Cette section fournit des informations sur la configuration de divers plug-ins Sentinel à exécuter en mode FIPS 140-2.
REMARQUE :Ces instructions partent du principe que Sentinel est installé dans le répertoire /opt/novell/sentinel. Les commandes doivent être exécutées en tant qu'utilisateur novell.
N'effectuez la procédure suivante que si vous avez sélectionné l'option lors de la configuration des paramètres de réseautique du serveur de source d'événements Agent Manager.
Ajoutez ou modifiez le serveur de source d'événements Agent Manager. Faites défiler les écrans de configuration jusqu'à ce que la fenêtre Sécurité s'affiche. Pour plus d'informations, reportez-vous au Agent Manager Connector Guide (Guide du connecteur Agent Manager).
Sélectionnez l'une des options disponibles dans le champ Type d'authentification du client. Le type d'authentification du client détermine dans quelle mesure le serveur SSL de source d'événements Agent Manager vérifie l'identité des sources d'événements Agent Manager qui tentent d'envoyer des données.
Ouvert : autorise toutes les connexions SSL provenant des agents Agent Manager. N'effectue aucune validation ni authentification du certificat client.
Strict : vérifie que le certificat est un certificat X.509 valide et contrôle également que le certificat client est approuvé par le serveur de source d'événements. Les nouvelles sources doivent être explicitement ajoutées à Sentinel (ce qui permet d'éviter que des sources malveillantes envoient des données non autorisées).
Si l'option est activée, vous devez importer le certificat de chaque nouveau client Agent Manager dans le keystore FIPS de Sentinel. Lorsque Sentinel est exécuté en mode FIPS 140-2, vous ne pouvez pas importer le certificat client à l'aide de l'interface ESM (Event Source Management).
Pour plus d'informations sur l'importation du certificat, reportez-vous à la section Importation de certificats dans une base de données keystore FIPS.
REMARQUE :en mode FIPS 140-2, le serveur de source d'événements Agent Manager utilise la paire de clés du serveur Sentinel. L'importation de la paire de clés du serveur n'est dès lors pas nécessaire.
Si l'authentification serveur est activée dans les agents, ces derniers doivent en outre être configurés pour approuver le certificat du serveur Sentinel ou du gestionnaire des collecteurs distant selon l'emplacement sur lequel le connecteur est déployé.
Emplacement du certificat du serveur Sentinel : /etc/opt/novell/sentinel/config/sentinel.cer
Emplacement du certificat de gestionnaire des collecteurs distant : /etc/opt/novell/sentinel/config/rcm.cer
REMARQUE :lors de l'utilisation de certificats personnalisés ayant reçu la signature numérique d'une autorité de certification (CA), l'agent Agent Manager doit approuver le fichier de certificat approprié.
N'effectuez la procédure suivante que si vous avez sélectionné l'option SSL lors de la configuration de la connexion de base de données.
Avant de configurer le connecteur, téléchargez le certificat à partir du serveur de base de données et enregistrez le fichier sous database.cert dans le répertoire /etc/opt/novell/sentinel/config du serveur Sentinel.
Pour plus d'informations, reportez-vous à la documentation relative à la base de données.
Importez le certificat dans le keystore FIPS de Sentinel.
Pour plus d'informations sur l'importation du certificat, reportez-vous à la section Importation de certificats dans une base de données keystore FIPS.
Configurez le connecteur.
N'effectuez la procédure suivante que si vous avez sélectionné l'option lors de la configuration des paramètres de réseautique du serveur de source d'événements Sentinel Link.
Ajoutez ou modifiez le serveur de source d'événements Sentinel Link. Faites défiler les écrans de configuration jusqu'à ce que la fenêtre Sécurité s'affiche. Pour plus d'informations, reportez-vous au Sentinel Link Connector Guide (Guide du connecteur Sentinel Link).
Sélectionnez l'une des options disponibles dans le champ Type d'authentification du client. Le type d'authentification du client détermine dans quelle mesure le serveur SSL de source d'événements Sentinel Link vérifie l'identité des sources d'événements Sentinel Link (intégrateurs Sentinel Link) qui tentent d'envoyer des données.
Ouvert : autorise toutes les connexions SSL provenant des clients (intégrateurs Sentinel Link). N'effectue aucune validation ni authentification du certificat de l'intégrateur.
Strict : vérifie que le certificat de l'intégrateur est un certificat X.509 valide et contrôle également que le certificat de l'intégrateur est approuvé par le serveur de source d'événements. Pour plus d'informations, reportez-vous à la documentation relative à la base de données.
Si l'option est activée :
Si l'intégrateur Sentinel Link est en mode FIPS 140-2, vous devez copier le fichier /etc/opt/novell/sentinel/config/sentinel.cer présent sur la machine Sentinel de l'expéditeur sur celle du récepteur. Importez ce certificat dans le keystore FIPS Sentinel du récepteur.
REMARQUE :lors de l'utilisation de certificats personnalisés ayant reçu la signature numérique d'une autorité de certification (CA), vous devez importer le fichier de certificat personnalisé approprié.
Si l'intégrateur Sentinel Link n'est pas en mode FIPS, vous devez importer le certificat personnalisé de l'intégrateur dans le keystore FIPS Sentinel du récepteur.
REMARQUE :si l'expéditeur est Sentinel Log Manager (en mode non-FIPS) et que le récepteur est Sentinel en mode FIPS 140-2, le certificat serveur à importer auprès de l'expéditeur est le fichier /etc/opt/novell/sentinel/config/sentinel.cer de la machine Sentinel du récepteur.
Lorsque Sentinel est exécuté en mode FIPS 140-2, vous ne pouvez pas importer le certificat client à l'aide de l'interface ESM (Event Source Management). Pour plus d'informations sur l'importation du certificat, reportez-vous à la section Importation de certificats dans une base de données keystore FIPS.
REMARQUE :en mode FIPS 140-2, le serveur de source d'événements Sentinel Link utilise la paire de clés du serveur Sentinel. L'importation de la paire de clés du serveur n'est dès lors pas nécessaire.
N'effectuez la procédure suivante que si vous avez sélectionné le protocole lors de la configuration des paramètres de réseautique du serveur de source d'événements Syslog.
Ajoutez ou modifiez le serveur de source d'événements Syslog. Faites défiler les écrans de configuration jusqu'à ce que la fenêtre Réseautique s'affiche. Pour plus d'informations, reportez-vous au Syslog Connector Guide (Guide du connecteur Syslog).
Cliquez sur .
Sélectionnez l'une des options disponibles dans le champ Type d'authentification du client. Le type d'authentification du client détermine dans quelle mesure le serveur SSL de source d'événements Syslog vérifie l'identité des sources d'événements Syslog qui tentent d'envoyer des données.
Ouvert : autorise toutes les connexions SSL provenant des clients (sources d'événements). N'effectue aucune validation ni authentification du certificat client.
Strict : vérifie que le certificat est un certificat X.509 valide et contrôle également que le certificat client est approuvé par le serveur de source d'événements. Les nouvelles sources doivent être explicitement ajoutées à Sentinel (ce qui permet d'éviter que des sources malveillantes envoient des données à Sentinel).
Si l'option est activée, vous devez importer le certificat de chaque client Syslog dans le keystore FIPS de Sentinel.
Lorsque Sentinel est exécuté en mode FIPS 140-2, vous ne pouvez pas importer le certificat client à l'aide de l'interface ESM (Event Source Management).
Pour plus d'informations sur l'importation du certificat, reportez-vous à la section Importation de certificats dans une base de données keystore FIPS.
REMARQUE :en mode FIPS 140-2, le serveur de source d'événements Syslog utilise la paire de clés du serveur Sentinel. L'importation de la paire de clés du serveur n'est dès lors pas nécessaire.
Si l'authentification serveur est activée dans le client Syslog, ce dernier doit approuver le certificat du serveur Sentinel ou du gestionnaire des collecteurs distant selon l'emplacement sur lequel le connecteur est déployé.
Le fichier de certificat du serveur Sentinel se trouve à l'emplacement :/etc/opt/novell/sentinel/config/sentinel.cer.
Le fichier de certificat du gestionnaire des collecteurs distant se trouve à l'emplacement /etc/opt/novell/sentinel/config/rcm.cer.
REMARQUE :lors de l'utilisation de certificats personnalisés ayant reçu la signature numérique d'une autorité de certification (CA), le client doit approuver le fichier de certificat approprié.
Ajoutez ou modifiez le connecteur Windows Event. Faites défiler les écrans de configuration jusqu'à ce que la fenêtre Sécurité s'affiche. Pour plus d'informations, reportez-vous au guide Windows Event (WMI) Connector Guide [Guide du connecteur Windows Event (WMI)].
Cliquez sur .
Sélectionnez l'une des options disponibles dans le champ Type d'authentification du client. Le type d'authentification du client détermine dans quelle mesure le connecteur Windows Event vérifie l'identité des services de collecte des événements Windows (WECS) du client qui tentent d'envoyer des données.
Ouvert : autorise toutes les connexions SSL provenant des services WECS du client. N'effectue aucune validation ni authentification du certificat client.
Strict : vérifie que le certificat est un certificat X.509 valide et contrôle également que le certificat WECS client a été signé par une autorité de certification. Les nouvelles sources doivent être explicitement ajoutées à Sentinel (ce qui permet d'éviter que des sources malveillantes envoient des données à Sentinel).
Si l'option est activée, vous devez importer le certificat des services WECS du client dans le keystore FIPS de Sentinel. Lorsque Sentinel est exécuté en mode FIPS 140-2, vous ne pouvez pas importer le certificat client à l'aide de l'interface ESM (Event Source Management).
Pour plus d'informations sur l'importation du certificat, reportez-vous à la section Importation de certificats dans une base de données keystore FIPS.
REMARQUE :en mode FIPS 140-2, le serveur de source d'événements Windows utilise la paire de clés du serveur Sentinel. L'importation de la paire de clés du serveur n'est dès lors pas nécessaire.
Si l'authentification serveur est activée dans le client Windows, ce dernier doit approuver le certificat du serveur Sentinel ou du gestionnaire des collecteurs distant selon l'emplacement sur lequel le connecteur est déployé.
Le fichier de certificat du serveur Sentinel se trouve à l'emplacement :/etc/opt/novell/sentinel/config/sentinel.cer.
Le fichier de certificat du gestionnaire des collecteurs distant se trouve à l'emplacement /etc/opt/novell/sentinel/config/rcm.cer.
REMARQUE :lors de l'utilisation de certificats personnalisés ayant reçu la signature numérique d'une autorité de certification (CA), le client doit approuver le fichier de certificat approprié.
Si vous souhaitez synchroniser automatiquement les sources d'événements ou compléter la liste de sources d'événements à l'aide d'une connexion Active Directory, vous devez importer le certificat du serveur Active Directory dans le keystore FIPS de Sentinel.
Pour plus d'informations sur l'importation du certificat, reportez-vous à la section Importation de certificats dans une base de données keystore FIPS.
N'effectuez la procédure suivante que si vous avez sélectionné l'option lors de la configuration des paramètres réseau de l'intégrateur Sentinel Link.
Lorsque l'intégrateur Sentinel Link est en mode FIPS 140-2, une authentification serveur est obligatoire. Avant de configurer l'instance d'intégrateur, importez le certificat du serveur Sentinel Link dans le keystore FIPS de Sentinel :
Si Sentinel Link Connector est en mode FIPS 140-2 :
Si le connecteur est déployé sur le serveur Sentinel, vous devez copier le fichier /etc/opt/novell/sentinel/config/sentinel.cer présent sur la machine Sentinel du destinataire sur celle de l'expéditeur.
S'il est déployé sur un gestionnaire des collecteurs distant, vous devez copier le fichier /etc/opt/novell/sentinel/config/rcm.cer présent sur la machine du gestionnaire des collecteurs distant du destinataire sur sa machine Sentinel.
Importez ce certificat dans le keystore FIPS Sentinel de l'expéditeur.
REMARQUE :lors de l'utilisation de certificats personnalisés ayant reçu la signature numérique d'une autorité de certification (CA), vous devez importer le fichier de certificat personnalisé approprié.
Si Sentinel Link Connector n'est pas en mode FIPS :
Importez le certificat personnalisé du serveur Sentinel Link dans le keystore FIPS Sentinel de l'expéditeur.
REMARQUE :Lorsque l'intégrateur Sentinel Link est en mode FIPS 140-2 et que le connecteur Sentinel Link Connector n'utilise pas le mode FIPS, utilisez la paire de clés personnalisée du serveur sur le connecteur, et non la paire de clés interne du serveur.
Pour plus d'informations sur l'importation du certificat, reportez-vous à la section Importation de certificats dans une base de données keystore FIPS.
Configurez l'instance d'intégrateur.
REMARQUE :en mode FIPS 140-2, l'intégrateur Sentinel Link utilise la paire de clés du serveur Sentinel. L'importation de la paire de clés de l'intégrateur n'est pas nécessaire.
Avant de configurer l'instance d'intégrateur, téléchargez le certificat à partir du serveur LDAP et enregistrez le fichier sous ldap.cert dans le répertoire /etc/opt/novell/sentinel/config du serveur Sentinel.
Par exemple, utilisez
openssl s_client -connect <LDAP server IP>:636
Copiez ensuite le texte renvoyé (à l'exception des lignes de début (BEGIN) et de fin (END) dans un fichier.
Importez le certificat dans le keystore FIPS de Sentinel.
Pour plus d'informations sur l'importation du certificat, reportez-vous à la section Importation de certificats dans une base de données keystore FIPS.
Configurez l'instance d'intégrateur.
L'intégrateur SMTP Integrator prend en charge le mode FIPS 140-2 à partir de la version 2011.1r2. Aucune modification de la configuration n'est requise.
Cette section fournit des informations sur la façon d'utiliser des connecteurs non compatibles FIPS avec un serveur Sentinel en mode FIPS 140-2. Cette approche est recommandée si certaines sources ne sont pas compatibles avec FIPS ou si vous souhaitez collecter des événements à partir de connecteurs ne prenant pas en charge FIPS dans votre environnement.
Installez un gestionnaire des collecteurs distant en mode non-FIPS à connecter au serveur Sentinel en mode FIPS 140-2.
Pour plus d'informations, reportez-vous à la section Section 11.6, Installation de gestionnaires des collecteurs et de moteurs de corrélation supplémentaires.
Déployez les connecteurs non-FIPS expressément sur le gestionnaire des collecteurs distant non-FIPS.
REMARQUE :certains problèmes connus se produisent lorsque des connecteurs non-FIPS tels que le connecteur d'audit et le connecteur de fichier sont déployés sur un gestionnaire des collecteurs distant non-FIPS connecté à un serveur Sentinel 7.1 en mode FIPS 140-2. Pour plus d'informations sur ces problèmes connus, reportez-vous au fichier lisezmoi de NetIQ Sentinel 7.0.1
.