key Management. Edite las propiedades de los servicios de acceso HTTP y

asegúrese de seleccionar el recuadro Se necesita SSL en proxy en el

separador Modalidad.v Un perfil de autenticación.

v El número máximo de hebras de proceso que deben utilizarse para el proceso de

conexiones. Los Servicios de acceso HTTP asignan sesiones por turno circular a

las hebras.

v El tiempo máximo de inactividad en minutos que debe transcurrir para que los

servicios de acceso HTTP desactiven la conexión entre ellos mismos y el servidor

HTTP y entre ellos mismos y el cliente HTTP.

Habilitar la comunicación segura

El proceso de habilitar la comunicación segura depende de las opciones de

seguridad que elija desplegar. Consulte el apartado “Seguridad” en la página 41

para obtener una descripción de las opciones y los enlaces a estos procedimientos

de configuración.

Configurar certificados SSL en el Connection Manager

Puede configurar certificados de clave pública para utilizar la capa de sockets

protegidos (SSL) y habilitar una conexión segura. Para determinar qué certificados

de clave pública desea habilitar, revise las opciones que se describen en el apartado

“Autenticación y cifrado” en la página 44.

Para añadir o ver los certificados de clave en la base de datos de claves de

Connection Manager, inicie una sesión como root y utilice la interfaz IBM Key

Management: Escriba wg_ikeyman. Después de realizar cambios en una base de

datos de claves, concluya y luego inicie el Connection Manager para activar los

cambios.

Puede configurar certificados de clave pública para utilizar SSL:

Entre los servicios de mensajería y las aplicaciones que utilizan las API de push

y de servicios de mensajería

Consulte el apartado “Configuración de los certificados SSL para los

servicios de mensajería” en la página 140.

Entre los gestores de conexiones de un clúster

Para proteger la conexión entre los gestores de conexiones de un clúster,

configure cada nodo del clúster para que utilice el protocolo de

comunicaciones TCP/SSL. Los certificados de clave en el punto final del

Connection Manager se almacenan en una base de datos de claves,

cm.trusted.kdb. La base de datos de claves se protege mediante la

contraseña oculta predeterminada, “trusted”, y se almacena en el archivo,

cm.trusted.sth.

Para establecer el protocolo de comunicaciones internodo, pulse TCP/SSL

en el separador Subordinado de un gestor de clústeres.

Con perfiles de autenticación por enlace LDAP

Para proteger la conexión entre los gestores de conexiones y los servidores

de enlace LDAP, configure cada punto final utilizando la máquina del

Connection Manager. Los certificados de clave en el punto final del

Connection Manager se almacenan en una base de datos de claves y se

protegen mediante una contraseña oculta.

88 Lotus Mobile Connect Administrator’s Guide

Para especificar un nombre de archivo de base de datos de claves o un

nombre de archivo de contraseña oculta, edite el separador Seguridad de

las propiedades del perfil de autenticación. Para obtener información

detallada sobre cómo asignar un perfil de autenticación a los Servicios de

acceso HTTP o a la MNC, consulte el apartado “Utilizar perfiles de

autenticación por enlace LDAP” en la página 93.

Con perfiles de autenticación basada en certificados

Para verificar un certificado de cliente comparándolo con la información de

la autoridad de certificación almacenada en una base de datos de claves,

especifique la ubicación de los archivos de la base de datos de claves y de

la contraseña oculta.

Para especificar el nombre de archivo de la base de datos de claves o el

nombre de archivo de la contraseña oculta, edite el separador

Autenticación basada en certificados de las propiedades del perfil de

autenticación. Para obtener información más detallada sobre cómo asignar

un perfil de autenticación a una MNC, consulte el apartado “Utilizar

perfiles de autenticación basada en certificados” en la página 93.

Con servicios de acceso HTTP o para la MNC de HTTPS

Para proteger la conexión entre los servicios de acceso HTTP y los clientes

HTTP o los servidores de aplicaciones HTTP o para la MNC de HTTPS,

configure cada punto final.

Utilice la máquina del Connection Manager para almacenar un certificado

de claves para la MNC de HTTPS o el punto final de los Servicios de

acceso HTTP en una base de datos de claves, protegida por una contraseña

oculta. El nombre de archivo de la base de datos de claves predeterminada

es http.trusted.kdb. La contraseña oculta predeterminada es “trusted” y se

almacena en http.trusted.sth.

Para cambiar el nombre de archivo de la base de datos de claves y el

nombre de archivo de contraseñas ocultas, edite el separador SSL de las

propiedades de la MNC de HTTPS o los Servicios de acceso HTTP. A

continuación, asegúrese de que el servicio de acceso HTTP tiene acceso a

los certificados SSL de los servidores HTTP. Este procedimiento varía en

función de cada producto y no se explica en este documento. Lea la Guía

de administración de su servidor HTTP para obtener información sobre

cómo habilitar las comunicaciones SSL. Visite el Centro de soporte de

Internet de IBM en www.ibm.com/support para obtener la Guía de

administración de IBM WebSphere Edge Server, si utiliza este producto

para el servidor HTTP.

Consulte el apartado “Añadir Servicios de acceso HTTP” en la página 87

para obtener más información.

Si desea obtener más información sobre cómo cambiar la contraseña oculta, crear

una solicitud de certificado, enviar la solicitud de certificado, almacenar

certificados y actualizar el certificado raíz, pulse Ayuda –> Contenido utilizando la

interfaz de gestión de claves de IBM.

Configurar certificados SSL entre el Gatekeeper y el gestor de

accesos

Utilice la interfaz IBM Key Management para completar este procedimiento. Para

obtener más información sobre cómo completar estos pasos, pulse Ayuda ->

Contenido para acceder a la ayuda en línea.

Capítulo 5. Configuración de recursos 89

|

1. Inicie una sesión en el sistema de gestión de accesos como root y escriba

wg_ikeyman.

2. Pulse Archivo de base de datos de claves > Abrir.

3. Seleccione CMS como tipo de base de datos.

4. Desde el directorio de instalación, abra el archivo wgmgrsd.trusted.kdb. La

contraseña predeterminada es trusted.

5. Cree un certificado autofirmado o envíe una solicitud de certificado para

obtener un certificado de una entidad emisora de certificados. Si obtiene un

certificado de una entidad emisora de certificados, añádalo al archivo de base

de datos de claves abierto.

6. Si utiliza un certificado autofirmado, extráigalo a un archivo y transfiera el

archivo al sistema Gatekeeper.

Si utiliza un certificado de una entidad emisora de certificados cuyo

certificado de firmante no se incluye automáticamente en el archivo de la base

de datos de claves, transfiera el archivo de certificados del firmante de la CA

al sistema del Gatekeeper.

7. Pulse Archivo de base de datos de claves > Cerrar.

8. Inicie una sesión en el sistema Gatekeepercomo root y escriba wgcfgikeyman.

Los certificados de firmante de varias entidades emisoras de certificados

conocidas se incluyen automáticamente en el archivo de base de datos de

claves. Si utiliza un certificado de una de estas CA, no tiene que realizar

ninguna otra acción con el archivo de base de datos de claves del Gatekeeper.

Para ver la lista completa de certificados de firmante incluidos, abra el archivo

de base de datos del Gatekeeper y seleccione Certificados de firmante.

9. Pulse Archivo de base de datos de claves -> Abrir.

10. Seleccione JKS como tipo de base de datos de claves.

11. Desde el directorio de instalación del Gatekeeper, abra el archivo trusted.jks.

La contraseña predeterminada es trusted.

12. Seleccione Certificados de firmante en la lista desplegable.

13. Pulse Añadir... .

14. Seleccione el tipo de archivo adecuado para el certificado que está añadiendo.

Seleccione entre los datos ASCII codificados en Base64 para los archivos de

tipo .arm, o datos DER binarios para los archivos de tipo .der.

15. Especifique la ubicación y el nombre de archivo del certificado.

16. Entre una etiqueta para el certificado y, a continuación, pulse Aceptar.

17. Pulse Archivo de base de datos de claves -> Cerrar.

Observaciones sobre las propiedades del gestor de accesos:

1. Puede cambiar los valores predeterminados y configurar valores opcionales

para SSL en las propiedades del gestor de accesos. Para cambiar los nombres

predeterminados del archivo de base de datos de claves (wgmgrsd.trusted.kdb)

y el archivo de contraseña oculta, edite el separador Seguridad de las

propiedades del gestor de accesos.

2. Opcionalmente, en el separador Seguridad, pulse Forzar conexiones remotas a

utilizar SSL para evitar que los administradores inicien sesión sin utilizar una

conexión SSL.

3. Opcionalmente, en el separador Cifras SSL, especifique qué cifras SSL se deben

utilizar para la conexión de Gatekeeper con el gestor de accesos.

4. Si lo desea, en el separadorRegistro, puede establecer el nombre del archivo de

registro SSL y el nivel de registro.

90 Lotus Mobile Connect Administrator’s Guide

|

|||||

|||

||

||

Añadir un perfil de inicio de sesión seguro

Antes de añadir un perfil de inicio de sesión seguro, asegúrese de que el

certificado raíz está actualizado en la base de datos de claves del Gatekeeper.

Asegúrese de que el puerto 9555 y el puerto 9559 están disponibles para la

comunicación entre el gestor de accesos y el Gatekeeper. Para especificar números

de puerto distintos del valor predeterminado, consulte el apartado “Connection

Manager” en la página 15 para obtener más información.

Si no se ha creado ningún perfil de inicio de sesión cuando inicie el Gatekeeper, se

visualiza automáticamente la ventana Detalles de perfil de inicio de sesión. Para

abrir la ventana Detalles de perfil de inicio de sesión, pulse Archivo –> Perfiles de

inicio de sesión.

Para añadir un perfil de inicio de sesión seguro:

1. Pulse Añadir perfil seguro.

2. Escriba un nombre descriptivo del perfil en el campo Nombre de perfil de

inicio de sesión. Este nombre describe el par de nombre de sistema principal y

puerto que se utiliza para establecer una conexión con el gestor de accesos

cuando se selecciona este perfil de inicio de sesión.

3. Especifique la dirección IP o el nombre de sistema principal de destino del

sistema donde está instalado el gestor de accesos en el campo Nombre de

sistema principal.

Además, puede especificar si la resolución de nombres se intenta

automáticamente para el campo de nombre de sistema principal. Quite la

marca del recuadro de selección para las redes sin servicio de sistema de

nombres de dominio (DNS) o al conectarse a un gestor de accesos

multiubicado; de lo contrario, marque el recuadro de selección Intentar

resolución de nombres.

4. Especifique el número de puerto del gestor de accesos en el campo Puerto. De

manera predeterminada, el número de puerto es 9559. Tenga en cuenta que un

perfil de inicio de sesión seguro utiliza tanto el puerto 9555 como el puerto

9559.

5. Especifique la vía de acceso y el nombre de archivo del almacenamiento de

claves Java que desea utilizar en el campo Nombre de archivo de base de

datos de claves. Pulse Examinar para visualizar una vista filtrada de archivos

de almacenamiento de claves.

6. Especifique la contraseña en el campo Contraseña oculta. La contraseña oculta

predeterminada es trusted.

7. Pulse Aceptar.

Después de realizar cambios en la base de datos de claves, salga y luego inicie el

Gatekeeper para activar los cambios.

Utilizar servidores de contabilidad o de autenticación de

terceros

Para fines de contabilidad y facturación, consulte el apartado “Utilizar servidores

RADIUS” en la página 92.

Para fines de autenticación, consulte los apartados siguientes:

v “Utilizar servidores RADIUS” en la página 92

v “Utilizar perfiles de autenticación por enlace LDAP” en la página 93

Capítulo 5. Configuración de recursos 91

v “Utilizar perfiles de autenticación basada en certificados” en la página 93

Utilizar servidores RADIUS

Puede configurar el Connection Manager para que utilice servidores RADIUS:

v Para configurar un Connection Manager de modo que se conecte directamente

con servidores RADIUS para la autenticación de terceros, consulte el apartado

“Utilizar perfiles de autenticación RADIUS”.

v Para configurar el Connection Manager para que envíe mensajes de contabilidad

RADIUS a un servidor RADIUS, consulte el apartado “Utilizar servidores

RADIUS para contabilidad y facturación”.

Utilizar perfiles de autenticación RADIUS: Para configurar un Connection

Manager que se conecte directamente con servidores RADIUS para la autenticación

de terceros, cree un perfil de autenticación RADIUS y asígnelo a los Servicios de

acceso HTTP o a un perfil de conexión:

1. Pulse el separador Recursos.

2. Pulse con el botón derecho del ratón la OU en la que desea crear un perfil de

autenticación.

3. Seleccione Añadir recurso –> Perfil de autenticación–> RADIUS.

a. Si se trata de una MNC para la conexión con clientes Mobility, determine si

debe recibir una solicitud adicional para la autenticación. Si esta opción no

está seleccionada, la cuenta de usuario del Mobility Client se pasa al

servidor RADIUS.

A continuación, edite las propiedades del Connection Manager. Repase el

número de puerto del Connection Manager que está a la escucha del tráfico

procedente de los clientes Mobility. El puerto predeterminado es 9610.

b. Especifique una lista delimitada por comas de las direcciones IP de los

servidores RADIUS. Todos los servidores RADIUS utilizan el mismo puerto

y secreto compartido.4. Edite las propiedades del perfil de conexión o del servicio de acceso HTTP.

Pulse el separador Seguridad y, a continuación, seleccione el Perfil de

autenticación secundario deseado.

Utilizar servidores RADIUS para contabilidad y facturación: Para configurar un

Connection Manager de modo que se conecte directamente con servidores RADIUS

para enviar mensajes de contabilidad RADIUS, edite las propiedades del

Connection Manager. Consulte el apartado “Edición de propiedades de recursos”

en la página 101. Pulse el separador Contabilidad RADIUS y, a continuación,

pulse el recuadro de selección Utilizar contabilidad RADIUS.

Especifique la dirección IP y el puerto del servidor primario. Opcionalmente,

identifique un servidor secundario y un puerto que se utilizarán en caso de que no

se pueda acceder al servidor primario. Los servidores RADIUS primario y

secundario utilizan el mismo secreto compartido.

Se proporciona un archivo de diccionario de ejemplo que incluye una lista de los

atributos y de sus valores respectivos para los paquetes de contabilidad que se

envían al servidor RADIUS. El diccionario se suministra con Connection Manager

y se instala en un sistema AIX o Solaris en /opt/IBM/ConnectionManager/conf/dictionary.ewg. En sistemas Linux se encuentra en /opt/ibm/ConnectionManager/conf/dictionary.ewg. Consulte el apartado “Información de sesión almacenada en

una base de datos relacional” en la página 37 para obtener más información sobre

cómo utilizar la contabilidad RADIUS.

92 Lotus Mobile Connect Administrator’s Guide

Utilizar perfiles de autenticación por enlace LDAP

Para configurar un Connection Manager de modo que se conecte directamente con

servidores de enlace LDAP para la autenticación de terceros, primero cree un

recurso de servidor de directorios. A continuación, cree un perfil de autenticación y

asígnelo a un perfil de conexión o a los Servicios de acceso HTTP.

1. Pulse el separador Recursos.

2. Pulse con el botón derecho del ratón la OU en la que desea crear un servidor

de directorios y, a continuación, pulse Añadir recurso –> Servidor de

directorios. En el apartado “Configurar un servidor de directorios” en la

página 96 encontrará más detalles.

3. Pulse el separador Recursos.

4. Pulse con el botón derecho del ratón la OU en la que desea crear un perfil de

autenticación y, a continuación, pulse Añadir recurso –> Perfil de

autenticación–> Enlace LDAP.

a. Especifique la dirección IP o el nombre de sistema principal y el número de

puerto del servidor LDAP.

b. Utilizando la notación estándar de X.500, especifique la raíz o el sufijo del

árbol de directorio en el que empieza la búsqueda de recursos de

autenticación de clientes.

c. Especifique el atributo que se utiliza como clave para determinar en qué

lugar del árbol de directorio debe realizarse la búsqueda de usuarios en el

DSS. Por ejemplo, puede cambiar el campo de clave de usuario para indicar

que la búsqueda en el DSS localice el ID de un usuario (uid) en lugar de la

cuenta de correo electrónico del usuario (mail). El valor predeterminado es

mail.5. Edite las propiedades del perfil de conexión o del servicio de acceso HTTP.

Pulse el separador Seguridad y, a continuación, seleccione el Perfil de

autenticación deseado.

Utilizar perfiles de autenticación basada en certificados

Para configurar un Connection Manager de modo que se conecte a servidores

basados en certificados para la autenticación de terceros, cree un perfil de

autenticación, asígnelo a un perfil de conexión y asegúrese de que los certificados

de clave están almacenados:

1. Pulse el separador Recursos.

2. Pulse con el botón derecho del ratón la OU en la que desea crear un perfil de

autenticación.

3. Seleccione Añadir recurso –> Perfil de autenticación–> Basada en certificados.

Especifique un nombre descriptivo del perfil y determine cómo desea verificar

la autenticidad del certificado de cliente. Tiene varias opciones. Para obtener

más información sobre cómo se solicitan las credenciales al cliente, consulte

“Autenticación de terceros mediante certificados” en la página 48.

4. Edite las propiedades del perfil de conexión. Pulse el separador Seguridad y, a

continuación, seleccione el Perfil de autenticación secundario deseado.

Configurar nodos de clúster

Instalado automáticamente e inactivo de manera predeterminada, cada recurso de

gestor de clústeres se visualiza debajo del Connection Manager. Los gestores de

clústeres definen nodos subordinados o principales en un clúster. Para cambiar la

configuración de los nodos de clúster, debe tener como mínimo el permiso de

acceso de ACL de modificación al Connection Manager.

Capítulo 5. Configuración de recursos 93

Coloque los nodos subordinados en un grupo de clústeres, de modo que los nodos

principales puedan limitarse a despachar tráfico sólo a los nodos del grupo.

Primero cree los grupos de clústeres, asigne los nodos subordinados al grupo y

luego asigne el grupo al nodo principal. Para crear un grupo de clústeres:

1. Pulse el separador Recursos.

2. Pulse con el botón derecho del ratón la OU en la que desea crear un nuevo

grupo.

3. Seleccione Añadir recurso –> Grupo –> Grupo de clústeres.

Para ver o cambiar la configuración de los nodos de clúster, edite las propiedades

del gestor de clústeres. Consulte el apartado “Edición de propiedades de recursos”

en la página 101.

Para habilitar un nodo subordinado, pulse el separador Subordinado y, a

continuación, pulse Permitir que el Connection Manager sea un nodo

subordinado. Revise los valores predeterminados para el protocolo de transporte,

puerto, duración de la sesión y algoritmo de distribución que desea que utilice este

nodo subordinado. Además, elija el estado actual del nodo subordinado: Activo,

Definido o Mantenimiento. Pulse Consejos para obtener una descripción de estos

valores predeterminados y consulte el apartado “Gestor de clústeres” en la página

19 para ver una definición de los algoritmos de distribución y del estado actual.

Para habilitar un Connection Manager para que se convierta en un nodo principal,

pulse el separador Principal y, a continuación, pulse Permitir que el Connection

Manager sea un nodo principal. Seleccione nodos subordinados o grupos de

clústeres individuales a los que el nodo principal despacha tráfico.

Cuando realice una migración del Connection Manager desde una versión anterior

a una versión más reciente, asegúrese de migrar el nodo principal antes de migrar

los nodos subordinados. Asegúrese de que todos los nodos de clúster se migran al

mismo nivel de código. Consulte la Guía de resolución de problemas para obtener más

información sobre cómo determinar el nivel de código.

Configurar nodos de clúster para MNC sin conexión

Puede mejorar el rendimiento de las MNC sin conexión, como por ejemplo ip-lan o

ip-wdp, utilizando interfaces IP lógicas. Las interfaces IP lógicas son un forma de

asociar más de una dirección IP a una determinada interfaz física. La utilización de

interfaces IP lógicas permite que los nodos subordinados eludan el nodo principal

al enviar datos a un dispositivo portátil o al Mobility Client. Esta desviación

mejora los tiempos de respuesta y reduce la carga de proceso en el nodo principal.

Tenga en cuenta que los nodos principal y subordinado deben tener la misma vía

de conectividad; es decir, no ubique los nodos subordinados detrás de un

cortafuegos y separados del nodo principal.

Para configurar una interfaz IP lógica, debe añadir un alias a la tarjeta de interfaz

red del nodo principal para que una dirección de clúster reciba tráfico de los

clientes. Esta dirección de clúster también se utiliza para configurar una interfaz IP

lógica en el nodo subordinado que está asociado a la interfaz de bucle de retorno.

A continuación, edite las propiedades de la MNC en el nodo primario para

enlazarla a esta dirección de clúster. Este enlace directo hace que la MNC del nodo

principal esté a la escucha de los datos utilizando la dirección de clúster.

Finalmente, configure los clientes de modo que utilicen la dirección de clúster para

enviar datos al Connection Manager.

94 Lotus Mobile Connect Administrator’s Guide

Para configurar nodos de clúster para MNC sin conexión:

1. Añada la dirección de clúster como un alias a la tarjeta de interfaz de red (NIC)

primaria en la máquina del nodo principal.

Por ejemplo, emita el mandato o siga el procedimiento:

AIX

chdev -l <en0> -a alias4=<204.67.172.72,255.255.255.0>

donde <en0> es el nombre lógico de la NIC, <204.67.172.72> es la

dirección de clúster y <255.255.255.0> es la máscara de subred.

Linux

ip addr add 204.67.172.72/24 dev eth0

donde 204.67.172.72 es la dirección de clúster, 24 es la máscara de

subred y eth0 es el nombre de la NIC física.

Solaris

ifconfig hme0:1 204.67.172.72 255.255.255.0

donde hme0:1 es el nombre de la NIC física, seguido del nombre lógico

de la NIC, 204.67.172.72 es la dirección de clúster y 255.255.255.0 es la

máscara de subred.2. Establezca el sistema operativo para que los valores de red sean persistentes

después de reiniciar el sistema.

3. En todos los nodos subordinados, asegúrese de que el dispositivo de bucle de

retorno subordinado no responda a solicitudes ARP. A continuación, se

proporcionan dos ejemplos de cómo realizar este paso en distribuciones Linux:

Red Hat Enterprise Linux 4.0 ES

a. Asegúrese de que arptables está instalado.

b. Vacíe la tabla ARP para todos los nodos subordinados ejecutando el

mandato: arptable -F

c. Ejecute el siguiente mandato para restablecer todas las cadenas:

/etc/init.d/arptables_jf stop

d. Elimine las respuestas ARP para la dirección del clúster del tráfico

entrante: /sbin/arptables -A IN -j DROP -d 204.67.172.72 , donde

204.67.172.72 es la dirección de clúster.

e. Añada la regla de mutilación a la cadena saliente: /sbin/arptables

-A OUT -j mangle -o eth0 -s 204.67.172.72 --mangle-ip-s

204.67.172.72 , donde 204.67.172.72 es la dirección de clúster.

f. Guarde el arptable: /etc/init.d/arptables_jf save

g. Verifique que estos valores se hayan añadido al arptable: arptables

-L -n -v

h. Active la cadena: /etc/init.d/arptables_jf start

i. Cree un alias de la dirección de clúster en el adaptador de bucle de

retorno:

ip addr add 204.67.172.72/32 dev lo

donde 204.67.172.72 es la dirección de clúster

SuSE Linux Enterprise Server 9 y 10

a. Emita estos mandatos:

sysctl -w net.ipv4.conf.all.hidden=1

sysctl -w net.ipv4.conf.lo.hidden=1

Capítulo 5. Configuración de recursos 95

b. Cree un alias de la dirección de clúster en el adaptador de bucle de

retorno:

ip addr add 204.67.172.72/32 dev lo

donde 204.67.172.72 es la dirección de clúster4. Modifique las propiedades de la MNC en el nodo principal. En el separador

Red, pulse el recuadro de selección Enlazar puerto a una dirección específica

y, a continuación, especifique la dirección de clúster en el campo Dirección con

la que enlazar.

Nota: Si decide enlazar a otra tarjeta de interfaz de red de la máquina, reinicie

el Connection Manager para que el cambio surta efecto o bien cree una

nueva MNC a la que enlazará la dirección de la otra tarjeta.

5. Asegúrese de que los clientes están configurados para utilizar la dirección de

clúster para enviar datos al Connection Manager.

Configurar un servidor de directorios

Un servidor de directorios es un recurso que permite al Connection Manager

aprovechar las bases de datos de cuentas de usuario existentes y proporciona la

definición de cómo ponerse en contacto con otro servidor de servicios de directorio

(DSS). También se asigna a perfiles de autenticación por enlace LDAP para

especificar qué servidores se utilizan para realizar la operación de enlace LDAP

para autenticar clientes.

Para crear un recurso de servidor de directorios:

1. Pulse con el botón derecho del ratón la OU donde desea crear el servidor de

directorios y, a continuación, pulse Añadir recurso > Servidor de directorios.

2. Identifique la dirección IP o el nombre de sistema principal y el número de

puerto del servidor de servicios de directorio remoto.

3. Identifique el nombre distinguido base que se utiliza para crear una estructura

de directorios que proporciona una clave exclusiva para localizar los recursos

del Connection Manager. Utilizando la notación X.500 estándar, especifique el

nombre distinguido base que especifica el nodo raíz o el sufijo de la unidad

organizativa primaria de este Connection Manager. Tenga en cuenta que este

campo es sensible a las mayúsculas y minúsculas.

4. Identifique el nombre distinguido del administrador en el servicio de directorio

remoto y la contraseña de la cuenta.

5. Determine si la conexión con el DSS debe protegerse utilizando la capa de

sockets protegidos (SSL). En caso afirmativo, especifique el puerto seguro.

Opcionalmente, especifique los archivos de base de datos de claves y de

contraseña oculta sólo si el servidor de destino requiere autenticación de

cliente. En este caso, asegúrese de que los certificados de clave en el punto final

de Connection Manager están almacenados en una base de datos de claves y

están protegidos mediante una contraseña oculta y que Connection Manager

tiene acceso a los certificados SSL del servidor.

Configurar la búsqueda de cuenta de usuario

Para establecer una asociación entre atributos específicos almacenados en un

servicio de directorio remoto y la información de configuración que está

almacenada en el servicio de directorio definido para los recursos, utilice un

recurso de servidor de directorios.

96 Lotus Mobile Connect Administrator’s Guide

Las búsquedas de servicio de directorio no se ven afectadas por la OU en la que se

ha creado el DSS de empresa. El Connection Manager utiliza el nombre distinguido

(DN) completo para buscar objetos en LDAP, incluido un DSS de empresa. Por

tanto, puede crear un DSS de empresa en cualquier OU que elija.

Para redirigir las búsquedas de servicio de directorio de determinados atributos de

ID de usuario utilizando el Gatekeeper, añada un servidor de directorios para

utilizarlo como DSS de empresa y, a continuación, edite las propiedades del gestor

de accesos.

1. Con el botón derecho del ratón, pulse Gestor de accesos y pulse Propiedades.

2. Pulse el separador DSS de usuario y pulse Utilizar servidor de directorios de

empresa.

3. Seleccione los servidores de directorios de los que desea recuperar datos de

cuentas de usuario.

4. Determine si desea ampliar el árbol de directorio de la empresa para que

incluya el esquema del Connection Manager para las cuentas de usuario.

Para ampliar el servicio de directorio de la empresa, asegúrese de añadir los

siguientes archivos a la definición de esquema de empresa para la

implementación de DSS que ha instalado:

IBM Directory

ibm-cm.wluser.ldif

iPlanet

iplanet-cm.wluser.ldif

Netscape

netscape-cm.wluser.at.conf y netscape-cm.wluser.oc.conf

Código abierto

open-cm.wluser.conf

En AIX o Solaris, estos archivos se instalan en /opt/IBM/ConnectionManager/conf. En Linux, se instalan en /opt/ibm/ConnectionManager/conf/. Cuando se

selecciona ampliar registros, cada transacción se recupera y se almacena en el

registro de usuario de empresa que incluye los atributos y la clase de objeto

wlUser.

5. Determine si el Connection Manager puede comprobar en los registros de

usuario el atributo ibm-WgClient para determinar si se debe permitir que una

cuenta de usuario acceda al Connection Manager.

6. Pulse Aceptar.

Configurar un servidor de directorios alternativo

Para conseguir una alta disponibilidad, puede especificar un servidor de servicios

de directorio (DSS) alternativo. El DSS alternativo contendrá una copia de la

información de configuración de modo que si el servidor primario deja de estar

disponible, Connection Manager continuará ejecutándose utilizando la información

del DSS alternativo.

Durante la configuración del gestor de accesos, el DSS primario recibe

actualizaciones de esquema. Estas actualizaciones se añaden al archivo

/etc/ldapschema/V3.modifiedschema. Este archivo debe copiarse en el servidor

DSS alternativo en la misma vía de acceso del archivo ya que procede del servidor

primario.

Capítulo 5. Configuración de recursos 97

Notas:

1. Detenga el DSS antes de realizar este procedimiento.

2. Una parte de este procedimiento fue escrito para trabajar con IBM Directory

Server utilizando la interfaz de línea de mandatos. Como alternativa, puede

utilizar la consola de administración del navegador web. Siga las instrucciones

del fabricante de DSS para exportar e importar archivos LDIF. Por ejemplo, con

OpenLDAP, utilice el mandato slapcat para exportar archivos y slapadd para

importar archivos.

3. Gatekeeper hace referencia a los servidores DSS como primario y alternativo,

mientras que la administración de LDAP se refiere a los mismos como maestro

y réplica. Para mantener la coherencia, este procedimiento utiliza los términos

″primario″ y ″alternativo″.

Para configurar un DSS alternativo:

1. Configure el gestor de accesos utilizado solamente el DSS primario.

2. Exporte el esquema. Especifique db2ldif -o nombrearchivo, donde

nombrearchivo es el nombre del archivo que desea importar al servidor

alternativo.

3. Importe el esquema. Especifique ldif2db -i nombrearchivo, donde

nombrearchivo es el nombre del archivo de esquema que ha exportado.

4. Modifique las propiedades del gestor de accesos para especificar la dirección IP

del DSS alternativo. Complete el campo Servidor de servicios de directorio en

el separador DSS alternativo del gestor de accesos.

5. Acceda a la consola de administración de LDAP iniciando un navegador y

utilizando el siguiente URL: http://xxxxx/ldap, donde xxxxx es el nombre de

sistema principal o dirección IP del servidor DSS primario. Utilizando la

consola de administración de LDAP:

a. Pulse Replicación –> Réplicas –> Añadir una réplica.

b. Especifique valores para Nombre común = yyyyy, Nombre de sistema

principal = xxx.xxx.xxx.xxx, Intervalo de actualización = x, DN

maestro=cn=admin, Contraseña = xxxxx, Contraseña de confirmación =

xxxxx

donde

yyyyy es el nombre común mediante el cual se pretende hacer referencia

al DSS alternativo

xxx.xxx.xxx.xxx es el valor direccionable IP del DSS alternativo

x es el intervalo de actualización, en segundos, en el que los cambios

realizados en el DSS primario se propagan al DSS alternativo

cn=admin es el nombre del administrador del DSS alternativo

xxxxx es la contraseña y la contraseña de confirmación del administrador

al que hace referencia el DN maestroc. Pulse Añadir.

6. Utilizando la consola de administración de LDAP del servidor DSS alternativo,

realice lo siguiente:

a. Pulse Replicación –> Valores.

b. Especifique valores para DN maestro = cn=admin, Contraseña = xxxxx,

Contraseña de confirmación = xxxxx, Referencia = ldap://xxx.xxx.xxx.xxx:389

donde:

cn=admin es el nombre del administrador del DSS primario

98 Lotus Mobile Connect Administrator’s Guide

xxxxx es la contraseña y contraseña de confirmación del administrador

del DSS primario

xxx.xxx.xxx.xxx es la dirección IP del DSS primarioc. Pulse Actualizar.

Capítulo 5. Configuración de recursos 99

100 Lotus Mobile Connect Administrator’s Guide

Capítulo 6. Administración

Utilice el programa de utilidad wg_monitor para visualizar el flujo de paquetes.

Consulte el apartado “Supervisión del flujo de paquetes” en la página 107 para

obtener más información.

Consulte las Mobility Client Guías del usuario para obtener más información sobre la

navegación de las interfaces del Mobility Client en Linux, Symbian OS y Windows.

Utilización del Gatekeeper

El Gatekeeper es la consola del administrador en el Connection Manager. En este

apartado se describe cómo se presenta la información en el Gatekeeper y cómo

puede utilizarlo para administrar los recursos.

La mayoría de las tareas se pueden ejecutar de varias formas. Por ejemplo, para

crear un recurso, puede partir del separador Tareas y seleccionar Añadir recurso o

puede pulsar con el botón derecho del ratón en una unidad de organización del

separador Recursos y seleccionar Añadir recurso.

Navegación en la interfaz del Gatekeeper

Cuando pulsa dos veces algunos de los recursos del panel izquierdo, en el panel

derecho aparece una lista de ese tipo de recurso. Por ejemplo, si pulsa dos veces

Usuario en el panel izquierdo, aparece una lista de usuarios en el panel derecho.

Cuando aparece una lista de recursos en el panel derecho, puede realizar acciones

en cualquiera de los recursos de la lista.

Cada acción abre una nueva ventana y la coloca delante de las ventanas existentes.

Puede ordenar las ventanas en el panel derecho y colocar una ventana en primer

plano utilizando el menú Ventana.

Pulse con el botón derecho del ratón en un recurso para mostrar un menú de

contexto con las acciones correspondientes a ese recurso. Por ejemplo, para un

recurso del Connection Manager, puede restablecer los archivos de anotaciones,

iniciar o cerrar el Connection Manager y añadir recursos como, por ejemplo,

servicios de acceso móvil, servicios de mensajería, MNC.

Para obtener otro ejemplo, desde el menú contextual de un recurso de ID de

usuario, puede realizar acciones como bloquear, restablecer un inicio de sesión

fallido o restablecer la contraseña. Cuando los recursos aparecen en el panel

derecho, algunas de estas opciones también aparecen en la parte inferior como

botones.

Edición de propiedades de recursos

La ventana Propiedades es una herramienta que permite ver y modificar las

características de un recurso. Propiedades es una opción que aparece en el menú

de contexto de cada tipo de recurso.

Para visualizar la ventana Propiedades de un recurso, pulse con el botón derecho

del ratón en el recurso de la lista y seleccione Propiedades. Puede cambiar los

valores especificados cuando creó el recurso. En algunos casos, puede entrar

valores que no son necesarios cuando se crea el recurso.

101

Las ventanas Propiedades utilizan separadores para agrupar los parámetros de los

recursos. Normalmente, el primer separador muestra los parámetros más generales,

incluidos los que identifican el recurso.

Utilice el botón Renovar en el panel izquierdo para renovar la vista del panel

izquierdo. Utilice el botón Renovar en el panel derecho para renovar sólo la vista

del panel derecho.

Nota: Si tiene varios objetos de Connection Manager definidos en un almacén de

datos común, puede ver todos los Connection Manager y acceder a ellos

desde el panel izquierdo. Si trata de editar los Connection Manager o los

recursos subordinados de un Connection Manager en el que no ha iniciado

sesión, es posible que algunos de los atributos no se visualicen

correctamente si se ejecutan en un sistema operativo distinto al del gestor de

accesos en el que ha iniciado sesión. Por ello, no debe modificar las

propiedades de los recursos entre plataformas.

Opciones de la barra de menús

Archivo –> Iniciar la sesión: Inicia el diálogo Iniciar la sesión, que le conecta al

gestor de accesos. En el diálogo Iniciar la sesión, puede crear o seleccionar el perfil

de inicio de sesión que desea utilizar para conectarse al gestor de accesos.

Archivo –> Desconectar: Esta opción le desconecta del gestor de accesos al que

estaba conectado, pero no cierra el Gatekeeper, lo que permite iniciar una sesión en

otro gestor de accesos.

Archivo –> Cambiar contraseña de inicio de sesión: Permite cambiar la

contraseña del administrador conectado actualmente. Esta opción no está

disponible cuando está conectado el administrador raíz.

Archivo –> Perfiles de inicio de sesión: Permite editar la lista de perfiles que

aparece cuando se conecta al gestor de recursos.

Archivo –> Lista de control de accesos: Muestra las listas de control de accesos

del administrador conectado actualmente. Si ha iniciado una sesión como usuario

raíz o administrador con acceso de Superusuario, tendrá acceso total.

Archivo –> Salir: Cierra el Gatekeeper.

Las siguientes opciones controlan los procesos del Gatekeeper, no los procesos del

Connection Manager.

Opciones –> Rastreo de Gatekeeper: Normalmente, el rastreo sólo se activa si así

lo indica el personal de servicio. Puede elegir:

v Las categorías de información de estado de los subsistemas del Gatekeeper que

se escriben en el archivo de rastreo MainTrace1.txt.

v Restablecer el archivo de rastreo o adjuntar información de rastreo al archivo de

rastreo al iniciar el Gatekeeper. De manera predeterminada, cada vez que se

detiene el Gatekeeper y se vuelve a iniciar, el archivo de rastreo se restablece y

se registra la información encima del archivo, sobrescribiendo la información

anterior.

v Cuando se restablece el archivo de rastreo, si se hace una copia de seguridad del

archivo antiguo. La próxima vez que se inicie el Gatekeeper, se cambia el

nombre del antiguo archivo de rastreo por MainTrace1.txt.bak y se incluyen la

fecha y la hora actuales.

102 Lotus Mobile Connect Administrator’s Guide

||||||||

Tenga en cuenta que el Gatekeeper almacena las contraseñas de forma visible en el

archivo de rastreo. Para comprobar que no se almacenen las contraseñas en el

archivo de rastreo, deseleccione los recuadros de selección de Connection Manager,

el vuelco hexadecimal de comunicaciones y los subsistemas de comunicaciones.

Opciones –> Anotaciones de mensajes de Gatekeeper: Puede elegir:

v Los mensajes de gravedad que se escriben en el archivo de anotaciones de

mensajes, MessageLog.txt

v Restablecer el archivo de mensajes o adjuntar mensajes al archivo al iniciar el

Gatekeeper. De manera predeterminada, cada vez que se detiene el Gatekeeper y

se vuelve a iniciar, el archivo de mensajes se restablece y se registra la

información encima del archivo, sobrescribiendo la información anterior.

v Cuando se restablece el archivo, si se hace una copia de seguridad del archivo

antiguo. La próxima vez que se inicie el Gatekeeper, se cambia el nombre del

antiguo archivo de rastreo por MessageLog.txt.bak y se incluyen la fecha y la

hora actuales.

Nota: Si las anotaciones de mensajes del Gatekeeper no muestran correctamente

todos los caracteres, elija otra herramienta del sistema operativo para ver el

archivo.

Opciones –> Salida de consola de Gatekeeper: Después de dirigir a un archivo

la información de anotaciones de mensajes y de rastreo del Gatekeeper, también

puede dirigir información de anotaciones de mensajes y de rastreo a la consola. La

consola es una ventana que muestra la información de mensajes y de rastreo en el

tiempo de ejecución.

Opciones –> Propiedades de Gatekeeper:

Renovación automática

Cuando un gran número de administradores están añadiendo y

modificando recursos simultáneamente, puede que la vista de los recursos

no se actualice con la frecuencia deseada. Puede elegir si desea que la vista

de los recursos se actualice automáticamente y, en el caso afirmativo, el

intervalo en segundos. El valor predeterminado es 60 segundos.

Visualización de recursos

Pulse Avisarme cuando la lista sobrepase el valor máximo para

especificar que el Gatekeeper muestre un mensaje indicando que el número

de recursos que se visualiza en una lista sobrepasa el valor máximo

configurable.

Pulse Mostrar el diálogo de búsqueda cuando la lista sobrepase el valor

máximo para especificar que aparezca automáticamente el diálogo de

búsqueda para restringir la búsqueda de los recursos que desee.

Cambiar fonts de Gatekeeper

Seleccione el tamaño de los fonts que muestra el Gatekeeper desplazando

el indicador al nivel que desee.

Establecer el URL del Information Center

Pulse Mostrar un elemento de menú de ayuda para Information Center

para añadir Information Center al menú de ayuda. Utilice esta opción

para iniciar un navegador web y ver información sobre el producto.

Consulte el apartado “Utilizar el Information Center” en la página 159.

Visualizando archivos de configuración ISA recopilados

Pulse Habilitar navegador del archivo de configuración para habilitar el

Capítulo 6. Administración 103

||

navegador de archivos de configuración de IBM Support Assistant (ISA).

Al seleccionar esta opción, se añadirá el separador Navegador de archivos

al panel izquierdo del Gatekeeper. El separador Navegador de archivos le

permite navegar y seleccionar los archivos predefinidos y de configuración

que visualizará.

Consulte la Guía de resolución de problemas o la ayuda en línea del Gatekeeper

para obtener más detalles sobre el uso de ISA.

Menú Ventana: Cada vez que abre una ventana, el título se añade a este menú.

Puede pulsar la opción de menú Ventana y, a continuación, elegir el título de una

ventana para que aparezca en primer plano. Si tiene más de nueve ventanas

visualizadas en el panel derecho, este menú muestra una opción Más ventanas que

muestra todas las ventanas abiertas.

También puede seleccionar la forma en que desea que aparezcan las ventanas

abiertas dentro del panel derecho: en cascada (solapándose diagonalmente) o en

mosaico (comprimidas en subventanas sin solaparse), ya sea vertical u

horizontalmente.

Puede cerrar las ventanas una a una o todas a la vez. Si ha habilitado la

navegación en archivos ISA, puede cerrar todas las ventanas abiertas desde los

separadores Recursos o Navegador de archivos.

Menú Ayuda: Consulte el apartado “Obtener ayuda en línea” en la página 160

para obtener más información sobre el menú de ayuda.

Búsqueda de recursos

Para localizar un recurso, pulse Buscar en la parte inferior del panel izquierdo del

separador Recursos.

Elija un recurso en la lista desplegable y entre una serie de texto. Elija si desea

buscar en todas las OU o sólo dentro de una OU. Utilice el recuadro de selección

Incluir recursos de nivel inferior para especificar si desea buscar dentro de la

jerarquía debajo de las OU especificadas de nivel superior. Pulse Buscar ahora para

empezar la búsqueda. Los recursos que coincidan con los criterios de búsqueda

aparecen en una lista en el panel derecho.

También puede buscar atributos asociados con determinados recursos,

especificando operadores lógicos booleanos O y Y como criterios de búsqueda. Por

ejemplo, supongamos que ha definido una OU como Ontario y ha añadido en ella

usuarios con una descripción de Ventas. Para buscar todos los usuarios en la OU

Ontario que tienen direcciones IP fijas y la descripción de Ventas:

1. Pulse el recurso Usuario.

2. Pulse Examinar... y seleccione la OU Ontario.

3. Pulse Y en el campo de criterios de búsqueda.

4. Pulse dirección fija en el campo Tipo de asignación de direcciones IP.

5. Especifique Ventas en el campo Descripción.

6. Pulse Buscar ahora.

Un carácter comodín es un carácter especial que representa uno o varios caracteres.

La búsqueda admite un carácter comodín con el asterisco (*), que representa cero o

más caracteres en una serie de caracteres. Por ejemplo, si especifica fran*o significa

cualquier palabra que contenga ″fran″, uno o varios caracteres y una ″o″. Por

ejemplo, ″francisco″.

104 Lotus Mobile Connect Administrator’s Guide

|||||

||

|||

Si inicia la sesión como ID del sistema operativo raíz o como el administrador

predeterminado del Connection Manager (gkadmin), puede configurar las

propiedades del gestor de accesos de los valores del límite máximo de aciertos de

búsqueda y el número máximo de recursos que aparecen en una lista. Para

cambiar estos valores, edite las propiedades del gestor de accesos. Consulte el

apartado “Edición de propiedades de recursos” en la página 101.

Adición de recursos

Los recursos son objetos o contenedores de objetos. Por ejemplo, una OU es un

recurso que contiene otros recursos, por ejemplo, gestores de conexiones, usuarios

o dispositivos portátiles. Para añadir más recursos, pulse con el botón derecho del

ratón en la OU en la que desee añadir el recurso y pulse Añadir recurso. En el

menú, seleccione el recurso que desee añadir.

También puede añadir algunos recursos desde Añadir recurso en el separador

Tareas.

Algunos recursos dependen de otros. Por ejemplo, los servicios de acceso móvil,

los servicios de mensajería y las MNC son recursos dependientes de los gestores de

conexiones. Los servicios de aplicaciones son recursos dependientes de los servicios

de mensajería. Estos recursos dependientes se añaden pulsando con el botón

derecho del ratón en el recurso padre del panel izquierdo y seleccionando Añadir

recurso dependiente.

Cuando se pulsan dos veces, algunos recursos muestran listas de esos recursos en

el panel derecho como, por ejemplo, los administradores. Para añadir recursos

dependientes, muestre una lista de los recursos padres en el panel derecho,

seleccione un recurso específico, pulse con el botón derecho del ratón y seleccione

Añadir recurso dependiente.

Visualización de las anotaciones del Connection Manager

Las anotaciones de mensajes y de rastreo se almacenan en archivos en el

Connection Manager. Los registros de contabilidad se almacenan en una base de

datos relacional o en un archivo en el sistema del Connection Manager. Consulte la

Guía de resolución de problemas para obtener más información sobre el uso de los

registros.

Para visualizar estas anotaciones desde el Gatekeeper, pulse el separador Tareas y,

a continuación, pulse Ver anotaciones del Connection Manager. Cuando pulse las

anotaciones que desee visualizar, aparecerán paneles de asistente en los que podrá

definir cómo desea visualizar estas anotaciones.

Nota: Para ver anotaciones de contabilidad, mensajes o rastreo, el ID de

administrador debe tener un acceso adicional habilitado por una ACL con al

menos acceso de sólo lectura en el Connection Manager. Si desea obtener

más información, consulte el apartado sobre niveles de acceso específicos del

Connection Manager en el apartado “Listas de control de accesos y perfiles

de ACL” en la página 28.

Puede elegir copiar las anotaciones desde el Connection Manager al Gatekeeper

como archivo local. También puede ver las entradas más recientes de las

anotaciones en una ventana de consola dinámica. Para ver las entradas más

recientes, especifique el número de líneas de las anotaciones o de la base de datos

que desee visualizar. Cuando aparezca el número de líneas especificado, la ventana

de consola se actualiza dinámicamente con nuevas entradas en las anotaciones.

Capítulo 6. Administración 105

||||||

Para los registros de contabilidad, también puede filtrar los registros para ver las

entradas de las anotaciones:

v Por ID de usuario

v Durante intervalos específicos de tiempo

v Por tipo de tráfico

Visualización de usuarios

Para visualizar todos los usuarios, pulse Buscar en el panel izquierdo. Seleccione

Usuario en la lista de recursos y seleccione buscar en Todas las OU. Escriba un

asterisco (*) en el campo ID de usuario y pulse Buscar.

Los usuarios que no se añaden de forma explícita a Gatekeeper pero que aparecen

en la interfaz incluyen aquellos que utilizan sólo RADIUS o enlace LDAP como

métodos de autenticación secundarios o aquellos que se definen como usuarios de

sólo lectura utilizando un servicio de directorio de empresa en el separador DSS de

usuario del gestor de accesos. Cuando estos usuarios inician una sesión en el

Connection Manager, aparecen según se indica en el método con el que se solicitan

las credenciales de autenticación al usuario. Por ejemplo, si el usuario entra una

dirección de correo electrónico para las credenciales de la autenticación secundaria,

la dirección de correo electrónico es el ID de usuario que aparece en el Gatekeeper.

De esta forma, puede gestionar usuarios (por ejemplo, obligarles a finalizar la

sesión o restablecer una contraseña) sin necesidad de crear los ID de usuario en el

Gatekeeper. Los usuarios se almacenan como datos de configuración en el

contenedor del sistema.

Los usuarios identificados por el discriminador de dispositivos no aparecen como

usuarios activos en el Gatekeeper.

Utilización de grupos de difusión

Puede utilizar el Gatekeeper para definir grupos de difusión y emitir mensajes de

difusión a esos grupos. Para definir un grupo de difusión:

1. Elija la unidad de organización (OU) en la que desee crear el grupo de

difusión.

2. En el separador Recursos, pulse con el botón derecho del ratón en la OU y

seleccione Añadir recurso –> Grupo –> Grupo de difusión. Puede definir un

grupo de difusión para una red con su propia función de difusión (por

ejemplo, Dataradio o Motorola PMR) o puede crear su propio grupo

especificando usuarios y conexiones de red móvil (MNC).

Una vez creado un grupo de difusión, puede cambiar sus propiedades:

1. Pulse dos veces el grupo en el separador Recursos para que aparezcan los

grupos en el panel derecho.

2. Pulse con el botón derecho del ratón el grupo en el panel derecho y, a

continuación, pulse Propiedades.

3. Modifique los campos que desee. Utilice los separadores para acceder a toda la

información del grupo.

4. Pulse Aceptar o Aplicar.

Después de crear un grupo de difusión, puede enviar un mensaje de difusión a sus

miembros:

1. Pulse dos veces el grupo en el separador Recursos para que aparezcan los

grupos en el panel derecho.

106 Lotus Mobile Connect Administrator’s Guide

2. Pulse con el botón derecho del ratón el grupo en el panel derecho y, a

continuación, pulse Difundir un mensaje.

También puede configurar servicios de acceso móvil para difundir el protocolo de

datagramas de usuario (UDP) en un determinado puerto. Esta función aprovecha

una interfaz de difusión, si está disponible, o envía mensajes a cada usuario de

forma individual. Para configurar la difusión de UDP:

1. Edite las propiedades de los servicios de acceso móvil. En el separador

Difusión, habilite el recuadro Utilizar interfaz UDP del servicio de difusión.

2. En Escuchar en el puerto UDP, especifique el número de puerto.

3. El tráfico de datos en el puerto debe tener un formato específico:

v El formato de datos requiere 0 (cero) o más nombres distinguidos de destino

(utilizando el DN completo) y texto, en formato de elemento de información.

Los DN pueden ser usuarios listados específicamente o grupos de difusión

definidos.

v El elemento de información está formado por un identificador de un byte

(0x01 para un DN y 0x03 para datos), información de dos bytes de longitud

en orden de byte de red y, a continuación, los datos. El indicador de longitud

es la longitud de los datos sin incluir la cabecera del elemento de

información.

v Cuando se incluyen 0 (cero) DN, los datos se difunden a todos los usuarios

conectados.

Supervisión del flujo de paquetes

Utilice el mandato wg_monitor para ver el flujo de paquetes que pasa a través de

Connection Manager. Connection Manager debe estar ejecutándose para poder

ejecutar este mandato.

Sintaxis

wg_monitor

-c on | off

-f nombre de archivo

-g pasarela

-l destino de distintivo t

-p puerto

-s cadencia de renovación

-S

-t key | device | type | uid

-T

-u all | thruput | status | connect

Descripción

En la Figura 8 en la página 108 se muestra una vista de ejemplo del programa de

utilidad wg_monitor. Tenga en cuenta que el programa de utilidad wg_monitor

muestra sólo los recursos para los que está configurado Connection Manager y está

disponible sólo en inglés.

Capítulo 6. Administración 107

|

Tabla 7. Descripción de la vista de ejemplo de wg_monitor

Identificador en

la Figura 8

Descripción

1 Muestra el nombre de sistema principal de Connection Manager

supervisado y la cantidad de tiempo desde que se inició por última vez

Connection Manager.

Sesiones

Número de sesiones activas que maneja Connection Manager.

Cadencia

Número de sesiones activadas por segundo.

Pico Número máximo de sesiones que se han identificado por

segundo desde la invocación del programa de utilidad.

Promedio de carga

Promedio de carga de CPU de los últimos 1, 5 y 15 minutos,

respectivamente.

Almacenamiento dinámico

Cantidad de memoria en MB asignada por el proceso wgated

del sistema

Almacenamiento dinámico (libre)

Cantidad de memoria en MB asignada por wgated que no se

está utilizando (en el almacenamiento libre para la

recuperación)

Figura 8. Vista de ejemplo de wg_monitor

108 Lotus Mobile Connect Administrator’s Guide

Tabla 7. Descripción de la vista de ejemplo de wg_monitor (continuación)

Identificador en

la Figura 8 en la

página 108

Descripción

2 Muestra un gráfico de barras dinámico del flujo de paquetes de entrada

(IN) y de salida (OUT) por segundos. Cuando el flujo de paquetes

sobrepasa los 250 paquetes/segundo, la escala cambia los incrementos

de 25 a 50 paquetes/segundo. Tenga en cuenta que las cadencias de

datos bajas (de aproximadamente 4 paquetes por segundo) no mostrarán

el gráfico de barras.

3 Muestra el número de paquetes o mensajes que utilizan WLP/PPP

(túnel optimizado y cifrado), los servicios de acceso HTTP, la pasarela de

mensajería o CMP (cluster management protocol):

IN El número de paquetes por segundo que entran en Connection

Manager.

OUT El número de paquetes por segundo que salen de Connection

Manager.

AVG El promedio de paquetes de entrada y salida por segundo.

PEAK El número máximo de paquetes por segundo de tráfico de

entrada o de salida desde la invocación del programa de

utilidad wg_monitor.

TOTAL

Recuento del número total de paquetes enviados o recibidos

desde la invocación del programa de utilidad wg_monitor.

kb/s La cadencia de número de kilobytes (KB) enviados o recibidos

por segundo.

kb Recuento del total de kilobytes (KB) enviados o recibidos desde

la última vez que se inició Connection Manager.

4 Muestra el recuento acumulativo de paquetes desde que se inició

Connection Manager por última vez:

Total El número total de paquetes y el número total de kilobytes de

datos recibidos por Connection Manager para su transmisión a

los dispositivos.

Xmit El número total de paquetes y el número total de kilobytes de

datos transmitidos desde todos los protocolos desde que se

inició Connection Manager por última vez.

Red El porcentaje de paquetes y el porcentaje de bytes de datos que

no se han transmitido debido a las mejoras de rendimiento de

optimización de datos.

Filt Número de paquetes y número de bytes que se han descartado

según los filtros configurados en Connection Manager.

SNMP Número de paquetes descartados de los eventos de gestión de

red.

TCP-D Número de paquetes y número de bytes descartados debido a

la optimización TCP de Connection Manager.

TCP-R Número de paquetes TCP y número de bytes retransmitidos.

WLP q Número de paquetes TCP y de bytes que esperan en la cola de

proceso. Estos números incluyen los inicios de sesión, los cierres

de sesión y los dispositivos de la itinerancia entre redes.

Capítulo 6. Administración 109

Tabla 7. Descripción de la vista de ejemplo de wg_monitor (continuación)

Identificador en

la Figura 8 en la

página 108

Descripción

5 Una lista del número de paquetes o de mensajes que hay en las colas

internas:

MSG q El número de mensajes en cola en la pasarela de mensajería

para la entrega inmediata.

D MSG q

El número de mensajes en cola en la pasarela de mensajería

para la entrega retardada.

6 Una lista del número de paquetes de cada MNC configurada en

Connection Manager:

Pkts/sec

El número de paquetes por segundo que entran en la MNC.

TOTAL

Recuento del número total de paquetes enviados o recibidos

desde la última vez que se inició Connection Manager.

DEV El número de dispositivos activos en esta MNC.

Distintivos

-c on|off

Ofrece la posibilidad de inhabilitar la salida de curses cuando se utiliza el

distintivo -f para escribir estadísticas en un archivo mientras no se

visualiza nada en STDOUT.

-f nombre de archivo

Escribe datos de estadísticas de cadencia en un archivo. El archivo que se

crea es un archivo de texto separado por comas. La primera línea del

archivo son las cabeceras de columna de los datos delimitados de las líneas

que van a continuación. Importe este archivo en un programa de hoja de

cálculo para que sea más cómodo visualizarlo.

La primera columna de los datos es la fecha y hora. La segunda columna

de los datos es el número de usuarios de servicios de acceso móvil

conectados de forma activa. Las siguientes columnas vienen determinadas

por los componentes configurados (servicios de acceso móvil y servicios de

mensajería), el número de MNC y si se ha utilizado el distintivo -T para

generar el archivo.

Dentro de la cadencia de renovación especificada y para MNC configurada,

las siguientes columnas indican el número de:

Paquetes de entrada

Paquetes de salida

Kilobytes de datos de entrada

Kilobytes de datos de salida

Total de paquetes (si se ha utilizado el distintivo -T)

Total de kilobytes de datos (si se ha utilizado el distintivo -T)

Las siguientes columnas sólo aparecen cuando se han configurado servicios

de acceso móvil:

Paquetes IP de entrada

Paquetes IP de salida

Total de paquetes IP (si se ha utilizado el distintivo -T)

110 Lotus Mobile Connect Administrator’s Guide

Total de kilobytes de datos IP (si se ha utilizado el distintivo -T)

Las siguientes columnas sólo aparecen cuando se han configurado servicios

de mensajería:

Paquetes de servicios de mensajería de entrada

Paquetes de servicios de mensajería de salida

Total de paquetes de servicios de mensajería (si se ha utilizado el

distintivo -T)

Total de kilobytes de datos de servicios de mensajería (si se ha utilizado

el distintivo -T)

-g pasarela

El nombre de sistema principal o la dirección IP de Connection Manager

que se va a supervisar. El valor predeterminado es localhost.

-l destino de distintivo -t

Utilice este distintivo conjuntamente con los distintivos -t y -u para

recopilar y filtrar información en tiempo real sobre la tabla de sesión activa

almacenada en la memoria del proceso wgated. El distintivo -l especifica el

nombre de la clave, el dispositivo, el tipo o el ID de usuario, según se ha

especificado en el distintivo -t.

-p puerto

Especifica el puerto TCP en el que escucha Connection Manager. El

número de puerto predeterminado es 9557.

-s cadencia de renovación

Número de segundos entre la vista que aparece y la vista renovada. El

valor predeterminado es 10 segundos.

-S Utilice este distintivo junto con el distintivo -u all para proporcionar un

resumen de la información en tiempo real sobre la tabla de sesión activa

almacenada en la memoria del proceso wgated. La modalidad de resumen

muestra una única línea de totales de datos con el formato:

Totales de sesión actuales para 127.0.0.1: LOGINS:1356 FAILED:53 ACTIVE:43

Donde:

LOGINS

Representa el número total de inicios de sesión desde que se inició

Connection Manager.

FAILED

Representa el número total de intentos de inicio de sesión fallidos.

ACTIVE

Representa el número total de sesiones activas.

-t key | device | type | uid

Utilice este distintivo conjuntamente con los distintivos -l y -u para

recopilar y filtrar información en tiempo real sobre la tabla de sesión activa

almacenada en la memoria del proceso wgated. Las variables del distintivo

-t son:

key - Una clave de sesión activa. Para los servicios de acceso móvil, es

la dirección IP asignada por Connection Manager. Para los servicios de

acceso HTTP, es la cookie.

device - Un identificador del dispositivo dependiente de la red. Para los

dispositivos IP, es la dirección IP física del dispositivo. Para Mobitex, es

el número MAN (Mobitex Access Number). Para los dispositivos

DataTAC, es la interfaz de enlace lógico (LLI).

Capítulo 6. Administración 111

|||||

|

|

|||

||

||

type - Acceso móvil (WLP) o mensajería, tipo de conexión

uid - ID de usuario

-T Utilice este distintivo conjuntamente con el distintivo -f para añadir totales

al archivo de salida.

-u all | thruput | status | connect

Utilice este distintivo para recopilar información en tiempo real sobre la

tabla de sesión activa almacenada en la memoria del proceso wgated. Las

variables del distintivo -u son:

all - Muestra toda la información en la tabla de sesión.

thruput - Muestra información de transferencia de datos como, por

ejemplo, el número de paquetes enviados y recibidos.

status - Muestra información de estado de la sesión como, por ejemplo,

el tipo de conexión, el tipo de cifrado y la hora de la última conexión.

connect - Muestra información de la conexión como, por ejemplo, el

tipo de MNC, las direcciones IP de dispositivo y la hora de inicio de

sesión.

La salida de este distintivo genera cabeceras de columna en la primera

línea, seguidas de una salida del registro detallada línea a línea. Las

cabeceras de columna posibles son:

UID - ID de usuario

DEVICE - Un identificador del dispositivo dependiente de la red. Para

los dispositivos IP, es la dirección IP física del dispositivo. Para

Mobitex, es el número MAN (Mobitex Access Number). Para los

dispositivos DataTAC, es la interfaz de enlace lógico (LLI).

MNC - Nombre de la MNC con la que se realiza la conexión

LAST - Indicación de la hora de la última vez que se intercambió el

tráfico

CRYPT - Tipo de cifrado utilizado

COMPR - Algoritmo de compresión utilizado

VJ - Estado de reducción de cabecera, donde habilitado = 1 o

inhabilitado = 0

TYPE - Tipo de conexión de acceso móvil o mensajería

S - Estado de sesión: 0 significa abierta - inicializada pero no activa, 1

significa conectada - iniciada, 2 significa cerrada - últimas fases del

cierre, y 4 significa rotación de clave - se está intercambiando una clave

criptográfica

D - Estado de desactivación, donde un valor de 0, 1 o 2 marca las fases

dentro del proceso de cierre

R - Contador de referencia que se utiliza para la información de

depuración

KB - Número total de kilobytes procesados en la sesión

PKT - Número total de paquetes procesados en la sesión

SND KB - Número total de kilobytes de datos enviados

RCV KB - Número total de kilobytes de datos recibidos

SND PKT - Número total de paquetes de datos enviados

DURATION - Cantidad de tiempo que ha estado conectada esta sesión

KEY - Clave activa de la sesión: especifica la dirección IP de los

servicios de acceso móvil o el ID de cookie de los servicios de acceso

HTTP. Los servicios de mensajería no utilizan este campo.

112 Lotus Mobile Connect Administrator’s Guide

LOGIN TIMESTAMP - Fecha y hora de inicio de sesión

Cuando se utiliza conjuntamente con los distintivos -t y -l, los datos

recopilados se filtran según se indica en estos dispositivos.

Ejemplos

1. Para listar el registro de sesión de un ID de usuario específico:

wg_monitor -u all -t uid -l sunny

donde sunny es el ID de usuario

2. Para listar las estadísticas de conexión para el mismo ID de usuario:

wg_monitor -u connect -t uid -l sunny

3. Para ejecutar wg_monitor en modalidad continua, renovando cada segundo:

wg_monitor -g grotto -s 1

donde grotto es el nombre de host de Connection Manager

4. Para averiguar qué ID de usuario está utilizando actualmente una determinada

dirección:

wg_monitor -u all -t key -l dirección IP

donde dirección IP es la dirección IP decimal con puntos asignada al Mobility

Client

Aplicar mantenimiento

En el sitio web de soporte de productos de Connection Manager existen enlaces a

arreglos de programa para clientes autorizados con una clave de descarga. Los

clientes pueden registrarse en el sitio web, proporcionar la clave de bajada que se

les ha facilitado y luego bajar los arreglos de programa. Las claves de bajada

pueden obtenerse del Centro de soporte de software de IBM para el Connection

Manager de nivel 2 llamando al número 800-IBM-SERV (800-426-7378). Fuera de

Estados Unidos, utilice e l sitio web www.ibm.com/planetwide para buscar el

directorio de soporte de IBM con la lista de contactos en todo el mundo.

Para obtener instrucciones de instalación más específicas, consulte:

v “Instalar el Connection Manager” en la página 68

v “Instalar el Gatekeeper” en la página 64

v La Guía del usuario de Mobility Client para obtener información sobre el sistema

operativo que necesita.

Tenga en cuenta que cuando baje el código del producto desde el sitio web de

soporte de productos, no todo el software de prerrequisito puede estar disponible.

Vías de acceso de instalación

A partir de la versión 6.1, ha cambiado la vía de acceso de instalación de todos los

componentes que utilizan sistemas operativos AIX, Linux o Solaris. Las

instalaciones nuevas son directas, aunque las instalaciones de migración incluyen

realizar una copia de seguridad de los archivos de configuración existentes.

Cuando se restauran, los archivos de copia de seguridad se colocan en el nuevo

directorio de instalación.

Las vías de acceso de instalación no se pueden cambiar.

Capítulo 6. Administración 113

||||||

|

Tabla 8. Vías de acceso de instalación para Connection Manager y Gatekeeper

Sistema

operativo

Vía de acceso

anterior del

Connection

Manager

Nueva vía de acceso del

Connection Manager

Vía de acceso anterior

del Gatekeeper

Nueva vía de acceso del

Gatekeeper

AIX /usr/opt/wecm /opt/IBM/ConnectionManager

/usr/opt/Gatekeeper /opt/IBM/Gatekeeper

Linux /opt/IBM/wecm /opt/ibm/ConnectionManager

/opt/IBM/Gatekeeper /opt/ibm/Gatekeeper

Solaris /opt/IBM/wecm /opt/IBM/ConnectionManager

/opt/IBM/Gatekeeper Esta vía de acceso sigue

siendo la misma que la vía

de acceso anterior:

/opt/IBM/Gatekeeper.

Consideraciones sobre la migración

La instalación de migración copia todo el contenido del directorio de nivel superior

antiguo (por ejemplo, todo el contenido del directorio /opt/IBM/wecm) así como

varios archivos seleccionados de algunos de los subdirectorios antiguos. Al final, la

instalación de migración redenomina el directorio antiguo añadiendo la fecha y la

hora actuales al nombre del directorio antiguo; por ejemplo /opt/IBM/wecm.20060921-08:05:33.

Antes de actualizar a la versión 6.1:

1. Coordine las actualizaciones entre los gestores de conexiones que comparten

recursos LDAP que contienen información de vía de acceso. Dos de estos

recursos son los perfiles de autenticación y los recursos códec HTTP de

TCP-Lite. Si se actualiza uno de los gestores de conexiones que comparten estos

recursos, se actualizará la información de vía de acceso correspondiente, y los

otros gestores de conexiones no actualizados que hacen referencia al mismo

recurso ya no podrán localizar los archivos a los que hace referencia el recurso

actualizado.

2. De manera predeterminada, los archivos que se encuentran en la vía de acceso

de instalación del Connection Manager se mueven automáticamente al nuevo

directorio de instalación. Estos archivos incluyen todos los archivos de la base

de datos de claves (.kdb) y de la contraseña oculta (.sth). Los archivos que

normalmente no se encuentran en la vía de acceso de instalación del

Connection Manager no se mueven automáticamente al nuevo directorio. Si

alguno de estos archivos, como por ejemplo los archivos de anotaciones,

contabilidad o rastreo, se han configurado para utilizar el directorio de

instalación del Connection Manager, restáurelos una vez que haya finalizado la

instalación de actualización. Restaure estos archivos a la misma ubicación

relativa del nuevo directorio de instalación que tenían en el directorio de

instalación anterior ya que el proceso de instalación actualiza la información de

vía de acceso de forma correspondiente.

3. Al migrar las conexiones de Mobility Client en Linux y Windows, sólo se

habilitará UDP. Si desea sacar provecho de HTTP y HTTPS utilizando

conexiones inteligentes en las que Mobility Client determina qué transporte

utilizar, cree una conexión nueva o modifique las propiedades de la conexión

migrada para habilitar los protocolos HTTP y HTTPS.

4. Los Mobility Clients que utilizan Windows XP y Windows 2000 y que desean

utilizar la compresión, deben utilizar la versión 5.1.1.3 o 6.1 del Mobility Client

al conectarse a un Connection Manager versión 6.1.

114 Lotus Mobile Connect Administrator’s Guide

||

||

||||||||||

||||||

||||||

||||||||||

|||||

5. Si está realizando la migración a Connection Manager desde la versión 5.0.1.1

mediante la versión 5.0.1.6, debe reiniciar el sistema antes de iniciar Connection

Manager versión 6.1. No todos los recursos de estas versiones se migran a la

versión 6.1.

6. Si utiliza DB2 para almacenar datos de sesión, antes de iniciar Connection

Manager, espere hasta que el gestor de bases de datos DB2 haya finalizado el

inicio de la instancia de base de datos y haya empezado la escucha de

conexiones.

Para obtener el procedimiento completo sobre cómo realizar la migración a la

versión 6.1, consulte el manual IBM Lotus Mobile Connect Migration Guide,

disponible desde un enlace (documentación del producto) del sitio web de soporte.

Bajadas de software

El código que puede bajarse del sitio web de soporte tiene el siguiente formato y

los siguientes tamaños de archivo de bajada aproximados:

Connection Manager

Detenga el Connection Manager antes de aplicar un nuevo release. Las

bajadas disponibles incluyen las siguientes:

v AIX: aproximadamente 58,6 MB. El nombre de archivo es

wgversión.aix.tar.Z, donde versión es el número de versión del código.

Después de bajar el archivo, descomprímalo utilizando el mandato

uncompress nombre_archivo y, a continuación, ejecute untar para

descomprimirlo y utilice smitty para realizar la instalación.El directorio

de instalación predeterminado es /opt/IBM/ConnectionManager.

Tenga en cuenta que si el Centro de soporte le solicita que instale una

versión de TESTFIX, es posible que sea necesario cambiar las opciones

de instalación de SMIT. Por ejemplo, si tiene instalada la versión 5.0.1.1

y el Centro de soporte proporciona una actualización cuya versión de

creación también es 5.0.1.1, entonces deberán cambiarse los parámetros

SMIT del panel Instalar y Actualizar con software disponible MÁS

RECIENTE. Cambie Instalar automáticamente el software de requisito

a No y cambie SOBRESCRIBIR las mismas versiones o las versiones

más nuevas a Sí. Desde este panel, pulse Intro dos veces para completar

la instalación.

Rearranque el sistema si está realizando una instalación de sobrescritura;

es decir, si está instalando el mismo nivel (o uno anterior) encima de

una instalación existente. Si se trata de una instalación nueva, no es

necesario rearrancar el sistema.

v Instalación nativa de Linux: aproximadamente 18,4 MB. El nombre de

archivo es wgversión.linux.tar.gz, donde versión es el número de versión

del código. Después de bajar el archivo, descomprímalo utilizando el

mandato uncompress nombre_archivo y, a continuación, utilice el script

install_wg para instalarlo. El directorio de instalación predeterminado es

/opt/ibm/ConnectionManager.

v Linux con asistente de instalación: aproximadamente 17,2 MB. El

nombre de archivo es wgversión.linux.tar.gz, donde versión es el número

de versión del código. Después de bajar el archivo, descomprímalo

utilizando el mandato uncompress nombre_archivo y, a continuación,

utilice el script setup.sh para instalarlo. El directorio de instalación

predeterminado es /opt/ibm/ConnectionManager.

v Solaris – aproximadamente 33,2 MB. El nombre de archivo es

wgversión.solaris.tar.Z, donde versión es el número de versión del código.

Capítulo 6. Administración 115

|

|

|

Después de bajar el archivo, descomprímalo utilizando el mandato

uncompress nombrearchivo y, a continuación, utilice pkgadd para

instalarlo. El directorio de instalación predeterminado es

/opt/IBM/ConnectionManager.

Si hay cambios en el esquema LDAP para una determinada versión de

mantenimiento, asegúrese de ejecutar el mandato ldapmodify después de

instalar el código. Determine si hay cambios en el esquema consultando en

el archivo readme de la versión que está instalando.

Después de instalar el código, mire en el directorio de configuración de

instalación de Connection Manager.

AIX y Solaris

/opt/IBM/ConnectionManager/conf

Linux /opt/ibm/ConnectionManager/conf

Busque los archivos de configuración que coinciden con el servicio de

directorio que tiene instalado. A continuación, emita el mandato

ldapmodify –h servidor –D dn admin –w ctr admin –c –f xxx–cm.ldif

donde

servidor es la dirección IP de DSS

dn admin es el ID del administrador DSS que debe tener autorización de

ampliación de esquema

ctr admin es la contraseña del administrador DSS

xxx coincide con el servicio de directorio que tiene instalado

Los archivos de configuración para el servicio de directorio también están

disponibles antes de realizar la instalación. Hay un archivo tar llamado

wg_releaseNotes.tar que está empaquetado en el archivo tar del código de

Connection Manager. Este archivo contiene los archivos de configuración

del servicio de directorio y copias de los archivos readme convertidos.

Gatekeeper

Las bajadas disponibles incluyen las siguientes:

v AIX: con el SDK y el código 99,1 MB o sólo el código 14.7 MB. El

nombre de archivo es wgcfgversión.aix..sdk.tar o wgcfgversión.aix.tar,

donde versión es el número de versión del código. Después de descargar

el archivo, ejecute untar y utilice smitty para realizar la instalación. El

directorio de instalación predeterminado es /opt/IBM/Gatekeeper.

Si baja el archivo que incluye el SDK, al realizar la instalación utilizando

smitty asegúrese de elegir la opción Instalar AUTOMÁTICAMENTE el

software de prerrequisito.

v Solaris: aproximadamente 62,3 MB. El nombre de archivo es

wgcfgversión.solaris.tar.Z, donde versión es el número de versión del

código. Después de bajar el archivo, descomprímalo utilizando el

mandato uncompress nombrearchivo y, a continuación, ejecute untar para

descomprimirlo. Utilice pkgadd para instalarlo. El directorio de

instalación predeterminado es /opt/IBM/Gatekeeper.

v Linux: con el JRE y el código 47,6 MB o sólo el código 7.8 MB. El

nombre de archivo es wgcfgversión.linux.i386.jre.tar o

wgcfgversión.linux.i386.rpm, donde versión es el número de versión del

código. Después de bajar el archivo, ejecute untar para descomprimirlo y

utilice el gestor de paquetes de Red Hat (rpm) para realizar la

116 Lotus Mobile Connect Administrator’s Guide

|

|

|

instalación. Por ejemplo, ejecute rpm -ivh wgcfgversiónlinux.i386.rpm .

El directorio de instalación predeterminado es /opt/ibm/Gatekeeper.

Si baja el archivo que incluye el JRE, asegúrese de instalar el JRE antes

de instalar el Gatekeeper. Para instalar el JRE, ejecute el mandato

rpm -ivh IBMJava2-JRE-1.4.2-6.0.i386.rpm

v Windows: aproximadamente 86,7 MB. El nombre de archivo es

wgcfgversión.win.exe, donde versión es el número de versión del código.

Después de descargar el archivo, ejecute el archivo para instalar el

código. El directorio de instalación predeterminado es Archivos de

programa/IBM/Gatekeeper.

Mobility Client para Linux

Aproximadamente 9,7 MB, el nombre de archivo es wcversiónlinux-x86.tar.gz. Después de bajar el archivo, descomprímalo utilizando el

mandato

tar -xzvf wcversiónlinux-nombrearchivo.tar.gz

A continuación, utilice el script ./install_wc para instalarlo. Especifique

./install_wc.

Mobility Client para dispositivos Nokia Communicator

Hay un archivo que tiene aproximadamente 3,4 MB y contiene todos los

idiomas soportados. El nombre de archivo es wcversión9500.zip, donde

versión es el número de versión del código. Después de bajar el archivo,

descomprímalo por zip y asegúrese de que el dispositivo está conectado al

sistema de sobremesa. Pulse dos veces en el archivo wc_9500.sis para

empezar la instalación.

Mobility Client para Windows

Hay un archivo que tiene aproximadamente 9,2 MB. El nombre de archivo

es WCversiónWin32.exe, donde versión es el número de versión del código.

Después de bajar el archivo, pulse Inicio –>Ejecutar y especifique el

nombre el archivo que ha bajado. Iniciar este archivo descomprimirá

automáticamente el archivo y ejecutará el programa de instalación.

Asegúrese de especificar la vía de acceso en la que ha bajado el archivo.

Cuando se visualice un mensaje acerca de una firma digital, pulse Sí o

Continuar para continuar la instalación.

Mobility Client para Windows CE

Hay dos archivos que tienen aproximadamente 8,4 MB y 104 MB,

respectivamente. Los nombres de archivo son WCversiónPocketPC.exe y

WCversiónCEDotNET.exe, donde versión es el número del código. Todas las

versiones de Windows CE utilizan el archivo PocketPC, excepto Windows

CE .NET 4.2

Después de bajar el archivo, pulse Inicio –>Ejecutar y especifique el

nombre el archivo que ha bajado. Iniciar este archivo descomprimirá

automáticamente el archivo y ejecutará el programa de instalación.

Asegúrese de especificar la vía de acceso en la que ha bajado el archivo.

De manera predeterminada, se instala el código base, el cifrado base y el

soporte de red de controlador IP. El soporte de todas las redes adicionales

se instala aparte. El idioma inglés se instala de manera predeterminada y el

soporte de todos los demás idiomas se instala aparte.

El soporte de cifrado adicional también se instala aparte. Durante la

instalación, puede elegir el soporte de la certificación FIPS 140–2 y/o el

soporte de cifrado WTLS. La certificación FIPS 140-2 especifica los

requisitos de los módulos criptográficos para asegurar la protección de la

Capítulo 6. Administración 117

|

|

|

|

información confidencial en sistemas informáticos. Las conexiones entre

Mobility Client en Windows o Windows CE que se conectan a un

Connection Manager de AIX versión 5.2 están aprobadas por la

certificación FIPS 140-2.

Mobility Client para su utilización con WebSphere Everyplace Access en

dispositivos Nokia

Hay un archivo que tiene aproximadamente 4,7 MB. El nombre de archivo

es WC_PocketPC_DMS.zip. Después de descargar el archivo,

descomprímalo y siga las instrucciones en el archivo readme.html para

cargar y asignar paquetes utilizando los portlets de gestión de dispositivos.

Mobility Client para su utilización con WebSphere Everyplace Access en

Windows CE

Hay un archivo de aproximadamente 11,1 MB. El nombre de archivo es

WC_PocketPC_DMS.zip. Después de descargar el archivo, descomprímalo

y siga las instrucciones en el archivo readme.html para cargar y asignar

paquetes utilizando los portlets de gestión de dispositivos.

Eliminar el Connection Manager

Si ha instalado el soporte de bases de datos de contabilidad y facturación, utilice el

mandato db2idrop para suprimir el ID de instancia wgdb. A continuación, suprima

los ID de usuario de sistema operativo wgdb y wgdbudf.

Para eliminar el Connection Manager:

AIX

1. Asegúrese de que ha iniciado una sesión en el sistema utilizando el ID

de sistema operativo raíz.

2. Invoque smitty y seleccione esta vía de acceso a través de los menús:

Mantenimiento e Instalación de Software

Programas de Utilidad y Mantenimiento de Software

Eliminar el Software Instalado

3. Especifique wg en el campo Nombre de SOFTWARE para eliminar

todas las redes soportadas y el Connection Manager, o bien pulse F4

para obtener una lista de los componentes que desea eliminar. Todos

los componentes tienen como prefijo las letras wg. Utilice F7 para

seleccionar los componentes que desea eliminar.

4. Pulse Intro tres veces.

Linux

1. Asegúrese de que ha iniciado una sesión en el sistema utilizando el ID

de sistema operativo raíz.

2. Inserte el CD 1 de instalación en la unidad de CD y vaya al directorio

del CD /linux/.

3. Especifique ./uninst_wg.

4. Suprima el directorio /opt/ibm/ConnectionManager para borrar todos

los archivos de configuración.

Solaris

1. Asegúrese de que ha iniciado una sesión en el sistema utilizando el ID

de sistema operativo raíz.

2. Inserte el CD 1 de instalación en la unidad de CD y vaya al directorio

del CD /solaris/

3. Especifique ./uninst_wg

118 Lotus Mobile Connect Administrator’s Guide

|

||

|

4. Suprima el directorio /opt/IBM/ConnectionManager para borrar todos

los archivos de configuración.

Eliminar el Gatekeeper

Elimine el Gatekeeper utilizando el método apropiado al sistema operativo:

AIX Utilice SMIT:

1. Asegúrese de que ha iniciado una sesión en el sistema utilizando el ID

de sistema operativo raíz.

2. Invoque smitty y seleccione esta vía de acceso a través de los menús:

Mantenimiento e Instalación de Software

Programas de Utilidad y Mantenimiento de Software

Eliminar el Software Instalado

3. Especifique wgcfg.rte en el campo Nombre de SOFTWARE.

4. Pulse Intro tres veces.

5. Si desea desinstalar el Gatekeeper permanentemente, suprima el

directorio .wgcfg del directorio inicial de cada usuario. Si realiza la

desinstalación antes de actualizar a una nueva versión, no suprima el

directorio .wgcfg.

Linux Especifique rpm -e IBMwgcfg. Si desea desinstalar el Gatekeeper

permanentemente, suprima el directorio .wgcfg del directorio inicial de

cada usuario. Si realiza la desinstalación antes de actualizar a una nueva

versión, no suprima el directorio .wgcfg.

Solaris

Especifique pkgrm IBMwgcfg. Si desea desinstalar el Gatekeeper

permanentemente, suprima el directorio .wgcfg del directorio inicial de

cada usuario. Si realiza la desinstalación antes de actualizar a una nueva

versión, no suprima el directorio .wgcfg.

Windows

Utilice el applet Agregar o quitar programas del Panel de control:

1. Pulse Inicio –> Configuración –> Panel de control y, a continuación,

pulse Agregar o quitar programas.

2. Pulse IBM Gatekeeper y, a continuación, Cambiar o Quitar.

3. En el panel Confirmar supresión de archivo, pulse Sí.

Si desea desinstalar el Gatekeeper permanentemente, suprima el directorio

.wgcfg del directorio inicial de cada usuario. Si realiza la desinstalación

antes de actualizar a una nueva versión, no suprima el directorio .wgcfg.

Notas:

1. El directorio de instalación permanece después de desinstalar el

producto y contiene un archivo denominado gkUninstallLog.txt

2. También puede eliminar el Gatekeeper de forma silenciosa, utilizando

estos mandatos:

C:\<dir_instal_GK>\_uninst\UninstallGatekeeper.exe -silent

donde C: es la unidad donde está instalado el Gatekeeper y

<dir_instal_GK> es el directorio donde está instalado el Gatekeeper. La

vía de acceso de instalación predeterminada del Gatekeeper es

\Archivos de programa\IBM\Gatekeeper.

Capítulo 6. Administración 119

||

|

|

||

||

|

||||

Este mandato hace que el indicador de mandatos vuelva de inmediato,

mientras la desinstalación silenciosa se sigue ejecutando en segundo

plano. Utilice start /WAIT si no desea que el indicador de mandatos

vuelva hasta que el proceso de desinstalación haya finalizado:

start /WAIT C:\<dir_instal_GK>\_uninst\UninstallGatekeeper.exe -silent

Instalar y configurar el plug-in TAI

Connection Manager tiene un interceptor de asociación de confianza (TAI) que se

utiliza con WebSphere Application Server (WAS). El plug-in TAI impide que se

produzcan solicitudes de credenciales adicionales cuando Connection Manager ya

ha autenticado al usuario. El plug-in TAI es un software que puede bajarse desde

el sitio web de soporte de productos.

120 Lotus Mobile Connect Administrator’s Guide

||||

|

Capítulo 7. Utilización de los servicios de acceso móvil

En este apartado:

v “Definición de los recursos que utilizan los servicios de acceso móvil”

v “Habilitación de la comunicación segura para los servicios de acceso móvil” en

la página 136

v “Configuración de un RNC redundante con conmutadores A/B controlados de

forma remota” en la página 137

Definición de los recursos que utilizan los servicios de acceso móvil

Los recursos que se asignan a los servicios de acceso móvil son:

v “TCP-Lite”

– “Codec HTTP” en la página 122v “Conexión y perfiles de transporte” en la página 122

v “Grupos para los servicios de acceso móvil” en la página 128

v “Dispositivo portátil” en la página 129

v “Perfil de módem” en la página 129

v “Conversor de direcciones de red” en la página 129

v “Correlación de paquetes” en la página 131

v “Filtro” en la página 131

v “Alias de direccionamiento” en la página 131

v “Interfaz de red móvil (MNI)” en la página 132

TCP-Lite

TCP-Lite es un servicio que proporciona un canal de transporte que intercepta TCP

para reducir la carga adicional relacionada con la gestión de sesiones en las que no

se transmiten ni se reciben datos de aplicación. TCP-Lite reduce o elimina las PCU

(Unidades de datos de protocolo) TCP puras que se utilizan en la configuración, la

eliminación y el acuse de recibo de un canal, a la vez que mantiene el orden, la

integridad, la fiabilidad y la seguridad del transporte TCP original.

Las aplicaciones que utilizan TCP para comunicarse entre un cliente y un servidor

no necesitan ninguna modificación para utilizar TCP-Lite. En entornos en los que

los clientes requieren un establecimiento de sesiones frecuente o múltiple, TCP-Lite

reduce de forma fiable la cantidad de datos que se transfieren entre el cliente y el

servidor.

Se aplica un transporte TCP-Lite a un perfil de conexión, que es un conjunto de

propiedades de configuración que se asigna a una MNC para controlar las

opciones de rendimiento entre una MNC y los clientes Mobility que se conectan a

ella.

Cuando añada un transporte TCP-Lite, revise los valores predeterminados y

proporcione:

v Un nombre común y un nombre descriptivo del servicio

121

v Para limitar el transporte a un determinado tipo de aplicación TCP, puede

proporcionar también un puerto de destino TCP específico para realizar un

filtro.

v Para limitar el transporte a servidores de aplicaciones de destino específicos,

puede proporcionar también una dirección IP y una máscara de subred.

v El número máximo de veces que puede intentar volver a transmitirse un

paquete antes de descartarlo y restablecer la sesión.

v El tiempo en segundos que esperará el transporte TCP-Lite para volver a

transmitir un segmento de datos cuando no ha recibido un acuse de recibo.

Codec HTTP

El códec HTTP es un servicio que utiliza TCP-Lite como transporte subyacente

para reducir el recuento de bytes OTA (Over-The-Air, en el aire) mediante la

eliminación y/o la codificación de bytes de los campos de cabecera en una

corriente de datos HTTP (Protocolo de Transporte de Hipertexto).

En el Mobility Client, un códec HTTP elimina o codifica las cabeceras de solicitud

HTTP, transmite la corriente de datos HTTP y, a continuación, reconstituye las

cabeceras de solicitud en el Connection Manager antes de pasar el tráfico a los

servidores web de destino. Posteriormente, el Connection Manager elimina o

codifica las cabeceras de respuesta HTTP antes de pasar el tráfico a los Mobility

Client.

Cuando añada un códec HTTP, revise los valores predeterminados y especifique:

v Los valores de las propiedades de transporte TCP-Lite que se van a utilizar

v Cómo se procesa el símbolo de sistema principal en las cabeceras de solicitud.

Puede elegir las siguientes opciones en las que el códec HTTP:

– Elimina la cabecera si coincide exactamente con lo que se ha especificado y

codifica las cabeceras que no coincidan.

– Elimina la cabecera si coincide exactamente con lo que se ha especificado y

devuelve un código de estado HTTP 403 al solicitante para las cabeceras que

no coincidan.

– Elimina el símbolo de sistema principal en todas las cabeceras de solicitud

enviadas desde el Mobility Client y, a continuación, lo sustituye por otro

símbolo de sistema principal diferente en el Connection Manager antes de

pasar la solicitudv Cómo se procesa el identificador de recursos uniformes (URI) en las cabeceras

de solicitud. Puede elegir las siguientes opciones en las que el códec HTTP:

– Elimina el URI si coincide exactamente con lo que se ha especificado y pasa

los URI que no coincidan.

– Elimina sólo la parte del URI que coincida con el valor del campo de URI

especificado. Cuando se recibe la cabecera de solicitud en el Connection

Manager, el códec HTTP añade el valor del prefijo al principio del campo de

URI antes de pasar la solicitud.v Qué símbolos de cabecera HTTP se codifican y se transmiten. Los símbolos que

no se seleccionen se eliminarán de la cabecera.

v Si los símbolos de la cabecera que no aparezcan en la lista se transmiten o no.

Conexión y perfiles de transporte

Un perfil de conexión es un conjunto de propiedades de configuración que se

asigna a una MNC para controlar las opciones de seguridad y rendimiento entre la

122 Lotus Mobile Connect Administrator’s Guide

MNC y los clientes Mobility que se conectan a ella. Cuando se crea una MNC o se

editan sus propiedades, se le asigna un perfil de conexión.

Algunas propiedades de configuración de la capa de transporte, como por ejemplo

la compresión, la reducción de cabecera o la optimización TCP, se negocian

utilizando los perfiles de conexión y de transporte.

Un perfil de transporte es un conjunto de propiedades de configuración de la capa

de transporte que se asignan sólo a los perfiles de conexión de red basados en IP.

Estas propiedades son valores que identifican el tipo de red, por ejemplo, el

nombre de adaptador y la velocidad de la conexión. Se pueden asociar varios

nombres de red con un perfil de transporte y se puede asignar más de un perfil de

transporte a un perfil de conexión IP.

Cuando Connection Manager obtiene una solicitud de inicio de sesión de un

Mobility Client en una red basada en IP, intenta que el nombre de red del cliente o

la velocidad de red coincidan con un perfil de transporte e intenta aplicar las

propiedades de configuración asociadas a ese perfil. Mobility Client propone los

valores de nombre de red y velocidad de red cuando se inicia la sesión o cuando

cambia de una red a otra.

Cuando se determina qué perfil de transporte se va a utilizar, Connection Manager

intenta primero que coincida con el nombre de red y la velocidad que utiliza

Mobility Client. Si no se encuentra ninguna correspondencia exacta para el nombre

de red y la velocidad, se utiliza el nombre exacto de la red. Si no se encuentra

ninguna correspondencia, se utiliza la velocidad exacta de la red. Si no se

encuentra ninguna correspondencia, se realiza una búsqueda aproximada del

nombre y, por último, si no se encuentra ninguna correspondencia, se utiliza la

velocidad de red más próxima.

Si utiliza un perfil de conexión IP sin ningún perfil de transporte asignado o si el

archivo de configuración de Mobility Client tiene RequestTransportProfile

establecido como 0, se asigna un perfil de transporte predeterminado. Asegúrese

de establecer el perfil de transporte predeterminado con un valor válido para los

clientes Mobility que se conecten y que no tengan capacidad para negociar valores

de configuración en el momento de configurar la conexión. Por ejemplo, los

clientes Mobility anteriores a la versión 5.1 no tendrán esta capacidad. Si no se

establece ningún perfil de transporte predeterminado, se asigna uno

automáticamente: el primero que haya disponible en la lista de perfiles de

transporte.

Tenga en cuenta que un perfil de transporte hereda la lista de control de accesos

(ACL) del perfil de conexión al que está asignado.

Un perfil de conexión especifica:

v Un nombre descriptivo

v Si Mobility Client utiliza la compresión. Puede elegir entre los siguientes valores:

Obligatorio

La compresión es necesaria.

Nunca No se realiza ninguna compresión. Cuando se habilita un perfil de

transporte para la compresión, no se utiliza, ya que nunca se ha

negociado.

Opcional

No se necesita ningún tipo de compresión para esta MNC y el Mobility

Capítulo 7. Utilización de los servicios de acceso móvil 123

||

||||

||

Client puede negociar la compresión. Si se negocia, el valor del perfil de

transporte determina si se utiliza o no.

ZLIB Las bibliotecas de compresión de datos basadas en el algoritmo

Lempel-Ziv-Welch que proporciona ZLIB.

El valor predeterminado es Opcional.

v Si se ejecuta la reducción de cabecera.

v El algoritmo de intercambio de claves se utiliza para validar los clientes

Mobility. Tenga en cuenta que el algoritmo de intercambio de claves se asigna a

una MNC y los clientes Mobility no pueden negociarlo individualmente. Todos

los clientes Mobility conectados mediante una MNC deben utilizar el mismo

acuerdo de intercambio de claves.

Algunos dispositivos tienen números de serie asociados con el hardware que se

pueden utilizar para la identificación. Los usuarios que se conecten utilizando el

Mobility Client configurado para el intercambio de claves de contraseña pueden

tener un nivel de seguridad adicional si aprovechan los identificadores de

dispositivos. No todas las plataformas de cliente ni todos los dispositivos

admiten la identificación de dispositivos. Cuando está disponible, la opción

Ayuda -> Acerca de Mobility Client se actualiza para mostrar el identificador de

dispositivo. Si se configura un usuario para que utilice la identificación de

dispositivo, el identificador exclusivo se combina con la contraseña durante la

autenticación. Si desea obtener más información de configuración, consulte el

tema de seguridad Cómo: ″Utilizando identificación de dispositivo con clientes

Mobility″ en la ayuda en línea de Gatekeeper.

Puede elegir uno de estos algoritmos de intercambio de claves:

Ninguno

El Connection Manager acepta una conexión iniciada por un Mobility

Client utilizando cualquier dispositivo. Cuando se define un perfil de

conexión sin validación, el Gatekeeper proporciona un nombre de

usuario predeterminado (genérico) que se utiliza en las anotaciones de

contabilidad. El ID de usuario de Sin validación es el ID de usuario que

aparece en el archivo de contabilidad (wg.acct) de todos los clientes

Mobility que se conectan mediante una MNC utilizando este perfil.

Para esta opción no es necesario definir ID de usuario ni dispositivos

portátiles en el Gatekeeper.

Hay dos MNC que sólo dan soporte a Sin validación: SNPP (Protocolo

Simple de Paginación de Red) y SMTP (Protocolo Simple de Transporte

de Correo).

Notas:

1. El Mobility Client se debe configurar en el separador Seguridad de

las propiedades de las conexiones como Ninguno.

2. Si utiliza un intercambio de claves Ninguno y el modelo de

validación del cliente se establece como Validación de usuario, se

omite el valor del modelo de validación.

Distribución de claves de dos partes

El Connection Manager se autentica ante el Mobility Client y el Mobility

Client se autentica ante el Connection Manager.

Puede especificar un tipo adicional de autenticación si selecciona Perfil

secundario de autenticación. Si lo especifica, asegúrese de definir y de

elegir un perfil de autenticación distinto al perfil de autenticación de

sistema predeterminado.

124 Lotus Mobile Connect Administrator’s Guide

||

|||

Nota: El Mobility Client se debe configurar en el separador Seguridad

de las propiedades de las conexiones para el intercambio de

claves de Contraseña.

Distribución de claves de una parte

El Mobility Client se autentica ante el Connection Manager.

Puede especificar un tipo adicional de autenticación si selecciona Perfil

secundario de autenticación. Si lo especifica, asegúrese de definir y de

elegir un perfil de autenticación distinto al perfil de autenticación de

sistema predeterminado.

Tenga en cuenta que el Mobility Client se debe configurar en el

separador Seguridad de las propiedades de las conexiones para el

intercambio de claves de Contraseña.

Diffie-Hellman

Se proporcionan al Connection Manager y al Mobility Client los medios

para calcular la misma clave compartida. No tiene que definir ID de

usuario ni dispositivos portátiles en Gatekeeper; no obstante, en este

caso, el modelo de validación del cliente se debe establecer como

Ninguno.

El uso del intercambio de claves de Diffie-Hellman no proporciona

ninguna autenticación. Si desea proporcionar la autenticación, debe

especificar un Perfil secundario de autenticación. Si utiliza un

intercambio de claves de Diffie-Hellman y desea utilizar un método de

autenticación secundario, establezca el modelo de validación del cliente

como Usuario y asegúrese de que los usuarios estén definidos en

Gatekeeper.

Nota: El Mobility Client se debe configurar en el separador Seguridad

de las propiedades de las conexiones para el intercambio de

claves de Clave pública.v Un nivel mínimo de cifrado. Puede elegir entre: estándar de cifrado avanzado

(AES) o estándar de cifrado digital (DES). Consulte el apartado “Cifrado entre

los servicios de acceso móvil y los clientes Mobility” en la página 45 para ver

una descripción.

v Si Connection Manager rota periódicamente la clave de cifrado.

v Un modelo de validación de cliente que determina el nivel de validación que se

necesita cuando el Mobility Client inicia una conexión con el Connection

Manager. En el momento de establecer la conexión, el Connection Manager

asocia un nombre de usuario con esa conexión de cliente. Este nombre se utiliza

para las anotaciones y se puede identificar de varias formas: se puede especificar

en el Mobility Client como ID de usuario, se puede derivar del identificador del

dispositivo portátil que se está utilizando o puede ser un valor predeterminado.

Puede elegir entre los siguientes valores:

Ninguno

No se realiza ninguna validación.

Validación del usuario

Cuando el Mobility Client inicia una conexión, el Connection Manager

necesita un ID de usuario y una contraseña opcional. El ID de usuario

debe definirse en el Gatekeeper. Con un ID de usuario válido, una

persona puede iniciar una sesión utilizando cualquier dispositivo

portátil. Si selecciona esta opción cuando el algoritmo de intercambio de

claves está establecido como Ninguno, se omitirá.

Capítulo 7. Utilización de los servicios de acceso móvil 125

Validación de dispositivo y usuario

Cuando el Mobility Client inicia una conexión, el Connection Manager

valida primero el identificador del dispositivo portátil y, a continuación,

necesita un ID de usuario y una contraseña opcional. El Connection

Manager comprueba si este dispositivo portátil está asociado con el ID

de usuario proporcionado. Se puede asociar más de un dispositivo

portátil con un ID de usuario, y se puede asociar un dispositivo con más

de un ID de usuario. Utilice este modelo si tiene dispositivos asignados

a más de un usuario, o si tiene varios dispositivos asignados a un

usuario y varios compartidos.

Validación de dispositivo a usuario

Cuando el Mobility Client inicia una conexión, el Connection Manager

comprueba el identificador del dispositivo portátil y, a continuación,

deriva el ID de usuario asignado a ese dispositivo portátil. Normalmente

se utiliza en los clientes Mobility que están configurados para no

mostrar los ID de usuario. Este modelo necesita que a cada dispositivo

portátil se le asigne sólo un ID de usuario. No obstante, a un usuario se

le puede asignar más de un dispositivo portátil. Este modelo requiere

que se definan dispositivos portátiles e ID de usuario en el Gatekeeper.v Un perfil secundario de autenticación, necesario para el intercambio de claves

Diffie-Hellman y opcional para los demás algoritmos de intercambio de claves.

v Si los clientes PPP como, por ejemplo, los marcadores PPP, tienen permiso para

conectarse al Connection Manager.

v En las redes basadas en IP, los perfiles de transporte asociados con este perfil de

conexión. Tenga en cuenta que puede asignar varios perfiles de transporte a un

solo perfil de conexión basado en IP.

v En las redes que no están basadas en IP, los valores de unidad máxima de

transmisión:

– El tamaño máximo en bytes de los paquetes de UDP que se enviarán por la

red a la MNC de Mobility Client.

– El tamaño máximo en bytes de los paquetes de UDP que se enviarán por la

red desde la MNC de Mobility Client.

– El valor de MTU en bytes de la interfaz de red móvil (MNI) de Mobility

Client. Esta MTU limita el tamaño de los paquetes IP no procesados que se

envían desde la pila IP del cliente al código de Mobility Client. También la

utiliza la pila TCP en el cliente para determinar el tamaño máximo del

segmento (MSS). El MSS se anuncia durante el establecimiento de una

conexión TCP para indicar al socio la cantidad máxima de datos que se envía

en un paquete. El MSS tiene 40 bytes menos que la MTU para tener en cuenta

las cabeceras TCP/IP. Por lo tanto, el tamaño de la MTU de la MNI afecta al

tamaño de los paquetes IP no procesados que envía al cliente la pila IP del

cliente y, para las conexiones TCP, afecta también al tamaño de los paquetes

que envía el sistema principal remoto.v En las redes que no están basadas en IP, los valores de optimización TCP:

– Si se intenta y se supervisa la optimización TCP y, si es así, el tamaño de la

ventana TCP y la cantidad de tiempo que se bloquea la entrega de los

paquetes retransmitidos, así como si los paquetes se unen en paquetes más

grandes de hasta 4096 bytes.

– La cantidad de tiempo que transcurre antes de descartar un paquete

incompleto.

– El número máximo de veces que puede intentar volver a transmitirse un

paquete antes de descartarlo y restablecer la sesión.

126 Lotus Mobile Connect Administrator’s Guide

v En las redes que no estén basadas en IP:

– La cantidad de tiempo que transcurre antes de descartar un paquete

incompleto.

– Si se iguala el tamaño de los fragmentos antes de transmitirlos en la red.

– La cantidad de retraso de transmisión creado para que el Connection

Manager pueda unir varios paquetes para hacer un uso más eficaz de la capa

de transporte.

– El número máximo de bytes de datos que se pueden transmitir como un

fragmento único.

– El número mínimo de bytes de espacio disponible que debe existir en el

almacenamiento intermedio para poder añadir más datos. El almacenamiento

intermedio contiene los datos que se transmiten como un fragmento único.

– Los filtros que se deben aplicar. Si se seleccionan estos filtros, Mobility Client

no puede enviar tráfico utilizando el protocolo en el número de puerto de la

lista. De esta forma, Mobility Client puede impedir retardos de ancho de

banda y posiblemente evitar cargos de red sin garantía. Seleccione entre los

filtros proporcionados en Recursos predeterminados o cree sus propios filtros.v Si se utiliza un transporte TCP-Lite.

Un perfil de transporte especifica:

v Un nombre descriptivo del perfil.

v Palabras claves o frases que se pueden utilizar para determinar la coincidencia

de un nombre de red.

v La velocidad de la red.

v Cómo se determina el valor de unidad máxima de transmisión (MTU). Los

valores de MTU determinan el tamaño máximo en bytes de un paquete que se

puede enviar en una determinada interfaz. Cuando se trata de una conexión

TCP que se ejecuta en la conexión VPN, se deben considerar varios valores de

configuración de MTU. Puede elegir entre los siguientes valores:

Negociar

Connection Manager y Mobility Client utilizan el valor de MTU que

especifica Mobility Client.

Bajar al cliente

Connection Manager ignora los valores que envía Mobility Client y

utiliza los valores tal como se han especificado. Estos valores se envían

también para que los utilice Mobility Client.v Los valores de unidad máxima de transmisión:

– El tamaño máximo en bytes de los paquetes de UDP que se enviarán por la

red a la MNC de Mobility Client.

– El tamaño máximo en bytes de los paquetes de UDP que se enviarán por la

red desde la MNC de Mobility Client.

– El valor de MTU en bytes de la interfaz de red móvil (MNI) de Mobility

Client. Esta MTU limita el tamaño de los paquetes IP no procesados que se

envían desde la pila IP del cliente al código de Mobility Client. También la

utiliza la pila TCP en el cliente para determinar el tamaño máximo del

segmento (MSS). El MSS se anuncia durante el establecimiento de una

conexión TCP para indicar al socio la cantidad máxima de datos que se envía

en un paquete. El MSS tiene 40 bytes menos que la MTU para tener en cuenta

las cabeceras TCP/IP. Por lo tanto, el tamaño de la MTU de la MNI afecta al

Capítulo 7. Utilización de los servicios de acceso móvil 127

tamaño de los paquetes IP no procesados que envía al cliente la pila IP del

cliente y, para las conexiones TCP, afecta también al tamaño de los paquetes

que envía el sistema principal remoto.v El intervalo en segundos con el que Mobility Client envía solicitudes de eco a

Connection Manager.

v Si los datos se comprimen en la conexión entre Mobility Client y Connection

Manager.

v Si Mobility Client y Connection Manager reducen el tamaño del paquete

reduciendo el tamaño de las cabeceras IP.

v Si se iguala el tamaño de los fragmentos antes de transmitirlos en la red.

v La cantidad de retraso de transmisión creado para que Connection Manager

pueda unir varios paquetes para hacer un uso más eficaz de la capa de

transporte.

v El número máximo de bytes de datos que se pueden transmitir como un

fragmento único.

v El número mínimo de bytes de espacio disponible que debe existir en el

almacenamiento intermedio para poder añadir más datos. El almacenamiento

intermedio contiene los datos que se transmiten como un fragmento único.

v Si Mobility Client transmite datos Connection Manager uniendo varios paquetes

para disminuir la carga adicional y hacer un uso más eficaz de la capa de

transporte.

v Si se intenta y se supervisa la optimización TCP y, si es así, el tamaño de la

ventana de transmisión y la cantidad de tiempo que se bloquea la entrega de los

paquetes retransmitidos.

v La cantidad de tiempo que transcurre antes de descartar un paquete incompleto.

v El número máximo de veces que puede intentar volver a transmitirse un

paquete antes de descartarlo y restablecer la sesión.

v Los filtros que se deben aplicar. Si se seleccionan estos filtros, Mobility Client no

puede enviar tráfico utilizando el protocolo en el número de puerto de la lista.

De esta forma, Mobility Client puede impedir retardos de ancho de banda y

posiblemente evitar cargos de red sin garantía. Seleccione entre los filtros

proporcionados en Recursos predeterminados o cree sus propios filtros.

Con el Gatekeeper se proporcionan perfiles predeterminados. Puede modificar los

perfiles predeterminados o crear otros perfiles, uno para cada conjunto de

propiedades que desee asignar a una MNC. Si suprime un recurso

predeterminado, no se puede restaurar sin volver a instalar Connection Manager.

Grupos para los servicios de acceso móvil

Un grupo es una forma de recopilar recursos para utilizarlos en grupo en lugar de

por separado. Puede crear grupos de los siguientes tipos:

Difusión

Una lista de destinatarios a los que se puede enviar un mensaje de

difusión. Un grupo de difusión puede incluir usuarios y MNC.

Dispositivo portátil

Una agrupación de dispositivos portátiles que se puede asignar a uno o

varios usuarios, con lo que se elimina la necesidad de asignar cada

dispositivo de forma individual. Un grupo de dispositivos portátiles es

especialmente útil cuando los usuarios comparten una agrupación de

dispositivos.

128 Lotus Mobile Connect Administrator’s Guide

DHCP

Una agrupación de direcciones IP que se puede asignar a los usuarios de

forma dinámica. Un grupo DHCP puede incluir direcciones IP de distintas

MNI.

Filtro Una lista de filtros que se aplican conjuntamente. Si tiene varias MNI,

puede definir un grupo de filtros y aplicarlo a cada MNI, en lugar de

asignar cada filtro por separado.

Correlación de paquetes o NAT

Una lista de correlaciones de paquetes o conversores de direcciones de red

(NAT) que se aplican en conjunto. Si tiene varias MNI, puede definir un

grupo y aplicarlo a cada MNI, en lugar de asignar cada correlación de

paquetes o cada conversor de direcciones de red por separado.

Dispositivo portátil

Aunque un dispositivo portátil se define en el Connection Manager, los servicios

de acceso móvil lo utilizan de forma explícita.

Un dispositivo portátil es un dispositivo que utilizan los clientes para comunicarse

con el Connection Manager. Los dispositivos portátiles se definen en el Gatekeeper

para controlar qué dispositivos pueden acceder al Connection Manager.

La información que se utiliza para identificar un dispositivo portátil depende del

proveedor de red. Debe tener el identificador exclusivo del dispositivo, que a

menudo se monta en el dispositivo o se incluye como firmware en el dispositivo.

Para los sistemas como RTC y GSM, debe registrar el teléfono, no el módem.

Cuando especifique los números de registro de un usuario GSM, utilice el número

de teléfono normal, que se conoce como MSISDN, ya que es la voz combinada y el

número de datos ISDN V.110 del servicio GSM-ISDN. Utilice el número de datos

independiente para V.32 y los otros protocolos de módem convencionales para el

servicio GSM-PSTN. Solicite la activación de estos servicios de datos y la

asignación del número de datos adicional antes de utilizar estos servicios.

Perfil de módem

Un perfil de módem contiene información de configuración que permite a los

servicios de acceso móvil comunicarse con un módem RTC (Red Telefónica

Conmutada). El módem está conectado a los servicios de acceso móvil y forma el

extremo de pasarela del enlace entre los Servicios de acceso móvil y el Mobility

Client. El perfil de módem contiene el mandato predeterminado y las series de

inicialización de un módem determinado.

Los servicios de acceso móvil se proporcionan con varios perfiles de módem

predeterminados. Puede modificar los perfiles existentes o puede añadir un nuevo

perfil.

Si utiliza más de un perfil de módem, debe definir una MNC aparte para cada

perfil. Consulte el apartado “Adición de recursos” en la página 105.

Conversor de direcciones de red

Un conversor de direcciones de red (NAT) es un recurso que se asigna a una MNI.

NAT se utiliza para redireccionar el tráfico a través de una subred específica

representada por una MNI.

Capítulo 7. Utilización de los servicios de acceso móvil 129

NAT permite al Connection Manager actuar como agente entre una red pública y

una red privada. Basándose en RFC 1631, NAT permite utilizar direcciones IP en

un dominio de stub que se puede utilizar en otros dominios de stub. En un

dominio de stub como, por ejemplo, una red corporativa que maneje sólo tráfico

de origen y de destino desde dentro de la red, hay muy pocas direcciones IP que

necesiten direcciones IP exclusivas de forma global. Esto significa que sólo se

necesita una dirección IP exclusiva para representar a un grupo completo de

equipos.

NAT define un rango de direcciones IP de origen exclusivas y, a continuación,

asigna de forma aleatoria un paquete de origen a un número de puerto (de 1024 a

65535). NAT mantiene la correlación del paquete con el número de puerto en una

tabla de conversión el tiempo que dure una sesión TCP o hasta que se exceda el

tiempo de espera de una sesión TCP o una conexión UDP.

Cuando se crea una NAT, se especifica:

v Un nombre descriptivo

v La dirección IP que identifica la dirección NAT. Cuando se especifica más de una

dirección, las direcciones IP se asignan en forma de turno rotativo continuo.

v La cantidad de tiempo de inactividad en minutos que determina un tiempo de

espera de sesión TCP y UDP.

v La información de direccionamiento de datos del paquete de origen y de destino

que filtra si NAT debe procesar un paquete o no. Si no se especifica ninguna

dirección de origen o de destino, NAT se aplica a todo el tráfico conectado

mediante la MNI.

v Un grupo de correlaciones de paquetes si desea añadir la NAT a un grupo.

Asegúrese de crear primero un grupo de correlaciones de paquetes y, a

continuación, añada la NAT.

Utilizando NAT, el tráfico destinado a la dirección NAT se direcciona en la subred

de MNI para que el proceso del Connection Manager pueda recuperarlo. Para ello,

el Connection Manager añade una ruta a la dirección MNI en la tabla de

direccionamiento para enviar los paquetes destinados a la dirección NAT. En el

sistema operativo Solaris, la ruta que se añade a la tabla de direccionamiento es la

dirección MNI más 1.

Para asegurar que el tráfico se direcciona a la máquina donde está instalado el

Connection Manager, el Connection Manager se enlaza a un adaptador de red y

luego utiliza el protocolo de resolución de direcciones (ARP), si es necesario. No es

necesario ejecutar un mandato arp para asociar la dirección NAT con la dirección

MAC de la máquina. Las direcciones NAT deben ser direccionables en la misma

subred física que el adaptador de red. Si no es así, el direccionador de red debe

configurarse para aceptar este tráfico.

Flujo de ejemplo

Por ejemplo, el Mobility Client realiza una solicitud HTTP de una página web.

v Dirección IP del Mobility Client = 34.34.130.3

v NAT utilizando la dirección IP = 48.48.130.9

v Dirección IP del servidor HTTP = 129.42.16.99

El paquete de la solicitud HTTP del Mobility Client tiene un par de dirección de

origen y puerto igual a 34.34.130.3@32771, y un par de dirección de destino y

puerto igual a 129.42.16.99@80. Cuando el paquete alcanza la NAT, ésta reasigna la

dirección de origen a su propia dirección IP y le asigna un número de puerto

aleatorio. NAT envía el paquete al servidor HTTP con un par de dirección de

130 Lotus Mobile Connect Administrator’s Guide

origen y puerto igual a 48.48.130.9@6022 y el par de dirección de destino y puerto

queda como 129.42.16.99@80. Cuando se recupera la página web, el servidor HTTP

responde con un paquete que tiene un par de dirección de origen y puerto igual a

129.42.16.99@80. El par de dirección de destino y puerto del servidor HTTP es

48.48.130.9@6022. NAT recibe el paquete y correlaciona la dirección de destino y el

puerto con el Mobility Client y se establece como 34.34.130.3@32771.

Correlación de paquetes

Aunque las correlaciones de paquetes se definen en un Connection Manager, se

utilizan de forma explícita en los servicios de acceso móvil.

Una correlación de paquetes es un recurso que se asigna a una MNI. Una

correlación de paquetes es una forma de redireccionar algunos tipos de tráfico a

través de una subred específica representada por una MNI. Puede crear

correlaciones de paquetes para cuatro tipos de paquetes:

v TCP

v UDP

v ICMP

v Otros

Puede utilizar correlaciones de paquetes para modificar algunos campos dentro de

la cabecera de un paquete. Por ejemplo, puede configurar una correlación para

cambiar el número de puerto en los paquetes TCP de salida por un puerto en un

servidor de correo que se ha optimizado para los clientes Mobility.

Filtro

Aunque los filtros se definen en un Connection Manager, se utilizan de forma

explícita en los servicios de acceso móvil.

Un filtro es un recurso que se asigna a una MNI. Los filtros positivos o negativos

son una forma de controlar algunos tipos de tráfico a través de una subred

específica representada por una MNI. Puede crear filtros para cuatro tipos de

paquetes:

v TCP

v UDP

v ICMP

v Otros

Los criterios de filtro que se utilizan en un filtro dependen del tipo de paquete. Se

puede definir un filtro para bloquear paquetes o para pasar paquetes, según los

criterios especificados. Con el Gatekeeper se proporciona un conjunto de filtros

predeterminado y un grupo de filtros denominado Filtros predeterminados.

Puede asignar filtros a los perfiles de transporte para controlar el flujo de datos

desde el Mobility Client a los servicios de acceso móvil.

Alias de direccionamiento

Un alias de direccionamiento es un Mobility Client que actúa como un nodo

multiubicado para direccionar los datos entre los servicios de acceso móvil y una

subred especificada por el usuario. Los servicios de acceso móvil entregan todo el

Capítulo 7. Utilización de los servicios de acceso móvil 131

tráfico destinado a la subred especificada a la dirección IP del Mobility Client.

Posteriormente, el Mobility Client actúa como pasarela de destino y direcciona los

datos a la dirección de destino.

Interfaz de red móvil (MNI)

MNI es una interfaz de red que define una subred IP a través de la cual los

servicios de acceso móvil direccionan el tráfico IP de los clientes Mobility. Una

subred IP es un rango contiguo de direcciones IP o grupos de direcciones IP que

dan soporte al número de clientes Mobility y dispositivos portátiles que se pueden

conectar simultáneamente al Connection Manager. A cada Mobility Client o

dispositivo portátil se le asigna una dirección IP dentro de la subred de una MNI y

se conecta a la LAN cableada de la organización a través de la MNI.

Connection Manager da soporte a un máximo de 256 MNI en AIX o Solaris. Se da

soporte a un máximo de 32 MNI en Linux. Si se definen más de 250 MNI,

Gatekeeper muestra sólo las primeras 250 MNI en orden aleatorio, tal y como las

devuelve la búsqueda. El número máximo de MNI se calcula sustrayendo las

interfaces de red que se encuentran activas de 256.

MNI reserva una dirección IP en una subred como propia y esta dirección es el

punto de presencia del Connection Manager en la red LAN cableada de la

organización. La forma en qué se asigna esta dirección IP depende del sistema

operativo. En AIX y Solaris, se asigna una dirección IP y una máscara de red para

utilizar una subred a través de la cual el tráfico se direcciona públicamente.

En Linux, la forma en que se asigna esa dirección IP y en que se direcciona el

tráfico públicamente fuera de la MNI viene determinada por las opciones de

configuración:

Utilizar una subred a través de la cual el tráfico se direcciona públicamente

A todos los clientes Mobility se les asigna una dirección del rango de

direcciones definido por una dirección IP configurable y una submáscara

de red. Tenga en cuenta que esta opción requiere que las máquinas de la

LAN cableada de la organización puedan direccionar tráfico a esta subred

utilizando la dirección IP de Connection Manager en la LAN cableada.

Tenga en cuenta que esta opción es la que está disponible en los sistemas

operativos AIX y Solaris.

Utilizar un servidor DHCP ubicado externamente

Todas las direcciones de Mobility Client para la MNI se asignan utilizando

un servidor DHCP (Protocolo de Configuración Dinámica de Sistema

Principal). El servidor DHCP también direcciona todo el tráfico público de

los paquetes destinados fuera de la subred de MNI.

Esta opción requiere que se enlace con la MNI un adaptador de interfaz de

red específico. Está especialmente indicada para su uso en instalaciones

pequeñas, ya que requiere entradas de tabla ARP y tabla de

direccionamiento para cada dirección asignada, lo que puede afectar al

rendimiento.

Utilizar un servidor DHCP externo con NAT

A todos los clientes Mobility se les asigna una dirección del rango de

direcciones definido por una dirección IP configurable y una submáscara

de red. Normalmente, este rango de direcciones es privado y no es

globalmente exclusivo (esto es, no hay direcciones IP exclusivas en

Internet). Connection Manager obtiene un rango de direcciones IP de

origen exclusivas que se utilizan para la conversión de direcciones de red

132 Lotus Mobile Connect Administrator’s Guide

|||||

(NAT) basándose en el número configurable de direcciones NAT solicitadas

y, a continuación, asigna de forma aleatoria un paquete de origen a un

número de puerto. NAT mantiene la correlación del paquete con una de

estas direcciones y el número de puerto en una tabla de conversión el

tiempo que dure una sesión TCP o hasta que se exceda el tiempo de espera

de una sesión TCP desocupada o una conexión UDP desocupada. Las

direcciones NAT se obtienen de un servidor DHCP.

Esta opción requiere que se enlace con la MNI un adaptador de interfaz de

red específico. Está especialmente indicada para su uso en instalaciones en

las que no hay disponible un gran número de direcciones direccionables

para asignarlas a la MNI y reduce el número de solicitudes que se realiza

al servidor DHCP a una. El rendimiento se ve afectado cuando hay una

base de usuarios grande con una elevada tasa de inicio de sesión.

Los Servicios de acceso móvil pueden tener una MNI para todas las redes o varias

MNI para los distintos rangos de redes.

No todos los clientes de mensajería y clientes de servicios de acceso HTTP utilizan

recursos MNI. Consulte el apartado “Conexiones PPP nativas” en la página 35 para

obtener más información.

También puede:

v Configurar la conversión de direcciones de red para que el Connection Manager

pueda actuar como agente entre una red pública y una red privada utilizando

menos direcciones IP exclusivas para representar un grupo completo de equipos.

Consulte el apartado “Conversor de direcciones de red” en la página 129.

v Definir un alias de direccionamiento en una MNI para que actúe como una

pasarela de destino multiubicada que direccione los datos entre los servicios de

acceso móvil y una subred especificada por el usuario. Consulte el apartado

“Alias de direccionamiento” en la página 131.

v Configurar filtros para permitir o no la comunicación entre las direcciones IP

dentro de una MNI. Consulte el apartado “Filtro” en la página 131.

v Redireccionar datos hacia o desde direcciones de una MNI utilizando la

correlación de paquetes, que modifica un paquete de cabecera IP para

redireccionar datos. Consulte el apartado “Correlación de paquetes” en la página

131.

Si la máscara de subred que se aplica a la MNI es demasiado restrictiva y desea

que los clientes Mobility que se conectan mediante esa MNI tengan un rango de

subredes más amplio, puede aplicar una máscara de subred alternativa a esa MNI.

La máscara de subred alternativa amplía el rango de direcciones que pueden

alcanzar los clientes Mobility, y probablemente elimina la necesidad de una ruta

predeterminada en el Mobility Client.

Para comprobar que la organización puede acceder a los clientes Mobility y los

dispositivos portátiles, actualice las tablas de direccionamiento de la organización

para que incluyan el punto de presencia del Connection Manager en la subred de

MNI.

Definición de una subred de MNI estática

Para definir una subred de MNI a través de la cual se direcciona el tráfico

públicamente, debe saber cómo:

1. Adquirir una subred utilizando una dirección IP de sistema principal y una

máscara de subred para esa dirección.

Capítulo 7. Utilización de los servicios de acceso móvil 133

2. Comprobar que las direcciones reservadas en la subred no se utilizan como

direcciones IP del Mobility Client o dispositivo portátil. Aunque no es un

requisito, algunas redes reservan el uso de las direcciones inferior y superior

del rango de subredes como direcciones de difusión de red.

3. Determinar si necesita una máscara de subred alternativa.

4. Actualizar las tablas de direccionamiento de la organización para que incluyan

la dirección IP del Connection Manager.

5. Actualizar las tablas de direccionamiento de la organización para que

direccionen el rango de direcciones MNI a la dirección IP del Connection

Manager.

6. Comprobar que el tráfico se direcciona de forma segura entre el Mobility Client

y los servicios de acceso móvil.

7. Configurar, de manera opcional, filtros, correlaciones de paquetes o alias de

direccionamiento para la MNI.

Conceptos del direccionamiento IP: Una subred es un rango contiguo de

direcciones IP. Para determinar las direcciones inferior y superior del rango,

especifique una dirección IP de sistema principal y una máscara de subred para

esa dirección. La dirección IP es la dirección de la MNI. La máscara de subred se

aplica a la dirección para especificar un rango de direcciones que define una

subred dentro de la red. La subred no se puede ampliar más allá del rango de la

red.

La máscara de subred tiene un formato parecido al de una dirección formada por

cuatro octetos, con todos los bits excepto los del final de la máscara que indican

cuántas direcciones hay disponibles. Por ejemplo, una máscara de 255.255.255.0

puede ser:

11111111.11111111.11111111.00000000

mientras que una máscara de 255.255.240.0 será:

11111111.11111111.11110000.00000000

y permite un rango mayor de direcciones de sistema principal.

En general, cada vez que se cambia el último uno por un cero, se duplica el

número de direcciones disponibles. Si cambia más de un bit de uno a cero (por

ejemplo, si cambia de 255 a 240, se cambian cuatro bits), se multiplica el número

de direcciones disponibles por dos elevado a la potencia n, donde n es el número

de bits modificados. Por ejemplo, si cambia de 255 a 240, se multiplica el número

de direcciones disponibles por dos elevado a la cuarta potencia, o 16.

Todos estos ejemplos utilizan una red de clase B, en la que los dos primeros

octetos definen la dirección de red, y los dos últimos octetos definen las

direcciones de subred y sistema principal.

v Dirección IP 34.34.130.1, máscara de subred 255.255.255.0

La máscara indica que se pueden utilizar para la subred todos los bits del último

octeto, quedando disponible el rango de 34.34.130.0 a 34.34.130.255. 34.34.130.1

se reserva para la MNI; 34.34.130.0 y 34.34.130.255 (la primera y la última

dirección del rango completo) se reservan como direcciones de difusión de red.

Esto significa que las direcciones de la 34.34.130.2 a la 34.34.130.254 (253

direcciones) están disponibles para los clientes Mobility.

v Dirección IP 34.34.130.75, máscara de subred 255.255.255.0

134 Lotus Mobile Connect Administrator’s Guide

El resultado es el mismo rango de direcciones disponibles que en el ejemplo

anterior, excepto que la dirección que se utiliza para la MNI es diferente.

Continúa habiendo disponibles 253 direcciones.

v Dirección IP 34.34.130.1, máscara de subred 255.255.254.0

Esta máscara de subred abre un bit más, lo que amplía el rango de direcciones

disponibles de 34.34.130.0 a 34.34.131.255. De esta forma se obtienen 512

direcciones; después de eliminar las direcciones individuales de difusión y de la

MNI, quedan 509 disponibles para su uso en los clientes Mobility.

v Dirección IP 34.34.130.1, máscara de subred 255.255.240.0

Esta máscara de subred amplía el rango de direcciones disponibles de 34.34.128.0

a 34.34.143.255. De esta forma se obtienen 4096 direcciones; después de eliminar

las direcciones individuales de difusión y de la MNI, quedan 4093 disponibles

para su uso en los clientes Mobility.

Después de adquirir una subred y definirla como MNI en el Gatekeeper, actualice

las tablas de direccionamiento de la organización para que incluyan la subred que

se está utilizando para la MNI. Puede añadir entradas de rutas de red estáticas a

los equipos individuales de la red, o actualizar el direccionador de red para que

incluya las direcciones de subred de MNI que se deben direccionar mediante los

servicios de acceso móvil.

Por ejemplo, en la Figura 9, los servicios de acceso móvil con una dirección IP

38.38.130.9 residen en una LAN cableada. Esta LAN tiene un direccionador con

una dirección IP 38.38.130.1. Los servicios de acceso móvil definen una MNI que es

una subred de direcciones que van de la 34.34.130.0 a la 34.34.130.255. La MNI

utiliza 34.34.130.1. Para poder direccionar el tráfico de la LAN cableada a la subred

de MNI, se crea una entrada de tabla de direccionamiento en la que la dirección IP

de destino y la máscara de la subred (34.34.130.0 y 255.255.255.0, respectivamente)

se direccionan a través de los servicios de acceso móvil (38.38.130.9).

Figura 9. Ejemplo de una subred de MNI y una entrada de tabla de direccionamiento

Capítulo 7. Utilización de los servicios de acceso móvil 135

Habilitación de la comunicación segura para los servicios de acceso

móvil

Puede controlar el tráfico de datos y configurar la autenticación entre los servicios

de acceso móvil y el Mobility Client.

Control de tráfico de datos

Puede utilizar la conversión de direcciones de red, los filtros y las correlaciones de

paquetes para controlar los protocolos y el direccionamiento a los recursos en la

red ampliada. Un conversor de direcciones de red (NAT) reasigna las direcciones

IP de los clientes Mobility de forma que, por ejemplo, la dirección de origen real

de un paquete del Mobility Client se asigna a la dirección NAT y la NAT

correlaciona el paquete con un puerto determinado. Los filtros controlan el flujo de

datos dependiendo del tipo de paquete. La correlación de paquetes es una forma

de redireccionar datos a través de una subred.

Configuración de la autenticación entre los servicios de

acceso móvil y el Mobility Client

El Connection Manager utiliza un protocolo de punto a punto (PPP) modificado

denominado protocolo de enlace inalámbrico optimizado (WLP) para autenticar su

conexión con los clientes Mobility mediante una conexión de red móvil (MNC).

Cada MNC de WLP puede utilizar un protocolo de distribución de claves de una

parte, un protocolo de distribución de claves de dos partes o Diffie-Hellman para

intercambiar claves y validar o autenticar los clientes Mobility.

Para visualizar o cambiar el tipo de acuerdo de claves que utiliza la MNC entre el

Connection Manager y el Mobility Client, edite las propiedades del Perfil de

conexión asignado a la MNC. Pulse el separador Seguridad y, a continuación,

pulse el campo Algoritmo de intercambio de claves.

Determine si los clientes Mobility deben tener un certificado de clave pública

instalado en sus sistemas. Consulte el apartado “Almacenamiento de certificados

basados en clientes”.

Almacenamiento de certificados basados en clientes

Para almacenar certificados basados en clientes:

1. Utilice un PC de escritorio para crear una solicitud de certificado.

2. Envíe la solicitud de certificado a una autoridad de certificados (CA). La CA

devuelve un archivo de solicitud de certificado con un tipo de archivo p12.

3. Compruebe que el archivo p12 esté en el sistema o dispositivo que lo va a

utilizar.

4. Inicie la conexión del Mobility Client que utiliza la autenticación basada en

certificados. Cuando aparezca el diálogo de autenticación, pulse Examinar para

seleccionar el archivo p12. A continuación, pulse Aceptar dos veces. Tenga en

cuenta que en los dispositivos Pocket PC sólo puede examinar los archivos

almacenados en las carpetas Mis documentos.

136 Lotus Mobile Connect Administrator’s Guide

Configuración de un RNC redundante con conmutadores A/B

controlados de forma remota

Un conmutador A/B controlado de forma remota puede indicar a un controlador

de red de radio (RNC) que envíe tráfico a una determinada estación base de radio

móvil privado (PMR) de Motorola. Puede configurar los servicios de acceso móvil

para que envíen mensajes de alerta a un conmutador A/B controlado de forma

remota conectado a un RNC 3000 redundante. Puede definir hasta cuatro

conmutadores.

Si no hay tráfico de red, los servicios de acceso móvil envían un mensaje de

pulsación al RNC para comprobar que sigue allí. Si el RNC no responde a dos

mensajes consecutivos de pulsación, los servicios de acceso móvil interrumpen la

conexión e intentan restablecerla con la RNC primaria. Si no se puede restablecer

la conexión, los servicios de acceso móvil cambian el control al RNC redundante

para establecer una conexión y reanudar el proceso normal. Los servicios de acceso

móvil pueden enviar una alerta SNMP (Simple Network Management Protocol) al

conmutador A/B para indicarle que cambie las estaciones base PMR al RNC en

espera (redundante).

Para configurar una MNC rnc3000 con un RNC redundante y un conmutador A/B

controlado de forma remota:

1. Compruebe que la MNC rnc3000 se ha añadido al Connection Manager.

2. Edite las propiedades de la MNC rnc3000. Consulte el apartado “Edición de

propiedades de recursos” en la página 101 para obtener más información.

3. Pulse el separador Controlador en línea y revise los valores de la dirección IP

de RNC, el puerto de lectura TCP y el puerto de escritura TCP que se

asignaron cuando se añadió la MNC.

4. Pulse Modificar configuración RNC redundante y entre la Dirección IP del

RNC redundante.

5. Pulse Conmutador A/B de control y entre la Dirección IP de conmutador A/B

remoto.

6. Entre el archivo MIB (Management Information Base) que utiliza el Connection

Manager que describe el conmutador A/B remoto.

7. Entre la Dirección IP de conmutador A/B remoto y la dirección IP de hasta tres

conmutadores adicionales.

8. Pulse el campo Correlación de puerto de conmutador A/B remoto para

identificar si la correlación de puertos etiquetada como A en el conmutador

A/B controlado de forma remota está conectada con el RNC primario o

redundante.

Tenga en cuenta que siempre que se conmutan los RNC primario y redundante, los

servicios de acceso móvil envían una alerta al conmutador A/B especificando qué

RNC está activo.

Capítulo 7. Utilización de los servicios de acceso móvil 137

138 Lotus Mobile Connect Administrator’s Guide

Capítulo 8. Utilización de los servicios de mensajería

En este apartado:

v “Definición de los recursos que utilizan los servicios de mensajería”

v “Habilitación de la comunicación segura para los servicios de mensajería” en la

página 140

v “Configuración de una MNC SMPP” en la página 142

Definición de los recursos que utilizan los servicios de mensajería

Un “Servicio de aplicaciones” es un recurso utilizado por los servicios de

mensajería.

Servicio de aplicaciones

Utilizado por los servicios de mensajería, un servicio de aplicaciones proporciona

acceso basado en conexiones directas con las aplicaciones de servidor de programa

de fondo. El servicio de aplicaciones define el protocolo que se utiliza entre el

servidor de aplicaciones y los servicios de mensajería. Identifica el puerto que se

reserva para la comunicación entre una aplicación en los dispositivos de cliente de

mensajería y los servicios de mensajería. La aplicación proporciona un determinado

conjunto de información de cabecera dentro de la corriente de datos que utilizan

los servicios de mensajería para correlacionar el tráfico con el servidor de

aplicaciones de programa de fondo. Hay dos tipos de servicios de aplicaciones:

Genérico

Permite el flujo del tráfico de aplicaciones entre servidores de aplicaciones

de programa de fondo y dispositivos de cliente de mensajería. Entre el

servidor de aplicaciones de programa de fondo y los servicios de

mensajería, el tráfico fluye a través de UDP, TCP o TCP utilizando SSL.

Entre los dispositivos de cliente de mensajería y los servicios de

mensajería, el tráfico fluye a través de todas las MNC, excepto las MNC de

SMTP, SNPP o basadas en marcación.

Por ejemplo, un cliente de correo electrónico POP3 en un dispositivo de

mensajería se conecta con el Connection Manager utilizando un protocolo

SMS. servicios de mensajería convierte la corriente de datos al protocolo

UDP o TCP, y envía las solicitudes directamente al servidor POP3. Cuando

se devuelven las respuestas desde el servidor POP3, se vuelven a convertir

al protocolo SMS y se devuelven al cliente de correo electrónico en el

dispositivo de mensajería.

Este servicio se puede configurar para añadir información de identificación

de dispositivos de cliente como una cabecera en la corriente de datos de la

aplicación. La aplicación que recibe la corriente de datos es la responsable

de interpretar la cabecera. Consulte el Apéndice A, “Referencia de

programación”, en la página 147 si desea obtener más información sobre el

Kit de utilidades de push y de servicios de mensajería.

Este servicio también se puede configurar para realizar transacciones TCP

seguras. Este servicio sólo está disponible como un servicio de aplicaciones

adicional que se añade a los servicios de mensajería.

Paso a través

Permite el flujo del tráfico de aplicaciones entre servidores de aplicaciones

139

de programa de fondo y dispositivos de cliente de mensajería, pero no

convierte el protocolo de la corriente de datos. Los servicios de mensajería

mantienen registros de contabilidad de la corriente de datos, que se

pueden enviar a otro servidor de contabilidad. Los servicios de

aplicaciones de paso a través están soportados en las MNC basadas en

Mobitex y DataTAC.

Habilitación de la comunicación segura para los servicios de

mensajería

Puede configurar certificados SSL para el servicio de mensajería y para las

aplicaciones de proceso de mensajes.

Configuración de los certificados SSL para los servicios de

mensajería

Puede configurar certificados de clave pública para que utilicen SSL (capa de

sockets protegidos) y habiliten una conexión segura entre los servicios de

mensajería y las aplicaciones utilizando las API de push y de servicios de

mensajería. Para determinar qué certificados de clave pública desea habilitar, revise

las opciones del apartado “Autenticación y cifrado” en la página 44.

Para configurar una conexión segura entre los servicios de mensajería y los

servidores de proceso de mensajes o los iniciadores de envío (push), configure cada

punto final. Los certificados de claves en el punto final de los servicios de

mensajería se almacenan en la base de datos de claves y se protegen mediante una

contraseña oculta. El nombre de archivo de la base de datos de claves

predeterminada es ppg.trusted.kdb. La contraseña oculta predeterminada es

“trusted” y se almacena en ppg.trusted.sth. Para cambiar el nombre de archivo de

la base de datos de claves o el nombre de archivo de la contraseña oculta, edite el

separador Pasarela de las propiedades de los servicios de mensajería. Consulte el

apartado “Edición de propiedades de recursos” en la página 101. Para configurar el

punto final del servidor de proceso de mensajes o el iniciador de envío (push),

consulte el apartado “Configuración de los certificados SSL para las aplicaciones de

proceso de mensajes”.

Para añadir o visualizar certificados de claves en la base de datos de claves, inicie

una sesión como raíz y utilice la interfaz de gestión de claves de IBM: Entre

wg_ikeyman.

Si desea obtener más información sobre cómo cambiar la contraseña oculta, crear

una solicitud de certificado, enviar la solicitud de certificado, almacenar

certificados y actualizar el certificado raíz, pulse Ayuda –> Contenido utilizando la

interfaz de gestión de claves de IBM.

Una vez realizados los cambios en la base de datos de claves, cierre y reinicie el

Connection Manager para activar los cambios.

Configuración de los certificados SSL para las aplicaciones

de proceso de mensajes

Para configurar una conexión segura entre los servicios de mensajería y las

aplicaciones utilizando las API de push y de servicios de mensajería, asegúrese de

configurar cada punto final. Consulte el apartado “Configurar certificados SSL en

el Connection Manager” en la página 88 para obtener más información sobre la

configuración del punto final de servicios de mensajería.

140 Lotus Mobile Connect Administrator’s Guide

Para crear una conexión segura para las aplicaciones que utilicen las API de push y

de servicios de mensajería, deberá:

v Crear un certificado autofirmado o emitir una solicitud de certificado para

obtener un certificado de una autoridad de certificados.

v Añadir el certificado a la base de datos de claves de los servicios de mensajería

existente y, a continuación, extraer el certificado. Consulte el apartado

“Configuración de los certificados de claves de la base de datos de claves de los

servicios de mensajería”.

v Crear una nueva base de datos de claves para que la utilice la aplicación de

proceso de mensajes y añadirle el certificado extraído.

v Transferir la base de datos de claves al sistema de la aplicación de proceso de

mensajes. Consulte los apartado “Creación de un archivo de almacenamiento de

claves Java para las aplicaciones Java” o “Creación de una base de datos de

claves y un archivo oculto para las aplicaciones C” en la página 142.

Tenga en cuenta que el tipo de base de datos de claves depende del idioma de

programación que se utiliza para crear la aplicación de proceso de mensajes. Las

aplicaciones C utilizan una combinación de base de datos de claves y archivo

oculto. Las aplicaciones Java utilizan un archivo de clase de base de datos de

claves.

Configuración de los certificados de claves de la base de datos

de claves de los servicios de mensajería

Este procedimiento es común para las aplicaciones que utilizan los lenguajes de

programación C o Java:

1. Inicie una sesión como usuario raíz y entre wg_ikeyman.

2. Pulse Archivo de base de datos de claves –> Abrir. En el directorio de

instalación, abra el archivo ppg.trusted.kdb. La contraseña predeterminada es

“trusted”.

3. Cree un certificado autofirmado o emita una solicitud de certificado para

obtener un certificado de una autoridad de certificados predefinida (conocida).

Si obtiene un certificado de una autoridad de certificados, añádalo al archivo de

base de datos de claves abierto. Pulse Ayuda –> Contenido para obtener

información en línea sobre cómo crear un certificado autofirmado o cómo

obtener un certificado y añadirlo a la base de datos de claves.

4. Pulse Certificados personales.

5. Elija el certificado que acaba de añadir a la base de datos de claves abierta y, a

continuación, pulse Extraer certificado.

6. Asegúrese de que el tipo de datos sea Datos ASCII codificados en Base 64.

7. Especifique la ubicación y el nombre del archivo del certificado y, a

continuación, pulse Aceptar.

8. Pulse Archivo de base de datos de claves –> Cerrar.

Creación de un archivo de almacenamiento de claves Java para

las aplicaciones Java

1. Inicie una sesión como usuario raíz y entre wg_ikeyman.

2. Cree un nuevo archivo de clase de base de datos de claves que se utilizará en

la aplicación de proceso de mensajes. Pulse Archivo de base de datos de

claves –> Nuevo.

3. Seleccione JKS como tipo de base de datos de claves.

Capítulo 8. Utilización de los servicios de mensajería 141

||

|

4. Especifique la ubicación y el nombre de archivo de la nueva base de datos de

claves. Coloque el archivo en una ubicación desde la que pueda copiarlo o

transferirlo fácilmente al sistema de la aplicación de proceso de mensajes. A

continuación, pulse Aceptar.

5. Entre la contraseña dos veces y pulse Aceptar.

6. Pulse Certificados de firmante.

7. Pulse Añadir... y seleccione Datos ASCII codificados en Base 64 como tipo de

datos.

8. Especifique la ubicación y el nombre del archivo del certificado que ha

añadido a la base de datos de claves abierta en el apartado “Configuración de

los certificados de claves de la base de datos de claves de los servicios de

mensajería” en la página 141 y, a continuación, pulse Aceptar.

9. Entre una etiqueta para el certificado y, a continuación, pulse Aceptar.

10. Pulse Archivo de base de datos de claves –> Cerrar.

11. Transfiera el archivo de base de datos de claves al sistema de la aplicación de

proceso de mensajes. Siga las instrucciones de la Guía del desarrollador del

Kit de utilidades de push y servicios de mensajería para utilizar el archivo de

base de datos de claves.

Creación de una base de datos de claves y un archivo oculto

para las aplicaciones C

1. Inicie una sesión como usuario raíz y entre wg_ikeyman.

2. Cree un nuevo archivo de base de datos de claves que se utilizará en la

aplicación de proceso de mensajes. Pulse Archivo de base de datos de claves

–> Nuevo.

3. Seleccione Archivo de base de datos de claves CMS como tipo de datos.

4. Especifique la ubicación y el nombre de archivo de la nueva base de datos de

claves. Coloque el archivo en una ubicación desde la que pueda copiarlo o

transferirlo fácilmente al sistema de la aplicación de proceso de mensajes. A

continuación, pulse Aceptar.

5. Entre la contraseña dos veces y pulse el recuadro de selección ¿Ocultar la

contraseña en un archivo? . A continuación, pulse Aceptar dos veces.

6. Pulse Certificados de firmante.

7. Pulse Añadir...

8. Seleccione Archivo de base de datos de claves CMS como tipo de datos.

9. Especifique la ubicación y el nombre del archivo del certificado que ha

añadido a la base de datos de claves abierta en el apartado “Configuración de

los certificados de claves de la base de datos de claves de los servicios de

mensajería” en la página 141 y, a continuación, pulse Aceptar.

10. Entre una etiqueta para el certificado y, a continuación, pulse Aceptar.

11. Pulse Archivo de base de datos de claves –> Cerrar.

Configuración de una MNC SMPP

El protocolo de igual a igual de mensajes cortos (SMPP) se basa en el intercambio

de unidades de datos de protocolo (PDU) de solicitud y respuesta entre el

Connection Manager que actúa como entidad externa de mensajes cortos (ESME) y

el centro de servicios de mensajes cortos (SMS-C). El Connection Manager da

soporte a todas las operaciones de PDU que se definen en la especificación SMPP

Versión 3.4.

142 Lotus Mobile Connect Administrator’s Guide

El Connection Manager puede intentar registrarse o enlazarse con un SMS-C

utilizando uno de los métodos siguientes:

Transceptor

El Connection Manager envía mensajes a SMS-C y recibe mensajes de

SMS-C a través de una sesión SMPP única. Si se selecciona este método y

SMS-C no lo admite, el Connection Manager intentará de nuevo realizar el

enlace utilizando el método Transmisor/Receptor.

Transmisor

El Connection Manager envía mensajes cortos a SMS-C y recibe las

respuestas SMPP correspondientes de SMS-C.

Receptor

El Connection Manager recibe mensajes cortos de SMS-C y devuelve las

repuestas de mensajes SMPP correspondientes a SMS-C.

Transmisor/Receptor

Utiliza dos sesiones para enviar y recibir mensajes cortos entre el

Connection Manager y SMS-C.

Para ver o modificar el método de enlace, edite las propiedades de la MNC SMPP.

Pulse el separador Enlace y, a continuación, seleccione el método de enlace que

desee utilizar entre esta MNC y SMS-C.

Para ver o modificar las operaciones de PDU cuando se configura el Connection

Manager como Receptor, edite las propiedades de la MNC SMPP. Pulse el

separador PDU (Recibir) y, a continuación, seleccione las operaciones. Cuando se

configura el Connection Manager como Receptor, se puede configurar para

permitir estas operaciones de PDU:

outbind

Especifica si SMS-C tiene permiso para señalar al Connection Manager

para que origine una solicitud bind_receiver en la que el Connection

Manager pueda recibir mensajes cortos de SMS-C y devolver las repuestas

de mensajes SMPP correspondientes a SMS-C.

Esta operación de PDU también se puede configurar para que requiera que

la conexión se autentique mutuamente.

unbind

Especifica si el Connection Manager o SMS-C pueden enviar una solicitud

de fin de sesión para cerrar la sesión SMPP actual.

data_sm

Especifica si el Connection Manager tiene permiso para solicitar que

SMS-C transfiera un mensaje a un cliente SMS. SMS-C también puede

utilizar esta operación para transferir un mensaje originado mediante un

dispositivo portátil al Connection Manager.

deliver_sm

Especifica si SMS-C direcciona mensajes cortos al Connection Manager

para su entrega.

alert_notification

Especifica si SMS-C envía un mensaje al Connection Manager cuando

SMS-C detecta que un determinado cliente SMS está disponible y se ha

establecido un distintivo de pendiente de entrega para ese suscriptor en

una operación de data_sm anterior.

Capítulo 8. Utilización de los servicios de mensajería 143

enquire_link

Especifica si el Connection Manager o el SMS-C que se utiliza para

proporcionar una comprobación de confianza de la vía de comunicación

entre el Connection Manager y SMS-C puede enviar un mensaje. Al recibir

esta solicitud, la parte receptora envía una respuesta que comprueba el

funcionamiento de la conexión a nivel de aplicación entre ambos.

Asimismo, las operaciones data_sm y deliver_sm se pueden utilizar para transferir

los siguientes tipos de mensajes especiales al Connection Manager:

Recepción de entrega SMS-C

Al detectar el estado final de un mensaje registrado almacenado en SMS-C,

SMS-C genera un mensaje de recepción dirigido al originador del mensaje.

Acuse de entrega de entidad de mensajes cortos (SME)

Una indicación de la SME receptora de que el usuario ha leído el mensaje

corto.

Acuse de recibo manual/de usuario de SME

Un mensaje de respuesta generado por la aplicación como respuesta a un

mensaje de solicitud de aplicación.

Notificación intermedia

Proporciona un estado intermedio de un intento de entrega de mensaje.

Para ver o modificar las operaciones de PDU cuando se configura el Connection

Manager como Transmisor, edite las propiedades de la MNC SMPP. Pulse el

separador PDU (Transmitir) y, a continuación, seleccione las operaciones. Cuando

se configura el Connection Manager como Transmisor, se puede configurar para

permitir estas operaciones de PDU:

submit_sm

Permite al Connection Manager enviar un mensaje corto a SMS-C para la

transmisión hacia adelante a una entidad de mensajes cortos (SME)

específica. Esta operación no permite la modalidad de mensajes de

transacción.

data_sm

Especifica si el Connection Manager tiene permiso para solicitar que

SMS-C transfiera un mensaje a un cliente SMS. SMS-C también puede

utilizar esta operación para transferir un mensaje originado mediante un

dispositivo portátil al Connection Manager.

unbind

Especifica si el Connection Manager o SMS-C pueden enviar una solicitud

de fin de sesión para cerrar la sesión SMPP actual.

query_sm

Especifica si el Connection Manager tiene permiso para consultar el estado

de un mensaje corto enviado anteriormente.

replace_sm

Especifica que el Connection Manager sustituya un mensaje corto enviado

anteriormente que está pendiente de entrega.

enquire_link

Especifica si el Connection Manager o el SMS-C que se utiliza para

proporcionar una comprobación de confianza de la vía de comunicación

entre el Connection Manager y SMS-C puede enviar un mensaje. Al recibir

esta solicitud, la parte receptora envía una respuesta que comprueba el

funcionamiento de la conexión a nivel de aplicación entre ambos.

144 Lotus Mobile Connect Administrator’s Guide

Configuración de una MNC WCTP

WCTP (Wireless Communications Transfer Protocol) es un protocolo de mensajería

de dispositivos inalámbricos. Cuando se configura una MNC WCTP, se

proporciona:

1. La dirección IP y el puerto de envío del servidor WCTP

2. El método que utiliza Connection Manager para recibir mensajes del servidor

WCTP. Puede elegir entre los siguientes valores:

Estar a la escucha de envíos HTTP

Requiere un número de puerto en el que Connection Manager escucha

las solicitudes HTTP entrantes que contienen mensajes entrantes y de

estado de WCTP. La elección del método también requiere la

identificación de un número de puerto.

Sondear el servidor WCTP

Requiere un ID de sondeo, una contraseña y un intervalo de sondeo

durante el que Connection Manager sondea el servidor WCTP en busca

de mensajes entrantes y de estado. La elección del método también

requiere la identificación de un ID de sondeo, una contraseña de

sondeo y un intervalo de sondeo.3. El comportamiento de la conexión entre Connection Manager y el servidor

WCTP, y si se persiste o no un socket durante la conexión. Puede elegir entre

los siguientes valores:

Entregar múltiples mensajes por un solo socket

Connection Manager envía varias transacciones WCTP por el mismo

socket al servidor WCTP.

Crear un socket nuevo para cada transacción

Connection Manager abre un nuevo socket en el servidor WCTP para

cada transacción WCTP.4. Si se debe utilizar un ID de usuario junto con el dominio (por ejemplo,

user@domain) como parte de la dirección de respuesta en el campo

send-responses-to (enviar respuestas a). Algunos proveedores de telefonía (por

ejemplo, Skytel) requieren sólo el uso del dominio en las direcciones de

respuesta, mientras que otros (por ejemplo, Arch Wireless) requieren que los ID

de usuario originadores se anexen como prefijo al dominio.

Capítulo 8. Utilización de los servicios de mensajería 145

146 Lotus Mobile Connect Administrator’s Guide

Apéndice A. Referencia de programación

Hay varias consideraciones sobre programación que se deben tener en cuenta:

v Para añadir un gran número de usuarios al Gatekeeper, consulte el apartado

“Añadir recursos en modalidad por lotes” en la página 85.

v Para configurar y propagar una configuración común del Mobility Client,

consulte las Guías del usuario del Mobility Client para obtener más información.

v Puede establecer el Mobility Client para los dispositivos Nokia E-series para que

notifiquen los sucesos relacionados con el estado de la red. Mobility Client envía

un paquete UDP al puerto local 14889 de la dirección IP para indicar si el

Mobility Client dispone actualmente de alguna conexión física real con la red. El

formato de este datagrama es:

bytes 0-3 -- 0X’FABC1101’

byte 4 - Indica si existe una conexión activa:

0 - Mobility Client no tiene conexión física con la red

1 - Mobility Client está conectado a una conexión de red activa

Para escuchar este suceso, cree un socket UDP y enlácelo a 127.0 .0.1, puerto

14889. Cuando Mobility Client obtiene una conexión activa o se desplaza

correctamente a una nueva conexión, se envía un paquete con el byte 4

establecido en 1. Si Mobility Client pierde una conexión y no puede encontrar

otra activa, se envía un paquete con el byte 4 establecido en 0.

v Para crear aplicaciones que puedan interactuar con el Mobility Client, utilice el

Kit de utilidades del Mobility Client. El Kit de utilidades del Mobility Client,

una guía de desarrollador y una referencia de API (Interfaz de programas de

aplicación), está disponible en la web. Enlace para descargar el kit de utilidades.

v Para añadir una aplicación para transportar datos a y desde dispositivos de

cliente de mensajería, utilice la interfaz de programas de servicio de aplicaciones

de los servicios de mensajería, que forma parte del Kit de utilidades de push y

de servicios de mensajería de la web. Un servicio de aplicación permite el flujo

del tráfico de aplicaciones entre servidores de aplicaciones de programa de

fondo y dispositivos de cliente de mensajería. Entre el servidor de aplicaciones

de programa de fondo y los servicios de mensajería, el tráfico fluye a través de

UDP, TCP o TCP utilizando SSL. Entre los dispositivos de cliente de mensajería

y los servicios de mensajería, el tráfico fluye a través de todas las MNC, excepto

las MNC de SMTP, SNPP o basadas en marcación. Enlace para descargar el kit

de utilidades.

v Para crear una aplicación de mensaje o envío (push) también puede utilizar las

API de push o de servicios de mensajería. El kit de utilidades proporciona

información de referencia para clases e interfaces Java y funciones C para que

los desarrolladores puedan crear y enviar mensajes a dispositivos móviles

utilizando los servicios de mensajería. El kit de utilidades también proporciona

un conjunto de aplicaciones de ejemplo. Enlace para descargar el kit de

utilidades.

147

|||||

||||

|||||

148 Lotus Mobile Connect Administrator’s Guide

Apéndice B. Información del esquema de base de datos

La base de datos es una base de datos DB2 o Oracle que contiene tablas de

información sobre la actividad actual y pasada de las sesiones de Connection

Manager. Las siguientes tablas se crean y se accede a ellas utilizando el nombre de

calificador wg de las instalaciones de DB2.

Para una configuración de DB2 Connection Manager predeterminada, la instalación

crea automáticamente un ID de instancia de base de datos wgdb y un ID de

sistema operativo wgdb. Los campos cuyo tipo es Varchar incluyen cuatro bytes

para especificar la longitud del campo, además de los datos contenidos en el

campo.

Cuando se instala DB2 Universal Database en el servidor, incluye publicaciones en

línea en formato Postscript y HTML. Para determinar cómo hacer una copia de

seguridad y restaurar la base de datos wgacct, utilice la publicación IBM DB2

Universal Database Administration Guide para obtener una visión general e

información de planificación sobre la recuperación de una base de datos.

Utilice la publicación IBM DB2 Universal Database Command Reference para obtener

información sobre los mandatos BACKUP DATABASE y RESTORE DATABASE.

Esquema de base de datos de contabilidad y facturación

El esquema de base de datos de contabilidad y facturación se proporciona para

que pueda utilizar una herramienta de informes SQL (Structured Query Language)

para realizar auditorías y ordenar los datos, así como para generar consultas y

producir informes de uso. El nombre de la base de datos predeterminada es

wgacct.

Nota: Tenga cuidado cuando edite la base de datos wgacct. Si se dañan los datos,

lo mejor es desactivar el soporte de contabilidad y facturación, desactivar las

tablas de wgacct, y volver a activar el soporte de contabilidad y facturación.

La información contenida en la Tabla 12 en la página 154 (AcctDiscInfo) se

corresponde con los paquetes y los bytes que se transmiten realmente a través del

enlace entre el Connection Manager y el cliente conectado. Por su parte, la

información contenida en la Tabla 10 en la página 151 (AcctDataInfo) contiene

información de los paquetes de datos IP/PPP originales y los paquetes

fragmentados o unidos que se transmiten realmente. Para presentar esta

información cuando se produce una fragmentación o una unión, se crean entradas

en la tabla de datos de paquete de la siguiente manera:

v Una entrada para uno o varios paquetes de datos IP/PPP con los campos IP,

Cifrado, Comprimido y Reducido establecidos en algún valor, y los campos

Marco y Transmitir establecidos en cero.

v Entradas para uno o varios paquetes unidos/fragmentados con los campos

Marco y Transmitir establecidos en algún valor y los campos IP, Cifrado,

Comprimido y Reducido establecidos en cero.

Esto significa que puede que no coincidan los recuentos de paquetes en la tabla de

sesión y la tabla de datos de paquete de una determinada sesión de usuario; no

obstante, los valores BytesIn/BytesOut de la tabla de sesión coincidirán con los

totales de TransmitSize de la tabla de datos de paquete de la sesión de usuario.

149

Para todas las tablas que incluyan el campo RDNType, el tipo y el valor

correspondiente es:

0 — MobileNI

1 — Datatac5000

2 — Datatac6000

3 — ModacomScr

4 — ArdisX25

5 — ArdisTCP

6 — Rnc3000TCP

7 — MobitexX25

8 — MobitexTCP

9 — OpenRdn

10 — IP

11 — DialPstn

12 — DialIsdn

13 — DialTCP

14 — DataradioMSC

15 — DataradioBDLC

16 — SmsEMI

17 — SmsSMPP

18 — WdpUDP

19 — Cluster

20 — SmtpMail

21 — SmsEMIX25

22 — SmsSMPPX25

23 — SNPP

24 — SmsOIS

25 — SmsOISX25

26 — Reservado

27 — SmsRPA

28 — WCTP

29 — TcpLan

30 — HttpTcpLan

Tenga en cuenta que aunque los campos de dirección IP pueden manejar una

dirección IPv6, todos los campos de direcciones IP son actualmente direcciones

IPv4.

Tabla 9. AcctConnInfo - Almacena la información de conexión inicial.

Nombre de campo Tipo Tamaño

del campo

Valor

necesario

Longitud

cero

permitida

Comentarios

AcctType Small Integer 2 Sí No Denota el tipo de entrada:

X'0001' inicio de sesión

X'0100' inicio de sesión erróneo

DevAddr Varchar[16] para

datos de bit

5-20 Sí No Valor de dirección IP in6_addr

del dispositivo portátil

DevName Varchar[256] 5-260 No Sí Serie de identificador de

dispositivo

150 Lotus Mobile Connect Administrator’s Guide

||

|

||

||

Tabla 9. AcctConnInfo - Almacena la información de conexión inicial. (continuación)

Nombre de campo Tipo Tamaño

del campo

Valor

necesario

Longitud

cero

permitida

Comentarios

EventTime Integer 4 Sí No El valor time_t de la indicación

de hora del paquete. La hora a la

que se escribió la entrada de

cuenta, expresada como el

número de segundos desde

medianoche (0 horas) del 1 de

enero de 1970.

EventSqlTimeStamp TIMESTAMP /

DATE

26 Sí No El valor es TIMESTAMP para las

instalaciones de DB2 o DATE

para las instalaciones de Oracle.

MNC Varchar[17] 5-21 Sí No Serie de identificador de MNC

RDNType Char[1] para datos

de bit

1 Sí No Identificador RDN (Radio Data

Network). Consulte la lista del

principio del tema.

UserID Varchar[256] 4-260 No Sí Serie de nombre distinguido del

usuario

WLPVersion Small Integer 2 Sí No Versión de máquina de sentencia

WLP propuesta por el Mobility

Client

PlatformType Small Integer 2 Sí No Tipo de plataforma

1 - Reservado

2 - Reservado

3 - Reservado

4 - Reservado

5 - Reservado

6 - Windows de 32 bits

7 - Windows CE

8 - Reservado

9 - Reservado

10 - Reservado

11 - Reservado

12 - Reservado

13 - Reservado

14 - Reservado

15 - Linux

PlatformString Varchar[256] 4-260 No Sí Descripción del sistema operativo

del cliente.

ClientVersion Varchar[128] 4-132 No Sí Información de versión y de

build del Mobility Client

Tabla 10. AcctDataInfo - Almacena el tráfico del paquete IP.

Nombre de campo Tipo Tamaño

del campo

Valor

necesario

Longitud

cero

permitida

Comentarios

AcctType Small Integer 2 Sí No Denota el tipo de la entrada (fin

de sesión, inicio de sesión,

conexión, desconexión, datos) y

es siempre un valor de X’04’.

DevAddr Varchar[16] para

datos de bit

5-20 Sí No Valor de dirección IP in6_addr

del dispositivo portátil

Apéndice B. Información del esquema de base de datos 151

Tabla 10. AcctDataInfo - Almacena el tráfico del paquete IP. (continuación)

Nombre de campo Tipo Tamaño

del campo

Valor

necesario

Longitud

cero

permitida

Comentarios

EventTime Integer 4 Sí No El valor time_t de la indicación

de hora del paquete. La hora a la

que se escribió la entrada de

cuenta, expresada como el

número de segundos desde

medianoche (0 horas) del 1 de

enero de 1970.

EventSqlTimeStamp TIMESTAMP /

DATE

26 Sí No El valor es TIMESTAMP para las

instalaciones de DB2 o DATE

para las instalaciones de Oracle.

MNC Varchar[17] 5-21 Sí No Serie de identificador de MNC

RDNType Char[1] para datos

de bit

1 Sí No Identificador RDN (Radio Data

Network). Consulte la lista del

principio del tema.

UserID Varchar[256] 4-260 No Sí Serie de nombre distinguido del

usuario

RemoteAddr Varchar[16] para

datos de bit

8-20 Sí No Valor de dirección IP in6_addr

del Connection Manager

Direction Char[1] para datos

de bit

1 Sí No X’00’ = El paquete proviene del

dispositivo portátil (origen

portátil) X’01’ = El paquete se

dirige al dispositivo portátil

(origen del Connection Manager)

Nota: Los registros que tienen IPSize pero no TransmitSize o FrameSize son entradas para registrar el IP procesado,

pero no reflejan los datos en el aire. Estas entradas indican que el paquete se ha combinado con otros paquetes y/o

fragmentado. Esta entrada va seguida de entradas que no tienen el conjunto de IPSize, CryptSize o CompSize, pero

que tienen el conjunto de TransmitSize y FrameSize. Estas entradas representan en lo que se ha convertido el

paquete.

IPSize Integer 4 Sí No Tamaño del paquete IP original

sin modificar

RedSize Integer 4 Sí No Tamaño del paquete después de

la reducción de la cabecera IP, si

existe.

CompSize Integer 4 Sí No Tamaño del paquete después de

la compresión, si existe.

CryptSize Integer 4 Sí No Tamaño del paquete después del

cifrado, si existe.

FrameSize Integer 4 Sí No Tamaño del paquete después del

marco de protocolo necesario.

TransmitSize Integer 4 Sí No Tamaño del paquete transmitido

después de la reducción, la

compresión, el cifrado o el marco

correspondiente.

GwVersion Char[1] para datos

de bit

1 Sí No Distingue los registros de los

distintos releases de Connection

Manager – identificador de

versión interno, actualmente

X’03’.

152 Lotus Mobile Connect Administrator’s Guide

Tabla 10. AcctDataInfo - Almacena el tráfico del paquete IP. (continuación)

Nombre de campo Tipo Tamaño

del campo

Valor

necesario

Longitud

cero

permitida

Comentarios

DevName Varchar[256] 5-260 No Sí Serie de identificador de

dispositivo

Total 84-639

Tabla 11. AcctSMSInfo - Almacena el tráfico del mensaje SMS.

Nombre de campo Tipo Tamaño

del campo

Valor

necesario

Longitud

cero

permitida

Comentarios

AcctType Small Integer 2 Sí No Denota el tipo de la entrada

(SMS) y es siempre un valor de

X’80’.

DevName Varchar[256] 4-260 No Sí Serie de identificador de

dispositivo

EventTime Integer 4 Sí No El valor time_t de la indicación

de hora del paquete. La hora a la

que se escribió la entrada de

cuenta, expresada como el

número de segundos desde

medianoche (0 horas) del 1 de

enero de 1970.

EventSqlTimeStamp TIMESTAMP /

DATE

26 Sí No El valor es TIMESTAMP para las

instalaciones de DB2 o DATE

para las instalaciones de Oracle.

MNC Varchar[17] 5-21 Sí No Serie de identificador de MNC

RDNType Char 1 Sí No Identificador RDN (Radio Data

Network). Consulte la lista del

principio del tema.

UserID Varchar[256] 4-260 No Sí Serie de usuario reservada

DSize Integer 4 Sí No Tamaño de datos de paquete del

mensaje transmitido

MsgType Small Integer 2 Sí No Tipo de mensaje y siempre es un

valor de 3.

Dest Varchar[512] 5-516 Sí No Serie de destino del mensaje

Direction Char[1] para datos

de bit

1 Sí No X’00’ = El paquete proviene del

dispositivo portátil (origen

portátil) X’01’ = El paquete se

dirige al dispositivo portátil

(origen del Connection Manager)

GwVersion Char1[1] para datos

de bit

1 Sí No Distingue los registros de los

distintos releases de Connection

Manager – identificador de

versión interno, actualmente

X’03’.

Total 58-1097

Apéndice B. Información del esquema de base de datos 153

Tabla 12. AcctDiscInfo - Almacena el tráfico del paquete de la sesión (conexión/desconexión, inicio de sesión/fin de

sesión).

Nombre de campo Tipo Tamaño

del campo

Valor

necesario

Longitud

cero

permitida

Comentarios

Nota: Esta tabla se utiliza para cuatro tipos de paquetes diferentes: inicio de sesión, fin de sesión, conexión y

desconexión. Algunas columnas tendrán valores significativos sólo para determinados tipos de paquetes. En concreto,

los campos como PktsIn que contienen valores de resumen de una sesión de usuario (período entre el inicio de sesión

y el fin de sesión) o una conexión virtual (período entre la conexión y la desconexión) sólo tendrán un valor distinto

de cero para el paquete de punto final (fin de sesión o desconexión).

AcctType Small Integer 2 Sí No Denota el tipo de entrada:

X’0002’ fin de sesión

X’0008’ desconexión

X’0010’ conexión

X’0020’ itinerancia

DevAddr Varchar[16] para

datos de bit

5-20 Sí No Valor de dirección IP in6_addr

del dispositivo portátil

EventTime Integer 4 Sí No El valor time_t de la indicación

de hora del paquete. La hora a la

que se escribió la entrada de

cuenta, expresada como el

número de segundos desde

medianoche (0 horas) del 1 de

enero de 1970.

EventSqlTimeStamp TIMESTAMP /

DATE

26 Sí No El valor es TIMESTAMP para las

instalaciones de DB2 o DATE

para las instalaciones de Oracle.

MNC Varchar[17] 5-21 Sí No Serie de identificador de MNC

RDNType Char 1 Sí No Identificador RDN (Radio Data

Network). Consulte la lista del

principio del tema.

UserID Varchar[256] 4-260 No Sí Serie del nombre distinguido del

usuario

TimeConnEstab Integer 4 Sí No Hora a la que se estableció la

conexión. El valor time_t de la

indicación de hora de la conexión

(paquete de desconexión) o el

inicio de sesión (paquete de fin

de sesión)

Nota: PktsIn y PktsOut se desechan ahora; la información actual de esas columnas para los registros existentes

continuará siendo válida, pero los nuevos registros sólo tendrán información para las nuevas columnas PktsIn_Int y

PktsOut_Int.

PktsIn Small Integer 2 Sí No Número de paquetes entrantes

(recibidos desde el dispositivo

portátil) desde el momento de la

conexión (paquete de

desconexión) o el inicio de sesión

(paquete de fin de sesión)

154 Lotus Mobile Connect Administrator’s Guide

Tabla 12. AcctDiscInfo - Almacena el tráfico del paquete de la sesión (conexión/desconexión, inicio de sesión/fin de

sesión). (continuación)

Nombre de campo Tipo Tamaño

del campo

Valor

necesario

Longitud

cero

permitida

Comentarios

PktsOut Small Integer 2 Sí No Número de paquetes salientes

(enviados al dispositivo portátil)

desde el momento de la conexión

(paquete de desconexión) o el

inicio de sesión (paquete de fin

de sesión)

PktsIn_Int Integer 4 Sí No Número de paquetes entrantes

(recibidos desde el dispositivo

portátil) desde el momento de la

conexión (paquete de

desconexión) o el inicio de sesión

(paquete de fin de sesión)

PktsOut_Int Integer 4 Sí No Número de paquetes salientes

(enviados al dispositivo portátil)

desde el momento de la conexión

(paquete de desconexión) o el

inicio de sesión (paquete de fin

de sesión)

BytesIn Integer 4 Sí No Número de bytes entrantes

(recibidos desde el dispositivo

portátil) desde el momento de la

conexión (paquete de

desconexión) o el inicio de sesión

(paquete de fin de sesión)

BytesOut Integer 4 Sí No Número de bytes salientes

(enviados al dispositivo portátil)

desde el momento de la conexión

(paquete de desconexión) o el

inicio de sesión (paquete de fin

de sesión)

GwVersion Char 1 Sí No Distingue los registros de los

distintos releases de Connection

Manager – identificador de

versión interno, actualmente

X’03’.

DevName Varchar[256] 5-260 No Sí Identificador del dispositivo

DiscardPkts Integer 4 Sí No Número de paquetes TCP

descartados durante la conexión

actual desde el momento de la

conexión (paquete de

desconexión) o el inicio de sesión

(paquete de fin de sesión)

RetransmitPkts Integer 4 Sí No Número de paquetes TCP

retransmitidos durante la

conexión actual desde el

momento de la conexión (paquete

de desconexión) o el inicio de

sesión (paquete de fin de sesión)

Apéndice B. Información del esquema de base de datos 155

Tabla 12. AcctDiscInfo - Almacena el tráfico del paquete de la sesión (conexión/desconexión, inicio de sesión/fin de

sesión). (continuación)

Nombre de campo Tipo Tamaño

del campo

Valor

necesario

Longitud

cero

permitida

Comentarios

DiscardBytes Integer 4 Sí No Número de bytes contenidos en

los paquetes TCP descartados

durante la conexión actual desde

el momento de la conexión

(paquete de desconexión) o el

inicio de sesión (paquete de fin

de sesión)

RetransmitBytes Integer 4 Sí No Número de bytes contenidos en

los paquetes TCP retransmitidos

durante la conexión actual desde

el momento de la conexión

(paquete de desconexión) o el

inicio de sesión (paquete de fin

de sesión)

Total 92-634

Esquema de base de datos de sesión

El esquema de base de datos de sesión se proporciona para que pueda utilizar una

herramienta de informes SQL (Structured Query Language) para realizar auditorías

y ordenar los datos, así como para generar consultas y producir informes de uso.

El nombre de la base de datos DB2 predeterminada es wg.

Para el campo ActvStat, los valores y el significado correspondiente son:

0 - IDLE

1 - ACTIVE_WLP

2 - ACTIVE_PPP

4 - Reservado

8 - ACTIVE_HTTP

16 - ACTIVE

32 - SHORT_HOLD

Para los campos ActvKeyType y DevKeyType, los valores y el significado

correspondiente son:

0 - InvalidDT

1 - DialDT

2 - ArdisDT

3 - MobitexDT

4 - DataradioDT

5 - DatatacDT

6 - Rnc3000DT

7 - IpDT

8 - SmsDT

9 - IpV6DT

10 - RpaDT

11 - HttpDT

12 - Reservado

Los campos ActvKey, DevKey, MNC y LoginTimeStamp se relacionan directamente

con las variables de ruptura que se incluyen en la Guía de resolución de problemas.

156 Lotus Mobile Connect Administrator’s Guide

Cuando la variable 2 es una dirección IP, se relaciona directamente con el campo

ActvKey. Tenga en cuenta que la dirección IP (ActvKey) es la dirección IP privada

(asignada por Connection Manager). Cuando la variable 3 es un nombre de

dispositivo, se relaciona directamente con el campo DevKey. Tenga en cuenta que

el nombre de dispositivo (DevKey) es la dirección IP pública (del proveedor de

telefonía). Cuando la variable 4 es una interfaz de red, se relaciona directamente

con el campo MNC. Cuando la variable 5 es una indicación de la hora, se relaciona

directamente con el campo LoginTimeStamp.

El campo ActvStat corresponde al campo Estado actual y el campo DevKeyType

corresponde al campo Tipo de red cuando se están visualizando los usuarios que

actualmente están conectados. Para visualizar todos los usuarios que están

conectados actualmente, utilizando Gatekeeper:

1. Pulse Buscar en el panel izquierdo.

2. En el campo Recursos, pulse Sesión activa.

3. En el campo Buscar en, pulse Todas las OU y, a continuación, pulse Buscar

ahora.

Tabla 13. ActiveSessionAttribute - Almacena el tráfico de los atributos de la sesión de cuentas activa.

Nombre de campo Tipo Tamaño

del campo

Valor

necesario

Longitud

cero

permitida

Comentarios

ActvStat Small Integer 2 Sí No Estado de la sesión actual

ActvKeyId Small Integer 2 Sí No ID de clave activa

ActvKey Varchar[512] 5-516 Sí No Clave activa de la tabla de sesión

exclusiva. Campo necesario.

ActvKeyType Small Integer 2 Sí No Tipo de clave activa

BANDWIDTH Real 4 No Sí Ancho de banda del dispositivo

DevKey Varchar[192] 5-196 Sí No Clave de dispositivo. Campo

necesario.

DevKeyId Small Integer 2 Sí No ID de clave de dispositivo

opcional

DevKeyType Small Integer 2 Sí No Tipo de dispositivo activo

DevLocation Varchar[256] 4-260 No Sí Reservado

DevName Varchar[256] 4-260 No Sí Contiene el nombre de adaptador

tal como lo ha especificado el

cliente durante el inicio de sesión

y la itinerancia.

DN Varchar[256] 5-259 Sí No Serie del nombre distinguido

plenamente cualificado de la

cuenta. Campo necesario.

GW Varchar[255] 5-259 Sí No Nombre distinguido plenamente

cualificado del Connection

Manager. Campo necesario.

LoginTimeStamp TIMESTAMP /

DATE

26 Sí No El valor es TIMESTAMP para las

instalaciones de DB2 o DATE

para las instalaciones de Oracle.

MNC Varchar[255] 4-259 Sí No Nombre distinguido plenamente

cualificado de la MNC

SessData Varchar[1024] 4-1028 Sí No Datos de sesión opcionales

Total 69-2812

Apéndice B. Información del esquema de base de datos 157

||||

|

|

||

||||||

Tabla 13. ActiveSessionAttribute - Almacena el tráfico de los atributos de la sesión de cuentas activa. (continuación)

Nombre de campo Tipo Tamaño

del campo

Valor

necesario

Longitud

cero

permitida

Comentarios

USERID Varchar[256] 5-259 Sí No Nombre abreviado del usuario.

Campo necesario.

Recuperación del espacio después de suprimir los registros

En condiciones normales, cuando se suprimen filas en una tabla de DB2, el espacio

de disco entre esas filas no se libera, sino que se reutiliza cuando se insertan filas

adicionales. Con el tiempo, una base de datos y las tablas pueden aumentar mucho

de tamaño y llegar a utilizar más espacio de disco. Si es necesario recuperar el

espacio utilizado por los registros de contabilidad suprimidos, tiene dos opciones.

Para ambas, debe detener primero el Connection Manager y las aplicaciones que

accedan a la base de datos de contabilidad (por ejemplo, wg_acct). Una vez

detenidas todas las aplicaciones de base de datos que accedan a la base de datos

de contabilidad, conéctese a la base de datos con la instancia de base de datos

correspondiente. A continuación, tiene dos opciones:

1. Ejecute db2 reorg table wg.nombre_tabla, donde nombre_tabla puede ser

acctinfo, acctdiscinfo, acctsmsinfo

2. Ejecute db2 drop table wg.nombre_tabla, donde nombre_tabla puede ser

acctinfo, acctdiscinfo, acctsmsinfo. Tenga en cuenta que esta opción sólo se debe

utilizar si la tabla está vacía, esto es, si se han suprimido todas las filas.

158 Lotus Mobile Connect Administrator’s Guide

Apéndice C. Otros recursos

Los apartados incluidos son los siguientes:

v “Utilizar el Information Center”

v “Accesibilidad” en la página 160

v “Obtener ayuda en línea” en la página 160

v “Información de consulta” en la página 161

Utilizar el Information Center

El Information Center de Connection Manager es la documentación del producto

que se encuentra en Internet y es proporcionada por Eclipse. Ofrece acceso

centralizado a los conocimientos básicos para instalar, configurar, mantener y

utilizar Connection Manager. Entre los temas principales, se incluyen:

v Guía de inicio

v Guía del administrador

v Ayuda en línea de Gatekeeper, con información conceptual y de procedimientos

que le ayudará a realizar tareas utilizando el Gatekeeper

v Guías del usuario de Mobility Client para Linux, dispositivos Nokia y Windows

v Resolución de problemas y guía de soporte

Además, hay archivos PDF disponibles en el CD de inicio rápido para:

v Guía de inicio rápido

v Guía de inicio

v Guía del administrador

v Guías del usuario de Mobility Client para Linux, dispositivos Nokia y Windows

v Resolución de problemas y guía de soporte

Puede ver el Information Center desde el sitio web de entrega del software, o

puede descargarlo y hacer que esté disponible para los administradores y

programadores de la empresa instalándolo en un servidor web con tecnología

Eclipse.

Para descargar el conector del Information Center:

1. Descargue el conector de http://publib.boulder.ibm.com/infocenter/lmc/v6r1/lmc61.zip.

2. Extraiga el archivo en el directorio de conectores de la instalación de Eclipse e

inicie Eclipse.

3. Configure las propiedades de Gatekeeper para iniciar un navegador web que

establezca un enlace con el servidor web. Pulse Opciones –> Propiedades de

Gatekeeper.

4. Pulse Mostrar un elemento de menú de ayuda para Information Center y, a

continuación, especifique el URL del servidor web.

159

Accesibilidad

Las características de accesibilidad ayudan a un usuario que tenga una

discapacidad física (como una movilidad restringida o una visión limitada) a

utilizar satisfactoriamente los productos de software. Este Gatekeeper incluye las

principales funciones de accesibilidad del Connection Manager:

v Puede utilizar un aumentador de pantalla para agrandar lo que se muestra en

pantalla.

v Puede navegar por la interfaz de usuario utilizando el teclado.

Navegar por medio del teclado

Mediante las teclas aceleradoras y los accesos directos desde el teclado, podrá

navegar por el Gatekeeper y realizar las operaciones que también se pueden llevar

a cabo accionando el ratón. También se puede utilizar el tabulador para pasar de

un campo o un elemento a otro.

Teclas aceleradoras

Las teclas aceleradoras suelen estar identificadas con una letra subrayada en la

interfaz de usuario y se utilizan para acceder a un elemento de la interfaz desde el

teclado. Para desencadenar una tecla aceleradora, mantenga pulsada la tecla Alt

mientras pulsa la letra subrayada. Por ejemplo, el menú Opciones del Gatekeeper

tiene una O como tecla aceleradora. Si pulsa Alt y O, aparecerá el menú Opciones.

Las teclas aceleradoras pueden aparecer en una serie de elementos de la interfaz de

usuario, como en las opciones de menú, en los botones y en las etiquetas de los

campos de entrada.

Utilizar teclas aceleradoras con los menús: Cuando abra un menú por medio del

teclado, no hace falta que utilice la tecla Alt para desencadenar las teclas

aceleradoras de las opciones de menú.

Accesos directos por teclado

Los accesos directos por teclado sirven para desencadenar directamente una acción.

Los accesos directos por teclado son útiles para las acciones que se llevan a cabo

con más frecuencia.

El acceso por teclado del Gatekeeper utiliza características de accesibilidad

similares a las de los sistemas operativos Windows. Para navegar por la interfaz,

utilice las teclas de dirección o el tabulador. Para cambiar el foco entre el panel

derecho y el panel izquierdo, pulse las teclas Mayús y F6.

Obtener ayuda en línea

La ayuda en línea se suministra con las interfaces de Mobility Client, Gatekeeper y

IBM Key Management. La ayuda describe la mayoría de las tareas que deben

realizarse para administrar los recursos inalámbricos.

Ayuda de Gatekeeper

El Gatekeeper ofrece varios tipos de ayuda. Puede elegir entre las siguientes:

Cómo...

Temas que proporcionan explicaciones de los procedimientos que tienen

más de un paso.

160 Lotus Mobile Connect Administrator’s Guide

¿Qué es?

Para obtener información sobre cualquier tipo de recurso, pulse con el

botón derecho del ratón el nombre de recurso en el separador Recursos y, a

continuación, pulse Qué es.

Consejos de campos

Cuando rellene un panel, puede ver la ayuda según contexto de cualquier

campo pulsando en dicho campo y después pulsando el botón Consejos.

Menú Ayuda

En el menú Ayuda, seleccione las siguientes opciones:

v Ayuda ofrece una introducción al Gatekeeper, explica cómo navegar por

la interfaz y muestra todos los temas Cómo y Qué es.

v Information Center es una opción que puede configurar para iniciar un

navegador web desde el menú Ayuda.

v Sitio de soporte de productos es un enlace al sitio web de soporte de

productos.

v Acerca de identifica el número de versión de Gatekeeper.

Ayuda de IBM Key Management

La interfaz IBM Key Management le permite añadir certificados SSL a una base de

datos de claves, protegidos mediante una contraseña oculta. Para obtener ayuda en

línea con la interfaz IBM Key Management, pulse Ayuda –> Contenido.

Información de consulta

A Comprehensive Guide to Virtual Private Networks, Volume III: Cross-Platform Key and Policy

Management, SG24–5309, un REDBOOK de IBM.

Understanding LDAP, SG24–4986, un REDBOOK de IBM.

Stevens, W. Richard. TCP/IP Illustrated, Volume 1: The Protocols. Reading,

Massachusetts:Addison-Wesley, 1994.

Información de autenticación y cifrado- de RSA Security

Manual de consulta de mandatos de Connection Manager

Foro de Connection Manager

Sitio web de soporte de productos de Connection Manager

Sitio web de producto Connection Manager

Redbook de Connection Manager

La biblioteca de DB2

Bajar License Use Management Runtime Kit

Bajar el Kit de utilidades de push y de servicios de mensajería o el Kit de utilidades de

Mobility Client

Descargar portlets desde Portal y Lotus Workplace Catalog

Aumentar el recurso de kernel msgmni en distribuciones Linux

Información sobre la Guía de seguridad de AIX 5L 5.2

Información sobre IBM Directory

Páginas RFC del Grupo de ingeniería de Internet (IETF)

Entorno de ejecución Java para Gatekeeper en Linux

Código más reciente de producto de Connection Manager

Notas técnicas (Technotes) más recientes de Connection Manager

Apéndice C. Otros recursos 161

Midsized Systems under Certification Reports- para obtener información sobre qué sistemas

operativos están homologados por Common Criteria

National Information Assurance Partnership- para obtener información sobre qué sistemas

operativos están homologados por Common Criteria

Information Center de Portal

Información sobre los parches del sistema operativo Solaris

Terminología de muchos productos IBM consolidados en una ubicación apropiada

162 Lotus Mobile Connect Administrator’s Guide

Avisos

Esta información se ha desarrollado para productos y servicios ofrecidos en EE.UU.

Puede que en otros países IBM no ofrezca los productos, servicios o características

que se describen en esta información. Consulte al representante de IBM para

obtener información sobre los productos y servicios que están disponibles

actualmente en su zona geográfica. Cualquier referencia a un producto, programa o

servicio IBM no pretende afirmar ni implicar que sólo pueda utilizarse dicho

producto, programa o servicio IBM. En su lugar se puede utilizar cualquier

producto, programa o servicio funcionalmente equivalente que no vulnere ningún

derecho de propiedad intelectual de IBM. Sin embargo, es responsabilidad del

usuario evaluar y verificar el funcionamiento de cualquier producto, programa o

servicio que no sea de IBM.

IBM puede tener patentes o solicitudes de patente en tramitación referentes a

apartados descritos en la presente publicación. La posesión de este documento no

le otorga ninguna licencia sobre dichas patentes. Puede solicitar información sobre

licencias, por escrito, a:

IBM Director of Licensing

IBM Corporation

North Castle Drive

Armonk, NY 10504–1785

USA

Para consultas sobre licencias relacionadas con información de doble byte (DBCS),

póngase en contacto con el departamento de propiedad intelectual de IBM de su

país o envíe sus consultas, por escrito, a:

IBM World Trade Asia Corporation

Licensing

2-31 Roppongi 3-chome, Minato-ku

Tokio 106, Japón

El párrafo siguiente no se aplica al Reino Unido ni a ningún otro país donde

estas disposiciones sean incompatibles con la legislación local:

INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA

ESTA PUBLICACIÓN ″TAL CUAL″, SIN NINGÚN TIPO DE GARANTÍA, NI

EXPLÍCITA NI IMPLÍCITA, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS

GARANTÍAS IMPLÍCITAS DE NO VULNERACIÓN, COMERCIALIZACIÓN O

ADECUACIÓN A UN PROPÓSITO DETERMINADO. Algunas legislaciones no

contemplan la declaración de limitación de responsabilidades, ni implícitas ni

explícitas, en determinadas transacciones, por lo que cabe la posibilidad de que

esta declaración no se aplique en su caso.

Esta información puede contener imprecisiones técnicas o errores tipográficos.

Periódicamente se efectúan cambios en la información incluida en este documento;

estos cambios se incorporarán en nuevas ediciones de la publicación. IBM puede

efectuar mejoras y/o cambios en los productos y/o programas descritos en esta

publicación en cualquier momento y sin previo aviso.

Cualquier referencia en esta información a sitios web que no son de IBM se

proporciona únicamente para su comodidad y no debe considerarse de ninguna

manera como una aprobación de dichos sitios web. Los materiales de estos sitios

163

web no forman parte de los materiales de este producto IBM y el uso que se haga

de estos sitios web es de la entera responsabilidad del usuario.

IBM podría utilizar o distribuir la información que el usuario suministre de la

forma que crea apropiada sin que incurra en ninguna obligación ante el usuario.

Los titulares de licencias de este programa que deseen información sobre el mismo

con el fin de permitir: (i) el intercambio de información entre programas creados

independientemente y otros programas (incluido éste) y (ii) la utilización mutua de

la información intercambiada, deben ponerse en contacto con:

IBM Corporation

P.O. Box 12195

3039 Cornwallis Road

Research Triangle Park, NC 27709-2195

Estados Unidos

Dicha información puede estar disponible, sujeta a los términos y condiciones

adecuados, incluyendo, en algunos casos, el pago de unos derechos.

IBM proporciona el programa bajo licencia descrito en este documento y todo el

material bajo licencia disponible para el mismo de acuerdo con lo establecido en

las Condiciones Generales de International Business Machines S.A., el Acuerdo

Internacional de Programas Bajo Licencia de IBM o cualquier acuerdo equivalente

entre IBM y el cliente.

Cualquier información de rendimiento que aparezca en este documento ha sido

determinada en un entorno controlado. Por lo tanto, los resultados obtenidos en

otros entornos operativos podrían ser distintos. Algunas mediciones se han

realizado en sistemas en fase de desarrollo y, por lo tanto, no hay ninguna garantía

que estas mediciones sean las mismas en los sistemas normalmente disponibles.

Además, algunas mediciones podrían haberse estimado mediante extrapolación.

Los resultados reales podrían ser diferentes. Los usuarios de este documento

deberían verificar los datos aplicables para su entorno específico.

Todas las afirmaciones relativas a los planes futuros de IBM están sujetas a

cambios o retiradas sin previo aviso, y solamente representan planes y objetivos.

Esta información contiene ejemplos de datos e informes utilizados en operaciones

comerciales diarias. Para ilustrarlas de la forma más completa posible, los ejemplos

incluyen nombres de personas, empresas, marcas y productos. Todos estos

nombres son ficticios y cualquier parecido con nombres y direcciones utilizados

por una empresa real es mera coincidencia.

LICENCIA DE COPYRIGHT: Esta información contiene programas de aplicación

de ejemplo en lenguaje fuente, que ilustra técnicas técnicas de programación en

varias plataformas operativas. Puede copiar, modificar y distribuir estos programas

de ejemplo en cualquier formato y sin tener que efectuar ningún pago a IBM con

la finalidad de desarrollar, utilizar, comercializar o distribuir programas de

aplicación que se ajusten a la interfaz de programas de aplicación correspondiente

a la plataforma operativa para la que están escritos los programas de ejemplo.

Estos ejemplos no se han probado de forma exhaustiva en todas las condiciones.

Por tanto, IBM no puede garantizar ni dar a entender la fiabilidad, la

disponibilidad o el funcionamiento de estos programas. Puede copiar, modificar y

distribuir estos programas de ejemplo en cualquier formato y sin tener que

164 Lotus Mobile Connect Administrator’s Guide

efectuar ningún pago a IBM con la finalidad de desarrollar, utilizar, comercializar o

distribuir programas de aplicación que se ajusten a las interfaces de programas de

aplicación de IBM.

Si está viendo esta información en copia software, es posible que las fotografías y

las ilustraciones en color no aparezcan.

El software incluido en este producto contiene rutinas de PPP Magic Number bajo

licencia de Carnegie Mellon University.

El software incluido en este producto contiene derivaciones del algoritmo de

conversión de mensajes MD5 de RSA Data Security, Inc. Esta tecnología se ofrece

bajo licencia de RSA Data Security, Inc.

SNMP++ Toolkit ha contribuido en el desarrollo del Soporte de gestión de redes

(Network Management Support) de Connection Manager. SNMP++ Toolkit es

copyright© 1999 Hewlett-Packard Company.

Marcas registradas

Los términos siguientes son nombres comerciales o marcas registradas de IBM

Corporation en los Estados Unidos y/o en otros países:

AIX AIX 5L

DB2 DB2 Universal Database

Everyplace HACMP

IBM Lotus

NetView Tivoli

WebSphere Workplace

Los términos siguientes son marcas registradas de otras empresas:

Java y todas las marcas registradas basadas en Java son marcas registradas de Sun

Microsystems, Inc. en los Estados Unidos y/o en otros países.

Linux es una marca registrada de Linus Torvalds en Estados Unidos o en otros

países.

Microsoft y Windows son marcas registradas de Microsoft Corporation en Estados

Unidos o en otros países.

UNIX es una marca registrada de The Open Group en los Estados Unidos y en

otros países.

Los nombres de otras empresas, productos y servicios pueden ser marcas

registradas o marcas de servicio de terceros.

El logotipo de FIPS 140-2 es una marca de certificación de NIST, que no implica la

aprobación del producto por parte de NIST, el gobierno de EE.UU. ni el gobierno

de Canadá.

Avisos 165

FIPS 140–2 Inside

166 Lotus Mobile Connect Administrator’s Guide

Índice

Aaccesibilidad 160

accesocomo opción de seguridad 41

gestor 14

lista de control 28

servicios, HTTP 16

acceso por teclado 160

AcctConnInfo 150

AcctDataInfo 151

AcctDiscInfo 154

AcctSMSInfo 153

ActiveSessionAttribute 157

actualizar código y aplicar

mantenimiento 113

acuerdo de intercambio de claves 124

adiciónrecursos en el Gatekeeper 105

administradorcontrolar el acceso 53

crear un ID 82

descripción de 27

gkadmin 14, 28

ID para el gestor de accesos 14

lista de control de accesos (ACL) 28

superusuario 28

administrador predeterminado 28

administrador superusuario 28

AIXinstalar el Connection Manager 69

instalar el Gatekeeper 64

instalar el soporte de UTF-8 69

instalar y configurar el soporte de

X.25 60

paquete de instalación 69

requisitos de hardware 55

requisitos de software 55

requisitos de software y hardware

para el Gatekeeper 55

Soporte a dispositivos de Connection

Manager 7

algoritmo de distribución de

compensación de carga, configurar 93

alias de direccionamiento, descripción

de 131

almacenamientobase de usuarios 26

Connection Manager 59

datos, persistente 5

descripción del servicio de

directorio 36

requisitos 59

virtual 59

almacenamiento de certificados 136

almacenamiento de datos 35

comunicar con el Connection

Manager 5

de información de configuración 36

de información de contabilidad y

facturación 37

de información de sesión 37

almacenamiento de datos (continuación)métodos 5

almacenamiento de datos persistenteVéase almacenamiento de datos

almacenamiento virtual necesario 59

alternativa, máscara de subred 133

ampliar los esquemas LDAP existentes

para incluir el Connection Manager 55

anotaciones de la instalación 58

anotaciones de mensajes del

Gatekeeper 103

añadiradministrador 82

conexión de red móvil (MNC) 85

Connection Manager 81

gran número de usuarios 85

grupo 82

interfaz de red móvil (MNI) 83

perfiles de autenticación 82

Servicios de acceso HTTP 87

servicios de mensajería 85

unidad organizativa 81

aplicaciónservicio

añadir 86

aplicacionesservicio

descripción de 139

aplicar mantenimiento 113

archivo de anotacionesmensaje del Gatekeeper 103

archivo de anotaciones de contabilidaddeterminar el espacio en disco

necesario 59

archivo de servicios, actualizar cambios

de números de puerto 38

archivo readme 68

archivosdeterminar el espacio en disco

necesario para anotaciones 59

visualización de anotaciones 105

archivos de anotacionesdeterminar el espacio en disco

necesario 59

instalación 58

visualización 105

archivos p12 136

arreglos, aplicar mantenimiento de

código 113

ASTRO 25 34

autenticacióncomo acceso 41

configuración entre los servicios de

acceso móvil y el Mobility

Client 136

entre el Gatekeeper y el gestor de

accesos 52

entre gestores de clústeres 52

entre los servicios de acceso móvil y

los clientes Mobility 44

autenticación (continuación)entre los servicios de mensajería y las

aplicaciones que utilizan las API de

push y de servicios de

mensajería 52

perfilesañadir 82

configurar basada en

certificados 93

configurar para SSL 88, 89

configurar por enlace LDAP 93

configurar RADIUS de

terceros 92

descripción de 30

protocolo de distribución de claves de

dos partes 44

protocolo de distribución de claves de

una parte 44

RADIUS 46

terceros 46

y cifrado 44

autenticación de terceros 46

configurar 93

configurar RADIUS 92

autenticación ligera de terceros

(LPTA) 82

autenticación ligera de terceros

(LTPA) 31

autenticación por enlace LDAPconfigurar 93

descripción de 30, 47

autorización 41

avisos 163

avisos legales 163

ayuda en línea, obtener 160

Bbarra de menús 102

base de datos, esquema de 149

base de datos relacionalalmacenamiento de datos de

configuración 5

almacenamiento de datos de

contabilidad 6

almacenamiento de datos de sesión 6

como almacenamiento de datos

persistente 37

configurar DB2 75

configurar Oracle 76

instalar 63

requisitos de software 57

base de datos relacional compatible con

ODBC 37

búsquedaconfigurar un servicio de

directorio 96

búsqueda de cuenta 96

búsqueda de recursos 104

167

Ccambiar puerto de la contraseña 38

capa de sockets protegidos (SSL)actualizar bases de datos de

claves 88

añadir perfil de inicio de sesión 91

como opción de seguridad 42

configuración de certificadosentre los servicios de mensajería y

las aplicaciones de proceso de

mensajes 140

para los servicios de

mensajería 140

configurar certificados 88

entre el Gatekeeper y el gestor de

accesos 89

habilitar la autorización 42

habilitar la comunicación 88

catálogos, instalar el soporte de UTF-8 en

AIX 69

catálogos, instalar el soporte de UTF-8 en

Linux o Solaris 70

catálogos de mensajes, instalar el soporte

de UTF-8 en AIX 69

catálogos de mensajes, instalar el soporte

de UTF-8 en Linux o Solaris 70

certificadosalmacenamiento 136

autenticación de terceros

mediante 48

configurar para autenticación 93

descripción del perfil de

autenticación 31

utilizando listas de revocación 48

certificados X.509 136

cifradoentre el Gatekeeper y el gestor de

accesos 52

entre gestores de clústeres 52

entre los servicios de acceso móvil y

los clientes Mobility 45

entre los servicios de mensajería y las

aplicaciones que utilizan las API de

push y de servicios de

mensajería 52

proteger la confidencialidad 41

y autenticación 44

cifrar contraseñas 15

clave de asunto 49

claves, acuerdo de intercambio 124

clienteVéase Mobility Client

códec HTTP 122

codificador/decodificador, HTTP 122

códigoaplicar mantenimiento 113

common criteria 45

compatibilidad, software 55

compensación de carga utilizando un

gestor de clústeres 19

conexióncon el almacenamiento de datos 5

direccionamiento IP 134

perfil, descripción de 122

proveedores de red 33

red móvil (MNC) 22

seguridad 41

conexión (continuación)soporte de X.25 60

conexión de redmóvil (MNC) 22

privada virtual 2

conexión de red móvil (MNC)configuración de SMPP 142

configuración de WCTP 145

configurar 85

configurar nodos de clúster para sin

conexión 94

definir en el Gatekeeper 85

descripción de 22

lista de tipos 22

mensajería 22

protocolo de enlace inalámbrico

(WLP) 22

confidencialidad 41

configuraciónautenticación entre los servicios de

acceso móvil y el Mobility

Client 136

MNC 142, 145

configuración TCP/IP 60

configurarbúsqueda de cuenta de usuario 96

Connection Manager 82

DSS alternativo 97

gestor de accesos 14

lista de comprobación inicial 81

MNC 85

servidor de servicios de directorio 96

servidores RADIUS 92

soporte de X.25 60

conmutadores, configuración de

A/B 137

conmutadores A/B controlados de forma

remota, configuración 137

conmutadores Hadax, configuración 137

Connection Managerautenticación 44

cifrado 45

como nodo principal o subordinado

de un clúster 19

comunicar con el almacenamiento de

datos 5

definir en el Gatekeeper 81, 82

eliminar 118

gestor de clústeres 19

instalar 68

lista de control de accesos 29

planificación de la capacidad 41

planificación del rendimiento 41

puertos utilizados 38

recursos 11

redes soportadas 33

requisitos de hardware 55

requisitos de software 55

soporte a dispositivos por sistema

operativo 7

supervisión de flujo de paquetes 107

visualización de anotaciones 105

consulta, información 161

contraseñapolítica, descripción de 32

puerto, cambiar 38

control de accesos, lista (ACL) 28

control del flujo de datosconversión de direcciones de red 129

correlaciones de paquetes 131

filtros 131

controlador de red de radio,

configuración con conmutadores

A/B 137

conversión de direcciones de red (NAT)descripción de 129

utilizar con discriminador de

dispositivos 25

cookies 24

copia de seguridad, almacenamiento de

datos 36

Ddaemon wgmgrd 14

daemon wgmgrsd 15

DataDirect 55

Dataradio 34

DataTAC 34

datos de sesión, recopilación 111

DB2configurar 75

copia de seguridad y

restauración 149

instalar 63

utilizado para el almacenamiento de

datos 6

versiones soportadas 55

definir un Connection Manager 82

desinstalarConnection Manager 118

Gatekeeper 119

determinar la capacidad y el

rendimiento 41

direccionamiento, alias 131

direccionamiento IP 134

discapacidad 160

discriminador de dispositivosdescripción de 24

dispositivo portátildescripción de 129

grupo 128

negociación PPP 35

dispositivos, discriminador 24

distribución de la carga 93

DSS alternativo 97

DSS alternativo, añadir un 97

DSS de copia de seguridad 97

Eeliminar

Connection Manager 118

Gatekeeper 119

enlace X.25instalar y configurar en AIX 60

entorno de ejecución Java 55

entorno WebSphere Application Serverutilizar LTPA en 32

entorno WebSphere Portalutilizar LTPA en 32

entornos localesutilizar UTF-8 en AIX 69

168 Lotus Mobile Connect Administrator’s Guide

entornos locales (continuación)utilizar UTF-8 en Linux o Solaris 70

entradas de rutas 132

espacio en disco 59

esquema de base de datos de

contabilidad y facturación 149

esquema de configuración, base de datos

relacional 151

esquema LDAP existente, ampliar 55

estación de trabajo VMware 55

estándar de cifrado avanzado (AES) 45

estándar de cifrado digital (DES) 45

Ffederal information processing standard

(FIPS) 45

filtrado de datos de sesión 111

filtro, descripción de 131

FIPS 140–2 45

FIPS 197 45

flujo de paquetes, supervisión 107

formato de transformación de Unicode de

8–bits (UTF-8) 69, 70

GGatekeeper

añadir un perfil de inicio de sesión

seguro 91

búsqueda de recursos 104

configurar certificados SSL en el

gestor de accesos seguro 89

definir recursos inalámbricos en 82

descripción de 8

descripción de la barra de

menús 102

elementos de la interfaz 8

eliminar 119

instalar 64

navegación en la interfaz 101

obtener ayuda en línea 160

requisitos de hardware 55

requisitos de software 55

utilización 101

Gatekeeper, anotaciones de

mensajes 103

generar claves LTPA 31

gestión de clavesconfiguración de certificados

entre los servicios de mensajería y

las aplicaciones de proceso de

mensajes 140

para los servicios de

mensajería 140

configurar certificadosentre el Gatekeeper y el gestor de

accesos 89

obtener ayuda en línea 161

utilizar 89

gestoracceso 14

clúster 19

gestor de accesosdescripción de 14

gestor de accesos seguro 15

gestor de accesos (continuación)autenticación y cifrado con el

Gatekeeper 52

configurar certificados SSL 89

puerto utilizado 38

gestor de accesos seguro 52

gestor de clústeresconfigurar MNC sin conexión 94

configurar nodos 93

descripción de 19

distribución, subordinado 19

ejemplo 20

planificación del rendimiento 41

global security toolkit 55

grupodefinir en el Gatekeeper 82

descripción de 21, 128

grupo de clústeres, descripción de 21

grupo de difusióncrear o cambiar 82

descripción de 128

lista de control de accesos 30

grupo de filtros, descripción de 129

grupo DHCP, descripción de 129

grupo MNC, descripción de 21

gskit 55

Hhabilitar SSL 88

hardware, prerrequisito 55

hardware obligatorioConnection Manager 55

Gatekeeper 55

HTTP, códec 122

IIBM Directory

configurar 70

requisitos de software 55

IBM Support Assistant 103

igual a igual, DSS 14

inalámbricamódems

requisito de hardware 58

productos de telefonía 58

protocolo de enlace (WLP)descripción de 44

reddefinir recursos 82

planificar 33

proveedores, descripción de 9

proveedores, lista de 33

soporte, instalar y configurar 60

inalámbricomódems

como dispositivo portátil 129

protocolo de enlace (WLP)tipos de MNC 23

información de consulta 161

información de contabilidad y facturaciónalmacenamiento de datos de 6

esquema de base de datos de 149

information center 159

iniciarel Connection Manager 83

el Gatekeeper 65

inicio de sesión único (SSO) 31, 82

instalación silenciosa, Gatekeeper 67

instalaranotaciones 58

Connection Manager 68

DB2 63

Gatekeeper 64

Gatekeeper, silenciosa 67

lista de comprobación 63

soporte de X.25 60

vías de acceso de directorio 113

installp 69

integrar los esquemas LDAP existentes

con el Connection Manager 55

intercambio de claves, acuerdo 124

intercambio de claves de

Diffie-Hellman 136

interceptor de asociación de

confianza 120

interfazelementos del Gatekeeper 8

Gatekeeper, descripción de 8

Mobility Client, descripción de 8

navegación en el Gatekeeper 101

red móvil (MNI) 132

utilización del Gatekeeper 101

interfaz de redmóvil (MNI) 132

interfaz de red móvil (MNI)definir en el Gatekeeper 83

descripción de 132

direccionamiento IP 134

IP, direccionamiento 134

iPlanet Directory Serverconfigurar 72

requisitos de software 55

IPSec 41

JJRE necesario, Gatekeeper 55

Llicense manager 55

Linuxinstalar el Connection Manager 70

instalar el Gatekeeper 65

instalar el soporte de UTF-8 70

paquete de instalación 69

requisitos de hardware de Connection

Manager 55

requisitos de software 55

requisitos de software y hardware

para el Gatekeeper 55

Soporte a dispositivos de Connection

Manager 7

lista de comprobaciónconfiguración 81

instalación 63

lista de control de accesos (ACL),

descripción de 28

listas de revocación, certificado 48

Índice 169

lógica, interfaz IP 94

Mmandato arp 130

mandatosdf 59

mantenimiento, aplicar 113

marcas de servicio 165

marcas registradas 165

máscara de subred alternativa 133

menú de contexto 101

Mobility Clientautenticación 44

cifrado 45

como componente del Connection

Manager 8

como dispositivo portátil 129

como usuario 26

contraseñapolítica 32

descripción de 8

utilizacióncomo alias de

direccionamiento 131

modelo de validación del clientedescripción de 125

módemcomo dispositivo portátil 129

perfil 129

requisito de hardware 58

MTU (unidad máxima de

transmisión) 126

multiubicadoel Connection Manager como sistema

principal 6

resolución de nombres y utilizar el

gestor de accesos 77

utilización del Mobility Client como

alias de direccionamiento 131

Nnavegación

la interfaz del Gatekeeper 101

navegador de archivos 103

navegarpor medio del teclado 160

negociación PPP (punto a punto) 35

nivelaplicar mantenimiento 113

nodoconfigurar principal y

subordinado 93

principal 19

subordinado, algoritmos de

distribución 19

nodo principalconfigurar 93

descripción de 19

ejemplo 20

nodo subordinadoalgoritmo de distribución 19

configurar 93

descripción de 19

ejemplo 20

normas para políticas de contraseñas 32

notas de instalación 68

números, puerto predeterminado 38

números de puerto predeterminados 38

números de puerto utilizados 38

OOpenLDAP

configurar 72

versiones soportadas 55

operación de unidad de datos de

protocolo (PDU) alert_notification 143

operación de unidad de datos de

protocolo (PDU) data_sm 143, 144

operación de unidad de datos de

protocolo (PDU) deliver_sm 143

operación de unidad de datos de

protocolo (PDU) enquire_link 144

operación de unidad de datos de

protocolo (PDU) outbind 143

operación de unidad de datos de

protocolo (PDU) query_sm 144

operación de unidad de datos de

protocolo (PDU) replace_sm 144

operación de unidad de datos de

protocolo (PDU) submit_sm 144

operación de unidad de datos de

protocolo (PDU) unbind 143, 144

operaciones de unidades de datos de

protocolo (PDU) 143

Oracleconfigurar 76

versiones soportadas 55

OU primaria 13

Ppaquete

correlacióndescripción de 131

grupo 129

flujo, supervisión 107

red de radio 60

ejemplos de 34

requisitos de hardware 58

paquetes de contabilidad, enviar a un

servidor RADIUS 40

pasarela de proxy de push (PPG)añadir 85

descripción de 16

perfil de autenticación del sistema 30

perfil de inicio de sesión 77

perfilesautenticación 30

conexión 122

inicio de sesión 77, 91

lista de control de accesos 28

módem 129

transporte 122

pkgadd 69

planificación de la capacidad 41

planificar la red 33

políticacontraseña 32

portlets de gestión de dispositivos 118

posibilidades para almacenar de forma

persistente la base de usuarios 26

PPP, negociación 35

programa de utilidadwg_monitor 107

protocolo de distribución de claves de

dos partesconfiguración 136

descripción de 44

protocolo de distribución de claves de

una parteconfiguración 136

descripción de 44

protocolo de resolución de

direcciones 130

protocolo ligero de acceso a directorio

(LDAP)como almacenamiento de datos

persistente 5

configurar para la autenticación por

enlace LDAP 93

descripción de 36

descripción de la autenticación por

enlace LDAP 30, 47

integrar los esquemas existentes con el

Connection Manager 55

requisitos de software 55

tipos de servidores secundarios 36

utilizar archivos LDIF 85

protocolo simple de transferencia de

correo (SMTP), utilizado con los

servicios de mensajería 16

protocolo simple de transferencia de

correo (SNPP), utilizado con los

servicios de mensajería 16

proveedores de redcomo portadores 7

descripción de 9

dispositivo portátil 129

instalar el soporte 60

planificar 33

tipos de MNC 22

visión general 9

proxypasarela de proxy de push 16

puerto de envío/recepción de LAN

IP 38

punto de presencia en una subred de

MNI 134

Rrastreo

anotaciones, visualización 105

Gatekeeper 102

rastreo del Gatekeeper 102

receptor 143

recopilación de datos de sesión 112

recursosañadir en modalidad por lotes 85

búsqueda 104

definir 81, 84

separador de la interfaz del

Gatekeeper 8

reddefinir recursos 82

planificar 33

170 Lotus Mobile Connect Administrator’s Guide

red (continuación)recursos, definir 81

Red Hat Directoryconfigurar 71

requisitos de software 55

red privada virtual (VPN) 2

redes celulares de circuitos

conmutados 34

redes de datos 34

redes RTC 34

redes soportadas 33

reducción de la carga adicional de la

sesión TCP utilizando TCP-Lite 121

reducción de la corriente de datos HTTP

utilizando el códec HTTP 122

remote authentication dial-in user service

(RADIUS)autenticación de terceros 30

configurar para autenticación de

terceros 92

configurar para contabilidad 92

descripción de 46

enviar paquetes de contabilidad a 40

mensajes, utilizar para identificar

dispositivos 24

perfil de autenticación 30

rendimientocompensación de carga utilizando un

gestor de clústeres 19, 41

planificar 41

réplica, DSS de sólo lectura 14

restablecer anotaciones 102

restablecer archivos 103

RNC redundante, configuración con

conmutadores A/B 137

rpm 69

RSA, utilizar securID con perfiles de

autenticación RADIUS 30, 92

Ssecundaria

OU 14

tipos de servidores 36

securID, utilizar perfiles de autenticación

RADIUS 30, 92

seguridadacuerdo de intercambio de

claves 124

control del tráfico de datos 136

descripción deacceso 41

acceso de administrador 53

autenticación 44

autorización 41

cifrado 44

confidencialidad 41

lista de control de accesos 28

modelo de validación del

cliente 125

política de contraseñas 32

habilitar 88

IPSec 41

opciones 42

separador de tareas de la interfaz del

Gatekeeper 8

servicioacceso HTTP

añadir 87

descripción de 16

aplicaciónañadir 86

descripción de 139

códec HTTP 122

descripción del directorio 36

directorio, utilizar IPSec con 41

recurso de servicio de directorio 25

requisitos de software de

directorio 55

servicio de aplicaciones de paso a travésdescripción de 139

servicio de aplicaciones genéricoañadir 86

descripción de 139

servicio de aplicaciones paso a travésañadir 86

servicio de directoriocomo almacenamiento de datos

persistente 5

configurar un servidor 96

descripción de 36

información de configuración 5

integrar los esquemas existentes con el

Connection Manager 55

requisitos de software 55

tipos de servidores secundarios 36

utilizar archivos LDIF 85

utilizar IPSec 41

servicio de mensajes cortos (SMS)operación de entrega 3

operación de mensajes originados en

dispositivos portátiles 4

protocolo, configuración de MNC

SMPP 142

protocolo, configuración de MNC

WCTP 145

redes soportadas 34

tipos de MNC 22

utilizado con los servicios de

mensajería 16

serviciosmensajería

descripción de 16

Servicios de acceso HTTPacceso seguro 16

añadir 87

configurar para SSL 89

descripción de 16

servicios de acceso móvilañadir otros recursos específicos

de 84

cifrado 45

servicios de mensajeríaañadir 85

configuración de certificados SSL 140

descripción de 16

servicio de aplicacionesañadir 86

descripción de 139

tipos de MNC 22

servidorconfigurar RADIUS 92

descripción de, directorio 25

servidor (continuación)descripción del servicio de

directorio 36

servidor de acceso a red (NAS)utilizado con el discriminador de

dispositivos 24

servidor de directoriosalternativo, añadir 97

configurar 96

descripción del recurso 25

servidor de directorios de empresa 26

servidor DHCP (protocolo de

configuración dinámica de sistema

principal) 132

servidor DHCP, utilizar 132

sesiónalmacenamiento de datos 6

almacenamiento de datos en RDB 37

software, bajadas 115

software, prerrequisito 55

software obligatorio 55

Connection Manager 55

Gatekeeper 55

Solarisinstalar el Connection Manager 70

instalar el Gatekeeper 66

instalar el soporte de UTF-8 70

paquete de instalación 69

requisitos de hardware 55

requisitos de software 55

requisitos de software y hardware

para el Gatekeeper 55

Soporte a dispositivos de Connection

Manager 7

soporte a dispositivos específicos del

sistema operativo 7

SSL, certificadosactualización de las bases de datos de

clavesentre los servicios de mensajería y

las aplicaciones de proceso de

mensajes 140

para los servicios de

mensajería 140

actualizar bases de datos de clavesentre el Gatekeeper y el gestor de

accesos 89

subred 132

subred alternativa, máscara 133

Sun ONE Directory Serverconfigurar 72

requisitos de software 55

supervisión de flujo de paquetes 107

TTAI 120

TCP-Lite 121

teclas aceleradoras 160

teléfono, registro 129

tipos de compresión 123

Tivoli license manager 55

transceptor 143

transmisión, unidad máxima 126

transmisor 143

transmisor/receptor 143

Índice 171

transporteperfil 122

TCP-Lite 121

Uunidad máxima de transmisión 126

unidad organizativadefinir en el Gatekeeper 81

descripción de 13

universal computer protocol (UCP), tipo

de MNC 22

usuarioañadir un gran número de 85

búsqueda de cuenta utilizando un

servidor de directorios 96

descripción de 26

lista de control de accesos 30

posibilidades para almacenar de

forma persistente 26

UTF-8instalar el soporte en AIX 69

instalar el soporte en Linux o

Solaris 70

utilizaciónGatekeeper 101

wg_monitor 107

utilizarservidor de directorios de

empresa 26

Vvalidación del cliente, modelo

descripción de 125

varios usuarios, añadir en modalidad por

lotes 85

ventana de propiedades 101

versiónaplicar mantenimiento 113

vía de acceso, directorio de

instalación 113

vías de acceso de directorio,

instalación 113

visualizaciónanotaciones del Connection

Manager 105

flujo de paquetes 107

visualización de datos de sesión 112

WWCTP (Wireless Control Transfer

Protocol) 145

WebSphere Everyplace Access 118

wg_monitor 107

wgdb 57

Windowsinstalar el Gatekeeper 67

requisitos de software y hardware

para el Gatekeeper 55

WLPdescripción de 44

XX.500 13

172 Lotus Mobile Connect Administrator’s Guide

���