Authentification
Authentification basée sur un certificat X.509
Chaque fois qu'un processus client Client Automation se connecte à un module d'extension CAF nécessitant une authentification, le processus client doit transférer les informations d'identification de sécurité répondant aux exigences de sécurité des services cible. Lorsque le processus client est en cours d'exécution en tant que processus autonome, comme un service Windows NT ou un démon UNIX, le processus client peut procéder à l'authentification à l'aide de certificats V3 X.509 en l'absence d'informations d'identification utilisateur.
Un certificat X.509 pour une authentification Client Automation comprend un ensemble de paires attribut-valeur compilées avec la clé de chiffrement publique d'une paire de clés asymétriques. Le certificat dispose d'une signature numérique et il est scellé par un certificat de l'utilisateur racine. Le certificat enregistre le nom de l'objet pour lequel le certificat a été émis, le nom de l'autorité émettrice du certificat et les informations portant sur l'expiration. Le nom unique (DN) se réfère souvent au nom d'objet. Le nom d'objet est mappé sur un Uniform Resource Identifier (URI) dans l'espace de nom x509cert, comme suit : x509cert://dsm r11/CN=Basic Host Identity,O=Computer Associates,C=US
Pour obtenir une présentation des certificats actuels, reportez-vous à Certificats communs
(page 583) et Certificats spécifiques à l'application (page 584).
Grâce à la cryptographie de la clé publique, les clients s'authentifient eux-mêmes sur demande auprès de serveurs de modularité. Un serveur de modularité peut donc utiliser l'identité certifiée pour effectuer des vérifications d'autorisations ultérieures et valider des enregistrements d'audit. La console de gestion permet l'affectation de privilèges de tâches ou d'objets aux URI de certificat dans la base de données de gestion
Client Automation.
Sécurité du niveau de l'objet et certificats
La base de données de gestion Client Automation fournit la classe et la sécurité du niveau de l'objet (OLS). Les autorisations attribuées dans la base de données sont associées à un profil de sécurité ; elles sont représentées par un URI d'objet. Les URI de certificat peuvent être associés aux profils de sécurité et, par conséquent, être utilisés pour contrôler l'accès à la base de données de gestion Client Automation.
Par exemple, lorsque des serveurs de modularité se connectent à un gestionnaire de domaines, ils s'authentifient eux-mêmes grâce au certificat d'enregistrement. L'URI associé au certificat d'enregistrement a reçu uniquement les autorisations suffisantes dans la base de données pour permettre l'enregistrement du nœud du serveur de modularité.
410 Manuel d'implémentation
