Inicio de sesión único de BlackBerry Administration Service

Versión: 5.0 | Service Pack: 2

Nota de seguridad
 Publicado: 2010-07-20
SWD-1147121-0720021811-005
Contenido
1 Proteger los recursos de la empresa al configurar el registro único de BlackBerry Administration Service................ 2
Arquitectura: registro único de BlackBerry Administration Service......................................................................................... 2
Cómo el registro único de BlackBerry Administration Service utiliza Kerberos para ayudarle a proteger los recursos de
su empresa....................................................................................................................................................................................... 3
Cómo completa BlackBerry Administration Service la autenticación Kerberos...................................................................... 3

2 BlackBerry Administration Service y direcciones Web de BlackBerry Web Desktop Manager que son compatibles
con el registro único de BlackBerry Administration Service................................................................................................. 5

3 Flujo de proceso: acceso a la consola de BlackBerry Administration Service y a BlackBerry Web Desktop Manager
al configurar el registro único de BlackBerry Administration Service................................................................................ 6

4 Configurar la autenticación de registro único para BlackBerry Administration Service y BlackBerry Web Desktop
Manager........................................................................................................................................................................................ 8
Requisitos del sistema para el entorno de su empresa.............................................................................................................. 8
Requisitos del sistema: exploradores para usuarios de BlackBerry Web Desktop Manager, BlackBerry Administration
Service y BlackBerry Monitoring Service...................................................................................................................................... 9
Configurar la delegación restringida para la cuenta de Microsoft Active Directory para que sea compatible con la
autenticación de registro único..................................................................................................................................................... 11
Activar la autenticación de registro único para BlackBerry Administration Service.............................................................. 11

5 Resolución de problemas: registro único de BlackBerry Administration Service.............................................................. 13

Los usuarios pueden ver la página de inicio de sesión una vez que se ha configurado el registro único de BlackBerry
Administration Service................................................................................................................................................................... 13

6 Recursos relacionados................................................................................................................................................................ 14

7 Glosario......................................................................................................................................................................................... 15

8 Comentarios................................................................................................................................................................................. 17

9 Aviso legal..................................................................................................................................................................................... 18
Nota de seguridad Proteger los recursos de la empresa al configurar el registro único de BlackBerry Administration Service

Proteger los recursos de la empresa al configurar el 1

registro único de BlackBerry Administration Service
Puede configurar BlackBerry® Administration Service para que los administradores o los usuarios de BlackBerry® Web Desktop
Manager tengan que iniciar sesión en la consola de BlackBerry Administration Service o en BlackBerry Web Desktop Manager
mediante la autenticación de Microsoft® Active Directory®. Si configura BlackBerry Administration Service para que sea
compatible con la autenticación de Microsoft Active Directory en BlackBerry® Enterprise Server 5.0 SP2, también puede configurar
el registro único para que los administradores o los usuarios puedan acceder a la consola de BlackBerry Administration Service
o BlackBerry Web Desktop Manager directamente sin tener que iniciar sesión.
Si configura el registro único, BlackBerry Administration Service utiliza el protocolo Kerberos™ y la delegación restringida para
ayudar a proteger el entorno de su empresa y para autenticar y autorizar a los administradores y usuarios. El protocolo Kerberos
está diseñado para permitir que BlackBerry Administration Service compruebe las cuentas de administrador y de usuario en
Microsoft Active Directory. La delegación restringida está diseñada para limitar los recursos para los que BlackBerry
Administration Service puede proporcionar acceso a los administradores y usuarios autenticados.

Arquitectura: registro único de BlackBerry Administration Service

Componente
BlackBerry® Administration Service
controlador de dominio
Descripción
BlackBerry Administration Service le permite administrar BlackBerry Domain, que
incluye componentes de BlackBerry® Enterprise Server, cuentas de usuario y
características de administración del dispositivo BlackBerry.
Un controlador de dominio es un servidor que autentica y autoriza a los usuarios
de Windows® y los servidores de Windows con un dominio de Windows.

2
Nota de seguridad Cómo el registro único de BlackBerry Administration Service utiliza Kerberos para ayudarle a proteger los recursos de su empresa

Componente Descripción
Microsoft® Active Directory® Microsoft Active Directory es un directorio LDAP que almacena información de
usuario.

Cómo el registro único de BlackBerry Administration Service utiliza Kerberos

para ayudarle a proteger los recursos de su empresa
El registro único de BlackBerry® Administration Service implementa la autenticación Kerberos™ que permite que BlackBerry
Administration Service pueda autenticar a administradores y a usuarios de BlackBerry® Web Desktop Manager en la red de su
empresa de forma altamente segura.
BlackBerry Administration Service incluye dos servicios Kerberos que utiliza para autenticar con exploradores. El servidor de
aplicaciones de BlackBerry Administration Service y el servidor Web de BlackBerry Administration Service alojan los servicios
Kerberos. BlackBerry Administration Service necesita dos servicios Kerberos para poder autenticar la capa Web y la capa de
aplicaciones. El servicio Kerberos que el servidor Web de BlackBerry Administration Service aloja comprueba las solicitudes de
los exploradores para acceder a la capa Web. El servicio Kerberos que el servidor de aplicaciones de BlackBerry Administration
Service aloja comprueba las solicitudes del servidor Web de BlackBerry Administration Service para acceder a la capa de
aplicaciones.
Los servicios Kerberos se identifican utilizando SPN que se crean y asignan a una cuenta de Microsoft® Active Directory®. Debe
crear la cuenta de Microsoft Active Directory como una cuenta de servicio de Kerberos en el dominio de Microsoft Active Directory
que incluye BlackBerry Administration Service, y configurar la delegación restringida para la cuenta de Microsoft Active Directory.
Debe configurar la cuenta de Microsoft Active Directory para que confíe sólo en el servicio Kerberos que el servidor de aplicaciones
de BlackBerry Administration Service aloja para la delegación restringida y únicamente cuando el servicio de aplicaciones de
BlackBerry Administration Service utilice Kerberos.
Si el entorno de su empresa incluye varios bosques de cuentas de Microsoft Active Directory, debe configurar una cuenta de
Microsoft Active Directory para cada bosque de cuentas. Sin embargo, no necesita configurar la delegación restringida para las
cuentas de Microsoft Active Directory que configure en los bosques de cuentas.

Cómo completa BlackBerry Administration Service la autenticación Kerberos

Cuando BlackBerry® Administration Service se inicia, se autentica con el dominio de Microsoft® Active Directory® a través de
la cuenta de Microsoft Active Directory. El controlador de dominio emite las claves Kerberos™ y el vale de servicio Kerberos para
los dos servicios Kerberos. Las claves Kerberos permiten que BlackBerry Administration Service pueda comprobar los vales de
servicio Kerberos que envían los exploradores durante el registro único.
Los exploradores compatibles con la autenticación integrada de Windows® pueden obtener el vale de servicio Kerberos
automáticamente para BlackBerry Administration Service cuando los administradores o usuarios se desplazan a la consola de
BlackBerry Administration Service o a BlackBerry® Web Desktop Manager.

3
Nota de seguridad Cómo completa BlackBerry Administration Service la autenticación Kerberos

El servicio Kerberos que el servidor Web de BlackBerry Administration Service aloja utiliza sus claves Kerberos para comprobar
los vales de servicio Kerberos que envían los exploradores cuando solicitan el acceso a la consola de BlackBerry Administration
Service o a BlackBerry Web Desktop Manager. Si los vales de servicio Kerberos son válidos, el servidor Web de BlackBerry
Administration Service delega la solicitud al servidor de aplicaciones de BlackBerry Administration Service.
Para delegar la solicitud, el servidor Web de BlackBerry Administration Service crea un vale de servicio utilizando su identidad
para el servicio Kerberos que el servidor de aplicaciones de BlackBerry Administration Service aloja. Cuando el servicio Kerberos
que el servidor de aplicaciones de BlackBerry Administration Service aloja comprueba el vale de servicio, BlackBerry
Administration Service completa el proceso de autenticación Kerberos para los administradores o usuarios, y éstos pueden ver
la página principal de la consola de BlackBerry Administration Service o la página principal de BlackBerry Web Desktop Manager.

4
Nota de seguridad BlackBerry Administration Service y direcciones Web de BlackBerry Web Desktop Manager que son compatibles con el registro único
de BlackBerry Administration Service

BlackBerry Administration Service y direcciones Web de 2

BlackBerry Web Desktop Manager que son compatibles
con el registro único de BlackBerry Administration Service

Si configura el registro único de BlackBerry® Administration Service, debe indicar a los administradores y a los usuarios de
BlackBerry® Web Desktop Manager que accedan a la consola de BlackBerry Administration Service y a BlackBerry Web Desktop
Manager a través de las siguientes direcciones Web:
• https://<BAS_pool_FQDN>/webconsole/login
• https://<BAS_pool_FQDN>/webdesktop/login
La autenticación de registro único tiene prioridad sobre otros métodos de autenticación que permiten a los administradores y
usuarios iniciar sesión en la consola de BlackBerry Administration Service o en BlackBerry Web Desktop Manager. Si las políticas
de seguridad de su empresa requieren que los administradores o los usuarios utilicen otro método de autenticación, debe indicar
a los administradores o los usuarios que accedan a la consola de BlackBerry Administration Service o a BlackBerry Web Desktop
Manager a través de las siguientes direcciones Web:
• https://<BAS_pool_FQDN>/webconsole/app
• https://<BAS_pool_FQDN>/webdesktop/app
Por ejemplo, las políticas de seguridad de su empresa podrían solicitar que los administradores inicien sesión mediante el registro
único de BlackBerry Administration Service y que los usuarios de BlackBerry Web Desktop Manager inicien sesión a través de
los nombres de usuario y contraseñas de IBM® Lotus Notes®. En esta situación, puede indicar a los administradores que inicien
sesión en BlackBerry Administration Service mediante la dirección Web https://<BAS_pool_FQDN>/webconsole/login e indicar
a los usuarios de BlackBerry Web Desktop Manager que inicien sesión en BlackBerry Web Desktop Manager a través de la dirección
Web https://<BAS_pool_FQDN>/webdesktop/app.

5
Nota de seguridad Flujo de proceso: acceso a la consola de BlackBerry Administration Service y a BlackBerry Web Desktop Manager al configurar el
registro único de BlackBerry Administration Service

Flujo de proceso: acceso a la consola de BlackBerry 3

Administration Service y a BlackBerry Web Desktop
Manager al configurar el registro único de BlackBerry
Administration Service

1. Un administrador o un usuario de BlackBerry® Web Desktop Manager utiliza un explorador para desplazarse a la página
Web de BlackBerry® Administration Service (https://<BAS_pool_FQDN>/webconsole/login) o la página Web de BlackBerry
Web Desktop Manager (https://<BAS_pool_FQDN>/webdesktop/login).
2. El servidor Web de BlackBerry Administration Service envía una solicitud HTTP Negotiate al explorador para iniciar la
autenticación de registro único.
Para obtener más información sobre la solicitud HTTP Negotiate, consulte http://msdn.microsoft.com/en-us/library/
ms995330.aspx.
3. El explorador recupera el TGT del administrador o usuario desde la caché del vale del ordenador que utiliza el administrador
o usuario.
El explorador utiliza el TGT para solicitar el vale de servicio para el servidor Web de BlackBerry Administration Service
(denominado HTTP/<BAS_pool_FQDN>) al controlador de dominio.
4. El controlador de dominio proporciona al explorador el vale de servicio para el servidor Web de BlackBerry Administration
Service.
5. El explorador envía el vale de servicio al servidor Web de BlackBerry Administration Service en respuesta a la solicitud HTTP-
Negotiate.
6. El servidor Web de BlackBerry Administration Service realiza las acciones siguientes:
• Confirma el vale de servicio mediante la clave Kerberos™ que ha recibido del controlador de dominio al iniciar los
servicios de BlackBerry Administration Service.
• Solicita un vale de servicio para el servidor de aplicaciones de BlackBerry Administration Service (denominado
BASPLUGIN111/<BAS_pool_FQDN>) en nombre del usuario.

6
Nota de seguridad Flujo de proceso: acceso a la consola de BlackBerry Administration Service y a BlackBerry Web Desktop Manager al configurar el
registro único de BlackBerry Administration Service

7. El controlador de dominio proporciona al servidor Web de BlackBerry Administration Service el vale de servicio para el
servidor de aplicaciones de BlackBerry Administration Service.
8. El servidor Web de BlackBerry Administration Service envía el vale de servicio al servidor de aplicaciones de BlackBerry
Administration Service.
9. El servidor de aplicaciones de BlackBerry Administration Service realiza las acciones siguientes:
• Confirma el vale de servicio mediante la clave Kerberos que ha recibido del controlador de dominio al iniciar los
servicios de BlackBerry Administration Service. Si el vale de servicio es válido, el administrador o usuario se autentican
correctamente con BlackBerry Administration Service mediante Kerberos.
• Comprueba si el administrador o usuario son un usuario de dispositivo BlackBerry o un administrador de BlackBerry
Administration Service.
• Comprueba la función del administrador o usuario y le asigna los permisos asociados con dicha función.
• Envía una sesión de seguridad al servidor Web de BlackBerry Administration Service para el administrador o usuario.
10. El servidor Web de BlackBerry Administration Service redirecciona al administrador o usuario a la página de inicio de la
consola de BlackBerry Administration Service o la página de inicio de BlackBerry Web Desktop Manager.

7
Nota de seguridad Configurar la autenticación de registro único para BlackBerry Administration Service y BlackBerry Web Desktop Manager

Configurar la autenticación de registro único para 4

BlackBerry Administration Service y BlackBerry Web
Desktop Manager
Si configura BlackBerry® Administration Service para que sea compatible con la autenticación de Microsoft® Active Directory®,
puede activar la autenticación de registro único. La autenticación de registro único le permite acceder a BlackBerry Administration
Service y permite a los usuarios del dispositivo BlackBerry acceder a BlackBerry Web Desktop Manager sin que sea necesario
que ni usted ni los usuarios escriban un nombre de usuario y una contraseña de Microsoft Active Directory. De forma
predeterminada, si inicia sesión en BlackBerry Administration Service o bien si los usuarios inician sesión en BlackBerry Web
Desktop Manager a través de la autenticación de Microsoft Active Directory, el explorador le solicita o solicita a los usuarios que
escriban un nombre de usuario y una contraseña de Microsoft Active Directory. Si activa la autenticación de registro único e
inicia sesión en un ordenador mediante una cuenta de Microsoft Active Directory, puede evitar la pantalla de inicio de sesión y
acceder directamente a BlackBerry Administration Service y BlackBerry Web Desktop Manager. BlackBerry Monitoring Service
no es compatible con la autenticación de registro único.
Antes de activar el registro único, debe configurar la delegación restringida para la cuenta de Microsoft Active Directory en
BlackBerry Administration Service.

Requisitos del sistema para el entorno de su empresa

Los siguientes requisitos del sistema se aplican al configurar la autenticación de registro único para BlackBerry® Administration
Service y BlackBerry® Web Desktop Manager o al configurar BlackBerry MDS Connection Service para que sea compatible con
la autenticación integrada de Windows®.

Elemento
servicios de red
servidor de aplicaciones
servidor de archivos
Requisito
Microsoft® Active Directory® en Windows Server® 2003 con nivel funcional de dominio
o superior.
Para que BlackBerry MDS Connection Service admita autenticación integrada de
Windows, Microsoft® IIS 6.0 o 7.0 con autenticación integrada de Windows®
Para que BlackBerry MDS Connection Service admita autenticación integrada de
Windows, servicios de archivo de Windows Server 2003 o servicios de archivo de Windows
Server 2008

8
Nota de seguridad Requisitos del sistema: exploradores para usuarios de BlackBerry Web Desktop Manager, BlackBerry Administration Service y
BlackBerry Monitoring Service

Requisitos del sistema: exploradores para usuarios de BlackBerry Web

Desktop Manager, BlackBerry Administration Service y BlackBerry
Monitoring Service

Elemento Requisito
navegador • Windows® Internet Explorer® 7.0 a 8.0
• Mozilla® Firefox® 3.6
• Safari 4 para Mac
• Google Chrome™ 4

configuración del explorador para
Windows Internet Explorer
Windows Internet Explorer 7 o posterior ofrece una compatibilidad óptima con las
características de BlackBerry® Web Desktop Manager y BlackBerry Administration
Service. Según el explorador que use, es posible que BlackBerry Web Desktop
Manager y BlackBerry Administration Service no reconozcan los dispositivos
BlackBerry y que el explorador evite que active dispositivos conectados al ordenador,
realice copias de seguridad y restaure datos o agregue y actualice aplicaciones del
dispositivo.
Para que sea compatible con el acceso al explorador, debe configurar los siguientes
parámetros:
• preferencias de idioma configuradas para mostrar páginas Web codificadas
• la revisión 955839 de Microsoft® debe estar instalada en los ordenadores de
los usuarios con el fin de garantizar que se muestran las zonas horarias
correctas
• la configuración siguiente debe estar activada para ser compatible con
Microsoft® ActiveX®
• Preguntar automáticamente si se deben usar controles Microsoft ActiveX
• Descargar controles Microsoft ActiveX firmados
• Ejecutar controles y complementos de Microsoft ActiveX
• Activar la secuencia de comandos de los controles Microsoft ActiveX
marcados como seguros
• ser compatible con JavaScript®
• cookies activadas

9
Nota de seguridad Requisitos del sistema: exploradores para usuarios de BlackBerry Web Desktop Manager, BlackBerry Administration Service y
BlackBerry Monitoring Service

Elemento
configuración del explorador para
Firefox, Safari y Google Chrome
Requisito
• ser compatible con TLS o SSL
• tener el certificado SSL instalado para permitir conexiones de confianza con
BlackBerry Administration Service
• si utiliza Windows Vista™, la dirección Web de BlackBerry Administration
Service debe estar agregada como sitio Web de confianza y la opción Activar
modo protegido no debe estar seleccionada
• si configura la autenticación de registro único para BlackBerry Administration
Service
• los sitios Web de BlackBerry Web Desktop Manager y BlackBerry
Administration Service deben estar asignados a la zona de la intranet
local
• la opción Activar la autenticación integrada de Windows debe estar
seleccionada
• si no configura la autenticación de registro único para BlackBerry
Administration Service
• los sitios Web de BlackBerry Web Desktop Manager, BlackBerry
Administration Service, y BlackBerry Monitoring Service deben estar
asignados a la intranet local o a la zona de seguridad de los sitios de
confianza
Para que sea compatible con el acceso al explorador, debe configurar los siguientes
parámetros:
• compatibilidad con JavaScript
• cookies activadas
• ser compatible con TLS o SSL
• para permitir conexiones de confianza con BlackBerry Administration Service,
el certificado SSL debe estar instalado

La autenticación de registro único para BlackBerry Administration Service no es

compatible con Google Chrome.

10
Nota de seguridad Configurar la delegación restringida para la cuenta de Microsoft Active Directory para que sea compatible con la autenticación de
registro único

Configurar la delegación restringida para la cuenta de Microsoft Active

Directory para que sea compatible con la autenticación de registro único
1. Mediante la herramienta ADSI Edit de Windows Server®, agregue los siguientes nombres principales de servicios del grupo
de BlackBerry® Administration Service a la cuenta de Microsoft® Active Directory®:
• HTTP/<BAS_pool_FQDN> (por ejemplo, HTTP/BASconsole104.example.com)
• BASPLUGIN111/<BAS_pool_FQDN> (por ejemplo, BASPLUGIN111/BASconsole104.example.com)
2. Si crea grupos independientes de instancias de BlackBerry Administration Service e instancias de BlackBerry Web Desktop
Manager en el grupo de BlackBerry Administration Service, agregue el SPN HTTP/<BAS_pool_FQDN> de cada grupo a la
cuenta de Microsoft Active Directory.
3. Configure la cuenta de Microsoft Active Directory para la delegación restringida utilizando los siguientes parámetros:
• confiar en este usuario sólo para la delegación a servicios específicos
• utilizar sólo Kerberos™
4. En las propiedades de la cuenta de Microsoft Active Directory, en la ficha Delegación, agregue BASPLUGIN111/
<BAS_pool_FQDN> a la lista de servicios.
Después de terminar: Para obtener más información acerca de la configuración de la delegación restringida para la cuenta de
Microsoft Active Directory con el fin de poder acceder a BlackBerry Administration Service, visite www.blackberry.com/btsc para
leer el artículo KB22717.

Activar la autenticación de registro único para BlackBerry Administration

Service
1. En BlackBerry® Administration Service, en el menú Servidores y componentes, expanda Topología de la solución
BlackBerry > BlackBerry Domain > Vista de componente.
2. Haga clic en BlackBerry Administration Service.
3. En la ficha Autenticación de Microsoft® Active Directory®, haga clic en Editar componente.
4. En la sección Dominio de inicio de sesión, en la lista desplegable Autenticación de registro único para BlackBerry
Administration Service activada, haga clic en Sí.
5. Para configurar la cuenta de Microsoft® Active Directory® para cada uno de los bosques, en la sección Nombre del bosque
de la cuenta, escriba el nombre de dominio del usuario, el nombre de usuario y la contraseña de la cuenta de Microsoft
Active Directory.
6. Haga clic en Guardar todo.
7. En los Servicios de Windows®, reinicie todos los servicios de BlackBerry® Enterprise Server.

11
Nota de seguridad Activar la autenticación de registro único para BlackBerry Administration Service

8. Indique a todos los administradores y usuarios de dispositivos BlackBerry® que agreguen las direcciones Web de BlackBerry
Administration Service y BlackBerry® Web Desktop Manager a la lista de sitios Web en la zona de la intranet local y que
instalen el certificado de BlackBerry Administration Service o BlackBerry Web Desktop Manager en el almacén de certificados
de sus ordenadores.

12
Nota de seguridad Resolución de problemas: registro único de BlackBerry Administration Service

Resolución de problemas: registro único de BlackBerry 5

Administration Service

Los usuarios pueden ver la página de inicio de sesión una vez que se ha
configurado el registro único de BlackBerry Administration Service
Trate de realizar las acciones siguientes:
• Compruebe que los administradores o los usuarios de BlackBerry® Web Desktop Manager utilizan la dirección Web correcta
de la consola de BlackBerry Administration Service o BlackBerry Web Desktop Manager.
• Compruebe que el explorador se ejecuta en un ordenador que forma parte del dominio de confianza de su empresa.
• Si el explorador se ejecuta en un dominio distinto al dominio en el que se ejecuta BlackBerry Administration Service,
compruebe que ha configurado el enrutamiento del sufijo de dominio entre los dominios. Si no ha configurado el
enrutamiento del sufijo de dominio, el explorador no podrá acceder al KDC que genera el vale de servicio para BlackBerry
Administration Service.
• Compruebe que el administrador o usuario ha configurado el explorador para que sea compatible con la autenticación
integrada de Windows®.
• Compruebe que el explorador no se ejecuta en el ordenador que aloja BlackBerry Administration Service. Si el explorador
se ejecuta en el ordenador que aloja BlackBerry Administration Service, el explorador no podrá recuperar el vale de servicio
para BlackBerry Administration Service.
• Compruebe que el administrador o usuario ha agregado las direcciones Web de la consola de BlackBerry Administration
Service y BlackBerry Web Desktop Manager a la lista de sitios de confianza de la intranet.

13
Nota de seguridad Recursos relacionados

Recursos relacionados 6
Puede utilizar los siguientes recursos relacionados para obtener más información sobre Kerberos™ y la delegación restringida:
• Autenticación Kerberos y solución de problemas de delegación
• Referencia técnica de la autenticación Kerberos
• Extensiones Kerberos de Windows Server® 2003
• Transición de protocolo Kerberos y delegación restringida
• Extensiones de protocolo Kerberos: Especificación de protocolo de servicio del usuario y delegación restringida
• Exploración de extensiones S4U Kerberos en Windows Server 2003
• IIS y Kerberos. Parte 2: Nombres principales de servicio
• IIS y Kerberos. Parte 3: Un ejemplo sencillo
• Seguridad de BlackBerry

14
Nota de seguridad Glosario

Glosario 7
API
Application Programming Interface (Interfaz de programación de aplicaciones)

GSSAPI
La Interfaz de programación de aplicaciones de servicios de seguridad genéricos(GSSAPI) es una API estándar de IETF que
permite a las aplicaciones acceder a servicios de seguridad (como, por ejemplo, Microsoft® Active Directory®). El protocolo
Kerberos™ es un tipo de GSSAPI.

HTTP
Protocolo de transferencia de hipertexto

HTTPS
Hypertext Transfer Protocol over Secure Sockets Layer (Protocolo de transferencia de hipertexto a través de un nivel de
socket seguro)

HTTP Negotiate
HTTP Negotiate es una extensión de autenticación que proporciona registro único a las aplicaciones Web compatibles con
la autenticación integrada de Windows®. HTTP Negotiate ha sido desarrollado por Microsoft.

IETF
Grupo de trabajo de Ingeniería de Internet

IIS
Internet Information Services

KDC
Un centro de distribución de claves (KDC) es un servidor que realiza la función de árbitro de confianza para el protocolo
Kerberos™. El KDC emite solicitudes de servicio y guarda una lista de las solicitudes que ha emitido. Los controladores de
dominio son KDC.

Protocolo Kerberos
El protocolo Kerberos™ es un protocolo de autenticación de Microsoft® Active Directory® que permite que una aplicación
de terceros de confianza pueda autenticar a los clientes intercambiando vales de servicio cifrados con Microsoft Active
Directory.

LDAP
Lightweight Directory Access Protocol (Protocolo ligero de acceso a directorios)

extensión S4U2proxy

15
Nota de seguridad Glosario

La extensión S4U2proxy (del inglés Service-for-User-to-Proxy) completa el proceso de delegación restringida. Permite que
un servicio habilitado para Kerberos™ recupere el vale de servicio de otro servicio habilitado para Kerberos desde el KDC
en nombre de un cliente.

solicitud de servicio
Una solicitud de servicio es una clave Kerberos™ que un cliente de un servicio habilitado para Kerberos puede utilizar para
iniciar una sesión de confianza con dicho servicio habilitado para Kerberos. El cliente del servicio habilitado para Kerberos
recupera la clave de servicio para dicho servicio habilitado para Kerberos desde el KDC.

SPN
Un nombre principal de servicio (SPN) es un atributo de un usuario o grupo de Microsoft® Active Directory® que admite la
autenticación mutua entre un cliente de un servicio habilitado para Kerberos® y dicho servicio habilitado para Kerberos.
Una cuenta de Microsoft Active Directory puede tener uno o más SPN.

SPNEGO
El Mecanismo de negociación GSSAPI simple y protegido (SPNEGO) es un pseudomecanismo de GSSAPI que negocia uno
o más mecanismos reales. Un cliente puede utilizar SPNEGO cuando debe autenticarse con un servicio remoto pero ni el
cliente ni el servicio conocen los protocolos de autenticación que admite el otro.

SSL
Secure Sockets Layer (Capa de sockets seguros)

TGS
El Servicio de concesión de vales (TGS) es un servicio de KDC que concede vales de servicio a los servicios habilitados para
Kerberos™ de la red de sus empresa.

TGT
El Vale de concesión de vales (TGT) es un vale de servicio que el cliente de un servicio habilitado para Kerberos™ envía al
TGS para solicitar el vale de servicio para dicho servicio Kerberos.

TLS
Transport Layer Security (Seguridad de capa de transporte)

16
Nota de seguridad Comentarios

Comentarios 8
Para ofrecer comentarios acerca de este documento, visite www.blackberry.com/docsfeedback.

17
Nota de seguridad Aviso legal

Aviso legal 9
©2010 Research In Motion Limited. Todos los derechos reservados. BlackBerry®, RIM®, Research In Motion®, SureType®,
SurePress™ y las marcas comerciales, nombres y logotipos relacionados son propiedad de Research In Motion Limited y están
registrados y/o se utilizan en EE.UU. y en diferentes países del mundo.
Google Chrome es una marca comercial de Google Inc. IBM y Lotus Notes son marcas comerciales de International Business
Machines Corporation. JavaScript es una marca registrada de Sun Microsystems, Inc. Kerberos es una marca comercial de
Massachusetts Institute of Technology. Mac y Safari son marcas comerciales de Apple Inc. Microsoft, Active Directory, ActiveX,
Internet Explorer, Windows, Windows Server y Windows Vista son marcas comerciales de Microsoft Corporation. Mozilla y Firefox
son marcas comerciales de Mozilla Foundation. Todas las demás marcas comerciales son propiedad de sus respectivos
propietarios.
Esta documentación, incluida cualquier documentación que se incorpore mediante referencia como documento proporcionado
o disponible en www.blackberry.com/go/docs, se proporciona o se pone a disposición "TAL CUAL" y "SEGÚN SU
DISPONIBILIDAD" sin ninguna condición, responsabilidad o garantía de ningún tipo por Research In Motion Limited y sus
empresas afiliadas ("RIM") y RIM no asume ninguna responsabilidad por los errores tipográficos, técnicos o cualquier otra
imprecisión, error u omisión contenidos en esta documentación. Con el fin de proteger la información confidencial y propia de
RIM, así como los secretos comerciales, la presente documentación describe algunos aspectos de la tecnología de RIM en líneas
generales. RIM se reserva el derecho a modificar periódicamente la información que contiene esta documentación, si bien tampoco
se compromete en modo alguno a proporcionar cambios, actualizaciones, ampliaciones o cualquier otro tipo de información que
se pueda agregar a esta documentación.
Esta documentación puede contener referencias a fuentes de información, hardware o software, productos o servicios, incluidos
componentes y contenido como, por ejemplo, el contenido protegido por copyright y/o sitios Web de terceros (conjuntamente,
los "Productos y servicios de terceros"). RIM no controla ni es responsable de ningún tipo de Productos y servicios de terceros,
incluido, sin restricciones, el contenido, la exactitud, el cumplimiento de copyright, la compatibilidad, el rendimiento, la honradez,
la legalidad, la decencia, los vínculos o cualquier otro aspecto de los Productos y servicios de terceros. La inclusión de una
referencia a los Productos y servicios de terceros en esta documentación no implica que RIM se haga responsable de dichos
Productos y servicios de terceros o de dichos terceros en modo alguno.
EXCEPTO EN LA MEDIDA EN QUE LO PROHÍBA ESPECÍFICAMENTE LA LEY DE SU JURISDICCIÓN, QUEDAN EXCLUIDAS POR
LA PRESENTE TODAS LAS CONDICIONES, APROBACIONES O GARANTÍAS DE CUALQUIER TIPO, EXPLÍCITAS O IMPLÍCITAS,
INCLUIDA, SIN NINGÚN TIPO DE LIMITACIÓN, CUALQUIER CONDICIÓN, APROBACIÓN, GARANTÍA, DECLARACIÓN DE
GARANTÍA DE DURABILIDAD, IDONEIDAD PARA UN FIN O USO DETERMINADO, COMERCIABILIDAD, CALIDAD COMERCIAL,
ESTADO DE NO INFRACCIÓN, CALIDAD SATISFACTORIA O TITULARIDAD, O QUE SE DERIVE DE UNA LEY O COSTUMBRE
O UN CURSO DE LAS NEGOCIACIONES O USO DEL COMERCIO, O RELACIONADO CON LA DOCUMENTACIÓN O SU USO
O RENDIMIENTO O NO RENDIMIENTO DE CUALQUIER SOFTWARE, HARDWARE, SERVICIO O CUALQUIER PRODUCTO O
SERVICIO DE TERCEROS MENCIONADOS AQUÍ. TAMBIÉN PODRÍA TENER OTROS DERECHOS QUE VARÍAN SEGÚN EL
ESTADO O PROVINCIA. ES POSIBLE QUE ALGUNAS JURISDICCIONES NO PERMITAN LA EXCLUSIÓN O LA LIMITACIÓN DE
GARANTÍAS IMPLÍCITAS Y CONDICIONES. EN LA MEDIDA EN QUE LO PERMITA LA LEY, CUALQUIER GARANTÍA IMPLÍCITA
O CONDICIONES EN RELACIÓN CON LA DOCUMENTACIÓN NO SE PUEDEN EXCLUIR TAL Y COMO SE HA EXPUESTO
ANTERIORMENTE, PERO PUEDEN SER LIMITADAS, Y POR LA PRESENTE ESTÁN LIMITADAS A NOVENTA (90) DÍAS DESDE
DE LA FECHA QUE ADQUIRIÓ LA DOCUMENTACIÓN O EL ELEMENTO QUE ES SUJETO DE LA RECLAMACIÓN.

18
Nota de seguridad Aviso legal

EN LA MEDIDA MÁXIMA EN QUE LO PERMITA LA LEY DE SU JURISDICCIÓN, EN NINGÚN CASO RIM ASUMIRÁ
RESPONSABILIDAD ALGUNA POR CUALQUIER TIPO DE DAÑOS RELACIONADOS CON ESTA DOCUMENTACIÓN O SU USO,
O RENDIMIENTO O NO RENDIMIENTO DE CUALQUIER SOFTWARE, HARDWARE, SERVICIO O PRODUCTOS Y SERVICIOS
DE TERCEROS AQUÍ MENCIONADOS INCLUIDOS SIN NINGÚN TIPO DE LIMITACIÓN CUALQUIERA DE LOS SIGUIENTES
DAÑOS: DIRECTOS, RESULTANTES, EJEMPLARES, INCIDENTALES, INDIRECTOS, ESPECIALES, PUNITIVOS O AGRAVADOS,
DAÑOS POR PÉRDIDA DE BENEFICIOS O INGRESOS, IMPOSIBILIDAD DE CONSEGUIR LOS AHORROS ESPERADOS,
INTERRUPCIÓN DE LA ACTIVIDAD COMERCIAL, PÉRDIDA DE INFORMACIÓN COMERCIAL, PÉRDIDA DE LA OPORTUNIDAD
DE NEGOCIO O CORRUPCIÓN O PÉRDIDA DE DATOS, IMPOSIBILIDAD DE TRANSMITIR O RECIBIR CUALQUIER DATO,
PROBLEMAS ASOCIADOS CON CUALQUIER APLICACIÓN QUE SE UTILICE JUNTO CON PRODUCTOS Y SERVICIOS DE RIM,
COSTES DEBIDOS AL TIEMPO DE INACTIVIDAD, PÉRDIDA DE USO DE LOS PRODUCTOS Y SERVICIOS DE RIM O PARTE DE
ÉL O DE CUALQUIER SERVICIO DE USO, COSTE DE SERVICIOS SUSTITUTIVOS, COSTES DE COBERTURA, INSTALACIONES
O SERVICIOS, COSTE DEL CAPITAL O CUALQUIER OTRA PÉRDIDA MONETARIA SIMILAR, TANTO SI DICHOS DAÑOS SE HAN
PREVISTO O NO, Y AUNQUE SE HAYA AVISADO A RIM DE LA POSIBILIDAD DE DICHOS DAÑOS.
EN LA MEDIDA MÁXIMA EN QUE LO PERMITA LA LEY DE SU JURISDICCIÓN, RIM NO TENDRÁ NINGÚN OTRO TIPO DE
OBLIGACIÓN O RESPONSABILIDAD CONTRACTUAL, EXTRACONTRACTUAL O CUALQUIER OTRA, INCLUIDA CUALQUIER
RESPONSABILIDAD POR NEGLIGENCIA O RESPONSABILIDAD ESTRICTA.
LAS LIMITACIONES, EXCLUSIONES Y DESCARGOS DE RESPONSABILIDAD SE APLICARÁN: (A) INDEPENDIENTEMENTE DE
LA NATURALEZA DE LA CAUSA DE LA ACCIÓN, DEMANDA O ACCIÓN SUYA, INCLUIDA PERO NO LIMITADA AL
INCUMPLIMIENTO DEL CONTRATO, NEGLIGENCIA, AGRAVIO, EXTRACONTRACTUAL, RESPONSABILIDAD ESTRICTA O
CUALQUIER OTRA TEORÍA DEL DERECHO Y DEBERÁN SOBREVIVIR A UNO O MÁS INCUMPLIMIENTOS ESENCIALES O AL
INCUMPLIMIENTO DEL PROPÓSITO ESENCIAL DE ESTE CONTRATO O CUALQUIER SOLUCIÓN CONTENIDA AQUÍ; Y (B) A
RIM Y A SUS EMPRESAS AFILIADAS, SUS SUCESORES, CESIONARIOS, AGENTES, PROVEEDORES (INCLUIDOS LOS
PROVEEDORES DE SERVICIOS DE USO), DISTRIBUIDORES AUTORIZADOS POR RIM (INCLUIDOS TAMBIÉN LOS
PROVEEDORES DE SERVICIOS DE USO) Y SUS RESPECTIVOS DIRECTORES, EMPLEADOS Y CONTRATISTAS
INDEPENDIENTES.
ADEMÁS DE LAS LIMITACIONES Y EXCLUSIONES MENCIONADAS ANTERIORMENTE, EN NINGÚN CASO NINGÚN
DIRECTOR, EMPLEADO, AGENTE, DISTRIBUIDOR, PROVEEDOR, CONTRATISTA INDEPENDIENTE DE RIM O CUALQUIER
AFILIADO DE RIM ASUMIRÁ NINGUNA RESPONSABILIDAD DERIVADA DE O RELACIONADA CON LA DOCUMENTACIÓN.
Antes de instalar, usar o suscribirse a cualquiera de los Productos y servicios de terceros, es su responsabilidad asegurarse de
que su proveedor de servicios de uso ofrezca compatibilidad con todas sus funciones. Puede que algunos proveedores de servicios
de uso no ofrezcan las funciones de exploración de Internet con una suscripción al servicio BlackBerry® Internet Service. Consulte
con su proveedor de servicios acerca de la disponibilidad, arreglos de itinerancia, planes de servicio y funciones. La instalación
o el uso de los Productos y servicios de terceros con productos y servicios de RIM puede precisar la obtención de una o más
patentes, marcas comerciales, derechos de autor u otras licencias para evitar que se vulneren o violen derechos de terceros.
Usted es el único responsable de determinar si desea utilizar Productos y servicios de terceros y si se necesita para ello cualquier
otra licencia de terceros. En caso de necesitarlas, usted es el único responsable de su adquisición. No instale o utilice Productos
y servicios de terceros hasta que se hayan adquirido todas las licencias necesarias. Cualquier tipo de Productos y servicios de
terceros que se proporcione con los productos y servicios de RIM se le facilita para su comodidad "TAL CUAL" sin ninguna
condición expresa e implícita, aprobación, garantía de cualquier tipo por RIM y RIM no sume ninguna responsabilidad en relación
con ello. El uso de los Productos y servicios de terceros se regirá y estará sujeto a la aceptación de los términos de licencias
independientes aplicables en este caso con terceros, excepto en los casos cubiertos expresamente por una licencia u otro acuerdo
con RIM.

19
Nota de seguridad Aviso legal

Algunas funciones mencionadas en esta documentación requieren una versión mínima del software de BlackBerry® Enterprise
Server, BlackBerry® Desktop Software y/o BlackBerry® Device Software.
Los términos de uso de cualquier producto o servicio de RIM se presentan en una licencia independiente o en otro acuerdo con
RIM que se aplica en este caso. NINGUNA PARTE DE LA PRESENTE DOCUMENTACIÓN ESTÁ PENSADA PARA PREVALECER
SOBRE CUALQUIER ACUERDO EXPRESO POR ESCRITO O GARANTÍA PROPORCIONADA POR RIM PARA PARTES DE
CUALQUIER PRODUCTO O SERVICIO DE RIM QUE NO SEA ESTA DOCUMENTACIÓN.
Algunas funciones mencionadas en esta documentación requieren desarrollo adicional o Productos y servicios de terceros para
acceder a aplicaciones empresariales.

Research In Motion Limited

295 Phillip Street
Waterloo, ON N2L 3W8
Canadá

Research In Motion UK Limited

Centrum House
36 Station Road
Egham, Surrey TW20 9LF
Reino Unido

Publicado en Canadá

20