A autenticação do Directory é uma opção do Security Center que força todas as aplicações do cliente e do servidor em determinada máquina a validar o certificado de identidade do Directory antes de se conectar a ele. Esta medida impede ataques manipulator-in-the-middle.
Quando preciso de autenticação do Directory?
The purpose of Directory authentication is to protect against manipulator-in-the-middle (MITM) attacks. If you do not have applications connecting to your system over the internet (or any untrusted network), the potential for this sort of attacks is very low. In that case, you are probably safe not to enable this option.
O que é um certificado de identidade?
Um certificado de identidade é um certificado digital usado para autenticar uma parte a outra em uma comunicação segura através de uma rede pública. Os certificados de identidade são geralmente emitidos por uma autoridade de confiança de ambas as partes, chamada de autoridade certificada (AC).
Como funciona
Ao instalar os componentes do servidor do Security Center, um certificado auto-assinado chamado GenetecServer-{MachineName} é automaticamente criado no Local Computer Certificate Store. Você pode ver o certificado atual no Server Admin, na página do servidor, na seção Comunicação segura.
Os certificados autoassinados identificam os servidores de expansão para o servidor principal. Como resultado, a senha usada para se conectar ao servidor principal não precisa ser armazenada localmente nos servidores de expansão.
A autenticação no Directory está habilitada na instalação do Security Center quando você escolhe as configurações recomendadas de segurança ou selecionando Sempre validar o certificado do Directory ao escolher as configurações personalizadas de segurança.
Se o certificado autoassinado estiver no servidor principal, o usuário deve confirmar que o servidor do Directory pode ser considerado confiável ao se conectar ao Directory a partir de uma estação de trabalho pela primeira vez.
Depois que um usuário confirma que o servidor principal é confiável, o certificado é adicionado a uma lista de permissões. Como resultado, a caixa de diálogo não é mais exibida.
A mesma confirmação é necessária nos servidores de expansão. Na primeira vez que você fizer logon no servidor de expansão com o Server Admin, esta mensagem será exibida no painel.
Clique em Conexão ao servidor principal e então em Aceitar certificado na caixa de diálogo que aparecerá.
Depois que o servidor principal for confirmado, você poderá alterar a senha ou o certificado no servidor principal ou no servidor de expansão. Isso significa que você não precisa mais confirmar sua confiança, desde que os dois servidores permaneçam conectados enquanto você faz a alteração.
Requisitos
- O DNS deve ser configurado na rede. Servidores e estações de trabalho de cliente devem ser capazes de resolver o nome do servidor principal.
- O DNS deve resolver o nome do servidor principal para o nome comum no certificado do Directory.
- As estações de trabalho do cliente e os servidores de expansão devem ser capazes de confiar no certificado fornecido pelo servidor principal. Caso contrário, uma intervenção do usuário é sempre necessária para aceitar o certificado na primeira vez que uma máquina é usada para se conectar ao servidor principal.
Como altero essa configuração após a instalação?
Para alterar a configuração de autenticação do Directory após a instalação do software, é necessário editar o arquivo GeneralSettings.gconfig em cada computador onde você queira a alteração.