24.7 Autres tâches d'administration

Cette section décrit d'autres tâches d'administration pour NMAS :

24.7.1 Utilisation de la commande de fréquence de rafraîchissement de stratégie

Vous pouvez configurer NMAS de manière à ce que la stratégie de connexion NMAS mise en cache soit rafraîchie à partir de la stratégie de connexion NMAS stockée dans le conteneur de sécurité à intervalles réguliers, et non à chaque tentative de connexion. Cette configuration est définie par serveur à l'aide de la commande de fréquence de rafraîchissement de stratégie NMAS.

REMARQUE :le serveur accède une fois au conteneur de sécurité pendant le démarrage pour mettre en cache la stratégie. En fonction des intervalles configurés, le serveur tente ensuite d'accéder au conteneur de sécurité pour rafraîchir la stratégie.

La commande de fréquence de rafraîchissement de stratégie présente la syntaxe suivante :

nmas RefreshRate minutes

minutes correspond au nombre de minutes écoulées entre chaque tentative de vérification de la nécessité de mettre à jour la stratégie de connexion NMAS mise en cache.

Pour plus d'informations sur la manière d'appeler la commande de fréquence de rafraîchissement de stratégie pour chaque plate-forme de serveur NMAS, reportez-vous à la Section 24.7.4, Appel des commandes NMAS.

24.7.2 Utilisation de la commande LoginInfo

Avec NMAS 3.2 ou version ultérieure, vous pouvez désactiver la mise à jour automatique de certains attributs de connexion de l'objet Utilisateur à l'aide de la commande LoginInfo <numb>. À un moment donné, il se peut que la mise à jour automatique de ces attributs pose problème et que vous souhaitiez effectuer cette opération manuellement. Les sections ci-dessous décrivent cette fonctionnalité de façon plus détaillée :

Connexion NMAS pour la liaison LDAP

Avec eDirectory 9.0, la connexion NMAS est activée par défaut pour la liaison LDAP. Lorsque la connexion NMAS est activée, eDirectory met automatiquement à jour les attributs de connexion de l'objet Utilisateur une fois que l'utilisateur s'est authentifié. Vous trouverez ci-dessous une liste non exhaustive des attributs de connexion mis à jour :

  • Heure de connexion

  • Adresse réseau

  • Heure de la dernière connexion

Pour désactiver la connexion NMAS pour la liaison LDAP, reportez-vous à la Section 24.7.3, Désactivation des connexions NMAS pour LDAP.

Problèmes causés par la mise à jour automatique des attributs de connexion de l'objet Utilisateur

La mise à jour automatique des attributs de connexion de l'objet Utilisateur peut causer les problèmes suivants :

  • Utilisation intensive

  • Blocage

  • Timeouts du client sur les serveurs d'authentification occupés, en particulier dans les environnements LDAP

Si vous rencontrez ces problèmes, vous souhaiterez peut-être ajuster le moment auquel les attributs de connexion sont mis à jour. Pour savoir comment faire, reportez-vous à la section Utilisation de la commande LoginInfo pour définir à quel moment les attributs de connexion doivent être mis à jour.

Utilisation de la commande LoginInfo pour définir à quel moment les attributs de connexion doivent être mis à jour

Pour définir à quel moment les attributs de connexion doivent être mis à jour, exécutez la commande nmas LoginInfo <num>.

Le paramètre <num> est défini sur l'une des valeurs suivantes :

  • 0 ou désactivé : ne mettre à jour aucun attribut de connexion.

  • 1 : mettre à jour uniquement les attributs requis pour la détection d'intrus.

  • 2 : mettre à jour tous les attributs de connexion, à l'exception des attributs de stratégie de mot de passe utilisateur inutilisés.

  • 3 ou activé : mettre à jour tous les attributs de connexion.

Pour plus d'informations sur la façon d'appeler la commande LoginInfo pour chaque plate-forme de serveur NMAS, reportez-vous à la Section 24.7.4, Appel des commandes NMAS.

Utilisation des attributs ssasUpdateLoginInfo et sasUpdateLoginTimeInterval

L'attribut sasUpdateLoginInfo contrôle les mises à jour des attributs LoginInfo.

L'attribut sasUpdateLoginTimeInterval contrôle, quant à lui, la mise à jour de l'attribut Heure de connexion d'un utilisateur à un intervalle donné.

L'attribut sasUpdateLoginInfo peut présenter les valeurs suivantes :

  • 0 ou désactivé : ne mettre à jour aucun attribut de connexion.

  • 1 : mettre à jour uniquement les attributs requis pour la détection d'intrus.

  • 2 : mettre à jour tous les attributs de connexion, à l'exception des attributs de stratégie de mot de passe utilisateur inutilisés.

  • 3 ou activé : mettre à jour tous les attributs de connexion.

La valeur de l'attribut sasUpdateLoginTimeInterval peut être comprise entre 0 et 1 440 minutes (autrement dit, un jour).

  • Si la valeur est 0, les attributs Login Time (Heure de connexion) et Last Login Time(Heure de la dernière connexion) sont mis à jour lors de chaque connexion réussie.

  • Si la valeur est comprise entre 1 et 1440 minutes, l'attribut Heure de connexion est mis à jour après l'intervalle spécifié. L'attribut Heure de la dernière connexion n'est, quant à lui, pas mis à jour.

REMARQUE :l'attribut Login Time (Heure de connexion) n'est pas mis à jour lors des connexions réussies suivantes pendant l'intervalle. En revanche, si une connexion échoue, puis réussit au cours de l'intervalle, l'attribut Login Time (Heure de connexion) est mis à jour. L'intervalle à partir de la connexion réussie est compté.

L'attribut sasUpdateLoginTimeInterval s'applique uniquement si la valeur de l'attribut sasUpdateLoginInfo est définie sur 2 ou 3.

Les attributs peuvent être spécifiés pour les objets ci-dessous, dans le même ordre de priorité (l'objet Utilisateur ayant la plus haute priorité).

  • Utilisateur

  • Conteneur de l'utilisateur

  • Racine de la partition

  • Stratégie de connexion

Si les attributs sasUpdateLoginInfo et sasUpdateLoginTimeInterval sont définis sur l'objet Stratégie de connexion, le paramètre s'applique après le cycle de rafraîchissement de stratégie suivant. Si les attributs ne sont pas définis pour l'objet Utilisateur, Conteneur, Racine de partition ou Stratégie de connexion, la valeur définie sur un serveur à l'aide de la ligne de commande est utilisée pour garantir la compatibilité avec les versions précédentes.

L'exemple ci-dessous montre comment définir les valeurs des attributs sur le serveur eDirectory :

#cat nmas.config (The nmas.config file must be in the same directory as the dib directory.)
nmas LoginInfo 2
nmas UpdateLoginTimeInterval 30

Pour définir la valeur des attributs à la racine de la partition :

  1. Pour ajouter les attributs à l'arborescence, accédez à iManager > Schéma > Ajouter un attribut > Racine de l'arborescence.

  2. Utilisez la flèche pour faire passer l'attribut souhaité de la liste Attributs facultatifs disponibles dans la liste Attributs facultatifs.

Pour définir les valeurs de l'attribut à la racine de la partition, exécutez la commande ldapmodify et les commandes ci-dessous dans la ligne de commande ou en utilisant un fichier ldif :

dn:T=< tree name>
changetype:modify
add:sasUpdateLoginTimeInterval
sasUpdateLoginTimeInterval:35

dn:T=< tree name>
changetype:modify
add:sasUpdateLoginInfo
sasUpdateLoginInfo: 2

Vous pouvez modifier les valeurs de l'attribut sasUpdateLoginInfo ou sasUpdateLoginTimeInterval pour des objets Utilisateur, Conteneur et Stratégie de connexion à l'aide d'iManager ou d'un fichier ldif.

Exemple :

#cat changesasUpdateLoginInfo.ldif
dn: cn=user1,o=org
change type: modify
replace: sasUpdateLoginInfo
sasUpdateLoginInfo: 1

#cat changesasUpdateLoginTimeInterval.ldif
dn: cn=user1,o=org
changetype: modify
replace: sasUpdateLoginTimeInterval
sasUpdateLoginTimeInterval: 60

Ce paramètre désactive la mise à jour de l'attribut Login Time (Heure de connexion) de l'utilisateur 1 pendant 60 minutes à partir de la précédente mise à jour de l'attribut.

Pour spécifier les attributs sasUpdateLoginInfo et sasUpdateLoginTimeInterval à partir  :

  1. Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Administration de l'annuaire > Modifier un objet.

  3. Spécifiez le nom et le contexte d'un objet Conteneur ou Stratégie de connexion, puis cliquez sur OK.

  4. Sous l'onglet Général, sélectionnez Autre, puis sélectionnez sasUpdateLoginTimeInterval dans la liste Attributs non définis.

  5. Utilisez le bouton fléché pour déplacer sasUpdateLoginTimeInterval de la liste Attributs non définis vers la liste Attributs définis, puis cliquez sur Appliquer.

24.7.3 Désactivation des connexions NMAS pour LDAP

Dans eDirectory 9.0, la connexion NMAS est activée par défaut. Pour désactiver la connexion NMAS, définissez le paramètre NDSD_TRY_NMASLOGIN_FIRST sur false.

Pour désactiver la connexion NMAS pour LDAP sous Windows, cliquez avec le bouton droit de la souris sur Ordinateur et sélectionnez Propriétés. Dans l'onglet Avancé, cliquez sur Variables d'environnement. Sous Variables système, ajoutez la variable et définissez la valeur sur False.

REMARQUE :vous devez ajouter toutes les variables d'environnement requises pour le service eDirectory dans le fichier env qui se trouve dans le répertoire etc/opt/novell/eDirectory/conf sur les plates-formes RHEL 7.x et SLES 12.x.

24.7.4 Appel des commandes NMAS

La manière d'appeler une commande NMAS varie en fonction de la plate-forme que vous exécutez. Les plates-formes suivantes sont prises en charge :

Windows

À son lancement, NMAS traite les commandes figurant dans le fichier nmas.cfg. Le fichier nmas.cfg doit se trouver dans le même répertoire que les fichiers dib, lesquels sont généralement enregistrés dans c:/novell/nds/dibfiles.

ou

Une fois NMAS démarré, procédez comme suit :

  1. Dans la console Services NetIQ eDirectory, sélectionnez nmas.dlm.

  2. Saisissez la commande dans le champ Paramètres de démarrage.

  3. Cliquez sur Configurer.

Linux

À son lancement, NMAS traite les commandes figurant dans le fichier nmas.config. Le fichier nmas.config doit se trouver au même emplacement que le répertoire dib. Par exemple, si le chemin du répertoire dib est /var/opt/novell/eDirectory/data/dib, le chemin du fichier nmas.config doit être /var/opt/novell/eDirectory/data/nmas.config.

24.7.5 Définition du délai entre les tentatives de connexion infructueuses

  1. Installez le plug-in NMAS dans iManager.

    Le plug-in NMAS peut être téléchargé à partir du site de téléchargement Novell.

  2. Dans le menu Rôles et tâches d'iManager, cliquez sur Administration de l'annuaire > Modifier un objet.

  3. Recherchez et sélectionnez l'objet Stratégie de connexion, puis cliquez sur OK.

  4. Cliquez sur l'onglet NMAS, puis sur Paramètres.

  5. Indiquez le nombre de secondes devant s'écouler avant que l'écran de connexion ne s'affiche entre chaque tentative de connexion infructueuse, puis cliquez sur OK.

24.7.6 Utilisation de DSTrace

Vous pouvez utiliser l'utilitaire DSTrace pour collecter des informations de trace à partir de NMAS.

Pour plus d'informations sur la capture d'une trace du client NMAS, reportez-vous au document TID 3331372.

Pour plus d'informations sur la capture d'une trace du serveur NMAS, reportez-vous au document TID 3815371.

24.7.7 Désactivation et désinstallation du client NMAS

Pour désactiver le client NMAS :

  1. Sur le poste de travail, cliquez avec le bouton droit de la souris sur l'icône N rouge.

  2. Cliquez sur Novell Client Properties (Propriétés du client Novell).

  3. Cliquez sur l'onglet Advanced Login (Connexion avancée).

  4. Dans la liste Parameter Groups (Groupes de paramètres), sélectionnez NMAS Authentication (Authentification NMAS).

  5. Sous Setting (Paramètre), sélectionnez Off (Désactivé).

  6. Cliquez sur OK.

Pour désinstaller le client NMAS, utilisez l'option Ajouter/Supprimer des programmes du Panneau de configuration Windows.

REMARQUE :même si vous désactivez ou supprimez NMAS, vous pourrez toujours modifier le mot de passe universel à partir du client Novell pour Windows.

24.7.8 Audit des événements NMAS

Vous pouvez auditer les événements NMAS à l'aide de deux produits :

  • Serveur de consignation sécurisée NetIQ Audit

    Vous pouvez utiliser le serveur de consignation sécurisée NetIQ Audit pour installer le fichier nmas_en.lsc, lequel se trouve dans les répertoires suivants :

    Windows : novell\nds

    Linux : /opt/novell/eDirectory/lib64/nds-schem

    Pour plus d'informations sur l'installation et la gestion de NetIQ Audit, reportez-vous à la documentation en ligne de NetIQ Audit.

  • NetIQ Sentinel

Vous devez également activer l'audit des événements NMAS à l'aide du plug-in NMAS 9.0 ou version ultérieure pour iManager.

  1. Installez le plug-in NMAS 9.0 ou version ultérieure dans iManager.

    Vous pouvez télécharger ce plug-in partir du site de téléchargement NetIQ.

  2. Dans le menu Rôles et tâches d'iManager, cliquez sur Administration de l'annuaire > Modifier un objet.

  3. Recherchez et sélectionnez l'objet Stratégie de connexion, puis cliquez sur OK.

  4. Cliquez sur l'onglet NMAS, puis sur Paramètres.

  5. Cochez la case en regard de l'option Enable auditing (Activer l'audit), puis cliquez sur OK.

Utilisation de certificats externes avec NetIQ Audit

Pour utiliser un certificat externe avec NMAS et NetIQ Audit, vous devez d'abord convertir le certificat en deux fichiers .pem portant les noms suivants :

  • nmascert.pem : fichier contenant le certificat.

  • nmaskey.pem : fichier contenant la clé privée.

Ces fichiers doivent être copiés dans les répertoires ci-dessous sur chaque plate-forme pour chaque serveur NMAS du système :

  • Linux : /etc

  • Windows : répertoire renvoyé par la fonction GetWindowsDirectory (généralement, c:\windows)

Si les fichiers nmascert.pem et nmaskey.pem existent, NMAS les transmet à l'agent de plate-forme NetIQ Audit lorsque le journal est ouvert. S'ils n'existent pas, NMAS transmet le certificat et la clé internes à l'agent de plate-forme NetIQ Audit.

Utilisation de XDASv2 pour auditer les événements NMAS

Les événements NMAS peuvent être audités à l'aide de XDASv2.

  1. Installez le plug-in NMAS dans iManager.

    Vous pouvez télécharger ce plug-in partir du site de téléchargement NetIQ.

  2. Dans le menu Rôles et tâches d'iManager, cliquez sur Administration de l'annuaire > Modifier un objet.

  3. Recherchez et sélectionnez l'objet Stratégie de connexion, puis cliquez sur OK.

  4. Cliquez sur l'onglet NMAS, puis sur Paramètres.

  5. Cochez la case en regard de l'option Enable auditing (Activer l'audit), puis cliquez sur OK.

Lorsque la fonction d'audit de NMAS est activée et que les modules Agent de plate-forme et XDASv2 sont installés et configurés, NMAS consigne les événements dans l'agent de plate-forme et XDASv2. Pour plus d'informations sur l'installation et la configuration de XDASv2, reportez-vous à la Section 23.2, Audit avec XDASv2.