16.1 Activation de SuiteB dans une nouvelle installation

La Figure 16-1 montre la série d'opérations à effectuer pour activer SuiteB sur les composants eDirectory dans le cadre d'une nouvelle installation.

Figure 16-1 Activation de SuiteB dans une nouvelle installation

16.1.1 Activation de SuiteB dans Certificate Server

Lorsque vous configurez une nouvelle arborescence, Certificate Server crée, en plus des certificats RSA traditionnels, un certificat ECDSA sur la courbe P-384 pour l'autorité de certification (CA) de l'arborescence. Si vous ajoutez de nouveaux serveurs à l'arborescence ou mettez à niveau d'anciens serveurs vers eDirectory 9.0, Certificate Server émet les certificats ECDSA pour ces serveurs.

REMARQUE :par défaut, NetIQ Certificate Server crée les certificats ECDSA sur la courbe P-384. Toutefois, vous pouvez également créer des certificats de serveur sur la courbe P-256.

Il est possible d'utiliser uniquement les certificats ECDSA sans activer SuiteB. L'activation de SuiteB est une étape supplémentaire pour respecter la convention RFC 5759.

Pour configurer le serveur de certificats de l'autorité de certification de manière à ce qu'il fonctionne en mode SuiteB, procédez comme suit :

  1. Configurez l'authentification EBA (Enhanced Background Authentication) pour le serveur de certificats de l'autorité de certification.

    Pour plus d'informations, reportez-vous à la Section 16.1.4, Activation de l'authentification en arrière-plan.

  2. Lancez iManager.

  3. Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

  4. Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).

  5. Sélectionnez Enable Suite B Mode (Activer le mode SuiteB).

  6. Cliquez sur OK.

Lorsque le serveur de certificats de l'autorité de certification est en mode SuiteB, l'autorité de certification ne vous autorise pas à créer des certificats RSA. En outre, la fonction d'auto-provisioning de serveur ne génère plus de certificats RSA. Si vous envisagez d'ajouter de nouveaux serveurs, assurez-vous qu'ils sont configurés pour exécuter l'authentification EBA.

Lorsque tous les serveurs de l'arborescence ou des services externes se connectant à l'arborescence commencent à utiliser les certificats de serveur ECDSA, vous pouvez révoquer et supprimer les certificats RSA, car ils ne sont plus nécessaires.

REMARQUE :introduite dans eDirectory 8.8.8 Patch6, la fonctionnalité Follow CA's Algorithm (Suivre l'algorithme de l'autorité de certification) n'est plus disponible dans eDirectory 9.0. Désormais, les serveurs eDirectory 9.0 utilisent par défaut l'algorithme SHA-256 pour les certificats RSA et SHA-384 pour les certificats ECDSA.

16.1.2 Configuration des services LDAP et HTTP pour qu'ils utilisent les certificats ECDSA et les Ciphers SuiteB

NetIQ Transport Layer Security (NTLS) prend en charge les algorithmes de chiffrement TLS 1.2 et SuiteB via le module OpenSSL compatible FIPS. Ce module est utilisé par certains composants d'eDirectory, tels que le service LDAP, httpstk (iMonitor) et le moteur NCP. Pour plus d'informations, reportez-vous à <insérer lien FIPS.>

Avant d'activer un mode SuiteB sur un serveur, assurez-vous que ce dernier de certificats ECDSA et de clients LDAP, et que les navigateurs LDAP et Web présents dans l'environnement eDirectory prennent en charge TLS 1.2, les certificats ECDSA et les Ciphers SuiteB. Pour configurer les interfaces LDAP et HTTPS en mode SuiteB, activez-les avec le mode SuiteB souhaité et associez-les à un certificat de serveur ECDSA approprié. Répétez cette procédure pour chaque serveur eDirectory de l'arborescence. Pour afficher le niveau de chiffrement et le certificat de serveur ECDSA d'un serveur, utilisez ses objets de configuration LDAP et httpstk, à savoir ldapServer et httpServer.

Pour configurer le serveur LDAP en mode SuiteB :

  1. Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

  2. Dans le menu Rôles et tâches, cliquez sur LDAP > Options LDAP > Afficher les serveurs LDAP, puis sélectionnez l'objet Serveur LDAP que vous voulez configurer en mode SuiteB.

  3. Cliquez sur Connexions.

  4. Pour le paramètre Certificat du serveur, recherchez et cliquez sur le certificat à courbe elliptique que vous souhaitez utiliser avec l'objet Serveur LDAP.

  5. Selon le mode SuiteB que vous voulez activer pour l'objet Serveur LDAP, sélectionnez une valeur dans la liste déroulante Restrictions de liaison pour Cipher.

    Restrictions de liaison pour Cipher

    Suite de chiffrement

    Description

    Utilisez un Cipher SuiteB (128 bits)

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

    Active un fonctionnement en mode SuiteB en utilisant un niveau de sécurité de 128 bits. Lorsque vous sélectionnez cette option, eDirectory autorise l'utilisation d'un niveau de sécurité de 128 bits et 192 bits par des homologues (tout client LDAP). Cette option permet d'utiliser des certificats ECDSA 256 ou ECDSA 384.

    Utilisez un Cipher SuiteB (128 bits uniquement)

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

    Active un fonctionnement en mode SuiteB en utilisant un niveau de sécurité de 128 bits. Lorsque vous sélectionnez cette option, eDirectory n'autorise pas l'utilisation du niveau de sécurité de 192 bits par des homologues (tout client LDAP).

    Tous les certificats d'une chaîne de certificats doivent utiliser des clés ECDSA sur la courbe P-256. Ceci est obligatoire pour les serveurs et applicable aux clients si la validation des certificats clients est activée.

    Utilisez un Cipher SuiteB (192 bits)

    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

    Active un fonctionnement en mode SuiteB en utilisant un niveau de sécurité de 192 bits. Lorsque vous sélectionnez cette option, eDirectory autorise uniquement l'utilisation du niveau de sécurité de 192 bits par des homologues (tout client LDAP).

    Tous les certificats d'une chaîne de certificats doivent utiliser des clés ECDSA sur la courbe P-384. Ceci est obligatoire pour les serveurs et applicable aux clients si la validation des certificats clients est activée.

    eDirectory vous permet d'utiliser une combinaison de valeurs ldapbindrestrictions et de niveaux de chiffrement. Pour plus d'informations, reportez-vous au Tableau 14-1.

  6. Cliquez sur Appliquer, puis sur OK.

  7. Pour que les modifications soient appliquées, effectuez l'une des opérations suivantes :

    • Redémarrez eDirectory.

    • Déchargez et chargez le serveur LDAP.

Pour configurer l'interface HTTPS en mode SuiteB :

  1. Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

  2. Dans le menu Rôles et tâches, cliquez sur Administration de l'annuaire > Modifier un objet.

  3. Sélectionnez l'objet Serveur HTTP à modifier, ou recherchez et cliquez sur l'objet Serveur HTTP que vous souhaitez afficher.

  4. Cliquez sur OK.

  5. Cliquez sur l'onglet Autre, puis sélectionnez httpBindRestrictions dans la liste Attributs définis.

  6. Cliquez sur Éditer.

  7. Selon le mode SuiteB que vous voulez activer pour l'objet Serveur HTTP, remplacez la valeur par 4, 5 ou 6 dans la boîte de dialogue qui s'affiche.

    Restrictions de liaison pour Cipher

    Suite de chiffrement

    Description

    4 - Utilisez un Cipher SuiteB (128 bits)

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

    Active un fonctionnement en mode SuiteB en utilisant un niveau de sécurité de 128 bits (Cipher SuiteB 128 bits). Lorsque vous sélectionnez cette option, eDirectory autorise l'utilisation d'un niveau de sécurité de 128 ou 192 bits par les clients (navigateurs Web). Cette option permet d'utiliser des certificats ECDSA 256 ou ECDSA 384.

    5 - Utilisez un Cipher SuiteB (128 bits uniquement)

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

    Active un fonctionnement en mode SuiteB en utilisant un niveau de sécurité de 128 bits (Cipher SuiteB 128 bits uniquement). Lorsque vous sélectionnez cette option, eDirectory n'autorise pas l'utilisation du niveau de sécurité de 192 bits par les clients (navigateurs Web).

    Tous les certificats d'une chaîne de certificats doivent utiliser des clés ECDSA sur la courbe P-256. Ceci est obligatoire pour les serveurs et applicable aux clients si la validation des certificats clients est activée.

    6 - Utilisez un Cipher SuiteB (192 bits)

    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

    Active un fonctionnement en mode SuiteB en utilisant un niveau de sécurité de 192 bits (Cipher SuiteB 192 bits). Lorsque vous sélectionnez cette option, eDirectory autorise uniquement l'utilisation d'un niveau de sécurité de 192 bits par les clients (navigateurs Web).

    Tous les certificats d'une chaîne de certificats doivent utiliser des clés ECDSA sur la courbe P-384. Ceci est obligatoire pour les serveurs et applicable aux clients si la validation des certificats clients est activée.

  8. Cliquez sur Appliquer.

  9. Sélectionnez httpKeyMaterialObject dans la liste Attributs définis, puis cliquez sur Éditer.

  10. Recherchez et sélectionnez le certificat à courbe elliptique que vous souhaitez utiliser avec l'interface HTTPS, puis cliquez sur OK.

  11. Cliquez sur Appliquer, puis sur OK.

  12. Redémarrez eDirectory pour que les modifications soient appliquées.

16.1.3 Création d'une clé SDI AES 256 bits

Par défaut, la clé SDI NICI est une clé 3DES. Cependant, pour que les modes SuiteB soient pris en charge, vous devez créer manuellement la clé SDI NICI AES 256 bits. Ne créez cette clé que si tous les serveurs de l'arborescence exécutent eDirectory 9.0.

Lorsqu'un serveur contenant la réplique accessible en écriture du conteneur KAP.Security est mis à niveau vers eDirectory 9.0, la fonctionnalité de vérification de l'état de santé de la PKI crée un objet W1 dans ce conteneur. Lorsque tous les serveurs de l'arborescence sont mis à niveau vers eDirectory 9.0, l'administrateur de l'arborescence peut créer la clé SDI NICI AES 256 bits.

Pour créer la clé SDI NICI AES 256 bits, suivez les instructions de la section Creating an AES 256-Bit SDI Key (Création d'une clé SDI NICI AES 256 bits) du NICI Administration Guide (Guide d'administration de NICI).

Rechiffrement de données avec la clé SDI NICI AES 256 bits

NMAS utilise la clé SDI NICI pour stocker en toute sécurité les mots de passe et la configuration des questions/réponses de stimulations. NMAS dispose également d'un SecretStore pour la configuration spécifique de l'utilisateur et de la méthode qui utilise la clé SDI NICI. Une fois la clé SDI NICI AES 256 bits créée, NMAS procède au rechiffrement des secrets existants (tels que les mots de passe universels et le mot de passe simple) à l'aide de cette clé la première fois qu'un utilisateur se connecte à eDirectory après sa création.

Pour rechiffrer les mots de passe de plusieurs utilisateurs dans le cadre de déploiements à grande échelle, utilisez l'utilitaire diagpwd. Pour plus d'informations, consultez <page de téléchargement>.

IMPORTANT :si votre environnement eDirectory comprend des serveurs exécutant des versions antérieures d'eDirectory et eDirectory 9.0 et que vous avez créé la clé d'arborescence AES 256 bits, les mots de passe sont rechiffrés avec les clés AES 256 bits lorsqu'un utilisateur se connecte à un serveur eDirectory 9.0. Le cas échéant, les serveurs exécutant des versions antérieures d'eDirectory ne sont pas en mesure de déchiffrer les mots de passe ou les données de secret et la connexion à ces serveurs échoue.

16.1.4 Activation de l'authentification en arrière-plan

eDirectory inclut un mécanisme d'authentification renforcée qui vérifie l'identité des utilisateurs qui tentent d'y accéder. Pour plus d'informations sur l'authentification EBA, reportez-vous au Section 17.0, Activation de l'authentification EBA (Enhanced Background Authentication).