Implementações de certificado e replicação do Active Directory
Alguns métodos de autenticação, como o PEAP e EAP, quando configurados com tipos de autenticação baseados em certificado, podem usar certificados para autenticação de computadores e usuários. A latência na replicação do Active Directory pode afetar temporariamente a capacidade de um cliente ou servidor de obter um certificado de uma autoridade de certificação. Se um computador configurado para usar certificados para autenticação não puder registrar um certificado, a autenticação falhará.
Esta latência na replicação do Active Directory pode afetar a infra-estrutura da autenticação de acesso à rede porque os certificados usados para autenticação de cliente e servidor são emitidos por autoridades de certificação a computadores membros do domínio. Nos momentos seguintes ao ingresso de um computador cliente ou servidor no domínio, é possível que o único servidor de catálogo global do Active Directory que tenha um registro da participação no domínio do computador cliente ou servidor seja o controlador de domínio que tratou da solicitação de ingresso.
Depois que um computador ingressar no domínio, será necessário reinicializar o computador. Depois que o computador for iniciado e você fizer logon no domínio, a Diretiva de Grupo será aplicada. Se você tiver configurado anteriormente o registro automático dos certificados do computador cliente ou, para servidores NPS, certificados de servidor, este é o momento no qual o novo computador membro do domínio solicita um certificado de uma autoridade de certificação.
Observação
Você pode atualizar manualmente a Diretiva de Grupo efetuando logon no domínio ou executando o comando gpupdate.
A autoridade de certificação, por sua vez, verifica o Serviços de Domínio Active Directory (AD DS) para determinar se ele deve emitir um certificado para o cliente ou servidor que o solicitou. Se a conta do computador tiver replicado no domínio, a autoridade de certificação poderá determinar se o cliente ou servidor possui as permissões de segurança necessárias para registrar um certificado. Entretanto, se a conta do computador não tiver replicado no domínio, talvez a autoridade de certificação não consiga verificar se o cliente ou o servidor possui as permissões de segurança para registrar um certificado.
Se isto ocorrer, a autoridade de certificação não registra um certificado no computador cliente ou servidor.
- Se um computador cliente membro do domínio não puder registrar um certificado de computador cliente, o computador cliente não poderá ser autenticado com êxito por servidores NPS ao tentar se conectar à rede através de servidores de acesso à rede configurados como clientes RADIUS no NPS onde o método de autenticação exigido é EAP-TLS ou PEAP-TLS. Por exemplo, se você tiver implantado clientes RADIUS que sejam pontos de acesso sem fio 802.1X e estiver usando o PEAP-TLS como método de autenticação, os computadores cliente que não possuírem um certificado de computador cliente não poderão ser autenticados com êxito e não poderão usar recursos da rede através de uma conexão sem fio.
- Se um computador servidor NPS membro do domínio não puder registrar um certificado de servidor, o servidor NPS não poderá ser autenticado com êxito por computadores cliente quando estiverem tentando se conectar à rede através de servidores de acesso à rede configurados como clientes RADIUS no NPS onde o método de autenticação exigido é EAP-TLS, PEAP-TLS ou PEAP-MS-CHAP v2, e onde os clientes são definidos com a configuração Validar certificado do servidor habilitada. Esses métodos de autenticação fornecem uma autenticação mútua e o servidor NPS deve ter um certificado de servidor para ser autenticado com êxito por computadores cliente. Se o servidor NPS não tiver um certificado de servidor, todas as solicitações de conexão nas quais esses métodos de autenticação forem exigidos falharão porque os computadores cliente não conseguem autenticar o servidor NPS.
Por este motivo, ao implantar métodos de autenticação baseados em certificado, é recomendável que você crie os tempos de replicação do Active Directory e a implantação de autoridades de certificação subordinadas para reduzir a possibilidade de uma replicação lenta impactar de forma negativa a infra-estrutura de autenticação de acesso à rede.
Conclusão
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabiano@winsec.org ou vitor@winsec.orgEspero que essas informações sejam úteis no dia-dia e aguarde o próximo artigo.
Vitor Nakano atua a 10 anos na área de infra-estrutura e segurança voltada à plataforma Microsoft e mentor do site www.winsec.org.
Atualmente é o coordenador do Setor de Segurança da Informação e Arquitetura do Grupo EcoRodovias, responsável pela implantação de importantes projetos de infra-estrutura e segurança e possui certificações Microsoft deste 2002. Em 2008 foi nomeado MVP na categoria Windows Security.
Você pode entrar em contato através do e-mail vitor@winsec.org