Novell Documentation: eDirectory 8.8

Attributs codés

eDirectory 8.8 (ou version ultérieure) permet de coder les attributs pour protéger les données lorsqu'elles sont stockées sur le disque. Le codage d'attributs est une fonctionnalité propre au serveur.

Si vous codez un attribut, sa valeur est cryptée. Par exemple, vous pouvez coder un attribut Numéro_employé stocké dans la DIB. Si Numéro_employé=1000, la valeur de l'attribut (1000) n'est pas stockée comme du texte clair sur le disque. Vous ne pouvez lire cette valeur codée que lorsque vous accédez à l'annuaire par le biais d'un canal sécurisé.

Tous les attributs d'un schéma peuvent être activés pour le codage. Nous vous recommandons toutefois de ne pas activer l'attribut CN (nom commun) pour le codage et de n'activer pour le codage, que les données sensibles. Reportez-vous à la section Règles de sécurité lors du codage de données avant de décider de marquer des attributs pour le codage.

Il n'existe pas de limite d'accès aux attributs codés lisibles Public et Serveur. Autrement dit, un client peut accéder à ces attributs en texte clair, mais vous pouvez les marquer pour le codage au niveau de la DIB.

Figure 37
Attributs codés

Les données dans eDirectory peuvent être stockées selon l'une des méthodes suivantes :

dans la DIB (Data Information Base) ou base de données ;
sous la forme de données de sauvegarde ;
sous la forme d'un fichier LDIF.

Pour coder des attributs, vous pouvez créer et appliquer des règles d'attributs codés aux serveurs.

Pour coder les attributs, effectuez les opérations suivantes dans iManager :

Créez et définissez une règle d'attributs codés.
1. Sélectionnez les attributs à coder.
2. Sélectionnez le modèle de codage pour les attributs.
Pour plus d'informations, reportez-vous à la section Création et définition des règles des attributs codés.
Appliquez la règle des attributs codés à un serveur.

Pour plus d'informations, reportez-vous à la section Application des règles des attributs codés.

Vous pouvez également coder des attributs par le biais de LDAP. Pour plus d'informations, reportez-vous à la section Gestion des règles des attributs codés via LDAP.

Nous vous recommandons d'effectuer les opérations suivantes :

Ne marquez pour le codage que les attributs sensibles et non l'ensemble des attributs (dont les attributs lisibles Public ou Serveur) .
Lors du marquage d'un attribut pour le codage, utilisez AES puisqu'il s'agit d'un algorithme de codage fort.

La suite de cette section fournit les informations ci-après :

Utilisation de modèles de codage

eDirectory 8.8 offre les meilleurs niveaux de sécurité pour un attribut grâce à la prise en charge des modèles de codage suivants :

norme de codage avancée (AES)
norme de codage de données triple (3DES)
norme de codage des données (DES)

Vous pouvez sélectionner des modèles de codage distincts pour différents attributs d'une même règle d'attributs codés. Par exemple, dans une règle d'attributs codés RC1, vous pouvez sélectionner AES comme modèle de codage pour un attribut Numéro_unité et 3DES pour un attribut Numéro_employé. Pour plus d'informations, reportez-vous à la section Création et définition des règles des attributs codés.

Vous pouvez changer le modèle de codage d'un attribut codé en éditant la règle des attributs codés. Vous pouvez également supprimer le codage d'un attribut codé précédemment. Pour plus d'informations, reportez-vous à la section Édition des règles des attributs codés.

Vous pouvez décider d'affecter des modèles de codage distincts à différents serveurs de l'anneau de répliques. Par exemple, un attribut peut être activé pour le codage AES sur le serveur 1, pour le codage 3DES sur le serveur 2 et pour aucun modèle de codage sur le serveur 3.

Gestion des règles des attributs codés

Pour gérer le codage des attributs, vous pouvez créer et définir des règles et les appliquer à des serveurs.

Vous définissez une règle d'attributs codés en sélectionnant les attributs à coder ainsi qu'un modèle de codage.

Figure 38
Codage d'attributs

Vous pouvez gérer les règles des attributs codés à l'aide de iManager. Cette section fournit les informations suivantes :

Gestion des règles des attributs codés via iManager

Cette section comprend les procédures suivantes :

Si le serveur eDirectory contient des attributs codés, iManager présente le comportement suivant :

La lecture, l'affichage ou la modification des attributs codés ne sont pas autorisés par le biais de canaux en texte clair ou sécurisés.
Une entrée qui possède des attributs non codés n'est pas autorisée à lire, afficher ou modifier des attributs via iManager par le biais de canaux en texte clair ou sécurisés, ce qui implique le blocage de l'entrée complète.

Création et définition des règles des attributs codés

Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Codage eDirectory > Attributs.
Dans l'Assistant Gestion des règles d'attributs codés, sélectionnez Créer, éditer et appliquer la règle.
Suivez les instructions de l'Assistant Gestion des règles d'attributs codés pour créer et définir la règle.

Vous pouvez obtenir de l'aide via l'Assistant.

Édition des règles des attributs codés

Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Codage eDirectory > Attributs.
Dans l'Assistant Gestion des règles d'attributs codés, sélectionnez Éditer la règle.
Suivez les instructions de l'Assistant Gestion des règles d'attributs codés pour éditer la règle.

Vous pouvez obtenir de l'aide via l'Assistant.

Application des règles des attributs codés

Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Codage eDirectory > Attributs.
Dans l'Assistant Gestion des règles d'attributs codés, sélectionnez Appliquer la règle.
Suivez les instructions de l'Assistant Gestion des règles d'attributs codés pour appliquer la règle.

Vous pouvez obtenir de l'aide via l'Assistant.

Suppression des règles des attributs codés

Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Codage eDirectory > Attributs.
Dans l'Assistant Gestion des règles d'attributs codés, sélectionnez Supprimer les règles.
Suivez les instructions de l'Assistant Gestion des règles d'attributs codés pour supprimer la règle.

Vous pouvez obtenir de l'aide via l'Assistant.

Gestion des règles des attributs codés via LDAP

IMPORTANT: il est vivement recommandé d'utiliser iManager plutôt que LDAP pour gérer les attributs codés.

Cette section comprend les procédures suivantes :

NOTE: lorsque vous marquez un attribut quelconque pour le cryptage via LDIF, vous devez spécifier la paire attribut/modèle, et non la liste des attributs et le modèle. Il s'agit là de l'actuelle contrainte pour les attributs codés.

Création et définition des règles des attributs codés

Créez une règle de codage des attributs.

Par exemple, si la règle des attributs codés est AE Policy- test-server, alors
```
dn: cn=AE Policy - test-server, o=novell 
changetype: add 
objectClass: encryptionPolicy
```
Ajoutez l'attribut attrEncryptionDefinition à l'objet Règle créé et marquez les attributs pour le codage.

Par exemple, si le nom de l'attribut à coder est CRID, spécifiez le modèle de codage et le nom de l'attribut comme indiqué ci-dessous :
```
dn: cn=AE Policy - test-server, o=novell 
changetype: modify 
add: attrEncryptionDefinition 
attrEncryptionDefinition: aes$CRID
```
NOTE: le nom de l'attribut implique ici son nom NDS. Dans eDirectory, de nombreux attributs ont à la fois un nom LDAP et un nom NDS. Dans ce cas, vous devez spécifier le nom NDS de l'attribut.
Ajoutez l'attribut attrEncryptionRequiresSecure à la règle.

La valeur de cet attribut indique si un canal sécurisé est toujours requis pour accéder aux attributs codés. La valeur 0 signifie que ce type de canal n'est pas toujours nécessaire. La valeur 1 signifie qu'il est toujours indispensable.

Par exemple :
```
dn: cn=AE Policy - test-server, o=novell 
changetype: modify 
add: attrEncryptionRequiresSecure 
attrEncryptionRequiresSecure: 0
```

Associez la règle à un serveur NCP.

Par exemple, si le serveur NCP est test-server :

dn: cn=test-server, o=novell 
changetype: modify 
add: encryptionPolicyDN 
encryptionPolicyDN: cn=AE Policy - test-server, o=novell

Édition des règles des attributs codés

Le fichier LDIF suivant illustre l'édition d'une règle d'attributs codés par le changement de la valeur de l'attribut attrEncryptionRequireSecure :

dn: cn=AE Policy - test-server, o=novell 
changetype: modify 
replace: attrEncryptionRequiresSecure 
attrEncrytionRequiresSecure: 1

Application d'une règle d'attributs codés

Le fichier LDIF suivant illustre l'application d'une règle d'attributs codés AE Policy-test-server à un serveur test-server :

dn: cn=test-server, o=novell 
changetype: modify 
add: encryptionPolicyDN 
encryptionPolicyDN: cn=AE Policy - test-server, o=novell

Suppression d'une règle d'attributs codés

Le fichier LDIF suivant illustre la suppression d'une règle d'attributs codés :

dn: cn=AE Policy - test-server, o=novell 
changetype: delete

Copie des règles des attributs codés

eDirectory 8.8 (ou version ultérieure) permet de copier les règles des attributs codés pour disposer de configurations identiques sur plusieurs serveurs. Les règles sont stockées sous la forme d'objets dans eDirectory.

Pour une explication détaillée de la procédure de copie d'un objet Règle à l'aide de iManager, reportez-vous à la section Copie d'objets.

Opérations de partition

Lorsque vous fusionnez deux partitions, les règles du parent sont conservées pour la partition résultante. Lorsque vous divisez une partition, la partition enfant hérite la règle de la partition parent.

Accès aux attributs codés

Si vous codez les attributs, vous protégez également leur accès, car eDirectory 8.8 (ou version ultérieure) peut limiter l'accès aux attributs codés par le biais d'un canal sécurisé (LDAP ou HTTP).

Par défaut, l'accès aux attributs codés est uniquement possible par canal sécurisé.

Toutefois, si vous souhaitez permettre aux clients d'accéder aux attributs codés en texte clair, désactivez l'option Toujours exiger un canal sécurisé. Pour plus d'informations, reportez-vous à la section Activation/désactivation de l'accès aux attributs codés par le biais de canaux en texte clair.

Activation/désactivation de l'accès aux attributs codés par le biais de canaux en texte clair

Vous pouvez activer ou désactiver l'accès aux attributs codés par le biais de canaux en texte clair en activant ou désactivant l'option Toujours exiger un canal sécurisé (autrement dit, l'attribut attrEncryptionRequireSecure) à l'aide de iManager ou LDAP.

Cette section comprend les informations suivantes :

Activation/désactivation de l'accès aux attributs codés par le biais de canaux en texte clair à l'aide de iManager

Pour activer ou désactiver, à l'aide de iManager, l'accès aux attributs codés par le biais de canaux en texte clair, vous devez activer/désactiver l'option Toujours exiger un canal sécurisé dans l'Assistant Gestion des règles d'attributs codés lors de :

Activation/désactivation de l'accès aux attributs codés par le biais de canaux en texte clair à l'aide de LDAP

Pour activer ou désactiver, à l'aide de LDAP, l'accès aux attributs codés par le biais de canaux en texte clair, vous devez ajouter l'attribut suivant à la règle des attributs codés :

attrEncryptionRequiresSecure

Si vous définissez cet attribut sur 0, un canal sécurisé n'est pas toujours requis ; autrement dit, vous pouvez accéder aux attributs codés au moyen d'un canal en texte clair. Si vous le définissez sur 1, un canal sécurisé est toujours indispensable ; autrement dit, vous ne pouvez accéder aux attributs codés qu'à l'aide d'un canal sécurisé.

Pour plus d'informations, reportez-vous à la section Step 3.

Affichage des attributs codés

L'affichage des attributs codés dépend de l'activation ou de la désactivation de l'option Toujours exiger un canal sécurisé, autrement dit de l'éventuelle nécessité d'un canal sécurisé pour y accéder.

Affichage des attributs codés avec iManager

Si l'option Toujours exiger un canal sécurisé est activée, vous ne pouvez pas afficher les attributs codés. Vous obtenez l'erreur -6089, ce qui signifie que vous avez besoin d'un canal sécurisé pour y accéder.

Dans le cas contraire, vous pouvez afficher les valeurs des attributs codés dans iManager.

Pour plus d'informations, reportez-vous à la section Accès aux objets de votre arborescence .

Affichage des attributs codés avec DSBrowse

Si vous avez activé l'option Toujours exiger un canal sécurisé, autrement dit, si un canal sécurisé est indispensable pour accéder aux attributs codés, vous ne pouvez pas afficher les attributs de l'entrée qui sont marqués pour le codage. Vous pouvez toutefois voir ceux qui ne sont pas codés.

Trappes SNMP

Les événements Valeur NDS^® sont bloqués si vous avez demandé de toujours exiger un canal sécurisé pour accéder aux attributs codés. Les trappes liées à des événements Valeur ont la donnée de valeur NULL et le résultat sera défini sur -6089, ce qui signifie que vous avez besoin d'un canal sécurisé pour obtenir la valeur d'attribut codé. Les trappes ayant la donnée de valeur NULL sont les suivantes :

ndsAddValue
ndsDeleteValue
ndsDeleteAttribute

Codage et décodage des données de sauvegarde

Lors de la sauvegarde de données sur un serveur qui comporte des attributs marqués pour le codage, vous êtes invité à fournir un mot de passe pour le codage/décodage des données de sauvegarde. Ce mot de passe est défini par l'option -E dans l'utilitaire ndsbackup. Pour plus d'informations, reportez-vous aux pages du manuel ndsbackup.

Pour plus d'informations sur la sauvegarde de vos données, reportez-vous au Sauvegarde et restauration de Novell eDirectory.

Clonage de l'ensemble de fichiers DIB contenant des attributs codés

Lors du clonage, si la base de données eDirectory contient des attributs codés, les valeurs de ces attributs seront également codées dans l'ensemble de fichiers DIB cloné. Afin de sécuriser la clé utilisée par eDirectory pour le codage des valeurs dans cet ensemble, vous devez définir un mot de passe que vous devrez spécifier lorsque vous placerez l'ensemble cloné sur un autre serveur.

Pour plus d'informations, reportez-vous à la section Cloner l'ensemble DIB.

Ajout de serveurs eDirectory 8.8 à des anneaux de répliques

Vous pouvez ajouter des serveurs eDirectory 8.8 à des anneaux de répliques indépendamment du fait que les attributs soient ou non marqués pour le codage sur l'un des serveurs hébergeant la réplique ou tous, et indépendamment de l'activation/la désactivation de l'option Toujours exiger un canal sécurisé.

Pour plus d'informations sur l'ajout du serveur eDirectory 8.8 à l'anneau de répliques, reportez-vous à la section Ajout d'une réplique.

Compatibilité avec les versions précédentes

Pour accéder aux attributs codés, vous devez changer tous les utilitaires eDirectory, tels que iManager, SNMP, DirXML^® et NSureAudit pour les rendre conformes à NCP^TM sécurisé. Dans le cas contraire, vous devez indiquer qu'un canal sécurisé n'est pas toujours requis pour y accéder. Pour plus d'informations, reportez-vous à la section Activation/désactivation de l'accès aux attributs codés par le biais de canaux en texte clair.

Migration vers des attributs codés

Lors d'une mise à niveau vers eDirectory 8.8 ou une version ultérieure, vous pouvez coder les attributs existants en créant et en définissant des règles d'attributs codés. Pour plus d'informations, reportez-vous à la section Gestion des règles des attributs codés.

Réplication des attributs codés

Par défaut, la réplication codée n'est pas activée même si le serveur comporte des attributs codés. Vous devez l'activer pour répliquer les attributs codés en toute sécurité. Pour la configuration de la réplication codée, reportez-vous à la section Réplication codée.