NMAS a été conçu pour vous aider à protéger les informations résidant sur votre réseau. Outre l'outil de gestion des mots de passe, NMAS inclut plusieurs méthodes d'authentification pour les réseaux NetIQ eDirectory. De cette manière, vous pouvez vous assurer que les individus qui tentent d'accéder à vos ressources réseau sont bien qui ils prétendent être.
Concernant les périphériques d'authentification, NMAS fait appel à trois phases d'opération au cours d'une session utilisateur sur un poste de travail. Ces trois phases sont les suivantes :
Phase d'identification de l'utilisateur (qui êtes-vous ?)
Phase d'authentification (connexion) (prouvez que vous êtes bien la personne que vous prétendez être)
Phase de détection de retrait de périphérique (vous êtes toujours là ?)
Ces trois phases sont totalement indépendantes les unes des autres. Des périphériques d'authentification peuvent être utilisés à chaque phase, mais le même périphérique ne doit pas nécessairement être utilisé à chaque fois.
Il s'agit du processus de collecte du nom d'utilisateur. Au cours de cette phase, le nom de l'arborescence, le contexte de l'utilisateur, le nom du serveur et le nom de la séquence NMAS à utiliser lors de la phase d'authentification sont également collectés. Ces informations d'authentification peuvent être obtenues à partir d'un périphérique d'authentification, ou spécifiées manuellement par l'utilisateur.
Pour la connexion au réseau, NMAS utilise trois approches différentes appelées facteurs d'authentification. Ces facteurs d'authentification décrivent différents éléments ou qualités qu'un utilisateur peut utiliser pour s'authentifier auprès du réseau :
Authentification par mot de passe (quelque chose que vous connaissez)
Authentification par périphérique physique (quelque chose que vous possédez)
Authentification biométrique (quelque chose qui vous caractérise)
Pour plus d'informations sur ces facteurs d'authentification, reportez-vous à la Section 24.1.4, Méthodes et séquences de connexion et de post-connexion.
Les mots de passe (quelque chose que vous connaissez) font partie des principaux moyens d'authentification auprès d'un réseau. NMAS propose plusieurs options d'authentification par mot de passe :
Mot de passe NDS : stocké dans un format haché irréversible, le mot de passe NDS ne peut être utilisé que par le système NDS. Cette option utilise le mot de passe universel, s'il est activé et défini.
Mot de passe simple : le mot de passe simple permet aux administrateurs d'importer des utilisateurs et des mots de passe (en texte clair et au format haché) à partir d'annuaires LDAP étrangers. Cette option utilise le mot de passe universel, s'il est activé et défini.
Digest-MD5 SASL : cette option fournit le mécanisme DIGEST-MD5 SASL, conforme à la convention IETF, qui valide un mot de passe haché par l'algorithme MD5 servant à établir une liaison SASL LDAP. Cette option utilise le mot de passe universel, s'il est activé et défini.
Réponse de stimulations : cette option permet à l'utilisateur de prouver son identité en répondant à une ou plusieurs questions de vérification d'identité préconfigurées.
Le mot de passe universel est un moyen de simplifier l'intégration et la gestion des différents systèmes de mot de passe et d'authentification dans un réseau cohérent. Pour plus d'informations sur le mot de passe universel, reportez-vous au Section 26.0, Gestion des mots de passe.
Les développeurs de NetIQ et de solutions d'authentification tierces ont écrit, pour NMAS, des modules d'authentification pour plusieurs types de périphériques physiques (quelque chose que vous possédez).
REMARQUE :NMAS utilise le terme jeton pour faire référence à toutes les méthodes d'authentification par périphérique physique (cartes à puce avec certificats, périphériques de génération de mots de passe à usage unique, cartes de proximité, etc.).
Carte à puce : une carte à puce est une carte en plastique de la taille d'une carte de crédit, ou un périphérique USB intégrant une puce programmable capable de stocker des données et d'exécuter des opérations de chiffrement. NMAS permet d'utiliser une carte à puce pour vérifier une identité lors de l'authentification auprès d'eDirectory.
Pour les cartes à puce, NetIQ propose la méthode de connexion NetIQ Enhanced Smart Card, laquelle est fournie avec Identity Assurance Client. Pour plus d'informations, reportez-vous au NetIQ Enhanced Smart Card Method 3.0 Installation and Administration Guide (Guide d'installation et d'administration de NetIQ Enhanced Smart Card Method 3.0).
Périphérique de génération de mots de passe à unique (OTP) : un périphérique OTP est un périphérique matériel de poche qui génère des mots de passe à usage unique pour authentifier son propriétaire.
Carte de proximité : une carte de proximité est une carte portée par une personne. Cette technologie verrouille et déverrouille le poste de travail d'une personne en fonction de la proximité de la carte par rapport au poste de travail.
NetIQ propose la méthode de connexion pcProx, laquelle prend en charge les cartes de proximité RFID. Cette méthode de connexion est fournie avec la solution NetIQ SecureLogin. Pour plus d'informations, reportez-vous à la documentation NMAS Login Method and Login ID Snap-In for pcProx (Méthode de connexion NMAS et snap-in d'ID de connexion pour pcProx).
La biométrie désigne la science et la technologie qui s'intéressent à la mesure et à l'analyse statistique des caractéristiques du corps humain (quelque chose qui vous caractérise). Des sociétés tierces proposent des méthodes biométriques à utiliser avec NMAS.
L'authentification biométrique requiert des lecteurs ou scanneurs, un logiciel de conversion des informations scannées au format numérique, ainsi qu'une base de données ou un répertoire pour stocker les données biométriques à comparer avec les informations entrées.
Lors de la conversion des données biométriques entrées, le logiciel identifie des points de données spécifiques comme des points de correspondance. Ces derniers sont traités à l'aide d'un algorithme afin de créer une valeur qui peut être comparée aux données biométriques scannées lorsqu'un utilisateur tente d'accéder à un système.
Les méthodes d'authentification biométrique incluent notamment la reconnaissance faciale, rétinienne, vocale, des empreintes digitales et de l'iris, mais aussi l'authentification par l'écriture manuscrite et la dynamique de frappe.
La session de l'utilisateur entre dans cette phase une fois la phase de connexion terminée. Deux méthodes sont disponibles :
La méthode Secure Workstation est fournie avec NetIQ SecureLogin. La session de l'utilisateur peut être arrêtée lors du retrait d'un périphérique d'authentification (par exemple, une carte à puce). Ce périphérique n'est nécessaire dans aucune des autres phases.
Pour plus d'informations sur la méthode Secure Workstation, reportez-vous au NetIQ SecureLogin 7.0 SP3 Administration Guide (Guide d'administration de NetIQ SecureLogin 7.0 SP3).
La méthode de connexion NetIQ Enhanced Smart Card repose également sur la détection du retrait d'une carte à puce. Pour plus d'informations sur cette méthode de connexion, reportez-vous au NetIQ Enhanced Smart Card Method Installation Guide (Guide d'installation de NetIQ Enhanced Smart Card Method).
Une méthode de connexion est une implémentation spécifique d'un facteur d'authentification. NMAS permet de choisir entre plusieurs méthodes de connexion sur la base des trois facteurs d'authentification (mot de passe, périphérique physique ou jeton et authentification biométrique).
Une méthode de post-connexion est un processus de sécurité qui s'exécute après qu'un utilisateur s'est authentifié auprès de NetIQ eDirectory. Un exemple de méthode de post-connexion est la méthode NetIQ Secure Workstation (fournie avec NetIQ SecureLogin), laquelle oblige l'utilisateur à fournir des références pour accéder à l'ordinateur une fois que le poste de travail est verrouillé.
Le logiciel NMAS prend en charge un certain nombre de méthodes de connexion et de post-connexion développées par NetIQ et d'autres fournisseurs de solutions d'authentification. Selon la méthode de connexion utilisée, du matériel supplémentaire peut s'avérer nécessaire. Pour plus d'informations, reportez-vous à la documentation de la solution tierce.
Après avoir fait votre choix et installé une méthode, vous devez l'assigner à une séquence de connexion pour qu'elle puisse être utilisée. Une séquence de connexion est un ensemble ordonné d'une ou de plusieurs méthodes. Les utilisateurs se connectent au réseau en utilisant ces séquences de connexion prédéfinies. Si la séquence de connexion contient plusieurs méthodes, celles-ci sont présentées à l'utilisateur dans l'ordre spécifié. Les méthodes de connexion sont présentées en premier, suivies des méthodes de post-connexion.
NMAS prend en charge les séquences de connexion And (Et) et Or (Ou). Une séquence And requiert que toutes les méthodes de connexion contenues dans la séquence soient exécutées correctement. Une séquence Or nécessite uniquement qu'une des méthodes de connexion contenues dans la séquence soit exécutée correctement. Ainsi, permettre aux utilisateurs d'utiliser la même séquence de connexion pour se connecter à des postes de travail avec des périphériques d'authentification différents est un exemple de séquence d'utilisation Or.
Créé au niveau de la partition racine lors de l'installation du premier serveur dans l'arborescence, le conteneur Sécurité contient des informations telles que des données générales, des règles de sécurité et des clés.
Après l'introduction du mot de passe universel, chaque fois qu'un utilisateur se connectait à eDirectory via NMAS®, NMAS accédait aux informations du conteneur Sécurité pour authentifier la connexion. Si la partition renfermant le conteneur Sécurité n'était pas présente au niveau local, NMAS accédait au serveur qui contenait cette partition. Cela affectait les performances de l'authentification NMAS. C'était encore pire lorsqu'il fallait accéder au serveur qui contenait la partition disposant du conteneur Sécurité par le biais de liaisons WAN.
Pour y remédier, les données du conteneur de sécurité sont mises en cache sur le serveur local. Ainsi, NMAS ne doit pas accéder au conteneur Sécurité situé sur une autre machine chaque fois qu'un utilisateur se connecte ; il peut facilement le faire au niveau local, ce qui améliore les performances. L'ajout au serveur local de la partition disposant du conteneur Sécurité augmente les performances, mais n'est pas toujours possible si les serveurs sont trop nombreux.
Si les données du conteneur Sécurité changent sur le serveur qui contient la partition renfermant le conteneur Sécurité, le cache local est rafraîchi par un processus en arrière-plan appelé « liaison en amont ». Par défaut, une liaison en amont est exécutée toutes les treize heures pour extraire les données modifiées du serveur distant. Dans ce cas, les données doivent être synchronisées immédiatement et vous pouvez planifier un processus de liaison en amont sur le serveur local par l'intermédiaire d'iMonitor, ndstrace sous Linux ou ndscons sous Windows. Pour plus d'informations, consultez l'aide en ligne d'iMonitor ou la page du manuel ndstrace.
La fonction de caching des objets Sécurité est activée par défaut. Si vous ne souhaitez pas que le processus de liaison en amont mette des données en cache, retirez CachedAttrsOnExtRef de l'objet Serveur NCP.