23.1 Audit avec Novell Audit

Grâce au paquetage Novell Audit, vous pouvez envoyer des événements générés par eDirectory à un client d’audit externe à des fins de surveillance.

eDirectory Instrumentation est fourni avec eDirectory 9.0. Vous devez installer ce paquetage pour pouvoir auditer les événements eDirectory à l'aide de Novell Audit.

Utilisez les informations suivantes pour installer, configurer ou désinstaller Novell Audit sur les serveurs Linux et Windows :

23.1.1 Plates-formes prises en charge

Pour en savoir plus sur les plates-formes prises en charge et obtenir les instructions d'installation, reportez-vous au Guide d'installation de NetIQ eDirectory.

23.1.2 Conditions préalables

  • L'audit d'eDirectory 9.0 prend uniquement en charge Novell Audit Platform Agent.

  • L'installation et l'utilisation du plug-in Novell Audit pour iManager requièrent iManager 3.0 ou version ultérieure. Pour plus d’informations, consultez la page de documentation iManager.

23.1.3 Installation des paquetages Novell Audit

Linux

Si le fichier de configuration d’Audit Platform Agent (logevent.conf) existe déjà dans le répertoire /etc, sauvegardez le fichier avant d’installer les paquetages d’audit car le nouveau paquetage écrase la configuration existante.

Si le module Audit est déjà chargé, déchargez le module auditds en utilisant la commande ndstrace -c "unload auditds".

Pour OES 2 SP3 64 bits, vous devez télécharger la version autonome d'eDirectory pour Linux 64 bits à partir du site Web de téléchargement NetIQ. Extrayez la version et utilisez le fichier novell-AUDTedirinst-9.0-xx.x86_64.rpm.

Pour le paquetage d’audit 64 bits :

  1. Installez novell-AUDTplatformagent-2.0.2-68.x86_64.rpm à partir du répertoire de configuration de la version extraite d'eDirectory destinée à la plate-forme Linux.

    #rpm -Uvh /root/eDirectory/setup/novell-AUDTplatformagent-2.0.2-68.x86_64.rpm

  2. Installez novell-AUDTedirinst-9.0-xx.x86_64.rpm à partir du répertoire de configuration de la version extraite d'eDirectory destinée à la plate-forme Linux.

    #rpm -Uvh <eDirectory build extracted folder>/eDirectory/setup/novell-AUDTedirinst-9.0-xx.x86_64.rpm

Exécutez ndstrace -c "load auditds" pour charger le module auditds.

Windows

Si le fichier de configuration d’Audit Platform Agent (logevent.cfg) existe déjà dans le répertoire C:\WINDOWS, sauvegardez le fichier avant d’installer les outils car le nouveau paquetage écrase la configuration existante.

Pour une installation 64 bits des paquetages d’audit et d’Audit Platform Agent :

  1. Exécutez le fichier Novell_Audit_PlatformAgent_Win64.exe prévu pour Audit Platform Agent 64 bits.

  2. Dézippez le fichier eDirectoryInstrumentation-win-9.0.zip prévu pour le paquetage d’audit 64 bits à partir du <dossierProgrammeInstallation>/windows/x64/auditds/. Le dézipper crée un répertoire Novell.

  3. Copiez le fichier Novell\NDS\nauditds.dlm vers le répertoire C:\Novell\NDS ou vers un autre répertoire où eDirectory est installé.

  4. Copiez le fichier Novell\NDS\ediraudit.sch vers le répertoire C:\Novell\NDS ou vers un autre répertoire où eDirectory est installé sur le serveur Windows.

23.1.4 Installation du plug-in Novell Audit iManager

Pour configurer l’audit des événements eDirectory à l’aide de Novell Audit Platform Agent, vous devez commencer par installer le plug-in Novell Audit pour iManager.

L’installation et l’utilisation du plug-in Novell Audit iManager requiert iManager 3.0 ou version ultérieure. Consultez le Guide d'installation d'iManager pour connaître les exigences d'installation et les instructions relatives au téléchargement d'iManager.

Le plug-in Novell Audit iManager est regroupé avec les plug-ins d'eDirectory 9.0 Les plug-ins eDirectory 9.0 peuvent être téléchargés à partir du site de téléchargement.

Les instructions d'installation sont disponibles sur la page de téléchargement des plug-ins eDirectory 9.0 pour iManager 3.0.

23.1.5 Comprendre la création de rapports d’événements eDirectory

eDirectory utilise deux systèmes de création de rapports d’événements différents pour consigner les événements, journal et insertion automatique. Par défaut, eDirectory consigne les événements à l’aide de la création de rapports d’événements sous forme de journal, mais vous pouvez activer celle à insertion automatique dans iManager. Pour plus d’informations sur l’activation de la création de rapports d’événements à insertion automatique, consultez la Section 23.1.9, Configuration de Novell Audit pour eDirectory

Journal : Ce système de création de rapports fournit une création de rapports postévénements synchrone. Une fois cette option activée, quand un événement est généré, eDirectory ajoute l’événement à la file d’attente de traitement des événements dans les journaux. eDirectory utilise alors un thread distinct pour traiter les événements dans la file d’attente et envoie ces événements au client d’audit.

Insertion automatique : Ce système de création de rapports fournit une création de rapports pré-événements synchrone. Une fois cette option activée, quand un événement est généré, eDirectory utilise le même thread pour envoyer l’événement directement au client. Notez que l’activation de la création de rapports d’événements à insertion automatique peut affecter les performances.

23.1.6 Comprendre les types d’événements eDirectory

Vous pouvez configurer eDirectory de sorte à consigner les événements dans les catégories suivantes :

  • Métadonnées

  • Objets

  • Attributs

  • Schéma

  • Connexions

  • Agent

  • Divers

  • Bindery

  • Réplique

  • Partition

  • LDAP

Nous recommandons d’auditer l’ensemble par défaut de types d’événements suivant :

Catégorie

Type d'événement

Métadonnées

Tous les types d’événement

Objets

  • Ajouter une propriété

  • Autoriser la connexion

  • Modifier le mot de passe

  • Changer les équivalents de sécurité

  • Créer

  • Supprimer

  • Supprimer la propriété

  • Connexion

  • Déconnexion

  • Modifier RDN

  • Déplacer (Destination)

  • Déplacer (Source)

  • Retirer

  • Renommer

  • Restauration

  • Rechercher

  • Vérifier le mot de passe

Attributs

Tous les types d’événement

Agent

  • Rechargement de DS

  • Fermeture de l'agent local

  • Ouverture de l'agent local

  • Chargement de NLM

Divers

  • Clés de CA générées

  • Clé publique recertifiée

LDAP

  • Liaison LDAP

  • Modification LDAP

  • Modification de mot de passe LDAP

  • Ajout de réponse LDAP

  • Annulation de la liaison LDAP

  • Suppression LDAP

  • Modification de DN LDAP

  • Modification de réponse LDAP

  • Recherche LDAP

  • Liaison de réponse LDAP

  • Suppression de réponse LDAP

  • Ajout LDAP

  • Recherche de réponse LDAP

  • Modification de réponse DN LDAP

23.1.7 Comprendre le filtrage des événements d’audit eDirectory

Vous pouvez également filtrer les événements pour un(e) ou plusieurs classes ou attributs d’objet spécifiques, selon le type d’événement. eDirectory évalue tous les événements générés par rapport aux filtres configurés sur le serveur eDirectory et envoie uniquement les événements correspondants à ces filtres via le client d’audit.

Les filtres multiples filtrent les événements eDirectory séparément. Par exemple, si vous configurez le filtrage sur une classe d’objet spécifique et sur un ou des attributs, eDirectory envoie tout événement correspondant à l’un de ces filtres au client. Vous ne pouvez pas configurer le filtrage de sorte que eDirectory n’envoie que les événements d’une certaine classe d’objet et certains attributs au client. Vous pouvez sélectionner plusieurs classes d’objet ou attributs pour lesquels vous souhaitez filtrer les événements eDirectory.

REMARQUE :Vous ne pouvez filtrer qu’un maximum combiné de 256 classes d’objet et attributs.

Cliquez sur l’un des types d’événement suivants comportant un lien hypertexte pour sélectionner un(e) ou plusieurs classes d’objet ou attributs à filtrer pour ce type d’événement :

Catégorie

Type d'événement

Type de filtrage

Objets

  • Créer

  • Supprimer

Classe d’objet

Attributs

  • Ajouter valeur

  • Supprimer la valeur

Classe d’objet ou attribut

LDAP

  • Modification LDAP

  • Suppression LDAP

  • Modification de DN LDAP

  • Ajout LDAP

Classe d’objet

Par exemple, si vous souhaitez être informé dès qu’une personne crée un compte utilisateur dans eDirectory, vous pouvez créer un filtre avec iManager afin de chercher uniquement les événements Créer un objet qui créent un objet Utilisateur.

Dans iManager, accédez à Rôles et tâches > Audit eDirectory > Configuration de l’audit, sélectionnez le serveur NCP à surveiller, puis cliquez sur l’onglet Novell Audit. Dans la liste Objets, cliquez sur le lien hypertexte Créer. Dans la liste Classes d’objet disponibles, sélectionnez Utilisateur, puis cliquez sur la flèche de droite pour déplacer Utilisateur vers la liste Classes d’objet sélectionnées, puis cliquez sur OK.

Une fois le filtre configuré, eDirectory vérifie tous les événements générés pour détecter tout événement de création par un utilisateur et les envoyer au client. Si vous ne sélectionnez pas d’autres types d’événement ou configurez un filtrage pour d’autres classes d’objet ou attributs, eDirectory audite uniquement les événements de création par un utilisateur.

Notez que les filtres de catégorie Objet et LDAP vous permettent uniquement de filtrer selon des classes d’objet, alors que les filtres de catégorie Attribut vous permettent de filtrer selon des classes d’objet et des attributs.

Si vous sélectionnez l’un des types d’événement ci-dessus mais n’indiquez pas de classe d’objet ou d’attribut avec lequel filtrer, eDirectory envoie tous les événements de ce type d’événement au client.

23.1.8 Configuration de Novell Audit Platform Agent

Si Audit Platform Agent n'est pas déjà configuré, modifiez le fichier de configuration de Platform Agent pour définir l'adresse hôte du serveur d'audit dans LogHost. Par défaut, le programme d'installation place le fichier de configuration dans le répertoire suivant :

  • Linux : /etc/logevent.conf

  • Windows : répertoire_Windows\logevent.cfg

Par exemple, modifiez l’attribut LogHost comme suit :

LogHost=192.168.1.8

Pour plus d’informations, consultez la section « Configuration d’Audit Platform Agent » du Guide d’administration de Novell Audit 2.0.

23.1.9 Configuration de Novell Audit pour eDirectory

Pour configurer l'audit des événements eDirectory avec Novell Audit Platform Agent à l'aide d'iManager, sélectionnez les types d'événements eDirectory que vous souhaitez auditer.

  1. Connectez-vous à la iManager en utilisant l’URL suivante :

    https://ip_address_or_DNS/nps/

    adresse_ip_ou_DNS représente l’adresse IP ou le nom DNS de votre serveur iManager. Par exemple :

    https://111.111.1.1/nps/

  2. Sous Rôles et tâches, sélectionnez Audit eDirectory > Configuration de l’audit.

  3. Parcourez et sélectionnez l’objet Serveur NCP qui correspond au serveur eDirectory à partir duquel vous souhaitez collecter les événements. Cliquez sur OK.

  4. Cliquez sur l’onglet Novell Audit pour afficher la page Paramètres des outils eDirectory.

  5. Si vous ne voulez pas que eDirectory envoie des événements répliqués à une autre réplique dans l’anneau de répliques, sélectionnez Ne pas envoyer d’événements répliqués.

    Vous pouvez utiliser cette option pour filtrer le bruit des événements inutiles et réduire la taille du journal.

  6. Si vous désirez activer la création de rapports pré-événements à insertion automatique, sélectionnez Enregistrer les événements avec insertion automatique.

    Notez que si vous sélectionnez cette option, les performances d'eDirectory peuvent en pâtir.

  7. Sélectionnez les types d’événements que vous souhaitez auditer.

  8. Si vous souhaitez filtrer des événements sur une ou plusieurs classes d'objet spécifiques, procédez comme suit.

    1. Cliquez sur l’un des objets suivants comportant un lien hypertexte :

      • Objets > Créer

      • Objets > Supprimer

      • Attributs > Ajouter valeur

      • Attributs > Supprimer valeur

      • LDAP > Ajout LDAP

      • LDAP > Modification LDAP

      • LDAP > Suppression LDAP

      • LDAP > Modification DN LDAP

    2. Dans la liste Classes d’objet disponibles, sélectionnez les classes d’objet avec lesquelles vous souhaitez auditer les événements et cliquez sur la flèche de droite.

    3. Cliquez sur OK, puis à nouveau sur OK.

  9. Si vous souhaitez filtrer des événements pour un ou plusieurs attributs, procédez comme suit :

    1. Cliquez sur l’un des objets suivants comportant un lien hypertexte :

      • Attributs > Ajouter valeur

      • Attributs > Supprimer valeur

    2. Dans la liste Attributs disponibles, sélectionnez les attributs avec lesquels vous souhaitez auditer les événements et cliquez sur la flèche de droite.

    3. Cliquez sur OK, puis à nouveau sur OK.

      REMARQUE :eDirectory évalue les événements individuellement par rapport à l’ensemble des filtres. Par conséquent, si un événement correspond à un filtre mais pas un autre, eDirectory envoie quand même l’événement au client. Pour plus d’informations sur le filtrage des événements, reportez-vous à la Section 23.1.7, Comprendre le filtrage des événements d’audit eDirectory.

  10. Cliquez sur Appliquer, puis sur OK.

Les modifications apportées à votre configuration d’audit prennent effet dans les trois minutes. Si vous souhaitez les appliquer immédiatement, vous pouvez aussi décharger puis recharger le module Audit. Pour plus d’informations sur le chargement du module d’audit, consultez la Section 23.1.10, Chargement du module d’audit

23.1.10 Chargement du module d’audit

Pour charger ou décharger le module d'audit, suivez la procédure adaptée à votre plate-forme :

Linux

  1. Si le module d'audit n'est pas encore chargé, exécutez la commande ci-dessous pour le charger :

    ndstrace -c "load auditds"

  2. Pour décharger le module d'audit, exécutez la commande suivante :

    ndstrace -c "unload auditds"

  3. Pour charger automatiquement les modules d'audit au démarrage d'eDirectory, modifiez le fichier /etc/opt/novell/eDirectory/conf/ndsmodules.conf en y ajoutant la ligne suivante :

    auditds     auto     #eDirectory instrumentation

Windows

  1. Chargez le module d'audit.

    1. Cliquez sur Démarrer > Panneau de configuration > Novell eDirectory Services.

    2. Sélectionnez nauditds sur l’onglet Services, puis cliquez sur Démarrer.

  2. Déchargez le module d'audit.

    1. Cliquez sur Démarrer > Panneau de configuration > Novell eDirectory Services.

    2. Sélectionnez nauditds sur l’onglet Services, puis cliquez sur Arrêter.

  3. Pour charger automatiquement le module d'audit au démarrage d'eDirectory, procédez comme suit :

    1. Cliquez sur Démarrer > Panneau de configuration > Novell eDirectory Services.

    2. Sélectionnez nauditds sur l’onglet Services, puis cliquez sur Démarrer.

    3. Sélectionnez Automatique, puis cliquez sur OK.

  4. Pour désactiver le chargement automatique du module d'audit au démarrage d'eDirectory, procédez comme suit :

    1. Cliquez sur Démarrer > Panneau de configuration > Novell eDirectory Services.

    2. Sélectionnez nauditds sur l’onglet Services, puis cliquez sur Démarrer.

    3. Décochez la case Automatique, puis cliquez sur OK.

23.1.11 Surveillance des événements eDirectory avec Sentinel

NetIQ Sentinel fournit un collecteur pour collecter et auditer les événements eDirectory. Pour surveiller des types d'événements eDirectory spécifiques dans Sentinel, certains paramètres d'audit d'eDirectory doivent être configurés correctement.

Pour des informations détaillées sur la configuration des paramètres d’audit, consultez la Section 23.1.9, Configuration de Novell Audit pour eDirectory.

Pour plus d’informations sur la configuration de Sentinel pour collecter des événements eDirectory, consultez le Guide du collecteur Sentinel pour eDirectory de NetIQ, situé sur le site de plug-ins Sentinel.

Audit des événements Créer un objet

Lors de la création d’un objet qui sera utilisé comme compte, eDirectory crée d’abord un objet générique, puis modifie la classe d’objet en type d’utilisateur avec un événement Ajouter valeur. Si vous souhaitez que Sentinel collecte correctement l’événement, vous devez activer l’audit des événements Créer un objet dans iManager. Si vous n’activez pas l’audit d’événement Ajouter valeur, le collecteur Sentinel ne peut pas analyser les événements Créer un objet et génèrera un événement « Erreur de configuration » dans Sentinel.

Pour activer l’audit des événement Créer un objet, lancez iManager et accédez à la fenêtre Audit eDirectory > Configuration de l’audit > Novell Audit. Sélectionnez Objets > Créer et Attributs > Ajouter valeur.

Audit d’événements LDAP

eDirectory considère chaque requête LDAP comme étant une transaction et génère des événements dès qu’une requête est initiée, qu’une réponse est reçue et que la transaction est terminée.

Dans Sentinel, chaque paire de requête-réponse est toutefois traitée comme un seul événement. Afin d’auditer un type d’événement LDAP dans eDirectory à l’aide de Sentinel, vous devez activer l’audit prévu pour l’événement de requête et l’événement de réponse. Par exemple, pour auditer une requête de liaison LDAP, vous devez configurer l’audit des événements Liaison LDAP et Réponse de liaison LDAP dans iManager.

Audit des événements Échec de connexion

Si vous voulez surveiller les événements d’échec de connexion dans eDirectory, vous devez utiliser iManager afin d’activer l’audit sur l’événement Ajouter valeur sur le serveur eDirectory. Vous devez également activer la détection des intrus sur le(s) conteneur(s) eDirectory dans le(s)quel(s) vous voulez auditer les événements d’échec de connexion.

IMPORTANT :Vous devez activer l’audit des événements Détection des intrus et Ajouter valeur sur chaque serveur comportant une réplique du conteneur à surveiller.

Utilisez la procédure suivante pour activer la détection des intrus sur un conteneur :

  1. Connectez-vous à iManager.

  2. Sous Rôles et tâches, sélectionnez Administration des répertoires > Modifier objet.

  3. Naviguez et sélectionnez le conteneur eDirectory à auditer. Cliquez sur OK.

  4. Sur l’onglet Général, cliquez sur Détection des intrus.

  5. Sélectionnez Détecter les intrus.

  6. Cliquez sur OK.

REMARQUE :Vous n’avez pas besoin de configurer un autre paramètre associé à la détection des intrus ou d’activer le paramètre Verrouiller compte après détection.

23.1.12 Désinstallation des paquetages Novell Audit

Les sections suivantes expliquent comment désinstaller les paquetages Novell Audit :

Désinstallation des paquetages d’audit sur Linux

Pour désinstaller les paquetages d’audit sur Linux :

  1. Déchargez le module d’audit à l’aide de la commande ndstrace -c unload auditds.

  2. Désinstallez le fichier novell-AUDTedirinst-9.0-xx.rpm.

    #rpm -e --nodeps novell-AUDTedirinst-9.0-xx

  3. Désactivez le chargement automatique des modules d’audit au démarrage eDirectory en modifiant le fichier /etc/opt/novell/eDirectory/conf/ndsmodules.conf et en supprimant la ligne correspondante à auditds (si elle existe). La ligne correspondant à auditds est comme suit : 

    auditds     auto     #eDirectory Instrumentation

REMARQUE :Si aucun autre audit n’est installé, alors désinstallez Audit Platform Agent novell-AUDTplatformagent-2.0.2-68 en utilisant la commande #rpm -e novell-AUDTplatformagent-2.0.2-68.

Désinstallation des paquetages d’audit sur Windows

Pour désinstaller les paquetages d’audit sur Windows :

  1. Déchargez le module d’audit comme suit :

    1. Accédez à Démarrer > Panneau de configuration > Novell eDirectory Services.

    2. Sélectionnez Services.

    3. Cliquez sur nauditds.dlm, puis cliquez sur Arrêter.

  2. Supprimez nauditds.dlm du répertoire C:\Novell\NDS.

  3. Supprimez le fichier ediraudit.sch du répertoire C:\Novell\NDS.

  4. Effectuez les étapes suivantes pour désactiver le chargement automatique des paquetages d'audit au démarrage  :

    1. Accédez à Démarrer > Panneau de configuration > Novell eDirectory Services.

    2. Sélectionnez Services.

    3. Cliquez sur nauditds.dlm, puis cliquez sur Démarrer.

    4. Désactivez l’option Automatique en décochant la case.

    5. Cliquez sur OK.

REMARQUE :Si aucun autre outil n’est installé, désinstallez Audit Platform Agent en supprimant le fichier logevent.dll de l’emplacement C:\Novell\NDS.