L'authentification du Répertoire est une option de Security Center qui force toutes les applications client et serveur sur un poste donné à valider le certificat d'identité du Répertoire avant de s'y connecter. Cette mesure permet d'éviter les attaques de type MITM (manipulator-in-the-middle).
Quand recourir à l'authentification du Répertoire
L'authentification de Directory a pour vocation de protéger contre les attaques MITM ou manipulator-in-the-middle. Si vous n'avez pas d'applications qui se connectent à votre système via Internet (ou tout autre réseau non sécurisé), le risque de telles attaques est très faible. Dans ce cas, vous ne risquez pas grand-chose à ne pas activer cette option.
Présentation des certificats d'identité
Un certificat d'identité est un certificat numérique qui permet d'authentifier une partie à une autre dans une communication sécurisée sur un réseau public. Les certificats d'identité sont généralement émis par une autorité approuvée par les deux parties, appelée autorité de certificat (AC).
Fonctionnement
Lors de l'installation des composants serveur de Security Center, un certificat autosigné nommé GenetecServer-{NomMachine} est automatiquement créé dans le magasin de certificats de l'ordinateur local. Vous pouvez voir le certificat actuel dans Server Admin, dans la page de votre serveur, sous la section Communication sécurisée.
Les certificats auto-signés identifient les serveurs d'extension de serveur principal. Par conséquent, le mot de passe utilisé pour se connecter au serveur principal ne doit pas être stocké localement sur les serveurs d'extension.
L'authentification du Répertoire est activée lors de l'installation de Security Center lorsque vous choisissez les paramètres de sécurité recommandés, ou lors de la sélection de Toujours valider le certificat de Directory lorsque vous choisissez les paramètres de sécurité personnalisés.
Si le certificat auto-signé se trouve sur le serveur principal, l'utilisateur doit confirmer que le serveur de Répertoire est fiable lorsqu'un poste se connecte pour la première fois au Répertoire.
Une fois que l'utilisateur a confirmé la fiabilité du serveur principal, le certificat est ajouté à une liste autorisée. La boîte de dialogue n'apparaît donc plus.
La même confirmation est nécessaire sur les serveurs d'extension. Lors de la première connexion au serveur d'extension avec Server Admin, le message suivant apparaît dans le tableau de bord.
Vous devez cliquer sur Connexion au serveur principal, puis sur Accepter le certificat dans la boîte de dialogue qui apparaît.
Une fois le serveur principal confirmé, vous pouvez modifier le mot de passe ou le certificat sur le serveur principal ou le serveur d'extension. Vous ne devez donc plus confirmer votre fiabilité, tant que les deux serveurs restent connectés pendant que vous effectuez le changement.
Conditions
- Le DNS doit être configuré sur le réseau. Les postes client et serveur doivent pouvoir résoudre le nom du serveur principal.
- Le DNS doit rapprocher le nom du serveur principal au nom commun dans le certificat de Directory.
- Les postes client et les serveurs d'extension doivent pouvoir faire confiance au certificat fourni par le serveur principal. Dans le cas contraire, une intervention manuelle sera toujours nécessaire pour accepter le certificat lors de la première connexion d'un poste au serveur principal.
Modifier ce réglage après l'installation
Pour modifier le réglage d'authentification du Répertoire après l'installation du logiciel, vous devez modifier le fichier GeneralSettings.gconfig sur chaque ordinateur sur lequel vous souhaitez appliquer la modification.