La autenticación en un servidor de etapa intermedia desde un Agente de gestión de escritorios se basa en un mecanismo de desafío-respuesta. Cuando un servidor de etapa intermedia desafía a un agente para la autenticación, envía un certificado X.509. El agente verifica la integridad y la confianza del certificado y se intercambian los secretos mediante técnicas de clave privada y clave pública y de cifrado de clave de sesión.
Durante la instalación, se instala un certificado NetIdentity en el servidor de etapa intermedia. En Linux, este certificado lo firma la autoridad certificadora (CA) del árbol al que pertenece el servidor. Este certificado, a pesar de ser criptográficamente válido, no lo firman autoridades raíz de confianza y no se debería confiar en ellos fuera de un entorno controlado. La instalación del Agente de gestión de escritorios acepta por defecto dichos certificados firmados automáticamente, pero esto es un parámetro de instalación configurable. Cuando se utilizan fuera de una red controlada, los servidores de etapa intermedia deben configurarse con un certificado firmado por una autoridad certificadora raíz de confianza. También se deben configurar para aplicar la comprobación de confianza estricta.
Si ya existe un certificado SSL válido (es decir, uno firmado por una autoridad raíz de confianza) para el servidor, el proceso de autenticación NetIdentity puede utilizar el mismo certificado.
Si el servidor es Linux, cree una nota con el nombre del par de claves del certificado SSL (éste es el nombre del objeto de certificado como aparece visible en ConsoleOne).
Mediante un navegador, acceda a la página NSAdmin del servidor de etapa intermedia (http://dirección_IP/oneNet/nsadmin).
En la página de configuración general, defina el valor del nombre de certificado como el nombre de Paso 1.
Envíe el cambio.
Reinicie el servidor de etapa intermedia.
Si un certificado SSL válido no está presente para el servidor, tiene que configurarse para el mismo un certificado X.509 válido (es decir, un certificado firmado por una autoridad certificadora raíz de confianza).
Obtenga un certificado firmado por una autoridad certificadora raíz de confianza. Siga los pasos descritos en Generación de un certificado firmando una petición y Instalación de la autoridad certificadora raíz en el servidor de etapa intermedia para la plataforma adecuada.
Si el nombre del par de claves o el nombre descriptivo (dependiendo de la plataforma) es diferente de “NetIdentity” configure el servidor de etapa intermedia con el nombre pertinente. Consulte los pasos de Paso 1 a Paso 4 en el procedimiento anterior.
Reinicie el servidor de etapa intermedia.
NOTA:En cualquier caso, si el certificado lo firmó una autoridad certificadora que no se encuentra en la lista de autoridades certificadoras raíz de confianza, se debe importar el certificado de firma automática de la autoridad certificadora en cada estación de trabajo. Para obtener más información, consulte Importación de un certificado en la estación de trabajo con Windows.
Después de que el servidor de etapa intermedia se haya configurado con un certificado firmado por una autoridad certificadora raíz de confianza, los agentes de Desktop Management se pueden configurar para aplicar la comprobación de confianza estricta para certificados de NetIdentity. Modifique la configuración de clave de registro siguiente:
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity "Strict Trust"= dword:0x00000001
Por defecto, el valor de confianza estricta es 0 (cero). La ausencia del valor o la configuración del mismo a 0x0 (cero) permite que se acepten todos los certificados. La configuración a 0x1 configura los agentes de Desktop Management para que rechacen certificados cuya confianza no se pueda verificar.