O que é a autenticação do diretório? - Security Center 5.9

Guia do Administrador do Security Center 5.9

series
Security Center 5.9
revised_modified
2020-01-20

A autenticação do Directory é uma opção do Security Center que força todas as aplicações do cliente e do servidor em determinada máquina a validar o certificado de identidade do Directory antes de se conectar a ele. Esta medida impede ataques man-in-the-middle.

Quando preciso de autenticação do Directory?

A finalidade da autenticação no Directory é proteger contra ataques man-in-the-middle (MITM). Se você não tiver aplicativos conectados ao seu sistema pela Internet (ou por qualquer rede não confiável), o potencial desse tipo de ataque é muito baixo. Nesse caso, você provavelmente está seguro sem ativar esta opção.

O que é um certificado de identidade?

Um certificado de identidade, também conhecido como certificado digital ou certificado de chave pública, é um documento digitalmente assinado que permite que um computador ou organização troquem informações de modo seguro em uma rede pública. O certificado inclui informações sobre a identidade do proprietário, a chave pública usada para criptografar futuras mensagens enviadas ao proprietário e a assinatura digital da autoridade de certificação (CA).

Como funciona

Ao instalar os componentes do servidor do Security Center, um certificado auto-assinadochamado GenetecServer-{MachineName} é automaticamente criado no Local Computer Certificate Store. Você pode ver o certificado atual na Server Admin, na seção Comunicação segura com o servidor.

Os certificados auto-assinados são usados para identificar os servidores de expansão para o servidor principal para que a senha usada para se conectar ao servidor principal não precise ser armazenada localmente nos servidores de expansão.

Autenticação no Directory está habilitada na instalação do Security Center quando você escolhe as configurações de segurança padrão ou selecionando Sempre validar o certificado do Directory ao escolher as configurações de segurança padrão.

MELHOR PRÁTICA: Se optar por ativar a autenticação do Directory, recomendamos que substitua o certificado autoassinado no servidor principal por um emitido por uma confiável autoridade de certificação (CA — certificate authority). A CA pode ser interna ou de um terceiro. Isso permite que você implante um sistema altamente seguro sem forçar seus usuários a estar cientes do mecanismo subjacente.

Se você optar por manter o certificado autoassinado no servidor principal, a primeira vez que uma estação de trabalho for usada para se conectar ao Directory, o usuário será solicitado a confirmar se o servidor do Directory pode ser confiável.

Uma vez que um usuário confirma que o servidor principal pode ser confiável, o certificado fica na lista de permissões, e a caixa de diálogo não aparecerá novamente.

A mesma confirmação é necessária nos servidores de expansão. Na primeira vez que você fizer logon no servidor de expansão com o Server Admin, você verá esta mensagem no painel.

Você deve clicar em Conexão ao servidor principal e então em Aceitar certificado na caixa de diálogo que aparecerá.

Depois que o servidor principal for confirmado, você poderá alterar a senha ou o certificado no servidor principal ou no servidor de expansão e nunca mais terá que confirmar sua confiança, desde que os dois servidores permaneçam conectados enquanto faz a alteração.

Exigências

Para que a autenticação do Directory funcione, as seguintes condições devem ser atendidas:
  • O DNS deve ser configurado na rede. Servidores e estações de trabalho de cliente devem ser capazes de resolver o nome do servidor principal.
  • O nome do servidor principal deve ser resolvido pelo DNS para o nome comum no certificado do Directory.
  • As estações de trabalho do cliente e os servidores de expansão devem ser capazes de confiar no certificado fornecido pelo servidor principal. Caso contrário, uma intervenção do usuário é sempre necessária para aceitar o certificado na primeira vez que uma máquina é usada para se conectar ao servidor principal.

Como altero essa configuração após a instalação?

Para alterar a configuração de autenticação do Directory após a instalação do software, é necessário editar o arquivo GeneralSettings.gconfig em cada computador onde você queira a alteração.