Exportar (0) Imprimir
Expandir Todos

Métodos de autenticação

Métodos de autenticação

Cada regra define uma lista de métodos de autenticação. Cada método de autenticação define os requisitos pelos quais as identidades são verificadas em comunicações às quais se aplica a regra associada. Os dois peers devem ter pelo menos um método de autenticação em comum, para que a comunicação não falhe. A criação de vários métodos de autenticação aumenta a hipótese de se encontrar um método comum entre dois computadores.

Apenas um método de autenticação pode ser utilizado entre um par de computadores, independentemente da quantidade configurada. Se tiver várias regras que se apliquem ao mesmo par de computadores, terá de configurar a lista de métodos de autenticação nessas regras, de modo a permitir que o par de computadores utilize o mesmo método. Por exemplo, se uma regra entre um par de computadores especificar apenas Kerberos para a autenticação e filtrar apenas dados TCP, e se outra regra especificar apenas certificados para a autenticação e filtrar apenas dados UDP, a autenticação falhará.

Descrição geral dos métodos de autenticação

Para autenticação, o IPSec permite a utilização do protocolo Kerberos V5, da autenticação baseada em certificados ou da autenticação por chave pré-partilhada.

  • O protocolo de segurança Kerberos V5 é a tecnologia de autenticação predefinida. Este método pode ser utilizado por todos os clientes com o protocolo Kerberos V5 (independentemente de os clientes estarem ou não a executar o Windows 2000, Windows XP Professional ou sistema operativo Windows Server 2003) que sejam membros do mesmo domínio ou de domínios fidedignos.
  • Deve ser utilizado um certificado de chave pública em situações que incluam acesso à Internet, acesso remoto a recursos da empresa, comunicações externas com parceiros comerciais ou computadores que não utilizem o protocolo de segurança Kerberos V5. Isto requer que tenham sido configurados, pelo menos, uma autoridade de certificação (AC) fidedigna e um certificado associado. Os computadores com o Windows 2000, Windows XP ou com um sistema operativo Windows Server 2003 suportam certificados X.509 Versão 3,incluindo certificados de computador criados pelas ACs comerciais.
  • É possível especificar uma chave secreta pré-partilhada. Este procedimento é simples e não exige que o cliente execute o protocolo Kerberos V5 ou tenha um certificado de chave pública. Ambas as partes devem configurar manualmente o IPSec para utilizar esta chave pré-partilhada.
    Importante
    • A utilização da autenticação por chave pré-partilhada não é recomendada por ser um método de autenticação relativamente fraco. A autenticação por chave pré-partilhada cria uma chave principal menos segura (que poderá produzir uma forma de encriptação mais fraca) que os certificados ou o protocolo Kerberos V5. Além disso, as chaves pré-partilhadas são armazenadas em texto simples. A autenticação por chave pré-partilhada é fornecida para fins de interoperabilidade e para respeitar as normas IPSec. É recomendado que utilize chaves pré-partilhadas apenas para efeitos de teste e que utilize, em vez delas, os certificados ou o protocolo Kerberos V5 num ambiente de produção.

Notas

  • A capacidade de efectuar autenticações utilizando o protocolo Kerberos V5 não é suportada em computadores com o Windows XP Home Edition nem em computadores com qualquer outra versão do Windows 2000, Windows XP, nem num sistema operativo Windows Server 2003, que não sejam membros de um domínio do Active Directory.
  • Para obter informações sobre como configurar métodos de autenticação, consulte Definir métodos de autenticação IPSec.

Mapeamento do certificado IPSec para conta

Quando se utiliza a autenticação Kerberos V5 ou a autenticação de certificados, podem definir-se restrições em relação aos computadores que são autorizados a estabelecer ligação. Quando activar o mapeamento certificado IPSec/conta, o protocolo IKE associa (mapeia) um certificado de computador a uma conta de computador num domínio ou floresta do Active Directory e, em seguida, obtém um token de acesso, que inclui a lista de direitos de utilizador atribuídos ao computador. Pode restringir o acesso configurando as definições de segurança de Política de Grupo e atribuindo o direito de utilizador Aceder a este computador a partir da rede ou o direito de utilizador Negar acesso a este computador a partir da rede a computadores individuais ou múltiplos, conforme necessário.

Quando uma autoridade de certificação (AC) do Windows 2000 ou da família Windows Server 2003 é utilizada para inscrição automática de certificados de computador, os certificados são armazenados automaticamente no Active Directory como uma propriedade da conta de computador. Em alternativa, pode utilizar uma autoridade de certificação que não seja da Microsoft para inscrever computadores. Se não utilizar a inscrição automática de computadores, deve gerir o mapeamento de certificados para contas manualmente.

Notas

  • Se utilizar o protocolo Kerberos V5 para autenticação, o protocolo IKE apenas verifica os controlos de acesso, no caso de a IKE ser um dispositivo de resposta. Portanto, para que os controlos de acesso sejam aplicados, deve configurar a política IPSec no computador cliente para iniciar a IKE para o servidor. Se utilizar a autenticação de certificados, os controlos de acesso são aplicados, no caso de o servidor ou o computador cliente iniciarem a IKE para o servidor.
  • Para obter informações sobre como configurar definições de segurança em Política de Grupo, consulte Descrição geral de definições de segurança.
Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft