11.1 Attributs codés

Vous pouvez chiffrer les attributs pour protéger les données lorsqu'elles sont stockées sur le disque. Le chiffrement d'attributs est une fonctionnalité propre au serveur. Vous pouvez utiliser cette fonction lorsque vous souhaitez protéger des données confidentielles, par exemple les numéros de carte de crédit des clients d'une banque.

Si vous codez un attribut, sa valeur est cryptée. Par exemple, vous pouvez chiffrer un attribut empno stocké dans la DIB. Si Numéro_employé=1000, la valeur de l'attribut (1000) n'est pas stockée comme du texte clair sur le disque. Vous ne pouvez lire cette valeur codée que lorsque vous accédez à l'annuaire par le biais d'un canal sécurisé.

Tous les attributs d'un schéma peuvent être activés pour le chiffrement. Nous vous recommandons toutefois de ne pas activer l'attribut CN (nom commun) pour le chiffrement et de n'activer pour le chiffrement que les données sensibles. Reportez-vous à la Section 11.3, Règles de sécurité lors du chiffrement de données avant de décider de marquer des attributs pour le chiffrement.

Il n'existe pas de limite d'accès aux attributs chiffrés lisibles Public et Serveur. Autrement dit, un client peut accéder à ces attributs en texte clair, mais vous pouvez les marquer pour le chiffrement au niveau de la DIB. L'activation du chiffrement sur un attribut qui est marqué [Public Read] (Lecture publique) dans le schéma n'empêche pas qu'il soit ouvert par le biais de méthodes non sécurisées.

Figure 11-1 Attributs codés

Les données dans eDirectory peuvent être stockées selon l'une des méthodes suivantes :

  • dans la DIB (Data Information Base) ou base de données ;

  • sous la forme de données de sauvegarde ;

  • sous la forme d'un fichier LDIF.

Pour coder des attributs, vous pouvez créer et appliquer des règles d'attributs codés aux serveurs.

Pour coder les attributs, effectuez les opérations suivantes dans iManager :

  1. Créez et définissez une règle d'attributs codés.

    1. Sélectionnez les attributs à coder.

    2. Sélectionnez le modèle de chiffrement pour les attributs.

      Reportez-vous à la section Création et définition des règles des attributs codés pour plus d'informations.

  2. Appliquez la règle des attributs codés à un serveur.

    Reportez-vous à la section Application des règles des attributs codés pour plus d'informations.

Vous pouvez également coder des attributs par le biais de LDAP.

Reportez-vous à la section Gestion des règles des attributs codés via LDAP pour plus d'informations.

REMARQUE :l'assignation d'une stratégie d'attributs codés s'applique lors de l'exécution du contrôleur de connectivité (limber).

En guise de meilleure pratique, NetIQ vous recommande d'effectuer les opérations suivantes :

  • Ne marquez pour le chiffrement que les attributs sensibles et non l'ensemble des attributs (dont les attributs lisibles Public ou Serveur) .

  • Lors du marquage d'un attribut pour chiffrement, utilisez AES puisqu'il s'agit d'un algorithme de chiffrement fort.

La suite de cette section fournit les informations ci-après :

11.1.1 Utilisation de modèles de chiffrement

eDirectory  offre les meilleurs niveaux de sécurité pour un attribut grâce à la prise en charge des modèles de codage suivants :

  • Standard de chiffrement avancé (AES)

  • Triple DES

  • Standard de chiffrement des données (DES)

Vous pouvez sélectionner des modèles de codage distincts pour différents attributs d'une même règle d'attributs codés. Par exemple, dans une règle d'attributs codés RC1, vous pouvez sélectionner AES comme modèle de codage pour un attribut Numéro_unité et 3DES pour un attribut Numéro_employé. Reportez-vous à la section Création et définition des règles des attributs codés pour plus d'informations.

Vous pouvez changer le modèle de codage d'un attribut codé en éditant la règle des attributs codés. Vous pouvez également supprimer le chiffrement d'un attribut précédemment codé. Reportez-vous à la section Édition des règles des attributs codés pour plus d'informations.

Vous pouvez décider d'affecter des modèles de codage distincts à différents serveurs de l'anneau de répliques. Par exemple, un attribut peut être activé pour le chiffrement AES sur le serveur 1, pour le chiffrement 3DES sur le serveur 2 et sans aucun modèle de chiffrement sur le serveur 3.

11.1.2 Gestion des règles des attributs codés

Pour gérer le chiffrement des attributs, vous pouvez créer des stratégies, puis les définir et les appliquer à des serveurs.

Vous définissez une stratégie d'attributs codés en sélectionnant les attributs à chiffrer ainsi qu'un modèle de chiffrement.

Figure 11-2 Chiffrement d'attributs

Vous pouvez gérer les règles des attributs codés à l'aide d'iManager. Cette section contient les informations suivantes :

Gestion des règles des attributs codés via iManager

Il se compose des sections suivantes :

Si le serveur eDirectory contient des attributs codés, iManager présente le comportement suivant :

  1. La lecture, l'affichage ou la modification des attributs codés ne sont pas autorisés par le biais de canaux en texte clair ou sécurisés.

  2. Une entrée qui possède des attributs non codés n'est pas autorisée à lire, afficher ou modifier des attributs via iManager par le biais de canaux en texte clair ou sécurisés, ce qui implique le blocage de l'entrée complète.

Création et définition des règles des attributs codés

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Codage eDirectory > Attributs de chiffrement.

  3. Dans l'assistant de gestion des stratégies d'attributs codés, sélectionnez Créer, éditer et assigner la stratégie.

  4. Suivez les instructions de l'Assistant Gestion des règles d'attributs codés pour créer et définir la règle.

    L'Assistant fournit l'aide nécessaire tout au long de la procédure.

Édition des règles des attributs codés

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Codage eDirectory > Attributs de chiffrement.

  3. Dans l'assistant de gestion des stratégies d'attributs codés, sélectionnez Éditer la stratégie.

  4. Suivez les instructions de l'Assistant Gestion des règles d'attributs codés pour éditer la règle.

    L'Assistant fournit l'aide nécessaire tout au long de la procédure.

Application des règles des attributs codés

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Codage eDirectory > Attributs de chiffrement.

  3. Dans l'assistant de gestion des stratégies d'attributs codés, sélectionnez Créer, éditer et assigner la stratégie.

  4. Suivez les instructions de l'Assistant Gestion des règles d'attributs codés pour appliquer la règle.

    L'Assistant fournit l'aide nécessaire tout au long de la procédure.

Suppression des règles des attributs codés

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Codage eDirectory > Attributs de chiffrement.

  3. Dans l'assistant de gestion des stratégies d'attributs codés, sélectionnez Supprimer les stratégies.

  4. Suivez les instructions de l'Assistant Gestion des règles d'attributs codés pour supprimer la règle.

    L'Assistant fournit l'aide nécessaire tout au long de la procédure.

Gestion des règles des attributs codés via LDAP

IMPORTANT :NetIQ recommande vivement d'utiliser iManager pour la gestion des attributs codés, et non LDAP.

Il se compose des sections suivantes :

REMARQUE :lorsque vous marquez un attribut quelconque pour le cryptage via LDIF, vous devez spécifier la paire attribut/modèle, et non la liste des attributs et le modèle. Il s'agit là de l'actuelle contrainte pour les attributs codés.

Création et définition des règles des attributs codés

  1. Créez une stratégie de chiffrement des attributs.

    Par exemple, si la règle des attributs codés est AE Policy- test-server, alors

    dn: cn=AE Policy - test-server, o=novell
changetype: add
objectClass: encryptionPolicy

  2. Ajoutez l'attribut attrEncryptionDefinition à l'objet stratégie que vous avez créé et marquez les attributs pour le chiffrement.

    Par exemple, si le nom de l'attribut à coder est CRID, spécifiez le modèle de codage et le nom de l'attribut comme indiqué ci-dessous :

    dn: cn=AE Policy - test-server, o=novell
changetype: modify
add: attrEncryptionDefinition
attrEncryptionDefinition: aes$CRID

    REMARQUE :le nom de l'attribut implique ici son nom NDS. Dans eDirectory, de nombreux attributs ont à la fois un nom LDAP et un nom NDS. Dans ce cas, vous devez spécifier le nom NDS de l'attribut.

  3. Ajoutez l'attribut attrEncryptionRequiresSecure à la règle.

    La valeur de cet attribut indique si un canal sécurisé est toujours requis pour accéder aux attributs codés. La valeur 0 signifie que ce type de canal n'est pas toujours nécessaire. La valeur 1 signifie qu'il est toujours indispensable.

    Par exemple :

    dn: cn=AE Policy - test-server, o=novell
changetype: modify
add: attrEncryptionRequiresSecure
attrEncryptionRequiresSecure: 0

  4. Associez la règle à un serveur NCP.

    Par exemple, si le serveur NCP est test-server :

    dn: cn=test-server, o=novell
changetype: modify
add: encryptionPolicyDN
encryptionPolicyDN: cn=AE Policy - test-server, o=novell

Édition des règles des attributs codés

Le fichier LDIF suivant illustre l'édition d'une règle d'attributs codés par le changement de la valeur de l'attribut attrEncryptionRequireSecure :

dn: cn=AE Policy - test-server, o=novell
changetype: modify
replace: attrEncryptionRequiresSecure
attrEncrytionRequiresSecure: 1

Application d'une règle d'attributs codés

Le fichier LDIF suivant illustre l'application d'une règle d'attributs codés AE Policy-test-server à un serveur test-server :

dn: cn=test-server, o=novell
changetype: modify
add: encryptionPolicyDN
encryptionPolicyDN: cn=AE Policy - test-server, o=novell

Suppression d'une règle d'attributs codés

Le fichier LDIF suivant illustre la suppression d'une règle d'attributs codés :

dn: cn=AE Policy - test-server, o=novell
changetype: delete

REMARQUE :pour plus d'informations sur la gestion des attributs chiffrés via LDAP, reportez-vous à la Section 13.3, Utilisation des outils LDAP sous Linux et à la Section 7.1, Utilitaire Importation/Conversion/Exportation NetIQ.

Copie des règles des attributs codés

Vous pouvez copier les stratégies d'attributs codés pour disposer de configurations identiques sur plusieurs serveurs. Les règles sont stockées sous la forme d'objets dans eDirectory.

Pour une explication détaillée de la procédure de copie d'un objet Règle à l'aide d'iManager, reportez-vous à la section Copie d'objets.

Opérations de partition

Lorsque vous fusionnez deux partitions, les règles du parent sont conservées pour la partition résultante. Lorsque vous divisez une partition, la partition enfant hérite la règle de la partition parent.

Recommandation: eDirectory stocke plusieurs attributs pour ses propres opérations, qui ne doivent pas être marqués pour le chiffrement. Si ces attributs sont marqués pour le chiffrement, certaines fonctionnalités d'eDirectory seront probablement interrompues ou ne s'effectueront pas comme prévu.

Les attributs qui ne doivent pas être marqués pour le chiffrement sont :

  • federationBoundaryType

  • Volume

  • ACL

  • federationBoundary

  • member

  • federationControl

  • federationSearchPath

  • encryptionPolicyDN

  • Définition_index

  • dgIdentity

  • dgAllowUnknown

  • agTimeout

  • Serveur hôte

  • hostResourcePath

  • ndsPredicateState

  • ndsStatusExternalReference

  • ndsStausLimber

  • ndsStatusSchema

Bien que la liste ne soit pas exhaustive, les attributs de ce type ne doivent pas être marqués pour le chiffrement.

11.1.3 Accès aux attributs codés

Lorsque vous chiffrez les attributs, vous protégez également l'accès aux attributs codés. eDirectory peut en effet restreindre l'accès aux attributs codés par le biais d'un canal sécurisé, tel qu'un canal sécurisé LDAP ou NCP. Toutefois, seuls les clients NetIQ internes peuvent configurer et utiliser une connexion NCP sécurisée, car l'application DClient, avec laquelle une connexion NCP sécurisée est créée, n'est pas disponible pour un usage public.

Vous pouvez également sauvegarder les attributs codés à l'aide de l'utilitaire de sauvegarde (ndsbackup).

Par défaut, l'accès aux attributs codés est uniquement possible par canal sécurisé.

Toutefois, si vous souhaitez que les clients puissent accéder au format texte clair des attributs chiffrés, désactivez l'option Toujours exiger un canal sécurisé. Pour plus d'informations, reportez-vous à la section Activation/désactivation de l'accès aux attributs codés par le biais de canaux en texte clair.

Activation/désactivation de l'accès aux attributs codés par le biais de canaux en texte clair

Vous pouvez activer ou désactiver l'accès aux attributs chiffrés sur des canaux en texte clair en activant ou désactivant l'option Toujours exiger un canal sécurisé (autrement dit, l'attribut attrEncryptionRequireSecure) à l'aide d'iManager ou de LDAP.

Ce chapitre comprend les informations suivantes :

Activation/désactivation de l'accès aux attributs codés par le biais de canaux en texte clair à l'aide d'iManager

Pour activer ou désactiver, à l'aide d'iManager, l'accès aux attributs chiffrés sur des canaux en texte clair, vous devez activer/désactiver l'option Toujours exiger un canal sécurisé dans l'Assistant Gestion des stratégies d'attributs chiffrés lors de :

Activation/désactivation de l'accès aux attributs codés par le biais de canaux en texte clair à l'aide de LDAP

Pour activer ou désactiver, à l'aide de LDAP, l'accès aux attributs codés par le biais de canaux en texte clair, vous devez ajouter l'attribut suivant à la règle des attributs codés :

attrEncryptionRequiresSecure

Si vous définissez cet attribut sur 0, un canal sécurisé n'est pas toujours requis ; autrement dit, vous pouvez accéder aux attributs codés au moyen d'un canal en texte clair. Si vous le définissez sur 1, un canal sécurisé est toujours indispensable ; autrement dit, vous ne pouvez accéder aux attributs codés qu'à l'aide d'un canal sécurisé.

Reportez-vous à l'Étape 3 pour plus d'informations.

11.1.4 Affichage des attributs codés

L'affichage des attributs chiffrés dépend de l'activation ou de la désactivation de l'option Toujours exiger un canal sécurisé, autrement dit de l'éventuelle nécessité d'utiliser un canal sécurisé pour y accéder.

Affichage des attributs codés avec iManager

Si l'option Toujours exiger un canal sécurisé est activée, vous ne pouvez pas afficher les attributs codés. Vous obtenez l'erreur -6089, ce qui signifie que vous avez besoin d'un canal sécurisé pour y accéder.

Dans le cas contraire, vous pouvez afficher les valeurs des attributs chiffrés dans iManager.

Pour plus d'informations, reportez-vous à la section Exploration d'objets dans l'arborescence.

Affichage des attributs codés avec DSBrowse

Si vous avez activé l'option Toujours exiger un canal sécurisé, autrement dit, si un canal sécurisé est indispensable pour accéder aux attributs chiffrés, vous ne pouvez pas afficher les attributs de l'entrée qui sont marqués pour le chiffrement. Vous pouvez toutefois voir ceux qui ne sont pas codés.

Trappes SNMP

Les événements Valeur NDS® sont bloqués si vous avez demandé de toujours exiger un canal sécurisé pour accéder aux attributs codés. Les trappes liées à des événements Valeur ont la donnée de valeur NULL et le résultat sera défini sur -6089, ce qui signifie que vous avez besoin d'un canal sécurisé pour obtenir la valeur d'attribut codé. Les trappes ayant la donnée de valeur NULL sont les suivantes :

  • ndsAddValue

  • ndsDeleteValue

  • ndsDeleteAttribute

11.1.5 Chiffrement et déchiffrement des données de sauvegarde

Lors de la sauvegarde de données sur un serveur qui comporte des attributs marqués pour le chiffrement, vous êtes invité à fournir un mot de passe pour le chiffrement/déchiffrement des données de sauvegarde. Ce mot de passe est défini par l'option -E dans l'utilitaire de sauvegarde. Pour plus d'informations, reportez-vous à la page ndsbackup du manuel.

Pour plus d'informations sur la sauvegarde de vos données, reportez-vous au Section 15.0, Sauvegarde et restauration de NetIQ eDirectory.

11.1.6 Clonage de l'ensemble de fichiers DIB contenant des attributs codés

Lors du clonage, si la base de données eDirectory contient des attributs codés, les valeurs de ces attributs seront également codées dans l'ensemble de fichiers DIB cloné. Afin de sécuriser la clé utilisée par eDirectory pour le chiffrement des valeurs dans cet ensemble, vous devez définir un mot de passe que vous devrez spécifier lorsque vous placerez l'ensemble cloné sur un autre serveur.

Pour plus d'informations, reportez-vous à la section Cas d'emploi de l'option Cloner l'ensemble DIB.

11.1.7 Ajout de serveurs eDirectory à des anneaux de répliques

Vous pouvez ajouter des serveurs eDirectory  à des anneaux de répliques, que les attributs soient ou non marqués pour le chiffrement sur tout ou partie des serveurs qui hébergent la réplique, ou que l'option Toujours exiger un canal sécurisé soit ou non activée.

Pour plus d'informations sur l'ajout du serveur eDirectory à l'anneau de répliques, reportez-vous à la section Ajout d'une réplique.

11.1.8 Compatibilité avec les versions précédentes

Pour accéder aux attributs codés, vous devez changer tous les utilitaires eDirectory, tels que iManager, SNMP, DirXML® et NSureAudit pour les rendre conformes à NCP™ sécurisé. Dans le cas contraire, vous devez indiquer qu'un canal sécurisé n'est pas toujours requis pour y accéder. Reportez-vous à la section Activation/désactivation de l'accès aux attributs codés par le biais de canaux en texte clair pour plus d'informations.

11.1.9 Migration vers des attributs codés

Lors d'une mise à niveau d'eDirectory, vous pouvez chiffrer les attributs existants en créant et en définissant des stratégies d'attributs codés. Pour plus d'informations, reportez-vous à la Section 11.1.2, Gestion des règles des attributs codés.

11.1.10 Réplication des attributs codés

Par défaut, la réplication codée n'est pas activée même si le serveur comporte des attributs codés. Vous devez l'activer pour répliquer les attributs codés en toute sécurité. Pour la configuration de la réplication codée, reportez-vous à la Section 11.2, Réplication codée.