A autenticação no Directory é uma opção do Security Center que força todas as aplicações do cliente e do servidor em determinada máquina a validar o certificado de identidade do Directory antes de se conectar a ele. Esta medida impede ataques man-in-the-middle.
Quando preciso de autenticação do Directory?
A finalidade da autenticação no Directory é proteger contra ataques man-in-the-middle (MITM). Se você não tiver aplicativos conectados ao seu sistema pela Internet (ou por qualquer rede não confiável), o potencial desse tipo de ataque é muito baixo. Nesse caso, você provavelmente está seguro sem ativar esta opção.
O que é um certificado de identidade?
Um certificado de identidade é um certificado digital usado para autenticar uma parte a outra em uma comunicação segura através de uma rede pública. Os certificados de identidade são geralmente emitidos por uma autoridade de confiança de ambas as partes, chamada de autoridade certificada (AC).
Como funciona
Ao instalar os componentes do servidor do Security Center, um certificado auto-assinadochamado GenetecServer-{MachineName} é automaticamente criado no Local Computer Certificate Store. Você pode ver o certificado atual na Server Admin, na seção Comunicação segura com o servidor.
Os certificados auto-assinados são usados para identificar os servidores de expansão para o servidor principal para que a senha usada para se conectar ao servidor principal não precise ser armazenada localmente nos servidores de expansão.
Autenticação no Directory está habilitada na instalação do Security Center quando você escolhe as configurações recomendadas de segurança ou selecionando Sempre validar o certificado do Directory ao escolher as configurações personalizadas de segurança.
Se você optar por manter o certificado autoassinado no servidor principal, a primeira vez que uma estação de trabalho for usada para se conectar ao Directory, o usuário será solicitado a confirmar se o servidor do Directory pode ser confiável.
Uma vez que um usuário confirma que o servidor principal pode ser confiável, o certificado fica na lista de permissões, e a caixa de diálogo não aparecerá novamente.
A mesma confirmação é necessária nos servidores de expansão. Na primeira vez que você fizer logon no servidor de expansão com o Server Admin, você verá esta mensagem no painel.
Você deve clicar em Conexão ao servidor principal e então em Aceitar certificado na caixa de diálogo que aparecerá.
Depois que o servidor principal for confirmado, você poderá alterar a senha ou o certificado no servidor principal ou no servidor de expansão e nunca mais terá que confirmar sua confiança, desde que os dois servidores permaneçam conectados enquanto faz a alteração.
Requisitos
- O DNS deve ser configurado na rede. Servidores e estações de trabalho de cliente devem ser capazes de resolver o nome do servidor principal.
- O nome do servidor principal deve ser resolvido pelo DNS para o nome comum no certificado do Directory.
- As estações de trabalho do cliente e os servidores de expansão devem ser capazes de confiar no certificado fornecido pelo servidor principal. Caso contrário, uma intervenção do usuário é sempre necessária para aceitar o certificado na primeira vez que uma máquina é usada para se conectar ao servidor principal.
Como altero essa configuração após a instalação?
Para alterar a configuração de autenticação do Directory após a instalação do software, é necessário editar o arquivo GeneralSettings.gconfig em cada computador onde você queira a alteração.