Configuración de la autenticación de NetIdentity

La autenticación en un servidor de etapa intermedia de ZfD desde un Agente de gestión de ZfD se base en un mecanismo de respuesta de verificación. Cuando un servidor de etapa intermedia de ZfD verifica un agente para la autenticación, éste envía un certificado X.509. El agente comprueba la integridad y la confianza del certificado y se intercambian la información confidencial mediante técnicas de cifrado de clave privada y clave pública y de clave de sesión.

Durante la instalación, se instala un certificado NetIdentity en el servidor de etapa intermedia de ZfD. En NetWare, este certificado lo firma la autoridad certificadora (CA) del árbol al que pertenece el servidor. En Windows 2000, éste es un certificado de autofirmado ficticio. Estos certificados, a pesar de ser criptográficamente válidos, no los firman autoridades de raíz de confianza y no se debe confiar en ellos fuera de un entorno controlado. Por defecto, la instalación del Agente de gestión de ZfD acepta dichos certificados autofirmados, pero se trata de un parámetro de instalación que se puede configurar. Cuando se implantan fuera de una red controlada, los servidores de etapa intermedia de ZfD deben configurarse con un certificado firmado por una autoridad certificadora de raíz de confianza. También se deben configurar para aplicar la comprobación de confianza estricta.


Configuración de los servidores de etapa intermedia de ZfD con un certificado NetIdentity válido

Si ya existe un certificado SSL válido (es decir, uno firmado por una autoridad de raíz de confianza) para el servidor, el proceso de autenticación NetIdentity puede utilizar el mismo certificado.

  1. Si el servidor es NetWare, anote el nombre de par clave del certificado SSL (éste es el nombre del objeto Certificado como aparece en ConsoleOne). Para un servidor Windows 2000, anote el nombre descriptivo del certificado.

  2. Mediante un navegador, active la página NSAdmin para el servidor de etapa intermedia de ZfD (http://ip-address/oneNet/nsadmin).

  3. En la página de configuración General, defina el valor del nombre de certificado al nombre del Paso 1.

  4. Envíe el cambio.

  5. Reinicie el servidor de etapa intermedia de ZfD.

Si no existe un certificado SSL para el servidor, debe configurarse para el mismo un certificado X.509 válido (es decir, un certificado firmado por una autoridad certificadora de raíz de confianza).

  1. Obtenga un certificado firmado por una autoridad certificadora de raíz de confianza. Siga los pasos descritos en Generación de una petición de firma del certificado y Instalación de la autoridad certificadora raíz en el servidor de etapa intermedia de ZfD para la plataforma adecuada.

  2. Si el nombre de par clave o el nombre descriptivo (dependiendo de la plataforma) es diferente de "NetIdentity", configure el servidor de etapa intermedia de ZfD con el nombre pertinente. Consulte del Paso 1 al Paso 4 en el procedimiento anterior.

  3. Reinicie el servidor de etapa intermedia de ZfD.

NOTA:  En cualquier caso, si el certificado lo ha firmado una autoridad certificadora que no se encuentra en la lista de autoridades certificadoras de raíz de confianza, se debe importar el certificado autofirmado de la autoridad certificadora en cada estación de trabajo. Para obtener más información, consulte Instalación de un certificado en la estación de trabajo con Windows. .


Configuración de los Agentes de gestión de ZfD para aplicar la comprobación de confianza estricta

Después de que el servidor de etapa intermedia de ZfD se haya configurado con un certificado firmado por una autoridad certificadora de raíz de confianza, los Agentes de gestión de ZfD se pueden configurar para aplicar la comprobación de confianza estricta para certificados de NetIdentity. Modifique el ajuste de la clave de registro siguiente:

HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity
"Strict Trust"= dword:0x00000001

Por defecto, el valor de confianza estricta es 0 (cero). La ausencia del valor o la definición del mismo como 0x0 (cero) permite que se acepten todos los certificados. Si se define como 0x1, se configura que los Agentes de gestión de ZfD rechacen certificados de los que no se puede comprobar la confianza.