Présentation de l'authentification du Répertoire - Security Center 5.8

Guide de l’administrateur Security Center 5.8

series
Security Center 5.8
revised_modified
2020-08-17

L'authentification du Répertoire est une option de Security Center qui force toutes les applications client et serveur sur un poste donné à valider le certificat d'identité du Répertoire avant de s'y connecter. Cette mesure permet d'éviter les attaques de type MITM (man-in-the-middle).

Quand recourir à l'authentification du Répertoire

L'authentification du Répertoire a pour vocation de protéger contre les attaques attaque de type MITM (man-in-the-middle). Si vous n'avez pas d'applications qui se connectent à votre système via Internet (ou tout autre réseau non sécurisé), le risque de telles attaques est très faible. Dans ce cas, vous ne risquez pas grand-chose à ne pas activer cette option.

Présentation des certificats d'identité

Un certificat d'identité, parfois appelé certificat numérique ou certificat de clé publique, est un document signé numériquement qui permet à un ordinateur ou une organisation d'échanger des données de manière sécurisée sur un réseau public. Le certificat intègre des informations sur l'identité du propriétaire, la clé publique utilisée pour chiffrer les prochains messages qui seront envoyés au propriétaire et la signature numérique de l'autorité de certification (AC).

Fonctionnement

Lors de l'installation des composants serveur de Security Center, un certificat autosigné nommé GenetecServer-{NomMachine} est automatiquement créé dans le magasin de certificats de l'ordinateur local. Vous pouvez voir le certificat actuel dans Server Admin, dans la page de votre serveur, sous la section Communication sécurisée.

Les certificats autosignés sont utilisés pour identifier les serveurs d'extension auprès du serveur principal, pour éviter que le mot de passe utilisé pour la connexion au serveur principal soit stocké en local sur les serveurs d'extension.

L'authentification du Répertoire est activée lors de l'installation de Security Center quand vous choisissez les paramètres de sécurité recommandés, ou en sélectionnant Toujours valider le certificat du Répertoire, lorsque vous choisissez les paramètres de sécurité personnalisés.

BONNE PRATIQUE : Si vous décidez d'activer l'authentification du Répertoire, nous vous conseillons de remplacer le certificat autosigné sur le serveur principal par un certificat émis par une autorité de certificat (CA). L'AC peut être interne ou tierce. Cela vous permet de déployer un système hautement sécurisé sans obliger vos utilisateurs à prendre en compte les mécanismes sous-jacents.

Si vous choisissez de conserver le certificat autosigné sur le serveur principal, alors lorsqu'un poste se connectera pour la première fois au Répertoire, l'utilisateur sera invité à confirmer que le serveur de Directory est fiable.

Une fois que l'utilisateur confirme que le serveur principal est fiable, le certificat est mis sur liste blanche, et la boîte de dialogue n'apparaît plus.

La même confirmation est nécessaire sur les serveurs d'extension. Lors de la première connexion au serveur d'extension avec Server Admin, le message suivant apparaît dans le tableau de bord.

Vous devez cliquer sur Connexion au serveur principal, puis sur Accepter le certificat dans la boîte de dialogue qui apparaît.

Une fois que le serveur principal est confirmé, vous pouvez modifier le mot de passe ou le certificat sur le serveur principal ou le serveur d'extension sans confirmer à nouveau le lien de confiance, dès lors que les deux serveurs sont connectés lorsque vous effectuez la modification.

Configuration requise

Pour que l'authentification du Répertoire fonctionne, les conditions suivantes doivent être réunies :
  • Le DNS doit être configuré sur le réseau. Les postes client et serveur doivent pouvoir résoudre le nom du serveur principal.
  • Le nom du serveur principal résolu par le DNS doit correspondre au nom commun dans le certificat du Répertoire.
  • Les postes client et les serveurs d'extension doivent pouvoir faire confiance au certificat fourni par le serveur principal. Dans le cas contraire, une intervention manuelle sera toujours nécessaire pour accepter le certificat lors de la première connexion d'un poste au serveur principal.

Modifier ce réglage après l'installation

Pour modifier le réglage d'authentification du Répertoire après l'installation du logiciel, vous devez modifier le fichier GeneralSettings.gconfig sur chaque ordinateur sur lequel vous souhaitez appliquer la modification.