Cette section contient des informations spécifiques à propos de la sécurité offerte par NetIQ Modular Authentication Services. Elle comprend les sous-sections suivantes :
NetIQ n'a pas évalué les méthodologies de sécurité des méthodes de connexion développées par ses partenaires. Dès lors, même si ces solutions tierces peuvent arborer les logos NetIQ Yes, Tested & Approved ou NetIQ Directory Enabled, notez que derniers concernent uniquement l'interopérabilité générale du produit.
Si des séquences de connexion autorisées/par défaut ou des autorisations approuvées/par défaut sont assignées à un conteneur qui n'est pas une racine de partition, la stratégie s'applique uniquement aux objets Utilisateur présents dans le conteneur et non à ceux qui figurent dans les sous-conteneurs.
Si des séquences de connexion autorisées/par défaut ou des autorisations approuvées/par défaut sont assignées à un conteneur qui est une racine de partition, la stratégie s'applique à tous les utilisateurs de la partition pour lesquels ces valeurs ne sont pas assignées à l'objet Utilisateur ou à son conteneur parent.
Si des séquences de connexion autorisées/par défaut ou des autorisations approuvées/par défaut sont assignées à une stratégie de connexion, cette dernière s'applique à tous les utilisateurs de l'arborescence pour lesquels ces valeurs ne sont pas assignées à l'objet Utilisateur, à son conteneur parent ou à sa racine de partition.
Si des mots de passe ou autres secrets de connexion devinables, tels que des questions et réponses de vérification d'identité, sont assignés à des utilisateurs, il est recommandé d'activer la fonction de détection d'intrus afin de freiner les intrus ou de les empêcher de deviner ces secrets de connexion.
Par défaut, un délai de 3 secondes est observé entre chaque tentative de connexion infructueuse, afin de freiner les éventuels intrus et de les empêcher de deviner les mots de passe. Bien que la longueur de ce délai soit configurable, il est conseillé d'utiliser la valeur par défaut de 3 secondes.
Des stratégies de connexion telles que la détection des intrusions, les restrictions d'adresse réseau et les restrictions horaires sont appliquées à toutes les séquences de connexion. Par exemple, des stratégies de connexion sont appliquées lorsque la fonction de self-service de mot de passe oublié de plusieurs produits NetIQ appelle la méthode de connexion par réponse de vérification d'identité.
Il est recommandé d'activer la fonction d'audit de NMAS™ afin de pouvoir assurer le suivi des tentatives de connexion et des modifications apportées à la configuration.
L'utilisation de la commande de fréquence de rafraîchissement de stratégie pour vérifier si la stratégie de mot de passe mise en cache doit être rafraîchie à intervalles définis plutôt qu'à chaque connexion ralentit l'application des modifications de stratégie de connexion.
La commande LoginInfo peut être utilisée pour désactiver la mise à jour des attributs de connexion lors de la connexion. Ces attributs englobent notamment les attributs de détection des intrusions. La désactivation de leur mise à jour permet d'améliorer les performances de connexion, mais peut affaiblir la sécurité du système.
La stratégie de détection des intrusions peut être définie au niveau du conteneur direct ou de la racine de partition de l'objet Utilisateur. NMAS commence par vérifier si une stratégie de détection des intrusions est présente dans le conteneur parent. Si ce dernier ne contient aucune stratégie, NMAS vérifie dans la racine de partition.
Lorsque vous mettez à niveau une méthode de connexion, l'utilitaire nmasinst remplace l'ancienne version par une version plus récente, à moins que l'option -checkversion ne soit utilisée.
Même si nmasinst inclut une option permettant de spécifier le mot de passe dans la ligne de commande, il n'est pas recommandé de l'utiliser, car le mot de passe pourrait être endommagé. Avec eDirectory 9.0, nmasinst permet de récupérer un mot de passe à partir d'un fichier ou d'une variable d'environnement.
Dans la mesure où le conteneur de sécurité contient des stratégies globales, faites attention où vous placez les répliques accessibles en écriture. Certains serveurs peuvent modifier les stratégies de sécurité globales spécifiées dans l'arborescence eDirectory. Pour que les utilisateurs puissent se connecter avec NMAS, les répliques des objets Utilisateur et du conteneur de sécurité doivent se trouver sur le serveur NMAS.
Si une stratégie de mot de passe est assignée à un conteneur qui n'est pas une racine de partition, cette stratégie s'applique uniquement aux objets Utilisateur présents dans le conteneur et non à ceux qui figurent dans les sous-conteneurs.
Si une stratégie de mot de passe est assignée à un conteneur qui est une racine de partition, cette stratégie s'applique à tous les utilisateurs de la partition pour lesquels ces valeurs ne sont pas assignées à l'objet Utilisateur ou à son conteneur parent.
Si une stratégie de mot de passe est assignée à une stratégie de connexion, cette dernière s'applique à tous les utilisateurs de l'arborescence pour lesquels ces valeurs ne sont pas assignées à l'objet Utilisateur, à son conteneur parent ou à sa racine de partition.
La date d'expiration du mot de passe n'est pas mise à jour lorsque le mot de passe NDS est migré vers le mot de passe universel, à moins que la règle de stratégie de mot de passe « Vérifier si les mots de passe existants respectent la stratégie de mot de passe (la vérification se fait lors de la connexion) » ne soit définie sur « true » (vrai).
Il est possible de configurer des stratégies de mot de passe permettant à l'utilisateur ou à un administrateur de mot de passe de lire le mot de passe universel à l'aide d'extensions LDAP NMAS documentées. Sauf si votre installation spécifique le requiert, il est recommandé de ne pas activer ces options. Si les mots de passe utilisateur doivent être lisibles, il recommandé de configurer la stratégie de mot de passe de manière à ce que seuls certains utilisateurs puissent les lire.
Il est conseillé de configurer une stratégie de synchronisation du mot de passe de distribution uniquement si vous utilisez la fonction de synchronisation de mots de passe d'Identity Manager pour synchroniser les mots de passe entre des systèmes connectés.
Pour plus d'informations sur la synchronisation des mots de passe entre des systèmes connectés à l'aide de la fonction de synchronisation de mots de passe d'Identity Manager, reportez-vous au NetIQ Identity Manager 4.5 Password Management Guide (Guide de gestion des mots de passe de NetIQ Identity Manager 4.5).
Vous devez configurer une stratégie de synchronisation du mot de passe simplement uniquement si :
vous disposez de serveurs qui comportent une réplique accessible en écriture des objets Utilisateur ;
les utilisateurs accèdent à ces serveurs à l'aide de protocoles natifs d'accès aux fichiers, tels que CIDS et AFP.
Si des règles avancées sont activées pour une stratégie de mot de passe, les règles existantes appliquées à l'objet Utilisateur sont ignorées et mises à jour pour concorder avec les règles de stratégie de mot de passe lorsque les utilisateurs modifient leur mot de passe ou se connectent.
Les règles d'exclusion de mots de passe (historique des mots de passe, mots de passe exclus et valeurs d'attribut interdites) ne sont pas appliquées lorsque NMAS est utilisé pour générer des mots de passe aléatoires.
Lorsque vous sélectionnez des règles de mot de passe, vous devez trouver le juste équilibre pour que les mots de passe ne soient pas trop faciles à deviner et trop difficiles à retenir.
Lorsqu'un administrateur spécifie que le mot de passe NDS doit être supprimé, le paramètre de hachage du mot de passe NDS est défini sur une valeur aléatoire que personne ne connaît, hormis eDirectory. Une valeur de mot de passe pourrait éventuellement être hachée sur la base de cette valeur aléatoire.
Complexité des mots de passe XML
En présence de balises de règle en double, la règle la plus restrictive est utilisée (les autres sont ignorées) pour vérifier les mots de passe par rapport à la stratégie et générer des mots de passe aléatoires.
Les attributs d'ensemble de règles ViolationsAllowed et NumberOfCharactersToEvaluate sont ignorés pour la génération de mots de passe aléatoires.
Seule la première stratégie d'un ensemble de stratégies XML est utilisée pour la génération de mots de passe aléatoires.
Pour plus d'informations sur la sécurité du mot de passe universel, reportez-vous au Section 26.0, Gestion des mots de passe.
Il est recommandé de faire de la clé SDI (Security Domain Infrastructure), également connu sous le nom de clé d'arborescence, une clé Triple DES (3DES). La clé SDI peut être vérifiée et mise à niveau à l'aide de l'utilitaire SDIDiag. Reportez-vous à l'étape du Section 26.0, Gestion des mots de passe.
À partir de la version 9.0 d'eDirectory, les clés d'arborescence AES 256 sont également prises en charge. Pour plus d'informations, reportez-vous à la section Création d'une clé SDI AES 256 bits.