17.0 Activation de l'authentification EBA (Enhanced Background Authentication)

eDirectory inclut un mécanisme d'authentification renforcée qui vérifie l'identité des utilisateurs qui tentent d'y accéder. Le processus d'authentification comprend deux phases :

Lorsqu'un utilisateur se connecte, NetIQ Modular Authentication Service (NMAS) vérifie ses références à long terme, telles que son mot de passe, et émet des données BA pour cet utilisateur.

Lorsqu'il s'authentifie auprès d'un autre serveur de l'arborescence, l'utilisateur utilise ces données BA. Cette fonction Single Sign-on d'eDirectory permet à l'utilisateur de s'authentifier auprès de n'importe quel serveur de l'arborescence sans devoir fournir à nouveau ses références à long terme.

eDirectory 9.0 introduit un protocole BA basé sur les standards, qui permet de surmonter les limites inhérentes au protocole BA propriétaire. Ce protocole se nomme EBA (Enhanced Background Authentication). Lorsqu'EBA est utilisé, NMAS émet pour les utilisateurs un certificat X.509 servant de données BA et le protocole BA utilise TLS 1.2 pour l'authentification mutuelle.

Figure 17-1 Processus EBA

Dans une arborescence eDirectory pour laquelle l'authentification EBA est activée, l'autorité de certification EBA est la CA racine approuvée pour EBA. L'autorité de certification EBA utilise un certificat auto-signé. Vous pouvez configurer comme autorité de certification EBA un des serveurs de l'arborescence qui contiennent une réplique accessible en écriture de la partition root de l'arborescence. En règle générale, le premier serveur de l'arborescence qui héberge la réplique accessible en écriture de la partition root de l'arborescence et qui est configuré avec EBA fait office d'autorité de certification EBA. Vous pouvez également configurer un serveur eDirectory 9.0 qui héberge une réplique accessible en écriture de la partition root de l'arborescence de manière à ce qu'il remplisse le rôle d'autorité de certification EBA.

Figure 17-2 Autorité de certification EBA

Chaque serveur de l'arborescence pour lequel l'authentification EBA est activée devient une autorité de certification subordonnée à la CA EBA et est appelé autorité de certification NCP. Une fois la connexion établie, NMAS renvoie un certificat BA émis par l'autorité de certification NCP pour l'utilisateur connecté.

Pour utiliser EBA afin de s'authentifier auprès d'un serveur eDirectory, un client a besoin du certificat d'autorité de certification EBA de l'arborescence. Pour obtenir ce certificat, utilisez l'utilitaire ebaclientinit. Fourni avec eDirectory 9.0, ce nouvel utilitaire de ligne de commande télécharge le certificat d'autorité de certification EBA de l'arborescence et l'enregistre dans un fichier nommé .eba.p12. Ce fichier est stocké dans le répertoire privé de l'utilisateur sous Linux ($HOME) et dans le répertoire du profil utilisateur (%USERPROFILE%) sous Windows.

Lorsque vous exécutez l'utilitaire ebaclientinit pour plusieurs arborescences, l'utilitaire ajoute les certificats d'autorité de certification EBA associés aux arborescences eDirectory dans le fichier .eba.p12. Pour obtenir les certificats d'autorité de certification EBA des arborescences eDirectory, exécutez l'utilitaire ebaclientinit pour chacune d'elles.