powerbroker password safe - beyondtrust · cómo cambiar la contraseña de inicio de sesión 5...

PowerBroker Password Safe

Guía del usuario final

Versión 6.6: febrero de 2018

Información de revisión/actualización: Versión de

software de febrero de 2018: Número de revisión de

PowerBroker Password Safe 6.6: 0

SEDE CORPORATIVA

5090 N. 40th Street

Phoenix, AZ 85018

Teléfono: 1 818-575-4000

AVISO DE DERECHOS DE AUTOR Copyright © 2018 BeyondTrust Software, Inc. Todos los derechos reservados.

La información contenida en este documento está sujeta a cambios sin previo aviso.

No se puede fotocopiar, reproducir, ni copiar o traducir de ninguna manera a otro idioma ninguna parte de este

documento sin el consentimiento previo por escrito de BeyondTrust Software.

BeyondTrust Software no es responsable de ningún error que contenga el presente documento ni de daños

directos, indirectos, especiales, fortuitos o consecuentes, incluso la pérdida de ganancias o de datos, ya sea

basado en una garantía, contrato, perjuicio o cualquier otra teoría legal en relación con la distribución,

rendimiento o uso de este material.

Todas las marcas y nombres de productos que se usan en este documento son marcas comerciales, marcas

comerciales registradas o nombres comerciales de sus respectivos propietarios. BeyondTrust Software no está

asociado con ningún otro comerciante o producto mencionados en este documento.

Contenido


iii © 2018. BeyondTrust Software, Inc.

Contenido

Introducción 4

Convenciones de nombres de productos de BeyondTrust 4

Cómo comunicarse con Soporte técnico 4

Asistencia técnica de administración de cuentas con privilegios 4

Soporte técnico de administración de vulnerabilidades 4

Primeros pasos 5

Cómo iniciar sesión en la consola 5

Cómo seleccionar un idioma para mostrar 5

Cómo cambiar la contraseña de inicio de sesión 5

Cómo restablecer la contraseña 6

Cómo navegar por el portal web de Password Safe 7

Cómo leer la cuadrícula Cuentas 7

Cómo usar los enlaces rápidos 8

Proceso de emisión de contraseñas 9

Cómo solicitar una emisión de contraseña 9

Cómo recuperar una contraseña 10

Verificación multisistema 11

Cómo solicitar sesiones de SSH o RDP 12

Flujo de trabajo de una solicitud de sesión 12

Cómo solicitar una sesión remota 13

SSH Direct Connect 14

RDP Direct Connect 14

Como exigir la hora de finalización de la sesión 15

Cómo solicitar sesiones proxy remotas 16

Introducción


4 © 2018. BeyondTrust Software, Inc.

Introducción

PowerBroker Password Safe incluye una interfaz basada en web para ejecutar solicitudes y aprobaciones de

contraseñas. Puede iniciar el portal web de Password Safe al seleccionar Password Safe del menú en Password

Safe.

Un usuario de Password Safe tiene autorización de iniciar sesión en la aplicación Password Safe y realizar tareas.

Las tareas específicas que puede realizar un usuario están determinadas por los privilegios de usuario asignados

a ese usuario.

El administrador de Password Safe configura el portal web.

Convenciones de nombres de productos de BeyondTrust

En esta Guía de usuario, se usan las siguientes convenciones de nombres para los productos de BeyondTrust:

Cómo comunicarse con Soporte técnico

Para recibir soporte técnico, ingrese en el Portal del cliente y siga el enlace del producto para el que necesita recibir asistencia.

El Portal del cliente contiene información sobre cómo comunicarse con Soporte técnico por teléfono y por chat,

además de descargas de productos, instaladores de productos, administración de licencias, cuenta, últimas

versiones de productos, documentación de productos, difusiones web y demostraciones de productos.

Teléfono

Soporte técnico para administración de cuentas con privilegios

Dentro de los Estados Unidos continentales:

800.234.9072 Fuera de los Estados Unidos

continentales: 818.575.4040

Soporte técnico para administración de vulnerabilidades

Norteamérica/Sudamérica: 866.529.2201 | 949.333.1997

+ ingresar código de acceso

Todas las demás regiones:

Soporte técnico estándar: 949.333.1995


Soporte técnico para nivel Platinum: 949.333.1996


En línea

http://www.beyondtrust.com/Resources/Support/

PowerBroker Password Safe Password Safe

http://www.beyondtrust.com/Resources/Support/http://www.beyondtrust.com/Resources/Support/



Primeros pasos

Primeros pasos

Cómo iniciar sesión en Consola

El administrador de Password Safe configura las credenciales de inicio de sesión

para el portal web. Comuníquese con el administrador si tiene dudas respecto de

cuáles credenciales de inicio de sesión debe usar. Puede iniciar sesión en el portal

web usando uno de los siguientes tipos de autenticación:

• Active Directory: ingrese las credenciales de Active Directory. Seleccione un dominio de la lista y haga clic en Iniciar sesión.

• LDAP: ingrese las credenciales de LDAP. Seleccione un servidor LDAP de la lista y haga clic en Iniciar sesión.

• Radius: ingrese las credenciales de Password Safe. Una vez que haya ingresado correctamente las credenciales,

ingrese el código de Radius y haga clic en Iniciar sesión.

• Tarjeta inteligente: inicie sesión en el portal web de Password Safe, seleccione un certificado e ingrese el código NIP de la tarjeta inteligente.

• Tipos de autenticación de terceros que admiten SAML 2.0.

Nota: Podría haber un mensaje de pancarta previo al inicio de sesión configurado en el sistema. Debe hacer clic

en Aceptar antes de poder ingresar las credenciales.

Cómo seleccionar un idioma para mostrar

El portal web de Password Safe se puede mostrar en los siguientes idiomas:

Inglés, coreano, japonés, portugués y español.

Seleccione el idioma en el menú Configuración.

Nota: El menú Elección de idioma no se muestra de manera predeterminada. Si no se enumera ningún

idioma, comuníquese con el administrador de BeyondInsight.

Cómo cambiar la contraseña de inicio de sesión

Puede cambiar la contraseña de inicio de sesión de la consola.

No puede cambiar la contraseña en los siguientes casos:

• Si inicia sesión con credenciales de Active Directory o de LDAP.

• Si la cuenta se encuentra actualmente bloqueada.

Para cambiar la contraseña de inicio de sesión:

1. En la consola, seleccione el icono de Perfil y luego seleccione el enlace Cambiar contraseña.

2. Cambie su contraseña, luego haga clic en Cambiar contraseña.

La contraseña debe tener por lo menos 6 caracteres pero no más de 64 caracteres.



Primeros pasos

Cómo restablecer la contraseña

Si no recuerda la contraseña de la consola, haga clic en el enlace ¿Olvidó la contraseña? en la página de inicio de sesión.

Recibirá un correo electrónico del administrador de la consola. Se incluye un enlace de restablecimiento en este

correo electrónico. Haga clic en el enlace para cambiar la contraseña.

Nota: El restablecimiento de la contraseña de la consola no está disponible para usuarios que inician

sesión con credenciales de Active Directory o de LDAP.



Cómo navegar por el portal web de Password Safe


Para lograr una eficiencia óptima, se recomienda que la resolución de la pantalla del portal web de PowerBroker

Password Safe no sea inferior a 1280 x 800 píxeles.

Nota: Ningún recurso está rellenado cuando inicia sesión por primera vez en el portal web de Password Safe.

Haga clic en una pestaña para buscar en el portal web el sistema o la aplicación donde necesita acceso.

Cómo leer la cuadrícula Cuentas

Todas las columnas de la cuadrícula se pueden reorganizar haciendo clic en el título y arrastrándolo a la

ubicación deseada. Se muestra la siguiente información en la cuadrícula Cuentas:

• Favoritos: haga clic en la estrella para agregar las cuentas que más usa a la lista de Favoritos. Luego,

puede seleccionar el botón Favoritos para mostrar solamente las cuentas favoritas.

• Sistema: nombre del sistema.

• OneClick: columna de botones con rayo. Un botón OneClick en gris atenuado indica que la cuenta no se puede

acceder por medio de OneClick.

• Directorio: nombre del directorio, si corresponde.

• Cuenta: nombre de usuario de la cuenta. Se puede seleccionar el icono “i” para mostrar más información

sobre la cuenta.

• Descripción de la cuenta: descripción que se proporciona en la cuenta administrada cuando se configura la cuenta administrada.

• Estado: indica si la cuenta está disponible. El color verde indica que la cuenta se encuentra actualmente

disponible. El color rojo indica que la cuenta no está disponible.

• Plataforma: tipo de plataforma.

• Aplicación: la aplicación administrada por Password Safe, si corresponde.

• Grupo de trabajo: el grupo de trabajo al que está vinculada la cuenta, si corresponde.




El título de cada columna tiene su propio filtro de búsqueda. Seleccione Contiene, Comienza con, Es igual a o

No es igual a en el menú y luego ingrese una letra o palabra clave en el campo proporcionado.

Cómo usar enlaces rápidos

El portal web de Password Safe usa enlaces rápidos para navegar por las diferentes áreas de la

aplicación. Los enlaces que se muestran dependen de los roles asignados en Password Safe.



Proceso de emisión de contraseñas


La emisión de contraseñas para cuentas del sistema administrado que requieren doble control es un proceso de tres

pasos. Cada paso está a cargo de un usuario de Password Safe con uno de los siguientes roles: solicitante, aprobador,

solicitante/aprobador. El uso del doble control garantiza la seguridad de la contraseña de la cuenta del sistema,

establece responsabilidad y facilita el doble control de las cuentas administradas.

Existen tres etapas en el proceso de emisión de contraseñas:

• Solicitud de contraseña: un solicitante autorizado solicita una emisión de contraseña.

• Aprobación de la contraseña: un aprobador autorizado revisa y aprueba la solicitud de emisión.

• Recuperación de contraseña: el solicitante autorizado muestra la contraseña.

Cómo solicitar una emisión de contraseña

Para solicitar una contraseña, haga lo siguiente:

1. Inicie sesión en el portal web de Password Safe.

2. Haga clic en MENÚ para expandirlo y luego seleccione Cuentas.

3. Haga clic en la pestaña del tipo de sistema al que necesita acceso.

4. Seleccione el sistema de la lista.

5. En la página Solicitudes, establezca lo siguiente:

– Fecha de inicio: seleccione la fecha de inicio de la sesión que corresponde con la política de acceso.

– Hora de inicio: seleccione Inmediatamente para emitir la contraseña a la hora actual. De otra

manera, haga clic en el icono de programación para configurar el plazo de tiempo de la emisión.

Se puede programar una solicitud para el futuro. Por ejemplo, programe una emisión que corresponda con el

mantenimiento programado.

– Duración solicitada: establezca durante cuánto tiempo estará disponible la contraseña. El periodo de

tiempo comienza cuando se realiza la solicitud.

El valor predeterminado es de dos horas. La duración máxima predeterminada es de 6 días, 23 horas y

59 minutos. Los valores de configuración de la Duración de emisión predeterminada y de la Duración de

emisión máxima se definen en la cuenta administrada.

– Solicitud de acceso: seleccione el tipo de sesión. Puede ser: Contraseña, Sesión de RDP, SSH o Sesión de la aplicación.




– Motivo: ingrese el motivo de la solicitud. De manera predeterminada, el campo Motivo es

obligatorio pero se puede deshabilitar a través de las opciones de BeyondInsight. La longitud

máxima permitida es de 200 caracteres.

– Sistema de tickets: (opcional) seleccione un sistema de tickets e ingrese el número del ticket. Los

sistemas de tickets se pueden usar como referencia cruzada.

6. Haga clic en Enviar solicitud. Se enviará un correo electrónico al aprobador, si la notificación por correo electrónico está configurada.

Cómo recuperar una contraseña

Las contraseñas aprobadas para emisión (por parte del aprobador) se pueden mostrar en cualquier momento

(y con la frecuencia que sea necesaria) mientras dure la emisión.

Una vez aprobada la contraseña, se enviará una notificación por correo electrónico a

la cuenta de correo electrónico. Para recuperar la contraseña:

1. Haga clic en el enlace para ver una ventana con la fecha y hora en que se aprobó la emisión y los

comentarios incluidos por el aprobador.

2. Haga clic en Recuperar contraseña para mostrar la contraseña de la cuenta del sistema.

La contraseña se mostrará en una ventana separada durante 20 segundos máximo. El cuadro de diálogo se

puede cerrar antes de que se agote el tiempo de espera de 20 segundos.

3. Para copiar la contraseña en el portapapeles, presione Ctrl+A seguido de Ctrl+C.

4. Use la contraseña para iniciar sesión en el sistema dentro del plazo de tiempo de emisión de la contraseña.




Verificación multisistema

Los sistemas administrados se pueden vincular a una cuenta de Active Directory. Puede enviar una solicitud a esta

cuenta de Active Directory y luego acceder a los sistemas administrados vinculados a esa cuenta.

Nota: El administrador de Password Safe debe configurar los permisos correctos para que el sistema

administrado use esta función.

Para solicitar la verificación multisistema:



3. Seleccione el sistema administrado.

4. Seleccione los valores de configuración de la solicitud según se describe en la sección Cómo solicitar una emisión de contraseña.

5. Seleccione la casilla Verificación multisistema.

6. Haga clic en Enviar solicitud.



Cómo solicitar sesiones de SSH o RDP


Con el sistema de solicitud y aprobación de Password Safe, puede solicitar sesiones remotas que usan los

tipos de conexión SSH o RDP. Password Safe actúa como proxy al proporcionar administración de sesiones a

los sistemas de destino. No se transmiten las credenciales de contraseña compartidas. Esto permite una

administración de sesiones intrínsecamente segura.

Cuando lo configure el administrador de Password Safe, puede solicitar acceso a un sistema administrado con

una sesión remota.

Flujo de trabajo de una solicitud de sesión

El siguiente diagrama demuestra el flujo de trabajo para solicitar una sesión de RDP y solicitar un RDP por medio de Direct Connect.




Cómo solicitar una sesión remota

Para solicitar una sesión remota, haga lo siguiente:



3. Seleccione el sistema al que desea acceder.

4. Ingrese los siguientes detalles de la sesión:

– Fecha de inicio: ingrese una fecha de inicio que corresponde con la política de acceso. Se pueden realizar

solicitudes con anticipación para periodos de emisión futuros.

– Hora de inicio: hora en que se inicia la sesión.

– Duración de la solicitud: ingrese la duración de la sesión. El periodo de duración predeterminado es de

6 días, 23 horas y 45 minutos. La duración se configura en la cuenta administrada.

– Solicitud de acceso: seleccione la casilla del tipo de acceso requerido. En este caso, puede ser Sesión de RDP

o Sesión de SSH.

– Motivo: ingrese el motivo de la solicitud. De manera predeterminada, el campo Motivo es

obligatorio pero se puede deshabilitar a través de las opciones de BeyondInsight.

– Sistema del ticket y Número de ticket: seleccione la información del ticket si el sistema administrado

está asociado a un sistema de ticket.

5. Haga clic en Enviar solicitud.




SSH Direct Connect

SSH Direct Connect usa un cliente de SSH para iniciar una sesión en un sistema de destino.

Al usar Direct Connect, se omite el proceso de solicitud habitual a la cuenta administrada. Como solicitante,

puede acceder al sistema sin ni siquiera ver las credenciales de las cuentas administradas.

Nota: La información del solicitante, que incluye el Motivo y la Duración de la solicitud, se rellena

automáticamente con los valores de configuración predeterminados de Password Safe.

Para tener acceso al sistema administrado con SSH Direct Connect:



3. Busque el sistema al que desea acceder.

4. Haga clic en el icono con un rayo.

RDP Direct Connect

Puede usar Direct Connect para iniciar una sesión de RDP. Al usar Direct Connect, se omite el proceso de solicitud

habitual a la cuenta administrada. Como solicitante, puede acceder al sistema sin ni siquiera ver las credenciales de

las cuentas administradas.

Si al solicitante se le concede aprobación automática para sesiones de RDP, se mostrará un mensaje que

indicará La solicitud requiere aprobación. Si la solicitud no se aprueba en el lapso de 5 minutos, esta

conexión se cerrará. Después de 5 minutos, el cliente RDP se desconecta y puede enviar otra solicitud de

conexión. En cuanto se apruebe la solicitud, se conectará automáticamente.

Para usar RDP Direct Connect, debe descargar el archivo de RDP desde el portal web de Password Safe. Esta descarga

se realiza una sola vez. Para cada combinación de cuenta y sistema, debe descargar el archivo de RDP único asociado

con ella.

Para descargar el archivo de RDP:



3. Busque el sistema al que desea acceder.

4. Haga clic en la flecha de descarga que se muestra:




Al ejecutar el archivo, se establece una conexión con el sistema de destino. Luego, debe ingresar la contraseña

que usa para la autenticación en Password Safe.

Nota: RDP Direct Connect solo admite impulsar la autenticación de dos factores. No se admite una

respuesta a una pregunta de comprobación para el acceso.

Nota: Los usuarios de LDAP que usan el atributo de nombramiento de la cuenta de correo electrónico no pueden usar RDP Direct Connect.

Restricciones de contraseña

En sistemas Windows 2008 y Windows 7, las sesiones de RDP finalizarán si las contraseñas contienen más de

81 caracteres. Las siguientes son las limitaciones de la contraseña:

• Windows 2008 y Windows 7: cantidad máxima de caracteres permitidos para una contraseña es 81. Si una

contraseña supera los 81 caracteres, el usuario no puede iniciar sesión con la cuenta seleccionada.

• Windows 2012: cantidad máxima de caracteres permitidos para una contraseña es 127. Si una

contraseña supera los 127 caracteres, el usuario no puede iniciar sesión con la cuenta seleccionada.

Cómo exigir una hora de finalización de la sesión

Cuando se crea una política de acceso, se asigna un plazo de tiempo que permite el acceso al recurso. Como

parte de esa política, el administrador de Password Safe puede exigir el final de la sesión y cerrar la sesión

cuando se agote el tiempo.

En las sesiones, se muestra un contador de tiempo que indica cuándo finalizará la sesión.

Sesión de RDP:

Sesión de SSH:



Casos de uso

Cómo solicitar sesiones proxy remotas

En entornos más grandes, los recursos a los que accede podrían no estar en su región. Si el administrador de

Password Safe lo configuró, puede seleccionar un nodo que esté asociado con otra región.

Puede seleccionar un nodo cuando solicite los siguientes tipos de sesiones:

• Sesiones de Direct Connect

• Solicitudes de sesión de SSH

• Solicitudes de sesión de RDP

• Sesiones de administrador

Las siguientes capturas de pantalla muestran ejemplos del selector de nodos.

• Cuando use el inicio rápido para solicitar una sesión, haga clic en Abrir sesión de RDP y luego seleccione un nodo de la lista:

• Cuando solicite una sesión como “Solicitante”, haga clic en Abrir sesión de SSH y luego seleccione un nodo de la lista:

powerbroker password safe - beyondtrust · cómo cambiar la contraseña de inicio de sesión 5...

Documents