La autenticación con un servidor de etapa intermedia desde un Agente de gestión de escritorios se basa en un mecanismo de desafío y respuesta. Cuando un servidor de etapa intermedia desafía a un agente para la autenticación, envía un certificado X.509. El agente verifica la integridad y la confianza del certificado y se intercambian los secretos mediante técnicas de clave privada y clave pública y de cifrado de clave de sesión.
Durante la instalación, se instala un certificado NetIdentity en el servidor de etapa intermedia. En NetWare, este certificado lo firma la autoridad certificadora (CA) del árbol al que pertenece el servidor. En Windows 2000, éste es un certificado de firma automática ficticio. Estos certificados, a pesar de ser criptográficamente válidos, no los firman autoridades raíz de confianza y no se debería confiar en ellos fuera de un entorno controlado. Por defecto, la instalación del Agente de gestión de escritorios acepta dichos certificados firmados automáticamente pero esto es un parámetro de instalación configurable. Cuando se utilizan fuera de una red controlada, los servidores de etapa intermedia deben configurarse con un certificado firmado por una autoridad certificadora raíz de confianza. También se deben configurar para que se aplique obligatoriamente la comprobación de confianza estricta.
Si ya existe un certificado SSL válido (es decir, uno firmado por una autoridad raíz de confianza) para el servidor, el proceso de autenticación NetIdentity puede utilizar el mismo certificado.
Si se trata de un servidor NetWare, anote el nombre del par de claves del certificado SSL (es decir, el nombre del objeto de certificado como aparece en ConsoleOne). Si se trata de un servidor Windows 2000, anote el nombre descriptivo del certificado.
Mediante un navegador, acceda a la página NSAdmin para el servidor de etapa intermedia (http://dirección-ip/oneNet/nsadmin).
En la página de configuración General, defina el valor del nombre de certificado con el nombre que haya anotado en el Paso 1.
Envíe el cambio.
Reinicie el servidor de etapa intermedia.
Si un certificado SSL válido no está presente para el servidor, tiene que configurarse para el mismo un certificado X.509 válido (es decir, un certificado firmado por una autoridad certificadora raíz de confianza).
Obtenga un certificado firmado por una autoridad certificadora raíz de confianza. Siga los pasos recogidos en Generación de un certificado firmando una petición y Instalación de la autoridad certificadora raíz en el servidor de etapa intermedia para la plataforma adecuada.
Si el nombre del par de claves o el nombre descriptivo (dependiendo de la plataforma) es diferente de “NetIdentity”, configure el servidor de etapa intermedia con el nombre correcto. Consulte la información incluida desde el Paso 1 al Paso 4 en el procedimiento anterior.
Reinicie el servidor de etapa intermedia.
NOTA:En cualquier caso, si el certificado lo ha firmado una autoridad certificadora que no se encuentre en la lista de autoridades certificadoras raíz de confianza, se debe importar el certificado autofirmado de la autoridad certificadora en cada estación de trabajo. Para obtener más información, consulte Importación de un certificado en la estación de trabajo con Windows.
Después de que el servidor de etapa intermedia se haya configurado con un certificado firmado por una autoridad certificadora raíz de confianza, los agentes de gestión de escritorios se pueden configurar para aplicar la comprobación de confianza estricta para certificados NetIdentity. Modifique la configuración de la clave de registro siguiente:
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity "Strict Trust"= dword:0x00000001
Por defecto, el valor de confianza estricta es 0 (cero). La ausencia del valor o la configuración del mismo a 0x0 (cero) permite que se acepten todos los certificados. Si se define como 0x1, se configuran los agentes de gestión de escritorios para que rechacen los certificados cuya confianza no se pueda verificar por completo.