17.4 Configurando a autenticação do NetIdentity

A autenticação para um Servidor de Camada Intermediária a partir de um Agente do Desktop Management é baseada em um mecanismo de resposta à solicitação. Quando um Servidor de Camada Intermediária solicita autenticação a um agente, ele envia um certificado X.509. O agente verifica a integridade e a confiabilidade do certificado; em seguida, segredos são trocados por meio de técnicas de criptografia de chave pública/chave privada e chave de sessão.

Durante a instalação, um certificado NetIdentity é instalado no Servidor de Camada Intermediária. No NetWare, esse certificado é autenticado pela CA da árvore à qual o servidor pertence. No Windows 2000, esse certificado é fictício e autenticado automaticamente. Esses certificados, embora criptograficamente válidos, não são autenticados por autoridades de raiz confiável e não devem ser confiáveis fora de um ambiente controlado. Por padrão, a instalação do Agente do Desktop Management aceita esses certificados autenticados automaticamente, mas isso é um parâmetro de instalação configurável. Quando distribuídos fora de uma rede controlada, os Servidores de Camada Intermediária devem ser configurados com um certificado autenticado por uma autoridade de Certificado de Raiz Confiável. Esses servidores também devem ser configurados para aplicar verificação de confiança restrita.

17.4.1 Configurando Servidores de Camada Intermediária com um certificado NetIdentity válido

Se um certificado do SSL válido (isto é, um certificado autenticado por uma autoridade de raiz confiável) já existir para um servidor, o processo de autenticação do NetIdentity poderá usar o mesmo certificado.

  1. Se for um servidor NetWare, anote o nome do par de chaves do certificado do SSL (ou seja, o nome do objeto Certificado da forma como é exibido no ConsoleOne). Para um servidor Windows 2000, anote o nome amigável do certificado.

  2. Com um browser, exiba a página NSAdmin do Servidor de Camada Intermediária (http://ip-address/oneNet/nsadmin).

  3. Na página de configurações Geral, defina o valor do Nome do Certificado como o nome da Etapa 1.

  4. Submeta a mudança.

  5. Reinicie o Servidor de Camada Intermediária.

Se não houver um certificado do SSL válido, um certificado X.509 válido (isto é, um certificado autenticado por uma CA de raiz confiável) precisará ser configurado para o servidor.

  1. Obtenha um certificado autenticado por uma CA de raiz confiável. Siga as etapas descritas em Gerando uma solicitação de autenticação de certificado e Instalando a CA de raiz no Servidor de Camada Intermediária relativas à plataforma apropriada.

  2. Se o nome do par de chaves ou o nome amigável (dependendo da plataforma) for diferente de “NetIdentity”, configure o Servidor de Camada Intermediária com o nome correto. Consulte a Etapa 1 até a Etapa 4 no procedimento acima.

  3. Reinicie o Servidor de Camada Intermediária.

NOTA:Em ambos os casos, se o certificado tiver sido autenticado pela CA que não esteja na lista de CAs de raiz confiável, o certificado autenticado automaticamente da CA deverá ser importado em cada estação de trabalho. Para obter mais informações, consulte Importando um certificado para a estação de trabalho Windows.

17.4.2 Configurando os Agentes do Desktop Management para aplicar verificação de confiança restrita

Depois de configurar o Servidor de Camada Intermediária com um certificado autenticado por uma CA de raiz confiável, você poderá configurar os Agentes do Desktop Management para aplicar a verificação de confiança restrita a certificados NetIdentity. Modifique a seguinte configuração de chave de registro:

HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity
"Strict Trust"= dword:0x00000001

Por padrão, o valor de Strict Trust é 0 (zero). Se o valor estiver ausente ou for configurado como 0x0 (zero), todos os certificados serão aceitos. Se o valor for configurado como 0x1, os Agentes do Desktop Management rejeitarão os certificados cuja confiabilidade não possa ser totalmente verificada.