La autenticación del Directory es una opción de Security Center que fuerza a todas las aplicaciones cliente y servidor en una determinada máquina a validar el certificado de identidad del Directory antes de conectarse a él. Esta medida impide los ataques de intermediario (MitM, por sus siglas en ingles).
¿Cuándo necesito la autenticación del Directory?
El propósito de la autenticación del directorio es proteger contra hombre en el medio (MITM) ataques Si no tiene aplicaciones conectadas a su sistema a través de Internet (o cualquier red no confiable), el potencial para este tipo de ataques es muy bajo. En ese caso, probablemente esté seguro de no habilitar esta opción.
¿Qué es un certificado de identidad?
Un certificado de identidad es un certificado digital que se utiliza para autenticar una parte a otra en una comunicación segura a través de una red pública. Los certificados de identidad por lo general son emitidos por una autoridad en la que ambas partes confían, llamada autoridad certificada (CA, por sus siglas en inglés).
Cómo funciona
Al instalar los componentes del servidor de Security Center , una certificado autofirmado llamado GenetecServer- {MachineName} se crea automáticamente en el Local Computer Certificate Store. Puede ver el certificado actual en Server Admin , en la página del servidor, en la sección Comunicación segura .
Los certificados autofirmados se utilizan para identificar los servidores de expansión para servidor principal , por lo que la contraseña utilizada para conectarse al servidor principal no necesita almacenarse localmente en los servidores de expansión.
La autenticación de directorio está habilitada en Security Center instalación cuando elige la configuración de seguridad recomendada, o seleccionando Validar siempre el certificado del Directorio cuando elige la configuración de seguridad personalizada .
Si elige mantener el certificado autofirmado en el servidor principal, la primera vez que se use una estación de trabajo para conectarse al Directorio, se le solicitará al usuario que confirme que se puede confiar en el servidor del Directorio.
Una vez que un usuario confirma que se puede confiar en el servidor principal, el certificado se incluye en la lista blanca y el cuadro de diálogo no volverá a aparecer.
Se requiere la misma confirmación en los servidores de expansión. La primera vez que inicie sesión en el servidor de expansión con Server Admin , verá este mensaje en el tablero.
Debe hacer clic en Conexión del servidor principal y luego en Aceptar certificado en el cuadro de diálogo que aparece.
Una vez que se confirma el servidor principal, puede cambiar la contraseña o el certificado en el servidor principal o en el servidor de expansión, y nunca más tiene que confirmar su confianza, siempre y cuando los dos servidores permanezcan conectados mientras realiza el cambio.
Requisitos
- DNS debe configurarse en la red. Los servidores y las estaciones de trabajo del cliente deben poder resolver el nombre del servidor principal.
- El DNS debe resolver el nombre del servidor principal con el nombre común en el certificado del Directorio.
- Las estaciones de trabajo del cliente y los servidores de expansión deben poder confiar en el certificado proporcionado por el servidor principal. De lo contrario, siempre se requiere una intervención del usuario para aceptar el certificado la primera vez que se usa una máquina para conectarse al servidor principal.
¿Cómo cambio este ajuste después de la instalación?
Para cambiar la configuración de Autenticación de directorio después de la instalación del software, debe editar el archivo GeneralSettings.gconfig en cada computadora donde desee cambiarlo.