Présentation de l'authentification du Répertoire - Security Center 5.10

Guide de l'administrateur Security Center 5.10

Applies to
Security Center 5.10
Last updated
2023-07-07
Content type
Guides > Guides d'administration
Language
Français
Product
Security Center
Version
5.10

L'authentification du Répertoire est une option Security Center qui force toutes les applications client et serveur sur une machine donnée à valider le certificat d'identité du Répertoire avant de s'y connecter. Cette mesure permet d'éviter les attaques de type MITM (man-in-the-middle).

Quand recourir à l'authentification du Répertoire

L'authentification de Directory a pour vocation de protéger contre les attaques attaque de type MITM (man-in-the-middle). Si vous n'avez pas d'applications qui se connectent à votre système via Internet (ou tout autre réseau non sécurisé), le risque de telles attaques est très faible. Dans ce cas, vous ne risquez pas grand-chose à ne pas activer cette option.

Présentation des certificats d'identité

Un certificat d'identité est un certificat numérique qui permet d'authentifier une partie à une autre dans une communication sécurisée sur un réseau public. Les certificats d'identité sont généralement émis par une autorité approuvée par les deux parties, appelée autorité de certificat (AC).

REMARQUE : Tous les certificats d'identité utilisés dans Security Center sont des certificats Server. Certificat d'identité permettant d'authentifier l'identité du serveur auprès du client. Les certificats Server permettent également de chiffrer les données en transit pour en assurer la confidentialité. Dans le cadre de la sécurité de communication, la partie initiant la connexion est le client, et celle acceptant la connexion est le serveur.

Fonctionnement

Lors de l'installation des composants serveur de Security Center, un certificat autosigné nommé GenetecServer-{NomMachine} est automatiquement créé dans le magasin de certificats de l'ordinateur local. Vous pouvez voir le certificat actuel dans Server Admin, dans la page de votre serveur, sous la section Communication sécurisée.

Les certificats autosignés sont utilisés pour identifier les serveurs d'extension auprès du serveur principal, pour éviter que le mot de passe utilisé pour la connexion au serveur principal soit stocké en local sur les serveurs d'extension.

L'authentification du Répertoire est activée lors de l'installation de Security Center quand vous choisissez les paramètres de sécurité recommandés, ou en sélectionnant Toujours valider le certificat du Répertoire, lorsque vous choisissez les paramètres de sécurité personnalisés.

BONNE PRATIQUE : Si vous décidez d'activer l'authentification du Répertoire, nous vous conseillons de remplacer le certificat autosigné sur le serveur principal par un certificat émis par une autorité de certificat (CA). L'AC peut être interne ou tierce. Cela vous permet de déployer un système hautement sécurisé sans obliger vos utilisateurs à prendre en compte les mécanismes sous-jacents.

Si vous choisissez de conserver le certificat autosigné sur le serveur principal, alors lorsqu'un poste se connectera pour la première fois au Répertoire, l'utilisateur sera invité à confirmer que le serveur de Directory est fiable.

Une fois que l'utilisateur confirme que le serveur principal est fiable, le certificat est mis sur liste blanche, et la boîte de dialogue n'apparaît plus.

La même confirmation est nécessaire sur les serveurs d'extension. Lors de la première connexion au serveur d'extension avec Server Admin, le message suivant apparaît dans le tableau de bord.

Vous devez cliquer sur Connexion au serveur principal, puis sur Accepter le certificat dans la boîte de dialogue qui apparaît.

Une fois que le serveur principal est confirmé, vous pouvez modifier le mot de passe ou le certificat sur le serveur principal ou le serveur d'extension sans confirmer à nouveau le lien de confiance, dès lors que les deux serveurs sont connectés lorsque vous effectuez la modification.

Configuration requise

Pour que l'authentification du Répertoire fonctionne, les conditions suivantes doivent être réunies :
  • Le DNS doit être configuré sur le réseau. Les postes client et serveur doivent pouvoir résoudre le nom du serveur principal.
  • Le nom du serveur principal résolu par le DNS doit correspondre au nom commun dans le certificat du Répertoire.
  • Les postes client et les serveurs d'extension doivent pouvoir faire confiance au certificat fourni par le serveur principal. Dans le cas contraire, une intervention manuelle sera toujours nécessaire pour accepter le certificat lors de la première connexion d'un poste au serveur principal.

Modifier ce réglage après l'installation

Pour modifier le réglage d'authentification du Répertoire après l'installation du logiciel, vous devez modifier le fichier GeneralSettings.gconfig sur chaque ordinateur sur lequel vous souhaitez appliquer la modification.