¿Qué es la autenticación del Directory? - Security Center 5.8

Guía para el Administrador de Security Center 5.8

Applies to
Security Center 5.8
Last updated
2019-08-28
Language
Español
Product
Security Center
Version
5.8

La autenticación del Directory es una opción de Security Center que fuerza a todas las aplicaciones cliente y servidor en una determinada máquina a validar el certificado de identidad del Directory antes de conectarse a él. Esta medida evita los ataques de intermediario.

¿Cuándo necesito la autenticación del Directory?

El propósito de la autenticación del Directory es brindar protección contra los ataques de ataque de intermediario (MITM). Si no tiene aplicaciones que se conectan a su sistema por Internet (o alguna red no confiable), las probabilidades de que se produzca este tipo de ataque son muy bajas. En ese caso, es probable que esté seguro sin habilitar esta opción.

¿Qué es un certificado de identidad?

Un certificado de identidad, también conocido como certificado digital o certificado de clave pública, es un documento firmado de forma digital que permite a una computadora o a una organización intercambiar información de forma segura a través de una red pública. El certificado incluye información sobre la identidad del propietario, la clave pública utilizada para encriptar los mensajes futuros enviados al propietario y la firma digital de la autoridad certificada (CA, por sus siglas en inglés).

Cómo funciona

Cuando instala los componentes del Servidor de Security Center, un certificado autofirmado denominado GenetecServer-{NombreMáquina} se crea de manera automática en la Tienda de Certificados de la Computadora Local. Puede visualizar el certificado actual en Server Admin, en la página de su servidor, debajo de la sección de Comunicación segura.

Los certificados autofirmados se usan para identificar los servidores de expansión para el servidor principal, por lo que la contraseña que se usa para conectarse al servidor principal no necesita almacenarse de forma local en los servidores de expansión.

La autenticación del Directory se habilita en la instalación de Security Center cuando escoge la configuración de seguridad recomendada o al seleccionar la opción de Siempre validar el certificado del Directory cuando escoge la configuración de seguridad personalizada.

MEJOR PRÁCTICA: Si decide habilitar la autenticación del Directory, le recomendamos que reemplace el certificado autofirmado en el servidor principal con uno emitido por una autoridad de confianza autoridad certificada (CA). La autoridad certificada puede ser interna o de un tercero. Esto le permite implementar un sistema sumamente seguro sin forzar a sus usuarios a conocer el mecanismo subyacente.

Si decide conservar el certificado autofirmado en el servidor principal, la primera vez que se use una estación de trabajo para conectarse al Directory, se le solicitará al usuario que confirme que se puede confiar en el servidor del Directory.

Una vez que el usuario confirma que se puede confiar en el servidor principal, el certificado se agrega a una lista de aprobación y el cuadro de diálogo no volverá a aparecer.

Se requiere la misma confirmación para los servidores de expansión. La primera vez que inicie sesión en el servidor de expansión con Server Admin, verá este mensaje en el tablero de control.

Debe hacer clic en Conexión del servidor principal y, luego, en Aceptar certificado en el cuadro de diálogo que aparece.

Una vez que se confirma el servidor principal, puede cambiar la contraseña o el certificado en el servidor principal o el servidor de expansión, y nunca necesitará volver a confirmar que confía en ellos, siempre que los dos servidores continúen conectados mientras realiza el cambio.

Requisitos

Para que la autenticación del Directory funcione, se deben reunir las siguientes condiciones:
  • El DNS debe estar configurado en la red. Los servidores y las estaciones de trabajo clientes deben poder resolver el nombre del servidor principal.
  • El DNS debe resolver el nombre del servidor principal al nombre común que aparece en el certificado del Directory.
  • Las estaciones de trabajo clientes y los servidores de expansión deben poder confiar en el certificado provisto por el servidor principal. De lo contrario, siempre se requiere la intervención de un usuario para aceptar el certificado la primera vez que se usa la máquina para conectarse al servidor principal.

¿Cómo cambio esta configuración después de la instalación?

Para cambiar la configuración de la autenticación del Directory después de instalar el software, debe editar el archivo GeneralSettings.gconfig en cada computadora donde desee modificarlo.