Dell...Contenido — iii Contenido Prefacio

Febrero de 2008

Servidor IRMGuía del administrador

Versión 4.5.0

Copyright © 2008 EMC Corporation. Reservados todos los derechos.

El material de esta guía no puede, ya sea en su totalidad o parcialmente, ser fotocopiado, reproducido, traducido ni convertido a ningún formato electrónico o legible por máquina sin el consentimiento previo y por escrito de EMC Corporation.

La información de esta guía tiene un objetivo exclusivamente informativo y está sujeta a modificaciones sin previo aviso; asimismo, no constituye ningún compromiso para EMC Corporation. EMC no asume responsabilidad ni obligación alguna frente a posibles errores o a la falta de precisión que pudiera incluir esta guía.

Esta guía y el software descrito en la misma se proporcionan bajo la licencia que acompaña al software y pueden ser utilizados únicamente de conformidad con los términos de dicha licencia. La utilización de esta guía confirma que acepta los términos y condiciones de esa licencia.

EMC, y cualquier logotipo asociado, son marcas comerciales o marcas comerciales registradas de EMC Corporation en los Estados Unidos y otros países.

Adobe, Acrobat, Acrobat Reader y el logotipo de Acrobat son marcas comerciales registradas o marcas comerciales de Adobe Systems Incorporated.

BlackBerry es una marca comercial registrada de Research in Motion Limited.

Lotus Notes es una marca comercial registrada de IBM Corporation.

iPlanet Directory Server es una marca comercial de Sun Microsystems, Inc.

Microsoft, Outlook, PowerPoint y SQL Server son marcas comerciales registradas de Microsoft Corporation.

RSA y el logotipo RSA son marcas comerciales de RSA Security, Inc.

El resto de los nombres de productos mencionados en este documento pueden ser marcas comerciales o marcas comerciales registradas de sus respectivas empresas.

Contenido

Prefacio..................................................................................................................................................................................................... viiUtilización de la documentación y la ayuda...................................................................................................................................... viiConvenciones .................................................................................................................................................................................... viiEn esta guía ...................................................................................................................................................................................... viiiServicio técnico .................................................................................................................................................................................. ix

Capítulo 1, Introducción al servidor IRM ................................................................................................................................................ 11¿Qué es el servidor IRM?.................................................................................................................................................................. 11¿Por qué es importante la seguridad del contenido? ......................................................................................................................... 11Productos de IRM.............................................................................................................................................................................. 12Introducción a las funciones y los responsables de las mismas ........................................................................................................ 13Cómo protege el servidor IRM el contenido..................................................................................................................................... 13Selección de métodos de autenticación............................................................................................................................................. 14

Criptografía de clave pública ...................................................................................................................................................... 14Cómo se obtiene un certificado................................................................................................................................................... 15Cómo utiliza el servidor IRM los certificados ............................................................................................................................ 15

Introducción a la autorización ........................................................................................................................................................... 15Configuración de Autorización predeterminada ......................................................................................................................... 16Jerarquía de autorización ............................................................................................................................................................ 16Permisos ...................................................................................................................................................................................... 19

Permitir acceso como invitado............................................................................................................................................ 20Trabajar sin conexión.......................................................................................................................................................... 20

Supervisión mediante el registro ....................................................................................................................................................... 21Configuración del servidor IRM por primera vez............................................................................................................................. 21

Capítulo 2, Inicio de sesión y configuración de restricciones de inicio de sesión ................................................................................... 23Descripción general de cuenta de administrador............................................................................................................................... 23Inicio de sesión como administrador con derechos plenos ............................................................................................................... 23Descripción general de entidades de red y especificaciones de tiempo............................................................................................ 25

Creación de entidades de red ...................................................................................................................................................... 25Creación de especificaciones de tiempo ..................................................................................................................................... 27

Descripción general de restricciones de inicio de sesión .................................................................................................................. 27Adición de entidades de red y especificaciones de tiempo a las restricciones de inicio de sesión ................................................... 28

Capítulo 3, Adición de dominios de autenticación................................................................................................................................... 31Descripción general de dominios de autenticación ........................................................................................................................... 31Adición de un dominio de contraseña ............................................................................................................................................... 32Adición de un dominio de SecurID................................................................................................................................................... 33Adición de un dominio de certificado ............................................................................................................................................... 34Edición de dominio secreto compartido para gestionar contraseñas................................................................................................. 35Selección de un Dominio de autenticación de contraseña predeterminado ...................................................................................... 36

Capítulo 4, Utilización de LDAP con dominios de autenticación............................................................................................................ 37Descripción general de LDAP y dominios de autenticación............................................................................................................. 37Especificación de un servicio de directorio....................................................................................................................................... 38Configuración de propiedades de directorio ..................................................................................................................................... 40Creación de consultas de directorio .................................................................................................................................................. 42Creación de una consulta que agregue directorios LDAP conectados a una búsqueda .................................................................... 45

Contenido — iii

Configuración de la asignación de certificados................................................................................................................................. 46Creación de pares de valor/nombre de atributo................................................................................................................................. 47Configuración de filtros de búsqueda LDAP .................................................................................................................................... 48

Capítulo 5, Gestión de usuarios y grupos................................................................................................................................................. 49Descripción general de gestión de usuarios y grupos ....................................................................................................................... 49Creación o edición de cuentas de usuario secreto compartido.......................................................................................................... 49Desbloqueo de una cuenta de usuario secreto compartido................................................................................................................ 51Creación o edición de un grupo......................................................................................................................................................... 52

Adición o exclusión de miembros............................................................................................................................................... 53Grupos................................................................................................................................................................................. 54Dominios de contraseña o usuarios .................................................................................................................................... 54Dominios de SecurID o usuarios ........................................................................................................................................ 55Dominios de certificado o usuarios .................................................................................................................................... 56

Configuración de restricciones de inicio de sesión ..................................................................................................................... 58Configuración de permisos de contenido y derechos administrativos ........................................................................................ 60

Capítulo 6, Configuración de restricciones del servidor .......................................................................................................................... 63Descripción general de restricciones del servidor............................................................................................................................. 63Adición de autorización para grupos, dominios o usuarios .............................................................................................................. 63Configuración de permisos en restricciones del servidor.................................................................................................................. 66Configuración de duración de clave para el contenido caducado ..................................................................................................... 66Configuración de la fecha de caducidad de los mensajes de correo electrónico............................................................................... 67Control de la frecuencia de actualización del acceso sin conexión................................................................................................... 67Configuración del nivel de protección de PDF ................................................................................................................................. 68

Capítulo 7, Configuración de direcciones y usuarios de correo electrónico ............................................................................................ 69Descripción general de asignación de direcciones de correo electrónico de usuario........................................................................ 69Asignación de direcciones de correo electrónico conocido .............................................................................................................. 69Descripción general de configuración de direcciones de correo electrónico desconocidas.............................................................. 71

Envío de correo electrónico sólo a destinatarios asignados ........................................................................................................ 72Permiso de autenticación de certificado requiriendo una dirección de correo electrónico coincidente ..................................... 72Permiso de autenticación con grupo existente, dominio de autenticación o usuario .................................................................. 73Creación automática de una cuenta de usuario secreto compartido y asignación de dirección.................................................. 73Notificación al administrador para que asigne manualmente los destinatarios .......................................................................... 74

Configuración de reglas de dirección de correo electrónico no asignada ......................................................................................... 75Modificación de los mensajes de bienvenida predeterminados ........................................................................................................ 76

Capítulo 8, Configuración de directivas para documentos....................................................................................................................... 79Descripción general de configuración de directivas ......................................................................................................................... 79Configuración de directiva predeterminada ...................................................................................................................................... 80Creación de una plantilla de directiva de documento ....................................................................................................................... 81Definición de autorizaciones predeterminadas ................................................................................................................................. 82Adición de un elemento a una categoría ........................................................................................................................................... 82

Adición de grupos, dominios y usuarios ..................................................................................................................................... 83Adición de entidades de red y restricciones de tiempo............................................................................................................... 84

Definición de permisos...................................................................................................................................................................... 85

Capítulo 9, Gestión de directivas.............................................................................................................................................................. 87Descripción general de la gestión de directivas ................................................................................................................................ 87Búsqueda de mensajes de correo electrónico protegido.................................................................................................................... 88Búsqueda de documentos protegidos ................................................................................................................................................ 90Modificación de directivas de correo electrónico ............................................................................................................................. 92Modificación de directivas de documento o de página ..................................................................................................................... 93

iv — Contenido

Cambio del propietario del contenido ............................................................................................................................................... 95Eliminación de contenido.................................................................................................................................................................. 95

Capítulo 10, Trabajo con marcas de agua ................................................................................................................................................ 97Descripción general de marcas de agua ............................................................................................................................................ 97Componentes del archivo de marca de agua ..................................................................................................................................... 98

Variables de marcas de agua..................................................................................................................................................... 100Utilización de la variable de número de página ........................................................................................................................ 101

Secciones condicionales de la marca de agua ................................................................................................................................. 101Instrucciones de procesamiento previo ..................................................................................................................................... 101Anidamiento.............................................................................................................................................................................. 103Otras posibilidades de marca de agua ....................................................................................................................................... 104Sugerencias para utilizar las marcas de agua ............................................................................................................................ 104

Utilización de marcas de agua con caracteres chinos, japoneses y coreanos.................................................................................. 106Creación de un archivo de marca de agua....................................................................................................................................... 108Adición de una definición de marca de agua .................................................................................................................................. 108

Capítulo 11, Control y gestión del servidor IRM................................................................................................................................... 111Configuración y visualización del registro de actividades.............................................................................................................. 111Configuración de notificaciones...................................................................................................................................................... 113Administración de instalaciones automáticas de software cliente .................................................................................................. 115

Configuración de instalaciones automáticas en el servidor Web.............................................................................................. 116Cambio de la imagen predeterminada de acceso denegado ...................................................................................................... 117

Descripción general sobre complementos de confianza ................................................................................................................. 117Adición de complementos de confianza.......................................................................................................................................... 118

Capítulo 12, Configuración de una jerarquía de seguridad de muestra.................................................................................................. 119Definición de las necesidades de seguridad .................................................................................................................................... 119Creación de entidades de red y especificaciones de tiempo............................................................................................................ 120Configuración de restricciones de inicio de sesión ......................................................................................................................... 120Creación de derechos de grupo ....................................................................................................................................................... 121Configuración de restricciones de servidor ..................................................................................................................................... 124Creación de una plantilla de directiva de documento ..................................................................................................................... 126

Capítulo 13, Distribución de IRM Client for E-Mail e IRM Extranet Server........................................................................................ 127Planificación de una estrategia de distribución ............................................................................................................................... 127

Descripción general de la distribución de IRM Client for E-Mail............................................................................................ 128Descripción general de la distribución de IRM Extranet Server .............................................................................................. 128

Distribución de IRM Client for E-Mail en Acme Trust .................................................................................................................. 129Configuración de usuarios internos para que puedan proteger el correo electrónico ............................................................... 129Configuración de usuarios externos para que puedan abrir mensajes de correo electrónico protegidos.................................. 133

Distribución de IRM Extranet Server en la Agencia XYZ ............................................................................................................. 136Configuración de usuarios internos para que puedan abrir mensajes de correo electrónico protegidos................................... 136Configuración de usuarios externos para que puedan abrir mensajes de correo electrónico protegidos.................................. 140Configuración de IRM Extranet Server para proteger correo electrónico ................................................................................ 143

Capítulo 14, Configuración de IRM Client for RIM BlackBerry .......................................................................................................... 145Descripción general de IRM Client for RIM BlackBerry ............................................................................................................... 145

Cómo recibe un dispositivo BlackBerry un mensaje de correo electrónico protegido ............................................................. 145Componentes de servidor para IRM Client for RIM BlackBerry ................................................................................................... 146Configuración de componentes del servidor ................................................................................................................................... 147

Introducción en BES de la información sobre IRM BES Extension ........................................................................................ 147Introducción en MDS del certificado del servidor IRM ........................................................................................................... 148Introducción de la configuración del servidor IRM.................................................................................................................. 149

Contenido — v

Utilización de claves para los mensajes de correo electrónico protegidos ..................................................................................... 149Gestión de la información de usuario de RIM BlackBerry............................................................................................................. 149

Búsqueda y consulta de información sobre un usuario de BlackBerry..................................................................................... 150Adición de un usuario a la lista de RIM BlackBerry ................................................................................................................ 150Desactivación de una entrada del usuario ................................................................................................................................. 151Activación de una entrada de usuario ....................................................................................................................................... 151Eliminación de una entrada de usuario ..................................................................................................................................... 152Renovación de una clave........................................................................................................................................................... 152Restablecimiento de una clave .................................................................................................................................................. 153Anulación de los cambios ......................................................................................................................................................... 153

Configuración de las opciones de RIM BlackBerry........................................................................................................................ 154

Apéndice A, Utilidades e informes de mantenimiento del servidor IRM .............................................................................................. 157Gestión del servidor IRM................................................................................................................................................................ 157Visualización de la actividad con los informes de servidor IRM ................................................................................................... 158

Glosario .................................................................................................................................................................................................. 159

Índice alfabético ..................................................................................................................................................................................... 163

vi — Contenido

PrefacioBienvenido a la familia de productos de Administración de derechos de la información (IRM) en la que se incluyen el servidor IRM y varios clientes IRM. Juntos, proporcionan una completa solución para la seguridad de la información electrónica.

Esta guía está destinada a administradores de servidor IRM que configuran y mantienen el servidor IRM. En ella se incluye la configuración y la gestión de directivas. Se explican los conceptos de servidor IRM que los administradores deben comprender para poder realizar las funciones administrativas. A esto le siguen instrucciones paso a paso para tareas comunes de administración.

Esta guía asume que el usuario ha leído y seguido las indicaciones de la Guía de la Instalación de servidores IRM (para Windows o Solaris) para configurar su servidor IRM mediante la adición de un archivo de licencia, la adición de un certificado de servidor, el inicio del servidor IRM y la configuración la cuenta de administrador.

Para utilizar esta guía, debe disponer de un conocimiento práctico del sistema operativo y sus convenciones, del sistema de administración de Windows o UNIX y de la seguridad de la red y del sistema.

Utilización de la documentación y la ayudaEl servidor IRM se entrega con la siguiente documentación. Cada cliente de IRM incluye su propia documentación. Algunas están disponibles en archivo PDF que podrá consultar con Adobe® Acrobat® Reader®. Para Windows, a los archivos de la documentación se puede acceder desde el grupo de programas de EMC IRM. Para Solaris, los archivos se encuentran en el directorio donde se instaló el software del servidor IRM.

• La Guía de instalación del servidor IRM para Windows contiene los procedimientos de instalación y configuración del servidor IRM en una plataforma Windows.

• La Guía de instalación del servidor IRM para Solaris contiene las instrucciones de instalación y configuración del servidor IRM en Solaris.

• Las Notas de publicación del servidor IRM contienen notas técnicas y problemas conocidos de la versión actual del servidor IRM y IRM Server Administrator.

• La Ayuda de IRM Server Administrator contiene los procedimientos e información específica de los cuadros de diálogo que le ayudan a utilizar la aplicación IRM Server Administrator.

ConvencionesEn esta guía se utilizan las convenciones siguientes:

Ejemplo Descripción

File (Archivo) > Open (Abrir) Seleccione el menú File (Archivo) y luego la opción Open (Abrir).

caracteres en negrita Indica la primera aparición de los términos definidos en el texto. Indica también los términos incluidos en la interfaz de usuario.

caracteres en cursiva Indica valores variables.

caracteres de espacio sencillo

Indica pantallas del usuario y entradas realizadas por el usuario.

Prefacio — vii

En esta guíaEsta guía está organizada en los siguientes capítulos:

“Capítulo 1, Introducción al servidor IRM” empieza con una descripción del servidor IRM y luego pasa a describir el resto de los productos IRM. También ofrece los conceptos básicos que debe conocer el usuario para administrar el servidor IRM, incluyendo la autenticación y la autorización; asimismo, explica cómo se configura el servidor IRM por primera vez.

“Capítulo 2, Inicio de sesión y configuración de restricciones de inicio de sesión” proporciona una descripción general de la cuenta de administrador completa y explica cómo se crea una cuenta y cómo se inicia una sesión en el servidor IRM. A continuación, ofrece información sobre la creación de entidades de red y especificaciones de tiempo y cómo se agregan a las restricciones de inicio de sesión.

“Capítulo 3, Adición de dominios de autenticación” contiene información acerca de la adición de dominios de autenticación del servidor IRM. Describe cómo se agregan contraseñas, certificados y dominios de autenticación SecurID. También explica cómo editar un dominio de contraseña secreta compartida para administrar las contraseñas y cómo seleccionar un dominio de autenticación de contraseña predeterminado.

“Capítulo 4, Utilización de LDAP con dominios de autenticación” contiene información sobre cómo utilizar LDAP con dominios de autenticación del servidor IRM. Describe cómo se agregan dominios de Windows con capacidades LDAP, dominios de contraseña LDAP y dominios de certificado con capacidades LDAP. También explica cómo se crean expresiones de asignación personalizadas y cómo se establecen filtros LDAP.

“Capítulo 5, Gestión de usuarios y grupos” proporciona una descripción general de la administración de usuarios y grupos. Explica cómo se crean cuentas individuales de usuario secreto compartido almacenadas en el servidor IRM. A continuación explica cómo se ven, crean y agregan grupos y cómo se conceden los distintos tipos de autorización a un grupo.

“Capítulo 6, Configuración de restricciones del servidor” proporciona una descripción general de las restricciones del servidor. Explica cómo se agregan autorizaciones para grupos, para dominios de autenticación o para usuarios, cómo se establecen los permisos, cómo se determina una duración clave para el contenido caducado, y cómo se define la fecha de caducidad deseada para caducarán las directivas de correo electrónico.

“Capítulo 7, Configuración de direcciones y usuarios de correo electrónico” describe cómo se establecen y administran las direcciones de correo electrónico conocidas y desconocidas para destinatarios de mensajes de correo electrónico protegidos. Incluye los pasos para asignar las direcciones de correo electrónico, configurar reglas de dirección de correo electrónico sin asignar para administrar las direcciones desconocidas de correo electrónico, e incluye los pasos para modificar el mensaje de bienvenida que el servidor IRM puede enviar a los destinatarios desconocidos cuando reciben el primero mensaje de correo electrónico protegido.

“Capítulo 8, Configuración de directivas para documentos” describe las directivas que se aplican a documentos y protegidas con el servidor IRM. Esto incluye la directiva predeterminada, plantillas de directivas de documentos, las directivas correspondientes que crean las plantillas, y las directivas de páginas para documentos PDF.

“Capítulo 9, Gestión de directivas” describe cómo se gestionan las directivas y el acceso sin conexión a mensajes de correo electrónico protegidos, documentos y páginas Web. Incluye los procedimientos para acceder a las directivas de las directivas de contenido actuales y caducadas para que el usuario pueda revisar la información, realizar modificaciones o borrarlas de forma permanente.

“Capítulo 10, Trabajo con marcas de agua” proporciona una descripción general sobre las marcas de agua, describe cada parte del archivo de marca de agua, a continuación explica el proceso de creación y edición de un archivo de marca de agua.

“Capítulo 11, Control y gestión del servidor IRM” describe cómo se supervisa el servidor IRM mediante la configuración y consulta de las actividades del registro de actividad, y configurando notificaciones de las actividades del registro. A continuación, proporciona los pasos para gestionar el servidor IRM mediante la configuración de instalaciones automáticas de clientes y la adición de complementos de confianza.

viii — Prefacio

“Capítulo 12, Configuración de una jerarquía de seguridad de muestra” le guía por el proceso de creación de un ejemplo de jerarquía de seguridad para una organización. Ilustra la capacidad del servidor IRM para proporcionar a su organización varios niveles de seguridad sumamente manejables. El usuario puede utilizar las pautas indicadas en este capítulo para configurar la jerarquía de seguridad para su propia organización.

“Capítulo 13, Distribución de IRM Client for E-Mail e IRM Extranet Server” describe cómo implementar IRM Client for E-Mail e IRM Extranet Server. Le ayuda a diseñar una estrategia de implementación para cada aplicación o para las dos aplicaciones y luego le proporciona una descripción general de las tareas implícitas a la hora de implementar cada una de ellas. También presenta dos ejemplos de procedimientos de implementación. El usuario puede utilizar estos ejemplos de procedimiento como pautas para configurar la protección de correo electrónico en su propia organización.

Servicio técnicoSi necesita contactar con el servicio técnico, visite el sitio Web en la dirección:

http://software.emc.com/support/power_of_powerlink.htm

También tiene a su disposición los siguientes números de teléfono gratuitos para todo el mundo:

• Estados Unidos, Canadá y América Latina: 1-877-534-2867 (opción 2)

• Otras regiones: +800-3622-3622 (opción 2)

Prefacio — ix

http://software.emc.com/support/power_of_powerlink.htm

Capítulo 1Introducción al servidor IRM

Este capítulo le introduce al servidor de administración de derechos de la información (IRM). Comienza con una descripción del servidor IRM y a continuación describe otros productos que funcionan con el mismo. También ofrece una descripción general de los conceptos básicos que necesita comprender para poder administrar el servidor IRM, incluyendo la autenticación y la autorización; asimismo, explica cómo se configura el servidor IRM por primera vez.

¿Qué es el servidor IRM?El servidor IRM le ofrece la posibilidad de controlar el acceso y el uso de sus mensajes de correo electrónico y documentos. Admite los documentos en formato PDF (formato de documento portátil), archivos Web y de Microsoft Word, PowerPoint y Excel. Los documentos se protegen con varios clientes IRM, tal como IRM Client for Microsoft Office e IRM Client for Adobe Acrobat.

El sistema cliente-servidor utiliza cifrado de alta seguridad para proteger su contenido y garantizar su control mediante claves que se almacenan de forma segura en la base de datos del servidor IRM. Mediante la utilización de directivas, el usuario puede controlar quién podrá ver, imprimir o copiar el contenido protegido. El servidor IRM no almacena el contenido él mismo; en vez de eso, almacena las claves que permiten a los usuarios acceder al contenido protegido.

Las directivas también se utilizan las directivas para especificar las acciones que sólo pueden tener lugar desde una ubicación de red específica o para aplicar restricciones de tiempo a esas acciones. El usuario incluso puede recuperar contenido protegido, dejándolo inaccesible permanentemente allá donde resida. Todo esto se puede hacer antes o después de que los usuarios accedan al contenido protegido. Cuando los usuarios se conectan al servidor IRM para ver contenido protegido, deben demostrar su identidad a través del proceso de autenticación. A continuación, si las directivas permiten al usuario acceder al contenido, éste se abre.

¿Por qué es importante la seguridad del contenido?La práctica creciente en la utilización de los mensajes de correo electrónico y de varios tipos de documentos para comunicar información importante a través de redes de área local y de banda ancha, Intranets, e Internet aumentan las probabilidades de que usuarios no autorizados o a los que no va destinada la información descubran el contenido o interrumpan su transferencia. Si el contenido es de carácter confidencial, es importante garantizar su seguridad.

Históricamente, el intercambio de información ha carecido de una o más de las siguientes características de seguridad críticas:

• Autenticación, que garantiza que los equipos, usuarios o empresas que tienen acceso al contenido protegido son quienes realmente dicen ser

• Control de acceso, que requiere que los usuarios dispongan de los permisos apropiados para poder ver datos confidenciales

• Integridad del contenido, que garantiza que nadie haya modificado el contenido protegido

• Responsabilidad, que proporciona un seguimiento de auditoría para rastrear las transacciones electrónicas

• Recuperación, que deniega dinámicamente el acceso a los datos en cualquier momento

• Control persistente, que ofrece al usuario el control sobre el contenido durante y después de la entrega

La familia de productos IRM proporciona todas estas funciones para mayor seguridad y ofrece una flexibilidad importante a la hora de distribuir contenido protegido.

Introducción al servidor IRM — 11

Productos de IRMLa familia de productos IRM utiliza la Administración de derechos de la información (IRM), una tecnología exclusiva que permite a empresas e individuos compartir contenido digital sin tener que renunciar a los derechos que determinan qué va a pasar con ese contenido. Esta familia de productos consta de varias aplicaciones de cliente que forman parte de la solución IRM cliente-servidor. Estas aplicaciones cliente le permiten proteger el contenido mediante el servidor IRM.

El servidor IRM es un servidor seguro que aloja una base de datos en la que se almacenan las claves de cifrado necesarias para que los usuarios autorizados puedan acceder al contenido protegido. En esta base de datos también se almacenan las directivas que especifican quién puede acceder a la información y lo que puede hacer con ella.

Las diversas aplicaciones de IRM incluyen:

• IRM Server Administrator, una aplicación que permite a un administrador configurar y mantener las directivas. Estas directivas controlan el acceso al contenido protegido. El usuario puede conceder y limitar el acceso al contenido basándose en grupos o usuarios individuales, desde qué entidad de red acceden los usuarios, o cuándo acceden. También puede llevar el seguimiento de qué usuarios acceden a cada elemento protegido, cuándo acceden a él y qué acción realizan.

• IRM Client for Adobe Acrobat, un complemento de Adobe Acrobat y Reader que le permite proteger y ver documentos PDF protegidos. Cuando se protege un documento, se puede conceder y limitar el acceso a páginas específicas del documento.

• IRM Client for E-Mail le permite abrir y enviar mensajes de correo electrónico protegidos. Hay aplicaciones IRM Client for E-Mail distintas en función de si se trabaja con Notes® o Outlook®. IRM Client for E-Mail se integra con la aplicación de correo electrónico. Si utiliza una aplicación de correo electrónico diferente, o simplemente desea ver los mensajes de correo electrónico protegidos, utilice IRM Client for HTML.

• IRM Client for HTML, un complemento del explorador Web que le permite ver páginas Web o mensajes de correo electrónico protegidos. No obstante, este complemento no le permite proteger los mensajes de correo electrónico ni las páginas Web. Para proteger el contenido, tendrá que instalar el cliente IRM apropiado.

• IRM Client for Microsoft Office, un complemento de Microsoft Office que le permite proteger de forma segura, gestionar y ver documentos de Microsoft® Word, PowerPoint® o Excel®.

• IRM Extranet Server, un servicio que protege automáticamente los mensajes de correo electrónico, documentos o archivos Web mediante las reglas de la organización. Un administrador puede actualizar e implantar las reglas incluso después de que los usuarios reciban el mensaje.

• IRM Repository Server, una aplicación Web que distribuye y gestiona con seguridad los mensajes y archivos. Cuando se protege el contenido, el usuario elige el nivel de protección entre las opciones estándar o avanzado. La protección estándar protege el contenido durante el proceso de entrega. La protección avanzada garantiza una entrega segura y proporciona el control sobre el contenido después de la entrega.

• IRM Services for Documentum, una extensión de Documentum que proporciona una seguridad continua adicional para documentos gestionados desde un repositorio de Documentum.

Las aplicaciones cliente y los servicios deben acceder al servidor IRM antes de poder realizar algún procesamiento. Por tanto, la instalación de del servidor IRM es el primer paso para utilizar el sistema cliente-servidor.

12 — Introducción al servidor IRM

Introducción a las funciones y los responsables de las mismasDependiendo de la organización, es posible que el usuario desempeñe una o más funciones. A continuación encontrará una lista de los tipos de usuarios de la aplicación de cliente:

• Los lectores reciben y ven contenido protegido. En la mayoría de los casos, los lectores deben iniciar una sesión y estar autenticados con el servidor IRM a través de un cliente IRM para poder abrir el contenido protegido. Si el contenido es un mensaje de correo electrónico protegido, el usuario se denomina destinatario. Si el servidor IRM permite el acceso como invitado, los usuarios pueden abrir el contenido protegido sin iniciar sesión, pero los administradores podrán seguir llevando el seguimiento de ese contenido protegido, hacerlo caducar o revocar el acceso al mismo.

• Los propietarios pueden modificar y gestionar las directivas de contenido que les pertenecen. Un propietario original es el usuario que protegió por primera vez el contenido con el servidor IRM a través de uno de los clientes IRM. Remitente es otro término para el propietario original que protege los mensajes de correo electrónico. Los administradores del servidor IRM pueden cambiar al propietario del contenido protegido, si disponen de los derechos administrativos adecuados. El nuevo propietario controla entonces la directiva que se aplica al contenido.

Para obtener información sobre la creación o modificación de sus propias plantillas de directivas de documentos, consulte “Capítulo 8, Configuración de directivas para documentos”.

Además de los distintos usuarios de cliente, hay distintos tipos de administradores:

• Un administrador de servidor IRM utiliza la aplicación IRM Server Administrator para configurar y gestionar directivas. Su organización puede tener varios administradores de servidor IRM con distintos niveles de derechos administrativos. Por ejemplo, un administrador puede tener el derecho para definir las restricciones de inicio de sesión, restricciones de servidor y para agregar, modificar o eliminar usuarios e información. Un administrador con derechos administrativos plenos puede crear y modificar grupos de otros administradores.

Como parte del proceso de configuración de usuarios y grupos, el administrador debe decidir cómo va a ser la autenticación de los usuarios con el servidor. El administrador también puede supervisar la actividad a través del registro y configurar mecanismos automáticos de notificación. Si su organización utiliza IRM Client for E-Mail o IRM Extranet Server, quizá le interese asignar usuarios a IRM Client for E-Mail, configurar reglas de direcciones de correo electrónico sin asignar, o crear una cuenta de IRM Extranet Server. Asimismo, el administrador del servidor IRM es responsable de conectar y configurar otras opciones que permiten la recepción de mensajes de IRM Client for E-Mail en cada dispositivo BlackBerry conectado.

• Un administrador de Research in Motion BlackBerry® Enterprise Server (BES) instala la extensión IRM BES en el sistema BES. Además, el administrador de BES ejecuta la Utilidad de configuración de extensión IRM BES que suministra a ésta información sobre el servidor IRM: nombre, número de puerto y nombre de cuenta y contraseña del servidor IRM.

• Un administrador de IRM Extranet Server establece un servidor de correo electrónico con MAILsweeper for SMTP y lo configura para utilizar IRM Extranet Server. El administrador crea un escenario de IRM Extranet Server y lo aplica a carpetas que requieren protección para el correo electrónico. IRM Extranet Server protege automáticamente el correo electrónico en la carpeta de escenario a medida que pasa por el servidor de correo. Para obtener más información, consulte la Ayuda de IRM Extranet Server.

Cómo protege el servidor IRM el contenidoEl contenido protegido por el servidor IRM puede residir en cualquier ubicación. El servidor IRM no almacena el contenido. Cuando se protege contenido, el servidor IRM crea una clave aleatoria y envía una copia de esa clave al cliente. El cliente utiliza la copia de la clave para cifrar el contenido. El servidor retiene la clave original, pero el cliente destruye su copia una vez cifrado el contenido. Ahora, el usuario ya puede distribuir el contenido de la forma que desee. Cuando un usuario intenta ver el contenido cifrado, el servidor IRM determina si el usuario tiene permiso para verlo; si es así, el servidor envía la clave al cliente. El cliente utiliza la clave para descifrar y mostrar el contenido, y luego destruye la clave. El usuario nunca accede de forma directa a la clave y no puede guardar el contenido sin que esté cifrado. Esto significa que puede distribuir el contenido como desee, porque el servidor IRM protege el contenido mediante el control de las claves.


Selección de métodos de autenticaciónLos administradores del servidor IRM deciden el tipo de autenticación utilizada para conectar al servidor IRM, basándose en las necesidades de la organización y en el nivel de seguridad requerido para garantizar la protección del contenido. Se pueden utilizar distintos tipos de autenticación para los distintos usuarios o grupos de usuarios.

Cada tipo de método de autenticación, excepto el de contraseña secreta compartida, requiere la configuración de un dominio. Los métodos de autenticación mediante secreto compartido, LDAP y dominio de Windows aparecen juntos cuando se inicia una sesión en el servidor IRM y se denominan de forma colectiva Contraseña como tipo de método de autenticación.

Si decide autenticar usuarios mediante la opción secreto compartido, es decir, un nombre de usuario y contraseña exclusivos de ese usuario particular, tendrá que configurar una cuenta de usuario para cada usuario secreto compartido en el servidor IRM. El servidor almacena estas cuentas en la base de datos del servidor. Ahora ya puede agregar estos usuarios a un grupo o directiva y establecer sus derechos de autorización.

Si decide autenticar usuarios con las contraseñas de dominio de Windows, tendrá que establecer un dominio de autenticación en el servidor IRM. Este dominio de autenticación utiliza los nombres y contraseñas ya configurados en su dominio de Windows. Esto permite al servidor IRM autenticar usuarios utilizando directamente un servidor existente del dominio de Windows. Como parte de la adición del dominio de Windows, puede agregar funciones de autenticación LDAP y autorización al dominio. Quizá le interese hacer esto si su organización tiene usuarios que inician sesión en sus equipos con un dominio de Windows y contraseña, pero también tiene un servicio de directorio LDAP para definir usuarios y grupos. Para obtener más información sobre LDAP, consulte “Capítulo 4, Utilización de LDAP con dominios de autenticación”.

Si decide autenticar usuarios con contraseñas LDAP, tendrá que configurar un dominio de autenticación. Este método de autenticación utiliza los nombres de usuario y las contraseñas ya configurados en un servicio de directorio LDAP. Si precisa más información, consulte “Capítulo 4, Utilización de LDAP con dominios de autenticación”.

Un SecurID es una tarjeta (token) inicializado por un servidor SecurID (ACE) que contiene un número que cambia dinámicamente a intervalos específicos de tiempo. El servidor SecurID también le asigna un PIN. Cuando inicia una sesión en el servidor IRM, tiene que introducir su código de acceso. Este código es el código PIN seguido por el número que aparece en ese momento en la tarjeta SecurID, o bien el número que aparece en su tarjeta después de introducir el PIN en ella. El servidor IRM contacta con el servidor SecurID y utiliza el código de acceso para verificar la identidad del usuario y que éste tiene permiso para acceder al servidor IRM.

La autenticación del certificado aprovecha los certificados digitales y la criptografía de clave pública. Como parte de la adición del dominio de certificado, puede agregar funciones de autenticación LDAP y autorización al dominio. Quizá le interese hacer esto si su organización tiene usuarios que inician sesión en sus equipos con un certificado, pero también tiene un servicio de directorio LDAP para definir usuarios y grupos. Para obtener más información sobre LDAP, consulte “Capítulo 4, Utilización de LDAP con dominios de autenticación”. Las secciones siguientes describen varios aspectos de certificados para que pueda tomar una decisión informada acerca de cómo desea utilizar los certificados con los productos de IRM.

Criptografía de clave públicaSi decide autenticar usuarios con certificados, el servidor IRM utiliza la criptografía de clave pública para garantizar la identidad de los usuarios. La criptografía de clave pública se basa en un modelo de cifrado asimétrico. En un modelo asimétrico siempre hay dos claves. Cada usuario tiene una clave privada y una clave pública, es decir, un par de números con una relación especial. Si se cifra información con una de estas claves, sólo podrá descifrarla con la otra clave. Puede proporcionar su clave pública a quien desee, pero no debería distribuir nunca su clave privada.

Las claves pública y privada sirven para autenticar la identidad de un usuario. Por ejemplo, puede cifrar un número al azar o una frase con una clave pública de usuario, a continuación enviar a ese usuario el número o la frase cifrados. Si el usuario puede descifrarlo y enviárselo de vuelta, entonces sabrá que ese usuario debe ser quien dice ser, porque sólo ese usuario en cuestión tiene esa clave privada.


Cómo se obtiene un certificadoSi tiene pensado que los usuarios se conecten al servidor IRM mediante certificados, tiene que decidir cómo crear y distribuir esos certificados. Puede configurar su propio servidor de certificados y distribuir certificados a los usuarios, o bien los usuarios pueden obtener los certificados a través de una entidad emisora de certificados (CA) comercial. Una entidad emisora es una entidad de confianza que firma los certificados y puede confirmar la identidad del usuario. La Ayuda de IRM Client for E-Mail y la Ayuda de IRM Client for Adobe Acrobat explican cómo se obtiene un certificado de usuario. La Guía de instalación del servidor IRM describe el proceso para obtener un certificado de servidor.

Si decide utilizar una entidad emisora, puede escoger una entidad emisora pública, por ejemplo VeriSign (www.verisign.com), Thawte (www.thawte.com), o alguna otra entidad emisora pública. Puede instruir usuarios para ir al sitio Web de la entidad emisora para obtener un certificado.

Si desea controlar el proceso de certificación, puede convertirse en su propia entidad emisora. Para hacer esto, necesita instalar un servidor de certificados y emitir sus propios certificados. A continuación, ya puede configurar su servidor IRM con dominios de autenticación que sólo confían en esos certificados emitidos por su servidor de entidad emisora.

Cómo utiliza el servidor IRM los certificadosCuando se conecta a un servidor IRM para autenticar mediante un certificado, su sistema presenta al servidor el certificado que contiene su clave pública y su firma de la entidad emisora. El servidor IRM comprueba primero que la firma de su certificado es válida y considerada de confianza. Si es válida, el servidor IRM le autentica creando un mensaje aleatorio denominado Reto. El servidor utiliza entonces su clave pública para cifrar el reto y lo envía de vuelta ya cifrado a su cliente. Su cliente descifra el mensaje aleatorio cifrado con su clave privada y luego lo envía al servidor IRM. El servidor IRM hace una comprobación para asegurarse de que el reto descifrado que recibe coincide con el que le envió. Si es así, el usuario queda autenticado correctamente con el servidor.

Introducción a la autorizaciónLos administradores de servidores IRM controlan la autorización. Cuando intenta abrir contenido protegido, primero se realiza la autenticación con el servidor IRM. El servidor IRM comprueba su identidad y luego comprueba su autorización. Autorización es el proceso de determinar el conjunto de permisos de un usuario. El servidor IRM determina su autorización examinando las restricciones de inicio de sesión, derechos de usuarios y grupos, restricciones de servidor y directivas asociadas con el contenido al que se desea acceder.

Los usuarios con permiso para proteger el contenido controlan un nivel de la autorización. Pueden crear directivas de correo electrónico o plantillas de directivas de documentos y aplicarlas en el momento de la protección. Los usuarios que protegen el contenido, poseen ese contenido a menos que un administrador cambie al propietario. El propietario controla la autorización. Hay varios niveles de autorización:

• Las restricciones de inicio de sesión regulan todo el servidor IRM y determinan las direcciones de la red y los momentos en que los usuarios inician sesión en el servidor IRM.

• Los derechos de grupo incluyen la pertenencia a grupo, restricciones de inicio de sesión de grupo y permisos de contenido de grupos para usuarios que acceden al servidor IRM.

• Las restricciones del servidor regulan un servidor IRM completo y el acceso concedido a cada usuario y los permisos de todo el contenido. Las restricciones del servidor definen el límite superior de los permisos. Por ejemplo, si las restricciones del servidor deniegan la impresión, ningún grupo definido en ese servidor IRM podrá imprimir el contenido protegido.

• Las directivas de correo electrónico restringen el accesos a mensajes de correo electrónico protegidos específicos.

• Plantillas de directivas de documentos que los usuarios aplican a documentos protegidos durante el proceso de protección para restringir el acceso. Un administrador puede crear una plantilla de directiva de documento y ponerla a disposición de todos los usuarios que protegen documentos. Los usuarios pueden también definir sus propias plantillas de directiva de documento.


http://www.verisign.com/

http://www.thawte.com/

• Las directivas del documento restringen el acceso a documentos protegidos. Una directiva de documento es originalmente una copia de una plantilla de directiva de documento. Cuando el usuario aplica una plantilla de directiva de documento a un documento, éste pasa a ser la directiva de documento. La directiva de documento se aplica a un solo documento. Los propietarios pueden modificar las directivas de documentos en cualquier momento. Por ejemplo, un propietario puede desear eliminar usuarios o grupos de la lista de lectores autorizados.

• La directiva predeterminada es una plantilla de directiva de documento definida por el administrador del servidor IRM. Se utiliza con versiones anteriores de algunos clientes IRM para proteger documentos cuando el usuario no especifica ninguna plantilla de directiva de documento. La directiva predeterminada no puede ser seleccionada por los usuarios de los clientes IRM actuales.

Las secciones Authorizations (Autorizaciones) de los cuadros de diálogo Server Restrictions (Restricciones de servidor), Edit Document Policy (Editar directiva de documento), Policy Templates (Plantillas de directiva) y Default Policy (Directiva predeterminada) son prácticamente idénticas. El cuadro de lista Authorizations (Autorizaciones) muestra las categorías asociadas con la autorización. Las categorías son Users and Groups (Usuarios y grupos), Network Entities (Entidades de red) y Time Restrictions (Restricciones de tiempo). En el cuadro de diálogo Server Restrictions (Restricciones de servidor), sólo aparece la categoría Users and Groups (Usuarios y grupos). Puede ampliar cada categoría. Por ejemplo, si amplía Users and Groups (Usuarios y grupos), puede consultar todos los usuarios y grupos que una directiva autoriza.

Configuración de Autorización predeterminadaLa configuración de autorización predeterminada puede aplicarse a las categorías Usuarios y grupos y Entidades de red en cualquiera de las autorizaciones, excepto las restricciones de servidor. En las restricciones de servidor, sólo se puede agregar y eliminar usuarios y grupos.

Una categoría con el parámetro de autorización predeterminada allow all others (permitir a todos los demás) junto a ella, significa que, excepto los artículos indicados en la categoría como denegado (con una X roja en el icono), todos los usuarios y grupos o entidades de red tienen acceso a la información en este nivel de autorización. Una categoría con el parámetro de autorización predeterminada denegar a todos los demás junto a ella, significa que, excepto los artículos indicados en la categoría como denegado (con una X roja en el icono), todos los grupos o entidades de red no tienen acceso a la información en este nivel de autorización.

El servidor IRM evalúa usuarios, grupos y entidades de red en el orden de aparición. Por ejemplo, si desea que una directiva de documento permita a todos los miembros de un grupo excepto a uno en concreto, debe agregar a ese miembro individual y especificar Deny (Denegar). Luego agregue el grupo entero y especifique Allow (Permitir).

Jerarquía de autorizaciónCuando determina el permiso o la denegación del acceso, el servidor IRM comprueba una jerarquía de autorización, que regula los distintos niveles del acceso de servidor. La siguiente tabla muestra los distintos niveles de autorización en la jerarquía y que establece cada tipo:

El administrador del servidor IRM establece las restricciones de inicio de sesión, derechos de grupo, restricciones de servidor y la directiva predeterminada. El administrador o un usuario con permiso para proteger el contenido también pueden establecer directivas de documento. Los remitentes establecen la directiva de correo electrónico para los mensajes que envían. Los administradores de IRM Extranet Server establecen la directiva de correo electrónico para los mensajes de correo electrónico enviados a través de IRM Extranet Server.

Nivel Usuario

Restricciones de inicio de sesión Administrador

Derechos de grupo Administrador

Restricciones de servidor Administrador

Directiva de correo electrónico o de documento Remitente o propietario original

Directiva predeterminada (no utilizada con todos los clientes IRM) Administrador


Por ejemplo, lo siguiente sucede cuándo el usuario juan_perez intenta abrir un documento protegido:

1. El servidor IRM comprueba las restricciones de inicio de sesión para cerciorarse de que juan_perez puede iniciar sesión desde esta entidad de red en este momento. No hay restricciones para la entidad de red en la que se encuentra juan_perez o en el momento actual.

2. El servidor IRM comprueba si juan_perez es miembro de un grupo, a continuación comprueba las restricciones de inicio de sesión para cada uno de los grupos de juan_perez, se cerciora de que juan_perez puede acceder al servidor de esa entidad de red en este momento. Entonces comprueba los permisos de contenido para el grupo entero y cerciorarse de que juan_perez puede ver el contenido protegido. Si juan_perez pertenece a varios grupos y todos ellos permiten el acceso desde esta entidad de red en este momento, el servidor IRM combina los permisos encontrados en cada uno de estos grupos válidos. En este ejemplo, juan_perez pertenece a un grupo denominado Ventas, y ese grupo permite el acceso al servidor IRM desde la red en la que se encuentra juan_perez en ese momento. También permite que juan_perez vea el contenido.

3. El servidor IRM comprueba las restricciones de servidor para cerciorarse de que admite a juan_perez y esta acción. Las restricciones del servidor no contienen a juan_perez en la categoría Usuarios y grupos. En este nivel de la jerarquía, cuando las restricciones de servidor no permiten ni deniegan explícitamente el acceso a la categoría, el servidor IRM comprueba el nivel siguiente para tomar una decisión.

4. El servidor IRM comprueba la directiva de documento específica para cerciorarse de que permiten a juan_perez y esta acción. La directiva de documento contiene la autorización deny all others (denegar a todos los demás) junto a Usuarios y grupos, lo que significa que, de forma predeterminada, ningún grupo puede acceder al contenido protegido. Pero, el usuario que protegió el contenido agregó al grupo Ventas y concedió acceso a ese grupo. Por lo tanto, juan_perez puede acceder al servidor y ver el contenido protegido.

Este gráfico ilustra el proceso descrito en el ejemplo anterior sobre la consulta de un documento protegido:

Ninguno

Grupo Ventas2. Derechos de grupoJuan_perez es miembro del grupo Ventas, el cual tiene acceso al servidor IRM y derecho a ver el contenido protegido.

1. Restricciones de inicio de sesión

No hay restricciones en la entidad de red ni tiempo actual.

Ninguno3. Restricciones de servidorLa categoría Usuarios y grupos no permite ni deniega explícitamente el acceso a juan_perez.

4. Directiva de documentoLa directiva de documento rechaza a todos grupos, excepto a Ventas.

Usuarios y grupos (denegar a todos los demás)


Cuando juan_perez intenta abrir un mensaje de correo electrónico protegido, sucede lo siguiente:

1. El servidor IRM comprueba las restricciones de inicio de sesión para cerciorarse de que juan_perez puede iniciar sesión desde esta entidad de red en este momento. No hay restricciones para la entidad de red en la que se encuentra juan_perez o en el momento actual.

2. El servidor IRM comprueba si juan_perez es miembro de un grupo, a continuación comprueba las restricciones de inicio de sesión para cada uno de los grupos a los que pertenece juan_perez, se cerciora de que juan_perez puede acceder al servidor desde esa entidad de red en este momento. Entonces comprueba los permisos de contenido para el grupo y cerciorarse de que juan_perez puede ver el contenido protegido. Si juan_perez pertenece a varios grupos y todos ellos permiten el acceso desde esta entidad de red en este momento, el servidor IRM combina los permisos encontrados en cada uno de estos grupos válidos. En este ejemplo, juan_perez pertenece a un grupo denominado Ventas, y ese grupo tiene acceso al servidor IRM desde la red en la que se encuentra juan_perez en ese momento. También permite que juan_perez vea el contenido.

3. El servidor IRM comprueba las restricciones de servidor para cerciorarse de que admite a juan_perez y esta acción. Las restricciones del servidor no contienen a juan_perez en la categoría Usuarios y grupos. En este nivel de la jerarquía, cuando las restricciones de servidor no permiten ni deniegan explícitamente el acceso a la categoría, el servidor IRM comprueba el nivel siguiente para tomar una decisión.

4. El servidor IRM comprueba la directiva de correo electrónico para cerciorarse de que permiten a juan_perez y esta acción. La directiva de correo electrónico incluye a juan_perez porque el remitente incluyó a juan_perez como destinatario en el campo Enviar del mensaje. Esta directiva tiene una fecha válida anterior a la fecha actual y una fecha de caducidad posterior a la fecha actual. Por tanto, el mensaje se abre.

Este gráfico ilustra el proceso descrito en el ejemplo anterior sobre la consulta de un mensaje de correo electrónico protegido:

Ninguno

Grupo Ventas2. Derechos de grupoJuan_perez es miembro del grupo Ventas, el cual tiene acceso al servidor IRM y derecho a ver el contenido protegido.

1. Restricciones de inicio de sesión

No hay restricciones en la entidad de red ni tiempo actual.

Ninguno3. Restricciones de servidorLa categoría Usuarios y grupos no permite ni deniega el acceso a juan_perez.

4. Directiva de correo electrónico

El campo Enviar incluye a juan_perez, la fecha de validez y la fecha de caducidad permiten ver en la fecha actual.

Siempre permite al destinatario


PermisosLos permisos de directiva determinan lo que los usuarios pueden hacer con el contenido protegido. Los permisos siguientes aparecen en directivas en niveles diferentes de la jerarquía:

• View (Ver) permite a los usuarios ver el contenido protegido. Este permiso aparece en grupos. Para establecer este permiso en grupos, consulte “Capítulo 5, Gestión de usuarios y grupos”.

• Print (Imprimir) permite a los usuarios imprimir contenido protegido. Este permiso aparece en restricciones de servidor, grupos, directivas de correo electrónico, directiva predeterminada y directivas de documento. Para obtener información sobre cómo establecer este permiso en cada uno de estos niveles de la jerarquía, consulte “Capítulo 6, Configuración de restricciones del servidor”, “Capítulo 5, Gestión de usuarios y grupos”, “Capítulo 7, Configuración de direcciones y usuarios de correo electrónico” y “Capítulo 8, Configuración de directivas para documentos”.

• Select Text and Graphics (Seleccionar texto y gráficos) o Copy/Paste (Copiar/Pegar) permiten a los usuarios copiar contenido protegido. Este permiso aparece en restricciones de servidor, grupos, directivas de correo electrónico, directiva predeterminada y directivas de documento. Para obtener información sobre cómo establecer este permiso en cada nivel de la jerarquía, consulte “Capítulo 6, Configuración de restricciones del servidor”, “Capítulo 5, Gestión de usuarios y grupos”, “Capítulo 7, Configuración de direcciones y usuarios de correo electrónico” y “Capítulo 8, Configuración de directivas para documentos”.

• Edit (Editar) permite a los usuarios editar contenido protegido. Esto sólo se aplica a documentos de Microsoft Office. Este permiso aparece en restricciones de servidor, grupos, directiva predeterminada y directivas de documento. Para obtener información sobre cómo establecer este permiso en cada nivel de la jerarquía, consulte “Capítulo 6, Configuración de restricciones del servidor”, “Capítulo 5, Gestión de usuarios y grupos” y “Capítulo 8, Configuración de directivas para documentos”.

• Protect (Proteger) permite a los usuarios proteger el contenido. Este permiso aparece en grupos. Para obtener información sobre cómo establecer este permiso, consulte “Capítulo 5, Gestión de usuarios y grupos”.

• Guest Access (Acceso como invitado), cuando se selecciona en grupo, permite al usuario proteger el contenido con una directiva de correo electrónico o una plantilla de directiva de documento que permite el acceso como invitado. Si un usuario de ese grupo protege luego el contenido y selecciona el acceso como invitado en la directiva de correo electrónico o plantilla de directiva de documento, los lectores no tienen que realizar la autenticación con el servidor IRM para ver el contenido protegido. Para obtener información sobre cómo establecer este permiso, consulte “Permitir acceso como invitado” en la página 20.

• Delete Own (Eliminar propio) permite a los usuarios eliminar las claves al contenido que les pertenece y eliminarlo permanentemente del servidor IRM. Este permiso aparece en grupos. Los usuarios con derechos administrativos Delete Any Document (Eliminar cualquier documento) pueden eliminar las claves al contenido que no les pertenecen. Para obtener información sobre cómo establecer este permiso, consulte “Capítulo 5, Gestión de usuarios y grupos”.

• Expire (Caducar) permite a los usuarios hacer caducar el contenido. Cuando el contenido caduca se hace inaccesible, pero no elimina permanentemente las claves del servidor IRM a menos que establezca las restricciones de servidor para eliminar las claves después de la fecha de caducidad del contenido. Este permiso aparece en grupos. Si establece las restricciones de servidor para conservar las claves después de la fecha de caducidad del contenido, un usuario con derechos administrativos de gestión de lectura-escritura de documentos puede reactivar el contenido y hacerlo accesible otra vez. Para establecer este permiso, consulte “Capítulo 5, Gestión de usuarios y grupos”.

• Maximum Lease Duration or Offline Viewing (Duración máxima del contrato o Ver sin conexión) permite a los usuarios acceder al contenido protegido mientras no está conectado al servidor IRM. Si necesita más información, consulte “Trabajar sin conexión” en la página 20.

• Watermark (Marca de agua) permite a los usuarios especificar el texto que va a aparecer en un documento protegido regulado por la plantilla de directiva de documento cuando un usuario ve o imprime el documento. Si precisa más información, consulte “Capítulo 10, Trabajo con marcas de agua”.

Cuando el servidor IRM determina si un usuario puede acceder o no al contenido, comprueba la configuración de permisos en cada nivel de la jerarquía. Continúe en las secciones siguientes para comprender cómo se establece el permiso de cada nivel de la jerarquía.


Permitir acceso como invitado

Puede establecer el servidor IRM para que permita a los usuarios crear una directiva de correo electrónico o seleccionar una plantilla de directiva de documento que admita el acceso como invitado. Cuando un remitente permite el acceso como invitado, el lector con permiso para ver el contenido protegido puede verlo sin realizar la autenticación con el servidor IRM.

Con IRM Client for E-Mail, si se permite el acceso como invitado se elimina la necesidad de asignar las direcciones de correo electrónico de los destinatarios. Sin embargo, el acceso como invitado proporciona un nivel de seguridad más bajo. Para asignar direcciones de correo electrónico, consulte “Capítulo 7, Configuración de direcciones y usuarios de correo electrónico”.

Para establecer el permiso de Acceso como invitado en las directivas de correo electrónico, plantillas de directiva de documento o directiva predeterminada, debe establecer el permiso Acceso como invitado en las restricciones de servidor. Consulte “Configuración de permisos en restricciones del servidor” en la página 66. Para permitir a los usuarios establecer el permiso de acceso como invitado cuando protegen contenido, debe seleccionar el permiso Protect with Guest Access (Proteger con acceso como invitado) para uno de sus grupos en el servidor IRM, como se describe en “Creación o edición de un grupo” en la página 52. Para proteger los mensajes de correo electrónico con el acceso como invitado, consulte la Ayuda de IRM Client for E-Mail. Para proteger los documentos con acceso como invitado, consulte “Capítulo 8, Configuración de directivas para documentos”.

Trabajar sin conexión

Un propietario de documento puede conceder permiso de offline access (acceso sin conexión) para permitir a los usuarios acceder al contenido protegido cuando no pueden conectar al servidor IRM (por ejemplo, están de viaje o fuera de la oficina). El permiso de acceso sin conexión contiene información de directiva y claves de acceso que permiten a los usuarios acceder al contenido sin conexión. Esto garantiza que el contenido protegido tenga los mismos permisos establecidos para él tanto cuando está conectado como sin conexión.

Nota: Un usuario también puede acceder al contenido protegido mediante un dispositivo portátil Research in Motion BlackBerry sincronizado con la aplicación de correo electrónico del equipo de escritorio del usuario. Si necesita más información, consulte “Capítulo 14, Configuración de IRM Client for RIM BlackBerry”.

Como administrador del servidor IRM, quizá desee establecer el permiso Maximum Lease Duration (Offline Viewing) (Duración máxima de contrato (Ver sin conexión)) para los usuarios. También debe establecer este permiso en las restricciones de servidor y en, por lo menos, uno de los grupos de usuario, de lo contrario el servidor IRM no permitirá al usuario trabajar sin conexión. Después de establecer los permisos apropiados, los propietarios de documentos pueden establecer el permiso de acceso sin conexión al contenido protegido.

Nota: Cuando un propietario de contenido ha concedido acceso sin conexión, el cliente descarga las claves para ese contenido y conservarlas en un contenedor cifrado en el equipo de cliente. La revocación de acceso o el cambio de directivas no se aplican hasta que el cliente IRM vuelve a comprobar el permiso con el servidor IRM. Se trata de un modo menos seguro de funcionamiento y puede no ser apropiado para utilizarlo con contenido protegido de carácter confidencial.

Una vez que se concede a los usuarios permiso para trabajar sin conexión, inician una sesión en su aplicación cliente sin conexión para ver el contenido utilizando el mismo nombre de servidor IRM, cuenta y equipo que utilizaron antes de empezar a trabajar sin conexión. El servidor IRM protege el contenido con su contraseña de cuenta. Si los usuarios inician una sesión con una cuenta SecurID, no pueden ver el contenido protegido.

El acceso sin conexión dura un número específico de días, según lo haya determinado el administrador del servidor IRM y el propietario del documento.

El sistema IRM aplica la seguridad cuando los usuarios intentan realizar actividades no autorizadas. Por ejemplo, si los usuarios modifican el reloj de su sistema, ya no podrán acceder al contenido protegido y aparece una advertencia en el registro del servidor cuando vuelven a conectar. Dependiendo de lo que el usuario hace al contenido protegido, puede que aparezca una serie de mensajes de registro. El cliente IRM lleva el seguimiento de la actividad sin conexión, detecta tiempos y transfiere los mensajes de la actividad al archivo de registro cuando el usuario se conecta al servidor.


El usuario establece el número de días que desea que un usuario o grupo pueda acceder sin conexión en el campo Maximum Lease Duration (days) (Duración máxima de contrato (días)) en restricciones de servidor y grupos. Entonces, lo establece en la plantilla de directiva de documento o en la sección Offline Viewing (Ver sin conexión) en una directiva de correo electrónico. Cuando introduce el número de días, se activa la característica de trabajar sin conexión en ese nivel de la jerarquía de autorización. El servidor IRM comprueba cada nivel de la jerarquía para determinar si el usuario o el grupo pueden trabajar sin conexión en un determinado contenido protegido. Para obtener más información sobre la jerarquía, consulte “Jerarquía de autorización” en la página 16.

Para establecer o modificar las funciones sin conexión del campo Maximum Lease Duration (Offline Viewing) (Duración máxima de contrato (Ver sin conexión)), consulte las secciones siguientes:

• Para un usuario o grupo, consulte “Creación o edición de un grupo” en la página 52.

• Para el servidor IRM, consulte “Descripción general de restricciones del servidor” en la página 63.

• Para una directiva de correo electrónico, consulte “Modificación de directivas de correo electrónico” en la página 92.

• Para una directiva de documento, consulte “Modificación de directivas de documento o de página” en la página 93.

Si tiene que desactivar el permiso Maximum Lease Duration (Offline Viewing) (Duración máxima de contrato (Ver sin conexión)), lo podrá restablecer en el grupo, en restricciones de servidor, en correo electrónico, en directiva predeterminada o en directiva de documento. Sus cambios se aplican la próxima vez que un usuario intenta trabajar sin conexión.

Supervisión mediante el registroAdemás de controlar la autorización, los administradores del servidor IRM pueden supervisar toda actividad que tiene lugar en el servidor IRM a través de un registro global de actividades. Este registro le permite consultar las acciones de los usuarios que protegen el contenido e intentan ver el contenido protegido. También le permite llevar el seguimiento de las actividades del contenido protegido cuando un usuario accede a él sin conexión. Esto le permite acusar recibo del contenido protegido y analizar si se cumple la seguridad. Puede llevar el seguimiento de los intentos no autorizados y sin éxito de acceder al contenido protegido y configurar el servidor para que le notifique cuándo hay actividades no autorizadas en curso. Tiene la oportunidad de interceptar cualquier actividad no autorizada en el momento en que tiene lugar. El proceso de notificación define las acciones asociadas con las entradas de registro basándose en su gravedad. Por ejemplo, un correo electrónico podría notificarle de cada entrada de registro de nivel de emergencia. Esto le permite supervisar activamente cualquier actividad sospechosa en el servidor IRM, donde define lo que se considera como sospechoso.

Configuración del servidor IRM por primera vezUna vez que conoce los conceptos de gestión básicos del servidor IRM, debe establecer las autorizaciones para el servidor IRM. El resto de este manual le ofrece información detallada sobre cómo se hace esto. A continuación se indican los pasos generales que debe realizar para configurar un servidor IRM:

1. Configure las restricciones de inicio de sesión que se aplican a todos los usuarios que inician una sesión en el servidor IRM, tal como se explica en “Capítulo 2, Inicio de sesión y configuración de restricciones de inicio de sesión”.

2. Configure los dominios de autenticación que pretende utilizar como se explica en “Capítulo 3, Adición de dominios de autenticación” y “Capítulo 4, Utilización de LDAP con dominios de autenticación”.

3. Configure los derechos de grupo para otros administradores y distintos tipos de usuarios como se explica en “Capítulo 5, Gestión de usuarios y grupos”.

4. Configure las restricciones de servidor como se explica en “Capítulo 6, Configuración de restricciones del servidor”.

5. Configure la directiva predeterminada como se explica en “Capítulo 8, Configuración de directivas para documentos”.


Una vez que haya realizado estos pasos, puede optar a hacer lo siguiente:

• Configurar directivas de documento globales, directivas de documento y plantillas de directiva de documento como se explica en “Capítulo 8, Configuración de directivas para documentos”.

• Configurar usuarios y direcciones de correo electrónico, y ver, eliminar y modificar las directivas de correo electrónico como se explica en “Capítulo 7, Configuración de direcciones y usuarios de correo electrónico”. Para obtener información sobre las directivas de correo electrónico para IRM Client for E-Mail o IRM Extranet Server, consulte la ayuda en línea del cliente IRM en cuestión.

• Gestionar directivas y acceso sin conexión como se explica en “Capítulo 9, Gestión de directivas”.

• Configurar marcas de agua como se explica en “Capítulo 10, Trabajo con marcas de agua”.

• Configurar notificaciones y complementos de confianza, y gestiona el acceso sin conexión como se explica en “Capítulo 11, Control y gestión del servidor IRM”.


Capítulo 2Inicio de sesión y configuración de restricciones de

inicio de sesión

Este capítulo describe la cuenta de administrador completa y cómo se inicia una sesión y se crea una cuenta con la aplicación IRM Server Administrator. A continuación, proporciona información sobre cómo restringir el acceso en función de la hora y la ubicación.

Descripción general de cuenta de administradorUna cuenta de administrador con derechos administrativos plenos se creó durante la instalación del servidor IRM en la aplicación Server Configure. Consulte este procedimiento en la Guía de instalación del servidor IRM (Windows o Solaris). La cuenta de administrador con derechos administrativos plenos permite agregar otras cuentas de administrador y agregar grupos de administradores. Utiliza una contraseña secreta compartida como método de autenticación y tipo de cuenta.

Es recomienda utilizar esta cuenta sólo para iniciar una sesión en el servidor IRM por primera vez y configurar otras cuentas de administrador nuevas. Puede crear cuentas de administrador que utilizan otros métodos de autenticación, como la contraseña de Windows, la contraseña LDAP, SecurID o certificado. Para obtener información sobre la creación de cuentas adicionales, consulte la Ayuda en línea para su cliente IRM. Por razones de seguridad, luego debería eliminar la cuenta de administrador inicial.

Inicio de sesión como administrador con derechos plenosPara iniciar una sesión en IRM Server Administrator por primera vez:

1. Seleccione Inicio > Programas > EMC IRM > IRM Server Administrator > IRM Server Administrator. Aparecerá el cuadro de diálogo Inicio de sesión de cuenta:

2. Introduzca la dirección IP o el nombre DNS de su servidor IRM en el campo IRM Server. Para conectar al servidor IRM en un puerto distinto al puerto predeterminado 466, especifique el nombre del equipo servidor y el puerto utilizando la sintaxis siguiente:

<nombre_equipo_servidor>:< número de puerto>

3. Introduzca el nombre de usuario y contraseña del administrador. Esta cuenta se creó durante la instalación con la aplicación Server Configure.

4. Si no desea utilizar la configuración de proxy del explorador predeterminado para conectar al servidor IRM, haga clic en el botón Properties (Propiedades) y siga uno de los procedimientos siguientes:

• Seleccione Use the following proxy settings (Usar la siguiente configuración de proxy) e introduzca el nombre del servidor proxy y el número de puerto de proxy si desea conectar a través de un servidor proxy específico. IRM Server Administrator procede a iniciar una sesión a través del servidor proxy incluso si crea otra cuenta más tarde. Haga clic en Aceptar.

• Seleccione Do not use a proxy (connect directly to the server) (No utilizar un proxy (conectar directamente al servidor)) si no desea conectar a través de un proxy y haga clic en OK (Aceptar).

5. En el cuadro de diálogo Account Login (Inicio de sesión de cuenta), haga clic en OK (Aceptar). Si conecta a través de un proxy que requiere autenticación, introduzca su nombre de usuario y contraseña proxy en el cuadro de diálogo Introducir autenticación de proxy y haga clic en OK (Aceptar).

Inicio de sesión y configuración de restricciones de inicio de sesión — 23

6. En el cuadro de diálogo Accept Server Connection (Aceptar conexión al servidor), haga clic en Accept (Aceptar) para aceptar una conexión al servidor. La huella digital del certificado de servidor debe coincidir con la huella digital de este cuadro de diálogo. Se abrirá IRM Server Administrator.

24 — Inicio de sesión y configuración de restricciones de inicio de sesión

Descripción general de entidades de red y especificaciones de tiempoPuede permitir o denegar conexiones al servidor IRM desde determinadas entidades de red y puede permitir conexiones al servidor IRM sólo durante ciertos días de la semana y ciertas horas del día. Para hacer esto, necesita crear las entidades de red y las especificaciones de hora del servidor IRM. A continuación, las puede agregar a las restricciones de inicio de sesión, grupos o plantillas de directiva de documento.

Una entidad de red es una dirección IP, una subred o un dominio desde el que los usuarios conectan al servidor IRM. Un host representa un solo equipo de una red. Una entidad de subred define una red entera o una subred de una red. Una entidad de dominio está registrada dentro de la comunidad del Internet y generalmente termina en .com, .edu, .gov, .org o en un código de país. Una especificación de hora es un bloque de tiempo; por ejemplo, de lunes a viernes desde las 9:00 de la mañana a las 5:00 de la tarde.

Como administrador, debe tener derechos de gestión de directivas de lectura-escritura para crear las entidades de red globales y las especificaciones de tiempo que están disponibles a todos usuarios para agregar a sus directivas de documento. Si inicia sus sesiones utilizando la cuenta de administrador completa, tiene este nivel de acceso.

Cuando crea una entidad de red en el servidor IRM, define un host, subred o dominio que conecta al servidor IRM. Una vez que haya creado una entidad de red, la puede agregar a una directiva y permitir o denegar la autorización a usuarios de la entidad. Por ejemplo, para permitir el acceso a contenido protegido sólo a usuarios que conectan al servidor IRM desde abc.com, cree una entidad de red para abc.com, cree una plantilla de la directiva de documento que permita el acceso sólo desde esa entidad de red, y entonces aplique la plantilla al documento que desea proteger.

Cuando se crea una especificación de tiempo en el servidor IRM, se define un bloque de tiempo. Una vez que ha creado una especificación de tiempo, la puede agregar a una directiva para especificar cuándo podrán los usuarios acceder al contenido protegido. Por ejemplo, para permitir que los usuarios conecten al servidor IRM sólo en días laborables durante horas de oficina, cree una especificación de tiempo que se extienda de lunes a viernes y de 9 de la mañana a 5 de la tarde, cree una plantilla de directiva de documento y agregue esa especificación de tiempo, luego aplique la plantilla al documento que desea proteger.

Creación de entidades de redPara crear una entidad de red:

1. En la barra de menús Administrador, seleccione Policy (Directiva) > Network Entities (Entidades de red). El cuadro de diálogo Network Entities (Entidades de red) aparece con una lista de las entidades existentes, si las hay.

2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Add Network Entity (Agregar entidad de red).

3. Introduzca un nombre para la nueva entidad de red en el campo Name (Nombre). Puede elegir cualquier nombre.

4. Introduzca la descripción de la entidad de red en el campo Description (Descripción).


5. Seleccione una de las opciones siguientes en la sección Type (Tipo):

• Host para un equipo conectado a una red.

• Subnet (Subred) para una parte de la dirección de la red.

• Domain (Dominio) para una red asociada con una organización, por ejemplo abc.com.

Nota: Si desea crear una entidad de red que especifica todas las entidades, seleccione Subnet (Subred) en la sección Type (Tipo) e introduzca 0.0.0.0 en los campos Address (Dirección) y Mask (Máscara).

6. En función de la selección especificada en Type (Tipo), introduzca una de las siguientes opciones en el campo Address (Dirección):

• Host address (Dirección host): dirección IP del equipo en formato de cuatro puntos, o el nombre DNS completamente cualificado del equipo.

• Subnet address (Dirección de subred): dirección IP de la subred en formato de cuatro puntos.

• Domain name (Nombre de dominio): nombre de dominio registrado asociado con una organización; por ejemplo, abc.com.

7. Si agrega una entidad de subred, introduzca la máscara de subred en formato de cuatro puntos en el campo Mask (Máscara). Si es necesario, consulte a su administrador de red cuál es el valor que debe introducir en este campo.

8. Seleccione Global si desea que esta entidad de red esté disponible para todos los usuarios configurando restricciones de inicio de sesión, grupos y plantillas de directiva de documento.

9. Haga clic en Aceptar.

10. Haga clic en Save (Guardar).

11. Haga clic en Save (Guardar) y cierre el cuadro de diálogo cuando haya terminado.

Para agregar otra entidad de red o editar una entidad de red existente, utilice los botones Add (Agregar) o Edit (Editar). Si elimina una entidad de red y desea cancelar el proceso, seleccione la fila que marcó para eliminar y hacer clic en Revert (Revertir) para restaurar los últimos cambios guardados. Si elimina una entidad de red después de haberla agregado a una directiva, un cuadro de diálogo le notifica que el servidor IRM eliminará la entidad de red de la directiva.

Las entidades de red que creó están ahora disponibles en listas desplegables cuando agrega o modifica las restricciones de inicio de sesión y directivas de documento. más información, consulte “Adición de entidades de red y especificaciones de tiempo a las restricciones de inicio de sesión” en la página 28, “Capítulo 5, Gestión de usuarios y grupos” o “Capítulo 8, Configuración de directivas para documentos”.


Creación de especificaciones de tiempoPara crear una especificación de tiempo:

1. En la barra de menús Administrador, seleccione Policy (Directiva) > Time Specifications (Especificaciones de tiempo).

2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Add Time Specification (Agregar especificación de tiempo).

3. Introduzca un nombre para su especificación de tiempo en el campo Name (Nombre).

4. Seleccione los días y horas en que los usuarios podrán ver el contenido protegido. Por ejemplo, seleccione lunes a viernes y de las 9 de la mañana a las 5:00 de la tarde. para que los usuarios vean el documento sólo durante las horas de oficina.

5. Seleccione Global si desea que esta especificación de tiempo esté disponible para todos los usuarios configurando directivas para restricciones de inicio de sesión, grupos y documentos.



Para agregar o editar una especificación de tiempo, utilice los botones Add (Agregar) o Edit (Editar). Si elimina una especificación de tiempo y desea cancelar el proceso, seleccione la fila que marcó para eliminar y haga clic en Revert (Revertir) antes de hacer clic en Save (Guardar). Si elimina una especificación de tiempo que ha sido agregada a una directiva, un cuadro de diálogo le notifica que el servidor IRM eliminará la especificación de tiempo de la directiva.

Las especificaciones de tiempo que creó están ahora disponibles en listas desplegables cuando agrega o modifica las restricciones de inicio de sesión y directivas de documento. más información, consulte “Adición de entidades de red y especificaciones de tiempo a las restricciones de inicio de sesión” en la página 28, “Capítulo 5, Gestión de usuarios y grupos” o “Capítulo 8, Configuración de directivas para documentos”.

Descripción general de restricciones de inicio de sesiónLas restricciones de inicio de sesión tienen el control cuándo, y desde donde, pueden conectar los usuarios al servidor IRM. El servidor IRM implanta cualquier red y horas especificadas en las restricciones de inicio de sesión para cada usuario que accede al servidor. Por ejemplo, si las restricciones de inicio de sesión especifican que sólo una entidad de red (empresa.com) puede tener acceso al servidor en días laborables, sólo los usuarios que conectan desde los equipos de la red empresa.com en días laborables pueden acceder al contenido protegido. Si una red tiene una hora definida para permitir o denegar el acceso, el servidor IRM implanta ese tiempo para cada usuario que accede a ese servidor a través de esa red. Incluso si algún otro tipo de directiva indica específicamente que los usuarios pueden acceder al contenido desde una red determinada en un momento concreto, si las restricciones de inicio de sesión en el servidor no lo permiten, los usuarios no podrán conectar y abrir el contenido protegido.


Adición de entidades de red y especificaciones de tiempo a las restricciones de inicio de sesión

Usted puede utilizar las entidades de red y las especificaciones de tiempo creados en la última sección para permitir o denegar entidades y tiempos para todas las conexiones al servidor IRM a través de las restricciones de inicio de sesión. Debe tener derechos administrativos de gestión de directiva de lectura-escritura para acceder y modificar las restricciones de inicio de sesión. Si inicia sus sesiones utilizando la cuenta de administrador completa, tiene este nivel de acceso. Para agregar entidades de red y especificaciones de tiempo a las restricciones de inicio de sesión:

1. Seleccione Policy (Directiva) > Login Restrictions (Restricciones de inicio de sesión). Aparecerá el cuadro de diálogo Login Restrictions (Restricciones de inicio de sesión):

Un asterisco (*) bajo Network (Red) y Time (Tiempo) indica todas las entidades de red o todos los tiempos. Una marca bajo Login (Inicio de sesión) indica que el servidor IRM permite el acceso. De forma predeterminada, todas las entidades de red y especificaciones de tiempo pueden conectar al servidor IRM. Puede dejar la fila predeterminada o eliminar esta fila y agregar sus propias restricciones de inicio de sesión.

Si agrega una o más entidades de red, los usuarios sólo pueden acceder al servidor IRM desde esas entidades de red. Esto deniega a los usuarios el acceso al servidor desde cualquier otra entidad de red.

Nota: Si deja vacío el cuadro de diálogo Login Restrictions (Restricciones de inicio de sesión), ninguna aplicación cliente, excepto IRM Server Administrator, podrá conectar al servidor IRM.

2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Add Login Rule (Agregar regla de inicio de sesión).

3. Seleccione el artículo que desee agregar de la lista desplegable Network Entity (Entidad de red). Esta lista sólo contiene las entidades de red globales en el servidor IRM. Para seleccionar todas las entidades de red disponibles, seleccione el asterisco [*]. El texto que describe la entidad de red seleccionada aparece bajo el campo.

4. Seleccione una especificación de tiempo en la lista desplegable Time Specification (Especificación de tiempo). Esta lista sólo contiene las especificaciones de tiempo globales en el servidor IRM. Para seleccionar todas las especificaciones de tiempo disponibles, seleccione el asterisco [*]. El texto que describe la entidad de red seleccionada aparece bajo el campo.

5. Seleccione Allow (Permitir) o Deny (Denegar) en función de si desea o no que los usuarios o grupos que conectan desde esa entidad de red o en ese momento puedan iniciar una sesión en el servidor IRM.

6. Haga clic en Aceptar. Aparecerá el cuadro de diálogo Login Restrictions (Restricciones de inicio de sesión) con cualquier modificación que haya realizado en él.


7. El servidor IRM evalúa las restricciones de inicio de sesión en la orden de listado. Para cambiar el orden, utilice los botones Up (Arriba) o Down (Abajo). Por ejemplo, para permitir que todos los usuarios puedan acceder desde la red de la empresa en todo momento, pero denegar siempre el acceso desde un ordenador host específica de la empresa, agregue la entidad de red host primero y seleccione Deny (Denegar). A continuación, agregue la red de dominio Miempresa.com y seleccione Allow (Permitir) como se muestra en el cuadro de diálogo siguiente. Si no lo hace así, los usuarios podrán conectar desde ese host. Para denegar el acceso desde un host en el dominio de la empresa, las restricciones de inicio de sesión deben tener este orden:


Para eliminar su configuración y conservar la última configuración guardada, haga clic en Revert (Revertir) antes de hacer clic en Save (Guardar). Para eliminar una entidad de red o especificación de tiempo, seleccione la fila y haga clic en Delete (Eliminar). Si desea cancelar el proceso de eliminación, seleccione la fila que marcó para ser eliminada y haga clic en Revert (Revertir). Para revisar la información de una regla de inicio de sesión, seleccione una fila y haga clic en Info (Información).


Capítulo 3Adición de dominios de autenticación

Este capítulo contiene información acerca de la adición de dominios de autenticación del servidor IRM, incluyendo cómo agregar dominios de autenticación de contraseña, certificado y SecurID. También explica cómo editar un dominio de contraseña secreta compartida para administrar las contraseñas y cómo seleccionar un dominio de autenticación de contraseña predeterminado.

Descripción general de dominios de autenticaciónTodos los usuarios, excepto los que se conectan mediante el acceso como invitado, forman parte de un dominio de autenticación del servidor IRM. Esto permite a los usuarios realizar la autenticación con el servidor IRM. Los dominios de autenticación basados en el método de autenticación que desea que utilicen para conectar al servidor. El servidor IRM admite los siguientes métodos de autenticación:

• Contraseña

• Certificado

• SecurID

Si desea establecer la autenticación de contraseña, el servidor IRM admite los tipos siguientes de autenticación de contraseña. El tipo que selecciona depende de cómo su organización almacena y permite el acceso a la información.

• Secreto compartido

• Windows

• Protocolo ligero de acceso a directorios (LDAP)

El servidor IRM crea automáticamente un dominio secreto compartido (\\pvserver) para almacenar todos los usuarios con contraseña secreta compartida. El servidor IRM sólo permite este dominio de usuarios con contraseña secreta compartida. El dominio secreto compartido contiene también la cuenta de administrador pleno que se utilizó para iniciar sesión al servidor IRM por primera vez.

Si el único método de autenticación que desea utilizar es secreto compartido, utilice el dominio \\pvserver. No necesita crear dominios de autenticación adicionales. Puede crear cuentas de usuario individuales en este dominio de autenticación que conectan directamente a las cuentas de usuario en aplicaciones cliente de IRM.

Si desea que algunos usuarios autentiquen con el servidor IRM mediante una contraseña secreta compartida y que otros usuarios realicen la autenticación con un método de autenticación distinto, debe crear un dominio de autenticación para el método adicional con los procedimientos indicados en este capítulo o en el capítulo siguiente, a continuación cree cuentas individuales para los usuarios de contraseña secreta compartida en el dominio secreto compartido. Para obtener información sobre cómo se crean cuentas de usuario, consulte “Capítulo 5, Gestión de usuarios y grupos”.

Si decide autenticar usuarios de contraseña con la información de un dominio existente, por ejemplo el dominio de Windows o el servicio de directorio LDAP, tendrá que agregar un dominio de autenticación de contraseña al servidor IRM. Este dominio de contraseña corresponde a su dominio de Windows o al servicio de directorio LDAP.

También puede agregar un dominio de certificado o SecurID al servidor IRM. Un dominio de SecurID le permite especificar un servidor SecurID y utilizar la información del servidor para autenticar a los usuarios. Un dominio de certificado le permite especificar la entidad emisora de confianza para un grupo de usuarios que autentican con certificados y establecen una cadena de confianza.

Adición de dominios de autenticación — 31

Nota: Si los usuarios de un dominio de autenticación protegen el contenido o crean entidades de red y especificaciones de tiempo entonces se elimina ese dominio de autenticación, el servidor IRM elimina estas entidades de red y especificaciones de tiempo pero le pedirá que cambie al propietario de las directivas de correo electrónico o de documento a un administrador o que las elimine.

Para agregar cada tipo de dominio, consulte la sección correspondiente en este capítulo.

Adición de un dominio de contraseñaUn dominio de contraseña puede ser el dominio de usuarios secretos compartidos almacenados en su base de datos de servidor IRM, en un dominio existente de Windows, o en un servicio de directorio LDAP. El dominio de usuarios de contraseña secreta compartida aparece automáticamente bajo la categoría de contraseña como un dominio llamado \\pvserver Para ver este dominio, seleccione Users (Usuarios) > Authentication Domains (Dominios de autenticación) y amplíe la categoría Password (Contraseña). El dominio secreto compartido siempre aparece como el primer dominio de contraseña en la lista, seguido por dominios de Windows, dominios de Windows con funciones LDAP y dominios de contraseña LDAP. Si desea crear varios dominios del mismo tipo, aparecerán por orden alfabético.

Cuando se agrega un dominio de Windows a un servidor IRM, el equipo que contiene el servidor IRM debe ser un miembro del dominio Windows de su organización o un miembro de un dominio que confía en su dominio. Si agrega un dominio de Windows al servidor IRM instalado en un equipo Solaris, el servidor de Solaris no necesita ser miembro de su dominio.

Si agrega un servicio de directorio LDAP, debe instalar su servidor IRM en un equipo que pueda acceder al servicio de directorio y su servicio de directorio LDAP admite la versión 3.0 del protocolo LDAP. Para obtener información sobre LDAP y cómo agregar dominios de contraseña LDAP, consulte “Capítulo 4, Utilización de LDAP con dominios de autenticación”.

Cuando agrega un dominio de autenticación de Windows, su organización debe tener usuarios configurados en un dominio de Windows. Esto permite a los usuarios iniciar una sesión en el servidor IRM con el nombre de usuario y la contraseña que utilizan para iniciar una sesión en su equipo.

Para agregar un dominio de Windows:

1. Seleccione Users (Usuarios) > Authentication Domains (Dominios de autenticación). Aparecerá el siguiente cuadro de diálogo:

2. Haga clic en Password (Contraseña) y luego en Add (Agregar). Aparecerá el cuadro de diálogo Add Password Domain (Agregar dominio de contraseña).

32 — Adición de dominios de autenticación

3. Introduzca un nombre de dominio de autenticación de servidor IRM en el campo Domain Name (Nombre de dominio). Puede elegir cualquier nombre. Sin embargo, si está trabajando en un equipo Windows, debe utilizar el mismo nombre que va a introducir en el campo Windows Domain (Dominio de Windows). Esto garantiza que la denominación de usuarios y grupos es coherente con las convenciones de nomenclatura de Windows.

Nota: El nombre de dominio distingue entre mayúsculas y minúsculas. Los usuarios que inician sesión y especifican el dominio deben introducir las mayúsculas y minúsculas correctamente.

4. Seleccione Windows Domain (Dominio de Windows) en la lista desplegable Authentication Type (Tipo de autenticación).

Nota: Si el servidor IRM está configurado para utilizar los IRM Services for Documentum, la lista contiene también el Extension domain (dominio Extensión). Sólo seleccione este tipo si va a crear un dominio para autenticar usuarios de Documentum junto con IRM Services for Documentum.

5. Si utiliza un equipo Windows, introduzca el nombre del dominio de Windows en el campo Windows Domain (Dominio de Windows). Si utiliza un equipo Solaris, introduzca el nombre del controlador de dominio.

6. Seleccione Use Single Sign-on (Utilizar inicio de sesión único) si desea que los usuarios de este dominio inicien sesión automáticamente en las aplicaciones cliente de IRM sin introducir ningún nombre de usuario ni contraseña de servidor IRM. Si ya han iniciado una sesión en el dominio de Windows a través de su sistema operativo, el servidor IRM utiliza el nombre de usuario y contraseña del dominio de Windows para iniciar la sesión en el servidor IRM.

NOTA: los usuarios que no estén en el grupo de Windows que traten de iniciar sesión con SSO, no podrán hacerlo y no verán un mensaje de error.

7. Si no desea utilizar LDAP para la autenticación ni la autorización a través de directivas de servidor IRM con su dominio de Windows, haga clic en OK (Aceptar) y luego en Save (Guardar).

Si desea autenticar a los usuarios con este dominio de Windows, pero también usar LDAP para la autenticación y la autorización a través de grupos y directivas de servidor IRM, consulte “Capítulo 4, Utilización de LDAP con dominios de autenticación”. Para obtener información sobre cómo agregar un dominio de Windows con funciones LDAP.

Adición de un dominio de SecurIDSi agrega un dominio de SecurID al servidor IRM, primero debe instalar y configurar al cliente ACE en su equipo servidor IRM. El servidor IRM es un cliente para el servidor ACE. Para obtener las instrucciones de instalación, consulte la documentación que acompaña al servidor ACE. IRM Server Administrator sólo le permite configurar un dominio de SecurID. Si los usuarios autentican al servidor IRM con SecurID, no podrán utilizar las funciones de trabajo sin conexión de su aplicación cliente de IRM. Una vez que ha creado un dominio de SecurID, no lo podrá editar.

Nota: Si ha instalado el servidor IRM en Solaris, y configura un dominio de SecurID con un servidor de SecurID remoto, los usuarios pueden recibir el mensaje de error “user not authenticated” (usuario no autenticado) cuando autentican con el servidor IRM. Para resolver este problema, asegúrese de que el archivo correcto de configuración de SecurID está en la ubicación /var/ace/sdconf.rec. Si no sabe dónde se encuentra el archivo sdconf.rec, consulte a su administrador de servidor ACE. Además, utilice las herramientas de administración para configurar su servidor ACE e indicar que su servidor IRM Solaris aún no tiene el nodo secreto.

Para agregar un dominio de SecurID:

1. Seleccione Users (Usuarios) > Authentication Domains (Dominios de autenticación).

2. Seleccione SecurID y haga clic en Add (Agregar). Aparecerá el cuadro de diálogo Add SecurID Domain (Agregar dominio de SecurID):


3. Introduzca cualquier nombre que desee para identificar el dominio en el campo Domain Name (Nombre de dominio).


4. Haga clic en Aceptar. El dominio aparece en el cuadro de diálogo Authentication Domains (Dominios de autenticación).


Adición de un dominio de certificadoCuando se agrega un dominio de certificado al servidor IRM, se importa el certificado de la entidad emisora de certificados. Todos los usuarios que inician una sesión en el servidor con un certificado firmado por esta entidad emisora de certificados pueden realizar la autenticación con el servidor IRM. Si un usuario inicia una sesión con un certificado que contiene una cadena de confianza (firmado por varias entidades emisoras), debe agregar un dominio de autenticación para cada entidad emisora de la cadena, de lo contrario, la autenticación falla.

Para agregar un dominio de certificado:


2. Seleccione Certificate (Certificado) y haga clic en Add (Agregar). Aparecerá el cuadro de diálogo Add Certificate Domain (Agregar dominio de certificado):

3. Introduzca un nombre para el dominio en el campo Domain Name (Nombre de dominio).


4. Haga clic en Import CA (Importar entidad emisora) y seleccione From File (Desde archivo) para acceder a la ubicación donde se encuentra el certificado de la entidad emisora. Haga clic en Open (Abrir) para importar el certificado. Haga clic en Import (Importar) y seleccione From Clipboard (Desde Portapapeles) y luego haga clic en Paste (Pegar) y OK (Aceptar) si anteriormente copió el certificado de la entidad emisora al portapapeles y ahora desea importarlo al servidor IRM. Si desea ver el certificado, haga clic en View PEM (Ver PEM).

5. Introduzca una dirección URL en el campo CRL URL, si desea agregar una Lista de revocación de certificados (CRL) en este cuadro de diálogo. Esto le permite utilizar una dirección URL para apuntar a su entidad emisora de certificados y acceder a la lista oficial de usuarios con certificados revocados. La primera vez que un usuario en este dominio de autenticación inicia una sesión en el servidor IRM, el servidor IRM recupera la CRL y comprueba que el usuario no está


en la lista. El servidor IRM utiliza esta lista para comprobar que cada usuario que inicia una sesión desde este dominio de autenticación no está en la lista. Comprueba esta lista cada vez que un usuario inicia una sesión. La CRL tiene un campo Next Update (Siguiente actualización) que contiene la cantidad de tiempo hasta la actualización. El servidor IRM utiliza esta cantidad de tiempo de determinar cuándo recupera la CRL actualizada. Si no puede recuperar la CRL, utilice la CRL anterior y aparecerá un mensaje en el registro. Una vez transcurrido el tiempo indicado en el campo Next Update (Siguiente actualización), cualquier usuario que inicie una sesión en el servidor IRM que también se encuentre en este dominio de autenticación hace que el servidor IRM recupere la nueva CRL. Si la CRL no dispone de un campo Next Update (Siguiente actualización), el servidor IRM trata de recuperar una CRL actualizada cada vez que un usuario de este dominio de autenticación inicia una sesión.

Por ejemplo, puede introducir una dirección URL LDAP:

ldap://ldap.yourcompany.com/cn=YourCompany CA,o=YourCompany,c=US?crl

La primera parte de la dirección URL, ldap.yourcompany.com, es la dirección del servidor LDAP. La parte siguiente, cn=YourCompany CA,o=YourCompany,c=US, es el nombre distintivo de la entrada LDAP. Esto dice al servidor IRM cómo encontrar el registro en la base de datos LDAP. La crl después de la interrogación ? es un nombre de atributo. Sólo puede utilizar un nombre de atributo que corresponda a su CRL.

Puede introducir también la dirección URL de un archivo. El formato de la dirección URL del archivo es archivo:// seguido por un nombre de archivo, por ejemplo:

archivo://\\server\share\crl.der

6. Introduzca el nombre de usuario y la contraseña para la dirección URL.

7. Si no desea utilizar LDAP para la autenticación ni la autorización a través de directivas y grupos del servidor IRM con su dominio de certificado, haga clic en OK (Aceptar) y luego en Save (Guardar) Aparecerá el cuadro de diálogo Authentication Domains (Dominios de autenticación) y habrá completado este procedimiento.

Si desea autenticar a los usuarios con este dominio de certificado, pero también usar LDAP para la autenticación y la autorización a través de grupos y directivas de servidor IRM, consulte “Capítulo 4, Utilización de LDAP con dominios de autenticación” para obtener información sobre cómo agregar un dominio de certificado con funciones LDAP.

Edición de dominio secreto compartido para gestionar contraseñasEl servidor IRM le permite editar el dominio de contraseña secreta compartida, \\pvserver, para gestionar las contraseñas para usuarios secretos compartidos. Puede configurar el servidor IRM para garantizar que los usuarios secretos compartidos:

• Utilizan contraseñas de una longitud mínima específica.

• Introducen una contraseña incorrecta sólo un número específico de veces antes de que el servidor ya no les permita iniciar una sesión. El bloqueo dura un determinado periodo de tiempo o hasta que un administrador del servidor IRM les permita iniciar sesión.

Para editar el dominio de contraseña secreta compartida y establecer restricciones de contraseña:


2. En el cuadro de diálogo Authentication Domains (Dominios de autenticación), amplíe la categoría Password (Contraseña) y seleccione \\pvserver.


3. Haga clic en Edit (Editar). Aparecerá el cuadro de diálogo Edit Shared Secret Password Domain (Editar dominio de contraseña secreta compartida):

4. Seleccione Enforce a minimum password length of (Aplicar una longitud de contraseña mínima de) e introduzca el número de caracteres si desea exigir una longitud de contraseña mínima para cuentas de usuario con contraseña secreta compartida.

5. Seleccione Lockout users after (Bloquear usuarios después de) e introduzca el número de inicios de sesión incorrectos si desea que el servidor IRM bloquee la cuenta de usuario con contraseña secreta compartida después de que el usuario haya introducido una contraseña incorrecta un determinado número de veces.

6. Si ha seleccionado Lockout users after login failures (Bloquear usuarios después de inicios de sesión incorrectos) y desea que el servidor IRM desbloquee las cuentas bloqueadas después de un determinado periodo de tiempo, seleccione Timed unlock after (Desbloqueo programado después de). A continuación, defina el tiempo introduciendo un número y seleccionando los minutos, horas o días. Si no selecciona esta opción, un administrador de servidor IRM tendrá que desbloquear las cuentas bloqueadas. Siempre puede desbloquear las cuentas incluso si configura el servidor IRM para que las desbloquee automáticamente. Para desbloquear una cuenta, consulte “Desbloqueo de una cuenta de usuario secreto compartido” en la página 51.


Selección de un Dominio de autenticación de contraseña predeterminadoUna vez que haya configurado sus dominios, quizá desee seleccionar un dominio predeterminado para sus dominios de contraseña. Esto ayuda a los usuarios eliminando la necesidad de que introduzcan la ruta del dominio antes de su nombre de usuario en el campo User Name (Nombre de usuario) del cuadro de diálogo Account Login (Inicio de sesión de cuenta). Si un usuario necesita conectar a un dominio que no es el predeterminado, ese usuario debe introducir:

\\nombre de dominio\nombre de usuario

El nombre de dominio es el nombre que asignó a ese dominio cuando lo creó.

Para establecer un dominio de contraseña predeterminado:

1. Seleccione el dominio en el cuadro de diálogo Authentication Domains (Dominios de autenticación).

2. Haga clic en Default (Predeterminado).



Capítulo 4Utilización de LDAP con dominios de autenticación

Este capítulo contiene información sobre cómo utilizar LDAP con los dominios de autenticación del servidor IRM. Describe cómo se agregan dominios de Windows con capacidades LDAP, dominios de contraseña LDAP y dominios de certificado con capacidades LDAP. También explica cómo establecer filtros de búsqueda LDAP.

Descripción general de LDAP y dominios de autenticaciónPuede utilizar un servicio de directorio LDAP para autenticar y autorizar usuarios que conectan al servidor IRM. Los usuarios deben ser miembros de un dominio de autenticación configurado para utilizar el servicio de directorio. Hay tres tipos de dominios de autenticación de servidor IRM que puede configurar para utilizar un servicio de directorio LDAP:

• Dominio de Windows con capacidades LDAP

• Dominio de contraseña LDAP

• Dominio de certificado con capacidades LDAP

Como parte de la adición de un dominio de Windows o dominio de certificado, puede agregar funciones de autenticación LDAP y autorización al dominio. Puede que le interese hacer esto si su organización tiene usuarios que inician sesión a sus equipos con un dominio de Windows, de contraseña o certificado, pero también tiene un servicio de directorio LDAP configurado que incluye los usuarios y grupos de la organización. También puede agregar un dominio de contraseña LDAP si desea utilizar la autenticación y autorización LDAP y su organización no utiliza dominios de Windows, de contraseñas o certificados.

La utilización de LDAP con los dominios de autenticación le permite consultar al servicio de directorio LDAP sobre los usuarios y grupos cuando se configuran las restricciones de servidor, grupos, directivas de correo electrónico o directivas de documento en el servidor IRM. El servidor IRM utiliza las consultas para recuperar la información de usuario del servidor de directorio LDAP. Entonces puede agregar esta información a la directiva, o puede colocar una consulta en la directiva.

Cuando un usuario accede a contenido protegido, el servidor IRM comprueba el dominio de Windows o de certificado para autenticar el usuario. Si se trata de un dominio de contraseña LDAP, el servidor IRM comprueba el servicio de directorio LDAP para cerciorarse de que el nombre de usuario y la contraseña son válidos. Con todos los tipos de dominios LDAP, el servidor IRM comprueba también la validez del usuario localizando al usuario en el servicio de directorio LDAP y recuperando el nombre distintivo de usuario. El servidor IRM comprueba a continuación los niveles apropiados de la jerarquía de la directiva y ejecuta cualquier consulta LDAP que se haya agregado a las directivas en la jerarquía. El servidor IRM comprueba también que las directivas permiten el nombre distintivo del usuario o el grupo, o el nombre de usuario completo de servidor IRM en cada nivel de la jerarquía de la directiva. El nombre de usuario completo del servidor IRM para un usuario es el nombre de dominio de autenticación seguido por el nombre de usuario, por ejemplo, \\pvserver\juan_perez.

El protocolo LDAP permite a los servidores de directorio especificar las referencias. Estas referencias permiten a un servidor de directorio tener una entrada que haga referencia a otra entrada de ese servidor, o incluso a una entrada de otro directorio. Al recuperar información de usuario de un servidor de directorio, el servidor IRM sigue automáticamente las referencias que apuntan a entradas locales. Por ejemplo, el servidor IRM sigue las referencias a entradas de directorio que residen en ese servicio de directorio. El servidor IRM no sigue ninguna referencia que apunta a las entradas en un servicio de directorio diferente.

Nota: Si ha actualizado una versión anterior del servidor IRM y su organización utiliza un dominio de Windows y un servicio de directorio LDAP, se recomienda que agregue las capacidades LDAP a su dominio de Windows en lugar de agregar un dominio de contraseña LDAP. Esto permite a los usuarios utilizar cuentas existentes para iniciar sesión en el servidor IRM.

Utilización de LDAP con dominios de autenticación — 37

Para agregar un dominio de Windows con capacidades LDAP o un dominio de certificado con capacidades LDAP, primero debe agregar el dominio sin las capacidades LDAP siguiendo los procedimientos indicados en “Adición de un dominio de contraseña” en la página 32 o en “Adición de un dominio de certificado” en la página 34. Seguidamente, para agregar las capacidades LDAP a cada uno de estos tipos de dominios de autenticación o para establecer un dominio de contraseña LDAP, debe seguir los procedimientos indicados en este capítulo para:

• Especificar un servicio de directorio

• Establecer las propiedades de directorio

• Crear consultas de directorio

Cuando agrega un dominio de certificado con capacidades LDAP, también debe establecer la asignación de certificados como se explica en “Configuración de la asignación de certificados” en la página 46.

Especificación de un servicio de directorioCuando se especifica un servicio de directorio, se establece la información de servidor de directorio LDAP que el servidor IRM utiliza para iniciar sesión en el servidor del directorio. El servidor IRM inicia sesión en el servidor del directorio para autenticar y determinar los niveles de autorización para el usuario. Por ejemplo, si un usuario llamado María Gómez inicia una sesión en el servidor IRM y es miembro de un dominio de Windows con capacidades LDAP, el servidor IRM utiliza la información especificada para el servicio de directorio para iniciar la sesión en el servicio del directorio LDAP y comprobar si María Gómez es un usuario válido en el directorio.

Para especificar un servicio de directorio como parte de la adición de un dominio de Windows con capacidades LDAP, un dominio de contraseña LDAP o un dominio de certificado con capacidades LDAP:

1. Siga uno de estos procedimientos:

• Siga los pasos indicados en “Adición de un dominio de contraseña” en la página 32, si desea especificar un servicio de directorio para un dominio de Windows con capacidades LDAP.

• Seleccione Users (Usuarios) > Authentication Domains (Dominios de autenticación), haga clic en Password (Contraseña) y luego en Add (Agregar) si desea especificar un servicio de directorio para un dominio de contraseña LDAP. Introduzca un nombre de dominio de autenticación de servidor IRM para el dominio en el campo Domain Name (Nombre de dominio). Puede elegir cualquier nombre. A continuación, seleccione LDAP Password Domain (Dominio de contraseña LDAP) en la lista desplegable del campo Authentication Type (Tipo de autenticación).

• Siga los pasos indicados en “Adición de un dominio de certificado” en la página 34, si desea especificar un servicio de directorio para un dominio de certificado con capacidades LDAP.

38 — Utilización de LDAP con dominios de autenticación

2. Seleccione Use Directory Service (Utilizar servicio de directorio) si aparece en el cuadro de diálogo Add Password Domain (Agregar dominio de contraseña) y haga clic en Configure Directory Service (Configurar servicio de directorio). El cuadro de diálogo Directory Service Configuration (Configuración del servicio de directorio) aparece con la ficha Directory Servers (Servidores de directorio) abierta:

3. Introduzca el nombre y la contraseña distintivos que desea que el servidor IRM utilice para iniciar sesión en el servidor de directorio LDAP. Este nombre y contraseña distintivos deben pertenecer a un administrador o a un usuario con los derechos necesarios para ver los objetos a los que el servidor IRM necesita acceder. Un ejemplo del nombre distintivo para María Gómez es:

CN=María Gómez,CN=Usuarios,DC=miempresa,DC=com

Si no introduce un nombre y una contraseña distintivos, el servidor IRM conecta al servidor de directorio LDAP anónimamente.

4. Deje seleccionada la opción Use SSL Connection (Utilizar conexión SSL) anule su selección si no desea utilizar Capa de sockets seguros (SSL) para conectar al servidor del directorio LDAP. Se recomienda utilizar SSL porque cifra toda comunicación entre el servidor IRM y el servidor de directorio LDAP. Esta opción está seleccionada de forma predeterminada la primera vez que agrega un servidor de directorio. Si agrega varios servidores de directorio, todos ellos tendrán que utilizar una conexión SSL o no utilizar una conexión SSL.

5. Introduzca el nombre DNS o la dirección IP de un servidor de directorio LDAP en el campo Server (Servidor) y el puerto en el que se ejecuta en el campo Port (Puerto). El puerto predeterminado es 636 si selecciona la opción Use SSL Connection (Utilizar conexión SSL) y 389 si no la selecciona.

6. Haga clic en Add Server (Agregar servidor). Si ha seleccionado Use SSL Connection (Utilizar conexión SSL), el servidor IRM puede pedirle que verifique el certificado del servidor de directorio LDAP. El servidor de directorio y el puerto aparecen en el cuadro de lista Servers (Servidores). Puede agregar varios servidores de directorio a esta lista si desea garantizar la disponibilidad de un servidor de directorio o si desea exista homogeneidad en varios equipos. Si agrega varios servidores de directorio, tienen que ser copias de ellos mismos.


Configuración de propiedades de directorioLas propiedades del directorio son un conjunto de propiedades que el servidor IRM utiliza o como parte de la autenticación, cuando un usuario inicia una sesión en el servidor IRM, o como parte de la autorización, mediante consultas establecidas en las directivas. Para establecer las propiedades de directorio:

1. Seleccione la ficha Directory Properties (Propiedades de directorio) en el cuadro de diálogo Directory Service Configuration (Configuración del servicio de directorio):

2. Seleccione el campo Enforce Directory Cache Lifetime (Aplicar duración de caché de directorio) para definir la duración de tiempo que el servidor IRM conservará los resultados de la consulta. Puede introducir la duración en minutos, en horas o en días. El valor predeterminado es 30 minutos. Si permite una mayor duración de caché, el servidor IRM podrá volver a utilizar las consultas y se mejora el rendimiento del servidor IRM.

3. Seleccione el campo Enforce Maximum Query Duration of (Aplicar duración de consulta máxima de), introduzca una duración y seleccione Segundos, Minutos, Horas o Días. Esto le permite limitar la cantidad de tiempo durante el que se ejecuta una consulta. Reducir la cantidad de tiempo de ejecución permitido para una consulta puede mejorar el rendimiento del servidor IRM, pero también puede hacer que el servidor IRM muestre resultados incompletos de la consulta.

4. Introduzca el nombre de atributo que contiene las direcciones de correo electrónico de los usuarios del directorio LDAP en el campo E-mail Address Attribute (Atributo de dirección de correo electrónico). Esto permite que el servidor IRM acceda a las direcciones de correo electrónico de los usuarios que utilizan IRM Client for E-Mail. El servidor IRM gestiona estos usuarios como si estuvieran asignados en el cuadro de diálogo IRM Client for E-Mail Users (Usuarios de IRM Client for E-Mail), aunque sólo la dirección de correo electrónico aparezca en ese cuadro de diálogo, no una asignación completa a un usuario o grupo. Estos usuarios no son destinatarios desconocidos. Para obtener información sobre cómo establecer usuarios de IRM Client for E-Mail, consulte “Capítulo 7, Configuración de direcciones y usuarios de correo electrónico”. El atributo predeterminado de la dirección de correo electrónico es mail (correo). Éste es el valor recomendado tanto para Active Directory como para iPlanet Directory Server™. Deje este campo vacío si no quiere que el servidor IRM gestione las direcciones de correo electrónico de los usuarios como si estuvieran asignados.

5. Introduzca el nombre de atributo que contiene los miembros del objeto de grupo LDAP en el campo de Group Membership Attribute (Atributo de pertenencia al grupo). Esto le permite utilizar la pertenencia al grupo LDAP en las directivas. El valor predeterminado es member (miembro). El valor predeterminado para iPlanet Directory Server es uniquemember. Si utiliza iPlanet Directory Server, quizá desee introducir un miembro único (uniquemember). Deje este campo vacío si no desea utilizar la pertenencia al grupo LDAP.

6. Si el directorio LDAP tiene un atributo para la clase de objeto de grupo, introdúzcalo en el campo Group ObjectClass (Clase de objeto de grupo). La clase de objeto de grupo se utiliza para determinar si una entrada es un grupo. Un nombre de atributo común es grupo.


7. Si el directorio LDAP tiene un atributo para la clase de objeto de usuario, introdúzcalo en el campo User ObjectClass (Clase de objeto de usuario). La clase del objeto de usuario se utiliza para determinar si una entrada es una persona. Un nombre de atributo común es persona.

8. Siga uno de los procedimientos siguientes para agregar un dominio de Windows con capacidades LDAP o un dominio de contraseña LDAP:

• Si ha seleccionado agregar un dominio de Windows con capacidades LDAP, introduzca el nombre de atributo en el directorio LDAP que contiene el nombre de usuario del dominio de Windows en el campo Username Attribute (Atributo de nombre de usuario). El servidor IRM utiliza este atributo para comprobar que el usuario que está iniciando una sesión en el servidor IRM es un usuario válido en el servidor de directorio. El nombre de atributo predeterminado es sAMAccountName. Debe introducir un nombre de atributo en este campo para crear un dominio de Windows con capacidades LDAP.

• Si ha seleccionado agregar un dominio de contraseña LDAP, introduzca el nombre de atributo en el directorio LDAP que contiene un identificador único de usuario en el campo Username Attribute (Atributo de nombre de usuario). El servidor IRM permite a los usuarios realizar la autenticación con un dominio de contraseña LDAP que utiliza su nombre distintivo completo, o este identificador único de usuario. El atributo del objeto predeterminado es userPrincipalName. El valor recomendado para iPlanet Directory Server es uid Si utiliza iPlanet Directory Server y este valor es único para cada usuario, quizá le interese introducir uid.

Deje este campo vacío si desea que los usuarios realicen la autenticación sólo con su nombre distintivo completo.

9. Introduzca el nombre distintivo de la ubicación en el servidor de directorio donde desea que el servidor IRM empiece a buscar el atributo de nombre de usuario de cada usuario que inicia una sesión en el servidor IRM en el campo Search Root for User Lookup (Buscar raíz para consulta de usuario). El servidor IRM busca todas las ubicaciones por debajo de esta ubicación de la jerarquía. Debe introducir un nombre distintivo en este campo. Por ejemplo, puede introducir: DC=ventas,DC=miempresa,DC=com

10. Introduzca un filtro que reduzca el ámbito de búsqueda del servidor IRM cuando busca el atributo de nombre de usuario en el campo Search Filter for User Lookup (Buscar filtro para consulta de usuario). El servidor IRM realiza esta búsqueda para verificar que el usuario es válido en el servidor de directorio como parte de la autenticación del usuario. Este campo admite todas reglas de filtro LDAP estándar. Por ejemplo, para buscar todos los usuarios en el directorio, puede introducir: objectclass=person

Para obtener más información sobre las reglas de filtro LDAP, consulte “Configuración de filtros de búsqueda LDAP” en la página 48 o su documentación de servidor de directorio LDAP. Debe introducir un filtro en este campo para crear cualquier tipo de dominio de autenticación LDAP.


Creación de consultas de directorioLas consultas del directorio le permiten a usted o a los usuarios que establecen las directivas buscar en el directorio LDAP usuarios y grupos cuando se establecen las restricciones de servidor, grupos, directivas de correo electrónico, plantillas de directiva de documento y directivas de documento. Los usuarios pueden ejecutar la consulta para recuperar información de usuario del servidor de directorio LDAP y agregarlo a la directiva. También pueden colocar la propia consulta en la directiva. Esto permite a los usuarios que no conocen LDAP establecer las directivas y utilizar fácilmente las consultas para acceder a la información de usuario LDAP.

Para crear consultas de directorio que se pueden agregar a las directivas:

1. Seleccione la ficha Directory Queries (Propiedades de consulta) en el cuadro de diálogo Directory Service Configuration (Configuración del servicio de directorio):

2. Haga clic en New (Nuevo). Aparecerá el cuadro de diálogo New Query (Nueva consulta).

3. Introduzca un nombre para la consulta en el campo Query Name (Nombre de consulta).

4. Introduzca el nombre distintivo de la ubicación en el servidor de directorio donde quiere que el servidor IRM empiece a buscar los resultados de la consulta en el campo Query Search Root (Raíz de búsqueda de consulta). El servidor IRM empezará en esta ubicación cada vez que busque los resultados de esta consulta en cualquier directiva. Busca en todas las ubicaciones por debajo de esta ubicación en la jerarquía de servidor de directorio. Por ejemplo, puede introducir:

DC=ventas,DC=miempresa,DC=com

5. Introduzca un filtro en el campo Query Search Filter (Filtro de búsqueda de consulta). Por ejemplo, para buscar todos los usuarios en el directorio, puede introducir:

objectclass=person

Para obtener más información sobre las reglas de filtro LDAP, consulte “Configuración de filtros de búsqueda LDAP” en la página 48 o su documentación de servidor de directorio LDAP.

6. Introduzca un nombre de atributo que corresponda al texto que desea mostrar en los resultados de la consulta, en el campo Displayed Attribute (Atributo mostrado). El valor predeterminado es cn, lo que hace que el servidor IRM muestre los nombres comunes de usuarios en los resultados de la consulta. Puede introducir cualquier nombre de atributo que contenga la información que desea que aparezca en los resultados de la consulta. Por ejemplo, si desea que los resultados muestren las direcciones de correo electrónico de los usuarios, introduzca el nombre de atributo que corresponda a las direcciones de correo electrónico en este campo.


7. Haga clic en Aceptar. La consulta aparece seleccionada en la sección Defined LDAP Queries (Consultas LDAP definidas) y los campos Search Root (Raíz de búsqueda), Search Filter (Filtro de búsqueda) y Displayed Attribute (Atributo mostrado)contienen la información que se introdujo en el cuadro de diálogo New Query (Nueva consulta).

8. Para probar la consulta seleccionada en la sección Defined LDAP Queries (Consultas LDAP definidas), haga clic en Test Query (Probar consulta). Los resultados de la consulta aparecen en el cuadro de diálogo Query Test Results (Resultados de la prueba de la consulta):

9. Haga clic en OK (Aceptar) después de asegurarse de que los resultados de la consulta son los que esperaba. Por ejemplo, si su filtro de búsqueda es objectclass=person, verifique que los resultados muestran a todos los usuarios en el servidor de directorio.

10. Seleccione Restrict viewing of Query Results to the following (Restringir vista de resultados de consulta a los siguientes) y haga clic en Add (Agregar) para agregar usuarios que pueden ver los resultados de las consultas de directorio. Deje esta opción vacía para permitir a todos los usuarios ver los resultados de una consulta. Los usuarios con derechos administrativos de gestión de usuarios de lectura-escritura siempre pueden ver los resultados de una consulta. Aparecerá el cuadro de diálogo Add Policy User or Group (Agregar usuario o grupo de directiva):

En la lista desplegable en este campo, los grupos aparecen primero, listados alfabéticamente por nombre. Los dominios de autenticación precedidos por \\ aparecen después de los grupos. Si no aparece ningún grupo, consulte “Capítulo 5, Gestión de usuarios y grupos” para aprender cómo se crean los grupos. Para obtener más información sobre los dominios de autenticación, consulte “Capítulo 3, Adición de dominios de autenticación”.


11. Siga uno de los procedimientos siguientes en el campo Add Policy User or Group (Agregar usuario o grupo de directiva):

• Seleccione un grupo. La descripción del grupo aparece en el campo Group Description (Descripción de grupo).

• Seleccione el dominio de contraseña secreta compartida (\\pvserver). El campo User (Usuario) muestra de forma predeterminada la opción All (Todos) Puede hacer clic en Find Now (Buscar ahora) para mostrar una lista de todos los usuarios en ese dominio en el campo Select User Name (Seleccionar nombre de usuario). Entonces puede seleccionar un usuario de ese dominio en la lista, o puede dejar la lista en la fila vacía para agregar todos los usuarios en ese dominio. Si desea encontrar un usuario particular en el dominio, seleccione Begins With (Comienza por) o Exactly (Exactamente) en la lista desplegable en el campo User (Usuario). A continuación, introduzca el texto correspondiente y haga clic en Find Now (Buscar ahora). El usuario que deseaba encontrar aparece en la lista Select User Name (Seleccionar nombre de usuario) para que lo elija.

• Seleccione un dominio de Windows. Puede introducir un ID de usuario de dominio del usuario o grupo en el campo Enter optional Windows domain user or group name (Introduzca un nombre de usuario o de grupo de dominio de Windows opcional). También puede dejar este campo vacío para agregar todos los usuarios de su dominio de Windows. Si selecciona un dominio de Windows con capacidades LDAP, puede seleccionar Query Directory Service for Groups and Users (Consultar servicio de directorio para grupos y usuarios) en vez de introducir la información en el campo Enter optional Windows domain user or group name (Introduzca un nombre de usuario o de grupo de dominio de Windows opcional). Si decide consultar el servicio de directorio LDAP, puede seleccionar una consulta LDAP predefinida en el campo Select Directory Server Query (Seleccionar consulta de servidor de directorio). También puede hacer clic en Run (Ejecutar) y los resultados de la consulta aparecerán debajo de la consulta. Seleccione los usuarios o grupos que desea agregar.

• Seleccione un dominio de contraseña LDAP. Puede introducir el nombre de usuario o el nombre distintivo del grupo o usuario LDAP en el campo Optionally Enter Username or the Distinguished Name of a User or Group (Introduzca opcionalmente un nombre de usuario o el nombre distintivo de un usuario o grupo, o seleccionar Query Directory Service for Groups and Users (Consultar servicio de directorio para grupos y usuarios). Si decide consultar el servicio de directorio LDAP, puede seleccionar una consulta LDAP predefinida en el campo Select Directory Server Query (Seleccionar consulta de servidor de directorio). También puede hacer clic en Run (Ejecutar) y los resultados de la consulta aparecerán debajo de la consulta. Seleccione los usuarios o grupos que desea agregar.

• Seleccione un dominio de SecurID. Puede introducir un nombre de usuario SecurID del usuario para agregar sólo un usuario específico, o puede dejar el campo vacío para agregar todos los usuarios de su dominio de SecurID.

• Seleccione un dominio de certificado. Puede introducir el nombre común que aparece en el certificado de un destinatario, o cualquier otro atributo de certificado, para agregar un usuario de certificado específico. Si selecciona un dominio de certificado con capacidades LDAP, puede seleccionar una consulta LDAP predefinida en el campo Select Directory Server Query (Seleccionar consulta de servidor de directorio). También puede hacer clic en Run (Ejecutar) y los resultados de la consulta aparecerán debajo de la consulta. Seleccione los usuarios o grupos que desea agregar.

12. Haga clic en Aceptar. Si ha decidido agregar un dominio de certificado con capacidades LDAP, vaya a la sección siguiente para establecer la asignación de certificado.

13. Haga clic en Aceptar. El dominio de autenticación aparece en el cuadro de diálogo Authentication Domains (Dominios de autenticación).


Puede seleccionar el dominio en el cuadro de diálogo Authentication Domains (Dominios de autenticación) y hacer clic en Edit (Editar) para modificar la configuración del dominio.


Creación de una consulta que agregue directorios LDAP conectados a una búsqueda

Los clientes IRM pueden buscar usuarios para agregarlos a una directiva de documento. Sin embargo, de forma predeterminada, la búsqueda está restringida a los usuarios secretos compartidos, grupos y direcciones de correo electrónico almacenadas en la base de datos de IRM. Puede ampliar la búsqueda para incluir directorios LDAP conectados. La capacidad ampliada no es configurable por el usuario del cliente IRM, y sólo puede ser utilizada por clientes IRM versión 4.5 o superior.

NOTA: los usuarios que tengan versiones anteriores del cliente IRM pueden consultar directorios LDAP individuales, pero deben utilizar consultas predefinidas en el servidor IRM.

Para ampliar la capacidad de búsqueda, necesita escribir una consulta especial llamada _ FindUsers para cada dominio de autenticación. Con esta consulta, los usuarios del cliente IRM pueden hacer clic en Find (Buscar), en el cuadro de diálogo Add Users and Groups (Agregar usuarios y grupos), donde se devolverán los usuarios y grupos de todos los directorios conectados que coincidan con los criterios especificados en este cuadro de diálogo así como los miembros definidos en ese momento en las consultas de la base de datos. A diferencia de otras consultas, la consulta _FindUsers no es visible en la interfaz de los clientes IRM.

IMPORTANTE: al escribir la consulta _FindUsers, es necesario utilizar el parámetro de sustitución $1. Específicamente, los datos introducidos por el usuario se sustituyen en la consulta por el marcador de posición $1 y se añaden comodines apropiados según el tipo de consulta que el usuario seleccionó. Si este parámetro se deja fuera de la consulta, cualquier búsqueda hecha en el cliente siempre incluirá todos los resultados producidos por esta consulta, esto es, la consulta será constante más que dinámica.

Por ejemplo, en una conexión de Active Directory, la consulta _FindUsers se podría definir de la siguiente manera:

Una consulta de "coincidencia exacta de usuarios" para Joe Smith podría crearse de la siguiente manera:

(&(objectClass=’user’)(|(cn=’Joe Smith’)(email=’Joe Smith’)))

Una consulta de "contiene" para usuarios y grupos que contenga "Ingeniería" sería:

(|(cn=’*Ingeniería*’)(email=’*Ingeniería*’))

Una consulta de "empieza con" para grupos que empiezan con Ing sería:

(&(objectClass=’group’)(|(cn=’Ing*’)(email=’Ing*’)))

Utilice el procedimiento en “Creación de consultas de directorio” en la página 42 para crear la consulta _FindUsers.


Configuración de la asignación de certificadosSólo se establece la asignación de certificados si se agrega un dominio de certificado con capacidades LDAP. La configuración de asignación de certificados proporciona al servidor IRM información sobre cómo localizar una entrada única de usuario en el servicio de directorio a partir de la información en el certificado de usuario. El servidor IRM determina si debe utilizar el nombre distintivo en el certificado como nombre distintivo que debe buscar en el directorio. Si los certificados que utiliza su organización no contienen los mismos nombres distintivos que su servidor de directorio, tendrá que asignar el nombre distintivo del certificado al nombre distintivo en el directorio.

Para configurar la asignación de certificados:

1. Seleccione la ficha Certificate Mapping (Asignación de certificados) en el cuadro de diálogo Directory Service Configuration (Configuración del servicio de directorio):

2. Deje seleccionada la opción Use Certificate DN as User DN in the Directory (Utilizar Certificado DN como Usuario DN en el directorio) si el nombre distintivo del certificado es el mismo nombre distintivo que el servidor IRM debe buscar en el servidor de directorio para comprobar que el usuario existe y poder autenticar al usuario.

3. Seleccione Localizar Usuario DN en el directorio haciendo coincidir los siguientes pares de valor/nombre de atributo del directorio si el nombre distintivo del certificado es diferente al nombre distintivo que desea que el servidor IRM busque en el servidor de directorio cuando comprueba que el usuario es válido. Introduzca una lista de pares de valor/nombre de atributo, separando cada par con una coma. Los pares de valor/nombre de atributo indican qué información debe localizar el servidor IRM en el directorio para encontrar el nombre distintivo de un usuario. El servidor IRM asigna el certificado al nombre distintivo del usuario cuya entrada de directorio coincide con esos pares de valor/nombre de atributo. Para obtener más información sobre los pares de valor/nombre de atributo, consulte la sección siguiente.

4. Haga clic en OK (Aceptar) dos veces. El dominio del certificado con capacidades LDAP aparece en el cuadro de diálogo Authentication Domains (Dominios de autenticación).



Creación de pares de valor/nombre de atributoLa sintaxis de los pares de valor/nombre de atributo es:

DirectoryAttribute1=Value1, DirectoryAttribute2=Value2,... DirectoryAttributeN=ValueN

Los atributos de directorio son los atributos de la entrada de directorio que desea encontrar y asignar al usuario del certificado. Los valores pueden ser textuales o una variable predefinida que hace referencia al valor de un atributo del certificado. También puede utilizar la función $OID ( ) para especificar valores de atributo en el certificado que no tienen variables predefinidas. Para utilizar esta función, especifique:

$OID (parámetro)

El parámetro es una cadena hexadecimal, por ejemplo, 0x550403, que representa la identificación de objeto del atributo al que desea hacer referencia.

Puede utilizar las variables siguientes como valores en pares de valor/nombre de atributo:

Por ejemplo, si el nombre distintivo del certificado es:

cn=Juan Perez,uid=juan_perez,ou=ventas,o=Acme

Puede especificar los pares siguientes de nombre/valor mediante variables y texto:

cn=$UID,ou=$OU,o=$O,c=us

El servidor IRM busca una entrada de directorio que tenga los atributos siguientes:

cn=juan_perez,ou=ventas,o=Acme,c=us

Atributo de certificado

Descripción Variable para el atributo de certificado

sn número de serie $SN

c país $C

st estado $ST

l ciudad $L

o organización $O

ou unidad organizativa $OU

cn nombre habitual $CN

t title $T

sa dirección fiscal $SA

pc código postal $PC

correo electrónico

dirección de correo electrónico

$EMAIL

uid ID de usuario $UID


Si el servidor IRM encuentra una entrada de directorio única, asigna el certificado al nombre distintivo de esa entrada. Si los certificados que utiliza su organización tienen varios atributos del mismo nombre en sus nombres distintivos, puede utilizar una función para especificar los atributos de manera distinta al primer atributo especificando, en anotación de base 0:

$variable[N]

La N es el índice de la lista de base 0 de atributos de ese nombre donde aparece la variable a la que desea hacer referencia. Por ejemplo, si el nombre distintivo del certificado es:

cn=Juan,cn=Jaime,cn=Jul,ou=ventas,o=Acme,c=us

Puede especificar los pares siguientes de nombre/valor:

cn=$CN[2],o=$O,c=$C

El servidor IRM busca una entrada de directorio que tenga los atributos siguientes:

cn=Jul,o=Acme,c=us

Si el servidor IRM encuentra una entrada de directorio única, asigna el certificado al nombre distintivo de esa entrada.

Configuración de filtros de búsqueda LDAPLos filtros limitan el ámbito de la búsqueda que el servidor IRM realiza cuando busca resultados a una consulta. El servidor IRM admite todas las reglas de filtro LDAP estándar. La sintaxis básica de un filtro de búsqueda LDAP es:

(valor de operador de atributo)

Por ejemplo:

(cn=María Gómez)

El atributo en este ejemplo es cn, el operador es = y el valor es María Gómez. Puede utilizar los operadores siguientes:

La sintaxis para combinar varios filtros de búsqueda es:

( operador_booleano (filtro1)(filtro2)(filtro3) )

Utilice el operador booleano & para hacer coincidir todos los criterios del filtro. Utilice el operador booleano | para hacer coincidir uno o más de los criterios del filtro. Por ejemplo, ( | (sn=Gómez) (sn=perez)) busca todas las entradas con el apellido Gómez o Pérez. También puede utilizar el operador booleano ! con un filtro para buscar todas las entradas para las que el filtro no es verdadero.

Operador Descripción Ejemplo

= Igual a (cn=María Gómez) busca la entrada cn=María Gómez

<= Menor o igual que (sn<=Gómez) busca todas las entradas, desde sn=a.. a sn=gómez

>= Mayor o igual que (sn>=Gómez) busca todas las entradas, desde sn=Gómez a sn=z...

=* Igual que todos (sn=*) busca todas las entradas que contienen el atributo sn

~= Aproximadamente igual que

(sn ~=gómez) busca todas las entradas que contienen un atributo sn que suene como Gómez, por ejemplo, "gomas".


Capítulo 5Gestión de usuarios y grupos

Este capítulo proporciona una descripción general sobre la administración de usuarios y grupos. Explica cómo se crean cuentas individuales de usuario secreto compartido almacenadas en el servidor IRM. A continuación explica cómo se ven, crean y agregan grupos y cómo se conceden los distintos tipos de autorización a un grupo.

Descripción general de gestión de usuarios y gruposSi decide autenticar a cualquier usuario con secretos compartidos, tendrá que crear cuentas de usuario individuales IRM Server Administrator. Estos usuarios pasarán automáticamente a formar parte del dominio de contraseña secreta compartida (\\pvserver) para todos los usuarios secretos compartidos. Para obtener más información sobre los dominios de autenticación, consulte “Capítulo 3, Adición de dominios de autenticación”.

Una vez que haya creado los dominios de autenticación y las cuentas secretas compartidas individuales, podrá agregar usuarios o grupos a cualquier tipo de directiva. Esto le permite controlar la autorización. Mientras un dominio de autenticación o cuenta secreta compartida permiten la autenticación de los usuarios en el servidor IRM, un grupo identifica a uno o más usuarios y especifica lo que esos usuarios tienen autoridad para hacer.

Cada usuario que accede al servidor IRM debe pertenecer como mínimo a un grupo. También puede consultar a un servicio de directorio LDAP sobre los usuarios y grupos, o agregar una consulta LDAP a un grupo si establece un dominio de autenticación LDAP o un dominio de autenticación con capacidades LDAP. Si un usuario está en más de un grupo, el servidor IRM combina los derechos de todos los grupos de ese usuario. Puede especificar que los usuarios o grupos pueden acceder al servidor IRM desde una entidad de red determinada o en un momento concreto, pueden ver, imprimir o copiar contenido protegido, proteger contenido con o sin acceso como invitado, eliminar o hacer caducar el contenido protegido que les pertenece, o permitir a los usuarios trabajar sin conexión.

Cuando inicia una sesión por primera vez en IRM Server Administrator y selecciona Usuarios > Grupos, ya existe un grupo. Este grupo contiene el primer usuario de cuenta de administrador y permite derechos administrativos plenos. Puede agregar administradores a este grupo, o puede crear un grupo de administrador diferente, agregar administradores al grupo nuevo y borrar el grupo original.

Creación o edición de cuentas de usuario secreto compartidoCada vez que crea un usuario secreto compartido, ese usuario pasa automáticamente a ser parte del dominio de contraseña secreta compartida (\\pvserver). Por lo tanto, no necesita crear otros dominios si sólo permite a los usuarios secretos compartidos que realicen la autenticación con el servidor IRM.

Si elimina un usuario secreto compartido existente y ese usuario protegió con anterioridad determinado contenido o las entidades de red que creó y especificaciones de tiempo, el servidor IRM elimina esas entidades de red y especificaciones de tiempo. Le solicita que cambie el propietario de las directivas de correo electrónico o documento a un administrador o las borra.

Siga el siguiente procedimiento para crear o editar usuarios secretos compartidos. Después de haber creado cuentas de usuario secreto compartido, debe agregar esas cuentas a grupos. Para obtener información sobre cómo se agregan usuarios a un grupo para controlar su acceso a la información, consulte “Creación o edición de un grupo” en la página 52.

Gestión de usuarios y grupos — 49

1. Seleccione Users (Usuarios) > Shared Secret Users (Usuarios secretos compartidos). Aparecerá el cuadro de diálogo Shared Secret Users (Usuarios secretos compartidos):

2. El campo User (Usuario) muestra de forma predeterminada la opción All (Todos) Haga clic en Find Now (Buscar ahora) para que aparezca una lista de todos los usuarios del dominio de contraseña secreta compartida (\\pvserver) en el cuadro de lista de debajo de la sección Find Users (Buscar usuarios). A menos que lo elimine, hay un usuario secreto compartido en la lista del cuadro de diálogo Shared Secret Users (Usuarios secretos compartidos) que corresponde a la primera cuenta de administrador que utilizó para iniciar sesión. Para encontrar un usuario específico en el dominio, seleccione Begins With (Comienza por) o Exactly (Exactamente) en el campo User (Usuario), introduzca el texto correspondiente y haga clic en Find Now (Buscar ahora). Los usuarios especificados aparecen en el cuadro de lista.

3. Seleccione un nombre de usuario y haga clic en Add (Agregar) para agregar la cuenta de usuario, o haga clic en Edit (Editar) para editar un nuevo usuario. Aparecerá el cuadro de diálogo Add Shared Secret User or Edit Shared Secret User (Agregar usuario secreto compartido o Editar usuario secreto compartido):

4. Introduzca un nombre de usuario en el campo User ID (ID de usuario). No puede editar ningún nombre de usuario existente.

5. Introduzca o modifique la descripción en el campo Description (Descripción).

6. Introduzca una contraseña para el usuario y vuelva a introducirla para confirmarla.

50 — Gestión de usuarios y grupos

7. Seleccione User cannot change password (El usuario no puede cambiar la contraseña) si no desea que el usuario pueda cambiar la contraseña. En caso contrario, siga uno de estos procedimientos:

• Seleccione la opción Secret Periodically Expires (Secreto caduca periódicamente) e introduzca el número de días en Secret Lifetime (days) (Duración secreta (días)) para que la contraseña caduque después del número de días especificado.

• Seleccione la opción Must change password at next login (Es preciso cambiar la contraseña en el próximo inicio de sesión) para obligar al usuario a cambiar la contraseña la próxima vez que inicie una sesión.



El usuario que utiliza esta cuenta debe iniciar sesión en el servidor IRM con el nombre de usuario y la contraseña especificados en este cuadro de diálogo. Sin embargo, el usuario no tendrá acceso a información en el servidor IRM hasta que cree un grupo o agregue el usuario a un grupo.

Desbloqueo de una cuenta de usuario secreto compartidoPuede establecer su dominio de autenticación de usuario secreto compartido para evitar que los usuarios secretos compartidos inicien una sesión en el servidor IRM después de haber introducido una contraseña incorrecta un número de veces específico, como se describe en “Adición de un dominio de contraseña” en la página 32. Esto bloquea la cuenta de usuario. Puede desbloquear una cuenta de usuario secreto compartido en cualquier momento, incluso antes de la fecha programada.

Para desbloquear una cuenta de usuario secreto compartido:

1. Seleccione Users (Usuarios) > Shared Secret Users (Usuarios secretos compartidos). Aparecerá el cuadro de diálogo Shared Secret Users (Usuarios secretos compartidos).

2. Seleccione un usuario bloqueado y haga clic en Unlock (Desbloquear).



Creación o edición de un grupoUn usuario debe ser miembro de por lo menos un grupo para iniciar una sesión en el servidor IRM. Después de establecer los dominios de autenticación con usuarios incluidos y alguna cuenta de usuario secreto compartido, puede crear los grupos que conceden los derechos a los usuarios. Si bien puede agregar usuarios individuales a las directivas, suele ser más fácil gestionar los grupos. Puede asignar un grupo de determinados derechos y luego agregar el grupo a una directiva.

Para crear un nuevo grupo o editar un grupo existente:

1. Seleccione Users (Usuarios) > Groups (Grupos). Aparecerá el cuadro de diálogo Groups (Grupos).

2. Haga clic en Add (Agregar) para agregar un nuevo grupo o en Edit (Editar) para seleccionar un grupo existente. Aparecerá el cuadro de diálogo Add Group or Edit Group (Agregar grupo o Editar grupo).


3. Introduzca un nombre para el nuevo grupo en el campo Name (Nombre). Los nombres de grupo distinguen entre mayúsculas y minúsculas. Puede crear grupos con el mismo nombre pero con caracteres en mayúsculas y minúsculas diferentes. No puede cambiar el nombre de un grupo existente.

4. Introduzca o modifique la descripción del grupo en el campo Description (Descripción).

5. Continúe en la sección siguiente para agregar o excluir otros grupos, dominios de autenticación o usuarios de un dominio como parte de este grupo.

Adición o exclusión de miembrosCuando crea o edita un grupo, puede incluir otros grupos, dominios de autenticación completos o usuarios de un dominio en su grupo. También puede excluir otros grupos, dominios o usuarios específicos de un dominio de su grupo. Si establece un dominio de contraseña LDAP u otro tipo de dominio de autenticación con capacidades LDAP, puede consultar también al servicio de directorio LDAP sobre usuarios y grupos, o puede agregar o excluir una consulta LDAP directamente dentro de un grupo del servidor IRM. Para agregar dominios de autenticación, consulte “Capítulo 3, Adición de dominios de autenticación”.

Para agregar o excluir grupos, dominios de autenticación, usuarios o consultas LDAP:

1. Seleccione uno de las siguientes opciones de la lista desplegable en la sección Membership (Pertenencia):

• Seleccione All (Todos) si quiere incluir todos los usuarios que pueden autenticar con el servidor IRM en el grupo.

• Seleccione Members of (Miembros de) para agregar grupos o dominios específicos, miembros específicos de grupos o dominios, o consultas LDAP al grupo que crea. Si selecciona Only (Sólo) en la lista desplegable que está junto al cuadro de lista, sólo se incluirán los miembros de los grupos o dominios listados en el cuadro de lista en su grupo. Si selecciona But Not (Pero no) en la lista desplegable que está junto al cuadro de lista, se incluirán los miembros de los grupos o los dominios listados en el cuadro de lista en su grupo, pero puede excluir otros grupos o dominios en el cuadro de lista nuevo que aparece.

• Seleccione Everyone but members of (Todos excepto los miembros de) para excluir grupos o dominios específicos, miembros específicos de grupos o dominios, o consultas LDAP de su grupo. Si selecciona Only (Sólo) en la lista desplegable que está junto al cuadro de lista, sólo se excluirán los miembros de los grupos o dominios listados en el cuadro de lista de su grupo. Si selecciona And Also (Y también) en la lista desplegable que está junto al cuadro de lista, se excluirán los miembros de los grupos o los dominios listados en el primer cuadro de lista en su grupo, pero puede incluir otros grupos o dominios en el cuadro de lista nuevo que aparece.

2. Si selecciona cualquiera de las últimas dos opciones, haga clic en el botón Add (Agregar) que aparece en la sección Membership (Pertenencia) para agregar o excluir miembros de un grupo o dominio. Aparecerá el cuadro de diálogo Add Group Member (Agregar miembro de grupo):


Este cuadro de diálogo cambia en función del tipo de grupo o dominio que se selecciona en el campo Groups and Authentication Domains (Grupos y Dominios de autenticación). Los grupos aparecen primero, listados alfabéticamente por nombre. Los dominios de autenticación, precedidos por \\, aparecen después de los grupos. Incluso si no ha establecido ningún grupo o dominio, un grupo puede existir para la cuenta de administrador completa que utilizó para iniciar una sesión por primera vez en IRM Server Administrator. Un dominio de contraseña secreta compartida llamado \\pvserver puede existir también y contener el primer usuario de administrador con derechos plenos y cualquier usuario secreto compartido que haya definido.

3. Continúe en una de las secciones siguientes dependiendo de si desea agregar un grupo, un dominio de autenticación completo, o un usuario específico.

Grupos

Si desea agregar o excluir un grupo:

1. Seleccione un grupo. La descripción del grupo aparece en el campo Group Description (Descripción de grupo).


Puede agregar varios grupos. Si había seleccionado Members of (Miembros de) en la sección Membership (Pertenencia) para incluir un grupo, ahora puede seleccionar la opción But Not (Pero no) para excluir otro grupo. Por ejemplo, puede especificar que su nuevo grupo va a incluir miembros del grupo Ventas pero no a Juan.

Si había seleccionado Everyone but members of (Todos excepto los miembros de) en la sección Membership (Pertenencia) para excluir un grupo, ahora puede seleccionar And Also (Y también) para incluir a un miembro de ese grupo. Por ejemplo, puede especificar que su nuevo grupo incluye a todos menos los miembros del grupo Ventas pero también a Pepe, que es un miembro del grupo Ventas.

Haga clic en Add (Agregar) bajo el nuevo cuadro de lista y repita todos los pasos de este procedimiento. Consulte uno de los procedimientos siguientes para agregar o excluir un dominio o un usuario específico de un grupo.

Para completar la configuración del grupo, debe especificar las restricciones y los permisos de inicio de sesión, como se explica en “Configuración de restricciones de inicio de sesión” en la página 58 y “Configuración de permisos de contenido y derechos administrativos” en la página 60.

Dominios de contraseña o usuarios

Si desea agregar o excluir un dominio de contraseña o a sus miembros:

1. Seleccione un dominio de contraseña que desee incluir o excluir, o que contenga a los miembros que desea incluir o excluir, en el campo Groups and Authentication Domains (Grupos y Dominios de autenticación).

2. Haga clic en OK (Aceptar) para incluir o excluir ese dominio completo en su grupo.


• Si había seleccionado dominio de autenticación de contraseña secreta compartida (\\pvserver), el campo User (Usuario) presenta de forma predeterminada la opción All (Todos). Haga clic en Find Now (Buscar ahora) para mostrar una lista de todos los usuarios en ese dominio en el campo Select User Name (Seleccionar nombre de usuario). A continuación, seleccione un usuario de esa lista de dominio, o deje la lista en la fila vacía para agregar todos los usuarios de ese dominio. Si desea encontrar un usuario particular en el dominio, seleccione Begins With (Comienza por) o Exactly (Exactamente) en la lista desplegable en el campo User (Usuario). Introduzca el texto correspondiente y haga clic en Find Now (Buscar ahora). El usuario que deseaba encontrar aparece en la lista Select User Name (Seleccionar nombre de usuario). Seleccione el usuario que desea agregar y haga clic en OK (Aceptar).

• Si había seleccionado un dominio de Windows, puede introducir un ID de usuario de dominio del usuario o un grupo en el campo Enter optional Windows domain user or group name (Introduzca un nombre de usuario o de grupo de dominio de Windows opcional) y hacer clic en OK (Aceptar).


• Si había seleccionado un dominio de Windows con capacidades LDAP, puede introducir un ID de usuario de dominio del usuario o un grupo en el campo Enter optional Windows domain user or group name (Introduzca un nombre de usuario o de grupo de dominio de Windows opcional) o seleccionar Query Directory Service for Groups and Users (Consultar servicio de directorio para grupos y usuarios). Si decide consultar el servicio de directorio LDAP, puede seleccionar una consulta LDAP predefinida en el campo Select Directory Service Query (Seleccionar consulta de servidor de directorio) y hacer clic en Run (Ejecutar). Los resultados de la consulta aparecen debajo de la propia consulta. Puede hacer clic en OK (Aceptar) para agregar la consulta entera al grupo o seleccionar grupos o usuarios LDAP de los resultados y hacer clic en OK (Aceptar) para agregar esos usuarios y grupos al grupo del servidor IRM.

• Si había seleccionado un dominio de contraseña LDAP, puede introducir el nombre de usuario o el nombre distintivo del grupo o usuario LDAP en el campo Optionally Enter Username or the Distinguished Name of a User or Group (Introduzca opcionalmente un nombre de usuario o el nombre distintivo de un usuario o grupo, o seleccionar Query Directory Service for Groups and Users (Consultar servicio de directorio para grupos y usuarios). Si decide consultar el servicio de directorio LDAP, puede seleccionar una consulta LDAP predefinida en el campo Select Directory Server Query (Seleccionar consulta de servidor de directorio) y hacer clic en Run (Ejecutar). Los resultados de la consulta aparecen debajo de la propia consulta. Haga clic en OK (Aceptar) para agregar la consulta entera al grupo o seleccionar grupos o usuarios LDAP de los resultados y hacer clic en OK (Aceptar) para agregar esos usuarios y grupos al grupo del servidor IRM.

4. Si desea agregar varios grupos, dominios de autenticación o usuarios:

• Si había seleccionado Members of (Miembros de) en la sección Membership (Pertenencia) para incluir un grupo, dominio o usuario, seleccione la opción But Not (Pero no) para excluir otro grupo, dominio o usuario.

• Si había seleccionado Everyone but members of (Todos excepto los miembros de) en la sección Membership (Pertenencia) para excluir un grupo o dominio, seleccione And Also (Y también) para incluir un grupo, dominio o usuario.

5. Haga clic en Add (Agregar) bajo el nuevo cuadro de lista y repita los pasos de este procedimiento para agregar o excluir un grupo, dominio o usuario adicionales. También puede seleccionar But Not (Pero no) para excluir otro grupo, dominio o usuario.

Para finalizar la configuración de un grupo, debe especificar las restricciones y los permisos de inicio de sesión. Para obtener información sobre la configuración de restricciones para el inicio de sesión, consulte “Configuración de restricciones de inicio de sesión” en la página 58. Para obtener más información sobre los permisos, consulte “Configuración de permisos de contenido y derechos administrativos” en la página 60.

Dominios de SecurID o usuarios

No puede hacer referencia a los grupos definidos en su servidor de SecurID en los grupos definidos en el servidor IRM. Para agregar o excluir un dominio de SecurID o usuarios específicos de ese dominio:

1. Seleccione un dominio de SecurID que desee incluir o excluir, o que contenga a los usuarios que desea incluir o excluir, en el campo Groups and Authentication Domains (Grupos y Dominios de autenticación).

2. Haga clic en OK (Aceptar) para incluir o excluir ese dominio entero en su grupo, o introduzca el nombre de usuario en el campo Enter optional SecurID user name (Introduzca nombre de usuario opcional de SecurID) y haga clic en OK (Aceptar), si desea incluir o excluir un usuario específico.

3. Puede agregar varios dominios, grupos o usuarios:

• Si había seleccionado Members of (Miembros de) en la sección Membership (Pertenencia) para incluir un dominio o usuario, seleccione la opción But Not (Pero no) para excluir otro dominio, grupo o usuario.

• Si había seleccionado Everyone but members of (Todos excepto los miembros de) en la sección Membership (Pertenencia) para excluir un grupo o dominio o usuario, seleccione And Also (Y también) para incluir un dominio, grupo o usuario.


4. Haga clic en Add (Agregar) bajo el nuevo cuadro de lista y repita todos los pasos de este procedimiento para agregar o excluir un grupo, dominio o usuario adicionales. También puede seleccionar But Not (Pero no) para excluir otro grupo, dominio o usuario.


Dominios de certificado o usuarios

Si desea agregar o excluir un dominio de certificado o a los miembros de un dominio de certificado:

1. Seleccione el dominio de certificado que desee incluir o excluir, o que contenga a los miembros que desea incluir o excluir, en el campo Groups and Authentication Domains (Grupos y Dominios de autenticación). Cuando seleccione un dominio de certificado, aparecerá el cuadro de diálogo siguiente:


• Introduzca la información apropiada en los campos de atributo que quiere utilizar como filtros para usuarios de certificado y haga clic en OK (Aceptar). Si deja vacíos los campos de atributo, el servidor IRM agrega todos los usuarios en el dominio Certificate (Certificado). También especificar usuarios particulares que tienen un certificado firmado por la entidad emisora para este dominio. Cuando rellena los campos de este cuadro de diálogo, requiere que los usuarios que realicen la autenticación con el servidor IRM tengan una coincidencia exacta de esta información en el certificado que ellos utilizan. Si hay alguna discrepancia, la autorización falla.

Nota: Haga clic en el botón Import Certificate (Importar certificado) y seleccione From Clipboard (Desde Portapapeles) o From File (Desde archivo) si desea importar automáticamente los atributos de un archivo .PEM o .DER en los campos de atributo. Esto puede evitar que cometa algún error cuando introduce los atributos.


• Si la opción Query Directory Service for Groups and Users (Consultar servicio de directorio para grupos y usuarios) aparece porque tiene un dominio de certificado con capacidades LDAP, lo puede seleccionar para consultar al servicio de directorio LDAP. Esta opción sólo aparece si el dominio de certificado que seleccionó tiene capacidades LDAP. Si decide consultar el servicio de directorio LDAP, puede seleccionar una consulta LDAP predefinida en el campo Select Directory Server Query (Seleccionar consulta de servidor de directorio) y hacer clic en Run (Ejecutar). Los resultados de la consulta aparecen debajo de la propia consulta. Haga clic en OK (Aceptar) para agregar la consulta entera al grupo o seleccionar grupos o usuarios LDAP de los resultados para agregar esos usuarios y grupos específicos al grupo del servidor IRM. Si agrega una consulta, el servidor IRM ejecuta la consulta cuando los usuarios de este grupo inician una sesión. Esto le permite establecer una consulta para todos los usuarios con el máximo permiso secreto y cambiar quién tiene este nivel de permiso sin cambiar el grupo de servidor IRM:

3. Puede agregar varios grupos, dominios o usuarios:

• Si había seleccionado Members of (Miembros de) en la sección Membership (Pertenencia) para incluir un grupo, dominio o usuario, seleccione la opción But Not (Pero no) para excluir otro grupo, dominio o usuario.

• Si había seleccionado Everyone but members of (Todos excepto los miembros de) en la sección Membership (Pertenencia) para excluir un grupo, dominio o usuario, seleccione And Also (Y también) para incluir un grupo, dominio o usuario.

4. Haga clic en Add (Agregar) bajo el nuevo cuadro de lista y repita todos los pasos de este procedimiento para agregar o excluir un grupo, dominio o usuario adicionales. También puede seleccionar But Not (Pero no) para excluir otro grupo, dominio o usuario.



El cuadro de diálogo siguiente muestra un grupo denominado secretkey_except_rsmith que incluye a todos los usuarios del dominio de contraseña secreta compartida (\\pvserver), pero excluye a un usuario llamado rsmith:

Configuración de restricciones de inicio de sesiónEn la sección Login Restrictions (Restricciones de inicio de sesión) del cuadro de diálogo Add group (Agregar grupo), puede seleccionar la categoría Network Entities (Entidades de red) o la categoría Time Restrictions (Restricciones de tiempo) y hacer clic en Add (Agregar) para agregar una entidad de red o una restricción de tiempo. Si no aparecen ninguna entidad de red ni restricciones de tiempo cuando hace clic en Add (Agregar), consulte “Descripción general de entidades de red y especificaciones de tiempo” en la página 25 para obtener información en sobre cómo agregar elementos a estas categorías. Esto garantiza que los miembros de este grupo sólo podrán acceder al servidor IRM durante periodos de tiempo específicos o desde la dirección de red especificada.

Si no agrega ninguna entidad de red a un grupo, de forma predeterminada, los usuarios de este grupo podrán conectar desde cualquier entidad de red. Si agrega una entidad de la red o una lista de entidades de red, los usuarios de este grupo sólo podrán acceder al servidor IRM desde esas entidades de red. El servidor IRM deniega el acceso a los usuarios que intentan acceder al servidor IRM desde cualquier otra dirección de red.


El servidor IRM evalúa las entidades de red en el orden de listado. Si desea permitir el acceso a todos los miembros del grupo desde un dominio, por ejemplo empresa.com, pero desea denegar el acceso desde un host particular de ese dominio, debe agregar el nombre de host de ese equipo y especificar Deny (Denegar). Luego agregue el dominio entero y especifique Allow (Permitir). Ese host concreto debe constar antes que el dominio entero en la lista de entidades de red. En este ejemplo, el cuadro de diálogo Add group (Agregar grupo) aparece de la siguiente forma, con ese host concreto denegado y un dominio entero permitido:

Si el dominio se agrega antes que el host de ese dominio al que se quiere denegar el acceso, el servidor IRM admitirá también a ese host particular aunque se especifique Deny (Denegar).

En la jerarquía de autorización, el servidor evalúa las restricciones de inicio de sesión antes que los permisos. Por ejemplo, crea un grupo con una restricción de tiempo que sólo permite que los usuarios de ese grupo accedan al servidor IRM entre las 9 de la mañana y las 5 de la tarde. en días laborables y permite a los usuarios imprimir el contenido protegido. Incluso si algún usuario de ese grupo también es miembro de otro grupo que no puede imprimir el contenido protegido en ningún momento, ese usuario puede imprimir el contenido protegido entre las 9 de la mañana y las 5 de la tarde. en días laborables. Sin embargo, el servidor IRM no tiene en cuenta este grupo durante el fin de semana, para que el usuario no pueda imprimir contenido protegido durante el fin de semana.

El botón Dates (Fechas) controla las fechas válidas y las fechas de caducidad. Las fechas válidas son las fechas en las que un grupo puede acceder al servidor IRM. No se puede establecer una fecha de caducidad para los grupos y la sección aparece inactiva. Para conocer cómo se establecen las fechas de caducidad para documentos protegidos, consulte “Capítulo 8, Configuración de directivas para documentos”.


Por ejemplo, contrata a un consultor durante 90 días, podría establecer las fechas válidas para el grupo del consultor desde la fecha actual hasta la fecha de dentro de 90 días. Esto garantiza que el usuario no podrá iniciar sesión en el servidor IRM ni acceder a la información cuando hayan transcurrido esos 90 días, incluso si alguna directiva de correo electrónico o de documento tiene una fecha de caducidad posterior a los 90 días. Para establecer fechas válidas:

1. Haga clic en Dates (Fechas). Aparecerá el siguiente cuadro de diálogo:

2. Seleccione Apply to Group (Aplicar a grupo) en la sección Valid Dates (Fechas válidas) para cambiar las fechas de vigencia del grupo.

3. Seleccione las fechas From (Desde) y Until (Hasta) y los tiempos mediante las listas desplegables proporcionadas.

4. Haga clic en OK (Aceptar) para guardar los cambios.

Configuración de permisos de contenido y derechos administrativosEn la sección Content Permissions (Permisos de contenido) del cuadro de diálogo Add/Edit Group (Agregar/Editar grupo), puede establecer los permisos que desea conceder a los miembros del grupo. Estos permisos se combinan con los permisos concedidos en las restricciones de servidor y la directiva de documento para determinar qué derechos tiene un usuario con respecto al contenido protegido. Estos permisos incluyen ver, imprimir, proteger y eliminar contenido protegido.

Para obtener más información sobre los permisos, consulte “Permisos” en la página 19. Para obtener información sobre la configuración de permisos en las restricciones de servidor y las plantillas de directiva de documento, consulte “Capítulo 6, Configuración de restricciones del servidor” y “Capítulo 8, Configuración de directivas para documentos”. Para obtener información sobre la configuración de permisos en mensajes de correo electrónico protegidos, consulte la Ayuda de IRM Client for E-Mail. Para obtener más información sobre la modificación de los permisos de directivas, consulte “Capítulo 9, Gestión de directivas”.

La sección Content Permissions (Permisos de contenido) también le permite el acceso para configurar los derechos administrativos de un grupo. De forma predeterminada, los grupos no tienen derechos administrativos. Hay seis tipos de derechos administrativos:

• Los derechos de User Management (Administración de usuarios) dan acceso al grupo a todos los demás grupos, usuarios, dominios de autenticación, usuarios de correo electrónico y cualquier otra opción del menú Users (Usuarios) en IRM Server Administrator. Si está en un grupo con la opción Read-Write (Lectura-Escritura) establecida en este campo, también le permite ver los resultados de una consulta LDAP restringida cuando no aparece en la lista de usuarios que pueden ver los resultados de la consulta. Sin embargo, incluso con la opción Read-Write (Lectura-Escritura) establecida en este campo, ningún miembro del grupo puede conceder a otros grupos ninguno de los derechos administrativos.

• Los derechos de Policy Management (Gestión de directivas) dan acceso al grupo a restricciones de inicio de sesión, restricciones de servidor, directiva predeterminada, plantillas de directiva de documento globales, entidades de red globales, especificaciones de tiempo globales y marcas de agua.

• Los derechos de Content Management (Gestión de contenido) dan acceso al grupo a todo el contenido protegido en el servidor IRM.


• Los derechos de Log Management (Gestión de registro) dan acceso al grupo al registro de actividades y notificaciones del servidor IRM.

• Los derechos de Delete Any Content (Eliminar cualquier contenido) dan al grupo la capacidad de eliminar claves para cualquier contenido protegido en el servidor IRM. Si se selecciona este derecho administrativo también permite los derechos de gestión de contenido de sólo lectura.

• Los derechos de Full Administrator (Administrador con derechos plenos) permiten al grupo activar automáticamente todos los derechos anteriores (concediendo a cada uno de ellos la configuración de Lectura-Escritura). Si selecciona la opción Yes (Sí) situada junto a Full Administrator Rights (Derechos plenos de administrador), los miembros de este grupo pueden conceder derechos de administración de grupo y modificar la pertenencia de los grupos de administrador.

Para conceder derechos administrativos:

1. Haga clic en Admin Rights (Derechos de administración). Aparecerá el siguiente cuadro de diálogo:

2. Seleccione una de las siguientes opciones de las listas desplegables para asignar al usuario un nivel de acceso con respecto al derecho administrativo correspondiente:

• None (Ninguno) no permite al grupo acceso a la información.

• Read-Only (Sólo lectura) permite al usuario leer pero no modificar la información. La concesión de Read-Only (Sólo lectura) o Read-Write (Lectura-Escritura) permite al usuario tener acceso a la característica IRM Client View Activity (Actividad de visualización de cliente IRM).

• Read-Write (Lectura-Escritura) permite al usuario crear, eliminar, leer y modificar la información. Si tiene derechos de gestión de contenido de lectura-escritura, no podrá eliminar las directivas de documento o de correo electrónico que pertenecen a otros usuarios a menos que tenga derechos administrativos Delete Any Content (Eliminar cualquier contenido).

Por ejemplo, si selecciona la opción Read-Only (Sólo lectura) situada junto a Policy Management (Gestión de directivas), los miembros del grupo podrán ver la directiva predeterminada, pero no modificarla. Si selecciona Read-Write (Lectura-Escritura), los miembros del grupo podrán modificar la directiva predeterminada.



La tabla siguiente muestra los derechos administrativos de un grupo cuando se selecciona la opción Read-Only (Sólo lectura) y Read-Write (Lectura-Escritura) en cada categoría:

Read-Only (Sólo lectura) Read-Write (Lectura-Escritura)

User Management (Administración de usuarios)

Permite al grupo ver pero no modificar todos los grupos, usuarios, dominios de autenticación, usuarios de correo electrónico y cualquier otra opción del menú Users (Usuarios) de IRM Server Administrator.

Permite al grupo ver pero y modificar todos los grupos, usuarios, dominios de autenticación, usuarios de correo electrónico y cualquier otra opción del menú Users (Usuarios). También permite al grupo ver los resultados de una consulta LDAP restringida cuando no aparece en la lista de usuarios que pueden ver los resultados de la consulta. Los miembros no pueden modificar los derechos administrativos de ningún grupo ni la pertenencia de grupos administrativos.

Policy Management (Gestión de directivas)

Permite al grupo ver pero no modificar las restricciones de inicio de sesión, restricciones de servidor, directiva predeterminada, plantillas de directiva de documento globales, entidades de red globales, especificaciones de tiempo globales y marcas de agua.

Permite al grupo ver, modificar y eliminar las restricciones de inicio de sesión, restricciones de servidor, directiva predeterminada, plantillas de directiva de documento globales, entidades de red globales, especificaciones de tiempo globales y marcas de agua.

Content Management (Gestión de contenido)

Permite al grupo ver, pero no modificar, cualquier directiva de correo electrónico o de documentos, y permite el acceso a la característica IRM Client View Activity (Actividad de visualización de cliente IRM).

Permite al grupo ver y modificar cualquier directiva de correo electrónico o de documentos, y permite el acceso a la característica IRM Client View Activity (Actividad de visualización de cliente IRM).

Log Management (Gestión de registro)

Permite al grupo ver el registro de actividades y las notificaciones del servidor IRM.

Permite al grupo ver el registro de actividades del servidor IRM, pero no modificarlo, y modificar las notificaciones.


Capítulo 6Configuración de restricciones del servidor

Este capítulo proporciona una descripción general de las restricciones de servidor. Explica cómo se agregan autorizaciones para grupos, para dominios de autenticación o para usuarios, cómo se establecen los permisos, cómo se determina una duración clave para el contenido caducado, y cómo se define la fecha de caducidad deseada para caducarán las directivas de correo electrónico.

Descripción general de restricciones del servidorLas restricciones del servidor controlan el servidor IRM completo. Constituyen uno de los niveles de autorización que un administrador de servidor IRM establece después de configurar las restricciones de inicio de sesión y crear los grupos, los dominios de autenticación o los usuarios. El servidor IRM aplica cualquier autorización definida en las restricciones de servidor para cada usuario que accede al servidor y todo el contenido protegido por el servidor. Por ejemplo, si las restricciones de servidor no permiten imprimir, los usuarios no podrán imprimir ningún contenido protegido por el servidor, independientemente de la directiva que protege ese contenido.

En las restricciones de servidor, puede permitir que un usuario o grupo acceda a todo el contenido protegido por este servidor. También puede establecer permisos para determinar si desea o no permitir la impresión, el copiado, el acceso como invitado, la posibilidad de trabajar sin conexión o la posibilidad de seleccionar marcas de agua. Además, puede escoger si desea o no que el servidor IRM elimine las claves al contenido protegido cuando el contenido caduca, o que conserve las claves en el servidor durante un determinado periodo de tiempo después de la fecha de caducidad de la directiva. Cuando se elimina el contenido protegido, se eliminan las claves de directiva y de contenido del servidor IRM, haciendo que el contenido protegido quede inaccesible de forma permanente para todos. Cuando se hace caducar el contenido, se establece una fecha de caducidad en la directiva para que los usuarios no puedan acceder al contenido protegido una vez que se alcanza esa fecha. Según cómo configure las restricciones del servidor, la directiva caducada y sus claves pueden permanecer en el servidor IRM y los administradores pueden reactivar el contenido accediendo a la directiva y cambiando la fecha de caducidad.

También puede establecer cuándo desea que el servidor IRM haga caducar los mensajes de correo electrónico protegidos. El servidor IRM hace caducar los mensajes después del periodo de tiempo definido, incluso si los remitentes establecen una hora de caducidad distinta para ellos.

Si permite el permiso para trabajar sin conexión, usted determina cuánto tiempo pueden acceder los usuarios al contenido protegido no estando conectados. Cuando los usuarios vuelven a conectar al servidor IRM, quizá deseen reiniciar el periodo de acceso sin conexión para que puedan volver a trabajar sin conexión. A esto se denomina actualizar el acceso sin conexión. Algunos clientes IRM realizan esta actualización automáticamente. Si hay demasiadas solicitudes de actualización el rendimiento del servidor se puede ver afectado, por eso, puede controlar la frecuencia con la que los usuarios pueden actualizar el periodo de duración de acceso sin conexión.

Debe tener derechos administrativos de gestión de directivas de lectura-escritura en alguno de sus grupos para poder acceder y modificar las restricciones del servidor. Si sólo tiene derechos administrativos de gestión de directivas de lectura, sólo podrá acceder a las restricciones del servidor. No podrá modificarlas. Si precisa más información sobre la configuración de estos derechos, consulte “Configuración de permisos de contenido y derechos administrativos” en la página 60.

Adición de autorización para grupos, dominios o usuariosCuando agrega un grupo, dominio de autenticación o usuario en la sección Authorizations (Autorizaciones), lo que hace es permitir a esos usuarios acceder a todo el contenido protegido independientemente de si la directiva de documento les da permiso o no. Sólo debe utilizar esta sección si desea crear un "superusuario" que pueda ver todo el contenido. En caso contrario, deje esta sección vacía.

Nota: Si especifica Deny (Denegar), el usuario o el grupo no podrán acceder al contenido protegido independientemente de los permisos que les conceda la directiva de documento. Normalmente, esto no se utiliza; en su lugar, lo que se hace es desactivar la cuenta.

Configuración de restricciones del servidor — 63

Realice lo siguiente para permitir a los usuarios que accedan a todo el contenido protegido:

1. Seleccione Policy (Directiva) > Server Restrictions (Restricciones de servidor). Aparecerá el cuadro de diálogo Server Restrictions (Restricciones de servidor):

2. Seleccione Users and Groups (Usuarios y grupos) y haga clic en Add (Agregar). Aparecerá el siguiente cuadro de diálogo:

El campo Groups and Authentication Domains (Grupos y Dominios de autenticación) presenta una lista de todos los dominios de grupos y autenticación definidos en el servidor IRM. La lista está ordenada alfabéticamente por grupo y luego por dominio de autenticación. Los dominios de autenticación comienzan por \\. Si no aparece ningún grupo, consulte “Capítulo 5, Gestión de usuarios y grupos” para crear grupos. Para obtener más información sobre los dominios de autenticación, consulte “Capítulo 3, Adición de dominios de autenticación”.

64 — Configuración de restricciones del servidor


• Seleccione un grupo. La descripción del grupo aparece en el campo Group Description (Descripción de grupo).

• Seleccione el dominio de contraseña secreta compartida (\\pvserver). El campo User (Usuario) muestra de forma predeterminada la opción All (Todos) Haga clic en Find Now (Buscar ahora) para mostrar una lista de todos los usuarios en ese dominio en el campo Select User Name (Seleccionar nombre de usuario). Puede seleccionar un usuario de esa lista de dominio, o deje la lista en la fila vacía para agregar todos los usuarios de ese dominio. Para encontrar un usuario particular en el dominio, seleccione Begins With (Comienza por) o Exactly (Exactamente) en la lista desplegable en el campo User (Usuario). A continuación, introduzca el texto correspondiente y haga clic en Find Now (Buscar ahora). El usuario que deseaba encontrar aparece en la lista Select User Name (Seleccionar nombre de usuario) para que lo elija.

• Seleccione un dominio de Windows. Puede introducir un nombre de usuario o un nombre de grupo en el campo Enter optional Windows domain user or group name (Introduzca un nombre de usuario o de grupo de dominio de Windows opcional). También puede dejar este campo vacío para agregar todos los usuarios de su dominio de Windows. Si selecciona un dominio de Windows con capacidades LDAP, puede seleccionar Query Directory Service for Groups and Users (Consultar servicio de directorio para grupos y usuarios) en vez de introducir la información en el campo Enter optional Windows domain user or group name (Introduzca un nombre de usuario o de grupo de dominio de Windows opcional). Si decide consultar el servicio de directorio LDAP, puede seleccionar una consulta LDAP predefinida en el campo Select Directory Server Query (Seleccionar consulta de servidor de directorio) y hacer clic en Run (Ejecutar). Los resultados de la consulta aparecen debajo de la propia consulta.

• Seleccione un dominio de contraseña LDAP. Puede introducir el nombre de usuario o el nombre distintivo del grupo o usuario LDAP en el campo Optionally Enter Username or the Distinguished Name of a User or Group (Introduzca opcionalmente un nombre de usuario o el nombre distintivo de un usuario o grupo, o seleccionar Query Directory Service for Groups and Users (Consultar servicio de directorio para grupos y usuarios). También puede dejar este campo vacío para agregar todos los usuarios de su dominio de contraseña LDAP. Si decide consultar el servicio de directorio LDAP, puede seleccionar una consulta LDAP predefinida en el campo Select Directory Server Query (Seleccionar consulta de servidor de directorio) y hacer clic en Run (Ejecutar). Los resultados de la consulta aparecen debajo de la propia consulta.

• Seleccione un dominio de SecurID. Puede introducir un nombre de usuario SecurID del usuario para agregar sólo un usuario específico, o puede dejar el campo vacío para agregar todos los usuarios de su dominio de SecurID.

• Seleccione un dominio de certificado. Puede introducir el nombre habitual que aparece en el certificado de un usuario, o cualquier otro atributo de certificado, para agregar un usuario de certificado específico. Si selecciona un dominio de certificado con capacidades LDAP, puede seleccionar una consulta LDAP predefinida en el campo Select Directory Server Query (Seleccionar consulta de servidor de directorio) y haga clic en Run (Ejecutar). Los resultados de la consulta aparecen debajo de la propia consulta.

4. Seleccione Allow (Permitir).


6. Continúe en la sección siguiente para establecer los permisos para el servidor IRM. Si no desea establecer ni cambiar los permisos del servidor, haga clic en Save (Guardar).

De forma opcional, puede seleccionar un elemento de la sección Authorizations (Autorizaciones) y hacer clic en Info (Información) para ver sus detalles. Para eliminar un elemento de la categoría Users and Groups (Usuarios y grupos), amplíe la categoría, seleccione el elemento y haga clic en Delete (Eliminar).


Configuración de permisos en restricciones del servidorEl administrador determina qué permisos se permiten a los usuarios y a las directivas en este servidor IRM. Los permisos que no estén habilitados no podrán ser utilizados por usuarios ni por clientes IRM cuando se protege el contenido. Puede habilitar o puede deshabilitar los permisos siguientes:

Continúe en las secciones siguientes para definir la duración de clave, determinar cuándo desea que caduquen los mensajes de correo electrónico y controlar las solicitudes de actualización del acceso sin conexión.

Para cancelar su configuración, haga clic en Revert (Revertir) antes de hacer clic en Save (Guardar) para conservar la última configuración guardada.

Configuración de duración de clave para el contenido caducadoLa sección Key Duration (Duración de clave) le permite eliminar o conservar las claves del contenido caducado. Cuando los usuarios protegen el contenido o las directivas de acceso, pueden establecer una fecha y una hora de caducidad para el contenido protegido. Cuando llegan la fecha y la hora de caducidad, el servidor IRM hace caducar el contenido y elimina sus claves a menos que se establezca la duración de clave para conservar las claves. Sin las claves, nadie puede volver a acceder jamás al contenido protegido. Seleccione una de las siguientes opciones para determinar la duración clave del contenido caducado:

• Delete keys when content when expires (Eliminar claves cuando caduca el contenido). Cuando el contenido caduca, las claves se eliminan y nadie puede volver acceder a ese contenido.

• Retain keys minimum of <number> days after document creation (Conservar claves un mínimo de <número> días después de la creación del documento). La creación del documento es cuando el usuario protege el contenido. Cuando el contenido caduca, las claves permanecen disponibles durante el número de días establecido. Durante ese tiempo, los usuarios con derechos administrativos de gestión de contenido de lectura-escritura pueden acceder y modificar el contenido protegido.

• Never automatically delete keys (No eliminar nunca las claves automáticamente); no obstante, las claves se podrán eliminar manualmente.

Imprimir Permite a los usuarios imprimir contenido protegido.

Select Text and Graphics (Seleccionar texto y gráficos)

Permite a los usuarios copiar texto y gráficos del contenido protegido.

Acceso como invitado

Permite a los usuarios ver el contenido sin necesidad de iniciar una sesión en el servidor IRM. Si necesita más información, consulte “Permitir acceso como invitado” en la página 20.

Edit (Editar) Permite a los usuarios editar documentos. Esto sólo se aplica a documentos de Microsoft Office.

Maximum Lease Duration (days) (Duración máxima de contrato (días))

Establece el número de días que un usuario puede acceder al contenido protegido no estando conectado. Si necesita más información, consulte “Trabajar sin conexión” en la página 20.

Watermark (Marca de agua)

Le permite seleccionar una marca de agua existente para aplicarla a documentos protegidos. Si selecciona una marca de agua, ésta aparece en todos los documentos incluso si los usuarios no seleccionan marcas de agua en las directivas que aplican a los documentos. Si no aparece ninguna marca de agua en la lista desplegable, consulte “Capítulo 10, Trabajo con marcas de agua”.


Por ejemplo, puede configurar la duración de clave del servidor IRM para conservar las claves del contenido caducado durante 90 días. Un usuario crea entonces un documento protegido el 3 de diciembre de 2005 con fecha de caducidad el 31 de diciembre de 2005. El 1 de enero de 2006, un administrador del servidor IRM con los derechos apropiados puede reactivar el contenido durante otros 60 días. La reactivación del contenido no cambia la duración de la clave establecida en las restricciones de servidor. Si precisa más información sobre la reactivación de contenido protegido, consulte “Capítulo 9, Gestión de directivas”.

Si luego decide hacer caducar el contenido que había reactivado, puede volver a cambiar la fecha de caducidad de la directiva. Si desea eliminar el contenido de forma permanente, tendrá que eliminar sus claves. Para hacer esto, acceda al contenido protegido desde el menú Content (Contenido). El menú Content (Contenido) incluye las opciones que le permiten ver todas las directivas del servidor. A continuación, puede seleccionar el contenido que desea eliminar de la lista. Este proceso elimina permanentemente las claves del contenido incluso si su servidor IRM tiene un parámetro de tiempo de duración de la clave prolongado o ilimitado porque, al eliminar la directiva, se eliminan también las claves.

Continúe en las secciones siguientes para determinar cuándo desea que caduquen los mensajes de correo electrónico, o permitir a los usuarios actualizar el acceso sin conexión. Para cancelar su configuración, haga clic en Revert (Revertir) antes de hacer clic en Save (Guardar) para conservar la última configuración guardada.

Configuración de la fecha de caducidad de los mensajes de correo electrónico

Esta sección de las restricciones del servidor le permite establecer cuándo van a caducar los mensajes de correo electrónico protegidos. Si el usuario define una fecha de caducidad para el mensaje de correo electrónico en la directiva, el servidor aplica la fecha más restrictiva para hacer caducar el mensaje. Por ejemplo, si un usuario protege un mensaje de correo electrónico el 17 de diciembre con una directiva que tiene una fecha de caducidad definida para el 26 de diciembre, pero las restricciones del servidor tienen un valor de 5 días en la opción Expire e-mail messages (Hacer caducar mensajes de correo electrónico), el servidor IRM hace caducar ese mensaje de correo electrónico el 22 de diciembre. Si un usuario protege un mensaje de correo electrónico el 17 de diciembre con una directiva que tiene una fecha de caducidad definida para el 18 de diciembre, pero las restricciones del servidor tienen un valor de 5 días en la opción Expire e-mail messages (Hacer caducar mensajes de correo electrónico), el servidor IRM hace caducar ese mensaje de correo electrónico el 18 de diciembre. Si el usuario nunca especifica una fecha de vencimiento en la directiva, el servidor IRM hace caducar el mensaje en el momento definido en las restricciones del servidor.

Si el administrador y el usuario que protege el mensaje de correo electrónico no especifican una fecha de caducidad para los mensajes de correo electrónico, éstos permanecerán activos indefinidamente. Para establecer la caducidad del correo electrónico en las restricciones del servidor:

1. Seleccione Expire e-mail messages (Hacer caducar mensajes de correo electrónico).

2. Introduzca un número de hasta tres dígitos y seleccione Years (Años), Months (Meses), Days (Días), Hours (Horas), Minutes (Minutos) o Seconds (Segundos) en el menú desplegable. La fecha introducida empieza el día en que el usuario protege el mensaje de correo electrónico. Si deja el número en cero (valor predeterminado), este parámetro permanece inactivo y el servidor IRM no hace caducar los mensajes de correo electrónico automáticamente.

3. Continúe en la sección siguiente para permitir a los usuarios actualizar el acceso sin conexión. En caso contrario, haga clic en Save (Guardar).

Si decide cancelar su configuración, haga clic en Revert (Revertir) antes de hacer clic en Save (Guardar) para conservar la última configuración guardada.

Control de la frecuencia de actualización del acceso sin conexiónEn Permisos, determine el periodo de tiempo máximo que un usuario podrá acceder al contenido protegido sin estar conectado al servidor IRM. Cuando los usuarios vuelven a conectar al servidor IRM, quizá deseen reiniciar el periodo de acceso sin conexión para que puedan volver a trabajar sin conexión. A esto se denomina actualizar el acceso sin conexión. Algunos clientes IRM realizan esta actualización automáticamente. Si hay demasiadas solicitudes de actualización el rendimiento del servidor se puede ver afectado, por eso, puede controlar la frecuencia con la que los usuarios pueden actualizar el periodo de duración de acceso sin conexión en la sección Refresh Offline Access When (Actualizar acceso sin conexión cuando) del cuadro de diálogo Server Restrictions (Restricciones de servidor).


Por ejemplo, la opción Maximum Lease Duration (days) (Duración máxima de contrato (días)) es 5 días. En el día tercero, el usuario se conecta de nuevo al servidor IRM y actualiza el acceso sin conexión para un documento protegido. El tiempo de acceso sin conexión a ese documento es ahora de 5 días a partir del momento en que se realizó la actualización. Si necesita más información, consulte “Trabajar sin conexión” en la página 20.

Para limitar la frecuencia de las solicitudes de actualización de acceso sin conexión, configure las condiciones siguientes:

1. En access expires within # days (acceso caduca dentro de # días), se determina que sólo se puede actualizar el acceso sin conexión que debe caducar en el número de días especificado. Especifique el número de días (de 1 a 999). Esta condición es siempre verdadera si introduce un número igual a o superior al número indicado en el campo Maximum Lease Duration (days) (Duración máxima de contrato (días)).

2. En content has been accessed within # days (se ha accedido al contenido en un plazo de # días), se determina que un usuario cliente debe acceder al contenido protegido dentro del plazo de un número específico de días para poder actualizar el acceso sin conexión. Especifique el número de días (de 1 a 999).

3. En access has not been refreshed within # hours (no se ha actualizado el acceso en un plazo de # horas), se determina que el acceso sin conexión no se puede actualizar más de una vez en un número específico de horas. Especifique el número de horas (de 1 a 24).


Un cliente IRM sólo puede actualizar el acceso sin conexión cuando TODAS estas condiciones son verdaderas.

NOTA: por razones de rendimiento, debe minimizar el número de veces que el servidor IRM permite a los clientes actualizar el acceso sin conexión. Para hacer esto, aumente el número de días en los dos primeros campos, y reduzca el número de horas en el último campo.

Configuración del nivel de protección de PDFEl servidor IRM permite dos niveles de protección para los documentos PDF:

• Document Level (Nivel de documento) aplica una sola directiva y clave de cifrado de 128 bits al documento y a todas las páginas.

• Page Level (Nivel de página) aplica una clave de cifrado de 256 bits diferente a cada página. Además, los usuarios cliente pueden aplicar un conjunto de permisos diferentes a las páginas seleccionadas del documento protegido.

El administrador especifica el nivel de protección para todos los documentos PDF. Asimismo, puede permitir a los usuarios cliente escoger entre los dos niveles de protección. Si permite a los usuarios escoger, el nivel de protección especificado pasa a ser la configuración predeterminada.

La sección Document Level Encryption Algorithm (Algoritmo de cifrado de nivel de documento) sólo se aplica cuando Document Level (Nivel de documento) está seleccionado. Le permite seleccionar el uso del algoritmo RC4 o AES cuando los usuarios protegen documentos PDF.

• RC4: seleccione este algoritmo si los usuarios han protegido documentos con IRM Client for Adobe Acrobat V4.2.

• AES: seleccione este algoritmo sólo si los usuarios utilizarán IRM Client for Adobe Acrobat V4.5 o una versión superior.

NOTA: si se selecciona la opción Page Level (Nivel de página) en un documento extenso, el rendimiento puede verse reducido.

Para establecer el nivel de protección, seleccione Settings (Configuración) > PDF Settings (Configuración de PDF) en la barra de menús de IRM Server Administrator.


Capítulo 7Configuración de direcciones y usuarios de correo electrónico

Este capítulo explica cómo se configuran y gestionan las direcciones de correo electrónico conocidas y desconocidas para destinatarios de mensajes de correo electrónico protegidos. En él se incluyen los pasos para asignar las direcciones de correo electrónico de los usuarios conocidos y luego explica cómo se configura una regla de dirección de correo electrónico sin asignar para gestionar las direcciones de correo electrónico desconocidas. También incluye los pasos para modificar el mensaje de bienvenida que el servidor IRM puede enviar a los destinatarios desconocidos cuando reciben por primera vez un mensaje de correo electrónico protegido. Si ninguno de los usuarios que accede a su servidor IRM utiliza correo electrónico protegido, no necesita leer este capítulo.

Descripción general de asignación de direcciones de correo electrónico de usuario

Si sabe que los usuarios de determinadas direcciones de correo electrónico reciben mensajes protegidos, puede asignar estas direcciones de correo electrónico en el servidor IRM antes de que los usuarios reciban su primer mensaje de correo electrónico protegido. El servidor IRM debe autenticar a los destinatarios de correo electrónico y asignar sus direcciones de correo electrónico a grupos existentes, dominios de autenticación o usuarios para permitir a los destinatarios abrir sus mensajes. El proceso de asignación asocia permanentemente la dirección de correo electrónico con el grupo, dominio o usuario que se especifica. Por ejemplo, quizá desee agregar direcciones de correo electrónico para cada usuario de su organización si necesitan intercambiar mensajes confidenciales de correo electrónico.

Si no desea asignar las direcciones de correo electrónico que conoce manualmente, o si no conoce todas las direcciones de correo electrónico de los destinatarios de correo electrónico, debe establecer la regla para usuarios de correo electrónico desconocidos. La regla que selecciona determina si se pueden autenticar o no los destinatarios desconocidos y si pueden abrir los mensajes de correo electrónico protegidos. Si necesita más información, consulte “Descripción general de configuración de direcciones de correo electrónico desconocidas” en la página 71.

Nota: Si tiene direcciones de correo electrónico ya definidas en un servidor LDAP y configura el campo Atributo de correo electrónico en sus propiedades de directorio LDAP, no necesita agregar las direcciones de correo electrónico manualmente y el servidor IRM no los trata como desconocidas. Cuando los usuarios inician una sesión con LDAP, sus direcciones de correo electrónico aparecen en el mapa, pero no están asignadas a un grupo ni a un usuario. Tenga en cuenta que los usuarios LDAP no aparecen en la sección Mapped Users and Groups (Grupos y usuarios asignados) del cuadro de diálogo Users (Usuarios) hasta que se envía un correo electrónico a ese usuario. El servidor IRM trata a estos usuarios como si estuvieran asignados. Aún debe configurar la regla para destinatarios desconocidos de correo electrónico. Para establecer las propiedades de su directorio LDAP, consulte “Capítulo 4, Utilización de LDAP con dominios de autenticación”.

Asignación de direcciones de correo electrónico conocidoCuando asigna direcciones de correo electrónico en el servidor IRM antes de que los usuarios envíen mensajes de correo electrónico protegidos, hace las cosas más fáciles para los destinatarios. Por ejemplo, si envía los mensajes a destinatarios no asignados, el servidor IRM envía un mensaje de bienvenida con su primer mensaje de correo electrónico protegido. El mensaje de bienvenida permite a los destinatarios registrar su dirección de correo electrónico con el servidor IRM. Los destinatarios asignados no reciben ningún mensaje de bienvenida con su primer mensaje de correo electrónico protegido porque ellos ya tienen direcciones registradas. Si se reduce el número de mensajes que el destinatario recibe, se simplifica el proceso de apertura del primer mensaje de correo electrónico protegido. La asignación de usuarios antes de que reciban su primer mensaje garantiza también la asignación correcta de las listas de correo.

Configuración de direcciones y usuarios de correo electrónico — 69

Si su organización trabaja con Exchange Server, el servidor IRM admite automáticamente las listas de correo electrónico definidas en él, sin ninguna asignación específica definida. También admite las listas de correo electrónico definidas de forma local en su aplicación de correo, por ejemplo, las listas de sus contactos en Microsoft Outlook. El servidor IRM no admite automáticamente las listas de correo definido en un servidor Sendmail, pero esas listas de correo se pueden asignar manualmente. Por ejemplo, puede asignar la lista de correo [email protected] a \\pvserver\jdoe y \\pvserver\nweston. Son dos miembros del equipo Ventas que han compartido cuentas de usuario de contraseña secreta compartida en el servidor IRM.

Para asignar una dirección de correo electrónico en el servidor IRM:

1. Seleccione Users (Usuarios) > E-Mail Users (Usuarios de correo electrónico). Aparecerá el siguiente cuadro de diálogo:

2. Deje el campo Find (Buscar) definido como All (Todos) y haga clic en Find Now (Buscar ahora) para que aparezca la lista de usuarios de correo electrónico asignados existente. Puede comprobar la lista para ver si hay alguien que ya tenga una dirección de correo electrónico asignada.

3. Haga clic en Add (Agregar) en la sección Addresses (Direcciones) si necesita agregar una dirección. Aparecerá el cuadro de diálogo Add E-mail Address (Agregar dirección de correo electrónico).

4. Introduzca la dirección de correo electrónico de un usuario o una lista de correo y haga clic en OK (Aceptar). La dirección de correo electrónico aparece seleccionada en cursiva en la sección Addresses (Direcciones).

5. Haga clic en Add (Agregar) en la sección Mapped Users and Groups (Grupos y usuarios asignados). Aparecerá el cuadro de diálogo Select User or Group (Seleccionar grupo o usuario). Aquí podrá seleccionar un grupo, dominio de autenticación o usuario definido en el servidor IRM y asignarlo a la dirección de correo electrónico seleccionada. Si introdujo la dirección de correo electrónico de una lista de correo, puede seleccionar un grupo o varios nombres de usuario.

6. Seleccione un grupo o dominio en el campo Groups and Authentication Domains (Grupos y Dominios de autenticación). Para obtener información sobre la selección de un grupo o dominio, consulte el procedimiento en “Adición de autorización para grupos, dominios o usuarios” en la página 63.

7. Seleccione Allow (Permitir) o Deny (Denegar) para conceder o restringir el acceso al grupo, dominio o usuario mediante las restricciones de servidor.

8. Haga clic en Aceptar. El cuadro de diálogo E-Mail Users (Usuarios de correo electrónico) volverá a aparecer con los cambios realizados.


70 — Configuración de direcciones y usuarios de correo electrónico

Descripción general de configuración de direcciones de correo electrónico desconocidas

Si no conoce todas las direcciones de correo electrónico de los usuarios que recibirán los mensajes de correo electrónico protegidos o no quiere asignar manualmente las direcciones de correo electrónico que conoce, puede configurar el servidor IRM para que los destinatarios puedan abrir sus mensajes de correo electrónico protegidos. Para ello, establezca una regla de dirección de correo electrónico no asignada. Un unmapped recipient (destinatario no asignado) es alguien que recibe un mensaje de correo electrónico protegido en una dirección de correo electrónico que no está asignada a un grupo definido, al dominio de autenticación, ni al usuario en el cuadro de diálogo E-Mail Users (Usuarios de correo electrónico). Generalmente, los destinatarios no asignados son destinatarios que no pertenecen a la organización y cuyas direcciones de correo electrónico no conoce.

Nota: Puede seguir agregando direcciones asignadas incluso después de configurar el servidor IRM para que gestione los destinatarios no asignados.

Para establecer las reglas para los destinatarios no asignados, seleccione Users (Usuarios) > Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada). Se abrirá el siguiente cuadro de diálogo:

La sección E-mail Domains (Dominios de correo electrónico) le permite agregar y eliminar dominios de correo electrónico que pueden contener destinatarios no asignados. Esto le permite gestionar direcciones no asignadas en función de los dominios DNS (servidor de nombre de dominio). La sección E-mail Domains (Dominios de correo electrónico) contiene también un dominio <predeterminado> vinculado a una regla predeterminada de dirección de correo electrónico no asignada. Esto le permite controlar lo que sucede si no asignó al destinatario en el cuadro de diálogo E-Mail Users (Usuarios de correo electrónico) y el dominio de correo electrónico no aparece en el cuadro de diálogo Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada).

La sección Rule (Regla) del cuadro de diálogo contiene las opciones que se pueden seleccionar para los destinatarios no asignados en un dominio de correo electrónico particular. La regla que selecciona para un dominio de correo electrónico sólo se aplica a los destinatarios no asignados en el dominio. La regla no se aplica a los destinatarios asignados en el dominio. El dominio de correo electrónico <predeterminado> tiene una regla predeterminada de dirección de correo electrónico no asignada de Automatically create a shared secret user and map e-mail address (Crear automáticamente un usuario secreto compartido y asignar dirección de correo electrónico), pero puede cambiarla por cualquier regla que desee. Por ejemplo, puede elegir cualquiera de las reglas siguientes:

• Do not allow the user’s message to be sent if the user is not mapped (No permitir que el mensaje del usuario se envíe si el usuario no está asignado). Consulte “Envío de correo electrónico sólo a destinatarios asignados” en la página 72.


• Allow certificate authentication, requiring a matching e-mail address, and map e-mail address (Permitir la autenticación de certificado, requiriendo una dirección de correo electrónico coincidente, y asignar dirección de correo electrónico). Para obtener información sobre esta regla, consulte “Permiso de autenticación de certificado requiriendo una dirección de correo electrónico coincidente” en la página 72.

• Allow authentication with an existing authentication domain, group, or user and map e-mail address (Permitir la autenticación con un dominio de autenticación, grupo o usuario existentes y asignar dirección de correo electrónico). Consulte “Permiso de autenticación con grupo existente, dominio de autenticación o usuario” en la página 73.

• Automatically create a shared secret user and map e-mail address (Crear automáticamente un usuario secreto compartido y asignar dirección de correo electrónico). Consulte “Creación automática de una cuenta de usuario secreto compartido y asignación de dirección” en la página 73.

• Notify administrator when message is sent (Notificar al administrador cuando se envía el mensaje). Consulte “Notificación al administrador para que asigne manualmente los destinatarios” en la página 74.

El servidor IRM aplica la regla seleccionada al primer mensaje de correo electrónico protegido que recibe el usuario no asignado. El servidor IRM también puede enviar uno de tres mensajes de bienvenida distintas a los usuarios no asignados con su primer mensaje de correo electrónico protegido. El mensaje de bienvenida describe la aplicación IRM Client for E-Mail y proporciona los pasos que el usuario debe seguir para realizar la autenticación con el servidor IRM y abrir el mensaje. Si ha seleccionado una regla que asigna automáticamente usuarios cuando realizan la autenticación, el servidor IRM asigna sus direcciones de correo electrónico cuando abren el mensaje de bienvenida. Puede utilizar el mensaje de bienvenida predeterminado o modificarlo para satisfacer sus necesidades. Para modificar el mensaje de bienvenida, consulte “Modificación de los mensajes de bienvenida predeterminados” en la página 76.

Envío de correo electrónico sólo a destinatarios asignadosCuando selecciona la regla Do not allow the user’s message to be sent if the user is not mapped (No permitir que el mensaje del usuario se envíe si el usuario no está asignado) para un dominio de correo electrónico, el servidor IRM no permite que los remitentes envíen mensajes de correo electrónico protegidos a destinatarios no asignados en el dominio de correo electrónico. Los remitentes sólo pueden enviar mensajes de correo electrónico protegidos a los destinatarios asignados cuyas direcciones de correo electrónico aparecen en la lista y están asignadas a un dominio de autenticación, grupo o usuario en el cuadro de diálogo E-Mail Users (Usuarios de correo electrónico) o a usuarios LDAP conocidos porque el campo E-mail Attribute (Atributo de correo electrónico) está configurado en la ficha Directory Properties (Propiedades de directorio) del cuadro de diálogo Directory Service Configuration (Configuración del servicio de directorio). Para obtener información sobre la configuración de dominios de autenticación LDAP, consulte “Capítulo 4, Utilización de LDAP con dominios de autenticación”.

Cuando seleccione esta regla para un dominio de correo electrónico, asegúrese de haber asignado a todos los destinatarios del dominio. Éste es el nivel de seguridad más alto que puede aplicar. Cuando un remitente intenta enviar un mensaje de correo electrónico protegido en este dominio de correo electrónico y la dirección de correo electrónico no está asignada en el servidor IRM, el remitente recibe un mensaje informándole de que el correo electrónico no ha podido ser enviado. Si precisa información detallada, consulte “Configuración de reglas de dirección de correo electrónico no asignada” en la página 75.

Permiso de autenticación de certificado requiriendo una dirección de correo electrónico coincidente

Cuando selecciona la regla Allow certificate authentication, requiring a matching e-mail address, and map e-mail address (Permitir la autenticación de certificado, requiriendo una dirección de correo electrónico coincidente, y asignar dirección de correo electrónico) para un dominio de correo electrónico, los destinatarios deben realizar la autenticación con certificados en los que la dirección de correo electrónico de certificado coincida con la dirección de correo electrónico indicada en los campos Para, CC o CCO del mensaje de correo electrónico protegido. También puede especificar que el certificado coincida con otros atributos, además de la dirección de correo electrónico, para que la autenticación tenga lugar.


Cuando un destinatario no asignado abre un mensaje de correo electrónico protegido por primera vez, la dirección de correo electrónico del destinatario se asigna de forma permanente en el servidor IRM y aparece en el cuadro de diálogo E-Mail Users (Usuarios de correo electrónico). A partir de ahí, el servidor IRM gestiona la dirección igual que la de un destinatario asignado conocido. La selección de esta opción de autenticación de certificado para un dominio de correo electrónico garantiza un elevado nivel de seguridad porque los destinatarios deben tener certificados que coincidan con los criterios especificados. Si precisa información detallada, consulte “Configuración de reglas de dirección de correo electrónico no asignada” en la página 75.

Permiso de autenticación con grupo existente, dominio de autenticación o usuarioCuando selecciona la regla Allow authentication with an existing group, authentication domain, or user and map e-mail address (Permitir autenticación con un grupo existente, dominio de autenticación o usuario y asignar dirección de correo electrónico) para un dominio de correo electrónico, los destinatarios deben realizar la autenticación con un dominio de autenticación, grupo o usuario ya definidos en el servidor IRM.

Cuando los destinatarios no asignados ya tienen una cuenta en el servidor IRM, reciben un mensaje de bienvenida “Existing User” (Usuario existente) con su primer mensaje de correo electrónico protegido. El mensaje de bienvenida instruye al destinatario que haga clic en el anexo del mensaje, instale IRM Client for HTML con o sin la opción para instalar también IRM Client for E-Mail, y cree una cuenta en el servidor IRM. Para obtener más información sobre los mensajes de bienvenida, consulte “Modificación de los mensajes de bienvenida predeterminados” en la página 76.

Cuando el destinatario introduce el nombre de usuario y la contraseña correctos, el servidor IRM asocia la dirección de correo electrónico del destinatario con la cuenta del destinatario existente en el servidor IRM. Esto también crea una asignación en el cuadro de diálogo E-Mail Users (Usuarios de correo electrónico). Los usuarios pueden abrir entonces sus mensajes de correo electrónico protegidos con su cuenta y contraseña, igual que los usuarios de correo electrónico conocidos abren sus mensajes.

Si selecciona esta regla para un dominio de correo electrónico, tenga en cuenta que un usuario definido (por ejemplo, un administrador) podría interceptar y abrir los mensajes de correo electrónico protegidos de otro usuario. Sin embargo, si esto ocurriera, se puede identificar la dirección de correo electrónico del "pirata informático" a través de la asignación. También puede revisar el registro de actividades en el servidor IRM porque registra la actividad del contenido protegido. Tenga en cuenta que esto no se aplica si el destinatario está en un directorio LDAP conocido, donde el destinatario inicia una sesión en el dominio correcto. Para obtener más información, consulte “Configuración de reglas de dirección de correo electrónico no asignada” en la página 75 y “Capítulo 11, Control y gestión del servidor IRM”.

Creación automática de una cuenta de usuario secreto compartido y asignación de direcciónCuando selecciona la regla Automatically create a shared secret user and map e-mail address (Crear automáticamente un usuario secreto compartido y asignar dirección de correo electrónico) para un dominio de correo electrónico, los destinatarios no asignados realizan la autenticación con las cuentas de usuario secreto compartido creadas automáticamente. Cuando un usuario envía un mensaje de correo electrónico protegido a un destinatario desconocido, el servidor IRM:

• Crea una cuenta secreta compartida para el destinatario con un ID de usuario \\pvserver\<dirección de correo electrónico del destinatario> y envía al destinatario un mensaje de bienvenida de usuario nuevo que incluye un token de bienvenida.

• Crea un grupo de usuarios automáticamente inicializado (si no está ya creado) y agrega la cuenta de usuario secreto compartido del destinatario al grupo.

Cuando el destinatario abre el mensaje de bienvenida de usuario nuevo y hace clic en el anexo, ocurre lo siguiente:

• El destinatario instala IRM Client for HTML o IRM Client for E-Mail.

• El destinatario introduce y confirma una contraseña que completa la instalación de la cuenta secreta compartida en el servidor IRM.

• El servidor IRM asigna la dirección de correo electrónico del destinatario a la cuenta de usuario secreto compartido.


Esta regla proporciona el método menos seguro de gestión de destinatarios no asignados porque un usuario podría interceptar el mensaje de correo electrónico protegido y el mensaje de bienvenida de otro usuario, crear una cuenta a través del mensaje de bienvenida y ver el mensaje de correo electrónico protegido.

Cuando el primer usuario de un dominio de correo electrónico con esta regla abre un mensaje de correo electrónico protegido, el servidor IRM crea un grupo para los usuarios secretos compartidos creados automáticamente denominados Automatically initialized users (Usuarios inicializados automáticamente). Este grupo aparece cuando se abre el cuadro de diálogo Groups (Grupos) desde Users (Usuarios) > Groups (Grupos).

De forma predeterminada, el grupo de usuarios inicializados automáticamente tiene permiso sólo para ver los mensajes de correo electrónico protegidos, pero se pueden modificar los permisos del grupo como se explica en “Creación o edición de un grupo” en la página 52. Para obtener más información sobre los mensajes de bienvenida, consulte “Modificación de los mensajes de bienvenida predeterminados” en la página 76. Si precisa información detallada, consulte “Configuración de reglas de dirección de correo electrónico no asignada” en la página 75.

Notificación al administrador para que asigne manualmente los destinatariosCuando selecciona la regla Notify administrator when message is sent (Notificar al administrador cuando se envía el mensaje) para un dominio de correo electrónico, el servidor IRM envía al administrador especificado un correo electrónico cada vez que un remitente envía un mensaje de correo electrónico protegido a un destinatario no asignado. El correo electrónico notifica al administrador del servidor IRM que el destinatario necesita una cuenta en el servidor IRM. Hasta que esto suceda, el destinatario no podrá abrir el mensaje protegido.

Como el servidor IRM debe autenticar a los destinatarios de correo electrónico para que puedan abrir sus mensajes, los destinatarios no asignados reciben un mensaje de bienvenida “Existing User (Manual)” (Usuario existente (Manual)) con el primer mensaje de correo electrónico protegido que reciben. El mensaje de bienvenida los instruye para que hagan clic en el anexo del mensaje e instalen IRM Client for HTML con o sin la opción para instalar también IRM Client for E-Mail. También indica que deben ponerse en contacto con el administrador del servidor IRM para obtener información sobre la configuración de una cuenta.

Cuando el servidor IRM le notifica que se ha enviado un mensaje de correo electrónico protegido a un destinatario no asignado, debe establecer una nueva cuenta de usuario en el servidor IRM mediante la adición del destinatario a un dominio existente de grupo o autenticación (como se explica en “Capítulo 3, Adición de dominios de autenticación” y “Capítulo 5, Gestión de usuarios y grupos”. A continuación puede asignar la dirección de correo electrónico del destinatario a la nueva cuenta y ponerse en contacto con el destinatario mediante el ID de usuario, contraseña y cualquier otra información adicional. Ahora, el destinatario podrá iniciar una sesión en el servidor IRM, realizar la autenticación y abrir el mensaje de correo electrónico protegido.

La selección de esta regla proporciona un elevado nivel de seguridad siempre y cuando se asegure de contactar con el destinatario correcto y utilice un método de comunicación seguro. Si precisa información detallada, consulte “Configuración de reglas de dirección de correo electrónico no asignada” en la página 75.

SUGERENCIA: puede ser útil dejar en blanco el campo administrator e-mail (correo electrónico del administrador). Puede personalizar el mensaje de bienvenida para que incluya un enlace a un sitio Web donde se creen cuentas basadas en Web. En este caso, necesitará escribir una aplicación Web personalizada que cree cuentas en el servidor IRM (utilizando la API del servidor IRM). La aplicación Web puede ser sencilla, para crear automáticamente cuentas para cualquiera, o puede ser más compleja de modo que requiera información adicional de verificación.


Configuración de reglas de dirección de correo electrónico no asignadaPara configurar el servidor IRM para que gestione a los destinatarios no asignados para un dominio de correo electrónico:

1. Seleccione Users (Usuarios) > Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada). Aparecerá el siguiente cuadro de diálogo:

2. Haga clic en Add (Agregar) en la sección E-mail Domains (Dominios de correo electrónico). Aparecerá el cuadro de diálogo Add E-mail Domain (Agregar dominio de correo electrónico).

3. Introduzca un nuevo dominio de correo electrónico que contenga a los usuarios que pueden recibir mensajes de correo electrónico protegidos en el campo E-mail Domain (Dominio de correo electrónico). También puede introducir un dominio de correo electrónico parcial. Por ejemplo, puede introducir miempresa.com, o bien com o edu.

4. Haga clic en Aceptar. El dominio de correo electrónico introducido aparece seleccionado en la lista E-mail Domains (Dominios de correo electrónico).

5. Seleccione una de las opciones siguientes de la sección Rules (Reglas) para establecer la regla de asignación de los destinatarios no asignados que reciben mensajes de correo electrónico protegidos en este dominio de correo electrónico:

• Do not allow the user’s message to be sent if the recipient is not mapped (No permitir que el mensaje del usuario se envíe si el destinatario no está asignado). Haga clic en Save (Guardar). El procedimiento ha finalizado.

• Allow certificate authentication, requiring a matching e-mail address, and map e-mail address (Permitir la autenticación de certificado, requiriendo una dirección de correo electrónico coincidente, y asignar dirección de correo electrónico). Haga clic en Agregar. En el cuadro de diálogo Select Certificate Domain (Seleccionar dominio de certificado), seleccione un dominio de certificado en el campo Groups and Authentication Domains (Grupos y Dominios de autenticación). Para reforzar la seguridad, especifique atributos de certificado adicionales o haga clic en From Clipboard (Desde Portapapeles) o From File (Desde Archivo) para importar los atributos de certificado de un archivo .PEM, .DER o .CER. Haga clic en OK (Aceptar) y luego en Save (Guardar). El procedimiento ha finalizado.

• Allow authentication with an existing group, authentication domain, or user and map e-mail address (Permitir autenticación con un grupo existente, dominio de autenticación o usuario y asignar dirección de correo electrónico). Haga clic en Agregar. Aparecerá el cuadro de diálogo Select Group, Domain, or User (Seleccionar grupo, dominio o usuario). El campo Groups and Authentication Domains (Grupos y Dominios de autenticación) presenta


una lista de todos los dominios de grupos y autenticación definidos en el servidor IRM. Continúe en el paso siguiente. Para obtener información sobre los grupos, consulte “Capítulo 5, Gestión de usuarios y grupos”. Para obtener información sobre los dominios de autenticación, consulte “Capítulo 3, Adición de dominios de autenticación”.

• Automatically create a shared secret user and map e-mail address (Crear automáticamente un usuario secreto compartido y asignar dirección de correo electrónico). Haga clic en Save (Guardar). El procedimiento ha finalizado.

• Notify administrator when message is sent (Notificar al administrador cuando se envía el mensaje). Introduzca su dirección de correo electrónico en el campo Administrator’s e-mail (Correo electrónico del administrador). Haga clic en Save (Guardar). El procedimiento ha finalizado.

6. Si ha seleccionado la regla Allow authentication with an existing group, authentication domain, or user and map e-mail address (Permitir autenticación con un grupo existente, dominio de autenticación o usuario y asignar dirección de correo electrónico), seleccione un grupo o dominio en el campo Groups and Authentication Domains (Grupos y Dominios de autenticación). Si necesita más información, consulte “Adición de autorización para grupos, dominios o usuarios” en la página 63.

7. Seleccione Allow (Permitir) o Deny (Denegar) para conceder o restringir el acceso al grupo, dominio o usuario mediante las restricciones de servidor.



Modificación de los mensajes de bienvenida predeterminadosIRM Server Administrator ofrece tres mensajes de correo electrónico de bienvenida para los destinatarios no asignados. Puede utilizar los que se proporcionan de forma predeterminada o puede modificar los mensajes para adaptarlos a sus necesidades.

El mensaje de bienvenida que reciben los destinatarios no asignados depende de la regla establecida para su dominio de correo electrónico en el cuadro de diálogo Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada). Los destinatarios no asignados reciben uno de los siguientes:

• Un mensaje de bienvenida de usuario nuevo, cuando la regla es Automatically create a shared secret user and map e-mail address (Crear automáticamente un usuario secreto compartido y asignar dirección de correo electrónico). Este mensaje de bienvenida instruye al destinatario para que haga clic en el anexo del mensaje, instale IRM Client for HTML con o sin la opción para instalar IRM Client for E-Mail, y cree una cuenta.

• Un mensaje de bienvenida de usuario existente, cuando la regla es Allow authentication with an existing authentication domain, group, or user and map e-mail address (Permitir la autenticación con un dominio de autenticación, grupo o usuario existentes y asignar dirección de correo electrónico). Este mensaje de bienvenida instruye al destinatario para que haga clic en el anexo del mensaje, instale IRM Client for HTML con o sin la opción para instalar IRM Client for E-Mail, e inicie una sesión en el servidor IRM con una cuenta existente.

• Un mensaje de bienvenida de usuario nuevo (Manual), cuando la regla es Notify administrator when message is sent (Notificar al administrador cuando se envía el mensaje). Este mensaje de bienvenida instruye al destinatario para que se ponga en contacto con el administrador del servidor IRM para establecer una cuenta. También instruye al destinatario para que haga clic en el anexo del mensaje, instale IRM Client for HTML con o sin la opción para instalar IRM Client for E-Mail, y utilice la información del administrador para crear una cuenta.


Para ver o modificar los mensajes de bienvenida predeterminados:

1. Seleccione Users (Usuarios) > E-Mail Welcome Messages (Mensajes de bienvenida de correo electrónico). Aparecerá el siguiente cuadro de diálogo:

2. Seleccione el nombre del mensaje de bienvenida de la lista desplegable Select a message to modify (Seleccionar un mensaje para modificarlo).

3. Introduzca una dirección de correo electrónico en el campo Reply To (Responder a). Si un destinatario contesta al mensaje de bienvenida, ésta es la dirección de correo electrónico donde se envía la respuesta. Debe introducir una dirección del administrador de servidor IRM o un alias de correo como, [email protected], en este campo.

4. Realice las modificaciones deseadas al mensaje predeterminado o introduzca un nuevo mensaje en el campo Message (Mensaje). Los mensajes predeterminados utilizan las variables siguientes:

• <RECIPIENT> (destinatario) inserta automáticamente el nombre del destinatario que recibe el mensaje de bienvenida.

• <AUTHOR> (remitente) inserta automáticamente el nombre de la cuenta que registró y cifró el mensaje de correo electrónico. El nombre aparece como el nombre de usuario completo de servidor IRM, es decir, el dominio de autenticación al que pertenece el remitente, seguido por el nombre de usuario.

• <SUBJECT> (asunto) inserta automáticamente la información introducida en el campo Subject (Asunto).

• <DATE> (fecha) inserta automáticamente la fecha en la que el usuario envió el mensaje de correo electrónico protegido.

• <ADMIN EMAIL> (correo electrónico de administración) sólo se aplica al mensaje de bienvenida de usuario nuevo (Manual). Esta variable inserta la dirección de correo electrónico introducida en el campo Administrator’s e-mail (Correo electrónico del administrador) del cuadro de diálogo Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada). El administrador de esta dirección de correo electrónico tiene que establecer las nuevas cuentas de usuario y direcciones de correo electrónico para los destinatarios del mensaje de bienvenida de usuario nuevo (Manual).



Capítulo 8Configuración de directivas para documentos

Una directiva determina cómo acceden los usuarios y cómo interactúan con el contenido protegido. Este capítulo describe las directivas aplicables a los documentos protegidos con el servidor IRM.

Descripción general de configuración de directivasLos usuarios y los administradores pueden crear plantillas de directiva de documento y aplicarlas a los documentos que protegen. Al aplicar una plantilla a un documento se crea una directiva de documento, que se asocia con un solo documento. Sólo el propietario que crea la plantilla de directiva de documento puede utilizar y modificar esa plantilla (a menos que se trate de una plantilla global de directiva de documento). Para que los usuarios puedan crear y modificar plantillas de directiva de documento, deben pertenecer a un grupo que tenga permiso para proteger contenidos. Para obtener información sobre la configuración permisos para grupos, consulte “Capítulo 5, Gestión de usuarios y grupos”.

El propietario y los administradores tienen la misma autoridad sobre las directivas de documento. Por ejemplo, el administrador puede editar las directivas de documentos de otros usuarios mediante IRM Server Administrator. El propietario puede modificar sus directivas de documento con su cliente IRM. Si fuera necesario, un administrador de IRM con derechos administrativos de gestión de contenido de lectura-escritura puede cambiar al propietario de un documento, como se explica en “Cambio del propietario del contenido” en la página 95.

Cuando los administradores y usuarios crean plantillas de directiva de documento, pueden seleccionar la opción Global, que pone las plantillas a disposición de todos los usuarios. Las plantillas globales de directivas de documento tienen un asterisco (*) delante de sus nombres. La configuración de la directiva, incluyendo la lista de usuarios, no puede modificarse cuando un usuario del cliente IRM aplica una plantilla de directiva de documento global a un documento, a menos que el usuario del cliente tenga también los permisos de administrador de servidor IRM.

El administrador del servidor IRM puede establecer también la directiva predeterminada. Se utiliza con versiones anteriores (anteriores a V4.1) de IRM Client for Adobe Acrobat para proteger documentos PDF cuando no se selecciona una plantilla. El servidor IRM aplica la directiva predeterminada a un documento por referencia. Esto significa que si el usuario protege un documento con la directiva predeterminada y posteriormente modifica esa directiva predeterminada, el documento refleja esas modificaciones. Debe tener derechos administrativos de gestión de directiva de lectura-escritura para acceder y modificar la directiva predeterminada.

El gráfico siguiente ilustra cómo aparecen las directivas en el servidor IRM:

*azul*verde*rojo

Las plantillas de directiva globales creadas por un administrador van precedidas por un asterisco (*).

contabilidadproyecto_x

Las plantillas de directiva creadas por los usuarios aparecen detrás de las creadas por el administrador y no tienen un asterisco (*) delante del nombre.

Configuración de directivas para documentos — 79

Cuando se modifica la directiva predeterminada o se crea una plantilla de directiva de documento, se puede cambiar o establecer la configuración de autorización predeterminada y agregar usuarios, grupos, entidades de red o restricciones de tiempo a las categorías. También puede definir si desea o no permitir la impresión, el copiado, el acceso como invitado, la posibilidad de trabajar sin conexión o la posibilidad de seleccionar marcas de agua. Si crea una plantilla de directiva de documento, puede establecer también una fecha de restricción a limitar el acceso al contenido y establecer una fecha para hacer caducar el contenido. Cuando modifica una plantilla de directiva de documento, no afecta a los documentos que ya están protegidos con esas plantillas. Para modificar las directivas de documento de los documentos protegidos, consulte “Capítulo 9, Gestión de directivas”. Consulte la Ayuda en línea del cliente de IRM para aplicar una directiva a un documento.

Consulte una de las secciones siguientes para conocer los pasos para modificar la directiva predeterminada o crear una plantilla de directiva de documento. Las secciones restantes de este capítulo describen cómo se cambian o establecen las autorizaciones y los permisos.

Configuración de directiva predeterminadaPara acceder y modificar la directiva predeterminada para configurar autorizaciones y permisos:

1. Seleccione Policy (Directiva) > Default (Predeterminada). Aparecerá el siguiente cuadro de diálogo:

2. Continúe en “Definición de autorizaciones predeterminadas” en la página 82, “Adición de un elemento a una categoría” en la página 82 o “Definición de permisos” en la página 85 para cambiar las autorizaciones o los permisos.

80 — Configuración de directivas para documentos

Creación de una plantilla de directiva de documentoPara crear una plantilla de directiva de documento o una plantilla global de directiva de documento:

1. Seleccione Policy (Directiva) > Policy Templates (Plantillas de directiva). Aparecerá el siguiente cuadro de diálogo:

2. Haga clic en New (Nuevo). Aparecerá el cuadro de diálogo New Policy (Nueva directiva).

3. Introduzca un nombre para su directiva. Seleccione Global Template (Plantilla Global) si desea que todos los usuarios del servidor IRM tengan acceso a la plantilla cuando protegen documentos.


El nombre de su nueva directiva aparece en la sección Policies (Directivas) y allow all others (permitir a todos los demás) aparece junto a Users and Groups (Usuarios y grupos) de forma predeterminada en la sección Authorizations (Autorizaciones). Si aplica esta plantilla de directiva de documento para proteger un documento, de forma predeterminada, la directiva permite el acceso de todos los usuarios al contenido protegido. Para limitar el acceso al documento, puede adaptar la directiva a sus necesidades. Consulte las secciones siguientes para obtener información detallada.


Definición de autorizaciones predeterminadasUna vez que accede a la directiva predeterminada o crea una plantilla de directiva de documento como se ha explicado en las secciones anteriores, puede definir las autorizaciones predeterminadas. Esta configuración le permite definir las autorizaciones predeterminadas para usuarios, grupos y entidades de red asociadas con la directiva predeterminada o la plantilla de directiva de documento. Puede cambiar esta configuración seleccionando una categoría y haciendo clic en el botón Defaults (Valores predeterminados). Si necesita más información, consulte “Configuración de Autorización predeterminada” en la página 16.

Para cambiar la configuración predeterminada de autorizaciones:

1. Seleccione una categoría Authorizations (Autorizaciones) y haga clic en Defaults (Valores predeterminados) para cambiar cualquiera de los parámetros de configuración. Aparecerá el siguiente cuadro de diálogo:

2. Si desea cambiar las autorizaciones predeterminadas de usuario y grupo, o de la entidad de red, seleccione el parámetro apropiado.


Adición de un elemento a una categoríaPuede agregar elementos como grupos, dominios de autenticación, usuarios, entidades de red y restricciones de tiempo bajo las categorías Authorizations (Autorizaciones).

El servidor IRM evalúa los grupos y entidades de red en el orden de aparición. Por ejemplo, si desea que la directiva permita a todos los miembros de un grupo, excepto a un miembro determinado del mismo, debe agregar a ese miembro individual y especificar Deny (Denegar), a continuación agregue el grupo entero y especifique permitir. Siga los pasos de la sección que corresponde al elemento que desea agregar.


Adición de grupos, dominios y usuariosPara agregar grupos, dominios de autenticación o usuarios:

1. Seleccione Users and Groups (Usuarios y grupos) y haga clic en Add (Agregar) desde el cuadro de diálogo Default Policy (Directiva predeterminada) o Policy Templates (Plantillas de directiva). Aparecerá el siguiente cuadro de diálogo:

El campo Groups and Authentication Domains (Grupos y Dominios de autenticación) presenta una lista de todos los dominios de grupos y autenticación definidos en el servidor IRM. La lista está ordenada alfabéticamente por grupo y luego por dominio de autenticación. Los dominios de autenticación comienzan por \\. Si no aparece ningún grupo, consulte “Capítulo 5, Gestión de usuarios y grupos” para crear grupos. Para obtener más información sobre los dominios de autenticación, consulte “Capítulo 3, Adición de dominios de autenticación”.

2. Seleccione un grupo o dominio en el campo Groups and Authentication Domains (Grupos y Dominios de autenticación). Para obtener información sobre cómo se selecciona un grupo o dominio en este cuadro de diálogo, consulte el procedimiento “Adición de autorización para grupos, dominios o usuarios” en la página 63.

3. Seleccione Allow (Permitir) o Deny (Denegar) para conceder o restringir el acceso al grupo, al dominio o al usuario.

4. Haga clic en Aceptar. De forma opcional, puede seleccionar un elemento y hacer clic en Info (Información) para ver la descripción del grupo y cambiar la opción Allow (Permitir) o Deny (Denegar).


Para cancelar sus cambios, haga clic en Revert (Revertir) antes de hacer clic en Save (Guardar) Las carpetas abiertas se contraen y cierran si hace clic en Revert (Revertir) Amplíe la categoría para ver la información revertida.


Adición de entidades de red y restricciones de tiempoDebe crear entidades de red y restricciones de tiempo antes de poder agregarlas a su directiva predeterminada o a la plantilla de directiva de documento. Si no agrega ninguna entidad de red a una directiva, el servidor permite las conexiones desde todas las entidades de la red. Si agrega entidades de red a una directiva, el servidor IRM sólo permite el acceso desde esas entidades. Las restricciones de tiempo especifican que sólo se puede ver un documento protegido durante determinadas horas especificadas. Por ejemplo, puede restringir el acceso entre lunes y viernes, desde las 9 de la mañana a las 5:00 de la tarde. Para obtener información sobre la creación de entidades de red o restricciones de tiempo, consulte “Descripción general de entidades de red y especificaciones de tiempo” en la página 25. Para agregar una entidad de red o una restricción de tiempo:

1. Seleccione Network Entities (Entidades de red) o Time Restrictions (Restricciones de tiempo) y haga clic en Add (Agregar) en el cuadro de diálogo Default Policy (Directiva predeterminada) o Policy Templates (Plantillas de directiva). Aparecerá el cuadro de diálogo Add Network Entities (Agregar entidades de red) o Add Time Restrictions (Agregar restricciones de tiempo). Para la directiva predeterminada, presenta una lista de las entidades de red o restricciones de tiempo globales disponibles. Para las plantillas de directiva, presenta una lista de las plantillas globales y no globales. Si no aparece ninguna entidad de red ni restricciones de tiempo, consulte “Capítulo 2, Inicio de sesión y configuración de restricciones de inicio de sesión”.

2. Seleccione el elemento que desea agregar. Para una entidad de red, haga clic en Allow (Permitir) o Deny (Denegar) en función de si desea permitir o denegar a usuarios o grupos el acceso a esa entidad de red.

3. Haga clic en Aceptar. De forma opcional, puede seleccionar un elemento y hacer clic en Info (Información) para ver sus detalles.


Para cancelar los cambios introducidos en la directiva predeterminada, haga clic en Revert (Revertir) para conservar la última configuración guardada. Las carpetas abiertas se contraen y cierran si hace clic en Revert (Revertir) Amplíe la categoría para ver la información revertida.


Definición de permisosCuando se establecen los permisos en la directiva predeterminada o en una plantilla de directiva de documento, se puede definir si los usuarios podrán o no imprimir, copiar texto o acceder al contenido con acceso como invitado cuando aplican la directiva al contenido. También puede establecer el permiso para que los usuarios trabajen sin conexión, y especificar una marca de agua que aparecerá en todos los documentos protegidos que se ven o imprimen con la directiva predeterminada o una plantilla de directiva de documento.

Si modifica una plantilla de directiva de documento, puede establecer una fecha de restricción para limitar cuándo pueden los usuarios acceder al contenido y establecer una fecha de caducidad para el contenido. Si decide establecer una fecha y hora de caducidad, el servidor IRM hace caducar el documento cuando se llega a esa fecha y puede eliminar las claves al documento. Una vez que el servidor IRM caduca el documento, los usuarios ya no pueden acceder a él. Sin embargo, si establece las restricciones de servidor IRM para conservar las claves a documentos caducados, podrá seguir accediendo a la directiva de documento a través de IRM Server Administrator. Si lo hace, puede reactivar el documento, si fuera necesario. Entonces puede eliminar las claves de forma permanente, cuando sea necesario. Una vez que elimina las claves del servidor IRM, nadie puede acceder al documento otra vez. Para obtener información sobre la configuración de las restricciones de servidor para conservar las claves a documentos caducados, consulte “Capítulo 6, Configuración de restricciones del servidor”. Para eliminar las claves a documentos de forma permanente, consulte “Capítulo 9, Gestión de directivas”.

Estos permisos se combinan con los permisos definidos en cada uno de los grupos de usuario y las restricciones de servidor para determinar los derechos que un usuario tiene sobre el contenido protegido con la directiva. Si las restricciones de servidor son más restrictivas que los permisos de política predeterminada o plantilla, las restricciones de servidor se aplican cuando se crea una directiva de documento. Para obtener información sobre la configuración de permisos en grupos y restricciones de servidor, consulte “Capítulo 5, Gestión de usuarios y grupos” y “Capítulo 6, Configuración de restricciones del servidor”.

Para establecer los permisos:

1. Seleccione los permisos que desea conceder a los usuarios en el cuadro de diálogo Default Policy (Directiva predeterminada) o en el cuadro de diálogo Policy Templates (Plantillas de directiva), en función de donde haya accedido. Para obtener información sobre los diversos permisos, consulte “Permisos” en la página 19.

2. Si ha accedido a una plantilla de directiva de documento y desea definir una fecha de restricción o una fecha de caducidad, haga clic en Restrict Dates (Fechas de restricción). Aparecerá el siguiente cuadro de diálogo:

3. Seleccione Apply to Policy (Aplicar a la directiva) en cada sección para activarlas.

4. Valid Dates (Fechas válidas) son las fechas en las que se puede leer un documento protegido. Introduzca el intervalo deseado.

5. Expire Date (Fecha de caducidad) se utiliza para determinar cuándo dejan de tener acceso los usuarios. Seleccione Using Absolute Date (Utilizar fecha absoluta) para introducir una fecha y hora específicas en las que el documento protegido dejará de estar disponible para su lectura, o seleccione Utilizar fecha relativa para introducir un plazo de tiempo tras el cual el documento protegido queda marcado para su eliminación. El tiempo comienza cuando el documento es protegido.



Si desea cancelar los cambios realizados, haga clic en Revert (Revertir) para conservar la última configuración guardada. Las carpetas abiertas se contraen y cierran si hace clic en Revert (Revertir) Amplíe la categoría para ver la información revertida.


Capítulo 9Gestión de directivas

Este capítulo explica cómo se gestionan las directivas para los mensajes de correo electrónico, documentos y páginas Web protegidos.

Descripción general de la gestión de directivasPuede acceder a las directivas de correo electrónico o de documentos desde el menú Content (Contenido). Como el servidor IRM puede contener numerosas directivas, puede buscarlas de varias maneras. Por ejemplo, puede buscar el contenido por propietario, título (o asunto de las directivas de correo electrónico), destinatarios de correo electrónico (en las directivas de correo electrónico), fecha de protección y estado. Siempre puede acceder a las directivas que le pertenecen para revisar las autorizaciones y los permisos y realizar cualquier cambio necesario. También puede eliminar sus propias directivas si pertenece a un grupo con permiso Eliminar propio.

El propietario y los administradores del servidor IRM con derechos administrativos de gestión de contenido de lectura-escritura tienen la misma autoridad sobre las directivas de documento. Por ejemplo, el administrador puede editar las directivas de documentos de otros usuarios mediante IRM Server Administrator. El propietario puede modificar sus directivas de documento con su cliente IRM. Para evitar que un propietario cambie una directiva, puede cambiar al propietario del documento por sí mismo, como se explica en “Cambio del propietario del contenido” en la página 95. Asimismo, puede eliminar las directivas de otros propietarios si pertenece a un grupo que tiene seleccionada la opción Eliminar cualquier contenido en los derechos administrativos. Para obtener información sobre los derechos administrativos, consulte “Configuración de permisos de contenido y derechos administrativos” en la página 60.

Para eliminar el contenido, elimine la directiva. Esto eliminará las claves del servidor IRM y hará que el contenido protegido quede inaccesible de forma permanente. Para hacer caducar el contenido, establezca una fecha de caducidad. Cuando se llega a la fecha de caducidad, los usuarios ya no podrán acceder al contenido. Sin embargo, las claves pueden permanecer en el servidor IRM si las restricciones de servidor permiten la duración de clave prolongada para el contenido caducado. Si las claves se conservan, podría acceder a la directiva caducada y reactivarla para que se vuelva a poder acceder al contenido. Si precisa más información, consulte “Capítulo 6, Configuración de restricciones del servidor”.

Las secciones siguientes explican cómo se buscan y se gestionan las directivas de correo electrónico y de documento.

Gestión de directivas — 87

Búsqueda de mensajes de correo electrónico protegidoTodas las búsquedas distinguen entre mayúsculas y minúsculas. Si busca el nombre de usuario "juan_pérez", no encontrará el nombre de usuario "Juan_Pérez". Para mostrar una lista de los mensajes de correo electrónico protegidos en el servidor IRM:

1. Seleccione Content (Contenido) > E-mail Messages (Mensajes de correo electrónico). Aparecerá el siguiente cuadro de diálogo:

2. Siga uno de las acciones siguientes en el campo Owner (Propietario):

• Deje el campo Owner (Propietario) definido en All (Todos). Continúe en el paso 5.

• Seleccione Begins With (Comienza por) en la lista desplegable. En el campo Owner (Propietario), introduzca la primera letra del nombre del propietario que tiene las directivas de correo electrónico a las que quiere acceder. Continúe en el paso 5.

• Seleccione Exactly (Exactamente) en la lista desplegable. En el campo Owner (Propietario), introduzca el dominio, el nombre de propietario y el nombre de grupo (opcional) del propietario que tiene las directivas de correo electrónico a las que quiere acceder. Por ejemplo, si el propietario es lmalcott del grupo de Marketing en el dominio \\pvserver, introduzca: \\pvserver\lmalcott Continúe en el paso 5.

• Seleccione Begins With (Comienza por) o Exactly (Exactamente) en la lista desplegable y haga clic en Browse (Examinar). Aparecerá el cuadro de diálogo Browse Domains and Users (Examinar dominios y usuarios).

3. Si optó por examinar en busca del propietario, haga una de las siguientes acciones:

• Seleccione el dominio de autenticación de contraseña secreta compartida. El campo User (Usuario) muestra de forma predeterminada la opción All (Todos) Haga clic en Find Now (Buscar ahora) para que aparezca una lista con todos los usuarios de ese dominio debajo del campo Select User Name (Seleccionar nombre de usuario) y luego seleccione un usuario de esa lista de dominio. Para encontrar un usuario particular, seleccione Contains (Contiene) o Begins With (Comienza por) en la lista desplegable del campo User (Usuario). Introduzca el texto correspondiente y haga clic en Find Now (Buscar ahora). El usuario que deseaba encontrar aparece en la lista Select User Name (Seleccionar nombre de usuario) para que lo elija.

• Seleccione un dominio de Windows. Introduzca un nombre de usuario en el campo Enter the Windows domain user name (Introduzca el nombre de usuario del dominio de Windows). Si selecciona un dominio de Windows con capacidades LDAP, introduzca el ID de usuario de dominio de un usuario.

88 — Gestión de directivas

• Seleccione un dominio de contraseña LDAP. Introduzca el nombre de usuario o el nombre distintivo del usuario LDAP en el campo Enter Username or the Distinguished Name of a User (Introduzca un nombre de usuario o el nombre distintivo de un usuario).

• Seleccione un dominio de SecurID. Introduzca el nombre de usuario de SecurID de un usuario en el campo Enter the SecurID user name (Introduzca el nombre de usuario de SecurID).

• Seleccione un dominio de certificado o un dominio de certificado con capacidades LDAP. Introduzca el nombre común que aparece en el certificado de un destinatario, o cualquier otro atributo de certificado, para agregar un usuario de certificado específico o de certificado con capacidades LDAP.

4. Haga clic en OK (Aceptar) después de haber seleccionado o introducido un nombre de usuario individual.

5. En el campo Subject (Asunto), seleccione All (Todos), Contains (Contiene), Begins With (Comienza por) o Exactly (Exactamente) en la lista desplegable. Introduzca la información apropiada en el campo de texto Subject (Asunto).

6. En el campo E-mail Recipients (Destinatarios de correo electrónico), seleccione All (Todos), Begins With (Comienza por), Ends With (Termina por) o Exactly (Exactamente) en la lista desplegable. Introduzca la información apropiada en el campo de texto de E-mail Recipients (Destinatarios de correo electrónico).

7. Para especificar un intervalo de fechas cuando el usuario protegió el mensaje, seleccione Protection date range (Intervalo de fecha de protección). Introduzca el mes, el día y el año en los campos From (Desde) y To (Hasta). Por ejemplo, 07/25/05 a 08/08/05.

8. En el campo Status (Estado), seleccione Not Expired (No caducado), Expired (Caducado) o All (Todos) en la lista desplegable. Este campo no aparece a menos que tenga derechos administrativos de gestión de directiva de lectura-escritura y el servidor IRM tenga un parámetro de duración de clave que conservó las claves en el servidor IRM más allá de la fecha de caducidad de la directiva.

9. Haga clic en Find Now (Buscar ahora). IRM Server Administrator realiza la búsqueda. También muestra un cuadro de diálogo del estado de la Búsqueda de mensajes para que pueda detener la búsqueda en cualquier momento. Una vez que encuentra el mensaje, el nombre de usuario completo (dominio y propietario), la fecha de protección y el asunto aparecen en la sección Messages (Mensajes). Los mensajes que le pertenecen aparecen en negrita. Puede cambiar el orden de aparición en la lista seleccionando Owner (Propietario), Date (Fecha) y Subject (Asunto) en la sección Sort By (Ordenar por). Por ejemplo:

10. Consulte “Modificación de directivas de correo electrónico” en la página 92, “Cambio del propietario del contenido” en la página 95 o “Eliminación de contenido” en la página 95 para modificar la directiva, cambiar al propietario, o eliminar uno o más mensajes de correo electrónico.


Búsqueda de documentos protegidosTodas las búsquedas distinguen entre mayúsculas y minúsculas. Si busca el nombre de usuario "juan_pérez", no encontrará el nombre de usuario "Juan_Pérez". Para mostrar una lista de los documentos protegidos en el servidor:

1. Seleccione Content (Contenido) > Documents and Web Content (Documentos y contenido Web). Aparecerá el siguiente cuadro de diálogo:

2. En el campo Title (Título), seleccione All (Todos), Contains (Contiene), Begins With (Comienza por) o Exactly (Exactamente) en la lista desplegable. A continuación, introduzca el título correspondiente en el campo de texto Title (Título).

3. Encuentre al propietario que tiene las directivas de documento a las que desea acceder realizando una de las acciones siguientes en el campo Owner (Propietario):

• Deje el campo Owner (Propietario) definido en All (Todos). Continúe en el paso 6.

• Seleccione Begins With (Comienza por) en la lista desplegable. En el campo de texto Owner (Propietario), introduzca la primera letra del nombre del propietario. Continúe en el paso 6.

• Seleccione Exactly (Exactamente) en la lista desplegable. En el campo de texto Owner (Propietario), introduzca el dominio, el nombre y el nombre de grupo (opcional) del propietario. Por ejemplo, si el propietario es lmalcott del grupo de Marketing en el dominio \\pvserver, introduzca: \\pvserver\lmalcott Continúe en el paso 6.

• Seleccione Begins With (Comienza por) o Exactly (Exactamente) en la lista desplegable y haga clic en Browse (Examinar). Aparecerá el cuadro de diálogo Browse Domains and Users (Examinar dominios y usuarios).

4. Si ha decidido examinar en busca del propietario, seleccione un dominio en el campo Groups and Authentication Domains (Grupos y Dominios de autenticación). Para obtener información sobre cómo se selecciona un dominio en este cuadro de diálogo, consulte el paso 3 del procedimiento “Búsqueda de mensajes de correo electrónico protegido” en la página 88.

5. Haga clic en OK (Aceptar) después de haber seleccionado o introducido un nombre de usuario individual.

6. Para especificar un intervalo de fechas cuando el usuario protegió el documento, seleccione Protection date range (Intervalo de fecha de protección). Introduzca el mes, el día y el año en los campos From (Desde) y To (Hasta). Por ejemplo, introduzca 07/25/05 a 08/08/05.


7. En el campo Status (Estado), seleccione Not Expired (No caducado), Expired (Caducado) o All (Todos) en la lista desplegable.

8. Haga clic en Find Now (Buscar ahora). IRM Server Administrator realiza la búsqueda. También muestra un cuadro de diálogo del estado de la Búsqueda de documentos para que pueda detener la búsqueda en cualquier momento. Una vez que encuentra los documentos, el título de documento, el nombre de usuario completo (dominio y propietario) y la fecha de protección aparecen en la sección Contents (Contenido) del cuadro de diálogo. Los documentos y las páginas Web que le pertenecen aparecen en negrita. Puede cambiar el orden de aparición en la lista seleccionando Title (Título), Owner (Propietario) o Date (Fecha) en la sección Sort By (Ordenar por). Por ejemplo:

9. Consulte “Modificación de directivas de documento o de página” en la página 93, “Cambio del propietario del contenido” en la página 95 o “Eliminación de contenido” en la página 95 para modificar la directiva, cambiar al propietario o eliminar uno o más documentos o páginas Web.


Modificación de directivas de correo electrónicoUna vez que haya accedido a una lista de directivas de correo electrónico a través del cuadro de diálogo Content (Contenido) > E-mail Messages (Mensajes de correo electrónico), puede modificar las directivas que le pertenecen. Si tiene derechos administrativos de gestión de contenido de lectura-escritura en su grupo, puede modificar las directivas de otros propietarios. Sin embargo, los propietarios de mensajes de correo electrónico siempre pueden cambiar sus directivas de correo electrónico. Para impedir que un propietario modifique una directiva de correo electrónico, debe cambiar al propietario a otra cuenta, como se explica en “Cambio del propietario del contenido” en la página 95.

Para modificar una directiva de correo electrónico:

1. Seleccione un mensaje de correo electrónico protegido con una directiva que desee editar en la lista Messages (Mensajes).

2. Haga clic en Edit Policy (Editar directiva). Aparecerá el cuadro de diálogo Edit E-mail Policy (Editar directiva de correo electrónico):

3. Modifique la lista de direcciones de correo electrónico que pueden ver un mensaje de correo electrónico protegido en la sección Recipients (Destinatarios), si fuera necesario. Haga clic en Add (Agregar) para agregar un destinatario. En el cuadro de diálogo Add Recipient (Agregar destinatario), haga clic en Find Now (Buscar ahora) para que aparezca una lista de todos los destinatarios. Puede seleccionar a un destinatario y hacer clic en Info (Información) para ver información acerca de ese destinatario o puede hacer clic en OK (Aceptar) para agregar el destinatario a la lista de usuarios que pueden ver el mensaje de correo electrónico protegido. Haga clic en Delete (Eliminar) para eliminar un destinatario de la lista de usuarios que pueden ver el mensaje de correo electrónico protegido.

4. Modifique los permisos asociados con la directiva de correo electrónico seleccionando o anulando la selección de Copy/Paste (Copiar/Pegar), Print (Imprimir) o Guest Access (Acceso como invitado) en la sección Permissions (Permisos) o cambiando el número de días en el campo Maximum Lease Duration (Duración máxima de contrato) que un destinatario puede ver el mensaje de correo electrónico protegido al trabajar sin conexión.

5. Modifique la fecha válida o la fecha de caducidad de la directiva de correo electrónico en las secciones Valid Date (Fecha válida) o Expiration (Caducidad). La fecha válida indica cuándo pueden ver los destinatarios el mensaje de correo electrónico protegido. La fecha de caducidad indica cuándo los destinatarios ya no pueden ver el mensaje de correo electrónico protegido y determina cuándo lo hace caducar el servidor IRM. Una vez caducado, los usuarios ya no pueden acceder a él (a menos que se hayan configurado las restricciones de servidor con una duración de clave prolongada). Para establecer las restricciones de servidor, consulte “Capítulo 6, Configuración de restricciones del servidor”.


6. Haga clic en Save (Guardar) cuando termine de realizar las modificaciones. No necesita hacer clic en Save (Guardar) otra vez en el cuadro de diálogo Content (Contenido) > E-mail Messages (Mensajes de correo electrónico). Si decide cancelar la edición de su directiva, no puede utilizar el botón Revert (Revertir). En lugar de ello, seleccione los mensajes que ha modificado y vuelva a cambiar la configuración.

La modificación de la directiva de correo electrónico de un mensaje tiene un efecto inmediato en ese mensaje. Sin embargo, si modifica una directiva de correo electrónico para un mensaje al que su propietario ha concedido acceso sin conexión, sus cambios no afectan al mensaje sin conexión hasta que el destinatario acceda al mensaje en línea otra vez.

Modificación de directivas de documento o de páginaPuede modificar la directiva de un documento específico en el cuadro de diálogo Documents and Web Content (Documentos y contenido Web). Para cambiar una directiva de documento, debe ser el propietario del documento o un administrador de servidor IRM con derechos administrativos de gestión de contenido de lectura-escritura.

NOTA: si cambia la directiva de un documento que no le pertenece, tenga en cuenta que el propietario del contenido siempre puede volver a cambiar la directiva de documento a su configuración original. Para evitar esto, debe cambiar el propietario por sí mismo, como se explica en “Cambio del propietario del contenido” en la página 95.

Cuando cifra un documento PDF, también puede asignarle una page policy (directiva de página). Una directiva de página es una plantilla de directiva de documento aplicada a una página o a un intervalo de páginas dentro de un documento PDF protegido. (Las directivas de página no se aplican a las páginas Web porque cada página se considera como un archivo individual). La asignación de directivas de página a un documento le permite establecer distintos niveles de seguridad. Esto permite que distintos usuarios tengan determinados permisos para una página, pero no otros. Quizá desee utilizar las directivas de página para impedir que el usuario vea ciertas páginas. Aquellas páginas a las que no asigne una directiva estarán controladas por la directiva utilizada por el documento. Por ejemplo, si quiere que los usuarios tengan acceso a las primeras 10 páginas de un documento, pero desea denegar el acceso a las últimas cinco páginas, debe aplicar la directiva de documento que permite a esos usuarios acceder a las primeras 10 páginas del documento PDF protegido. A continuación, aplique otra plantilla de directiva de documento que deniegue a esos usuarios (o a su grupo) el acceso a las últimas cinco páginas de ese documento. Para obtener información sobre cómo proteger documentos PDF con directivas de página, consulte la Ayuda de IRM Client for Adobe Acrobat.

Para modificar las directivas de documento o de página:

1. Seleccione uno o más documentos con las directivas que desea editar en la lista Documents and Web Content (Documentos y contenido Web). Para seleccionar varios documentos, mantenga pulsada la tecla Mayús y seleccione cada fila individualmente.

2. Haga clic en Edit Policy (Editar directiva). El cuadro de diálogo Document and Page Policy (Directiva de documento y de página) muestra una lista de las directivas de documento de los documentos seleccionados. Los documentos protegidos aparecen ordenados por el título.

3. Haga clic en el signo de más (+) situado junto a un elemento de la lista para ampliarlo. Cada documento se amplía como se indica a continuación:

• Para un documento de Microsoft Office, aparecen todas las versiones del documento. De forma predeterminada, todas las versiones utilizan la misma directiva. Se recomienda modificar las directivas de documento de los documentos de Microsoft Office con IRM Client for Microsoft Office.

• Para un documento PDF, todas las páginas aparecen junto con un icono denominado DocInfo. Este icono representa algunos de los metadatos de PDF. Siempre debe utilizar la misma directiva utilizada por el documento. Un documento PDF puede tener páginas protegidas por varias directivas diferentes.

• Las páginas Web y las imágenes aparecen en una lista con sus rutas y nombres de archivo. Bajo cada página Web, aparece una página sencilla llamada Main (principal) que corresponde a la página Web o al archivo de imagen.


• Además, aparece un icono junto a cada elemento de la lista. La letra D en un icono indica que el documento utiliza la directiva predeterminada. Si un icono tiene texto encima, el contenido utiliza una directiva de documento creada a partir de una plantilla de directiva de documento. Si ve una flecha hacia arriba en el icono, la página utiliza la misma directiva (predeterminada o de documento) que el documento padre, localizado en el nivel justamente superior a ella.

Por ejemplo, este cuadro de diálogo muestra DocInfo con las páginas 1 a 5 mediante la directiva padre (la letra D indica que el documento padre utiliza la directiva predeterminada) del documento de LatestQuarterResults. También muestra que las páginas 6 y 7 utilizan una directiva de página:

4. Seleccione la directiva que desea cambiar en la lista de iconos y haga una de las siguientes acciones:

• Si una directiva de documento protege el contenido y desea editar la directiva de documento, haga clic en Edit (Editar). En el cuadro de diálogo Edit Document Policy (Editar directiva de documento), modifique la directiva de documento y haga clic en Save (Guardar). La edición de una directiva de documento es semejante a la creación y edición de una plantilla de directiva de documento, como se explica en “Capítulo 8, Configuración de directivas para documentos”.

• Si una plantilla de directiva de documento protege el contenido (icono de página con texto) y desea cambiar la directiva a la predeterminada, haga clic en Revert to Default (Revertir a predeterminada) y confirme que quiere cambiar a la directiva predeterminada.

• Si la directiva predeterminada protege el contenido y desea cambiar a otra directiva, haga clic en Create (Crear). En el cuadro de diálogo Create Policy (Crear directiva), seleccione una plantilla de directiva de documento en la lista desplegable y haga clic en OK (Aceptar).

• Si una página o una versión utilizan una directiva diferente a la utilizada por el documento y desea que utilice la directiva de documento, seleccione la página o la versión en cuestión, y haga clic en Revert to Document (Revertir a documento).

5. Cierre el cuadro de diálogo Document and Page Policies (Directivas de documento y de página).

6. Cierre el cuadro de diálogo Documents and Web Content (Documentos y contenido Web). No necesita hacer clic en Save (Guardar) para guardar la edición realizada.

7. Si desea cambiar las directivas de página, repita los pasos de este procedimiento. Sin embargo, si estos elementos no tienen directivas individuales, verá una flecha hacia arriba junto a la página, lo que indica que la página utiliza la misma directiva utilizada por el documento.

Si decide cancelar la edición de su directiva, no puede utilizar el botón Revert (Revertir). En lugar de ello, seleccione los documentos protegidos que acaba de modificar y vuelva a cambiar la configuración.

Cuando modifica una plantilla de directiva de documento, el cambio sólo afecta al documento protegido la próxima vez que un usuario accede a él. Sin embargo, cuando modifica la directiva de una página Web, la modificación afecta a la página Web inmediatamente. Para ver los cambios realizados, haga clic en el botón Refresh (Actualizar) de su navegador.


Cambio del propietario del contenidoPara tener el control pleno sobre una directiva de contenido, la directiva debe pertenecerle. Para cambiar al propietario por sí mismo o a otra cuenta, debe tener derechos administrativos de gestión de directiva y contenido de lectura-escritura. Cuando cambia al propietario, necesita examinar en busca de un nombre de usuario de un grupo o dominio y seleccionar el nuevo nombre de propietario.

Para cambiar al propietario:

1. En la lista Messages (Mensajes) o Documents and Web Content (Documentos y contenido Web), dependiendo de adónde haya accedido, seleccione una o más de las directivas de contenido que desea cambiar. Para seleccionar varios elementos, mantenga pulsada la tecla Mayús y seleccione cada fila individualmente. A continuación, haga clic en Change Owner (Cambiar propietario). Aparecerá el cuadro de diálogo Select User or Group (Seleccionar grupo o usuario).

2. Seleccione un dominio en el campo Groups and Authentication Domains (Grupos y Dominios de autenticación). Para obtener información sobre cómo se selecciona un dominio en este cuadro de diálogo, consulte el paso 3 del procedimiento “Búsqueda de mensajes de correo electrónico protegido” en la página 88.

3. Haga clic en OK (Aceptar) después de haber seleccionado o introducido un nombre de usuario individual. El nuevo propietario seleccionado, incluido el dominio del propietario, aparece en la columna Owner (Propietario) de la lista. También verá cómo el icono de sobre (para las directivas de correo electrónico) o el icono de página (para los documentos o páginas Web) de la primera columna cambia a un icono de cara con un signo de exclamación rojo encima para que pueda identificar las filas con los propietarios que acaba de cambiar.


Si decide cancelar los cambios de propietario realizados, seleccione las filas con los nuevos propietarios cambiados y haga clic en Revert (Revertir) antes de hacer clic en Save (Guardar) para restaurar los últimos cambios guardados.

Eliminación de contenidoUna vez que tiene una lista de directivas en el cuadro de diálogo E-mail Messages (Mensajes de correo electrónico) o en el cuadro de diálogo Documents and Web Content (Documentos y contenido Web), puede eliminar las claves al contenido seleccionado. Para eliminar las claves de las directivas que le pertenecen, debe pertenecer a un grupo que tenga los permisos Delete Own (Eliminar propio) o Delete Any Content (Eliminar cualquier contenido) seleccionados en los derechos administrativos. Para eliminar las claves de las directivas de otros propietarios, debe tener derechos administrativos Delete Any Content (Eliminar cualquier contenido) o cambiar al propietario a usted mismo.

Cuando se elimina el contenido, se elimina la directiva y sus claves de cifrado. Esto hace que el contenido quede inaccesible de forma permanente. Para los mensajes de correo electrónico protegidos, también puede establecer un momento en el que el servidor IRM eliminará automáticamente todos los mensajes de correo electrónico protegidos a través de las restricciones de servidor. Para los documentos protegidos, también puede ampliar la duración de clave del contenido caducado a través de las restricciones de servidor. Esto le permitiría acceder a la directiva del contenido caducado porque las claves permanecen en el servidor. Una vez que haya accedido a la directiva, puede reactivar el contenido, si fuera necesario. Nunca se puede acceder al contenido eliminado. Para establecer derechos administrativos, consulte “Configuración de permisos de contenido y derechos administrativos” en la página 60. Para establecer restricciones de servidor para hacer caducar automáticamente los mensajes de correo electrónico protegidos o definir la duración de clave prolongada, consulte “Capítulo 6, Configuración de restricciones del servidor”.

Para eliminar el contenido:

1. En la lista Messages (Mensajes) o Documents and Web Content (Documentos y contenido Web), dependiendo de adónde haya accedido, seleccione una o más de las directivas de contenido que desea eliminar. Para seleccionar varios elementos, mantenga pulsada la tecla Mayús y seleccione cada fila individualmente.


2. Haga clic en Delete (Eliminar). Una cruz roja (X) aparece encima del icono, el texto cambia a cursiva y una línea atraviesa las filas seleccionadas.

3. Haga clic en Save (Guardar). A continuación, haga clic en Yes (Sí) cuando el sistema le pregunte si desea eliminar las claves de cifrado para el contenido. Esto hará que el contenido quede inaccesible de forma permanente y eliminará las filas que había seleccionado en la lista.

Si decide cancelar el proceso de eliminación, seleccione las filas que marcó para eliminar y haga clic en Revert (Revertir) antes de hacer clic en Save (Guardar) para restaurar los últimos cambios guardados.


Capítulo 10Trabajo con marcas de agua

Este capítulo describe la función de marca de agua del servidor IRM. En él se ofrece una descripción general de las marcas de agua, explica cada parte del archivo de marca de agua y, finalmente, explica el proceso de creación y edición de un archivo de marca de agua. Sólo puede crear marcas de agua para documentos PDF, de Word, de Excel y de PowerPoint. Se admiten las marcas de agua que utilizan caracteres de doble byte (chino, coreano o japonés). Las marcas de agua no se pueden crear para mensajes de correo electrónico ni para páginas Web.

Descripción general de marcas de aguaUna marca de agua es texto que aparece en un documento protegido en formato PDF, Word, Excel y PowerPoint cuando un usuario imprime el documento. La marca de agua también aparece en pantalla cuando se ven los documentos PDF. El administrador del servidor IRM define las marcas de agua y las asocia con grupos, plantillas de directiva de documento, directivas de documento, directivas de páginas y restricciones de servidor. Para obtener información específica sobre cómo se agrega una marca de agua a cada tipo de directiva, consulte el capítulo que corresponde a esa directiva en este manual.

IMPORTANTE: si asocia distintas marcas de agua con cada tipo de directiva, las marcas de agua se superponen unas a otras en el documento.

Una marca de agua puede aparecer en la parte superior o inferior de una página, o puede estar colocada en diagonal cruzando la página. Puede aparecer en cualquier color, cualquier matiz de gris (por ejemplo, cualquier matiz entre 100% blanco y 100% negro), y cualquier opacidad (para que el texto y las imágenes puedan verse a través de la marca de agua). Un ejemplo de marca de agua típica es la palabra "confidencial" cruzando la parte superior de un documento confidencial de una empresa. Las marcas de agua también pueden incluir información de encabezado, como identificador de documento, hora, etcétera.

Debe ser consciente de que la apariencia de las marcas de agua variará en función de la aplicación cliente de IRM que se esté utilizando. Así, es posible que las marcas de agua de documentos PDF y de Office no coincidan exactamente.

Trabajo con marcas de agua — 97

Componentes del archivo de marca de aguaEl servidor IRM incluye una marca de agua en un documento con información que el usuario especifica en un archivo de sello. El archivo de sello es un archivo de texto que contiene una descripción de la marca de agua, incluida la configuración de márgenes, el texto del sello e información de formato para cada elemento de marca de agua.

Puede cambiar uno de los archivos de marcas de agua de muestra incluidos enC:\Archivos de programa\EMC IRM\IRM Server Administrator. También puede crear su propio archivo de marca de agua. Un archivo de marca de agua incluye un elemento de sello para cada dato que desee estampar. Además, incluye la configuración de márgenes.

Puede crear uno o más elementos de sello en un archivo de sello. En el ejemplo siguiente, la marca de agua tiene dos sellos, un encabezado y una marca de agua:

Por ejemplo, quizás desee incluir una marca de agua en un documento estampando la fecha y la hora en la parte superior de sus páginas y estampando los números de página en la parte inferior de sus páginas. O quizás prefiera estampar información diferente en intervalos de páginas diferentes.

La información que se estampa en las páginas del documento aparece en message blocks (bloques de mensaje). Un bloque de mensaje contiene los parámetros para un dato que se puede estampar en una o más páginas. Un bloque de mensaje empieza con la palabra clave begin_message en una línea independiente. El bloque de mensaje contiene información requerida y opcional que se utiliza para crear y colocar la información estampada. Un bloque de mensaje termina con la palabra clave end_message en una línea por separado.

# Opciones

begin_optionsVersion (1)TopMargin (12)BottomMargin (12)LeftMargin (0)RightMargin (0)end_options

# -- Elemento de sello --

begin_messageName (Left Header)StartPage (1)EndPage (-1)Size (12)Color (0)Text (%x, %X)Position (top)Justification (left)Underlay (no)end_message

# -- Elemento de sello --

begin_messageName (Watermark)StartPage (1)EndPage (-1)Size (36)Color (50)Text (Confidential)Position (diag-topleft)Justification (left)Underlay (yes)end_message

98 — Trabajo
con marcas de agua

La tabla siguiente muestra cada uno de los parámetros incluidos en un bloque de mensaje. Los parámetros opcionales utilizan sus valores predeterminados a menos que se modifiquen:

Además, hay varias variables que se pueden utilizar para dar formato al texto que se quiere estampar. Por ejemplo, puede estampar la fecha y la hora en las páginas de documento. Puede escoger entre varios formatos de fecha. Estas variables le permiten indicar exactamente cómo va a aparecer la fecha.

Nota: En un documento protegido de PowerPoint, sólo aparecen las marcas de agua superpuestas. Si la marca de agua está marcada como subpuesta, la marca de agua sólo aparecerá en la media pulgada exterior de la página.

Nota: Las marcas de agua con una posición de diag-supizq o diag-infizq pueden llenar la página con varios casos del texto de marca de agua. Si esto sucede, intente aumentar el tamaño del texto.

Parámetro Requerido Definición Valores Predeterminado

Nombre Sí Identifica el elemento de sello Texto Nuevo elemento

StartPage Sí Primera página donde se va a estampar

Numérico o -1 para la última página

Una marca de agua dentro de una directiva de página anula este parámetro.

1

EndPage No Última página que se va a estampar

Numérico o -1 para la última página

Una marca de agua dentro de una directiva de página anula este parámetro.

-1

Size No Tamaño de punto del texto del mensaje

Numérico 12

Color No Color del texto de mensaje 0 para negro, 100 para blanco, 1-99 para los distintos matices de gris

0

Texto Sí Información que se va a estampar en las páginas del documento

Texto y variables (consulte la sección siguiente) Ninguno

Posición No Ubicación de la página donde se va a estampar el texto

Top (sup), bottom (inf), diag-topleft (diag-supizq),

diag-bottomleft (diag-infizq)

Parte superior

Justificación No Alineación de texto Left (izq), center (cent), right (der) Centrado

Subposición No El texto aparece debajo (subposición) o encima (superposición) del texto

Yes (Sí) a subposición o No a superposición Sí

Opacidad No Nivel de opacidad del texto de la marca de agua

Número de punto flotante entre 0 y 1 (por ejemplo 0.75). Un valor de 0 hace que el texto sea completamente transparente para el texto de debajo. Un valor de 1 hace que el texto sea completamente opaco.

Esta configuración no es compatible con IRM Client for Microsoft Office.

1.0

Rojo No Componente rojo del color de texto

0-255 0

Verde No Componente verde del color de texto

0-255 0

Azul No Componente azul del color de texto

0-255 0

Contorno No Se utiliza un tipo de letra con contorno

Yes (Sí) para contorno; no para sin contorno No


Variables de marcas de aguaLa tabla siguiente muestra las variables, como fechas, horas y números de página, que puede utilizar para incluir marcas de agua a los documentos. Cuando utiliza el parámetro Texto listado en la sección anterior, puede utilizar estas variables para especificar el texto. Cada variable distingue entre mayúsculas y minúsculas y tiene un formato específico. Por ejemplo, un sello de fecha de %a %b %d aparece como Wed Oct 07 (Miér 7 oct). La información que aparece en la marca de agua se basa en cuándo un usuario ve o imprime el documento con la marca de agua.

Nota: El carácter de tanto por ciento (%) debe preceder a todas las variables. Si falta el carácter %, la propia variable aparece en el texto estampado.

Variable Definición Ejemplo

%A Nombre completo de día laborable Viernes

%a Nombre abreviado de día laborable Vier

%B Nombre completo de mes Octubre

%b Nombre abreviado de mes Oct

%c Fecha y hora locales en el sistema cliente de IRM 10/01/05 05:00:00

%d Día del mes 15

%G Número total de páginas 20

%<número de página>g

Número con el que se empieza a numerar las páginas 2

%H Hora, 00–23 13

%I Hora, 01–12 01

%i(<nombre de campo de información>)

Produce el valor de <nombre de campo de información> desde el diccionario de información de documento. <nombre de campo de información> puede contener valores como Autor, Título, Asunto, Palabra clave y Creador. Por ejemplo: %i(Autor)

Sample.pdf, Jane Smith, Seguridad

%j Día del año, 001–366 099

%M Minutos, 00–59 25

%m Mes, 1–12 10

%N Nombre de archivo de documento Sample.pdf

%n Dirección IP del equipo cliente 172.36.27.53

%P Ruta completa del documento, incluido el nombre de archivo C:/Documents/Sample.pdf

%p Equivalente local de AM o PM PM

%S Segundos, 00–61 10

%U Semana del año, 01–53, siendo el domingo el primer día de la semana 36

%u Nombre de usuario sin ruta de dominio de autenticación nweston

100 — Trabajo con marcas de agua

Utilización de la variable de número de páginaLa variable %<número de página>g le permite iniciar la numeración de páginas con el número especificado. Por ejemplo, %2g estampa StartPage con el 2, la página siguiente con el 3, etcétera. Cualquier configuración de marca de agua que se especifica con las directivas de servidor IRM anula este parámetro.

Para saltarse la página 1 de un documento y empezar a incluir los números de página en la segunda página:

1. Introduzca (2) para el parámetro StartPage en el archivo de sello.

2. Introduzca (%2g) para el parámetro Texto.

Para empezar la numeración de páginas en la página 1 con el número 1:

1. Introduzca (1) para el parámetro StartPage en el archivo de sello.

2. Introduzca (%g) para el parámetro Texto.

Secciones condicionales de la marca de aguaPara cuestiones de seguridad, si un cliente IRM recibe una definición de marca de agua que no comprende, se negará a generar el contenido protegido. Para solucionar este problema, el servidor IRM tiene la capacidad de realizar un procesamiento previo de la marca de agua condicional basado en el tipo y la versión del cliente que accede a él. Esto habilita a un administrador para definir marcas de agua que se aplican uniformemente en todos los tipos y versiones de clientes IRM.

Instrucciones de procesamiento previoLa característica condicional de marcas de agua utiliza instrucciones condicionales incluidas en la definición de sello para controlar qué marcas de agua se proporcionan a un cliente dado. La inclusión creativa de estas instrucciones condicionales permite que el administrador del servidor IRM tenga un control muy preciso sobre las marcas de agua que aparecen con el contenido protegido.

%u:<atributo>[:<número>]

Nombre de usuario LDAP y atributos. El <atributo> es cn o uid, y debe estar en el nombre distintivo de usuario (DN) o definido en el contenedor de usuario. Si el atributo no está definido o si el atributo es una entrada no válida para la marca de agua, aparece DN. Al introducir %u sin un atributo también hace aparecer DN.

El <número> opcional especifica qué atributo, si tiene duplicados. Si su DN es cn=Juan Pérez,cn=ventas,dc=miempresa,dc=com y desea que la marca de agua contenga Juan Pérez (Ventas), especifique: %u:cn (%u:cn:2).

Juan Pérez

%W Semana numérica del año, 00–53, siendo el lunes el primer día de la semana 36

%w Día laborable numérico, 0–6, donde el domingo es 0 5

%X Representación de la hora local en el sistema cliente de IRM 05:35:10

%x Representación de fecha local 10/02/05

%Y Año con el siglo 2005

%y Año sin el siglo, 00–99 05

%% % %



Se admiten las siguientes instrucciones de procesamiento previo condicional.

Instrucción Descripción

if_version_eq version_num<instrucciones>[else<instrucciones2> ]end_if

Si el número de versión del cliente es igual a version_num, entonces incluya <instrucciones> en la marca de agua que se devuelve. En caso contrario, incluya <instrucciones2> (si así se especifica).

if_version_neq version_num <instrucciones>[else <instrucciones2>]end_if

Si el número de versión del cliente no es igual a version_num, entonces incluya <instrucciones> en la marca de agua que se devuelve. En caso contrario, incluya <instrucciones2> (si así se especifica).

if_version_gt version_num <instrucciones>[else <instrucciones2>]end_if

Si el número de versión del cliente es superior a version_num, entonces incluya <instrucciones> en la marca de agua que se devuelve. En caso contrario, incluya <instrucciones2> (si así se especifica).

if_version_gte version_num <instrucciones>[else <instrucciones2>]end_if

Si el número de versión del cliente es superior o igual a version_num, entonces incluya <instrucciones> en la marca de agua que se devuelve. En caso contrario, incluya <instrucciones2> (si así se especifica).

if_version_lt version_num <instrucciones>[else <instrucciones2>]end_if

Si el número de versión del cliente es inferior a version_num, entonces incluya <instrucciones> en la marca de agua que se devuelve. En caso contrario, incluya <instrucciones2> (si así se especifica).

if_version_lte version_num <instrucciones>[else <instrucciones2>]end_if

Si el número de versión del cliente es inferior o igual a version_num, entonces incluya <instrucciones> en la marca de agua que se devuelve. En caso contrario, incluya <instrucciones2> (si así se especifica).

if_client_eq client_name <instrucciones>[else <instrucciones2>]end_if

Si el nombre del cliente es igual a client_name, entonces incluya <instrucciones> en la marca de agua que se devuelve. En caso contrario, incluya <instrucciones2> (si así se especifica).

if_client_neq client_name <instrucciones>[else <instrucciones2>]end_if

Si el nombre del cliente no es igual a client_name, entonces incluya <instrucciones> en la marca de agua que se devuelve. En caso contrario, incluya <instrucciones2> (si así se especifica).


En la tabla, client_name debe ser el nombre del cliente IRM deseado exactamente como aparece en el archivo de registro del servidor IRM cuando el cliente inicia una sesión. Las comparaciones del nombre del cliente no distinguen entre mayúsculas y minúsculas.

En la tabla, version_num debe ser el número de versión del cliente específico con el que desea realizar la comparación. El formato para los números de versión es:

major[.minor[.patch[.build]]]

La parte "major" del número es la única que es obligatoria. El resto son opcionales. Si se omiten, se asume que son 0. Esto podría no ser exactamente lo más deseable para todos los casos. Por ejemplo, si la marca de agua especifica if_version_eq 4 y un cliente con una versión 4.0.0.2000 accede al contenido, la sección de marca de agua asociada no se incluirá porque no coincide con 4.0.0.0.

AnidamientoSe admite el anidamiento de instrucciones de procesamiento previo condicionales. Esto permite definiciones como las siguientes.

if_client_eq PageVaultif_version_gte 4 # Este texto de marca de agua se aplica a IRM Client for Adobe Acrobat Opacity (.5) else # Este texto de marca de agua se aplica a IRM Client for Adobe Acrobat anterior a # la versión 4.0 Underlay (no) Outline (yes) end_ifelse # Este texto de marca de agua se aplica a IRM Client for Microsoft Office ...end_if


Otras posibilidades de marca de aguaLa característica de marca de agua condicional puede ser utilizada para avisar a los usuarios sobre la disponibilidad de una nueva versión de cliente.

Sugerencias para utilizar las marcas de aguaTenga presente las siguientes sugerencias a la hora de utilizar las marcas de agua.

Opciones de sello:

• Las opciones de sello son la configuración genérica que se aplica al archivo de sello completo en lugar de elementos de sello individuales.

• Las opciones de sello empiezan con la palabra clave begin_options y terminan con la palabra clave end_options.

• Para las marcas de agua de un byte, la versión (1) debe aparecer en la sección de opciones para la numeración de páginas para trabajar según lo esperado. Para las marcas de agua de doble byte (como las que contienen caracteres chinos, coreanos o japoneses), la versión (2) debe aparecer en la sección de opciones.

• Los márgenes se especifican en puntos. Hay 72 puntos en una pulgada.

Formato del elemento de sello:

• La palabra clave begin_message debe aparecer en una línea separada en el principio de un elemento de sello.

• La palabra clave end_message debe aparecer en una línea separada al final de un elemento de sello.

• Para estampar únicamente la última página de un documento, introduzca -1 para el parámetro StartPage.

Consulte “Utilización de marcas de agua con caracteres chinos, japoneses y coreanos” en la página 106 para obtener una lista de campos adicionales requeridos para las marcas de agua de doble byte.

begin_optionsVersion (1)Topmargin (52)BottomMargin (52)LeftMargin (20)RightMargin (20)end_options

# Para las versiones inferiores a la 4, aparece una marca de agua# que dice "Se requiere actualización"if_version_lt 4begin_messageName (Upgrade)StartPage (1)EndPage (-1)Size (72)Color (70)Text Please UpgradePosition (diag-topleft)Justification (center)Underlay (yes)end_messageend_if


Formato del texto de sello:

• El texto que desea estampar debe estar entre paréntesis; por ejemplo, (última revisión %x). No utilice los paréntesis en el texto del sello, si lo hace no se obtendrán los resultados deseados.

• El texto aparece exactamente como se escribe.

• Si desea que aparezca cierta puntuación entre el texto de las variables, debe introducirla (por ejemplo, “%a., %x” estampa "Wed., 10/07/00" mientras que “%a %x” estampa "Wed 10/07/00").

• La mayoría de los textos que lee oscilarán entre intervalos de 10–12 puntos. Por ejemplo, el texto de los periódicos tiene generalmente un tamaño de 10 puntos. Para crear una marca de agua que ocupe una página entera, intente seleccionar un tamaño de punto grande. Por ejemplo, la palabra "confidencial" estampada en un tamaño de 128 puntos ocupará toda la página diagonalmente.

Color del texto y posición:

• Un valor de color 0 es negro y un valor de color 100 es blanco. Los valores entre 0 y 100 le ofrecen distintos matices de negro (escala de grises).

• El color del texto estampado es opaco, independientemente del valor de color que seleccione.

• El texto que se estampa sobre el texto de un documento (subpuesto definido como No) oscurece dicho texto y cubre cualquier imagen independientemente de su color.

• El texto que se estampa bajo el texto del documento (subpuesto definido como Yes (Sí)) oscurece el texto si el texto de sello tiene la misma sombra de gris que el texto del documento.

• El texto gris que se estampa bajo el texto del documento puede dificultar la lectura del texto, dependiendo del contraste entre el texto y el sello.

• Algunos archivos PDF contienen texto e imágenes ocultos. El texto subpuesto no funciona con imágenes ocultas. Use texto estampado superpuesto para evitar este problema.


Utilización de marcas de agua con caracteres chinos, japoneses y coreanos

Las versiones en chino, japonés y coreano del software cliente de IRM incluyen la capacidad para utilizar caracteres de doble byte en las definiciones de marcas de agua. Las definiciones y la configuración de las marcas de agua de doble byte son ligeramente diferentes a las de marcas de agua basadas en ASCII estándar.

Sección de opciones

La sección de opciones de una marca de agua de caracteres de doble byte es simular a la de marcas de agua ASCII estándar. El valor Version (Versión) debe establecerse en (2) para las marcas de agua de caracteres de doble byte.

Sección Elementos de sello

La sección de elementos de sello de una definición de marca de agua de caracteres de doble byte tiene el mismo formato básico que la de una marca de agua ASCII estándar. Sin embargo, hay campos adicionales obligatorios que se deben agregar. Las fuentes admitidas difieren en función del cliente utilizado.Los campos adicionales para documentos en chino son los siguientes:

Los campos adicionales para documentos en japonés son los siguientes:

Los campos adicionales para documentos en coreano son los siguientes:


Tipo Yes (Sí) Establece conjunto de caracteres a Unicode

(UTF8)

Fuente Yes (Sí) para documentos PDF.

No para documentos de Office.

Selecciona la fuente utilizada para imprimir las marcas de agua.

Documentos PDF:(MHei-Medium)(MSung-Light)(STSong-Light)

Documentos de Office: Cualquier fuente del sistema

Documentos PDF: Helvetica negrita

Documentos de Office:Simsun



(UTF8)




Documentos PDF:(HeiseiKakuGo-W5)(HeiseiMin-W3)



Documentos de Office:MS Gothic



(UTF8)




Documentos PDF:(HYGoThic-Medium)(HYSMyeongJo-Medium)



Documentos de Office:Batang


Variables de marcas de agua

Los clientes de Microsoft Office admiten el conjunto completo de variables de marcas de agua para caracteres de uno y dos bytes. Sin embargo, los elementos de sello de marcas de agua PDF que utilizan el tipo UTF8 sólo admiten un conjunto limitado de opciones de variables:

Para incluir los valores de variables de un byte en un archivo PDF, cree un bloque de mensaje de un byte estándar en el archivo de marca de agua que incluya las variables que desea ver en la marca de agua. Los elementos de sello de uno y dos bytes se pueden utilizar en el mismo archivo de definición de marca de agua si están en bloques separados de mensaje. Sin embargo, las variables que devuelven valores de bytes se mostrarán como caracteres dañados si no se ha especificado el tipo UTF8.

Ejemplo de marca de agua para japonés


%n Dirección IP del equipo cliente. 172.36.27.53

%u Nombre de usuario sin ruta de dominio de autenticación. usera

%u:<atributo>[:<número>]

Nombre de usuario LDAP y atributos. El <atributo> es cn o uid, y debe estar en el nombre distintivo de usuario (DN) o definido en el contenedor de usuario. Si el atributo no está definido o si el atributo es una entrada no válida para la marca de agua, aparece DN. Al introducir %u sin un atributo también hace aparecer DN.

El <número> opcional especifica qué atributo, si tiene duplicados. Si su DN es cn=Juan Pérez,cn=ventas,dc=miempresa,dc=com y desea que la marca de agua contenga Juan Pérez (Ventas), especifique: %u:cn (%u:cn:2).

Juan Pérez

begin_optionsVersion (2)Topmargin (20)BottomMargin (20)LeftMargin (20)RightMargin (20)end_options

#-- Elemento de sello --#begin_messageName (Header)Type (UTF8)Font (HYGoThic-Medium)StartPage (1) EndPage (-1) Size (20) Color (70)Opacity (50)

Text ( )

Position (diag-topleft) Justification (Left) Underlay (no)Outline (yes)end_message


Creación de un archivo de marca de aguaPuede crear un archivo de marca de agua abriendo un editor de texto e introduciendo la información como se ha explicado en la sección anterior en un archivo y guardando ese archivo. A continuación, puede hacer cambios en el archivo en el editor de texto. Si utiliza uno de los archivos de marca de agua de muestra que vienen con el servidor IRM, lo puede abrir en un editor de texto, modificarlo y guardarlo. Una vez que tiene un archivo de marca de agua, lo puede agregar al servidor IRM y editarlo en IRM Server Administrator.

Adición de una definición de marca de aguaPara agregar la definición de marca de agua al servidor IRM:

1. Seleccione Policy (Directiva) > Watermarks (Marcas de agua). Aparecerá el cuadro de diálogo Watermarks (Marcas de agua).

Cualquier marca de agua que ya haya creado aparecerá con sus nombres y descripciones.

2. Haga clic en Add (Agregar) para agregar una marca de agua. Aparecerá el cuadro de diálogo Add Watermark (Agregar marca de agua).


3. Introduzca un nombre para la marca de agua.

4. Introduzca una descripción para la marca de agua.

5. Introduzca o pegue la descripción de marca de agua en la sección StampPDF o haga clic en Browse (Examinar) para localizar el archivo de sello, seleccionarlo y hacer clic en Open (Abrir). Para editar la definición de marca de agua, coloque el cursor en el cuadro de lista StampPDF y realice los cambios deseados. Para incluir marcas de agua adicionales como parte de esta marca de agua, agréguelas haciendo clic en el botón Add (Agregar) de la sección Included Watermarks (Marcas de agua incluidas).




Capítulo 11Control y gestión del servidor IRM

Este capítulo describe cómo controlar el servidor IRM mediante el establecimiento y la consulta de las actividades del registro de actividades, y el establecimiento de notificaciones de la actividad del registro. A continuación, indica los pasos para gestionar el servidor IRM estableciendo instalaciones automáticas de cliente y agregándole complementos de confianza.

Configuración y visualización del registro de actividadesEl servidor IRM mantiene un registro global de todas las actividades del servidor. El registro de actividades del servidor registra las actividades, ya se hayan realizado correcta o incorrectamente. El registro del servidor siempre está activo y reside en el servidor IRM. Estos mensajes le permiten controlar el servidor y, por tanto, agregar una capa de seguridad adicional al servidor. Los mensajes registrados en el registro del servidor incluyen la información siguiente:

• Cuándo se conecta un usuario al servidor IRM

• Cuándo inicia un usuario una sesión en el servidor IRM a través de cualquiera de las aplicaciones de cliente IRM

• Quién protege el contenido y cuándo

• Quién ve o intenta ver el contenido y cuándo

• Cuándo finaliza una conexión

• Cuándo se producen excepciones del sistema, como tiempo de espera superado de la conexión

• Cuándo caduca el contenido

Cada entrada en el registro de actividades muestra la fecha y la hora de la entrada, seguido por el nombre de usuario y un ID de sesión que identifica cada sesión de cliente. Por ejemplo, si un usuario inicia una sesión, el servidor crea un número de ID de sesión. Este número aparece en la entrada cada vez que ese usuario hace alguna acción que genera una entrada de registro. A continuación, aparece el mensaje del registro. Cada mensaje del registro consiste en el número de mensaje, grado de gravedad y mensaje. Los mensajes están codificados mediante colores para facilitar una identificación rápida de su gravedad.

El registro de actividades le permite acusar recibo del contenido y analizar el cumplimiento de seguridad. Puede utilizar el registro de actividades como seguimiento de auditoría de las actividades del servidor.

El archivo de registro pasa a un archivo de copia de seguridad a medianoche todas las noches. Esto contribuye a mantener sus archivos de registro organizados. Todos los archivos de registro aparecen en el directorio de registros ubicado en el directorio del servidor IRM. El archivo de registro actual se llama logdb. Los archivos de registro de copia de seguridad se llaman según año-mes-día. Para ver los archivos de registro de días anteriores, utilice los informes del servidor IRM, como se explica en “Apéndice A, Utilidades e informes de mantenimiento del servidor IRM”.

Control y gestión del servidor IRM — 111

Para ver el registro:

1. Seleccione Logging (Registro) > View Log (Ver registro). Aparecerá el siguiente cuadro de diálogo:

Los mensajes de la actividad aparecen en el cuadro de lista de la parte superior del cuadro de diálogo. Los mensajes que aparecen se basan en las opciones seleccionadas debajo del cuadro de lista.

2. Cambie los criterios para los mensajes que aparecen seleccionando una de las opciones siguientes y, si fuera necesario, rellene su ficha correspondiente:

• Seleccione Auto refresh (all messages) (Actualización automática (todos los mensajes)) si desea que el servidor IRM actualice automáticamente el cuadro de diálogo Activity (Actividad) cada 30 segundos para poder ver todos los mensajes nuevos registrados en el servidor. Esta opción anula cualquier otra selección en este cuadro de diálogo.

• Seleccione Relative time (Tiempo relativo) para ver los mensajes de un determinado punto en el tiempo relativo al momento actual. En la ficha Relative (Relativo), introduzca un número y seleccione Days (Días), Hours (Horas), Minutes (Minutos) o Seconds (Segundos) en la lista desplegable para ver todos los mensajes dentro de ese periodo de tiempo. Por ejemplo, podría ver los mensajes de los últimos diez minutos introduciendo 10 y seleccionando minutos.

• Seleccione tiempo Absolute (Absoluto) para ver todos los mensajes de un periodo de tiempo específico. En la ficha Absolute (Absoluto) defina el periodo de tiempo específico del que desea ver los mensajes.

• Seleccione All times (Todos los tiempos) para ver todos los mensajes registrados en el servidor IRM ese día.

3. Haga clic en la ficha Severities (Gravedad) para limitar los mensajes que aparecen en el cuadro de diálogo Activity Log (Registro de actividades) basándose en la gravedad. Seleccione los niveles de gravedad de los mensajes que desea ver.

4. Haga clic en el botón Refresh (Actualizar) para actualizar los mensajes mostrados en el cuadro de lista del cuadro de diálogo Activity Log (Registro de actividades).

112 — Control y gestión del servidor IRM

Configuración de notificacionesPuede recibir una notificación cuando el servidor registra los mensajes que coinciden con los criterios especificados. Si no desea tener que comprobar el registro muy a menudo, puede configurar el servidor para que le notifique cuándo hay actividades no autorizadas en curso. Esto le da la oportunidad de interceptar la actividad no autorizada mientras tiene lugar. Puede especificar:

• La gravedad sobre la que desea recibir notificación

• El método utilizado para la notificación

• El periodo de tiempo durante el que se debe notificar

Antes de configurar las notificaciones, tiene que crear las especificaciones de tiempo. Para utilizar una especificación de tiempo en una regla de notificación, debe estar marcada como especificación global de tiempo. Para crear las especificaciones de tiempo, consulte “Creación de especificaciones de tiempo” en la página 27. Para configurar las notificaciones:

1. Seleccione Logging (Registro) > Notifications (Notificaciones). Aparecerá el siguiente cuadro de diálogo. Las notificaciones que ya ha configurado aparecen con una acción, tiempo y código de gravedad:

2. Haga clic en Add (Agregar) para agregar una notificación. Aparecerá el siguiente cuadro de diálogo:


3. Seleccione una o más gravedades. Las gravedades son los sucesos sobre los que el servidor IRM debe notificarle. Por ejemplo, si desea que el servidor IRM le envíe una notificación cuando hay usuarios no autorizados intentando acceder al contenido protegido, debe seleccionar Notice (Aviso). La tabla siguiente presenta una lista de los nombres de gravedad, códigos y definiciones.

4. Seleccione el método de notificación en Action (Acción) e introduzca la información correspondiente en Action Arguments (Argumentos de acción).

• Audio reproduce un archivo de sonido del servidor. Introduzca la ruta y el nombre de archivo de un archivo .WAV (o un archivo .AU en Solaris) y seleccione el volumen quiere que el sistema utilice cuando reproduce el archivo.

• Mail (Correo) envía un mensaje de correo electrónico que contiene la gravedad a la dirección especificada en el campo Mail Recipient (Destinatario de correo). Las notificaciones de correo electrónico utilizan el servidor SMTP y la dirección de correo electrónico de retorno especificada en los parámetros de servidor de la aplicación Server Configure. Para obtener información sobre la configuración de los parámetros de servidor, consulte la Guía de instalación del servidor IRM para su sistema operativo.

• Client (Cliente) inicia una aplicación cliente; introduzca la ruta y el nombre de archivo de la aplicación cliente, el archivo ejecutable y cualquier argumento para acceder a la aplicación en los campos Client Application (Aplicación cliente) y Client Arguments (Argumentos de cliente).

• SNMP v1 activa una trampa SNMP. SNMP v1 es un protocolo utilizado por dispositivos de red para proporcionar información de estado. Introduzca la estación de administración, comunidad y puerto de la trampa de SNMP 1 que desea utilizar. El campo Community (Comunidad) tiene como valor predeterminado public (público). El puerto de trampa tiene como valor predeterminado 162.

5. Seleccione la fecha y hora en las que el servidor debe notificarle en la sección Applicable Date & Time (Fecha y hora aplicables). Si la fecha y la hora deseadas no aparecen en la lista, consulte “Creación de especificaciones de tiempo” en la página 27. Asegúrese de que la especificación de hora deseada está marcada como global.



Una vez que haya creado una notificación, puede seleccionar la notificación en la lista, hacer clic en Edit (Editar) para cambiar la información, Delete (Eliminar) para eliminarla del servidor IRM, o Revert (Revertir) para restaurar una notificación inmediatamente después de haberla editado o eliminado. Cuando termine, haga clic en Save (Guardar) para guardar los cambios realizados y cerrar el cuadro de diálogo.

Gravedad (Código) Le notifica de...

Emergency (700 level) (Emergencia (nivel 700))

Errores graves del servidor que evitan el registro y la visualización del contenido protegido.

Alert (600 level) (Alerta (nivel 600))

Fallo de los servicios auxiliares. Se trata de errores internos de menor gravedad que los errores de emergencia.

Critical (500 level) (Crítico (nivel 500))

Directivas de seguridad que se han accionado.

Error (400 level) (Error (nivel 400))

Operaciones normales del servidor que no se pueden terminar.

Warning (300 level) (Advertencia (nivel 300))

Errores recuperables.

Notice (200 level) (Aviso (nivel 200))

Condiciones en las que no hay error, que requieren su atención.

Info (100 level) (Información (nivel 100))

Actividades de funcionamiento estándar del servidor. Éstas se producen regularmente, de modo que probablemente no le interese establecer una notificación para este nivel.


Administración de instalaciones automáticas de software clienteIRM Server Administrator está configurado para permitir a los usuarios instalar automáticamente IRM Client for HTML desde el sitio Web la primera vez que abren un mensaje protegido de correo electrónico o página Web. Para ver esta configuración, abra IRM Server Administrator y seleccione Settings (Configuración) > Client Installation (Instalación de cliente). Aparecerá el cuadro de diálogo Client Installation Settings (Configuración de instalación de cliente) con la opción predeterminada seleccionada y una dirección URL a una página del sitio Web que contiene los vínculos para instalar IRM Client for HTML así como IRM Client for E-Mail:

La configuración predeterminada es Allow automatic installation of IRM Client for HTML (Permitir instalación automática de IRM Client for HTML). Este parámetro permite que los destinatarios que reciben por primera vez un correo electrónico protegido puedan abrirlo sin tener que instalar manualmente ningún software de IRM. Generalmente, los clientes consideran que esto mejora la primera experiencia de los usuarios.

Conviene tener en cuenta algunas advertencias. La instalación automática sólo se aplica a usuarios de Internet Explorer con una configuración de seguridad que permita las descargas ActiveX y Javascript. Estos usuarios, así como los usuarios de Netscape Navigator o Mozilla Firefox, serán dirigidos a una página de descarga desde la que podrán descargar IRM Client for HTML o IRM Client for E-Mail y proceder a su instalación.

Nota: Si selecciona Do not allow automatic installation (No permitir instalación automática) en el cuadro de diálogo Client Installations Settings (Configuración de instalaciones cliente), los usuarios de Internet Explorer con una configuración de seguridad que permita las descargas ActiveX y Javascript no serán dirigidos a la página de descarga. Para obtener información sobre la experiencia de instalación de los usuarios, consulte la Ayuda en línea para IRM Client for E-Mail.

Si decide dejar el campo de dirección URL con la dirección del sitio Web de EMC, tenga en cuenta que, a medida que EMC publica nuevas versiones del software, los usuarios que reciben mensajes de correo electrónico protegidos o que acceden a páginas Web por primera vez, descarga la nueva versión del software. Si desea tener un mayor control sobre las actualizaciones, o si su organización sólo permite el acceso a servidores Web internos, puede establecer la instalación automática en su servidor Web y modificar el campo de dirección URL para que dirija a la dirección de los archivos de su servidor Web necesarios para realizar una instalación automática. Consulte “Configuración de instalaciones automáticas en el servidor Web” en la página 116, para obtener información detallada sobre cómo se configuran las instalaciones automáticas en el servidor Web y cómo se permite el acceso a los archivos de la Ayuda en línea. Consulte “Cambio de la imagen predeterminada de acceso denegado” en la página 117 para obtener información detallada sobre cómo se cambia la imagen de acceso denegado predeterminada que aparece en las páginas Web cuando los usuarios acceden a una imagen protegida con una directiva que no les permite acceder a esa página.

Cuando se permiten las instalaciones automáticas, el servidor IRM coloca la dirección en el campo de dirección URL de cada mensaje de correo electrónico protegido y página Web durante la protección. Si cambia la dirección del campo de dirección URL mientras un usuario protege el contenido con IRM Client for E-Mail, el cambio no se aplicará al contenido. Sólo se aplica al contenido protegido después de que el usuario finalice la sesión y vuelva a iniciar una sesión en el servidor IRM a través de uno de estos clientes.

Puede seleccionar también Do not allow automatic installation (No permitir instalación automática) en el cuadro de diálogo Client Installation Settings (Configuración de instalación de cliente). Seleccione esta opción si su organización no permite las instalaciones desde un servidor Web (por ejemplo, puede prohibir la descarga de controles ActiveX a través de un explorador), o si desea distribuir el software mediante:


• IRM Client for E-Mail CD. Para obtener información sobre la instalación del software desde el CD, consulte las Notas de publicación de IRM Client for E-Mail.

• Un sistema de distribución automatizado como Microsoft Systems Management Server (SMS).

Configuración de instalaciones automáticas en el servidor WebPara controlar la versión del software de cliente que reciben los usuarios, quizá le interese que los usuarios instalen automáticamente IRM Client for HTML e IRM Client for E-Mail desde el sitio Web de su organización. Para configurar las instalaciones en su servidor Web:

1. Descomprima el directorio WebServerComponents incluido en el CD IRM Client for E-Mail. Extraiga los archivos a una ubicación de su servidor Web. Mantenga la estructura del directorio para que las instalaciones funcionen correctamente. Los archivos de Ayuda de IRM Client for HTML e IRM Client for E-Mail también están en el directorio de Componentes de WebServer para que los usuarios puedan acceder a la Ayuda desde su sitio Web.

2. Cree un directorio virtual en su servidor Web para el directorio de WebServerComponents. Para obtener información sobre la creación de directorios virtuales, consulte la documentación que acompaña a su software de servidor Web. Establezca los permisos para su directorio virtual como Scripts only (Sólo secuencias de comandos).

3. Abra IRM Server Administrator y seleccione Settings (Configuración) > Client Installation (Instalación de cliente).

4. En el cuadro de diálogo Client Installation Settings (Configuración de instalación de cliente), siga uno de estos procedimientos:

• Seleccione Allow automatic installation of the IRM Client for HTML (Permitir instalación automática de IRM Client for HTML) para permitir que los usuarios instalen automáticamente IRM Client for HTML desde su sitio Web.

• Seleccione Do not allow automatic installation (No permitir instalación automática) para proporcionar a los usuarios los vínculos a IRM Client for HTML e IRM Client for E-Mail. Para obtener información sobre la utilización de los vínculos para instalar cualquiera de estas aplicaciones, consulte “Administración de instalaciones automáticas de software cliente” en la página 115.

5. Introduzca la dirección URL que corresponde al directorio virtual que creó para el directorio de WebServerComponents en el campo de dirección URL.


Si utiliza Microsoft Internet Information Server (IIS) 4 o 5, debe agregar también el tipo de archivo .jar al mapa MIME para el directorio virtual. Esto permite a los usuarios instalar automáticamente el software de cliente mediante un explorador de archivos Netscape. Para agregar un tipo de archivo al mapa MIME con IIS:

1. Seleccione el directorio virtual que corresponde al directorio de WebServerComponents en su servidor Web.

2. Haga clic en el botón Action (Acción) y seleccione Properties (Propiedades) en el menú desplegable.

3. En el cuadro de diálogo Properties (Propiedades), seleccione la ficha HTTP Headers (Encabezados HTTP), haga clic en el botón File Types (Tipos de archivo), y haga clic en el botón New Type (Nuevo tipo). Aparecerá el cuadro de diálogo File Type (Tipo de archivo).

4. Introduzca .jar en el campo Associated Extension (Extensión asociada).

5. Introduzca application/java-archive (aplicación/archivo-java) en el campo Content Type (MIME) (Tipo de contenido (MIME)). Para obtener información sobre los tipos MIME, consulte la documentación de IIS.

6. Haga clic en OK (Aceptar) tres veces.


Cambio de la imagen predeterminada de acceso denegadoEl directorio de WebServerComponents contiene la imagen siguiente que puede aparecer en páginas Web cuando los usuarios acceden a una imagen protegida con una directiva que no les permite acceder a la página. De forma opcional, puede cambiar esta imagen por otra que sea específica para su organización.

Para sustituir la imagen de acceso denegado predeterminada:

1. Cree su propia imagen en todos los formatos de imagen admitidos siguientes: jpg, gif, bmp y png.

2. Póngale a los archivos los siguientes nombres: NRAccessDenied.jpg, NRAccessDenied.gif, NRAccessDenied.bmp y NRAccessDenied.png.

3. Copie los archivos de imagen en el directorio de WebServerComponents en su servidor Web.

Descripción general sobre complementos de confianzaEs posible que un usuario cree un complemento para Adobe Acrobat que intente extraer información protegida de los documentos PDF, por eso, puede agregar una lista de los complementos de Adobe Acrobat que considere de confianza al servidor IRM. A estos complementos se les denomina trusted plug-ins (complementos de confianza). El servidor IRM sólo busca complementos de confianza si un usuario accede a un documento PDF protegido. No aplica ningún complemento de confianza cuando el usuario accede a un mensaje de correo electrónico o página Web protegidos. Cuando el usuario inicia una sesión, el servidor IRM busca complementos de Adobe Acrobat en el equipo del usuario que no estén incluidos en la lista como "de confianza" por el administrador. Si el servidor encuentra complementos instalados en el equipo cliente que no están en la lista del servidor IRM, IRM Client for Adobe Acrobat deniega el acceso al documento, incluso si el usuario proporcionara una cuenta y contraseña válidas.

Si desea especificar una lista de complementos de confianza, primero debe seleccionar la opción Enforce Trusted Plug-Ins (Aplicar complementos de confianza) en la ficha Parameters (Parámetros) del servidor IRM en la aplicación Server Configure y, a continuación, reinicie el servidor. Para obtener información sobre la configuración de esta opción, consulte la Guía de instalación del servidor IRM para su sistema operativo. También necesita instruir a los usuarios que instalan IRM Client for Adobe Acrobat para que seleccionen la opción Enable Trusted Plug-Ins (Habilitar complementos de confianza) durante la instalación de IRM Client for Adobe Acrobat. Para obtener más información, consulte las Notas de publicación de IRM Client for Adobe Acrobat.


Adición de complementos de confianzaPara agregar complementos de confianza al servidor IRM:

1. Seleccione Policy (Directiva) > Trusted Plug-ins (Complementos de confianza). Aparecerá el siguiente cuadro de diálogo:

2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Select Plug-in Files (Seleccionar archivos de complementos).

3. Localice el archivo de complemento que desea agregar, selecciónelo o seleccione varios archivos, finalmente, haga clic en OK (Aceptar).


En el cuadro de diálogo Trusted Plug-ins (Complementos de confianza), puede hacer clic en View (Mostrar) para ver información acerca del complemento de confianza, Delete (Eliminar) para eliminarlo, o Revert (Revertir) para deshacer los cambios o eliminaciones realizadas desde la última vez que guardó.


Capítulo 12Configuración de una jerarquía de seguridad de muestra

Este capítulo le guía por el proceso de creación de una jerarquía de seguridad de muestra. En él se explica la capacidad del servidor IRM para proporcionar a su organización distintos niveles de seguridad sumamente gestionables. Puede utilizar estas pautas para configurar su propia jerarquía de seguridad. Si necesita información de ejemplo para configurar usuarios para IRM Client for E-Mail o IRM Extranet Server, consulte “Capítulo 13, Distribución de IRM Client for E-Mail e IRM Extranet Server”.

Definición de las necesidades de seguridadEl primer paso en la configuración de una jerarquía de seguridad para su organización es definir sus necesidades de seguridad. Debe preguntarse a sí mismo lo siguiente:

• ¿Qué red global y especificaciones de tiempo desea permitir o denegar cuando los usuarios intentan iniciar una sesión en el servidor IRM?

• ¿Con qué tipo de de método de autenticación desea que los usuarios realicen la autenticación con el servidor IRM?

• Si ha organizado toda su organización en grupos basándose en niveles de seguridad, ¿cuántos grupos tendría, cómo se denominaría a los grupos y qué derechos tendría cada grupo?

• ¿Hay alguien en su organización que deba tener acceso a toda la información, siempre?

• ¿Hay alguna otra autorización o permiso que se aplique a todos los miembros de su organización? Por ejemplo, ¿necesitan los usuarios ver información sin estar conectados?

• ¿Desea conservar las claves para el contenido caducado en el servidor IRM durante un plazo de tiempo fijo para que pueda acceder al contenido caducado otra vez, si fuera necesario?

• ¿Qué nivel de seguridad querría aplicar su organización para la mayoría de los documentos protegidos?

Para ilustrar cómo se configura una jerarquía de seguridad de muestra, supongamos que ha respondido a estas preguntas con las respuestas siguientes:

• Desea permitir el acceso al servidor IRM desde todos los equipos de la red de la empresa a partir de las 5 de la mañana hasta las 11 de la noche.

• Los usuarios de su organización autentican con el servidor IRM mediante contraseñas secretas compartidas.

• Su organización tiene los grupos siguientes: CEO (Director general), Administrators (Administradores), Accounting (Contabilidad), All Others (Todos los demás).

• Desea permitir al CEO (Director general) tener acceso a todo el contenido protegido durante los tiempos permitidos por el servidor IRM.

• Desea que el nombre de su organización aparezca como una marca de agua en la parte superior de los documentos protegidos.

• Desea conservar las claves para el contenido caducado en el servidor IRM durante 90 días después de que los usuarios hayan creado el contenido protegido para que pueda acceder al contenido otra vez si caduca en menos de 90 días.

• De forma predeterminada, cuando los usuarios protegen documentos, sólo se les permite ver los documentos y páginas protegidos. No se les permite imprimir ni copiar el contenido protegido. Sólo desea que los usuarios accedan a los documentos protegidos desde la propia red de su organización, de lunes a viernes y entre la 9 de la mañana y las 5 de la tarde.

Puede convertir en realidad esta jerarquía de seguridad configurándola en IRM Server Administrator. Para realizar los procedimientos indicados en este capítulo, debe tener derechos plenos de administrador.

Configuración de una jerarquía de seguridad de muestra — 119

Creación de entidades de red y especificaciones de tiempoEn su organización de ejemplo, primero debe crear las entidades de red globales y las especificaciones de tiempo para agregar a las restricciones de inicio de sesión y grupos. Para crear entidades de red y especificaciones de tiempo:

1. Seleccione Policy (Directiva) > Network Entities (Entidades de red) y cree una entidad de red global con el nombre mi empresa. Para obtener más información sobre la creación de entidades de red, consulte “Creación de entidades de red” en la página 25.

2. Seleccione Policy (Directiva) > Time Specifications (Especificaciones de tiempo) y cree una especificación de tiempo global con el nombre días laborables y configure el tiempo como de lunes a viernes, de 9 de la mañana a 5:00 de la tarde. Para obtener más información sobre la creación de especificaciones de tiempo, consulte “Creación de especificaciones de tiempo” en la página 27.

3. Cree otra especificación de tiempo global con el nombre días laborables largos y configure el tiempo como de lunes a viernes, de 5 de la mañana hasta 11 de la noche.

Configuración de restricciones de inicio de sesiónEl servidor IRM aplica las restricciones de inicio de sesión a todos usuarios que conectan al servidor IRM, independientemente de lo que especifiquen otras directivas. En su organización de ejemplo, desea permitir el acceso al servidor IRM desde todos los equipos de la red de la empresa a partir de las 5 de la mañana hasta las 11 de la noche. Para establecer las restricciones de inicio de sesión:

1. Seleccione Policy (Directiva) > Login Restrictions (Restricciones de inicio de sesión). De forma predeterminada, aparece un asterisco (*) debajo de Network and Time (Red y Tiempo) con una marca de verificación bajo Login (Inicio de sesión) para indicar que los usuarios pueden conectar al servidor IRM en todas las entidades de red y tiempos.

2. Seleccione la fila existente y haga clic en Delete (Eliminar) para eliminar esta fila y agregar sus propias restricciones de inicio de sesión.

3. Haga clic en Agregar. Aparecerá el cuadro de diálogo Add Login Rule (Agregar regla de inicio de sesión).

4. Seleccione la entidad de red mi empresa que creó en el campo Select Network Entity (Seleccionar entidad de red).

5. Seleccione long workdays (días laborables largos) en el campo Select Time Specifications (Seleccionar especificaciones de tiempo).

6. Seleccione Allow (Permitir) y haga clic en OK (Aceptar). Aparecerá el siguiente cuadro de diálogo:

120 — Configuración de una jerarquía de seguridad de muestra

Creación de derechos de grupoLos derechos de grupo permiten administrar fácilmente a muchos usuarios mediante su división en grupos lógicos. Su organización tendría los siguientes grupos:

• CEO (Director general)

• Administrators (Administradores)

• Accounting (Contabilidad)

• All Others (Todos los demás)

Los usuarios de su organización autentican con el servidor IRM mediante contraseñas secretas compartidas. El dominio de autenticación de contraseña secreta compartida (\\pvserver) ya existe automáticamente. Si los usuarios realizan la autenticación con cualquier método distinto a contraseña secreta compartida, debe configurar un dominio de autenticación, como se explica en “Capítulo 5, Gestión de usuarios y grupos”.

Para crear y configurar el grupo CEO (Director general) con un miembro, su director general, que tiene derechos para acceder a toda la información de la empresa siempre:

1. Seleccione Users (Usuarios) > Groups (Grupos).

2. Haga clic en Agregar.

3. Introduzca el nombre CEO (Director general) y una descripción para el grupo.

4. Seleccione Members of (Miembros de) en el menú desplegable de la sección Membership (Pertenencia) para agregar miembros a un grupo.

5. Haga clic en Add (Agregar), seleccione el dominio de usuario secreto compartido (\\pvserver) y haga clic en Find Now (Buscar ahora) para que aparezca una lista de todos los usuarios de ese dominio en el campo Select User Name (Seleccionar nombre de usuario). A continuación, seleccione el usuario que desempeña el cargo de director general y haga clic en OK (Aceptar).

No configure ninguna entidad de red ni ninguna restricción de tiempo porque el director general puede acceder al servidor IRM desde cualquier red durante los tiempos que las restricciones de inicio de sesión permiten. Tampoco configure fechas válidas ni de caducidad porque el director general siempre es un usuario válido y no tiene ninguna fecha de caducidad establecida.

6. Seleccione View (Mostrar), Print (Imprimir), Select Text and Graphics (Seleccionar texto y gráficos), Protect (Proteger), Protect with Guest Access (Proteger con acceso como invitado), Delete Own (Eliminar propio) y Expire (Caducar). Esto da al director general la capacidad de realizar todas estas actividades en relación con el contenido protegido.

7. Defina Maximum Lease Duration (days) (Duración máxima de contrato (días)) como 10 días para que el director general pueda acceder al contenido protegido sin conexión.

8. Haga clic en Admin Rights (Derechos de administración) y seleccione Read-Only (Sólo lectura) en todos los campos de Access Rights (Derechos de acceso). Seleccione No en los campos Delete Any Content (Eliminar cualquier contenido) y Full Administrator (Administrador con derechos plenos). Como director general, este usuario tiene derecho a ver toda la información de la empresa. Sin embargo, el director general desea dejar la capacidad de modificar o eliminar la información en manos de los administradores.

9. Haga clic en OK (Aceptar) y Save (Guardar).


El grupo Administrators (Administradores) tiene dos miembros. Uno de cada uno de los otros dos grupos: Accounting (Contabilidad) y All Others (Todos los demás). Esto permite al departamento de contabilidad tener a una persona que administra la información para ese departamento. Para crear y configurar el grupo Administrators (Administradores):



3. Introduzca el nombre Administrators (Administradores) y una descripción para el grupo.


5. Haga clic en Add (Agregar), seleccione el dominio de usuario secreto compartido (\\pvserver) y haga clic en Find Now (Buscar ahora) para que aparezca una lista de todos los usuarios de ese dominio en el campo Select User Name (Seleccionar nombre de usuario). A continuación, seleccione los usuarios que desea que sean administradores y haga clic en OK (Aceptar).

No configure ninguna entidad de red ni ninguna restricción de tiempo porque los administradores pueden acceder al servidor IRM desde cualquier red durante los tiempos que las restricciones de inicio de sesión permiten. Tampoco configure fechas válidas ni de caducidad porque los administradores siempre son un usuario válido y no tienen ninguna fecha de caducidad establecida. No configure ningún permiso de contenido porque los administradores no ven ni protegen el contenido.

6. Haga clic en Admin Rights (Derechos de administración) y seleccione Read-Write (Lectura-Escritura) en todos los campos de Access Rights (Derechos de acceso). Seleccione Yes (Sí) en el campo Delete Any Content (Eliminar cualquier contenido). Seleccione No en el campo Full Administrator (Administrador con derechos plenos). (Si selecciona Sí, les permitiría conceder derechos administrativos a otros grupos). Estos administradores tienen derechos para ver, modificar, cambiar al propietario y eliminar toda la información del servidor. Sin embargo, por regla general sólo van a utilizar el derecho de modificar la información para sus departamentos individuales. El cuadro de diálogo Access Rights for Group (Derechos de acceso para el grupo) aparece de la siguiente manera:

7. Haga clic en OK (Aceptar) y Save (Guardar).

El grupo Accounting (Contabilidad) incluye el departamento de contabilidad completo. Para crear y configurar el grupo Accounting (Contabilidad):



3. Introduzca el nombre Accounting (Contabilidad) y una descripción para el grupo.



5. Haga clic en Add (Agregar), seleccione el dominio de usuario secreto compartido (\\pvserver) y haga clic en Find Now (Buscar ahora) para que aparezca una lista de todos los usuarios de ese dominio en el campo Select User Name (Seleccionar nombre de usuario). A continuación, seleccione los usuarios del departamento de contabilidad y haga clic en OK (Aceptar).

6. Seleccione Time Restrictions (Restricciones de tiempo), haga clic en Add (Agregar) y seleccione workdays (días laborables). Esto permite a los usuarios del grupo acceder al servidor sólo entre las horas de 9 de la mañana a 5 de la tarde, de lunes a viernes. No configure fechas válidas ni de caducidad porque los administradores siempre son un usuario válido y no tienen ninguna fecha de caducidad establecida.

7. Seleccione View (Mostrar), Print (Imprimir), Select Text and Graphics (Seleccionar texto y gráficos), Protect (Proteger), Delete Own (Eliminar propio) y Expire (Caducar). Esto concede a los miembros del departamento de contabilidad la capacidad de realizar todas estas actividades en relación con el contenido protegido.

Deje la opción Maximum Lease Duration (days) (Duración máxima de contrato (días)) en cero (0) para que el departamento de contabilidad no pueda acceder al contenido protegido sin estar conectado. No haga clic en Admin Rights (Derechos de administración); en su lugar, deje el valor predeterminado None (Ninguno). Delete Any Content (Eliminar cualquier contenido) y Administrator Rights (Derechos de administrador) tienen No seleccionado. Esto no concede a los miembros del departamento de contabilidad ningún derecho administrativo. Los miembros sólo pueden modificar sus propias plantillas de directiva de documento y directivas de correo electrónico y de documento. No pueden crear plantillas de directiva de documento globales, cambiar el propietario de una directiva, ni eliminar directivas de otros propietarios.

El grupo All Others (Todos los demás) incluye a todos los empleados. Los usuarios que forman parte de los otros grupos establecidos, tienen los derechos de esos grupos y del grupo All Others (Todos los demás). Los que no pertenecen a ningún otro grupo, sólo tienen los derechos de ese grupo en particular. Para crear y configurar el grupo All Others (Todos los demás):



3. Introduzca el nombre All Others (Todos los demás) y una descripción para el grupo.

4. Seleccione Everyone (Todos) en el menú desplegable de la sección Membership (Pertenencia) para agregar todos los usuarios que pueden conectar al servidor IRM.

5. Seleccione Time Restrictions (Restricciones de tiempo), haga clic en Add (Agregar) y seleccione workdays (días laborables). Esto permite a los usuarios del grupo acceder al servidor sólo entre las horas de 9 de la mañana a 5 de la tarde, de lunes a viernes. No configure fechas válidas ni de caducidad porque los empleados siempre son usuarios válidos y no tienen ninguna fecha de caducidad establecida.

6. Seleccione View (Mostrar), pero deje Print (Imprimir), Select Text and Graphics (Seleccionar texto y gráficos), Protect (Proteger), Protect with Guest Access (Proteger con acceso como invitado), Delete Own (Eliminar propio) y Expire (Caducar) sin seleccionar. Esto concede a los miembros del grupo All Others (Todos los demás) la capacidad exclusiva de ver documentos protegidos. No pueden editar ni eliminar sus propias plantillas de directiva de documento ni directivas de correo electrónico ni de documento.

Deje la opción Maximum Lease Duration (days) (Duración máxima de contrato (días)) en cero (0) para que el grupo All Others (Todos los demás) no pueda acceder al contenido protegido sin estar conectado. No haga clic en Admin Rights (Derechos de administración); en su lugar, deje el valor predeterminado None (Ninguno). Delete any Documents (Eliminar cualquier documento) y Administrator Rights (Derechos de administrador) tienen No seleccionado. Esto no concede a los miembros del grupo All Others (Todos los demás) ningún derecho administrativo. Los miembros sólo


pueden modificar sus propias plantillas de directiva de documento y directivas de correo electrónico o de documento. No pueden crear plantillas de directiva de documento globales, cambiar el propietario de una directiva, ni eliminar las directivas de otros propietarios. El cuadro de diálogo Add group (Agregar grupo) aparece de la siguiente manera:

Acaba de configurar la estructura general de la jerarquía del grupo para su organización de muestra. Cualquier usuario que pertenece a los grupos que pueden proteger documentos (todos los grupos excepto el grupo Todos los demás) puede crear, editar o eliminar sus propias plantillas de directiva de documento, directivas de correo electrónico y directivas de documento. Sin embargo, si un usuario crea una directiva de documento que concede niveles de acceso que no son apropiados, puede acceder a la directiva y cambiar los permisos. Para tener pleno control sobre la directiva, cambia el propietario por sí mismo. También puede editar la directiva o cambiar al propietario de una directiva para mensajes de correo electrónico protegidos. Para acceder a las directivas para el contenido protegido, consulte “Capítulo 7, Configuración de direcciones y usuarios de correo electrónico” y “Capítulo 8, Configuración de directivas para documentos”.

Configuración de restricciones de servidorEl servidor IRM aplica cualquier restricción de servidor independientemente de lo que especifiquen otras directivas. Como esta directiva se aplica estrictamente, se recomienda configurar esta directiva con el menor número de restricciones. En su organización de ejemplo, necesita configurar las restricciones de servidor para garantizar que el grupo CEO (Director general) pueda acceder a toda la información del servidor siempre y para garantizar que la marca de agua de su empresa aparece en todos los documentos. También desea conservar las claves para el contenido caducado en el servidor IRM durante 90 días después de que los usuarios hayan creado el contenido protegido para que pueda acceder al contenido otra vez si caduca en menos de 90 días. Para configurar sus restricciones de servidor:

1. Seleccione Policy (Directiva) > Server Restrictions (Restricciones de servidor).

2. Seleccione Users and Groups (Usuarios y grupos). Haga clic en Agregar. Aparecerá el cuadro de diálogo Add Policy User or Group (Agregar usuario o grupo de directiva).


3. Seleccione CEO (Director general) en la lista desplegable Group Authentication Domains (Dominios de autenticación de grupo) para especificar que el grupo CEO (Director general) tiene acceso a todo el contenido protegido.

4. Seleccione Allow (Permitir) en la parte inferior del cuadro de diálogo y haga clic en OK (Aceptar).

5. Seleccione el permiso Print (Imprimir) para garantizar que cuando los grupos y el contenido protegido admiten la impresión, los usuarios pueden imprimir el contenido protegido.

6. Seleccione el permiso Select Text and Graphics (Seleccionar texto y gráficos) para garantizar que cuando los grupos y el contenido protegido admiten la selección de texto y gráficos, los usuarios pueden copiar y pegar el contenido protegido.

7. Introduzca 10 en el campo Maximum Lease Duration (days) (Duración máxima de contrato (días)) para que los grupos autorizados puedan acceder al contenido protegido sin protección durante 10 días cuando el contenido protegido permita la impresión.

8. Especifique una marca de agua seleccionándola en la lista desplegable del campo Watermarks (Marcas de agua). La marca de agua aparece cuando un documento protegido se imprime.

9. Seleccione Retain key for minimum of (Conservar clave durante un mínimo de) e introduzca 90 como el número de días.

10. Deje la configuración predeterminada para la opción Refresh offline access (Actualizar acceso sin conexión).

11. Deje la opción Expire e-mail messages (Hacer caducar mensajes de correo electrónico) sin seleccionar.

12. Haga clic en Aceptar. Las restricciones de servidor aparecen de la siguiente manera:



Creación de una plantilla de directiva de documentoDebe tener por lo menos una plantilla de directiva de documento que los usuarios del cliente IRM puedan seleccionar al proteger los documentos. Como la plantilla puede cubrir la mayoría del contenido protegido, debería representar el nivel de seguridad que desee establecer para la mayoría de la información. En su organización de ejemplo, desea que la plantilla impida que los usuarios corten y peguen, e impriman los documentos protegidos. También desea asegurarse de que los usuarios puedan acceder a estos documentos protegidos sólo de 9 de la mañana a 5 de la tarde, de lunes a viernes y sólo desde la red de la empresa. Para crear su plantilla:

1. Seleccione Policy (Directiva) > Policy Templates (Plantillas de directiva).

2. Deje la opción Print (Imprimir) sin seleccionar porque no desea que los usuarios impriman el contenido protegido con esta plantilla. Esto permite a su organización conservar el control de la distribución de toda la información protegida.

3. Deje la opción Select Text and Graphics (Seleccionar texto y gráficos) sin seleccionar. Esto impide que se copie y pegue el contenido protegido con esta plantilla.

4. Deje la opción Guest Access (Acceso como invitado) sin seleccionar. Esto significa que los usuarios deben iniciar una sesión en el servidor IRM para acceder al contenido protegido.

5. Configure el campo Maximum Lease Duration (days) (Duración máxima de contrato (días)) como 10 para que los usuarios autorizados puedan acceder al contenido protegido sin estar conectados. Los únicos usuarios que pueden aprovecharse de este permiso son los que pertenecen a los grupos (por ejemplo, el grupo CEO (Director general)) que tienen este mismo permiso. Si necesita más información, consulte “Trabajar sin conexión” en la página 20.

6. Deje el campo Watermark (Marca de agua) como None (Ninguno). Ya había seleccionado una marca de agua en las restricciones de servidor, por tanto, no es necesario establecer otra.

7. Deje la opción Users and Groups Authorization (Autorización de usuarios y grupos) configurado en el valor predeterminado para permitir a todos los demás. Todos los empleados pueden ver el contenido protegido con la plantilla.

8. Seleccione Time Restrictions (Restricciones de tiempo) y haga clic en Add (Agregar) para agregar la restricción de tiempo de días laborables que permite a los usuarios ver el contenido protegido con la plantilla durante las horas de oficina habituales, de 9 de la mañana a 5 de la tarde, de lunes a viernes. Seleccione workdays (días laborables) y haga clic en OK (Aceptar). La plantilla aparece de la siguiente manera:



Capítulo 13Distribución de IRM Client for E-Mail e IRM Extranet Server

Este capítulo explica cómo se distribuye IRM Client for E-Mail e IRM Extranet Server. Le ayuda a idear una estrategia de distribución para una o ambas aplicaciones y, a continuación, le proporciona una descripción general de las tareas implicadas en la distribución de cada una. También presenta dos ejemplos de procedimientos de implementación. El primer procedimiento de ejemplo, “Distribución de IRM Client for E-Mail en Acme Trust” en la página 129, muestra cómo una corporación ficticia configura IRM Client for E-Mail. El segundo procedimiento del ejemplo, “Distribución de IRM Extranet Server en la Agencia XYZ” en la página 136, muestra cómo una corporación gubernamental ficticia configura IRM Extranet Server para disponer de protección automática de correo electrónico. El usuario puede utilizar estos ejemplos de procedimiento como pautas para configurar la protección de correo electrónico en su propia organización.

Planificación de una estrategia de distribuciónCuando se planifica la protección del correo electrónico con productos de IRM, primero debe determinar qué método de protección de correo electrónico le interesa más a su organización. Tiene que decidir si va a depender de los usuarios internos el proteger el correo electrónico según su criterio, o si va a implementar una protección automática de correo electrónico en el servidor de correo de su organización. IRM Client for E-Mail es la solución si desea que sean los usuarios internos quienes protejan sus propios mensajes de correo electrónico. IRM Extranet Server es la solución para la protección automática de los mensajes de correo electrónico.

Hay organizaciones que deciden utilizar ambos productos de IRM. Por ejemplo, puede permitir a los ejecutivos de su organización que protejan los mensajes de correo electrónico que consideren confidenciales con IRM Client for E-Mail, pero también puede configurar IRM Extranet Server para proteger todos los mensajes de correo electrónico enviados por cualquier miembro de su organización a una corporación asociada. Sus ejecutivos, u otro grupo de su organización, podrían iniciar una sesión en el servidor IRM y proteger mensajes de correo electrónico con sus nombres de usuario y contraseñas del dominio de Windows, y los socios podrían iniciar sesión en el servidor IRM y abrir los mensajes protegidos con una cuenta de contraseña secreta compartida creada automáticamente cuando abren su primer mensaje de correo electrónico protegido.

Este diagrama muestra cómo IRM Client for E-Mail e IRM Extranet Server podrían funcionar en este ejemplo:

Distribución de IRM Client for E-Mail e IRM Extranet Server — 127

Descripción general de la distribución de IRM Client for E-MailSi su organización pretende utilizar IRM Client for E-Mail, hay varias cosas que debe hacer para configurar la aplicación para internal users (usuarios internos) (forman parte de su organización) y external users (usuarios externos) (que acceden al servidor IRM desde fuera de su servidor de seguridad):

• Decídase por ambos tipos de usuario, internos y externos, si desea que sólo vean los mensajes de correo electrónico protegidos, o para que puedan ver los mensajes de correo electrónico protegido y proteger sus propios mensajes de correo electrónico. Puede configurar la instalación de IRM Client for HTML o de IRM Client for E-Mail, o puede instalar una aplicación externa para distribuir el software. Si precisa más información sobre las instalaciones, consulte “Administración de instalaciones automáticas de software cliente” en la página 115.

• Configure las restricciones de inicio de sesión apropiadas, dominios de autenticación, grupos y usuarios, y las restricciones de servidor para permitir que tanto usuarios internos como externos puedan iniciar una sesión en el servidor IRM. Si precisa más información, consulte “Descripción general de restricciones de inicio de sesión” en la página 27, “Descripción general de dominios de autenticación” en la página 31, “Descripción general de gestión de usuarios y grupos” en la página 49 y “Descripción general de restricciones del servidor” en la página 63.

• Asigne manualmente o configure reglas de dirección de correo electrónico no asignada para ambos tipos de usuario, internos y externos. Esto asocia las cuentas de usuario del servidor IRM con las direcciones de correo electrónico de los usuarios y permite a los destinatarios abrir los mensajes de correo electrónico protegidos. Algunas reglas de dirección de correo electrónico no asignada envían al destinatario un mensaje de bienvenida, junto con su mensaje de correo electrónico protegido, la primera vez que reciben un mensaje protegido. Si precisa más información, consulte “Asignación de direcciones de correo electrónico conocido” en la página 69 y “Configuración de reglas de dirección de correo electrónico no asignada” en la página 75.

Su decisión sobre cómo gestionar estas tareas debe basarse en las necesidades de seguridad de su organización. Si desea ver un ejemplo de cómo decide una determinada organización configurar su aplicación IRM Client for E-Mail, consulte “Distribución de IRM Client for E-Mail en Acme Trust” en la página 129.

Descripción general de la distribución de IRM Extranet ServerSi va a trabajar con IRM Extranet Server, tiene que hacer varias cosas para configurarlo:

• Decida si desea que todos los usuarios puedan proteger mensajes de correo electrónico en sus equipos de escritorio con IRM Client for E-Mail o si desea proteger todos los mensajes de correo electrónico automáticamente con IRM Extranet Server. Puede configurar la instalación de IRM Client for HTML o de IRM Client for E-Mail, o puede instalar una aplicación externa para distribuir el software. Si precisa más información sobre las instalaciones, consulte “Administración de instalaciones automáticas de software cliente” en la página 115.

• Configure las restricciones de inicio de sesión apropiadas, dominios de autenticación, grupos, y usuarios, y las restricciones de servidor en el servidor IRM. Esto permite tanto a usuarios internos como externos iniciar una sesión en el servidor IRM. Si precisa más información, consulte “Descripción general de restricciones de inicio de sesión” en la página 27, “Descripción general de dominios de autenticación” en la página 31, “Descripción general de gestión de usuarios y grupos” en la página 49 y “Descripción general de restricciones del servidor” en la página 63.

• Asigne manualmente o configure reglas de dirección de correo electrónico no asignada para ambos tipos de usuario, internos y externos. Esto vincula las cuentas de usuario del servidor IRM con direcciones de correo electrónico específicas y permite a los usuarios abrir los mensajes de correo electrónico protegidos. Algunas reglas de dirección de correo electrónico no asignada envían al destinatario un mensaje de bienvenida, junto con su mensaje de correo electrónico protegido, la primera vez que reciben un mensaje de correo electrónico protegido. Si precisa más información, consulte “Asignación de direcciones de correo electrónico conocido” en la página 69 y “Configuración de reglas de dirección de correo electrónico no asignada” en la página 75.

128 — Distribución de IRM Client for E-Mail e IRM Extranet Server

• Instale IRM Extranet Server en un equipo que disponga de una solución de exploración de correo electrónico admitida, por ejemplo MAILsweeper for SMTP, y configure IRM Extranet Server para proteger correo electrónico. Debe establecer una cuenta de contraseña secreta compartida en IRM Server Administrator y crear una ruta de protección de IRM Extranet Server para proteger los mensajes guardados en una carpeta. Configure la solución de exploración de correo electrónico para poner en cuarentena los mensajes que necesiten protección en la misma carpeta. Para obtener más información, consulte la Ayuda de IRM Extranet Server.

Su decisión sobre cómo gestionar estas tareas debe basarse en las necesidades de seguridad de su organización. Para ver un ejemplo de configuración de IRM Extranet Server, consulte “Distribución de IRM Extranet Server en la Agencia XYZ” en la página 136.

Distribución de IRM Client for E-Mail en Acme TrustEsta sección describe cómo una corporación ficticia, Acme Trust, distribuye IRM Client for E-Mail para proteger el correo electrónico. Como administrador del servidor IRM, sus dos tareas son configurar a los usuarios internos para que puedan utilizar IRM Client for E-Mail para proteger el correo electrónico y abrir los mensajes de correo electrónico protegidos, y configurar a los usuarios externos para que puedan abrir los mensajes de correo electrónico protegidos con IRM Client for HTML.

Debe ser un administrador pleno del servidor IRM para poder seguir los procedimientos de ejemplo que se describen en esta sección. También debe trabajar con el administrador DNS y el administrador de servidor de seguridad para configurar el servidor IRM y la red de forma que los usuarios de cualquier lado del servidor de seguridad puedan acceder al servidor IRM.

Configuración de usuarios internos para que puedan proteger el correo electrónicoBasándose en su evaluación de las necesidades de seguridad de Acme Trust, decide hacer lo siguiente para que los usuarios internos puedan proteger el correo electrónico:

• Distribuya el software IRM Client for E-Mail para los usuarios internos que utilizan software de instalación automática como Microsoft Systems Management Server (SMS).

• Configure las restricciones de inicio de sesión y las restricciones de servidor, y cree un grupo y dominio de autenticación. El grupo permite a los usuarios internos iniciar sesión con sus contraseñas del dominio de Windows e imprimir y copiar los mensajes de correo electrónico protegidos, si la directiva de correo electrónico lo permite.

Para realizar estas tareas y que los usuarios internos puedan proteger el correo electrónico y abrir los mensajes de correo electrónico protegidos:

1. Lleve el software IRM Client for E-Mail a los equipos de los usuarios internos. Utilice SMS para distribuir el software IRM Client for E-Mail a los usuarios internos.


2. Abra IRM Server Administrator y seleccione Policy (Directiva) > Login Restrictions (Restricciones de inicio de sesión). El cuadro de diálogo Login Restrictions (Restricciones de inicio de sesión) (vea la ilustración siguiente) muestra las restricciones de inicio de sesión. Deje la fila predeterminada en la sección Authorizations (Autorizaciones) para permitir que los usuarios inicien una sesión en el servidor IRM mediante todas las entidades de red globales y en todo momento (representado por un asterisco en la columna Network and Time (Red y Tiempo), y por una marca de verificación en la columna Login (Inicio de sesión). Si la fila predeterminada no existe, hace clic en Add (Agregar) para agregar esta fila. Para establecer las restricciones de inicio de sesión, consulte “Capítulo 2, Inicio de sesión y configuración de restricciones de inicio de sesión”.

3. Seleccione Users (Usuarios) > Authentication Domains (Dominios de autenticación). En el cuadro de diálogo Authentication Domains (Dominios de autenticación), agregue un dominio de autenticación de Windows con capacidades LDAP llamado Acme Trust que corresponda al directorio Active Directory de Acme Trust. Cuando configure el servicio de directorio como parte de la configuración del dominio de autenticación, configure el campo E-mail Attribute (Atributo de correo electrónico) de la ficha Directory Properties (Propiedades de directorio) con el nombre de atributo en el servicio de directorio que contiene las direcciones de correo electrónico del usuario. La directiva gestiona a estos usuarios como si estuvieran asignados en el cuadro de diálogo Usuarios de correo electrónico, aunque las entradas asignadas completas no aparecen en ese cuadro de diálogo. (La dirección de correo electrónico aparece en la sección Addresses (Direcciones) del cuadro de diálogo, pero no aparece ningún usuario ni ningún grupo en la sección Mapped Users and Groups (Grupos y usuarios asignados)). Estos usuarios no son destinatarios desconocidos. Haga clic en Save (Guardar). Para obtener más información sobre la creación de dominios de contraseña, consulte “Adición de un dominio de contraseña” en la página 32.


4. Seleccione Users (Usuarios) > Groups (Grupos). En el cuadro de diálogo Groups (Grupos), agregue un grupo llamado Acme Trust Users (Usuarios de Acme Trust), haga clic en OK (Aceptar) y luego en Save (Guardar). Este grupo corresponde al dominio de autenticación de Windows con capacidades LDAP de Acme Trust que acaba de crear. Conceda permisos de grupo para ver, imprimir, seleccionar texto y gráficos, proteger con o sin acceso como invitado, y eliminar su propio contenido y hacer caducar el contenido. Para obtener más información sobre la creación de grupos, consulte “Creación o edición de un grupo” en la página 52. El cuadro de diálogo Add group (Agregar grupo) se parecerá al siguiente:


5. Abra IRM Server Administrator y seleccione Policy (Directiva) > Server Restrictions (Restricciones de servidor). El cuadro de diálogo Server Restrictions (Restricciones de servidor) (vea la ilustración siguiente) muestra las autorizaciones y los permisos que regulan el servidor IRM completo. Deje la sección Authorizations (Autorizaciones) tal como aparece y no agregue ningún grupo específico. Seleccione Print (Imprimir), Select Text and Graphics (Seleccionar texto y gráficos), y Guest Access (Acceso como invitado) en la sección Content Permissions (Permisos de contenido), y haga clic en Save (Guardar). (Edit (Editar) no corresponde a las directivas de correo electrónico. Asimismo, no debe activar la función de trabajo sin conexión, establecer una regla de duración de clave para el contenido caducado, ni hacer caducar los mensajes de correo electrónico en un momento determinado). Para obtener más información, consulte “Capítulo 6, Configuración de restricciones del servidor”.

6. Abra IRM Server Administrator y seleccione Users (Usuarios) > Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada). En el cuadro de diálogo Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada), agregue el dominio de correo electrónico para su empresa en la sección E-mail Domains (Dominios de correo electrónico) y seleccione Allow authentication with an existing group, authentication domain, or user and map e-mail address (Permitir autenticación con un grupo existente, dominio de autenticación o usuario y asignar dirección de correo electrónico) en la sección Rules (Reglas), y haga clic en Save (Guardar).

Esto garantiza que cualquier destinatario interno con cuentas en el servidor IRM que no estén definidos en Active Directory podrá abrir los mensajes de correo electrónico protegidos. Si precisa más información, consulte “Permiso de autenticación con grupo existente, dominio de autenticación o usuario” en la página 73.


Configuración de usuarios externos para que puedan abrir mensajes de correo electrónico protegidos

Cuando se configuran usuarios externos, las restricciones de servidor especificadas al configurar los usuarios internos también se aplican a los usuarios externos. Basándose en su evaluación de las necesidades de seguridad de Acme Trust, decide hacer lo siguiente para que los usuarios externos puedan abrir los mensajes de correo electrónico:

• Permitir la instalación automática de IRM Client for HTML desde el sitio Web de EMC. Este parámetro se aplica a todos los usuarios, tantos externos como internos, que no tienen IRM Client for HTML instalado cuando reciben su primer mensaje de correo electrónico protegido.

• Configure una regla de dirección de correo electrónico no asignada que permita a los usuarios externos crear automáticamente cuentas de usuario secreto compartido para iniciar sesión en el servidor IRM, y asigne sus direcciones de correo electrónico al dominio de autenticación predeterminado de contraseña secreta compartida (\\pvserver) cuando abran su primer mensaje de correo electrónico protegido. A continuación, modifique el mensaje de bienvenida de nuevo usuario que los usuarios externos recibirán para incluir la dirección y el número de teléfono de Acme Trust.

• Envíe un mensaje de prueba. Cuando envíe el mensaje de prueba, el servidor IRM crea el grupo de usuarios inicializados automáticamente. Ahora puede agregar el permiso para Imprimir a ese grupo y permitir que los usuarios externos impriman los mensajes de correo electrónico protegidos, si la directiva de correo electrónico permite su impresión.

Para realizar estas tareas de forma que los usuarios externos puedan abrir sus mensajes de correo electrónico protegidos:

1. Abra IRM Server Administrator y seleccione Settings (Configuración) > Client Installations (Instalaciones de cliente). En el cuadro de diálogo Client Installation Settings (Configuración de instalación de cliente) (abajo), seleccione Allow automatic installation of IRM Client for HTML (Permitir instalación automática de IRM Client for HTML). Deje la dirección URL de descarga del campo Web Server Components URL (URL de componentes de servidor Web) y haga clic en Save (Guardar). Para obtener información sobre la configuración de la instalación de cliente, consulte “Administración de instalaciones automáticas de software cliente” en la página 115.


2. Seleccione Users (Usuarios) > Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada). En el cuadro de diálogo Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada) (abajo), seleccione <default> (<predeterminado>) en la sección E-mail Domains (Dominios de correo electrónico) y cree Automatically create a shared secret user and map e-mail address (Crear automáticamente un usuario secreto compartido y asignar dirección de correo electrónico) en la sección Rules (Reglas) y haga clic en Save (Guardar). Esto permite a los destinatarios, que no están asignados ni están en ninguno de los otros dominios de correo electrónico que aparecen en este cuadro de diálogo, abrir los mensajes de correo electrónico protegidos. Para obtener información sobre esta regla de dirección de correo electrónico no asignada, consulte “Creación automática de una cuenta de usuario secreto compartido y asignación de dirección” en la página 73.

3. Seleccione Users (Usuarios) > E-Mail Welcome Messages (Mensajes de bienvenida de correo electrónico). En el cuadro de diálogo E-Mail Welcome Messages (Mensajes de bienvenida de correo electrónico), seleccione el mensaje de bienvenida de nuevo usuario. Desplácese hasta el final del mensaje e introduzca la información de contacto para Acme Trust, por ejemplo, la dirección y el número de teléfono de un administrador y haga clic en Save (Guardar). El servidor IRM envía este mensaje de bienvenida a destinatarios no asignados en cualquier dominio de correo electrónico que no tenga una regla específica asociada con él en el cuadro de diálogo Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada).


Los destinatarios reciben este mensaje de bienvenida la primera vez que reciben un mensaje de correo electrónico protegido. El mensaje de bienvenida predeterminado explica al destinatario no asignado cómo instalar IRM Client for HTML, crear una cuenta de usuario secreto compartido, iniciar una sesión en el servidor IRM, y abrir un mensaje de correo electrónico protegido por primera vez. Para modificar los mensajes de bienvenida, consulte “Modificación de los mensajes de bienvenida predeterminados” en la página 76. El cuadro de diálogo E-Mail Welcome Messages (Mensajes de bienvenida de correo electrónico) se parece al siguiente:

4. Abra su aplicación de correo y envíe un mensaje de correo electrónico protegido de prueba a una dirección de correo electrónico de un dominio de correo electrónico de prueba que no tenga ninguna regla específica asociada. IRM Server Administrator crea automáticamente un grupo llamado Automatically initialized users (Usuarios inicializados automáticamente) que incluye el usuario de prueba. Para modificar los permisos de este grupo, abra la aplicación IRM Server Administrator y seleccione Users (Usuarios) > Groups (Grupos). En el cuadro de diálogo Groups (Grupos), seleccione el grupo Automatically initialized users (Usuarios inicializados automáticamente) y edítelo para permitir que los usuarios del grupo puedan imprimir los mensajes de correo electrónico protegidos, si la directiva de correo electrónico lo permite. Haga clic en Save (Guardar) cuando haya terminado. Si precisa más información sobre el cambio de permisos, consulte “Creación o edición de un grupo” en la página 52. El cuadro de diálogo Groups (Grupos) se parecerá al siguiente:


Distribución de IRM Extranet Server en la Agencia XYZEn esta sección se explica cómo una agencia ficticia, la Agencia XYZ, utiliza IRM Extranet Server para proteger correo electrónico. Como administrador del servidor IRM, debe configurar a los usuarios internos para que puedan abrir los mensajes de correo electrónico protegidos con IRM Client for HTML, configurar a los usuarios externos para que puedan abrir mensajes de correo electrónico protegidos de los usuarios internos de la Agencia XYZ, y configurar IRM Extranet Server para proteger correo electrónico.

Debe ser un administrador pleno del servidor IRM para poder seguir los procedimientos que se describen en esta sección. Cuando utiliza IRM Extranet Server, debe trabajar con el administrador de correo de su organización para asegurarse de que MAILsweeper for SMTP está configurado correctamente. También debe trabajar con el administrador DNS y el administrador de servidor de seguridad para configurar el servidor IRM y la red de forma que los usuarios de cualquier lado del servidor de seguridad puedan acceder al servidor IRM.

Configuración de usuarios internos para que puedan abrir mensajes de correo electrónico protegidos

Basándose en su evaluación de las necesidades de seguridad de la Agencia XYZ, decide hacer lo siguiente para que los usuarios internos puedan abrir los mensajes de correo electrónico protegidos:

• Permitir la instalación automática de IRM Client for HTML desde el sitio Web de la Agencia XYZ. Este parámetro se aplica a todos los usuarios, tantos externos como internos, que no tienen IRM Client for HTML instalado cuando reciben su primer mensaje de correo electrónico protegido.

• Configure las restricciones de inicio de sesión, cree un grupo y dominio de autenticación que permita a los usuarios internos iniciar sesión con sus certificados e imprimir mensajes de correo electrónico protegidos, si la directiva de correo electrónico permite su impresión, y configure las restricciones de servidor.

• Configure una regla de dirección de correo electrónico no asignada que permita a los usuarios internos utilizar sus cuentas de certificado para iniciar sesión en el servidor IRM y asigne su dirección de correo electrónico a la cuenta de certificado cuando abran su primer mensaje de correo electrónico protegido.

Para realizar estas tareas de forma que los usuarios internos puedan abrir mensajes de correo electrónico protegidos:

1. Configure el sitio Web de su organización para permitir que los usuarios descarguen IRM Client for HTML desde él. Copie los archivos del directorio WebServerComponents incluido en el CD de IRM Client for E-Mail en su servidor Web y cree un directorio virtual para ellos con el nombre IRMClientforHTML. Para obtener información sobre la configuración de instalaciones automáticas, consulte “Configuración de instalaciones automáticas en el servidor Web” en la página 116.

2. Abra IRM Server Administrator, inicie una sesión en el servidor IRM como administrador y seleccione Settings (Configuración) > Client Installations (Instalaciones de cliente). En el cuadro de diálogo Client Installation Settings (Configuración de instalación de cliente), seleccione Allow automatic installation of IRM Client for HTML (Permitir instalación automática de IRM Client for HTML). Introduzca http://downloads.xyzagency.com/IRMClientforHTML en el campo Web Server Components URL (URL de componentes de servidor Web) y haga clic en Save (Guardar). Aparecerá el cuadro de diálogo Client Installation Settings (Configuración de instalación de cliente).


3. Seleccione Policy (Directiva) > Login Restrictions (Restricciones de inicio de sesión). El cuadro de diálogo Login Restrictions (Restricciones de inicio de sesión) muestra las restricciones de inicio de sesión que controlan desde dónde y cuándo pueden o no pueden todos los usuarios iniciar sesión en el servidor IRM. Deje la fila predeterminada en la sección Authorizations (Autorizaciones) para permitir que los usuarios inicien una sesión en el servidor IRM mediante todas las entidades de red globales disponibles y en todo momento (representado por un asterisco en las columnas Network and Time (Red y Tiempo) y por una marca de verificación en la columna Login (Inicio de sesión)). Si la fila predeterminada no existe, hace clic en Add (Agregar) para agregar esta fila. Para establecer las restricciones de inicio de sesión, consulte “Capítulo 2, Inicio de sesión y configuración de restricciones de inicio de sesión”. El cuadro de diálogo Login Restrictions (Restricciones de inicio de sesión) se parece al siguiente:

4. Seleccione Users (Usuarios) > Authentication Domains (Dominios de autenticación). En el cuadro de diálogo Authentication Domains (Dominios de autenticación), agregue un dominio de autenticación de certificado con el nombre Certificate (Certificado) y haga clic en Save (Guardar). Esto hace referencia al dominio de certificado de la Agencia XYZ. Para crear dominios de certificado, consulte “Adición de un dominio de certificado” en la página 34. El cuadro de diálogo Authentication Domains (Dominios de autenticación) se parecerá al siguiente:


5. Seleccione Users (Usuarios) > Groups (Grupos). En el cuadro de diálogo Groups (Grupos), cree un grupo con el nombre Certificate Users (Usuarios de certificado). Especifique suficientes detalles en el nombre distintivo para limitar el acceso a los usuarios de su empresa. Por ejemplo, especifique la organización o la unidad organizativa. Haga clic en OK (Aceptar) y Save (Guardar). Este grupo corresponde al dominio de autenticación del certificado que acaba de crear. Conceda al grupo los permisos para ver e imprimir el contenido protegido. Para crear un grupo, consulte “Creación o edición de un grupo” en la página 52. El cuadro de diálogo Add group (Agregar grupo) se parecerá al siguiente:


6. Seleccione Policy (Directiva) > Server Restrictions (Restricciones de servidor). El cuadro de diálogo Server Restrictions (Restricciones de servidor) muestra las autorizaciones y los permisos que controlan todo el servidor IRM y todos los mensajes de correo electrónico protegidos que se protegieron con ese servidor IRM. Deje la sección Authorizations (Autorizaciones) sin agregar ningún grupo específico. Seleccione Print (Imprimir) en la sección Content Permissions (Permisos de contenido) y haga clic en Save (Guardar). (No le interesa activar la función de trabajo sin conexión, configurar una regla de duración de clave para el contenido caducado, ni hacer caducar los mensajes de correo electrónico en un momento específico). Para establecer las restricciones de servidor, consulte “Capítulo 6, Configuración de restricciones del servidor”. El cuadro de diálogo Server Restrictions (Restricciones de servidor) se parece al siguiente:


7. Seleccione Users (Usuarios) > Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada). En el cuadro de diálogo resultante, agregue en E-mail Domain (Dominio de correo electrónico) el nombre agenciaxyz.com, selecciónelo y seleccione Allow certificate authentication requiring a matching e-mail address, and map e-mail address (Permitir la autenticación de certificado, requiriendo una dirección de correo electrónico coincidente, y asignar dirección de correo electrónico). Agregue el dominio de autenticación de certificado y haga clic en Save (Guardar).

Esta opción permite a los usuarios de dominio de certificado abrir los mensajes de correo electrónico protegidos. Cuando un usuario interno de XYZ abre un mensaje de correo electrónico protegido por primera vez y se autentica con un certificado, el servidor IRM asigna la dirección de correo electrónico del usuario a la cuenta del certificado. Si necesita más información, consulte “Permiso de autenticación de certificado requiriendo una dirección de correo electrónico coincidente” en la página 72. El cuadro de diálogo Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada) se parece al siguiente:

Configuración de usuarios externos para que puedan abrir mensajes de correo electrónico protegidos

Cuando configura usuarios externos, puede utilizar la misma instalación automática de IRM Client for HTML que configuró para los usuarios internos. También puede utilizar las restricciones de servidor especificadas para los usuarios internos. Basándose en su evaluación de las necesidades de seguridad de la Agencia XYZ, decide hacer lo siguiente para que los usuarios externos puedan abrir los mensajes de correo electrónico protegidos:

• Configure una regla de dirección de correo electrónico no asignada en el servidor IRM que permita a los usuarios externos crear cuentas de usuario secreto compartido e iniciar una sesión, y que asigne sus direcciones de correo electrónico a la cuenta de contraseña secreta compartida cuando abran su primer mensaje de correo electrónico protegido. A continuación, modifique el mensaje de bienvenida de nuevo usuario para incluir la dirección de correo electrónico de su administrador de forma que los usuarios puedan ponerse en contacto con él si necesitaran más información.

• Envíe un mensaje de prueba. Cuando envíe el mensaje de prueba, el servidor IRM crea el grupo de usuarios inicializados automáticamente. Ahora puede agregar el permiso para Imprimir a ese grupo y permitir que los usuarios externos impriman los mensajes de correo electrónico protegidos, si la directiva de correo electrónico permite su impresión.


Para realizar estas tareas de forma que los usuarios externos puedan abrir mensajes de correo electrónico protegidos:

1. Abra IRM Server Administrator y seleccione Users (Usuarios) > Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada). En el cuadro de diálogo resultante, seleccione <default> (<predeterminado>) en la sección E-mail Domains (Dominios de correo electrónico) y cree Automatically create a shared secret user and map e-mail address (Crear automáticamente un usuario secreto compartido y asignar dirección de correo electrónico) en la sección Rules (Reglas) y haga clic en Save (Guardar). Esto permite a los destinatarios, que no están asignados y no están en ninguno de los otros dominios de correo electrónico que aparecen en este cuadro de diálogo, abrir los mensajes de correo electrónico protegidos. Si necesita más información, consulte “Creación automática de una cuenta de usuario secreto compartido y asignación de dirección” en la página 73. El cuadro de diálogo Unmapped E-Mail Address Rules (Reglas de dirección de correo electrónico no asignada) se parece al siguiente:


2. Seleccione Users (Usuarios) > E-Mail Welcome Messages (Mensajes de bienvenida de correo electrónico). En el cuadro de diálogo resultante, seleccione el mensaje de bienvenida de nuevo usuario. Desplácese hasta el final del mensaje e introduzca la información de contacto para Agencia XYZ, por ejemplo, la dirección y el número de teléfono de un administrador y haga clic en Save (Guardar). El servidor IRM envía este mensaje de bienvenido a los destinatarios no asignados. El mensaje predeterminado explica al destinatario no asignado cómo instalar IRM Client for HTML, crear una cuenta de usuario secreto compartido, iniciar una sesión en el servidor IRM, y abrir un mensaje de correo electrónico protegido por primera vez. Si necesita más información, consulte “Modificación de los mensajes de bienvenida predeterminados” en la página 76. El cuadro de diálogo E-Mail Welcome Messages (Mensajes de bienvenida de correo electrónico) se parece al siguiente:

3. Abra su aplicación de correo y envíe un mensaje de correo electrónico protegido de prueba a una dirección de correo electrónico que no esté asignada y fuera del dominio de la Agencia XYZ. IRM Server Administrator crea automáticamente un grupo llamado Usuarios inicializados automáticamente que incluye el usuario de prueba. Para modificar los permisos de este grupo, abra la aplicación IRM Server Administrator y seleccione Users (Usuarios) > Groups (Grupos). En el cuadro de diálogo Groups (Grupos), seleccione el grupo Automatically initialized users (Usuarios inicializados automáticamente) y edítelo para permitir que los usuarios del grupo puedan imprimir los mensajes de correo electrónico protegidos, si la directiva de correo electrónico lo permite. Haga clic en Save (Guardar). Si precisa más información sobre el cambio de permisos, consulte “Creación o edición de un grupo” en la página 52. El cuadro de diálogo Groups (Grupos) se parecerá al siguiente:


Configuración de IRM Extranet Server para proteger correo electrónicoPara configurar IRM Extranet Server para que proteja el correo electrónico:

• Cree una cuenta de IRM Extranet Server que sea una cuenta de contraseña secreta compartida en la aplicación IRM Server Administrator y agregue un grupo que contenga esta cuenta.

• Instale IRM Extranet Server en un equipo con MAILsweeper for SMTP instalado.

• Cree una situación de IRM Extranet Server en MAILsweeper for SMTP.

Para configurar IRM Extranet Server para que proteja el correo electrónico:

1. Abra IRM Server Administrator y seleccione Users (Usuarios) > Shared Secret Users (Usuarios secretos compartidos). En el cuadro de diálogo Shared Secret Users (Usuarios secretos compartidos) (abajo), agregue una cuenta de contraseña de usuario secreto compartido con el nombre IRM Extranet Server y haga clic en Save (Guardar). Para obtener información sobre cómo se crean cuentas de usuario secreto compartido, consulte “Creación o edición de cuentas de usuario secreto compartido” en la página 49.


2. Seleccione Users (Usuarios) > Groups (Grupos). En el cuadro de diálogo Groups (Grupos), cree un grupo con el nombre Gateway (Puerta de enlace) y haga clic en OK (Aceptar) y en Save (Guardar). Agregue la cuenta de usuario secreto compartido de IRM Extranet Server que acaba de crear a este grupo. Seleccione todos los permisos en la sección Content Permissions (Permisos de contenido). Si precisa más información sobre la creación de grupos, consulte “Creación o edición de un grupo” en la página 52. El cuadro de diálogo Add group (Agregar grupo) se parecerá al siguiente:

3. Instale IRM Extranet Server en el servidor de correo de su organización donde esté instalado MAILsweeper for SMTP. Para obtener información sobre la instalación, consulte las Notas de publicación IRM Extranet Server Release Notes.

4. Abra MAILsweeper for SMTP y cree una situación de IRM Extranet Server dentro de una carpeta de situación saliente que proteja todos los mensajes de correo electrónico que se envían a una agencia asociada llamada Agencia ABC. Cuando cree una situación de IRM Extranet Server, debe:

• Especificar la cuenta de usuario secreto compartido que creó en IRM Server Administrator.

• Definir la directiva de correo electrónico que determina lo que los destinatarios pueden hacer con el contenido protegido.

• Especificar el saludo no protegido que aparece en la parte superior de un mensaje de correo electrónico protegido.

• Especificar si desea que el remitente reciba una copia del mensaje protegido o un acuse de recibo de que se ha leído el mensaje.

• Establecer una clasificación de MAILsweeper para los mensajes de correo electrónico que fallan la protección.

Por ejemplo, defina el vencimiento de los mensajes a los 10 días y seleccione la opción Send Copy to Sender (Enviar copia al remitente) del cuadro de diálogo Message Options (Opciones de mensaje) para que los remitentes internos reciban una copia de los mensajes de correo electrónico protegidos que envían. La primera vez reciben una copia, pueden instalar IRM Client for HTML, crear una cuenta e iniciar una sesión para abrir el mensaje. Para obtener más información sobre la utilización de IRM Extranet Server, consulte la Ayuda de IRM Extranet Server.

Cada vez que un usuario interno de la Agencia XYZ envía un mensaje de correo electrónico a alguien de la Agencia ABC, pasa a través de MAILsweeper y acciona IRM Extranet Server. La cuenta de IRM Extranet Server inicia una sesión en el servidor IRM, aplica la directiva de correo electrónico y protege el contenido del mensaje de correo electrónico antes de enviarlo a su destino. El mensaje de correo electrónico llega como un mensaje de correo electrónico protegido.


Capítulo 14Configuración de IRM Client for RIM BlackBerry

Este capítulo incluye una descripción de IRM Client for RIM BlackBerry. En él se explica cómo se integra el servidor IRM con los componentes Research in Motion (RIM) para hacer posible que los usuarios puedan recibir mensajes de correo electrónico protegidos en sus dispositivos portátiles BlackBerry®. Incluye la ruta que un correo electrónico protegido sigue desde el origen a la aplicación de correo BlackBerry. También detalla lo que debe hacer un administrador para configurar los distintos componentes y garantizar la entrega correcta de los mensajes de correo electrónico protegidos a los dispositivos BlackBerry.

Descripción general de IRM Client for RIM BlackBerryIRM Client for RIM BlackBerry proporciona a los usuarios de los dispositivos portátiles RIM BlackBerry acceso a los mensajes de correo electrónico protegidos de IRM. Si la aplicación de correo Microsoft Outlook o Lotus Notes del equipo de escritorio de un usuario está sincronizada con un dispositivo BlackBerry, el usuario puede ver los mensajes protegidos en su BlackBerry y proteger el contenido para que no lo vean usuarios no autorizados.

Muchos de los permisos y directivas que se aplican a IRM Client for E-Mail se aplican también a BlackBerry. Por ejemplo, un autor de mensajes de correo electrónico puede determinar quién está autorizado para ver el correo electrónico así como quién puede copiar su contenido. Las directivas también permiten recuperar el correo electrónico o el vencimiento del mensaje en una fecha predeterminada.

Cómo recibe un dispositivo BlackBerry un mensaje de correo electrónico protegidoUn mensaje de correo electrónico protegido toma el sendero siguiente desde una aplicación de correo Outlook o Notes en el equipo de escritorio hasta el dispositivo portátil BlackBerry:

• El autor de correo electrónico utiliza IRM Client for E-Mail para crear un correo electrónico y protegerlo con una directiva de seguridad.

• Después de enviar el mensaje protegido, éste se dirige a un servidor BlackBerry Enterprise Server (BES) que tiene instalado BES Extension. BES Extension es software que determina si el correo electrónico es un mensaje de correo electrónico protegido y si interactúa con el servidor IRM para acceder a los permisos y las claves. Para obtener información detallada sobre BES Extension, consulte “Componentes de servidor para IRM Client for RIM BlackBerry” en la página 146.

• Si el mensaje está protegido y el destinatario tiene permiso para verlo, BES Extension lo procesa y lo envía a la aplicación de correo de BlackBerry del destinatario.

.

Configuración de IRM Client for RIM BlackBerry — 145

Componentes de servidor para IRM Client for RIM BlackBerryIRM Client for RIM BlackBerry utiliza los siguientes componentes de servidor:

• Servidor de mensajería: Microsoft Exchange Server para correo de Outlook o un servidor Domino para correo Notes. El servidor de mensajería recibe, envía y almacena el correo electrónico. El servidor interactúa con BlackBerry Enterprise Server (BES) para garantizar el envío de correo electrónico al dispositivo portátil BlackBerry.

• BlackBerry Enterprise Server (BES): es el enlace entre la cuenta del servidor de mensajería del usuario y el dispositivo BlackBerry.

• BES Extension: un complemento de IRM para BES en forma de archivo dll de Windows. Extension determina si un mensaje está protegido.

Si se trata de un mensaje protegido, Extension se comunica con el servidor IRM para establecer:

— El derecho del destinatario para ver el mensaje junto con otros permisos.

— La duración de visualización para el mensaje.

— Una clave de cifrado específica del dispositivo.

— El tamaño máximo del mensaje.

Si se trata de un mensaje protegido, BES Extension también realiza lo siguiente:

— Elimina cualquier anexo incluido en el mensaje enviado a BlackBerry. Recuerde que los anexos se conservan en Outlook o Notes.

— Empaqueta el texto del mensaje protegido para que pueda ser descifrado y mostrado con seguridad en BlackBerry.

— Proporciona un mensaje introductorio al correo electrónico que permite al destinatario de BlackBerry saber que el se trata de un mensaje protegido IRM y cómo verlo.

Nota: Si el destinatario no está autorizado para ver el mensaje, BES Extension envía un mensaje diferente que indica que el contenido protegido no se ha incluido en el correo electrónico y aconseja al destinatario que se ponga en contacto con el remitente para obtener información adicional.

• Servidor IRM: el servidor IRM y su base de datos conservan las directivas y claves de cifrado relacionadas con los mensajes protegidos. El servidor IRM también almacena una clave para cada dispositivo BlackBerry conocido. Contiene una asignación de la dirección de correo electrónico del dispositivo BlackBerry a esta clave específica del dispositivo. El administrador del servidor IRM es responsable de establecer la asignación y otras opciones que permiten recibir mensajes protegidos en cada dispositivo asignado del dispositivo BlackBerry. Consulte “Gestión de la información de usuario de RIM BlackBerry” en la página 149.

• Servicio de datos móviles (MDS): Facilita una comunicación segura entre el servidor IRM y BlackBerry. MDS actúa como un proxy entre ambos. Esto permite que BlackBerry inicie las comunicaciones basadas en HTTPS con el servidor IRM para aumentar el tiempo que se puede ver un mensaje protegido. Consulte “Introducción en MDS del certificado del servidor IRM” en la página 148.

146 — Configuración de IRM Client for RIM BlackBerry

Configuración de componentes del servidorPara utilizar BES con IRM Client for RIM BlackBerry, debe configurar estos componentes de servidor:

• BES con información acerca de IRM BES Extension.

• MDS con el certificado de servidor IRM.

• Servidor IRM con información de usuario de RIM BlackBerry y opciones.

Introducción en BES de la información sobre IRM BES ExtensionPara procesar los mensajes de IRM Client for RIM BlackBerry, BES Extension necesita la información del servidor IRM (nombre, número de puerto y nombre de cuenta y contraseña del servidor IRM). Utilice la utilidad de configuración de correo móvil de IRM (ammconfig) para introducir esta información.

Para ejecutar la utilidad IRM Mobile Mail Configuration Utility:

1. Desde el símbolo del sistema, acceda a Archivos de programa\EMC IRM\IRM Client for RIM BlackBerry.

2. Ejecute ammconfig introduciendo un comando con la sintaxis siguiente con uno o más de los argumentos aceptables:

Sintaxis de muestra:

ammconfig -server <myirmserver.mycompany.com> -port 443 -user <irmserveradmin> -pwd <irmserveradminpwd> -cachedir “C:\Archivos de programa\EMC IRM\IRM Client for RIM BlackBerry” -attfilename IRM.htm

Argumentos:

-server <nombre de DNS del servidor IRM>

-port <número de puerto del servidor IRM>

-user <nombre de usuario de una cuenta con privilegios de administrador que pertenece a un grupo que permite la visualización y la selección de texto>

-pwd <contraseña de la cuenta de administrador>

-cachedir <nombre de la ruta de directorio donde deben guardarse los archivos de los mensajes en la caché>

-attfilename <nombre del archivo de anexo de correo electrónico protegido>

-help

3. Detenga y luego reinicie el servicio BES BlackBerry Dispatcher.

Nota: La utilidad de configuración de correo móvil de IRM puede ser utilizada siempre que se desee cambiar uno o más de los parámetros de configuración.


Introducción en MDS del certificado del servidor IRMEl servicio MDS se utiliza con IRM Client for RIM BlackBerry para ampliar los límites de tiempo de visualización de un mensaje protegido en BlackBerry. Para hacer esto, cada dispositivo BlackBerry debe interactuar con el servidor IRM a través de MDS en modo proxy. Esta interacción se configura mediante la configuración de MDS con el certificado de servidor IRM para que MDS confíe en el servidor IRM.

Nota: Si MDS ya es configurado para Allow outbound connections to untrusted servers over HTTPS (Permitir conexiones de salida a servidores que no son de confianza a través de HTTPS), no tendrá que proporcionar a MDS el certificado de servidor IRM. Debe comprender que esto causa un entorno menos seguro.

Para configurar MDS con el certificado de servidor IRM:

1. En el servidor IRM, seleccione Inicio > Programas > EMC IRM > IRM Server > Server Configure.

2. Haga clic en Configure (Configurar) > Open Server (Abrir servidor).

3. Seleccione un servidor IRM.

4. Introduzca su contraseña y haga clic en OK (Aceptar).

5. En la ficha Server Certificate (Certificado de servidor), haga clic en View PEM (Ver PEM).

6. Haga clic en Save As (Guardar como) para guardar el certificado en un archivo PEM.

7. Seleccione un directorio, introduzca un nombre de archivo y haga clic en OK (Aceptar).

8. Copie el archivo PEM que acaba de crear en el directorio java runtime lib\security en el servidor de MDS. Por ejemplo:

Archivos de programa\java\j2re1.4.2_xx\lib\security

9. Utilice la herramienta de claves suministrada con Java para importar el archivo PEM en el almacén de certificados de entidad emisora (cacerts keystore) existente con el comando siguiente:

keytool -import -trustcacerts -file <nombre de su archivo PEM> -keystore cacerts -alias <nombre de mi servidor IRM>

10. Cuando el sistema le indique que introduzca la contraseña de keystore, hágalo. La contraseña predeterminada de "cacerts keystore" es changeit.

11. Compruebe que su entrada se ha agregado a "cacerts keystore" introduciendo:

keytool -list -keystore cacerts y la contraseña changeit

o para consultar un solo archivo

keytool -list -keystore cacerts -alias <su alias> y la contraseña changeit

12. Inicie BlackBerry Manager.

13. Haga clic con el botón derecho del ratón en BES, seleccione la opción Mobile Data Service Properties (Propiedades del servicio de datos móviles) y, a continuación, pulse Intro. Aparecerá un cuadro de diálogo con fichas.

14. Seleccione la ficha TLS/HTTPS.

15. Deje sin seleccionar Allow outbound connections to untrusted servers over HTTPS (Permitir conexiones de salida a servidores que no son de confianza a través de HTTPS). Esta opción debe estar sin seleccionar para que MDS sólo realice HTTPS con servidores a los que se considera explícitamente de confianza. Si no deja esta opción sin seleccionar, se confiará en todos los servidores y el certificado no será necesario.


17. Inicie y detenga el servicio MDS.


Introducción de la configuración del servidor IRMDesde IRM Server Administrator se definen las opciones que afectan al usuario de BlackBerry. Éstas incluyen la información sobre cuánto tiempo se puede ver un mensaje de BlackBerry antes de que el cliente IRM de BlackBerry compruebe con el servidor IRM, la longitud requerida de la contraseña y varios mensajes informativos que facilitan el uso de IRM Client for RIM BlackBerry. Otra opción importante determina si todos los dispositivos portátiles BlackBerry que están sincronizados con Outlook o Notes van a recibir automáticamente o no los mensajes protegidos. Los valores predeterminados para estas opciones surten efecto tan pronto como se configura BES Extension. Para cambiar cualquier valor predeterminado, consulte “Configuración de las opciones de RIM BlackBerry” en la página 154.

Cada entrada de usuario de RIM BlackBerry se gestiona también desde el servidor IRM. Si precisa información detallada, consulte “Gestión de la información de usuario de RIM BlackBerry” en la página 149.

Utilización de claves para los mensajes de correo electrónico protegidosPara garantizar que un mensaje de correo electrónico de IRM está protegido, su contenido se cifra con una clave generada aleatoriamente, la clave del mensaje, que suministra el servidor IRM. Cuando BES Extension recibe un mensaje protegido, recupera la clave del mensaje del servidor IRM, lo pone en el encabezado del mensaje junto con las directivas que se aplican a dicho mensaje. BES Extension cifra entonces el encabezado del mensaje con otra clave única, la clave específica del dispositivo.

Cuando una BlackBerry recibe su primer mensaje protegido, el software IRM Client for RIM BlackBerry en BlackBerry utiliza una clave conocida solamente por el dispositivo para descifrar el encabezado del mensaje y extraer la información que necesita. Esto incluye una nueva clave específica del dispositivo, la identificación del mensaje, el tiempo que se puede ver el mensaje y la clave del mensaje utilizada para descifrar el contenido del mensaje.

Si el software IRM Client for RIM BlackBerry no puede descifrar los mensajes debido a la pérdida imprevista del mensaje u otros problemas de envío, el software se puede restablecer a su estado inicial. Si precisa más información, consulte “Restablecimiento de una clave” en la página 153.

Para mantener una seguridad constante de los mensajes protegidos en cada BlackBerry, puede renovar la clave específica del dispositivo periódicamente. Si precisa más información, consulte “Renovación de una clave” en la página 152.

Gestión de la información de usuario de RIM BlackBerryLos usuarios de IRM Client for RIM BlackBerry necesitan autorización para recibir y ver los mensajes de correo electrónico protegidos. Para obtener esta autorización, el usuario es responsable de administrar la información de usuario en el servidor IRM. Para administrar la información de usuario, puede hacer uno o más de los procedimientos siguientes:

• Encuentre una entrada de usuario en la lista de RIM BlackBerry. Además de la dirección de correo electrónico, la entrada de usuario incluye también el estado de la autorización del usuario e información sobre las claves actuales y nuevas.

• Agregue una entrada para un usuario a la lista de RIM BlackBerry para que el usuario pueda ver correo electrónico protegido.

• Desactive una entrada de usuario de la lista para impedir el acceso al correo electrónico protegido de BlackBerry.

• Active (restablezca) una entrada de usuario de la lista si se había deshabilitado.

• Renueve periódicamente una clave específica del dispositivo para garantizar una seguridad continuada.

• Restablezca una clave si un usuario autorizado tiene alguna dificultad para acceder al contenido protegido.


Búsqueda y consulta de información sobre un usuario de BlackBerryPuede ver información acerca de un usuario, como dirección de correo electrónico, estado actual de la actividad de usuario, fecha y hora en que se activó la clave actual y, si procede, la fecha y hora de cuando se creó una clave nueva. Para encontrar y ver información acerca de un usuario:

1. Seleccione Users (Usuarios) > RIM BlackBerry Users (Usuarios de RIM BlackBerry). Aparecerá el cuadro de diálogo RIM BlackBerry Users (Usuarios de RIM BlackBerry):

2. Para mostrar una lista de todos los usuarios, asegúrese de que All (Todos) aparece en el campo User (Usuario). Para encontrar un usuario específico, haga uno de lo siguiente en el campo User (Usuario):

— Seleccione Begins With (Comienza por) e introduzca el texto con el que empieza la dirección de correo electrónico.

— Seleccione Ends With (Termina por) e introduzca el texto con el que termina la dirección de correo electrónico.

— Selecciona Contains (Contiene) e introduzca una parte de la dirección de correo electrónico.

— Selecciona Exactly (Exactamente) e introduzca la dirección de correo electrónico completa.

3. Haga clic en Find Now (Buscar ahora). Aparecen una o más entradas de usuario en el cuadro de diálogo RIM BlackBerry Users (Usuarios de RIM BlackBerry).

Adición de un usuario a la lista de RIM BlackBerryLa adición de una entrada a la lista de usuarios de RIM BlackBerry se puede hacer de dos formas:

• Puede hacer que la entrada se agregue automáticamente. Si es así, todos los usuarios que reciben correo electrónico en su BlackBerry portátil tienen autorización para recibir mensajes de correo electrónico protegidos.

• Puede agregar una entrada para un usuario manualmente. Esto le permite seleccionar qué usuarios estarán autorizados para recibir mensajes de correo electrónico protegidos.

Para agregar automáticamente entradas de usuario a la lista de usuarios de RIM BlackBerry:

1. Seleccione Policy (Directiva) > RIM BlackBerry Options (Opciones de RIM BlackBerry). Aparecerá el cuadro de diálogo RIM BlackBerry Options (Opciones de RIM BlackBerry).

2. Bajo Auto Initialization (Inicialización automática), haga clic en On (Activada).


Cualquier BlackBerry que reciba correo electrónico es autorizada automáticamente para recibir correo electrónico IRM protegido. La primera vez que se envía un mensaje de correo electrónico protegido a la BlackBerry de un usuario, el cliente IRM de la BlackBerry detecta el mensaje protegido y contacta con el servidor IRM. El servidor IRM entonces genera y transmite una clave específica para el dispositivo a la BlackBerry. La dirección de correo electrónico del usuario se agrega automáticamente al cuadro de diálogo RIM BlackBerry Users (Usuarios de RIM BlackBerry).


Para agregar manualmente un usuario a la lista de RIM BlackBerry:

1. Seleccione Users (Usuarios) > RIM BlackBerry Users (Usuarios de RIM BlackBerry). Aparecerá el cuadro de diálogo RIM BlackBerry Users (Usuarios de RIM BlackBerry).


3. En el cuadro de diálogo Add Mail User (Agregar usuario de correo), introduzca la dirección de correo electrónico del usuario y haga clic en OK (Aceptar). State (Estado) en el cuadro de diálogo RIM BlackBerry Users (Usuarios de RIM BlackBerry) se establece en Unknown (Desconocido).


5. Desde el cuadro de diálogo RIM BlackBerry Users (Usuarios de RIM BlackBerry), haga clic en Save (Guardar).

State (Estado) cambia a Pending (Pendiente) hasta que se envíe un mensaje protegido al nuevo usuario. Después de enviar un mensaje al nuevo usuario, State (Estado) cambia a Normal.

Desactivación de una entrada del usuarioPara impedir que un usuario acceda a los mensajes de correo electrónico protegidos de una BlackBerry, puede desactivar la entrada en la lista de RIM BlackBerry. Si la opción Auto Initialization (Inicialización automática) está establecida como On (Activada), la información acerca del usuario no se restablecerá automáticamente.

Para desactivar una entrada del usuario:


2. Seleccione una entrada del usuario.

3. Haga clic en Disable (Desactivar). Aparecerá el cuadro de mensaje Disable (Desactivar).

4. Haga clic en Yes (Sí) para impedir que el usuario reciba mensajes de correo electrónico protegidos en la BlackBerry.

Nota: State (Estado) en el cuadro de diálogo RIM BlackBerry Users (Usuarios de RIM BlackBerry) cambia a Disabled/Pending (Desactivado/Pendiente) o Disabled/Normal (Desactivado/Normal). Una etiqueta de Pending (Pendiente) indica que el servidor IRM está esperando que se le envíe el primer mensaje protegido. Normal indica que la transferencia del mensaje ya ha tenido lugar. Si la entrada se restablece, vuelve al Estado que tenía antes de ser desactivada.

Activación de una entrada de usuarioPara volver a permitir que un usuario reciba mensajes de correo electrónico protegidos en una BlackBerry, puede activar la entrada de RIM BlackBerry del usuario.

Para activar una entrada del usuario:


2. Seleccione una entrada que se haya desactivado. El Estado es Normal/Disabled (Normal/Desactivado).


3. Haga clic en Enable (Activar). Aparecerá el cuadro de mensaje Enable (Activar).

4. Haga clic en Yes (Sí) para permitir que el usuario reciba mensajes de correo electrónico protegidos en la BlackBerry.

Eliminación de una entrada de usuarioSi un usuario ya no está autorizado a recibir los mensajes de correo electrónico protegidos en una BlackBerry, puede borrar la entrada para el usuario de la lista de RIM BlackBerry.

Nota: Si Auto Initialization (Inicialización automática) está establecida como On (Activada), la entrada que se eliminó se volverá a agregar automáticamente a la lista de RIM BlackBerry. Para garantizar que esto no ocurre, debe desactivar la entrada en lugar de eliminarla. Consulte “Desactivación de una entrada del usuario” en la página 151.

Para eliminar una entrada del usuario de la lista de RIM BlackBerry:

1. Asegúrese de que Auto Initialization (Inicialización automática) está establecida como Off (Desactivada).


3. Seleccione el usuario y haga clic en Delete (Eliminar). Aparecerá el cuadro de mensaje Delete (Eliminar).

4. Haga clic en Yes (Sí).

Renovación de una claveLas claves se utilizan para proporcionar cifrado y para garantizar la seguridad de los mensajes protegidos en la BlackBerry, por eso es conveniente renovar las claves específicas del dispositivo a intervalos de tiempo regulares. Después de renovar una nueva clave específica del dispositivo, la clave es cifrada en el encabezado del mensaje y se envía con el siguiente mensaje protegido al dispositivo. Esta clave se convierte entonces en la clave específica actual del dispositivo. Sigue siendo la clave específica actual del dispositivo hasta que se renueve otra vez la clave o se restablezca una clave.

Para renovar una clave:


2. Seleccione la entrada para el usuario.

3. Haga clic en Renew Key (Renovar clave). Aparecerá el cuadro de mensaje Renew Key (Renovar clave).

4. Haga clic en Yes (Sí) para renovar la clave. Se genera una clave nueva. La fecha y la hora se agregan a la información de usuario en el cuadro de diálogo RIM BlackBerry User (Usuario de RIM BlackBerry) bajo New Key Creation Date (Nueva fecha de creación de clave).



Restablecimiento de una claveSi un usuario autorizado puede no puede abrir un mensaje protegido, es posible que haya que restablecer la clave. Al restablecer una clave se elimina la clave específica actual del dispositivo y se reemplaza por una nueva en el próximo mensaje que se envíe al destinatario. El destinatario y el administrador tienen que coordinar los restablecimientos de clave porque cuando se restablece una clave no se intercambia información entre el dispositivo y el servidor.

Para coordinar un restablecimiento de clave:

1. Póngase en contacto con el usuario de BlackBerry y pida al usuario que haga lo siguiente:

— Vaya a la pantalla principal de la BlackBerry.

— Desplácese hasta Options (Opciones) o Tools (Herramientas).

— Haga clic en la rueda.

— Desplácese hasta IRM Client for RIM BlackBerry.

— Haga clic en la rueda.

— Haga clic en Reset Keys (Restablecer claves).

— Haga clic en Yes (Sí) para responder a la pregunta Encryption keys reset? (¿Desea restablecer las claves de cifrado?)

— Haga clic en OK (Aceptar).

2. Después de que el usuario haya restablecido el software IRM Client for RIM BlackBerry en la BlackBerry, haga lo siguiente:

— Desde IRM Server Administrator, seleccione Users (Usuarios) > RIM BlackBerry Users (Usuarios de RIM BlackBerry). Aparecerá el cuadro de diálogo RIM BlackBerry Users (Usuarios de RIM BlackBerry).

— Seleccione la entrada para el usuario.

— Haga clic en Reset Key (Restablecer clave). Aparecerá el cuadro de mensaje Reset Key (Restablecer clave).

— Haga clic en Yes (Sí) para restablecer la clave.

Se genera una clave nueva. La fecha y la hora se agregan a la información de usuario en el cuadro de diálogo RIM BlackBerry Users (Usuarios de RIM BlackBerry) bajo New Key Creation Date (Nueva fecha de creación de clave).

Anulación de los cambiosSi hace algún cambio en una entrada del usuario y luego decide que no quiere mantener el cambio, puede cancelar el cambio antes de guardarlo. Puede cancelar un cambio en cualquiera de las acciones realizadas (excepto Buscar) en el cuadro de diálogo RIM BlackBerry Users (Usuarios de RIM BlackBerry).

Para cancelar un cambio:

1. Después de haber realizado un cambio y antes de hace clic en Save (Guardar), seleccione las entradas que no desea cambiar. (Utilice la combinación de teclas Ctrl-Mayús para seleccionar más de una entrada.)

2. Haga clic en Revert (Revertir).

3. Haga clic en Save (Guardar) cuando esté listo para guardar cualquier información que haya cambiado.


Configuración de las opciones de RIM BlackBerryUna vez instaladas las aplicaciones IRM Client for RIM BlackBerry e IRM Server Administrator, hay varias opciones que debe establecer que afectan al usuario de BlackBerry. Estas opciones incluyen los días que se puede ver un mensaje antes de que el software IRM Client for RIM BlackBerry realice la comprobación con el servidor IRM , el tamaño de mensaje, los requisitos de contraseña y los textos de mensaje enviados a usuarios. Otra opción le permite agregar automáticamente direcciones de correo electrónico de usuarios de BlackBerry al cuadro de diálogo RIM BlackBerry Users (Usuarios de RIM BlackBerry).

Para configurar las opciones para la BlackBerry en el servidor IRM:

1. Seleccione Policy (Directiva) > RIM BlackBerry Options (Opciones de RIM BlackBerry). Aparecerá el cuadro de diálogo RIM BlackBerry Options (Opciones de RIM BlackBerry):


2. Acepte los valores predeterminados o introduzca información en los campos siguientes:

Viewing Window Duration (days) (Duración de la ventana de visualización (días)): número de días que un usuario puede ver un mensaje protegido antes de que el software IRM Client for RIM BlackBerry compruebe con el servidor IRM las actualizaciones de directiva. BlackBerry comprueba con el servidor IRM para averiguar si hay cambios en las directivas establecidas para el mensaje. El servidor IRM concede o deniega la ampliación de la ventana de visualización.

Granting the viewing window extension (Conceder ampliación de la ventana de visualización): si el usuario de BlackBerry intenta acceder al mensaje después de que la ventana de visualización haya caducado, el dispositivo vuelve a comprobar automáticamente con el servidor IRM a través de MDS y solicita la renovación del plazo. La ventana de visualización sólo se puede ampliar si el usuario aún tiene permiso para acceder al mensaje. La nueva duración de la ventana de visualización refleja los cambios que el administrador hace a Viewing Window Duration (Duración de ventana de visualización) y/o que el autor hace a la fecha de vencimiento desde que se envió el mensaje originalmente o desde la última solicitud de renovación. Una ventana de visualización más larga genera menos tráfico de red y carga en el servidor IRM, pero también reduce la granularidad del control sobre los mensajes protegidos vistos en BlackBerry.

Denying the viewing window extension (Denegar ampliación de la ventana de visualización): si la directiva del mensaje ha cambiado y el usuario ya no tiene permiso para acceder al mensaje, el servidor IRM responde a la solicitud de la ampliación de la ventana de visualización. El servidor IRM envía un mensaje a la aplicación de la BlackBerry que deniega la ampliación. La aplicación entonces informa al usuario que el mensaje ha caducado. El mensaje de correo electrónico de la Bandeja de entrada de la aplicación cliente permanece intacto hasta que el usuario lo elimine desde la BlackBerry o desde la aplicación cliente.

Maximum Message Size (kB) (Tamaño máximo del mensaje (KB)): la longitud admitida del texto para un mensaje IRM protegido enviado a la BlackBerry. Si un mensaje excede el tamaño máximo, el texto aparece truncado.

Minimum Password Length (Longitud mínima de la contraseña): la longitud mínima aceptable de la contraseña requerida para que el usuario acceda a la aplicación IRM Client for RIM BlackBerry en la BlackBerry. Si el valor es cero (0), no hace falta ninguna contraseña.

Password Timeout (minutes) (Tiempo de espera de la contraseña (minutos)): el número de minutos que la BlackBerry puede quedarse inactiva (sin utilizar) antes de tener que volver a introducir la contraseña.

Auto Initialization (Inicialización automática): un parámetro On (Activada)/Off (Desactivada) que determina si los dispositivos portátiles BlackBerry deben ser inicializados automáticamente para recibir los mensajes protegidos.

— On (Activada): cualquier BlackBerry con servicio por BES Extension es inicializada automáticamente para recibir correos electrónicos IRM protegidos. Se genera una clave de dispositivo única y se envía a BlackBerry. La dirección de correo electrónico del usuario se agrega automáticamente al cuadro de diálogo RIM BlackBerry Users (Usuarios de RIM BlackBerry). Consulte “Gestión de la información de usuario de RIM BlackBerry” en la página 149.

— Off (Desactivada): sólo las direcciones de correo electrónico para los usuarios de BlackBerry que el administrador agrega manualmente al cuadro de diálogo RIM BlackBerry Users (Usuarios de RIM BlackBerry) pueden recibir correo electrónico IRM protegido.


Select text to modify (Seleccionar texto para modificar): le permite cambiar el texto que se envía a un destinatario cuando se envía un mensaje protegido o cuando no se puede entregar por alguna razón.

— Normal Text (Texto normal): el texto descriptivo que se incluye en todos los mensajes protegidos que son procesados correctamente y enviados a una BlackBerry. El texto debe indicar que el mensaje es un mensaje de correo electrónico protegido e instruir al destinatario sobre cómo ver la parte protegida del mensaje.

— Not Authorized Text (Texto no autorizado): el texto descriptivo que se incluye en un mensaje protegido para indicar que el destinatario no tiene autorización para ver el mensaje.

— Error Text (Texto de error): el texto descriptivo que indica que se ha producido un error durante el procesamiento del mensaje para ser enviado. Se puede acceder al mensaje desde la aplicación de correo electrónico del equipo de escritorio.

3. Después que realizar cambios en el cuadro de diálogo RIM BlackBerry Options (Opciones de RIM BlackBerry), haga clic en Save (Guardar).


Apéndice AUtilidades e informes de mantenimiento del servidor IRM

El servidor IRM viene con utilidades que pueden ayudarle con las tareas de mantenimiento del servidor. La utilidad del gestor de servidor le permite cerrar un servidor IRM a través de la línea de comandos, recuperar el archivo de registro y mostrar una lista y apagar las conexiones a un servidor. El servidor IRM también viene con los informes de servidor IRM que permiten ver la actividad en el servidor IRM. En este apéndice se describen las utilidades y cómo utilizarlas.

Gestión del servidor IRMEl servidor IRM tiene una utilidad que permite cerrar un servidor IRM a través de la línea de comandos, recuperar el archivo de registro y mostrar una lista y apagar las conexiones al servidor IRM. Esta utilidad sólo está disponible cuando el servidor IRM está instalado en una plataforma Windows.

Para ejecutar la utilidad de gestor de servidor, abra un símbolo del sistema, vaya al subdirectorio del directorio donde instaló el servidor IRM, e introduzca:

pvmanager

Al introducir este comando se muestra la información de uso para la utilidad. El comando pvmanager tiene las opciones siguientes: • -server <nombre de servidor>: nombre del servidor que se va a gestionar. En vez de especificar esta opción, puede incluir

la variable de entorno PVS_SERVER en su ruta. Si declara esta variable y especifica la opción -server, la opción anula la variable de entorno.

• -id <ID de sesión>: puede utilizar esta opción con el argumento killchild listado en esta sección. La sessionID aparece cuando utiliza el argumento de la lista.

• -version: utilice esta opción para ver la versión de la utilidad de gestor de servidor.

El comando pvmanager tiene los argumentos siguientes: Sólo puede especificar un argumento cada vez que ejecuta el comando.• list: lista todas las conexiones al servidor. • shutdown: detiene el servidor.• killchild: cierra una conexión determinada, que se especifica con la opción -id.• roll-log: inicia un nuevo archivo de registro en el directorio de registro de su servidor.

Puede especificar estas opciones y los argumentos de la siguiente manera:

pvmanager [-server <servidor>] [list|shutdown|killchild|roll-log][-id <ID de sesión>]version

Por ejemplo, para recuperar su archivo de registro, introduzca lo siguiente en la línea de comandos:

pvmanager -server server1 roll-log

Ahora el archivo de registro aparece en el directorio de registro de su servidor IRM.

Utilidades e informes de mantenimiento del servidor IRM — 157

Visualización de la actividad con los informes de servidor IRMLos informes del servidor IRM son páginas de servidor activo (ASP) que extraen información de los archivos de registro XML que el servidor IRM crea automáticamente cada día. Los informes le permiten ver la actividad en el servidor IRM. Si los informes no le proporcionan la información que desea ver, puede utilizarlos como ejemplos y crear sus propios informes con las herramientas de software de terceros.

Para instalar los informes de servidor IRM, realice una instalación personalizada del servidor IRM y seleccione los informes del servidor IRM. Para obtener las instrucciones de instalación, consulte la Guía de instalación del servidor IRM. Los informes del servidor IRM se instalan en C:\Archivos de programa\EMC IRM\IRM Server\reports.

Para ver los informes del servidor IRM:

1. Edite el archivo xmlsource.inc ubicado en el directorio de informes con un editor de texto. Cambie la variable xmlSource para que apunte al directorio de registros del servidor IRM. La ruta del directorio de registros es C:\Archivos de programa\EMC IRM\IRM Server\<directorio de servidor irm>\log. Cuando cambia la variable xmlSource, utilice barras diagonales normales, por ejemplo, xmlSource="C:/Archivos de programa/EMC IRM/IRM Server/server1/log".

2. Cree un directorio virtual que apunte al directorio de informes y para agregar reports.html como documento predeterminado con la aplicación Microsoft Internet Information Services. Para ver la página de inicio de informes, abra el explorador Web e introduzca http://<nombre de quipo>/<nombre de directorio virtual de informes>. Por ejemplo, si ha creado un directorio virtual con el nombre IRMServerReports en un equipo llamado waltham, tendría que especificar http://waltham/IRMServerReports.

Para obtener más información sobre la creación de un directorio virtual y agregar un documento predeterminado, consulte la documentación de Microsoft Internet Information Server (IIS).

La página de inicio de Informes del servidor IRM (reports.html) muestra una lista de los informes siguientes:• Ver actividades por día: este informe muestra la actividad diaria cuando selecciona una fecha o un intervalo de fechas.• Los lectores más activos por día: este informe muestra los lectores más activos cuando introduce el número de lectores y

selecciona una fecha o un intervalo de fechas.• Los documentos más vistos por día: este informe muestra el contenido protegido que los usuarios ven más a menudo

cuando introduce el número de elementos de contenido y selecciona una fecha o un intervalo de fechas.• Actividad de un usuario específico por día: este informe muestra la actividad de un nombre de usuario cuando introduce el

nombre de usuario y selecciona una fecha o un intervalo de fechas.• Actividad de un mensaje específico por día: este informe muestra la actividad de un mensaje específico cuando introduce

el número del mensaje y selecciona una fecha o un intervalo de fechas.• Ver actividades por hora del día: este informe muestra la actividad de cada hora del día cuando selecciona una fecha o un

intervalo de fechas.• Actividad de un usuario específico por hora del día: este informe muestra la actividad de cada hora del día para un nombre

de usuario cuando introduce un nombre de usuario y selecciona una fecha o un intervalo de fechas.• Actividad de un mensaje específico por hora del día: este informe muestra la actividad de cada hora del día para un

mensaje cuando introduce un número de mensaje y selecciona una fecha o un intervalo de fechas.• Especiales: este informe muestra la actividad basándose en los criterios seleccionados para la fecha o el intervalo de

fechas establecido. Puede ver un resumen (se muestra en forma de gráfico) o la actividad detallada (se muestra en forma de texto) para uno o más de lo siguiente: número de mensaje, nombre de usuario, ID de sesión.

158 — Utilidades e informes de mantenimiento del servidor IRM

Glosario

A acceso como invitado. Configuración de directiva que permite a los usuarios que pueden ver contenido protegido hacerlo sin tener que iniciar una sesión en un servidor IRM.

acceso sin conexión. Capacidad de un usuario del cliente de IRM para trabajar sin conexión si el propietario del contenido protegido le ha concedido acceso sin conexión y si las restricciones del servidor IRM y las directivas de grupo lo permiten.

administrador del servidor IRM. Usuario que está encargado del servidor IRM. El administrador puede anular las acciones realizadas por otros usuarios.

autenticación mutual. Proceso donde dos partes comprueban sus identidades entre sí.

autenticación. Proceso de validación de la identidad de un usuario para permitirle el acceso a información protegida.

C cadena de certificado. Lista de certificados ordenada de tal forma que cada certificado queda certificado por el siguiente. El último certificado de la cadena es un certificado de firma automática que se certifica a sí mismo. Se utiliza junto con la clave pública de un usuario para identificar la identidad de ese usuario.

certificado digital. Un documento electrónico que enlaza la identidad de un individuo u organización a una clave pública. Se genera mediante información de identificación, como nombre, dirección, clave pública. (También se conoce como certificado.)

certificado. Un documento electrónico que enlaza la identidad de un individuo u organización a una clave pública. Se genera mediante información de identificación, como nombre, dirección, clave pública. (También se conoce como certificado digital.)

cifrar. Codificar el contenido con el propósito de protegerlo. Sólo aquellos usuarios que sepan la contraseña secreta correspondiente pueden descifrar el contenido y acceder a los datos originales.

clave privada. Se utiliza para descifrar información que ha sido cifrada con una clave pública.

clave pública. Se utiliza para cifrar información a la que sólo el usuario puede acceder. No puede descifrar información; por tanto, puede compartirla con cualquiera que necesite proporcionarle información confidencial.

clave. Se utiliza para cifrar o descifrar los datos.

contenido protegido. Cualquier tipo de información protegida con aplicaciones de IRM. Para ver este tipo de contenido, un usuario debe tener una clave válida (pública o secreta), realizar la autenticación con el servidor IRM y tener la autorización correspondiente.

contraseñas. Palabra o frase secreta utilizada para validar la identidad de un usuario. Funciona junto con archivos de claves o tarjetas inteligentes y el servidor IRM para autenticar por completo la identidad de un usuario.

contrato. Contiene información de directiva y claves de acceso que permiten a los usuarios acceder a información protegida sin conexión.

criptografía de clave pública. Método utilizado para cifrar y descifrar información que no requiere que el autor y el usuario utilicen la misma contraseña o clave. Incluye un par de claves (una clave pública y una clave privada) generadas al mismo tiempo.

criptografía de clave secreta. Método mediante el cual se cifran y descifran los datos utilizado la misma clave.

criptografía. Manipulación matemática de los datos con el propósito de protegerlos.

cuenta. Información que se utiliza para la autenticación con el servidor IRM.

Glosario — 159

D DER. (Reglas de codificación distinguidas) Formato de codificación binario utilizado para codificar estructuras ASN.1. Las solicitudes de certificado PKCS12 y PKCS10 y los certificados X.509 son formatos ASN.1 que se pueden codificar como DER. (Consulte también PEM).

destinatario. Usuario que recibe y ve los mensajes de correo electrónico protegidos.

directiva de correo electrónico. Directiva que define lo que los usuarios autorizados pueden hacer con un mensaje de correo electrónico protegido.

directiva de documento. Directiva creada por un usuario que se aplica a un documento específico. Especifica quién puede acceder al documento, las entidades de la red desde las cuales los usuarios pueden acceder al contenido, la hora en que los usuarios pueden acceder al contenido y las actividades que pueden o no pueden realizarse en el contenido.

directiva predeterminada. Directiva utilizada de forma predeterminada cuando no se ha asignado ninguna plantilla de directiva de documento a un documento PDF en el momento de aplicar la protección. Sólo se utiliza con las versiones de IRM Client for Adobe Acrobat anteriores a la versión 4.1.

directive. Permite restringir el acceso al contenido que protege el servidor IRM. Por ejemplo, sólo un grupo especificado puede ver el contenido de una red determinada entre las 9 de la mañana y las 5 de la tarde.

E entidad de red. Describe el equipo, dominio, subred desde donde se ha accedido al servidor IRM. Cada usuario puede tener su propio conjunto de entidades de red.

entidad emisora de certificados. (CA). Tercero de confianza que genera certificados digitales que confirman la identidad del titular de la clave pública.

F firma digital. Número asociado con un mensaje y su remitente cuya autenticidad puede ser comprobada por otros usuarios. Sólo puede generarlo el remitente.

firma. Verifica que los datos seguros los protegió únicamente alguien que sabía su clave privada.

G grupo. Identifica uno o más usuarios y especifica lo que esos usuarios tienen autoridad para hacer. Si un usuario está en más de un grupo, el servidor IRM combina los derechos de todos los grupos a los que pertenece el usuario.

I IRM Client for Adobe Acrobat. Complemento para Adobe Acrobat que permite a los usuarios proteger los documentos con el servidor IRM. También permite que los usuarios vean los documentos que ya han sido protegidos.

IRM Client for E-Mail. Aplicación que permite al usuario crear y abrir mensajes de correo electrónico protegidos.

IRM Client for HTML. Aplicación que permite al usuario abrir páginas Web o mensajes de correo electrónico protegidos.

IRM Client for RIM BlackBerry. Aplicación que proporciona a los usuarios de dispositivos móviles RIM BlackBerry el acceso a mensajes de correo electrónico protegidos enviados a su aplicación de correo electrónico Microsoft Outlook o Lotus Notes instalado en su equipo de escritorio.

IRM Extranet Server Administrator. Administrador que establece un servidor de correo con MAILsweeper for SMTP y lo configura para utilizar IRM Extranet Server.

IRM Extranet Server. Aplicación que se integra con una variedad de flujos de trabajo basados en carpeta o correo electrónico y que protege automáticamente los documentos y los correos electrónicos.

IRM Server Administrator. Aplicación que utiliza un administrador para administrar el servidor IRM. También pueden acceder a él los usuarios para gestionar su conjunto personal de plantillas de directivas, directivas de documentos, entidades de red y restricciones de tiempo.

160 — Glosario

L Lector. Usuario que sólo puede ver información protegida.

lista de control de acceso. (LCA) Lista de usuarios o grupos que están autorizados a leer un documento o archivo protegido.

lista de revocación de certificado. (LRC) La proporciona una entidad emisora de certificados. Enumera los certificados que se han revocado antes de tiempo. Por ejemplo, los certificados pueden ser revocados porque sus claves privadas se han visto en peligro o si el usuario deja la organización.

M mensaje de bienvenida. Mensaje de correo electrónico que, aunque es independiente, acompaña a un mensaje de correo electrónico protegido y contiene información para ayudar a los usuarios a acceder a su primer mensaje protegido.

mensaje de correo electrónico protegido. Mensaje de correo electrónico protegido por el servidor IRM.

N notificación. Acción que se realiza, por ejemplo una señal acústica o mensaje de correo electrónico, cuando determinados tipos de mensajes se añaden al registro de actividades del servidor IRM. Las notificaciones avisan al administrador de cualquier actividad sospechosa.

P PDF. (Formato de documento portátil) Formato de documento que se puede leer en cualquier equipo (Windows, Macintosh, Unix) mediante aplicaciones como Adobe Acrobat.

PEM. (Correo de privacidad mejorada) Codificación base64 de formato DER, que le permite enviar un correo electrónico en formato ASCII. (Consulte también DER.)

PIN. (Número de identificación personal) Secuencia de caracteres y números utilizada con SecurID.

plantilla de directiva de documento. Plantilla utilizada para proteger el contenido. Contiene los valores predeterminados de seguridad que incluyen quién puede acceder al contenido, las entidades de la red desde las que los usuarios pueden acceder al contenido, la hora en que los usuarios pueden acceder al contenido y las actividades que pueden o no pueden realizarse en el contenido. Cuando se aplica a un documento, la plantilla crea una directiva de documento.

propietario. Usuarios que pueden modificar y gestionar las directivas de contenido que les pertenecen. Un propietario original es el usuario que protegió en primer lugar el contenido con el servidor IRM utilizando un cliente de IRM.

protección. Proceso de registrar, cifrar y asignar una directiva de correo electrónico o plantilla de directiva de documento a un mensaje de correo electrónico, documento o página Web.

protocolo cliente-servidor. Ofrece una comunicación segura entre un cliente y un servidor a través de Internet. Admite tanto las claves públicas como la criptografía de clave secreta.

proxy. Permite acceder directamente a Internet desde detrás de un servidor de seguridad. Abre un socket del servidor y permite la comunicación a Internet a través de ese socket.

R remitente. Usuario que envía mensajes de correo electrónico protegidos.

restricciones del servidor. Las establece un administrador y se utilizan para regular todo el contenido registrado en un determinado servidor IRM. Las autorizaciones establecidas en las restricciones del servidor se aplican a todos los mensajes de correo electrónico, documentos, páginas Web y usuarios que acceden a la información de ese servidor. Las restricciones del servidor actúan como límite superior para el nivel del permiso que puede conceder un remitente.

Glosario — 161

S secreto compartido. Se utiliza para autenticar un usuario al servidor y el servidor a un usuario. También se utiliza para proteger los datos que se envían entre un usuario y el servidor.

Servidor IRM. Componente central de los productos IRM que gestiona las claves y todos los registros asociados con grupos y documentos.

servidor seguro. Equipo donde se almacenan directivas, usuarios, grupos de usuarios y documentos, registros de seguridad y claves públicas/privadas.

T token de bienvenida de IRM Client for E-Mail. Versión cifrada de una dirección de correo electrónico de un destinatario sin asignar que permite al servidor IRM identificar al destinatario.

162 — Glosario

Índice alfabéticoSímbolos% caracteres para variables 100

Aacceso como invitado 13, 19, 20acceso sin conexión

actualizar 67descripción general 21

Active Directory 40ammconfig 147archivos de sello 98asignación

certificados 46crear expresiones personalizadas 47destinatarios desconocidos 71direcciones de correo electrónico 69

asignación personalizada 47atributo de dirección de correo electrónico 40atributo de nombre de usuario 41atributo de pertenencia a grupo 40autorización 15, 16

BBES

administrador 13componente de servidor 146

BES Extension 145, 146BlackBerry Enterprise Server

Véase BESbloque de mensaje 98, 99

Ccaché de directorio 40caducidad 66, 67Capa de sockets seguros (SSL) 39caracteres especiales 100categorías 82certificados

asignar 46crear expresiones de asignación personalizada 47descripción general 14obtener 15usar con MDS 148utilizar con servidor IRM 15

claveespecífica del dispositivo 149mensaje 149renovar 152

restablecer 153clave privada 14clave pública 14complemento de confianza

agregar 118definición 117ver 118

configuración de autorización predeterminadacambiar en directiva predeterminada 82cambiar en plantilla de directiva de documento 82descripción general 16

consulta _FindUsers 45consultas

_FindUsers 45crear 42definición 37establecer duración 40probar 43restringir visualización de resultados 43

contenidoacceder a protegido 90cambiar propietario 95eliminar 95establecer permisos 60

contenido protegidocaducar 63cambiar propietarios 95configurar duración de clave 66eliminar 63, 95

contraseñas 35, 155contratos

configurar duraciónpara directiva predeterminada 85para directivas de correo electrónico 92

establecer duraciónpara restricciones de servidor 66

gestionar 21cuenta de administrador

crear 23descripción general 23iniciar sesión con 23

cuentascrear 23

cuentas de usuario secreto compartidocrear 49crear automáticamente y asignar dirección de correo

electrónico 73desbloquear 51

Índice alfabético — 163

Ddenegar a todos 16derechos administrativos 61destinatarios 13destinatarios no asignados

descripción general 71establecer reglas para 75notificar a administrador de 74

direcciones de correo electrónicoagregar automáticamente para IRM Client for RIM

BlackBerry 154agregar para IRM Client for RIM BlackBerry 150asignar dominio de autenticación, grupo o usuario 73crear automáticamente cuenta de usuario secreto compartido

y asignar 73descripción general de asignación 69permitir autenticación de certificado con coincidencia 72requerir asignación 72

directiva predeterminadaagregar elementos a categorías 82autorizaciones predeterminadas 82crear 80descripción general 79en jerarquía 16establecer permisos 85

directivasadministrar 87buscar 90cambiar propietarios 95correo electrónico 15descripción general 79eliminar 95jerarquía 16predeterminadas 16, 79

directivas de correo electrónicoen jerarquía 15modificar 92

directivas de documentodefinición 79en jerarquía 16modificar 93

directivas de página 93distribución

de IRM Client for E-Mail 127de IRM Extranet Server 127

documentación viidocumentos

buscar 90configurar directivas para 79

Documentum 12dominio secreto compartido

descripción general 32editar 35

gestionar contraseñas 35dominios

certificado 34contraseña 32definición 25SecurID 33seleccionar predeterminado 36Windows 32

dominios de autenticación 31dominios de autenticación LDAP

certificado 37configurar asignación de certificado 46contraseña LDAP 37crear asignación personalizada 47crear consultas 42descripción general 37dominios de Windows 37especificar servicio de directorio 38establecer filtros de búsqueda 48establecer propiedades de directorio 40

dominios de certificadoagregar a un grupo 56con capacidades LDAP 37, 46crear 34excluir de un grupo 56

dominios de contraseñaagregar a un grupo 54descripción general 32excluir de un grupo 54

dominios de contraseña LDAP 37dominios de SecurID

agregar a un grupo 55descripción general 33excluir de un grupo 55

dominios de Windows 32, 37dominios predeterminados 36duración de clave 66

Eentidad de subred 25entidades de red

crear 25definición 25instalación de muestra 120

entidades emisorasimportar 34

especificaciones de tiempo 27, 120Exchange Server 69

Ffechas válidas 59filtros LDAP 41, 48

164 — Índice alfabético

Ggestión de usuario y grupo 49grupos

agregar miembros 53configurar fecha de caducidad 59configurar permisos de contenido 60configurar restricciones de inicio de sesión 58crear 52definición 49derechos administrativos 61editar 52excluir miembros 53instalación de muestra 121

Hhost 25

Iimagen de acceso denegado 117informes 158inicialización automática 155Iniciar sesión como administrador 23instalaciones 115instalaciones automáticas 116instalaciones de cliente 115IRM Client for Adobe Acrobat

buscar 90cambiar propietarios 95definición 12eliminar 95modificar directivas 93

IRM Client for E-Mailconfigurar usuarios y direcciones 69definición 12distribución de muestra 127

IRM Client for HTMLdefinición 12instalaciones 116instalar 115

IRM Client for Microsoft Officedefinición 12modificar directivas 93

IRM Client for RIM BlackBerrycomponentes de servidor 146configurar componentes de servidor 147configurar opciones 154descripción general 145gestionar información de usuario 149

activar 151agregar 150buscar 150desactivar 151

eliminar 152revertir cambios 153ver 150

mensajes de texto 156utilidad de configuración 147

IRM Extranet Serverdefinición 12distribución de muestra 127

IRM Repository Serverdefinición 12

IRM Server Administratordefinición 12iniciar sesión en 23

IRM Services for Documentumdefinición 12

Jjerarquía 16

Llectores 13listas de correo 69listas de correo electrónico 69listas de distribución 69listas de revocación de certificados

utilizar 34

Mmarcas de agua

agregar a servidor IRM 108crear 108definición 97parámetros para definir 99partes de 98sugerencias para formato de archivo 104variable de número de página 101variables 100

MDSagregar certificado del servidor IRM 148definición 146

mensaje de correo electrónicobuscar 88caducar 67cambiar propietario 95modificar directiva de correo electrónico 92

mensajes de bienvenida 76métodos de autenticación 14muestra de jerarquía de seguridad 119

Nnombres distintivos 39notificaciones 113

Índice alfabético — 165

Ppáginas Web

buscar 90configurar directivas para 79

palabra clave begin_message 104palabra clave end_message 104palabras clave

begin_message 104end_message 104

permiso de acceso sin conexióndefinición 20

permisos 19, 60, 85permitir a todos 16plantilla de directiva de documento

agregar elementos a categorías 82autorizaciones predeterminadas 82crear 81definición 79en jerarquía 15establecer permisos 85instalación de muestra 126

plantillas globales de directivas de documento 79plantillas para directivas de documento 79Productos de IRM 12propiedades de directorio 40propietarios

cambiar 95definición 13

Rregistro de actividades

cambiar 112configurar 111utilizar informes 158ver 111

registro de servidor 111remitentes 13restricciones

inicio de sesión 27servidor 63

restricciones de inicio de sesión 27agregar entidades de red 28agregar especificaciones de tiempo 28configurar grupo 58instalación de muestra 120

restricciones de servidoracceder 63actualizar acceso sin conexión 67agregar autorización 63caducar mensajes de correo electrónico 67configurar duración de clave 66descripción general 63establecer permisos 66

restricciones del servidorinstalación de muestra 124

Sseguridad 11, 13Servicio de datos móviles

Véase MDSservicios de directorio 38servidor de directorios iPlanet 40servidor de mensajería 146Servidor IRM

administrador 13conectar sin conexión 20configuración para usuarios de BlackBerry 149definición 11descripción general 11gestión 157informes 158mantener 111proteger contenido con 13supervisar 21, 111usar con una BlackBerry 146

servidores de Sendmail 70sin conexión

Véase contratos, trabajar sin conexiónSSL 39sugerencias de sello

dar formato a elementos 104opciones 104texto

colocación 105color 105dar formato 105

Ttrabajar sin conexión

descripción general 20Véase también acceso sin conexión

Uusuarios

agregar a un grupo 54, 55, 56excluir de un grupo 54, 55, 56quién hace qué 13

Utilidad de configuración de correo móvil 147utilidad de gestor de servidor 157

Vvariable de número de página 101variables para definir marcas de agua

formatos para 100utilizar el carácter % 100utilizar número de página 101

ventana de visualización 155

166 — Índice alfabético

© 2011 - 2013 EMC Corporation. All Rights Reserved. EMC believes the information in this publication is accurate as of its publication date. The information is subject to change

without

notice.

THE INFORMATION IN THIS PUBLICATION IS PROVIDED “AS IS.” EMC CORPORATION MAKES NO

REPRESENTATIONS OR

WARRANTIES OF ANY KIND WITH RESPECT TO THE INFORMATION IN THIS PUBLICATION, AND

SPECIFICALLY

DISCLAIMS IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

Use, copying, and distribution of any EMC software described in this publication requires an applicable software license.

EMC2, EMC, and the EMC logo are registered trademarks or trademarks of EMC Corporation in the United State and other

countries.

All other trademarks used herein are the property of their respective owners.