Un chiffrement réversible du mot de passe universel est nécessaire pour garantir l'interopérabilité avec d'autres systèmes de mot de passe. Les administrateurs doivent évaluer les coûts et les avantages du système. L'utilisation d'un mot de passe universel stocké dans eDirectory pourrait se révéler plus sûr ou plus pratique que de tenter de gérer plusieurs mots de passe.
Un mot de passe universel dans eDirectory est protégé par trois niveaux de sécurité : un chiffrement triple DES, des droits eDirectory et des droits du système de fichiers.
Avant NICI 3.0, le mot de passe universel était chiffré par une clé triple DES propre à l'utilisateur. Le mot de passe universel et la clé utilisateur étaient stockés dans les attributs du système, uniquement lisibles par eDirectory. La clé utilisateur (3DES) était chiffrée avec la clé d'arborescence et cette dernière était protégée par une clé NICI unique sur chaque machine. Notez que ni la clé d'arborescence ni la clé NICI n'était stockée dans eDirectory. Elles n'étaient pas enregistrées avec les données qu'elles protègent. La clé d'arborescence était présente sur chaque machine au sein d'une arborescence, mais chaque arborescence avait une clé d'arborescence différente, de sorte que les données chiffrées avec la clé d'arborescence pouvaient être récupérées uniquement sur un ordinateur au sein de la même arborescence. Par conséquent, lors de son stockage, le mot de passe universel était protégé par trois niveaux de chiffrement.
NICI 3.0 prend en charge des clés de stockage AES 256 bits. Par conséquent, toute application utilisant les clés de stockage pour encapsuler en toute sécurité d'autres clés doit être en mesure de traiter le nouvel algorithme. Cependant, toutes les données qui sont actuellement encapsulées à l'aide des clés 3-DES plus anciennes peuvent toujours être évaluées sans modification.
NICI 3.0 prend en charge la clé d'arborescence AES 256 bits. Cependant, eDirectory ne crée pas la clé d'arborescence AES 256 bits par défaut. La création de cette clé dans un environnement eDirectory 9.0 et versions antérieures peut entraîner des problèmes au niveau des services qui dépendent de la clé d'arborescence. Il est recommandé de mettre à jour tous les serveurs eDirectory vers la version 9.0 avant de créer la clé. Pour plus d'informations, reportez-vous à la section Création d'une clé SDI AES 256 bits.
Chaque clé est également sécurisée via des droits eDirectory. Seuls les administrateurs avec le droit Superviseur ou les utilisateurs proprement dits disposent des droits pour modifier les mots de passe universels.
REMARQUE :la stratégie de mot de passe peut être configurée pour permettre aux administrateurs de lire le mot de passe universel et aux utilisateurs de lire leurs propres mots de passe à l'aide des extensions NMAS/nds-cluster-config. Cette option n'est pas activée par défaut.
Les droits du système de fichiers garantissent que seul un utilisateur disposant des droits appropriés puisse accéder aux clés.
Si le mot de passe universel est déployé dans un environnement nécessitant un niveau élevé de sécurité, vous pouvez prendre les précautions supplémentaires suivantes :
Vérifiez que les répertoires et fichiers suivants sont sécurisés :
|
Windows |
%SystemRoot%\SysWOW64\Novell\nici %SystemRoot%\System32\ où le fichier DLL NICI est installé |
|
Linux |
/var/opt/novell/nici /etc/opt/novell/nici64.cfg /opt/Novell/lib64/libccs2.so et les bibliothèques NICI partagées dans le même répertoire |
Consultez la documentation de votre système pour obtenir des détails spécifiques sur l'emplacement des fichiers NICI et eDirectory.
Comme avec n'importe quel système de sécurité, il est très important de restreindre l'accès physique au serveur sur lequel résident les clés.
Pour des consignes de sécurité concernant la gestion des mots de passe, reportez-vous à la Section 24.8, Considérations relatives à la sécurité.