18.2 Gestion des stratégies de mot de passe

Une règle de mot de passe est un ensemble de principes définis par l'administrateur et régissant les critères de création et de remplacement des mots de passe par les utilisateurs finals. NMAS vous permet d'appliquer des stratégies de mot de passe que vous assignez aux utilisateurs dans eDirectory. Les stratégies de mot de passe peuvent également inclure des fonctions de mot de passe oublié en self-service afin de réduire les appels au service d'assistance concernant les mots de passe oubliés. Une autre fonctionnalité est le self-service de réinitialisation de mot de passe qui permet aux utilisateurs de modifier leur mot de passe pendant qu'ils affichent les règles que l'administrateur a définies dans la stratégie de mot de passe. Les utilisateurs accèdent à ces fonctions via l'application utilisateur Identity Manager ou Identity Console.

Grâce au module Stratégies de mot de passe, vous pouvez effectuer les tâches suivantes :

18.2.1 Création d'une stratégie de mot de passe avec les paramètres par défaut

Pour créer une stratégie de mot de passe, procédez comme suit :

Sur la page de renvoi d'Identity Console, cliquez sur Gestion des authentifications > Stratégies de mot de passe.
Cliquez sur l'icône pour créer une stratégie de mot de passe.
Dans l'écran suivant, indiquez un nom, un contexte, une description et un message de changement de mot de passe.
Si vous souhaitez créer une stratégie de mot de passe avec les paramètres par défaut, cochez la case Créer une stratégie de mot de passe basée sur les paramètres par défaut, puis cliquez sur Suivant pour afficher la page Résumé.
Vérifiez les informations de la page Résumé, puis cliquez sur Créer.
Un message de confirmation s'affiche pour signaler que la stratégie de mot de passe a été créée.

Figure 18-9 Création d'une stratégie de mot de passe avec les paramètres par défaut

18.2.2 Création d'une stratégie de mot de passe avec des paramètres personnalisés

Pour créer une stratégie de mot de passe avec des paramètres personnalisés, procédez comme suit :

Sur la page de renvoi d'Identity Console, cliquez sur Gestion des authentifications > Stratégies de mot de passe.
Cliquez sur l'icône pour créer une stratégie de mot de passe.
Dans l'écran suivant, indiquez un nom, un contexte, une description et un message de changement de mot de passe.
Si vous souhaitez créer une stratégie de mot de passe avec des paramètres personnalisés, cliquez sur Suivant.
Sur la page Configuration, effectuez les opérations suivantes :
1. Activer le mot de passe universel: L'activation du mot de passe universel pour une stratégie permet d'utiliser les options de la fonction des stratégies de mot de passe. Toutefois, avant de pouvoir activer le mot de passe universel pour une règle, vous devez satisfaire aux conditions préalables pour le mot de passe universel dans votre environnement.
2. Activer les règles de mots de passe avancées: Cette option active les règles de mot de passe sous Règles de mot de passe avancées. Ces règles vous aident à sécuriser votre environnement en vous permettant de contrôler des critères, tels que la durée de vie d'un mot de passe et le contenu d'un mot de passe (par exemple, combinaison de lettres, de chiffres, de majuscules, de minuscules et de caractères spéciaux). Vous pouvez exclure les mots de passe que vous estimez peu sûrs, tels que le nom de votre société.
3. Synchronisation de mot de passe: Ces options déterminent la manière dont le mot de passe universel est synchronisé dans eDirectory avec d'autres types de mots de passe du coffre-fort d'identité. La synchronisation du mot de passe contient les options suivantes :
  1. Supprimer le mot de passe NDS lors de la définition du mot de passe : si vous sélectionnez cette option, le mot de passe NDS est désactivé lorsque le mot de passe universel est défini. Les utilisateurs ne pourront pas utiliser les anciennes méthodes ou les anciens utilitaires qui se connectent directement avec le mot de passe NDS au lieu de communiquer avec NMAS. Si vous définissez cette option, l'option suivante Synchroniser le mot de passe NDS lors de la définition du mot de passe est désactivée par défaut.
  2. Synchroniser le mot de passe NDS lors de la définition du mot de passe : si vous sélectionnez cette option, la définition d'un mot de passe universel dans des applications telles qu'Identity Console modifie également le mot de passe NDS.
  3. Synchroniser le mot de passe simple lors de la définition du mot de passe : cette option garantit la compatibilité avec NetIQ et les clients tiers à l'aide d'un mot de passe simple et du provisioning de l'utilisateur.
  4. Synchroniser le mot de passe de distribution lors de la définition du mot de passe : cette option détermine si le moteur méta-annuaire peut récupérer ou définir le mot de passe universel d'un utilisateur dans eDirectory.
4. Récupération du mot de passe universel: Les options suivantes sont disponibles :
  1. Autoriser l'utilisateur à récupérer le mot de passe: cette option permet à l'agent utilisateur de récupérer le mot de passe. Cette option détermine si la fonction de mot de passe oublié en libre-service peut récupérer un mot de passe pour le compte d'un utilisateur afin de le lui envoyer dans un message électronique. Si vous ne sélectionnez pas cette option, la fonction correspondante apparaît en grisé sous l'onglet Mot de passe oublié de la stratégie de mot de passe.
  2. Autoriser l'administrateur à récupérer les mots de passe : Cochez cette case si l'un de vos services le nécessite. Identity Manager ne nécessite pas que les administrateurs récupèrent les mots de passe. Toutefois, certains services tiers peuvent tirer parti de cette option.
  3. Autoriser les personnes suivantes à récupérer les mots de passe : cliquez sur l'icône pour sélectionner l'utilisateur approprié qui est censé récupérer le mot de passe.
5. Authentification:
  1. Vérifier si les mots de passe existants respectent la stratégie de mot de passe (la vérification a lieu lors de la connexion) : Cette option est utile si vous déployez une nouvelle stratégie de mot de passe ou si vous modifiez les règles de mot de passe avancées pour une stratégie existante et si vous souhaitez garantir que les mots de passe existants respectent les règles de mot de passe nouvelles ou modifiées.
    
    Si vous sélectionnez cette option, lorsque les utilisateurs se connecteront, leurs mots de passe seront analysés pour vérifier qu'ils sont bien conformes aux règles de mot de passe avancées définies dans la stratégie de mot de passe nouvelle ou modifiée. Si un mot de passe existant n'est pas conforme, l'utilisateur est invité à le changer.
    
    Lorsque vous avez terminé, cliquez sur Suivant.
Les règles de mot de passe avancées vous permettent de sécuriser votre environnement en déterminant les informations sur les mots de passe, comme la durée de vie du mot de passe, la fréquence de changement du mot de passe et le contenu d'un mot de passe.

Les caractères spéciaux ne sont ni les chiffres (0-9) ni les caractères alphabétiques.

Sur la page Règles de mot de passe avancées, effectuez les opérations suivantes :
1. Vous pouvez gérer les paramètres de syntaxe du mot de passe à l'aide de la stratégie de complexité Microsoft (antérieure à Microsoft Windows Server 2008), de la stratégie de mot de passe Microsoft Server 2008 ou de la syntaxe Novell.
2. Spécifiez les valeurs requises pour les options Éditer le mot de passe, Durée de vie du mot de passe, Longueur et composition du mot de passe et Exclusions de mot de passe dans l'assistant, puis cliquez sur Suivant.
Pour réduire les coûts liés au service d'assistance, activez les fonctions Mot de passe oublié en self-service destinées aux utilisateurs qui ont oublié leur mot de passe. Ces fonctions en self-service sont mises à disposition des utilisateurs via le portail Identity Console. Sur la page Mot de passe oublié, effectuez les opérations suivantes :

REMARQUE :si vous activez l'option Mot de passe oublié, vous devez également indiquer si un ensemble de questions de vérification d'identité est requis pour aider l'utilisateur à se connecter.
1. Ensembles de stimulations : si vous utilisez des ensembles de questions de vérification d'identité, l'utilisateur ne peut utiliser la fonction de mot de passe oublié en self-service qu'après avoir répondu aux questions de l'ensemble de questions de vérification d'identité. Pour vous assurer que l'utilisateur est invité à saisir ces informations via le portail Identity Console, sélectionnez l'option Exiger l'ensemble de questions de vérification d'identité.
2. Opération : les options disponibles sous cet onglet permettent à l'utilisateur de réinitialiser le mot de passe à l'aide des ensembles de questions de vérification d'identité et du mot de passe universel, d'activer l'envoi du mot de passe actuel ou de l'indice de mot de passe par message électronique et d'afficher l'option d'indice de mot de passe.
3. Authentification: cochez la case Forcer l'utilisateur à configurer des questions de vérification d'identité et/ou une astuce lors de l'authentification pour vous assurer que l'utilisateur est invité à spécifier les ensembles de questions de vérification d'identité ou l'indice de mot de passe.
  
  Lorsque vous avez terminé, cliquez sur Suivant.
Une stratégie ne prend effet qu'une fois assignée à un ou plusieurs objets. Nous vous recommandons d'assigner les stratégies le plus près possible de la racine de l'arborescence pour simplifier l'administration. Vous pouvez assigner une stratégie de mot de passe aux objets suivants :
1. Objet Stratégie de connexion: il est recommandé de créer une stratégie de mot de passe par défaut pour tous les utilisateurs de l'arborescence et de l'assigner à l'objet Stratégie de connexion situé dans le conteneur de sécurité.
2. Conteneur constituant la racine d'une partition: si vous assignez une stratégie à un conteneur qui constitue la racine d'une partition, tous les utilisateurs de la partition, y compris ceux placés dans les sous-conteneurs, héritent de l'assignation de la stratégie.
3. Conteneur ne constituant pas la racine d'une partition: Si vous assignez une stratégie à un conteneur qui ne constitue pas la racine d'une partition, seuls les utilisateurs de ce conteneur particulier héritent de l'assignation de la stratégie. Les utilisateurs des sous-conteneurs n'héritent pas de la stratégie.
  
  Pour appliquer la stratégie à tous les utilisateurs d'un conteneur qui n'est pas la racine, assignez-la individuellement à chaque sous-conteneur.
4. Un utilisateur: Il est possible d'assigner une stratégie à un ou plusieurs utilisateurs.
  
  Pour assigner une stratégie, cliquez sur l'icône . Ensuite, recherchez et sélectionnez l'objet approprié pour assigner une stratégie de mot de passe.
  
  Si vous souhaitez supprimer une association de stratégie, sélectionnez la stratégie appropriée dans la liste, puis cliquez sur l'icône .
Vérifiez les informations de la page Résumé, puis cliquez sur Créer.
Un message de confirmation s'affiche pour signaler que la stratégie de mot de passe a été créée.

Figure 18-10 Création d'une stratégie de mot de passe avec des paramètres personnalisés

18.2.3 Modification d'une stratégie de mot de passe

Pour modifier une stratégie de mot de passe existante, procédez comme suit :

Sur la page de renvoi d'Identity Console, cliquez sur Gestion des authentifications > Stratégies de mot de passe.
Sélectionnez la stratégie de mot de passe appropriée dans la liste, puis cliquez sur l'icône .
Apportez les modifications nécessaires sur la page Modifier la stratégie de mot de passe, puis cliquez sur Enregistrer.

Figure 18-11 Modification d'une stratégie de mot de passe

18.2.4 Suppression de stratégies de mot de passe

Pour supprimer des stratégies de mot de passe, procédez comme suit :

Sur la page de renvoi d'Identity Console, cliquez sur Gestion des authentifications > Stratégies de mot de passe.
Sélectionnez les stratégies de mot de passe appropriées dans la liste, puis cliquez sur l'icône .
Dans l'écran d'avertissement suivant, cliquez sur OK.
Un message de confirmation s'affiche pour signaler que les stratégies de mot de passe ont été supprimées.

Figure 18-12 Suppression d'une stratégie de mot de passe