O que é a autenticação do diretório? - Security Center 5.12

Guia do administrador do Security Center 5.12

Product
Security Center
Content type
Guias > Guias do administrador
Version
5.12
Language
Português
Last updated
2024-08-13

A autenticação do Directory é uma opção do Security Center que força todas as aplicações do cliente e do servidor em determinada máquina a validar o certificado de identidade do Directory antes de se conectar a ele. Esta medida impede ataques manipulator-in-the-middle.

Quando preciso de autenticação do Directory?

The purpose of Directory authentication is to protect against manipulator-in-the-middle (MITM) attacks. If you do not have applications connecting to your system over the internet (or any untrusted network), the potential for this sort of attacks is very low. In that case, you are probably safe not to enable this option.

O que é um certificado de identidade?

Um certificado de identidade é um certificado digital usado para autenticar uma parte a outra em uma comunicação segura através de uma rede pública. Os certificados de identidade são geralmente emitidos por uma autoridade de confiança de ambas as partes, chamada de autoridade certificada (AC).

NOTA: Todos os certificados de identidade utilizados no Security Center são certificados de servidor. Um certificado de servidor é um certificado de identidade usado para autenticar a identidade do servidor para o cliente. Os certificados de servidor também são usados para criptografar os dados em trânsito para garantir a confidencialidade dos dados. No contexto da segurança da comunicação, a parte que inicia a conexão é o cliente e a parte que aceita a conexão é o servidor.

Como funciona

Ao instalar os componentes do servidor do Security Center, um certificado auto-assinado chamado GenetecServer-{MachineName} é automaticamente criado no Local Computer Certificate Store. Você pode ver o certificado atual no Server Admin, na página do servidor, na seção Comunicação segura.

Os certificados autoassinados identificam os servidores de expansão para o servidor principal. Como resultado, a senha usada para se conectar ao servidor principal não precisa ser armazenada localmente nos servidores de expansão.

A autenticação no Directory está habilitada na instalação do Security Center quando você escolhe as configurações recomendadas de segurança ou selecionando Sempre validar o certificado do Directory ao escolher as configurações personalizadas de segurança.

MELHOR PRÁTICA: Se optar por ativar a autenticação do Directory, recomendamos que substitua o certificado autoassinado no servidor principal por um emitido por uma confiável autoridade de certificação (CA — certificate authority). A CA pode ser interna ou de um terceiro. Isso permite que você implante um sistema altamente seguro sem forçar seus usuários a estar cientes do mecanismo subjacente.

Se o certificado autoassinado estiver no servidor principal, o usuário deve confirmar que o servidor do Directory pode ser considerado confiável ao se conectar ao Directory a partir de uma estação de trabalho pela primeira vez.

Depois que um usuário confirma que o servidor principal é confiável, o certificado é adicionado a uma lista de permissões. Como resultado, a caixa de diálogo não é mais exibida.

A mesma confirmação é necessária nos servidores de expansão. Na primeira vez que você fizer logon no servidor de expansão com o Server Admin, esta mensagem será exibida no painel.

Clique em Conexão ao servidor principal e então em Aceitar certificado na caixa de diálogo que aparecerá.

Depois que o servidor principal for confirmado, você poderá alterar a senha ou o certificado no servidor principal ou no servidor de expansão. Isso significa que você não precisa mais confirmar sua confiança, desde que os dois servidores permaneçam conectados enquanto você faz a alteração.

Requisitos

Para que a autenticação do Directory funcione, as seguintes condições devem ser atendidas:
  • O DNS deve ser configurado na rede. Servidores e estações de trabalho de cliente devem ser capazes de resolver o nome do servidor principal.
  • O DNS deve resolver o nome do servidor principal para o nome comum no certificado do Directory.
  • As estações de trabalho do cliente e os servidores de expansão devem ser capazes de confiar no certificado fornecido pelo servidor principal. Caso contrário, uma intervenção do usuário é sempre necessária para aceitar o certificado na primeira vez que uma máquina é usada para se conectar ao servidor principal.

Como altero essa configuração após a instalação?

Para alterar a configuração de autenticação do Directory após a instalação do software, é necessário editar o arquivo GeneralSettings.gconfig em cada computador onde você queira a alteração.