Chapitre 11: Fonctionnalités de sécurité
Client Automation
Les fonctionnalités de sécurité dans Client Automation couvrent deux zones.
Authentification
Garantit que l'objet demandeur est bien ce qu'il déclare être.
Autorisation
Permet de configurer et valider les droits et permissions d'accès pour les opérations concernant des objets sécurisés.
Ce chapitre traite des sujets suivants :
Authentification (page 407)
Autorisation (page 419)
Configuration de la sécurité commune (page 438)
Prise en charge de la zone de sécurité (page 445)
Configuration du chiffrement (page 449)
Cryptographie conforme à la norme FIPS (page 453)
Authentification
L'authentification identifie les membres d'une base informatique sécurisée, basée sur les informations d'identification fournies.
Les membres d'une base informatique sécurisée sont :
Utilisateurs et appartenance indirecte à un groupe
Il s'agit avant tout d'entités homogènes de sécurité du système d'exploitation en cours. Il peut s'agir, par exemple, d'utilisateurs Windows (Active Directory, domaine ou locaux), UNIX (LDAP) ou d'utilisateurs locaux UNIX.
Ordinateurs
Les ordinateurs qui font partie d'une base informatique sécurisée, notamment
Windows NT, peuvent être identifiés et authentifiés. En théorie, les ordinateurs
UNIX peuvent être identifiés, car ils font également partie d'une base informatique sécurisée avec laquelle il est possible d'établir une relation sécurisée.
Chapitre 11: Fonctionnalités de sécurité Client Automation 407
Authentification
Différentes informations répertoriées ci-dessous sont utilisées pour authentifier un utilisateur ou un ordinateur.
■
Dans les environnements d'exploitation Windows :
■
Nom d'utilisateur
■
Mot de passe
■
■
Domaine Windows
Fournisseur de sécurité
■
Dans des environnements d'exploitation Linux et UNIX :
■
■
■
Nom de l'ordinateur
Nom d'utilisateur
Mot de passe
■
Fournisseur de sécurité
Différentes applications disposent d'exigences différentes en matière d'authentification.
Si possible, une connexion unifiée est utilisée : les informations d'identification actuelles de l'utilisateur sont utilisées de manière implicite plutôt que d'inviter l'utilisateur à fournir des informations d'identification explicites.
Cependant, dans certains cas, ces informations d'identification ne sont pas valides pour la ressource à laquelle elles accèdent ou les opérations spéciales peuvent requérir une nouvelle authentification. Lorsqu'une connexion unifiée ne doit pas être utilisée ou que les informations d'identification ne sont pas valides, une application de l'interface utilisateur graphique peut demander des informations d'identification chaque fois qu'elles sont requises, tandis qu'une application de ligne de commande en cours d'exécution en mode de traitement par lot échoue et enregistre une erreur d'authentification.
Si vous utilisez un fournisseur de sécurité LDAP pour authentifier les utilisateurs dans un répertoire lorsque vous spécifiez des informations d'identification, assurez-vous de la validité de ces informations d'identification pour le répertoire cible et de leur spécification complète. Pour Active Directory, vous devez utiliser le DN LDAP complet, par exemple :
CN=user,OU=Users,OU=myOU,DC=mydomain,DC=com
Lors de l'utilisation de répertoires LDAP externes génériques pour l'authentification, les objets d'authentification doivent bénéficier directement de droits d'accès, car les membres des groupes ne peuvent pas être évalués directement. Cela ne s'applique pas
à Active Directory.
408 Manuel d'implémentation
