17 Configuration des mesures de sécurité sur les serveurs Middle Tier Windows ou NetWare. Novell ZENworks 7
Configuration des mesures de sécurité sur les serveurs
Middle Tier Windows ou NetWare
La section suivante explique en détail les procédures à suivre pour obtenir des certificats et configurer SSL pour un serveur Web exécuté sur un serveur Microsoft Windows ou Novell®
NetWare® sur lequel le serveur Middle Tier Novell ZENworks® est installé.
Cette section présente les informations suivantes :
Section 17.4, « Configuration de l'authentification NetIdentity », page 209
17.1 Configuration de SSL et de certificats sur un serveur Middle Tier Windows
Lorsque vous configurez SSL pour un serveur Middle Tier installé sur une machine Windows 2000, toutes les procédures d'administration seront exécutées à l'aide du Gestionnaire des services Internet et ConsoleOne®. Les principales procédures de configuration sont les suivantes :
Section 17.1.1, « Génération d'une requête de signature de certificat », page 201
Section 17.1.4, « Traitement d'une requête de certificat en attente sur IIS », page 204
17.1.1 Génération d'une requête de signature de certificat
Pour créer une requête de certificat sur un serveur Middle Tier installé sur un serveur
Windows 2000 :
1 Sur le bureau du serveur, cliquez sur Programmes > Outils d'administration > Gestionnaire des
services Internet > Internet Information Services pour ouvrir la fenêtre Internet Information
Services.
2 Cliquez sur le signe + de l'icône du serveur Middle Tier pour développer son arborescence.
3 Cliquez avec le bouton droit de la souris sur Site Web par défaut, puis cliquez sur Propriétés pour ouvrir la boîte de dialogue des propriétés du site Web par défaut.
17
Configuration des mesures de sécurité sur les serveurs Middle Tier Windows ou NetWare
201
Si aucun certificat SSL n'a encore été configuré, le champ Port SSL est grisé.
4 Cliquez sur Sécurité de répertoire pour ouvrir la page Sécurité de répertoire.
5 Cliquez sur Certificat de serveur pour lancer l'assistant Certificat de serveur Web.
5a Dans la page d'accueil de l'assistant, cliquez sur Suivant pour ouvrir la page Certificat de serveur.
5b Dans la page Certificat de serveur, sélectionnez Créer un certificat, puis cliquez sur
Suivant.
5c Dans la page Demande ultérieure ou immédiate, sélectionnez Préparer la demande
maintenant, mais ne pas l'envoyer maintenant, puis cliquez sur Suivant.
5d Dans la page de l'assistant Nom et paramètres de sécurité, indiquez le nom du certificat tel que Site Web DaveMiddleTier, modifiez la longueur de bit et choisissez 1024, puis cliquez sur Suivant.
5e Dans la page de l'assistant Informations sur l'organisation, indiquez le nom de votre organisation et celui de votre unité organisationnelle dans les champs Organisation et
Unité organisationnelle, puis cliquez sur Suivant.
5f Dans la page de l'assistant Nom commun de votre site, indiquez votre nom DNS complet, tel que zztop1.zenworks.provo.novell.com si vous figurez dans les tables
DNS, puis cliquez sur Suivant.
Vous pouvez également saisir votre adresse IP si elle est statique et si tous les accès s'effectuent par le biais d'adresses IP.
Si votre serveur est protégé par un pare-feu, saisissez le nom DNS par lequel il est reconnu
à l'extérieur de ce pare-feu.
5g Dans la page de l'assistant Informations géographiques, renseignez les champs Pays,
Département et Ville, puis cliquez sur Suivant.
5h Dans la page de l'assistant Nom de fichier de la demande de certificat, enregistrez la demande de certificat dans un emplacement accessible, puis cliquez sur Suivant.
Cette demande est un fichier qui sera envoyé pour signature à une autorité de certification approuvée.
5i Dans la page de l'assistant Résumé du contenu du fichier de la demande, vérifiez l'ensemble des informations. Le cas échéant, vous pouvez utiliser le bouton Précédent pour apporter des modifications aux pages précédentes. Cliquez sur Suivant.
5j Dans la page Fin de l'Assistant Certificat de serveur Web, cliquez sur Terminer.
6 Envoyez la requête de certificat à une autorité de certification approuvée. Une fois le certificat
17.1.2 Utilisation de l'autorité de certification racine eDirectory pour émettre un certificat
L'autorité de certification racine eDirectory peut être utilisée pour émettre un certificat en réponse à une requête de signature de certificat valide. Si vous utilisez cette méthode, la racine n'est pas une racine approuvée. Pour plus d'informations, reportez-vous à l' Étape 4 page 203 .
La machine doit être équipée de Novell Client™ 4.83 ou ultérieur, de ConsoleOne 1.3.3 ou ultérieur et du client NICI (Novell International Cryptographic Infrastructure) 2.4.0 ou ultérieur.
202 Guide d'installation de Novell ZENworks 7 Desktop Management
1 Sur le bureau du serveur, démarrez ConsoleOne.
2 Dans l'arborescence, sélectionnez le conteneur dans lequel se trouvent les objets Serveur.
3 Sélectionnez Outils > Émettre un certificat pour lancer l'assistant d'émission d'un certificat.
3a Dans le champ Nom de fichier, indiquez le nom du fichier qui contient la requête de certificat, puis cliquez sur Suivant.
3b Dans la page Autorité de certification organisationnelle, cliquez sur Suivant.
3c Dans la page SSL ou TLS, cliquez sur Suivant.
3d Dans la page suivante de l'assistant, validez tous les paramètres par défaut en cliquant sur
Suivant.
3e Dans la page Enregistrer le certificat, enregistrez le fichier au format par défaut (format
.der).
4 Exportez le certificat signé automatiquement à partir de l'autorité de certification.
Étant donné que la racine n'est pas approuvée, vous devez importer le certificat signé automatiquement depuis l'autorité de certification racine vers tous les postes de travail qui se connecteront au serveur Middle Tier. Si ce certificat n'est pas importé, la procédure de vérification échouera pour tous les certificats émis par cette autorité de certification.
4a Dans ConsoleOne, parcourez l'arborescence jusqu'au conteneur Sécurité. Ce conteneur est identifié par une icône représentant un cadenas.
4b Cliquez avec le bouton droit de la souris sur l'autorité de certification organisationnelle
du serveur > sélectionnez Propriétés.
4c Cliquez sur Certificats > sélectionnez Certificat signé automatiquement.
4d Cliquez sur Exporter.
4e Validez tous les paramètres par défaut affichés sur les pages suivantes jusqu'à l'étape d'enregistrement du certificat.
17.1.3 Installation de l'autorité de certification racine sur le serveur Middle Tier
Si la requête de certificat a été signée par une autorité de certification non approuvée (telle que l'autorité de certification racine eDirectory), vous devez installer le certificat signé automatiquement obtenu sur le serveur Middle Tier :
1 Recherchez le fichier contenant le certificat signé automatiquement par l'autorité de certification et double-cliquez dessus.
2 Dans la page Certificat, cliquez sur Installer le certificat pour lancer l'assistant.
2a Sur la première page de l'assistant, cliquez sur Suivant.
2b Sur la deuxième page de l'assistant, lorsqu'un message concernant la « sélection automatique de l'emplacement de stockage du certificat » s'affiche, cliquez sur Suivant.
2c Sur la troisième page de l'assistant, cliquez sur Terminer.
2d Lorsque le message concernant le stockage du certificat racine s'affiche, cliquez sur Oui.
2e Dans la boîte de dialogue relative au succès de l'importation, cliquez sur OK.
Un message indiquant que « l'importation s'est déroulée avec succès » s'affiche.
Configuration des mesures de sécurité sur les serveurs Middle Tier Windows ou NetWare 203
17.1.4 Traitement d'une requête de certificat en attente sur IIS
Lorsqu'un certificat a été émis par une autorité de certification approuvée, vous pouvez utiliser le
Gestionnaire des services Internet pour traiter cette requête.
1 Sur le bureau du serveur, cliquez sur Programmes > Outils d'administration > Gestionnaire des
services Internet > Internet Information Services pour ouvrir la fenêtre Internet Information
Services.
2 Cliquez sur le signe + de l'icône du serveur Middle Tier pour développer son arborescence.
3 Cliquez avec le bouton droit sur Site Web par défaut, puis cliquez sur Propriétés pour ouvrir la boîte de dialogue des propriétés du site Web par défaut.
4 Cliquez sur Sécurité de répertoire pour ouvrir la page Sécurité de répertoire.
5 Cliquez sur Certificat de serveur pour lancer l'assistant Certificat de serveur Web.
6 Utilisez l'assistant Certificat de serveur Web pour traiter la requête de certificat :
6a Dans la page d'accueil, cliquez sur Suivant.
6b Dans la page Certificat de serveur, sélectionnez Traiter la demande en attente et installer
le certificat, puis cliquez sur Suivant.
6c Dans la page suivante, saisissez le chemin d'accès complet du certificat signé tel que vous l'avez reçu de l'autorité de certification.
Il peut s'agir d'un fichier .der ou .cer, ou d'un fichier portant une toute autre extension selon la convention d'assignation de nom utilisée par l'autorité de certification.
6d Dans la page suivante de l'assistant, cliquez sur Suivant.
6e Sur la dernière page de l'assistant, cliquez sur Terminer.
7 Fermez la page de propriétés.
8 Cliquez avec le bouton droit de la souris sur l'icône du serveur dans l'arborescence, puis sélectionnez Redémarrer IIS.
9 Une fois que IIS a redémarré, ouvrez la boîte de dialogue des propriétés du site Web par défaut pour vérifier que le champ Port SSL est accessible.
17.2 Configuration de SSL et de certificats sur un serveur Middle Tier NetWare
Lorsque vous configurez SSL pour un serveur Middle Tier installé sur une machine NetWare, toutes les procédures d'administration sont exécutées à l'aide de ConsoleOne. Rappelez-vous que le serveur
NetWare doit être équipé du client NICI 2.4.0 (ou version ultérieure).
Utilisez la procédure suivante pour configurer SSL sur le serveur NetWare :
1 Dans ConsoleOne, parcourez l'arborescence jusqu'à l'emplacement où vous avez installé le logiciel du serveur Middle Tier > cliquez avec le bouton droit de la souris sur le conteneur de niveau le plus élevé (en général le conteneur Organisation) > cliquez sur Nouveau > Objet pour ouvrir la boîte de dialogue Nouvel objet.
2 Cliquez sur l'objet nommé NDSPKI:Key Material pour lancer l'assistant de création.
2a Indiquez un nom de certificat (il s'agit du nom de la paire de clés publique et privée associée au certificat), sélectionnez l'installation personnalisée, puis cliquez sur Suivant.
2b Sélectionnez Autorité de certification externe, puis cliquez sur Suivant.
204 Guide d'installation de Novell ZENworks 7 Desktop Management
2c Remplacez la valeur de la taille de la clé par 1024, conservez les valeurs par défaut de tous les autres champs, puis cliquez sur Suivant.
Par défaut, la taille de la clé est égale à 2048, mais 1024 suffit.
2d Dans le champ Nom d'objet, remplacez CN= par votre nom distinctif complet, conservez les valeurs par défaut de tous les autres champs, puis cliquez sur Suivant.
2e Cliquez sur Terminer pour créer la requête de signature de certificat.
2f Enregistrez au format Base64, puis indiquez un chemin d'accès et un nom de fichier pour un accès ultérieur.
3 Demandez à une autorité de certification approuvée de créer un certificat de serveur à partir de la requête de signature de certificat que vous avez générée à l' Étape 2 .
Si vous le souhaitez, vous pouvez utiliser l'autorité de certification racine eDirectory pour
4 Une fois le certificat émis, ouvrez ConsoleOne, puis ouvrez l'arborescence dans laquelle vous avez installé le logiciel du serveur Middle Tier.
5 Ouvrez l'objet NDSPKI:Key Material (KMO) que vous avez créé, cliquez sur Certificats, sur
Certificat de racine approuvée, puis sur Importer pour lancer l'assistant d'importation et importer le certificat.
5a Dans la page Certificat de racine approuvée, cliquez sur Lire à partir du fichier, sélectionnez le certificat de racine approuvée, puis cliquez sur Suivant.
5b Dans la page Certificat de serveur, cliquez sur Lire à partir du ficher, sélectionnez le certificat que vous avez créé à l' Étape 3 , cliquez sur Suivant, puis sur Terminer.
6 (Conditionnel) Modifiez les fichiers de configuration Apache sur le serveur NetWare 6 en fonction du nom du certificat créé dans ConsoleOne :
6a Ouvrez et modifiez le fichier adminserv.conf situé dans le répertoire sys:\apache\conf.
6b Recherchez la ligne qui mentionne le port actuellement assigné. Elle devrait se présenter comme suit :
SecureListen 10.0.1.1:443 "SSL CertificateDNS"
6c Remplacez « SSL CertificateDNS » par le nom du certificat que vous venez de créer dans
ConsoleOne. Par exemple :
SecureListen 10.0.1.1:443 "Dave Cert"
Lorsque l'assistant crée un certificat de serveur, il ajoute la variable - nom_serveur après le nom du certificat (par exemple, Dave Cert - ServeurDave). N'ajoutez pas cette partie au fichier .conf.
Vous pouvez également modifier la section Web Manager du fichier .conf avec le nom du nouveau certificat.
7 Redémarrez le serveur NetWare.
Configuration des mesures de sécurité sur les serveurs Middle Tier Windows ou NetWare 205
17.3 Configuration des postes de travail
Windows pour l'utilisation de SSL et de certificats
Cette section présente des informations sur la façon de configurer un poste de travail Windows 98/
NT/2000/XP pour l'utilisation de SSL et des certificats de sécurité. Cette section présente les informations suivantes :
Section 17.3.1, « Importation d'un certificat sur un poste de travail Windows », page 206
17.3.1 Importation d'un certificat sur un poste de travail
Windows
Si le certificat SSL que vous souhaitez utiliser a été émis par une autorité de certification qui ne figure pas dans la liste des autorités racine approuvées, vous devez installer le certificat de cette autorité, signé automatiquement, sur le poste de travail. De cette manière, le poste de travail approuvera tout certificat émis par cette autorité de certification. Vous pouvez effectuer cette opération avant ou après avoir installé l'agent de gestion de bureau.
Vous pouvez importer un certificat sur le poste de travail Windows dans un Compte utilisateur, un
Compte d'ordinateur et un Compte de service. Pour plus d'informations sur l'importation d'un certificat, reportez-vous à « To Import a Certificate (Importer un certificat) » sur le site Web de documentation des produits Windows XP Professionnel (http://www.microsoft.com/resources/ documentation/windows/xp/all/proddocs/en-us/sag_cmprocsimport.mspx) .
Exemple de configuration SSL
Suivez l'exemple des étapes ci-dessous pour importer un certificat sur un poste de travail :
1 Vérifiez que le SSL fonctionne sur le serveur Web sur lequel le logiciel du serveur Middle Tier
ZENworks est installé.
1a Ouvrez un navigateur HTML sur le poste de travail sur lequel est installé l'agent
ZENworks Desktop Management.
1b Dans le navigateur, utilisez le protocole HTTPS pour accéder à un site Web sécurisé
(https://nom_DNS_serveur_Middle_Tier).
206 Guide d'installation de Novell ZENworks 7 Desktop Management
Selon la configuration précédente du poste de travail et les antécédents d'accès à ce site, une boîte de dialogue d'alerte de sécurité peut afficher ce qui suit :
1c Selon que vous avez ou non déjà accédé à ce site, effectuez l'une des actions suivantes :
Si vous n'avez encore jamais accédé à ce site, l'alerte de sécurité indique trois vérifications effectuées par le navigateur avant que l'accès au site sécurisé ne soit autorisé. L'état du premier élément doit afficher un message d'avertissement, et celui des deux autres éléments doit indiquer une coche verte. Si ce n'est pas le cas, vous pouvez résoudre le problème au moyen du certificat avant de passer à l' Étape 2 .
Si vous avez déjà accepté le certificat de sécurité du serveur (c'est à dire, si vous avez validé la date et le nom du certificat et vérifié la fiabilité du certificat), cette alerte de sécurité ne s'affiche pas. Cela ne signifie pas que le poste de travail est correctement configuré pour l'agent de gestion de bureau. Si celui-ci ne s'authentifie pas au moyen du serveur Middle Tier (reportez-vous à l' Étape 5 ), supprimez le certificat de racine qui se trouve sur le poste de travail, puis passez à l' Étape 2 .
2 Vérifiez que l'agent de gestion de bureau s'authentifie et qu'il se connecte via le port 80. La valeur définie par défaut pour le login de l'agent est le port 80 ; ainsi, seul le nom DNS est requis pour l'adresse Middle Tier.
3 Importez le certificat de racine tiers sur le poste de travail en tant que Compte d'ordinateur.
L'importation du certificat de racine par le navigateur vers l'emplacement par défaut n'est pas suffisante pour permettre à l'agent de gestion de bureau de détecter le certificat. Les sous-étapes suivantes donnent un exemple d'importation d'un certificat de racine tiers depuis un serveur
NetWare 6.5 Middle Tier vers un emplacement accessible par l'agent.
3a Comme expliqué à l' Étape 1 , utilisez le protocole HTTPS pour accéder à un site Web sécurisé (https://nom_DNS_serveur_Middle_Tier) pour afficher la boîte de dialogue d'alerte de sécurité.
Configuration des mesures de sécurité sur les serveurs Middle Tier Windows ou NetWare 207
3b Dans la boîte de dialogue, cliquez sur Afficher le certificat, puis sur Chemin de
certification, sélectionnez CA organisation, puis cliquez sur Afficher certificat.
3c Sélectionnez Installer le certificat pour lancer l'assistant d'importation de certificat.
3d Dans celui-ci, cliquez sur Suivant, sur Placer tous les certificats dans le magasin suivant, puis sur Parcourir, puis cochez la case Afficher les magasins physiques.
3e Faites défiler jusqu'en haut de la fenêtre et développez l'élément de liste Autorités de
certification racine de confiance.
3f Sélectionnez Ordinateur local, cliquez sur OK, sur Suivant, puis sur Terminer.
4 Testez l'importation en fermant puis en rouvrant le navigateur, puis en accédant au site Web https://Middle_Tier_Server_DNS_Name.
Aucune boîte de dialogue d'alerte de sécurité ne doit s'afficher. Si l'alerte s'affiche quand même, il se peut que le problème vienne du serveur Web et du SSL.
5 Configurez le SSL sur Desktop Management et vérifiez que l'agent est capable d'authentifier l'utilisateur.
5a Ajoutez :443 au nom DNS du serveur Middle Tier. Par exemple :
Il se peut que vous deviez utiliser regedit.exe pour modifier les paramètres du serveur Middle Tier si l'agent de gestion de bureau est configuré de manière à ne pas autoriser les modifications d'adresse Middle Tier.
5b Le cas échéant, redémarrez le poste de travail.
208 Guide d'installation de Novell ZENworks 7 Desktop Management
17.3.2 Configuration de l'agent de gestion de bureau pour des requêtes de certificats
Lorsque le programme d'installation de l'agent de gestion de bureau demande de saisir l'adresse IP ou le nom DNS du serveur Middle Tier, vous devez saisir le nom commun que vous avez utilisé à la création de la requête de certificat. Pour plus d'informations, reportez-vous à l' Étape 5f page 202 .
17.4 Configuration de l'authentification
NetIdentity
L'authentification auprès d'un serveur Middle Tier d'un agent de gestion de bureau repose sur un processus de stimulation/réponse. Lorsqu'un serveur Middle Tier demande à un agent de s'authentifier, il envoie un certificat X.509. L'agent vérifie l'intégrité et la fiabilité du certificat, et des données confidentielles sont alors échangées par le biais de techniques de codage de clés publiques/privées et de clés de session.
Lors de l'installation, un certificat NetIdentity est installé sur le serveur Middle Tier. Sous NetWare, ce certificat est signé par l'autorité de certification de l'arborescence à laquelle appartient le serveur.
Sous Windows 2000, il s'agit d'un certificat factice signé automatiquement. Bien que leur codage soit valide, ces certificats ne sont pas signés par des autorités de certification approuvées, et ne devraient donc pas être approuvés en dehors d'un environnement contrôlé. Par défaut, le programme d'installation de l'agent de gestion de bureau accepte ce type de certificat, mais cela est un paramètre d'installation configurable. Lorsqu'ils sont déployés en dehors d'un réseau contrôlé, les serveurs
Middle Tier doivent être configurés avec un certificat signé par une autorité de certification racine approuvée. Ils doivent également être configurés pour appliquer des contrôles de fiabilité stricts.
17.4.1 Configuration d'un serveur Middle Tier avec un certificat
NetIdentity valide
Si un certificat SSL valide (en d'autres termes, signé par une autorité de certification racine approuvée) existe déjà pour le serveur, ce certificat peut être utilisé par la procédure d'authentification NetIdentity.
1 Si le serveur est un serveur NetWare, notez le nom de la paire de clés du certificat SSL (il s'agit du nom de l'objet Certificat affiché dans ConsoleOne). S'il s'agit d'un serveur Windows 2000, notez le nom convivial du certificat.
2 Dans un navigateur, ouvrez la page NSAdmin pour le serveur Middle Tier (http://ip-address/ oneNet/nsadmin).
3 Dans la page de configuration Général, reportez le nom du certificat que vous avez noté à l' Étape 1 .
4 Envoyez la modification.
5 Redémarrez le serveur Middle Tier.
S'il n'existe pas de certificat SSL valide pour le serveur, un certificat X.509 valide (c'est-à-dire, signé par une autorité de certification racine approuvée) doit être configuré pour ce serveur.
1 Obtenez un certificat signé par une autorité de certification racine approuvée. Appliquez la
Configuration des mesures de sécurité sur les serveurs Middle Tier Windows ou NetWare 209
2 Si le nom de la paire de clés, ou le nom convivial (selon la plate-forme utilisée), n'est pas
« NetIdentity », configurez le serveur Middle Tier avec le nom approprié. Reportez-vous à la description de l' Étape 1 à l' Étape 4 dans la procédure ci-dessus.
3 Redémarrez le serveur Middle Tier.
Remarque : Dans un cas comme dans l'autre, si le certificat a été signé par une autorité de certification qui ne figure pas dans la liste des autorités racine approuvées, le certificat de cette autorité, signé automatiquement, doit être importé sur chaque poste de travail. Pour plus d'informations, reportez-vous à
« Importation d'un certificat sur un poste de travail Windows » page 206
.
17.4.2 Configuration des agents de gestion de bureau pour une application de contrôles de fiabilité stricts
Une fois que le serveur Middle Tier a été configuré avec un certificat signé par une autorité de certification racine approuvée, les agents de gestion de bureau peuvent être configurés pour contrôler de manière stricte la fiabilité des certificats NetIdentity. Pour cela, modifiez la clé de registre suivante :
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity
"Strict Trust"= dword:0x00000001
La valeur de fiabilité par défaut est 0 (zéro). L'absence de valeur ou l'assignation de la valeur 0x0
(zéro) entraîne l'approbation tous les certificats. L'assignation de la valeur 0x1 configure les agents de gestion de bureau pour rejeter tout certificat dont la fiabilité ne peut pas être intégralement vérifiée.
210 Guide d'installation de Novell ZENworks 7 Desktop Management
Lien public mis à jour
Le lien public vers votre chat a été mis à jour.