L'authentification du Répertoire est une option Security Center qui force toutes les applications client et serveur sur une machine donnée à valider le certificat d'identité du Répertoire avant de s'y connecter. Cette mesure permet d'éviter les attaques de type MITM (man-in-the-middle).
Quand recourir à l'authentification du Répertoire
L'authentification de Directory a pour vocation de protéger contre les attaques attaque de type MITM (man-in-the-middle). Si vous n'avez pas d'applications qui se connectent à votre système via Internet (ou tout autre réseau non sécurisé), le risque de telles attaques est très faible. Dans ce cas, vous ne risquez pas grand-chose à ne pas activer cette option.
Présentation des certificats d'identité
Un certificat d'identité est un certificat numérique qui permet d'authentifier une partie à une autre dans une communication sécurisée sur un réseau public. Les certificats d'identité sont généralement émis par une autorité approuvée par les deux parties, appelée autorité de certificat (AC).
Fonctionnement
Lors de l'installation des composants serveur de Security Center, un certificat autosigné nommé GenetecServer-{NomMachine} est automatiquement créé dans le magasin de certificats de l'ordinateur local. Vous pouvez voir le certificat actuel dans Server Admin, dans la page de votre serveur, sous la section Communication sécurisée.
Les certificats autosignés sont utilisés pour identifier les serveurs d'extension auprès du serveur principal, pour éviter que le mot de passe utilisé pour la connexion au serveur principal soit stocké en local sur les serveurs d'extension.
L'authentification du Répertoire est activée lors de l'installation de Security Center quand vous choisissez les paramètres de sécurité recommandés, ou en sélectionnant Toujours valider le certificat du Répertoire, lorsque vous choisissez les paramètres de sécurité personnalisés.
Si vous choisissez de conserver le certificat autosigné sur le serveur principal, alors lorsqu'un poste se connectera pour la première fois au Répertoire, l'utilisateur sera invité à confirmer que le serveur de Directory est fiable.
Une fois que l'utilisateur confirme que le serveur principal est fiable, le certificat est mis sur liste blanche, et la boîte de dialogue n'apparaît plus.
La même confirmation est nécessaire sur les serveurs d'extension. Lors de la première connexion au serveur d'extension avec Server Admin, le message suivant apparaît dans le tableau de bord.
Vous devez cliquer sur Connexion au serveur principal, puis sur Accepter le certificat dans la boîte de dialogue qui apparaît.
Une fois que le serveur principal est confirmé, vous pouvez modifier le mot de passe ou le certificat sur le serveur principal ou le serveur d'extension sans confirmer à nouveau le lien de confiance, dès lors que les deux serveurs sont connectés lorsque vous effectuez la modification.
Configuration requise
- Le DNS doit être configuré sur le réseau. Les postes client et serveur doivent pouvoir résoudre le nom du serveur principal.
- Le nom du serveur principal résolu par le DNS doit correspondre au nom commun dans le certificat du Répertoire.
- Les postes client et les serveurs d'extension doivent pouvoir faire confiance au certificat fourni par le serveur principal. Dans le cas contraire, une intervention manuelle sera toujours nécessaire pour accepter le certificat lors de la première connexion d'un poste au serveur principal.
Modifier ce réglage après l'installation
Pour modifier le réglage d'authentification du Répertoire après l'installation du logiciel, vous devez modifier le fichier GeneralSettings.gconfig sur chaque ordinateur sur lequel vous souhaitez appliquer la modification.