32.2 Mecanismos de Autenticação

Os mecanismos a seguir podem ser usados para autenticar dispositivos gerenciados na Zona de Gerenciamento do ZENworks:

32.2.1 Kerberos (somente Active Directory)

O Kerberos*, um protocolo de autenticação desenvolvido no MIT, requer entidades (por exemplo, um usuário e um serviço de rede) que precisam se comunicar por uma rede não segura para provar sua identidade umas às outras, a fim de viabilizar a autenticação segura.

A funcionalidade Kerberos é parte nativa do ambiente Windows Active Directory.

O Kerberos requer o uso de um KDC (Key Distribution Center - Centro de Distribuição de Chaves) para atuar como um terceiro confiável entre essas entidades. Todas as máquinas de servidor Kerberos precisam de um arquivo keytab para se autenticarem no KDC (Key Distribution Center - Centro de Distribuição de Chaves). O arquivo keytab é uma cópia em disco local criptografada da chave do host.

Ao usar a autenticação Kerberos, o servidor Active Directory gera um ticket do Kerberos que o Novell Common Authentication Services Adapter (CASA) utiliza para autenticar o usuário, em vez de usar um nome de usuário e senha para a autenticação.

Configurando o Kerberos em seu ambiente ZENworks

  1. Configure uma conta principal de serviço do Kerberos e gere um arquivo keytab para essa conta.

    Para obter mais informações, consulte o site do Microsoft TechNet na Web.

    Por exemplo, se você criou um usuário denominado atsserver em seu domínio, execute o seguinte comando no prompt:

    ktpass /princ host/atsserver.users.myserver.com@MYSERVER.COM -pass atsserver_password -mapuser atsserver -out atsserver.keytab -mapOp set -ptype KRB5_NT_PRINCIPAL

    Esse comando cria um arquivo keytab e modifica o usuário atsserver para que se torne uma entidade principal do Kerberos.

  2. Importe o arquivo keytab para o ZENworks Control Center.

    1. No ZENworks Control Center, clique na guia Configuração, clique em Gerenciamento da Infra-estrutura e depois em Configurações da Origem de Usuário.

    2. Clique em para procurar e selecionar o arquivo keytab.

    3. Clique em OK para importar o arquivo.

Habilitando a autenticação Kerberos ao adicionar uma origem de usuário

É possível habilitar a autenticação Kerberos durante a adição de uma origem de usuário. Para obter mais informações, consulte a Seção 31.2.1, Adicionando origens de usuário.

Habilitando a autenticação Kerberos em uma origem de usuário existente

É possível habilitar a autenticação Kerberos em uma origem de usuário existente.

  1. No ZENworks Control Center, clique na guia Configuração.

  2. No painel Origens do Usuário, clique na origem de usuário e depois em Editar ao lado de Authentication Mechanisms (Mecanismos de Autenticação) na seção Geral.

  3. Marque a caixa de seleção Kerberos e clique em OK.

Compreendendo como interagem a autenticação Kerberos e a caixa de diálogo de login do ZENworks

A tabela a seguir ilustra a situação de um usuário do ZENworks que usa a autenticação Kerberos com o Active Directory:

Tabela 32-1 Autenticação Kerberos no ZENworks com o Active Directory

O login do Windows corresponde ao login da origem de usuário?

O ZENworks também usa a autenticação por Nome de Usuário/Senha?

Membro do mesmo domínio?

Membro de um domínio diferente?

As credenciais do Windows e do ZENworks correspondem?

É possível efetuar login na Zona de Gerenciamento?

A caixa de diálogo de login do ZENworks aparece?

 

Sim

Não

 

 

Sim

Não

 

 

 

Sim

Sim

 

 

 

 

Não

Não

 

 

 

Não

Não

 

 

 

 

 

Não

Não

 

 

 

 

Não

Não

 

 

Sim

Não

 

 

Sim

Não

 

 

 

 

Sim

Sim

Por exemplo, na segunda linha, as credenciais de login inicial do usuário, da origem de usuário e de login do ZENworks correspondem. Como resultado, o usuário pode efetuar login na Zona de Gerenciamento do ZENworks e a caixa de diálogo de login do ZENworks não aparece.

Um outro exemplo, na terceira linha, mostra que as credenciais de login inicial do usuário estão usando credenciais de um domínio diferente, e são diferentes das credenciais de login do ZENworks. Como resultado, o usuário pode efetuar login na Zona de Gerenciamento do ZENworks, mas a caixa de diálogo de login do ZENworks aparece.

32.2.2 Segredo Compartilhado

Ao usar a autenticação Shared Secret (Segredo Compartilhado), você deve instalar e configurar o Novell Identity Assurance Solution Client. Para obter mais informações, e uma lista de smart cards e leitores de smart card suportados, consulte a documentação do Identity Assurance Solution Client no site de Documentação da Novell.

A autenticação no ZENworks por meio de Smart Card é suportada apenas no Windows XP e em sessões de terminal do dispositivo Windows Server 2003.

Quando um usuário utiliza o smart card para efetuar login no eDirectory, o usuário é automaticamente conectado no ZENworks, desde que o esquema do eDirectory especificado quando a origem de usuário foi adicionada tenha sido estendido usando a ferramenta novell-zenworks-configure.

Para obter mais informações sobre como adicionar a origem de usuário, consulte a Seção 31.2.1, Adicionando origens de usuário.

Para obter mais informações sobre como estender o esquema do eDirectory, consulte Estendendo o esquema do eDirectory para habilitar a autenticação Shared Secret.

Se o esquema do eDirectory não for estendido, Shared Secret não estará disponível como um mecanismo de autenticação. Conseqüentemente, uma caixa de diálogo de login do ZENworks será exibida quando o usuário no dispositivo gerenciado tentar efetuar login no eDirectory usando um smart card. Depois que o usuário especificar o nome de usuário e a senha do eDirectory, essa senha será armazenada no Novell SecretStore. Na próxima vez que o usuário usar um smart card para efetuar login no eDirectory, a senha será recuperada do SecretStore e o usuário será conectado ao ZENworks sem precisar especificar a senha.

Estendendo o esquema do eDirectory para habilitar a autenticação Shared Secret

Para autenticar no ZENworks através do mecanismo de autenticação Shared Secret (Segredo Compartilhado), o esquema do eDirectory especificado quando a origem de usuário foi adicionada deve ter sido estendido usando a ferramenta novell-zenworks-configure.

Execute as etapas a seguir para estender o esquema do eDirectory:

  1. Execute o utilitário novell-zenworks-configure no Servidor ZENworks:

    No Windows: no prompt de comando, mude para caminho_instalação_ZENworks\bin e digite o seguinte comando:

    novell-zenworks-configure.bat -c ExtendSchemaForSmartCard

    No Linux: no prompt do console, mude para /opt/novell/zenworks/bin e digite o seguinte comando:

    ./novell-zenworks-configure -c ExtendSchemaForSmartCard

  2. Você será solicitado a continuar com a ação de estender o esquema do Novell eDirectory e adicionar um atributo opcional zcmSharedSecret à classe Usuário. 1 é selecionado por padrão. Pressione Enter.

  3. Digite o nome DNS ou o endereço IP do servidor Novell eDirectory para estender o esquema.

  4. Você será solicitado a selecionar a comunicação Secure Socket Layer (SSL) ou Texto sem Criptografia para se comunicar com o servidor eDirectory. Digite 1 para a comunicação SSL ou 2 para Texto sem Criptografia e depois pressione Enter novamente.

  5. Digite a porta para a comunicação com o servidor eDirectory.

    A porta padrão para a comunicação SSL é 636, e para a comunicação Texto sem Criptografia é 389.

  6. Digite o nome exclusivo (FDN) do Usuário Administrativo.

    Por exemplo, cn=admin,o=organization

  7. Digite a senha do Usuário Administrativo especificado na Etapa 6.

  8. (Opcional) Digite o nome exclusivo do admin da origem de usuário do ZENworks para quem o ACL será aplicado.

    O admin da origem de usuário do ZENworks é definido como um usuário na configuração da origem de usuário do ZENworks para usuários de leitura da origem de usuário, e não precisa ser o Usuário Administrativo especificado na Etapa 6. Se você especificar o nome exclusivo desse usuário, o programa definirá os ACLs nos containers especificados para conceder acesso de leitura ao atributo zcmSharedSecret desse usuário.

  9. Insira os containers de usuário para os quais deseja estender o esquema.

    Vários containers podem ser separados pelo sinal +. Por exemplo, o=sales ou o=sales + o=marketing.

  10. Pressione Enter para gerar um segredo aleatório para todos os usuários dos containers acima.

  11. (Condicional) Se você escolheu a comunicação SSL para se comunicar com o servidor eDirectory, o servidor apresentará um certificado. Digite s para aceitar o certificado.

32.2.3 Nome de usuário/senha (eDirectory e Active Directory)

Ao usar a autenticação por Nome de Usuário/Senha com uma origem de usuário do Novell eDirectory ou do Microsoft Active Directory, se as credenciais especificadas pelo usuário para efetuar login na estação de trabalho ou no domínio corresponderem às credenciais de login do ZENworks, a caixa de diálogo de login do ZENworks não será exibida e o usuário será autenticado na Zona de Gerenciamento do ZENworks.

O nome de usuário e a senha também são armazenados no Secret Store. Se um usuário efetuar login posteriormente no ZENworks em que não haja nome de usuário e senha disponíveis (por exemplo, o usuário efetuou login usando um smart card), as credenciais armazenadas serão usadas e a caixa de diálogo de login do ZENworks será ignorada.

Habilitando a autenticação por nome de usuário/senha ao adicionar uma origem de usuário

É possível habilitar a autenticação por Nome de Usuário/Senha durante a adição de uma origem de usuário. Para obter mais informações, consulte a Seção 31.2.1, Adicionando origens de usuário.

Habilitando a autenticação por nome de usuário/senha em uma origem de usuário existente

É possível habilitar a autenticação por Nome de Usuário/Senha em uma origem de usuário existente.

  1. No ZENworks Control Center, clique na guia Configuração, clique na origem de usuário e depois em Editar ao lado de Authentication Mechanisms (Mecanismos de Autenticação) na seção Geral.

  2. No painel Origens do Usuário, clique na origem de usuário e depois em Editar ao lado de Authentication Mechanisms (Mecanismos de Autenticação) na seção Geral.

  3. Marque a caixa de seleção Nome de Usuário/Senha e clique em OK.

Compreendendo como interagem a autenticação por nome de usuário/senha e a caixa de diálogo de login do ZENworks

A tabela a seguir ilustra a situação do usuário do ZENworks que usa a autenticação por Nome de Usuário/Senha com o Active Directory:

Tabela 32-2 Autenticação por Nome de Usuário/Senha do ZENworks com o Active Directory

O login do Windows corresponde ao login da origem de usuário?

O ZENworks também utiliza a autenticação Kerberos?

Membro do mesmo domínio?

Membro de um domínio diferente?

As credenciais do Windows e do ZENworks correspondem?

É possível efetuar login na Zona de Gerenciamento?

A caixa de diálogo de login do ZENworks aparece?

 

 

Sim

Não

 

 

Sim

Não

 

 

 

 

Sim

Sim

 

 

Sim

Não

 

 

 

Sim

Não

 

 

 

 

Sim

Não

 

 

 

 

 

Sim

Sim

 

 

 

Sim

Sim

 

 

 

Sim

Sim

Por exemplo, na primeira linha, as credenciais de login inicial do usuário, da origem de usuário e de login do ZENworks correspondem. Como resultado, o usuário pode efetuar login na Zona de Gerenciamento do ZENworks e a caixa de diálogo de login do ZENworks não aparece.

Um outro exemplo, na segunda linha, mostra que as credenciais de login inicial do usuário estão usando credenciais de um domínio diferente, mas correspondem às credenciais de login do ZENworks. Como resultado, o usuário pode efetuar login na Zona de Gerenciamento do ZENworks, e a caixa de diálogo de login do ZENworks não aparece.