Le mot de passe universel est géré par Secure Password Manager, un composant du module NMAS (NetIQ Modular Authentication Services). Secure Password Manager simplifie la gestion des modèles d'authentification par mot de passe pour une vaste gamme de solutions développées par NetIQ et ses partenaires. Les outils de gestion n'exposent qu'un mot de passe et ne montrent pas tout le traitement en arrière-plan qui s'exécute à des fins de compatibilité avec les versions précédentes.
Secure Password Manager et les autres composants qui gèrent ou utilisent le mot de passe universel sont installés avec eDirectory. Toutefois, le mot de passe universel n'est pas activé par défaut. Étant donné que toutes les API d'authentification et de définition de mots de passe évoluent pour prendre en charge le mot de passe universel, tous les outils de gestion existants fonctionnent automatiquement avec le mot de passe universel lorsqu'ils sont exécutés sur des clients dotés de ces nouvelles bibliothèques.
REMARQUE :le plug-in de gestion des mots de passe pour NetIQ eDirectory pour iManager 3.x peut être téléchargé sur le site Web de téléchargement NetIQ. Des informations sur la procédure de téléchargement et d'installation de ce plug-in sont disponibles sur le site de téléchargement.
Le logiciel Client Novell prend en charge le mot de passe universel. Il continue également de prendre en charge le mot de passe NDS pour les systèmes plus anciens du réseau. Une fois que le mot de passe universel a été configuré et activé pour un utilisateur, le client Novell a la possibilité de mettre à niveau/migrer automatiquement le mot de passe NDS vers le mot de passe universel.
Un chiffrement réversible du mot de passe universel est nécessaire pour garantir l'interopérabilité avec d'autres systèmes de mot de passe. Les administrateurs doivent évaluer les coûts et les avantages du système. L'utilisation d'un mot de passe universel stocké dans eDirectory pourrait se révéler plus sûr ou plus pratique que de tenter de gérer plusieurs mots de passe différents. NetIQ fournit plusieurs niveaux de sécurité pour vous assurer que le mot de passe universel est protégé pendant qu'il est stocké dans eDirectory.
Un mot de passe universel est protégé par trois niveaux de sécurité :
chiffrement du mot de passe proprement dit ;
droits eDirectory ;
droits du système de fichiers.
Le mot de passe universel est chiffré par une clé spécifique de l'utilisateur. Le mot de passe universel et la clé utilisateur sont stockés dans les attributs du système, uniquement lisibles par eDirectory. La clé utilisateur est stockée chiffrée avec la clé d'arborescence. Cette clé d'arborescence est protégée par une clé unique NICI (Novell International Cryptographic Infrastructure) sur chaque machine. Notez que ni la clé d'arborescence ni la clé NICI ne sont stockées dans eDirectory. Elles ne sont pas enregistrées avec les données qu'elles protègent.
La clé d'arborescence est présente sur chaque machine au sein d'une arborescence, mais chaque arborescence contient une clé d'arborescence différente. Les données chiffrées avec la clé d'arborescence ne peuvent donc être récupérées que sur un ordinateur au sein de la même arborescence. Par conséquent, lors de son stockage, le mot de passe universel est protégé par trois niveaux de chiffrement.
Chaque clé est également sécurisée via des droits eDirectory. Seuls les administrateurs avec le droit Superviseur ou les utilisateurs proprement dits disposent des droits pour modifier les mots de passe universels.
Les droits du système de fichiers permettent de garantir que seul un utilisateur disposant des droits appropriés peut accéder à ces clés.
Par défaut, la clé spécifique de l'utilisateur et la clé d'arborescence sont des clés 3DES. eDirectory 9.0 prend en charge les clés AES 256 bits. Pour créer une clé AES 256 bits, reportez-vous à la section Creating an AES 256-Bit SDI Key (Création d'une clé SDI AES 256 bits) du NICI Administration Guide (Guide d'administration de NICI). Lorsqu'un utilisateur se connecte à eDirectory, NMAS rechiffre les mots de passe qui ont été chiffrés avec des clés 3DES. En tant qu'administrateur, vous pouvez rechiffrer les mots de passe à l'aide de l'utilitaire Diagpwd. Pour plus d'informations, reportez-vous au document Utilitaire Diagpwd.
REMARQUE :la stratégie de mot de passe doit permettre à l'utilisateur exécutant cet utilitaire de récupérer son mot de passe universel.
Si le mot de passe universel est déployé dans un environnement nécessitant un niveau élevé de sécurité, vous pouvez prendre les précautions suivantes :
Vérifiez que les répertoires et fichiers suivants sont sécurisés :
|
Plate-forme |
Répertoires/Fichiers |
|---|---|
|
Windows |
|
|
Linux |
|
Consultez la documentation de votre système pour obtenir des détails spécifiques sur l'emplacement des fichiers NICI et eDirectory.
Comme avec n'importe quel système de sécurité, il est très important de restreindre l'accès physique au serveur sur lequel résident les clés.
Auparavant, les administrateurs devaient gérer plusieurs mots de passe (mot de passe simple, mot de passe NDS, mot de passe étendu) en raison des limitations inhérentes aux mots de passe. Ils devaient également s'assurer de leur synchronisation.
Mot de passe NDS : l'ancien mot de passe NDS est stocké dans un format haché irréversible. Ce mot de passe ne peut être utilisé que par le système NDS et ne peut pas être converti dans un autre format exploitable par un autre système.
Mot de passe simple : à l'origine, le mot de passe simple a été implémenté pour permettre aux administrateurs d'importer des utilisateurs et des mots de passe (en texte clair et au format haché) à partir de répertoires nds-cluster-config étrangers tels qu'Active Directory et iPlanet.
L'inconvénient du mot de passe simple est qu'il ne permet pas d'appliquer de stratégies de mot de passe (longueur minimale, expiration, etc.) .
Mot de passe étendu : le mot de passe étendu n'est plus pris en charge par NetIQ. Le mot de passe étendu est le prédécesseur du mot de passe universel. Il permet l'implémentation de certaines stratégies de mot de passe, mais sa conception n'est pas cohérente avec d'autres mots de passe. Il fournit une synchronisation unidirectionnelle et remplace le mot de passe NDS ou simple.
NetIQ a introduit le mot de passe universel comme moyen de simplifier l'intégration et la gestion des différents systèmes de mot de passe et d'authentification dans un réseau cohérent.
Le mot de passe universel règle ces problèmes de plusieurs manières :
Il permet d'utiliser un seul mot de passe pour tous les accès à eDirectory.
Il permet d'utiliser des caractères étendus dans les mots de passe.
Il permet d'appliquer des stratégies de mot de passe avancées.
Il permet de synchroniser les mots de passe entre eDirectory et d'autres systèmes.
La plupart des fonctions de gestion des mots de passe nécessitent l'activation du mot de passe universel.
Pour plus d'informations, reportez-vous à la Section 26.3, Déploiement du mot de passe universel.
Le mot de passe universel offre la possibilité de créer des stratégies de mot de passe avancées. Une stratégie de mot de passe est un ensemble de règles définies par l'administrateur qui régissent les critères de création et de remplacement des mots de passe utilisateur. NMAS permet d'appliquer des stratégies de mot de passe que vous assignez à des utilisateurs dans eDirectory.
Les stratégies de mot de passe sont gérées à l'aide d'iManager.
Pour plus d'informations, reportez-vous à la Section 26.4, Gestion des mots de passe à l'aide de stratégies de mot de passe.
La synchronisation de mots de passe entre plusieurs systèmes connectés est une fonctionnalité incluse avec NetIQ Identity Manager. Elle présente les avantages suivants :
Synchronisation bidirectionnelle des mots de passe
Application de stratégies de mot de passe sur des systèmes connectés
Notification par message électronique en cas d'échec de la synchronisation
Possibilité de vérifier l'état de synchronisation du mot de passe d'un utilisateur
Pour plus d'informations, reportez-vous au chapitre 3 Connected System Support for Password Synchronization (Prise en charge des systèmes connectés pour la synchronisation des mots de passe) du NetIQ Identity Manager 4.5 Password Management Guide (Guide de gestion des mots de passe NetIQ Identity Manager 4.5).