GUÍA DE IMPLEMENTACIÓ N SEGURIDAD DEL CÓ MPUTO DEL USUARIO FINAL EMC VSPEX CON RSA SECURID VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales EMC VSPEX Resumen Esta guía de implementación describe los componentes necesarios y los pasos de configuración para implementar la autenticación de dos factores de RSA® SecurID® en ambientes de cómputo del usuario final EMC® VSPEX™ para VMware Horizon View. Esta guía y su guía de diseño asociada describen una solución complementaria de SecurID para infraestructuras comprobadas VSPEX específicas para Horizon View. Julio de 2013 Copyright © 2013 EMC Corporation. Todos los derechos reservados. . Publicado en julio de 2013 EMC considera que la información de esta publicación es precisa en el momento de su publicación. La información está sujeta a cambios sin previo aviso. La información de esta publicación se proporciona tal cual. EMC Corporation no se hace responsable ni ofrece garantía de ningún tipo con respecto a la información de esta publicación y específicamente renuncia a toda garantía implícita de comerciabilidad o capacidad para un propósito determinado. El uso, la copia y la distribución de cualquier software de EMC descrito en esta publicación requieren una licencia de software correspondiente. EMC2, EMC y el logotipo de EMC son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. Todas las demás marcas comerciales incluidas/utilizadas en este documento pertenecen a sus respectivos propietarios. Para obtener una lista actualizada de nombres de productos de EMC, consulte las marcas comerciales de EMC Corporation en mexico.emc.com (visite el sitio web de su país correspondiente). Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Número de referencia H11841 2 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Contenido Contenido Capítulo 1 Introducción 7 Propósito de esta guía ................................................................................................ 8 Valor para el negocio .................................................................................................. 8 Alcance ...................................................................................................................... 8 Audiencia ................................................................................................................... 9 Terminología .............................................................................................................. 9 Capítulo 2 Antes de comenzar 11 Requisitos previos .................................................................................................... 12 Lectura esencial ....................................................................................................... 13 Guía de diseño de VSPEX ..................................................................................... 13 Descripción general de la solución VSPEX ............................................................ 13 Infraestructuras comprobadas VSPEX .................................................................. 13 Capítulo 3 Descripción general de la solución 15 Descripción general .................................................................................................. 16 Infraestructura existente ...................................................................................... 16 Arquitectura de la solución ....................................................................................... 16 Descripción general de la arquitectura ................................................................. 16 Componentes clave .................................................................................................. 17 RSA SecurID con Authentication Manager ............................................................ 17 EMC VSPEX .......................................................................................................... 18 Requisitos y perfil de la máquina virtual .............................................................. 18 Capítulo 4 Implementación de la solución 21 Implementación del servidor, la virtualización y la red.............................................. 22 Consideraciones de diseño .................................................................................. 22 Implementación de la aplicación .............................................................................. 22 Importar y configurar el dispositivo de autenticación de RSA ............................... 22 Configurar VMware Horizon View para la funcionalidad SecurID .......................... 25 Respaldo y recuperación .......................................................................................... 26 Capítulo 5 Verificación de la solución 27 Verificación del hardware de base ............................................................................ 28 Verificación de RSA SecurID...................................................................................... 28 Verificación de RSA Authentication Manager ............................................................ 29 Capítulo 6 Documentación de referencia 31 Documentación de EMC ............................................................................................ 32 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación 3 Contenido Otra documentación ................................................................................................. 32 Enlaces..................................................................................................................... 32 Apéndice A Hoja de trabajo de configuración 33 Hoja de trabajo de configuración .............................................................................. 34 4 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Contenido Figuras Figura 1. Arquitectura lógica: VSPEX para Horizon View 5.2 generalizado con RSA Authentication Manager como complemento en una configuración redundante ................................................................... 16 Figura 2. Horizon View Client ............................................................................. 28 Figura 3. Cuadro de diálogo de autenticación de SecurID de Horizon View Client................................................................................................... 28 Figura 4. Cuadro de diálogo de autenticación de AD de Horizon View Client....... 29 Tablas Tabla 1. Terminología ......................................................................................... 9 Tabla 2. Requisitos de cómputo, memoria y almacenamiento de base para el complemento SecurID ......................................................................... 19 Tabla 3. Información de configuración requerida para Authentication Manager .............................................................................................. 34 Tabla 4. Información de configuración requerida para Horizon View ................. 34 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación 5 Contenido 6 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 1: Introducción Capítulo 1 Introducción Este capítulo presenta los siguientes temas: Propósito de esta guía ..................................................................................... 8 Valor para el negocio ....................................................................................... 8 Alcance............................................................................................................ 8 Audiencia ........................................................................................................ 9 Terminología ................................................................................................... 9 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación 7 Capítulo 1: Introducción Propósito de esta guía Este documento proporciona una ruta de configuración de punto a punto para la implementación de la autenticación de dos factores de RSA® SecurID® en ambientes de cómputo del usuario final VSPEX™ para VMware Horizon View. El cómputo del usuario final EMC® VSPEX para Horizon View 5.2 y VMware vSphere 5.1 ofrece soluciones comprobadas para el cómputo del usuario final. Los clientes que requieren protección de acceso adicional para ambientes de Horizon View disponibles de manera remota o confidenciales pueden activar la autenticación de dos factores de SecurID como una capa adicional altamente eficaz de protección del acceso de equipos de escritorio virtuales. El acceso a un recurso protegido por SecurID requiere, además de credenciales de Active Directory (AD), un número de identificación personal y un código que cambia constantemente de un token basado en hardware o software. Las credenciales basadas en algo que el usuario conoce (un PIN) y algo que el usuario tiene (el código del token) son la base de la autenticación de dos factores y constituyen un estándar en la seguridad del acceso. La implementación de SecurID en infraestructuras VSPEX para Horizon View requiere la implementación de RSA Authentication Manager como parte de la infraestructura de soporte. SecurID está estrechamente integrado en Horizon View 5.2. Cuando Authentication Manager está en línea, la activación de SecurID a través de la consola del administrador de Horizon View y la consola de seguridad de Authentication Manager tarda unos minutos. Valor para el negocio Como se describe en la documentación de la infraestructura, VSPEX para VMware Horizon View ofrece infraestructuras definidas con rendimiento, escalabilidad y funcionalidad comprobados para hasta 2,000 equipos de escritorio. Este complemento mejora la propuesta de valor gracias a que refuerza la seguridad del acceso, en especial, para las conexiones remotas. Alcance Las mejoras en el acceso y la seguridad presentadas en esta guía están diseñadas como un complemento a las soluciones VSPEX para VMware Horizon View. Este documento describe brevemente SecurID y Authentication Manager, ilustra su integración en la solución VSPEX y presenta una ruta de configuración de punto a punto basada en la documentación de instalación de RSA y VMware. El complemento no está diseñado como una solución independiente. Los servicios de la infraestructura incluidos en las soluciones VSPEX, en particular AD y sistema de nombre de dominio (DNS), se utilizan para dar soporte a la funcionalidad extendida que se describe aquí. Esta guía está diseñada para utilizarse en conjunto con los documentos de la infraestructura comprobada VSPEX para VMware Horizon View. El conocimiento de los documentos pertinentes de la solución es un requisito previo mínimo para usar esta guía. 8 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 1: Introducción Audiencia Esta guía está dirigida al personal de EMC y a partners calificados de EMC VSPEX. No está orientada para la distribución externa ni para los usuarios finales de VSPEX. Terminología Tabla 1 detalla la terminología usada en esta guía. Tabla 1. Terminología Plazo Definición AD Active Directory DHCP Protocolo de configuración de host dinámico DNS Sistema de nombre de dominio FQDN Nombre de dominio calificado Superposición Un anexo a otro documento de referencia principal que agrega funcionalidades opcionales a una infraestructura comprobada PCoIP Equipo personal sobre IP Máquina virtual de referencia Unidad de medida para que una sola máquina virtual cuantifique los recursos de cómputo en una infraestructura comprobada VSPEX Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación 9 Capítulo 1: Introducción 10 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 2: Antes de comenzar Capítulo 2 Antes de comenzar Este capítulo presenta los siguientes temas: Requisitos previos ......................................................................................... 12 Lectura esencial............................................................................................. 13 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: 11 VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 2: Antes de comenzar Requisitos previos Complete los pasos a continuación antes de instalar el dispositivo de autenticación de RSA. Nota: Las siguientes secciones del documento Primeros pasos de RSA Authentication Manager 8.0 entregan más información: Paso 1: Preparación para la implementación Paso 2: Cumplimiento de los requisitos previos 1. Garantice la disponibilidad de recursos de cómputo, memoria y almacenamiento. Consulte la Tabla 2 para obtener orientación sobre el aprovisionamiento de recursos. 2. Adquiera software y licencias Se requiere el siguiente software y las correspondientes licencias: 3. Software de instalación de RSA Authentication Appliance OVA, hardware suficiente o tokens de software, licencias, registros de tokens y contraseñas de importación de RSA Licencias suficientes para los nuevos hosts de VMware ESXi Asigne las direcciones IP requeridas y cree entradas de DNS. Use las tablas del Apéndice A para planificar y registrar los nombres y la información de red para los hosts de Authentication Manager. 4. Adquiera certificados SSL para Authentication Manager. Authentication Manager crea certificados con autofirma, pero la política de seguridad del sitio del cliente podría requerir el uso de certificados de terceros. Para más información, consulte “Certificate Management for SSL” en RSA Authentication Manager 8.0 Administrator’s Guide. Dado que los certificados SSL se asignan a un nombre de dominio totalmente calificado (FQDN) específico, es importante planear cuidadosamente las convenciones de asignación de nombres para los servidores físicos y virtuales. 5. Adquiera certificados SSL para Horizon View Si aún no se implementan certificados SSL en los servidores de Horizon View, consulte el documento de instalación de Horizon View disponible en la sección “Horizon View support” del sitio web de VMware, en http://www.vmware.com/lasp/, para obtener instrucciones. 12 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 2: Antes de comenzar Lectura esencial EMC le recomienda leer los siguientes documentos, disponibles en el espacio VSPEX en EMC Community Network o en EMC.com o el portal para partners de la infraestructura comprobada VSPEX. Guía de diseño de VSPEX Consulte la siguiente guía de diseño para VSPEX: Descripción general de la solución VSPEX Consulte el siguiente documento relacionado con la descripción general de las soluciones VSPEX: Infraestructuras comprobadas VSPEX Consulte los siguientes documentos de infraestructura comprobada VSPEX: Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 and VMware vSphere 5.1 for up to 2,000 Virtual Desktops–Design Guide EMC VSPEX End-User Computing Solutions for Small and Medium Businesses–Solution Overview Cómputo del usuario final EMC VSPEX: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 250 equipos de escritorio virtuales, activado por EMC VNXe y el respaldo de última generación de EMC: infraestructura comprobada VSPEX Cómputo del usuario final EMC VSPEX: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorio virtuales, activado por EMC VNXe y el respaldo de última generación de EMC: infraestructura comprobada VSPEX Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: 13 VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 2: Antes de comenzar 14 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 3: Descripción general de la solución Capítulo 3 Descripción general de la solución Este capítulo presenta los siguientes temas: Descripción general ....................................................................................... 16 Arquitectura de la solución ............................................................................ 16 Componentes clave ........................................................................................ 17 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: 15 VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 3: Descripción general de la solución Descripción general Infraestructura existente El ambiente de Horizon View y los servicios de infraestructura de soporte, como AD y DNS, se deben configurar de acuerdo con el documento adecuado del cómputo del usuario final de VSPEX. Los recursos de cómputo y almacenamiento para los componentes descritos en esta sección se pueden agregar para los fines específicos o consumir desde el pool de la solución como se describe en esta guía. Arquitectura de la solución La Figura 1 muestra la arquitectura lógica generalizada de la infraestructura VSPEX para VMware Horizon View con las instancias de Authentication Manager agregadas. Se muestra la variante de VNX con Fibre Channel. Las variantes de NFS y VNXe se describen en los documentos de VSPEX para VMware Horizon View. Figura 1. Descripción general de la arquitectura 16 Arquitectura lógica: VSPEX para Horizon View 5.2 generalizado con RSA Authentication Manager como complemento en una configuración redundante La arquitectura complementaria de SecurID consta de los siguientes componentes: Cómputo del usuario final EMC VSPEX: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 250 o 2,000 equipos de escritorio virtuales. La infraestructura base es compatible con Horizon View y proporciona servicios de AD, DNS, DHCP y SQL Server. El complemento también utiliza AD y DNS. Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 3: Descripción general de la solución RSA Authentication Manager 8.0: Authentication Manager controla todos los aspectos operacionales de la funcionalidad SecurID. La funcionalidad del agente de autenticación está incorporada en Horizon View, lo que elimina la necesidad de la instalación manual del software de agente. Cuando Authentication Manager está en línea, la activación de SecurID en el ambiente de Horizon View consta de los siguientes pasos: 1. Crear un registro de agente en la consola de seguridad de Authentication Manager para registrar el servidor de Horizon View como un agente de autenticación. 2. Generar y descargar un archivo de configuración desde Authentication Manager para proporcionar la seña secreta compartida y otra información a los servidores de Horizon View. 3. Activar SecurID en la consola del administrador de Horizon View y cargar el archivo de configuración generado en el paso anterior. El documento RSA Authentication Manager 8.0 Administrator’s Guide contiene los pasos para importar y asignar tokens de SecurID a los usuarios. Los nodos redundantes proporcionan alta disponibilidad (HA). El asistente de instalación de Authentication Manager permite configurar fácilmente los nodos primario y secundario. Después de la configuración, los cambios se realizan en el nodo primario y después se traspasan al secundario mediante un proceso de sincronización. Si un nodo no está disponible, el nodo restante gestiona el tráfico. Nota: Para instalar el dispositivo de autenticación de RSA en VMware, asegúrese de que los nodos estén instalados en hosts físicos diferentes para evitar una interrupción del servicio debido a fallas de hardware. Nota: Si bien Authentication Manager 8.0 ofrece capacidades de balanceo de cargas para dirigir el tráfico a múltiples nodos, este complemento presenta una HA simple a través de nodos múltiples. Generalmente, el nodo primario ofrece el servicio. Si el nodo primario falla, el servicio falla en el nodo de réplica. Los partners deben consultar a los clientes para determinar si una instalación de balanceo de cargas completo sería beneficiosa. Componentes clave RSA SecurID con Authentication Manager RSA SecurID proporciona seguridad del acceso mejorada por medio de la autenticación de dos factores, la que requiere que el usuario responda un reto de autenticación con dos elementos de información: Número de identificación personal (PIN): algo que el usuario conoce, de manera similar a una contraseña. Código de token o contraseña de un solo uso a partir de un token basado en hardware o software: algo que el usuario posee. Este código de token cambia cada 60 segundos. RSA Authentication Manager administra la funcionalidad de SecurID, la que en este complemento se implementa como un dispositivo virtual (dispositivo de autenticación de RSA) que se ejecuta en un host VMware ESXi. Las funciones incorporadas de Authentication Manager proporcionan servicios de respaldo y sincronización. Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: 17 VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 3: Descripción general de la solución Authentication Manager se usa para crear un registro de autenticación que corresponde al agente de autenticación incorporado en Horizon View Connection Server. Con la creación del registro, Horizon View Connection Server se registra como un agente de autenticación en Authentication Manager. Posteriormente se genera un archivo de configuración que contiene esta información. Cuando SecurID está activado en Horizon View Connection Server, este archivo se carga para completar el enlace entre Horizon View y Authentication Manager. Nota: Authentication Manager 8.0 está disponible únicamente como un dispositivo virtual que se ejecuta en VMware ESXi. A diferencia de las versiones anteriores, no hay software de instalación disponible. Nota: Este diseño es compatible con Authentication Manager 7.1 SP4, con leves diferencias en los pasos de configuración. Nota: Authentication Manager 8.0 expande considerablemente las opciones de seguridad del acceso, más allá de las capacidades ofrecidas en versiones anteriores, en particular en el área de autenticación basada en riesgos. Sin embargo, el alcance de este complemento permanece limitado a la implementación de la autenticación de SecurID. Se recomienda aconsejar a los clientes sobre funciones adicionales disponibles para ellos. EMC VSPEX Las arquitecturas validadas y modulares de VSPEX están diseñadas con tecnologías comprobadas para crear soluciones de virtualización completas que le permitan tomar decisiones informadas sobre las capas de hipervisor, cómputo y red. VSPEX elimina las cargas de planificación y configuración de la virtualización de equipos de escritorio. VSPEX acelera la transformación de la TI al permitir implementaciones más rápidas, opciones más amplias, mayor eficiencia y menor riesgo. Requisitos y perfil de la máquina virtual Consulte el documento de la infraestructura comprobada de VSPEX para VMware Horizon View a fin de conocer la información sobre los requisitos de hardware, que define una máquina virtual de referencia estándar. La Tabla 2 muestra los requisitos de cómputo, memoria y almacenamiento para una implementación de SecurID de alta disponibilidad. Los recursos se pueden extraer del pool de VSPEX con una reducción correspondiente en la capacidad de los equipos de escritorio, o bien, es posible agregar hardware de servidor adicional. Asegúrese de que los nodos de Authentication Manager redundantes se sitúen en servidores físicos distintos de modo que una falla del hardware no interrumpa el servicio. 18 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 3: Descripción general de la solución Los servicios de AD y DNS ya implementados en el ambiente VSPEX para Horizon View se utilizan para dar soporte a los componentes de SecurID. La sobrecarga impuesta adicional es mínima y no se prevé la necesidad de hardware adicional. Tabla 2. Requisitos de cómputo, memoria y almacenamiento de base para el complemento SecurID Componente RSA Authentication Manager CPU (cores) 2 Memoria (GB) 4 Disco (GB) Referencia 100 RSA Authentication Manager 8.0 Performance and Scalability Guide Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: 19 VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 3: Descripción general de la solución 20 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 4: Implementación de la solución Capítulo 4 Implementación de la solución Este capítulo presenta los siguientes temas: Implementación del servidor, la virtualización y la red ................................... 22 Implementación de la aplicación .................................................................... 22 Respaldo y recuperación ................................................................................ 26 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: 21 VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 4: Implementación de la solución Implementación del servidor, la virtualización y la red Consideraciones de diseño Se espera que los usuarios de este documento comprendan los requisitos para configurar su infraestructura VSPEX para Horizon View. Además de la base, el nuevo requisito principal para activar SecurID en la infraestructura VSPEX para Horizon View es la instalación de un ambiente de Authentication Manager de alta disponibilidad. AD, DNS y otros servicios de la infraestructura compatibles con el ambiente de Horizon View también admiten Authentication Manager. Este complemento proporciona un servicio de Authentication Manager básico de alta disponibilidad en el ambiente VSPEX para Horizon View. La optimización y la planificación operativa (para respaldo, sincronización de nodos, etc.), además de las funciones avanzadas como la autenticación basada en riesgos, están fuera del alcance de la guía. La infraestructura del complemento de SecurID corresponde al diseño en el documento de VSPEX para VMware Horizon View correspondiente. Los requisitos de almacenamiento son mínimos y deben estar disponibles desde el pool de VSPEX sin la necesidad de unidades adicionales. Implementación de la aplicación Implementar RSA SecurID en una implementación VSPEX para Horizon View requiere las siguientes actividades de configuración: Importar y configurar el dispositivo de autenticación de RSA Importar y configurar el dispositivo de autenticación de Configurar VMware Horizon View para la funcionalidad SecurID Esta sección muestra los pasos para configurar dos dispositivos virtuales de RSA Authentication Appliance en una configuración simple de alta disponibilidad. Asegúrese de registrar toda la información utilizada, por ejemplo, asignaciones de IP, ID, contraseñas y alias de DNS. Referencias RSA Authentication Manager 8.0 Getting Started RSA Authentication Manager 8.0 Setup and Configuration Guide RSA Authentication Manager 8.0 Administrator’s Guide Paso 1. Implemente la instancia primaria de Authentication Appliance en un host de VMware ESXi mediante IP, DNS, y otra información de red según se indica en el Apéndice A. Consulte RSA Authentication Manager 8.0 Getting Started o RSA Authentication Manager 8.0 Setup and Configuration Guide para obtener instrucciones. 22 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 4: Implementación de la solución 2. Configure la instancia primaria de Authentication Appliance en el host. Consulte RSA Authentication Manager 8.0 Getting Started para obtener instrucciones. Nota: Las credenciales de la consola RSA creadas durante la configuración son credenciales locales. Regístrelas y guárdelas en una ubicación segura. 3. Configure AD como el origen de identidad: a. Seleccione Deployment Configuration Identity Sources Add New en la consola de operaciones de seguridad. b. Si se solicita, inicie sesión con credenciales de superadministrador. c. En la sección Identity Source Basics: d. e. f. Asigne un nombre “amigable” al nuevo origen y seleccione Microsoft Active Directory en la lista Type. Opcional: Ingrese notas explicativas en el campo proporcionado. En la sección Directory Connection de la instancia primaria: Use ldaps en lugar de http o https como el protocolo en el campo Directory URL: ldaps://myDomainController.myDomain.com. En el campo Directory User ID, proporcione un ID privilegiado mediante el formato <domain>\<userid> totalmente calificado. En la sección Directory Settings: Para User Base DN y User Group Base DSN, use el Distinguished Name del AD. Para encontrar el Distinguished Name, navegue a Active Directory Users and Computers en el controlador de dominio, seleccione Properties para la carpeta que contiene a los usuarios y ubique el campo en la pestaña Attribute Editor. Use o cambie los valores predeterminados de los campos restantes. Para que se puedan asignar tokens a los usuarios de AD, enlace el nuevo origen de identidad de AD al System Domain predeterminado, como se indica a continuación. Nota: El capítulo 5 de la RSA Authentication Manager 8.0 Administrator’s Guide proporciona más información. i. Navegue a Security Console Setup Identity Sources Link Identity Source to System. ii. En el panel Available, seleccione el nuevo origen de identidad y haga clic en la flecha de la derecha para moverlo al panel Linked. iii. Haga clic en Save. Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: 23 VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 4: Implementación de la solución g. Confirme que el nuevo origen de identidad se haya agregado y enlazado a System Domain: i. Navegue a Operations Console Deployment Configuration Identity Sources Manage Existing y verifique que el nuevo origen aparezca en la lista. ii. Navegue a Security Console Identity Users Manage Existing, use los campos de búsqueda para seleccionar el origen de identidad adecuado y haga clic en Search para ver a los usuarios. 4. Configure una instancia de réplica para HA. Para obtener instrucciones, consulte el documento RSA Authentication Manager 8.0 Getting Started. 5. Compruebe el enlace de replicación entre los nodos primario y secundario como se indica a continuación: a. En la consola de operaciones de seguridad, navegue a Deployment Configuration Instances Status Report. b. Busque un estado “normal” con una marca de verificación verde asociada con la instancia de réplica. Para obtener información sobre cómo abordar un estado anormal, consulte “Check Replication Status” en el capítulo 15 de RSA Authentication Manager 8.0 Administrator’s Guide. 6. Asigne tokens de SecurID a los usuarios de la siguiente manera. Nota: Para obtener más información, consulte el capítulo 9, “Deploying and administering RSA SecurID Tokens” en RSA Authentication Manager 8.0 Administrator’s Guide. Nota: Este paso se puede ejecutar ahora o diferir hasta que esté configurado el resto de la infraestructura de SecurID. a. b. Importe los registros de tokens, que se proporcionan en CD junto con los archivos de licencia de RSA, y los tokens reales en el servidor primario de Authentication Manager como se indica a continuación: i. En la consola de seguridad, navegue a Authentication SecurID Tokens Import Tokens Job Add New. ii. Siga los pasos que se proporcionan en RSA SecurID Token Records Getting Started Guide en el CD de los registros de tokens. Asigne tokens a los usuarios de la siguiente manera. Nota: Los pasos a continuación proporcionan el enfoque más simple para asignar un token a un usuario. Para otras opciones, consulte el capítulo 9 de RSA Authentication Manager 8.0 Administrator’s Guide. 24 i. En la consola de seguridad, seleccione Authentication SecurID Tokens Manage Existing. ii. Siga los pasos en “Assigning and Unassigning Hardware and Software Tokens” en el capítulo 3 de RSA Authentication Manager 8.0 Administrator’s Guide. Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 4: Implementación de la solución iii. Haga clic en la pestaña Unassigned. iv. Seleccione un token para asignar. v. Asegúrese de que la función Assign to Users esté seleccionada en la lista de tokens. vi. Haga clic en Go. 7. Registre los servidores de Horizon View como agentes de autenticación: a. En la consola de seguridad de RSA, navegue a Access Authentication Agents Add New. b. Introduzca o seleccione la siguiente información: c. Hostname: Ingrese el nombre de dominio calificado del servidor de Horizon View. Dirección IP: Seleccione Resolve IP junto al campo Hostname para completar este campo. Verifique que la dirección sea la dirección de administración del host de Horizon View. Otros campos: Use los valores predeterminados para los campos restantes, a menos que la nueva implementación requiera expresamente otra entrada. Si este es el último servidor de Horizon View que se agregará, haga clic en Save. De lo contrario, haga clic en Save & Add Another y repita los pasos a al c. 8. Cree el archivo de configuración: a. En la consola de seguridad de RSA, navegue a Access Authentication Agents Generate Configuration file. Los únicos valores configurables en la página son los relativos al tiempo de espera agotado de reintento. Los valores predeterminados son aceptables. b. Haga clic en Generate Config File. c. Haga clic en Download Now para guardar el archivo en una ubicación accesible para el servidor de Horizon View en el que se cargará el archivo. d. Extraiga el archivo sdconf.rec del archivo Zip descargado. Nota: El archivo failover.dat, también incluido en el archivo Zip, no se utiliza en este momento. Configurar VMware Horizon View para la funcionalidad SecurID Los siguientes pasos orientan para activar la autenticación de SecurID en un solo servidor de administración de Horizon View en la infraestructura VSPEX. Repita estos pasos para implementar SecurID en cada servidor de Horizon View. Si no están implementados, instale certificados de SSL de acuerdo con el documento VMware View Installation que está disponible en la sección Horizon View support del sitio web de VMware en http://www.vmware.com/lasp. 1. Inicie sesión en la consola de administración de Horizon View con privilegios de administrador. 2. Navegue a View Configuration Servers. Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: 25 VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 4: Implementación de la solución 3. Haga clic en la pestaña Connection Servers. 4. Seleccione el servidor de conexión para el que desea activar SecurID y haga clic en Edit. a. En el cuadro de diálogo Edit View Connection Server Settings, haga clic en la pestaña Authentication. b. En la sección Advanced Authentication, seleccione RSA SecurID en la lista 2-Factor Authentication. c. Seleccione Enforce SecurID and Windows user name matching para asegurarse de que SecurID y el ID de AD asociado coincidan. d. Haga clic en Upload File para seleccionar y cargar el archivo sdconf.rec descargado anteriormente. e. Después de cargar el archivo, la función SecurID se activa sin necesidad de reiniciar el servicio. Respaldo y recuperación El respaldo y la recuperación se describen en la documentación de la infraestructura para la solución VSPEX a la que se agrega SecurID. RSA recomienda el uso de su conjunto de herramientas nativo para el respaldo y restauración de la base de datos interna de Authentication Manager. 26 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 5: Verificación de la solución Capítulo 5 Verificación de la solución Este capítulo presenta los siguientes temas: Verificación del hardware de base .................................................................. 28 Verificación de RSA SecurID ........................................................................... 28 Verificación de RSA Authentication Manager .................................................. 29 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: 27 VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 5: Verificación de la solución Verificación del hardware de base La validación del hardware está más allá del alcance de este documento. Consulte los documentos de VSPEX para VMware Horizon View para obtener información sobre la verificación de hardware. Verificación de RSA SecurID Para comprobar la funcionalidad de SecurID, siga estos pasos: 1. Inicie Horizon View Client y haga clic en Connect, como se muestra en la Figura 2. Figura 2. 2. Para los campos User name y Passcode, que se indican en la Figura 3, ingrese la información de autenticación de SecurID establecida durante la configuración de Authentication Manager. Figura 3. 28 Horizon View Client Cuadro de diálogo de autenticación de SecurID de Horizon View Client Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 5: Verificación de la solución Tras la autenticación correcta de SecurID, ingrese su nombre de usuario y contraseña de AD cuando se soliciten, como se indica en la Figura 4. Figura 4. Cuadro de diálogo de autenticación de AD de Horizon View Client Tras la correcta autenticación en AD, se presenta el escritorio del usuario. Verificación de RSA Authentication Manager El éxito del proceso de autenticación de SecurID sirve como una verificación práctica de RSA Authentication Manager. Para realizar una verificación adicional, siga los pasos a continuación: 1. En la consola de seguridad de Authentication Manager, abra Reporting Realtime Activity Monitors Authentication Activity Monitor. 2. Ingrese el nombre de usuario que se verificará en el campo Search, si es necesario. 3. Haga clic en Start Monitor. 4. Inicie sesión en un equipo de escritorio a través del cliente de Horizon View mediante el proceso de autenticación en dos pasos. 5. En la ventana del supervisor, verifique que las credenciales de SecurID se hayan validado. 6. Cierre el supervisor. Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: 29 VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 5: Verificación de la solución Es posible probar la funcionalidad básica de HA de la siguiente manera: 30 1. En VMware vSphere, edite los ajustes del nodo primario de Authentication Manager para desconectar la NIC virtual del huésped, o apague el huésped. 2. Verifique la correcta autenticación de SecurID. 3. Vuelva a conectar la NIC virtual del nodo primario. 4. Repita los pasos anteriores para el nodo secundario. Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 6: Documentación de referencia Capítulo 6 Documentación de referencia Este capítulo presenta los siguientes temas: Documentación de EMC.................................................................................. 32 Otra documentación ...................................................................................... 32 Enlaces .......................................................................................................... 32 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: 31 VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Capítulo 6: Documentación de referencia Documentación de EMC Los siguientes documentos, disponibles en los sitios web de servicio de soporte en línea de EMC o EMC.com, ofrecen información adicional e importante. Si no tiene acceso a un documento, póngase en contacto con un representante de EMC. Seguridad de las soluciones de cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos virtuales de escritorio: guía de diseño Cómputo del usuario final EMC VSPEX: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 250 equipos de escritorio virtuales, activado por EMC VNXe y el respaldo de última generación de EMC: infraestructura comprobada VSPEX Cómputo del usuario final EMC VSPEX: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorio virtuales, activado por EMC VNX y el respaldo de última generación de EMC: infraestructura comprobada VSPEX Otra documentación Para obtener más información, consulte los siguientes documentos disponibles en el sitio web de RSA en https://knowledge.rsasecurity.com (se requiere tener una cuenta): RSA Authentication Manager 8.0 Release Notes RSA Authentication Manager 8.0 Getting Started RSA Authentication Manager 8.0 Setup and Configuration Guide RSA Authentication Manager 8.0 Administrator’s Guide RSA Authentication Manager 8.0 Performance and Scalability Guide Enlaces Para obtener documentación relacionada con VMware Horizon View y VMware vSphere, visite los siguientes enlaces: http://pubs.vmware.com/view-52/index.jsp http://pubs.vmware.com/vsphere-51/index.jsp Nota: Los enlaces indicados funcionaban correctamente al momento de la publicación. 32 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación Apéndice A: Hoja de trabajo de configuración Apéndice A Hoja de trabajo de configuración Este apéndice presenta el siguiente tema: Hoja de trabajo de configuración ............................................................. 34 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación 33 Apéndice A: Hoja de trabajo de configuración Hoja de trabajo de configuración Tabla 3. Información de configuración requerida para Authentication Manager Primario Secundario Nombre de host (nombre de dominio calificado) IP de administración Certificado Host vCenter (ESXi) Ubicación de medios de instalación Ubicación de archivo de licencia y registro de tokens ID/contraseña de administrador local Tabla 4. Información de configuración requerida para Horizon View Primario Secundario Nombre de host (nombre de dominio calificado) IP de administración Certificado Host vCenter (ESXi) ID/contraseña de administrador local 34 Seguridad del cómputo del usuario final EMC VSPEX con RSA SecurID: VMware Horizon View 5.2 y VMware vSphere 5.1 para hasta 2,000 equipos de escritorios virtuales guía de implementación