L'authentification auprès d'un serveur Middle Tier d'un agent de gestion de bureau repose sur un processus de stimulation/réponse. Lorsqu'un serveur Middle Tier demande à un agent de s'authentifier, il envoie un certificat X.509. L'agent vérifie l'intégrité et la fiabilité du certificat, et des données confidentielles sont alors échangées par le biais de techniques de codage de clés publiques/privées et de clés de session.
Lors de l'installation, un certificat NetIdentity est installé sur le serveur Middle Tier. Sous Linux, ce certificat est signé par l'autorité de certification (AC) de l'arborescence à laquelle appartient le serveur. Bien que le codage soit valide, ce certificat n'est pas signé par des autorités de certification approuvées, et ne devrait donc pas être approuvé en dehors d'un environnement contrôlé. Par défaut, le programme d'installation de l'agent de gestion de bureau accepte ce type de certificat signé automatiquement, mais il s'agit d'un paramètre d'installation configurable. Lorsqu'ils sont déployés en dehors d'un réseau contrôlé, les serveurs Middle Tier doivent être configurés avec un certificat signé par une autorité de certification racine approuvée. Ils doivent également être configurés pour appliquer des contrôles de fiabilité stricts.
Si un certificat SSL valide (en d'autres termes, signé par une autorité de certification racine approuvée) existe déjà pour le serveur, ce certificat peut être utilisé par la procédure d'authentification NetIdentity.
Si le serveur est un serveur Linux, notez le nom de la paire de clés du certificat SSL (il s'agit du nom de l'objet Certificat affiché dans ConsoleOne).
Dans un navigateur, ouvrez la page NSAdmin pour le serveur Middle Tier (http://adresse_IP/oneNet/nsadmin).
Dans la page de configuration Général, reportez le nom du certificat que vous avez noté à l'Étape 1.
Envoyez la modification.
Redémarrez le serveur Middle Tier.
S'il n'existe pas de certificat SSL valide pour le serveur, un certificat X.509 valide (c'est-à-dire, signé par une autorité de certification racine approuvée) doit être configuré pour ce serveur.
Obtenez un certificat signé par une autorité de certification racine approuvée. Appliquez la procédure décrite dans les sections Génération d'une requête de signature de certificat et Installation de l'autorité de certification racine sur le serveur Middle Tier pour la plate-forme appropriée.
Si le nom de la paire de clés ou le nom convivial (selon la plate-forme utilisée) n'est pas « NetIdentity », configurez le serveur Middle Tier avec le nom approprié. Dans la procédure ci-dessus, reportez-vous à la partie de l'Étape 1 à l'Étape 4.
Redémarrez le serveur Middle Tier.
REMARQUE :Dans un cas comme dans l'autre, si le certificat a été signé par une autorité de certification qui ne figure pas dans la liste des autorités racine approuvées, le certificat de cette autorité, signé automatiquement, doit être importé sur chaque poste de travail. Pour plus d'informations, reportez-vous à la section Importation d'un certificat sur un poste de travail Windows.
Une fois que le serveur Middle Tier a été configuré avec un certificat signé par une autorité de certification racine approuvée, les agents de gestion de bureau peuvent être configurés pour contrôler de manière stricte la fiabilité des certificats NetIdentity. Pour cela, modifiez la clé de registre suivante :
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity "Strict Trust"= dword:0x00000001
La valeur de fiabilité par défaut est 0 (zéro). L'absence de valeur ou l'assignation de la valeur 0x0 (zéro) entraîne l'approbation tous les certificats. L'assignation de la valeur 0x1 configure les agents de gestion de bureau pour rejeter tout certificat dont la fiabilité ne peut pas être intégralement vérifiée.