Habilitar autenticación en el servidor web
La autenticación en el servidor web de Password Reset se realiza a través de la Autenticación Integrada de Windows. Es necesario que el servicio sea identificado como un servidor de intranet para que esto funcione. Si no se utiliza la Autenticación Integrada de Windows, se le pedirá al usuario su nombre de usuario y contraseña, lo que utilizará "Autenticación Básica" y enviará la información del usuario a través de HTTP.
Habilitar la autenticación integrada en Internet Explorer
- Abra la Consola de Administración de Directivas de Grupo.
- Haga clic derecho en el nodo GPO y seleccione Editar.
- En el Editor de Administración de Directivas de Grupo, expanda Configuración del Equipo, Directivas, Plantillas Administrativas, Componentes de Windows, Internet Explorer, Panel de Control de Internet Explorer, y seleccione Página de Seguridad.
- En el panel de detalles, haga doble clic en Lista de Asignación de Sitios a Zonas.
- Haga clic en Habilitar.
- Haga clic en Mostrar….
- En el campo de texto Nombre del valor, agregue su URL.
- En el campo de texto Valor, use el valor “1” para entradas en la zona de confianza.
- En el cuadro de diálogo Mostrar Contenidos, haga clic en Aceptar.
- Haga clic en Aceptar para finalizar.
Habilitar la autenticación integrada en Firefox
Puede configurar Firefox para usar la Autenticación Integrada de Windows.
- Abra Firefox.
- En la barra de direcciones escriba about:config
- Recibirá una advertencia de seguridad. Para continuar, haga clic en Tendré cuidado, lo prometo.
- Necesitará cambiar las siguientes configuraciones:
| Configuración | Valor |
|---|---|
| network.automatic-ntlm-auth.trusted-uris | MySprServer.domain.com |
| network.automatic-ntlm-auth.allow-proxies | True |
| network.negotiate-auth.allow-proxies | True |
Habilitar la autenticación integrada en Chrome
Para habilitar que Chrome use la Autenticación Integrada de Windows, debe configurar Chrome.exe. Se recomienda que la mayoría de las organizaciones utilicen la alternativa de línea de comandos o modifiquen el registro en una o pocas computadoras. En otras organizaciones, como escuelas, donde un profesor debería poder restablecer las contraseñas de los estudiantes, podría ser mejor usar un GPO para la OU del profesor.
Usar la línea de comandos
Puede agregar un acceso directo de chrome.exe en el escritorio del usuario. Inicie Chrome con una línea de comandos que contenga lo siguiente:
--auth-server-whitelist="MYSPRSERVER.DOMAIN.COM"
--auth-negotiate-delegate-whitelist="MYSPRSERVER.DOMAIN.COM"
--auth-schemes="digest,ntlm,negotiate"
Modificar el registro
Configure las siguientes configuraciones del registro con los valores correspondientes:
| Registro | Valor |
|---|---|
| AuthSchemes | Tipo de dato: Cadena (REG_SZ) Ubicación del registro de Windows: Software\Policies\Google\Chrome\AuthSchemes Nombre de preferencia para Mac/Linux: AuthSchemes Compatible con:
Actualización Dinámica de Políticas: No, Por Perfil: No Descripción: Especifica qué esquemas de autenticación HTTP son compatibles con Google Chrome. Los valores posibles son ‘basic’, ‘digest’, ‘ntlm’ y ‘negotiate’. Separe múltiples valores con comas. Si esta política no se establece, se utilizarán los cuatro esquemas. Valor: “basic,digest,ntlm,negotiate” |
| Registro | Valor |
|---|---|
| AuthServerWhitelist | Tipo de dato: Cadena (REG_SZ) Ubicación del registro de Windows: Software\Policies\Google\Chrome\AuthServerWhitelist Nombre de preferencia para Mac/Linux: AuthServerWhitelist Compatible con:
Actualización Dinámica de Políticas: No, Por Perfil: No Descripción: Especifica qué servidores deben estar en la lista blanca para la autenticación integrada. La autenticación integrada solo se habilita cuando Google Chrome recibe un desafío de autenticación de un proxy o de un servidor que está en esta lista permitida. Separe múltiples nombres de servidor con comas. Se permiten comodines (*). Si deja esta política sin establecer, Chrome intentará detectar si un servidor está en la Intranet y solo entonces responderá a las solicitudes de IWA. Si un servidor se detecta como Internet, las solicitudes de IWA de él serán ignoradas por Chrome. Valor: “MYSPRSERVER.DOMAIN.COM” |
| Registro | Valor |
|---|---|
| AuthNegotiateDelegateWhitelist | Tipo de dato: Cadena (REG_SZ) Ubicación del registro de Windows: Software\Policies\Google\Chrome\AuthNegotiateDelegateWhitelist Nombre de preferencia para Mac/Linux: AuthNegotiateDelegateWhitelist Compatible con:
Actualización Dinámica de Políticas: No, Por Perfil: No Descripción:Servidores a los que Google Chrome puede delegar. Separe múltiples nombres de servidor con comas. Se permiten comodines (*). Si deja esta política sin establecer, Chrome no delegará credenciales de usuario incluso si un servidor se detecta como Intranet. Valor de ejemplo: “MYSPRSERVER.DOMAIN.COM” |
Configurar GPO
- Descargue Archivo Zip de plantillas ADM/ADMX y documentación de: chromium.org/administrators/policy-templates.
- Agregue la plantilla ADMX a su almacén central. Para más información, consulte la Guía de Administración de Specops Password Reset.
- Configure un GPO con el nombre de host dns del servidor Specops Password Reset con lista blanca de servidores de delegación Kerberos y lista blanca de servidores de autenticación.