Chapitre 4.
Itinérance des accréditations CSS
La fonction d’itinérance des accréditations du logiciel IBM Client Security permet d’utiliser les accréditations d’un utilisateur UVM sur tous les ordinateurs compatibles ESS d’un réseau.
Ce réseau, appelé réseau itinérant, améliore la souplesse de travail des utilisateurs et augmente la disponibilité des applications en permettant aux utilisateurs de travailler facilement à partir de n’importe quel ordinateur du réseau.
Itinérance des accréditations CSS Configuration requise
un réseau itinérant d’accréditation CSS se compose des éléments suivants : v
Serveur itinérant v Clients itinérants v
Unité réseau mappée partagée destinée au stockage des archives utilisateur
UVM
Remarque :
Le serveur itinérant et les clients itinérants autorisés sont simplement des ordinateurs compatibles ESS, dotés de mots de passe administrateur établis, et sur lesquels est installé le logiciel IBM Client Security 5.1
ou suivant.
Configuration d’un serveur itinérant
Pour configurer un réseau itinérant d’accréditation CSS, vous devez désigner un ordinateur comme le
serveur
itinérant (qui est appelé système A).
Une fois enregistrés par le serveur itinérant, les autres ordinateurs deviennent des
clients
autorisés enregistrés dans CSS.
(Le premier client enregistré est appelé système B.)
Il n’y a pas d’exigence spéciale concernant l’ordinateur qui est désigné comme serveur itinérant.
Vous pouvez utiliser n’importe quel ordinateur qui fera partie du réseau itinérant.
Le serveur itinérant est simplement l’ordinateur désigné pour
établir quels sont les ordinateurs
″sécurisés″ vis-à-vis du réseau itinérant.
Une fois qu’un ordinateur est enregistré dans le réseau itinérant, il est considéré par tous les autres ordinateurs du réseau comme étant sécurisé.
La configuration d’un réseau itinérant s’effectue en deux étapes :
1.
Configuration du serveur itinérant en définissant les clés, les archives et les utilisateurs itinérants.
2.
Enregistrement d’un client initial (système B) et de tous les autres ordinateurs en tant que clients itinérants dans le réseau itinérant.
Le serveur itinérant définit le réseau itinérant et lance l’enregistrement des clients itinérants, mais le point central de ce type de réseau est l’unité réseau mappée sur laquelle les archives utilisateur sont stockées.
C’est dans cette archive que sont stockées toutes les mises à jour des accréditations des utilisateurs.
Cette archive ne doit
en aucun cas
être placée sur le serveur itinérant ou sur l’un des clients itinérants.
Après avoir initialisé les clients CSS, le serveur itinérant se comporte comme n’importe quel autre client enregistré dans CSS.
© Copyright IBM Corp.
2004
25
Configuration d’un serveur itinérant
Pour configurer un serveur itinérant, procédez comme suit :
1.
Sur l’ordinateur désigné, démarrez la console d’administration et cliquez sur
Configuration de l’itinérance des accréditations
.
Ou, si l’ordinateur est déjà configuré pour l’itinérance, sélectionnez
Reconfigurer ce système en tant que serveur itinérant CSS
et cliquez sur
Suivant
.
2.
Créez le dossier c:\roaming sur l’ordinateur désigné comme serveur itinérant.
3.
Démarrez la console d’administration et cliquez sur
Configuration de l’itinérance des accréditations
.
4.
Sélectionnez
Configurer ce système en tant que serveur itinérant CSS
et cliquez sur
Suivant
.
5.
Cliquez sur
Configurer
.
6.
Sélectionnez
Créer de nouvelles clés d’archive
et tapez un nom dans la zone
Dossier des clés d’archive correspondant au dossier stocké dans c:\roaming
.
7.
Choisissez d’utiliser une paire de clés existante ou de créer une nouvelle paire de clés, puis cliquez sur
Suivant
.
8.
Entrez le nom du dossier d’archive, puis cliquez sur
Suivant
.
Remarque :
Le dossier d’archive et le dossier des clés doivent être accessibles aux autres ordinateurs enregistrés pour l’itinérance (clients itinérants).
Le répertoire c:\roaming doit être une unité réseau mappée.
Si l’archive contient des fichiers, la page suivante de l’assistant vous invite à indiquer la façon dont les fichiers devront être gérés.
9.
Cliquez sur
Terminer
.
Enregistrement de clients sur le serveur itinérant
Pour enregistrer un client itinérant sur le serveur itinérant, procédez comme suit :
1.
Une fois la configuration du serveur itinérant terminée, l’écran Configuration du réseau itinérant d’accréditation s’affiche.
Sélectionnez
Activer l’enregistrement du client
, puis cliquez sur
Suivant
.
2.
Indiquez le nom de l’utilisateur du système B possédant les droits d’administrateur qui effectuera l’enregistrement du client.
3.
Tapez le mot de passe qui devra être utilisé par cet utilisateur, puis confirmez-le.
(Ne confondez pas cette procédure avec l’accord du droit d’utilisation d’UVM à un utilisateur, procédure qui a lieu ultérieurement).
4.
Pour pouvoir enregistrer le client via l’utilitaire de configuration utilisateur, vous devez créer un fichier de configuration administrateur pour cet utilisateur.
Cette procédure génère un fichier qui est unique pour cet utilisateur.
Stockez-le dans un emplacement accessible à cet utilisateur et au système B.
Remarque :
Il n’est pas nécessaire de générer ce fichier si vous enregistrez un client via l’utilitaire d’administration.
5.
Cliquez sur
Suivant
.
6.
Si vous avez créé un fichier de configuration administrateur, enregistrez-le dans un emplacement accessible à l’utilisateur et au système B.
Une fois que vous avez exécuté les procédures indiquées précédemment, votre serveur itinérant est configuré.
Avant de pouvoir utiliser le réseau itinérant, vous devez avoir exécuté et terminé l’enregistrement sur chaque client itinérant.
26
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
Fin du processus d’enregistrement de client itinérant
Une fois que la liste des systèmes sécurisés a été enregistrée sur le serveur itinérant, vous devez exécuter l’une des procédures ci-après sur les systèmes client.
Pour qu’un client itinérant puisse être enregistré, vous devez avoir démarré le serveur itinérant et avoir établi une connexion à l’archive.
Enregistrement d’un client itinérant via l’utilitaire d’administration
Pour enregistrer un client itinérant via l’utilitaire d’administration, procédez comme suit :
1.
Cliquez sur
Configuration de clé
.
2.
Cliquez sur
Non
lorsque le système vous demande si vous souhaitez restaurer les clés à partir de l’archive.
3.
Sélectionnez Enregistrer ce système auprès d’un serveur itinérant CSS et cliquez sur
Suivant
.
4.
Indiquez l’emplacement d’archive créé par le système A, tapez le mot de passe d’enregistrement système défini pour cet utilisateur sur le système A et cliquez sur
Suivant
.
La procédure d’enregistrement dure environ une minute.
Enregistrement d’un client itinérant via l’utilitaire de configuration utilisateur
Pour enregistrer un client itinérant via l’utilitaire de configuration utilisateur, procédez comme suit :
1.
Sous l’onglet Configuration utilisateur, cliquez sur
Enregistrement auprès d’un serveur itinérant CSS
.
2.
Sélectionnez le fichier de configuration administrateur généré sur le système A, tapez le mot de passe d’enregistrement système défini pour cet utilisateur sur le système A et cliquez sur
Suivant
.
3.
Indiquez l’emplacement d’archive créé par le système A et cliquez sur
Suivant
.
La procédure d’enregistrement dure environ une minute.
Enregistrement d’un client itinérant par déploiement global
(mode automatique)
Pour enregistrer un client itinérant en mode automatique par déploiement global, procédez comme suit :
1.
Créez le fichier csec.ini
.
Pour en savoir plus sur la création d’un fichier CSS
.ini, consultez le manuelLogiciel
Client Security Guide
d’installation.
2.
Ajoutez
"enableroaming=1" dans la section csssetup du fichier.
Vous indiquez ainsi que l’ordinateur doit être enregistré comme client itinérant.
3.
Dans la même section, ajoutez l’entrée "username=OPTION" .
Trois options sont possibles pour cette valeur : v
Option 1 : La chaîne "[promptcurrent]" crochets inclus.
Cette désignation doit être utilisée si un fichier .dat
pour l’utilisateur actuellement connecté a
été généré sur le serveur itinérant et si cet utilisateur connaît le mot de passe d’enregistrement système.
Cette option provoque l’affichage d’une fenêtre en incrustation qui invite l’utilisateur à taper le mot de passe d’enregistrement système (sysregpwd) avant le déploiement.
Chapitre 4.
Itinérance des accréditations CSS
27
v
Option 2 : La chaîne "[current]" crochets inclus.
Cette désignation doit
être utilisée si un fichier .dat
pour le client actuellement connecté a été généré sur le serveur.
La gestion du paramètre sysregpwd s’effectue comme indiqué dans l’étape suivante.
v
Option 3 : Un nom d’utilisateur réel tel que
"joseph"
.
Si un nom d’utilisateur désigné de ce type est utilisé, le fichier
"joseph.dat" doit avoir
été préalablement généré par le serveur itinérant.
Dans ce cas, la gestion du paramètre sysregpwd sera effectuée comme indiqué dans l’étape suivante.
4.
Si les options deux ou trois ci-dessus sont utilisées, une autre entrée
"sysregpwd=SYSREGPW" doit être fournie.
Il s’agit d’un mot de passe d’enregistrement système associé à l’utilisateur en cours (si l’option deux est mise en oeuvre) ou à l’utilisateur désigné (si l’option trois est mise en oeuvre).
5.
Pour terminer l’enregistrement du client, connectez l’ordinateur à l’archive définie par le serveur itinérant.
Cette archive est désignée dans le fichier csec.ini
.
Le dossier de clés qui a été défini sur le serveur itinérant CSS est
également mentionné dans le fichier csec.ini
.
6.
Chiffrez le fichier csec.ini
à l’aide de la console d’administration.
Exemples de fichier csec.ini
Les exemples ci-après représentent un échantillon de fichier csec.ini
, et illustrent la façon dont ce fichier change en fonction de l’option d’itinérance d’accréditation sélectionnée.
Ces options sont les suivantes : v
Aucune valeur d’itinérance.
Ce fichier de base n’est pas activé pour l’itinérance des accréditations.
v
Itinérance option 1.
Ce fichier est activé pour l’itinérance à l’aide de l’option 1 pour l’enregistrement client.
L’utilisateur en cours doit taper le mot de passe d’enregistrement système avant le déploiement.
v
Itinérance option 2.
Ce fichier est activé pour l’itinérance à l’aide de l’option 2 pour l’enregistrement client.
L’utilisateur en cours doit indiquer l’ID utilisateur et le mot de passe d’enregistrement système spécifiés dans le fichier .ini.
v
Itinérance option 3.
Ce fichier est activé pour l’itinérance à l’aide de l’option 3 pour l’enregistrement client.
L’utilisateur est mentionné dans le fichier .ini.
Le mot de passe d’enregistrement système pour l’utilisateur désigné doit être indiqué dans le fichier .ini.
Exemples de quatre fichiers CSEC.INI
distincts :
[CSSSetup] suppw=bootup hwpw=11111111 newkp=1 keysplit=1 kpl=c:\jgk
Option 1
[CSSSetup] suppw=bootup hwpw=11111111 newkp=1 keysplit=1 kpl=c:\\computer name\jgk, où la paire de clés a été placée sur le serveur itinérant par l’ordinateur
Option 2
[CSSSetup] suppw=bootup hwpw=11111111 newkp=1 keysplit=1 kpl=c:\\computer name\jgk, où la paire de clés a été placée sur le serveur itinérant par l’ordinateur
Option 3
[CSSSetup] suppw=bootup hwpw=11111111 newkp=1 keysplit=1 kpl=c:\\computer name\jgk, où la paire de clés a été placée sur le serveur itinérant par l’ordinateur
28
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
kal=c:\jgk\archive pub= c:\jk\admin.key
pri= c:\jk\private1.key
wiz=0 clean=0 kal=c:\\computer name\archive, où l’archive a été placée sur le serveur itinérant par l’ordinateur pub= c:\jk\admin.key
pri= c:\jk\private1.key
wiz=0
enableroaming=1 username=
[promptcurrent]
clean=0 kal=c:\\computer name\archive, où l’archive a été placée sur le serveur itinérant par l’ordinateur pub= c:\jk\admin.key
pri= c:\jk\private1.key
wiz=0 kal=c:\\computer name\archive, où l’archive a été placée sur le serveur itinérant par l’ordinateur pub= c:\jk\admin.key
pri= c:\jk\private1.key
wiz=0
enableroaming=1 username=
[current] enableroaming=1 username= joseph sysregpwd=12345678 sysregpwd=12345678
clean=0 clean=0
[UVMEnrollment] [UVMEnrollment] enrollall=0 enrollall=0 enrollusers=1 user1=joseph user1uvmpw= q1234r enrollusers=1 user1=joseph user1uvmpw=q1234r
[UVMEnrollment] enrollall=0 enrollusers=1 user1=joseph user1uvmpw=q1234r
[UVMEnrollment] enrollall=0 enrollusers=1 user1=joseph user1uvmpw=q1234r user1winpw= user1domain=0 user1ppchange=0 user1ppchange=0 user1ppchange=0 user1ppexppolicy=0 user1ppexppolicy=0 user1ppexppolicy=0 user1ppexpdays=
184 user1winpw= user1domain=0 user1winpw= user1domain=0 user1winpw= user1domain=0 user1ppchange=0 user1ppexppolicy=0 user1ppexpdays=184 user1ppexpdays=184 user1ppexpdays=184
[UVMAppConfig] [UVMAppConfig] uvmlogon=0 uvmlogon=0 entrust=0 notes=0 netscape=0 passman=0 entrust=0 notes=0 netscape=0 passman=0 folderprotect=0 autoprotect=0 folderprotect=0 autoprotect=0
[UVMAppConfig] uvmlogon=0 entrust=0 notes=0 netscape=0 passman=0 folderprotect=0 autoprotect=0
[UVMAppConfig] uvmlogon=0 entrust=0 notes=0 netscape=0 passman=0 folderprotect=0 autoprotect=0
Gestion d’un réseau itinérant
L’administrateur réseau d’un réseau itinérant doit autoriser les utilisateurs et gérer les accès client et utilisateur au réseau.
Cela peut donner lieu à des opérations d’importation d’un profil utilisateur, de synchronisation de données utilisateur ou d’ajout et de retrait d’utilisateurs facilement et rapidement sur un réseau itinérant
CSS.
Cela peut également impliquer de restaurer le réseau itinérant, modifier la paire de clés administrateur ou modifier l’emplacement de l’archive.
Autorisation d’utilisateurs
Une fois les procédures indiquées précédemment terminées, le réseau itinérant d’accréditation CSS est configuré et les clients itinérants sont enregistrés pour l’itinérance.
Il est à présent possible d’autoriser les utilisateurs via l’utilitaire d’administration.
Chapitre 4.
Itinérance des accréditations CSS
29
Synchronisation des données utilisateur
Les données de chaque utilisateur sont stockées dans l’emplacement de l’archive.
Une copie de ces données est également stockée localement sur chaque ordinateur utilisé par l’utilisateur.
En cas de modifications (telles que l’obtention d’un certificat ou la modification d’un mot de passe composé), les données locales sont mises à jour.
Si l’ordinateur est connecté à l’archive, les données de l’utilisateur sont également mises à jour.
Lorsque l’utilisateur ouvre une session sur un autre ordinateur, les mises à jour sont automatiquement téléchargées vers cet ordinateur,
à condition que ce dernier soit connecté à l’archive.
La connexion à l’archive n’est pas toujours garantie.
Par conséquent, il arrive que les données utilisateur soient incohérentes entre un ordinateur du réseau et l’archive.
Si les données d’un utilisateur sont modifiées sur un ordinateur qui n’est pas connecté à l’archive, ces modifications ne sont pas prises en compte dans l’archive et, par conséquent, ne le sont pas non plus sur les autres ordinateurs.
Une fois que l’ordinateur est connecté à l’archive, les modifications sont transmises à l’archive et à tous les autres ordinateurs connectés.
Cependant, si des modifications sont effectuées sur un autre ordinateur qui était connecté à l’archive avant que le premier ordinateur contenant les modifications ne le soit lui-même, des incohérences de données non rectifiables interviennent.
Les données de l’archive contiennent des modifications qui sont absentes sur le premier ordinateur, alors que ce dernier contient des modifications qui sont elles-même absentes de l’archive.
Dans ce cas, l’utilisateur est averti des deux différentes configurations et est invité à choisir la configuration qu’il souhaite conserver (configuration locale ou configuration de l’archive).
Les modifications de configuration qui ne sont pas sélectionnées sont perdues.
Il est donc important de s’assurer que toutes les modifications apportées à une configuration utilisateur sont retransmises à l’archive avant d’effectuer des modifications sur tout autre ordinateur.
Récupération d’un mot de passe composé perdu dans un environnement itinérant
Lorsqu’un mot de passe composé est perdu ou oublié, l’administrateur peut réinitialiser le mot de passe composé utilisateur sur le serveur itinérant ou sur n’importe quel client enregistré.
Cette modification est mise à jour sur tous les systèmes du réseau,
sauf
sur ceux dotés de la protection de connexion UVM sécurisée et sur lesquels l’utilisateur a procédé à des importations.
Dans ces cas-là, la mise à jour du mot de passe composé n’est
pas
prise en compte sur l’ordinateur.
Pour accéder à l’ordinateur, l’utilisateur doit alors disposer d’un fichier de remplacement de mot de passe et exécuter la procédure de remplacement de mot de passe.
Importation d’un profil utilisateur
Vous pouvez importer un profil utilisateur sur un autre ordinateur du réseau itinérant via l’utilitaire d’administration, l’utilitaire de configuration utilisateur ou l’interface de connexion UVM.
Si vous souhaitez importer un utilisateur qui ne dispose d’aucun compte utilisateur sur l’autre ordinateur, vous devez créer un compte utilisateur Windows via le panneau de configuration Windows.
Remarque :
Pour pouvoir importer un utilisateur sur un réseau itinérant, l’utilisateur doit être autorisé sur un autre ordinateur du réseau itinérant.
30
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
Importation d’un profil utilisateur via l’utilitaire de configuration utilisateur
Pour importer un profil utilisateur sur un autre ordinateur du réseau itinérant à l’aide de l’utilitaire de configuration utilisateur, connectez-vous au système à l’aide de l’ID utilisateur que vous souhaitez importer, puis cliquez sur
Démarrer >
Programmes > Access IBM > Logiciel IBM Client Security > Modification des paramètres de sécurité
, puis sur
Importation d’une configuration existante à partir d’une archive
sous l’onglet Configuration utilisateur.
Importation d’un profil utilisateur via l’utilitaire d’administration
Pour importer un profil utilisateur sur un autre ordinateur du réseau itinérant via l’utilitaire d’administration, sélectionnez l’utilisateur et cliquez sur
Autorisation
.
Cliquez sur
Oui
lorsque les système vous demande si vous souhaitez importer l’utilisateur à partir de l’archive.
Importation d’un profil utilisateur via l’interface de connexion
UVM
Vous pouvez importer un profil utilisateur sur un autre ordinateur du réseau itinérant via l’interface de connexion UVM.
Cette procédure commence à partir de l’écran de connexion UVM.
Si un utilisateur n’est pas encore autorisé à utiliser
UVM sur un système donné du réseau, une boîte de message s’affiche pour demander à l’utilisateur s’il souhaite être importé à partir de l’archive.
Remarques :
1.
Si vous souhaitez importer un utilisateur qui ne dispose d’aucun compte utilisateur sur l’autre ordinateur, vous devez créer un compte utilisateur
Windows via le panneau de configuration Windows avant de pouvoir poursuivre.
2.
Le répertoire doit être une unité réseau mappée pour que vous puissiez accéder
à l’archive sur le serveur itinérant.
Pour importer un profil utilisateur sur un autre ordinateur du réseau itinérant
(doté de Windows 2000) via la GINA UVM, procédez comme suit :
1.
Entrez le nom utilisateur et le mot de passe composé UVM de l’utilisateur que vous souhaitez importer.
Un message vous invite à indiquer si vous voulez importer le profil utilisateur à partir de l’archive.
2.
Répondez
Oui
, puis cliquez sur
OK
.
3.
Si l’emplacement de l’archive se trouve sur une unité réseau, répondez
Oui
à l’invite spécifiant qu’un partage réseau doit être spécifié.
4.
Entrez votre mot de passe Windows à l’écran de connexion Windows.
Le système vous invite à indiquer le chemin de l’archive.
5.
Entrez le chemin d’accès à l’archive.
6.
Entrez le nom utilisateur et le mot de passe appropriés.
7.
Cliquez sur
OK
.
Si l’opération aboutit, un message vous indique que le profil a été importé.
Pour importer un profil utilisateur sur un autre ordinateur du réseau itinérant
(doté de Windows XP) via la GINA UVM, procédez comme suit :
1.
Entrez le nom utilisateur et le mot de passe composé UVM de l’utilisateur que vous souhaitez importer.
Un message vous invite à indiquer si vous voulez importer le profil utilisateur à partir de l’archive.
2.
Répondez
Oui
, puis cliquez sur
OK
.
Chapitre 4.
Itinérance des accréditations CSS
31
3.
Si l’emplacement de l’archive se trouve sur une unité réseau, répondez
Oui
à l’invite spécifiant qu’un partage réseau doit être spécifié.
4.
A l’invite de mappage d’unité réseau Windows, entrez le chemin d’accès à l’archive.
5.
Cliquez sur
Terminer
.
6.
Entrez le nom utilisateur et le mot de passe appropriés et cliquez sur
OK
.
Si l’opération aboutit, un message vous indique que le profil a été importé.
Remarque :
Pour pouvoir importer un utilisateur sur un réseau itinérant, l’utilisateur doit être autorisé sur un autre ordinateur du réseau itinérant.
Une fois le profil utilisateur importé, l’authentification auprès d’UVM est basée sur la stratégie de sécurité de l’ordinateur.
Les conditions de sécurité requises pour cet ordinateur doivent être remplies pour que cet utilisateur puisse se connecter.
Retrait et réintégration d’utilisateurs dans un réseau itinérant
Pour retirer un utilisateur d’un serveur itinérant, l’administrateur réseau doit exécuter la procédure suivante à partir de la console d’administration :
1.
Démarrer l’utilitaire de console d’administration et entrer le mot de passe administrateur.
2.
Cliquer sur
Configuration de l’itinérance des accréditations
.
3.
Sélectionner
Supprimer des utilisateurs du gestionnaire UVM et du réseau itinérant d’accréditation
, puis cliquer sur
Suivant
.
Répéter cette opération autant de fois que nécessaire.
4.
Sélectionner l’utilisateur à retirer et cliquer sur
Supprimer
.
Remarque :
La suppression d’un utilisateur sur le réseau entraîne la perte irréversible de toutes les accréditations qui lui sont associées.
Les utilisateurs supprimés ne peuvent pas être autorisés à utiliser UVM et le réseau itinérant tant qu’ils ne sont pas réintégrés par le réseau administrateur.
Pour réintégrer un utilisateur sur un serveur itinérant, l’administrateur réseau doit exécuter la procédure suivante à partir de la console d’administration :
1.
Démarrer l’utilitaire de console et entrer le mot de passe administrateur.
2.
Cliquer sur
Configuration de l’itinérance des accréditations
.
3.
Sélectionner
Réintégrer des utilisateurs supprimés
et cliquer sur
Suivant
.
4.
Sélectionner l’utilisateur à réintégrer et cliquer sur
Réintégrer
.
Répéter cette opération autant de fois que nécessaire.
Une fois que l’utilisateur est réintégré, il peut être de nouveau autorisé à utiliser UVM.
Le fait de réintégrer un utilisateur n’entraîne pas d’autorisation automatique pour l’utilisation d’UVM.
Suppression et réintégration de clients enregistrés dans un réseau itinérant
Pour supprimer un client enregistré d’un serveur itinérant, l’administrateur réseau doit exécuter la procédure suivante à partir de la console d’administration :
1.
Démarrer l’utilitaire de console et entrer le mot de passe administrateur.
2.
Cliquer sur
Configuration de l’itinérance des accréditations
.
3.
Sélectionner
Supprimer des clients enregistrés du réseau itinérant d’accréditation
, puis cliquer sur
Suivant
.
32
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
4.
Sélectionner le système à retirer et cliquer sur
Supprimer
.
Répéter cette opération autant de fois que nécessaire.
Remarque :
La suppression d’un client sur le réseau entraîne la perte irréversible de toutes les accréditations basées machine qui lui sont associées.
Les clients supprimés ne peuvent pas être enregistrés avec le serveur itinérant du réseau tant qu’ils ne sont pas réintégrés par l’administrateur réseau.
Pour réintégrer un client enregistré sur un réseau itinérant, l’administrateur réseau doit exécuter la procédure suivante à partir de la console d’administration :
1.
Démarrer l’utilitaire de console et entrer le mot de passe administrateur.
2.
Cliquer sur
Configuration de l’itinérance des accréditations
.
3.
Sélectionner
Réintégrer des clients supprimés
et cliquer sur
Suivant
.
4.
Sélectionner le client à réintégrer et cliquer sur
Réintégrer
.
Répéter cette opération autant de fois que nécessaire.
Une fois que le client est réintégré, il peut être à nouveau enregistré sur le serveur itinérant.
Le fait de réintégrer un client n’entraîne pas son ré-enregistrement automatique.
Remarque :
Il se peut que les utilisateurs dont les accréditations figuraient sur le système au moment de la suppression du client doivent importer à nouveau leurs accréditations.
Restriction de l’accès aux clients enregistrés dans un réseau itinérant
Il peut arriver qu’un administrateur réseau souhaite permettre à certains utilisateurs d’accéder à un client enregistré spécifique tout en interdisant cet accès
à d’autres utilisateurs.
Pour gérer les droits d’accès des utilisateurs, l’administrateur réseau doit exécuter la procédure suivante à partir de la console d’administration :
1.
Démarrer l’utilitaire de console et entrer le mot de passe administrateur.
2.
Cliquer sur
Configuration de l’itinérance des accréditations
.
3.
Sélectionner
Gérer les accès utilisateur aux clients enregistrés
et cliquer sur
Suivant
.
4.
Sélectionner le client enregistré à gérer dans la zone
Sélection d’un système du réseau itinérant CSS
.
Les utilisateurs autorisés et non autorisés figurent dans les deux boîtes à liste.
5.
Exécutez l’une des opérations suivantes : v Pour restreindre l’accès d’un utilisateur, sélectionnez celui-ci dans la liste
Utilisateurs autorisés
et cliquez sur
Restreindre
.
Répétez cette opération autant de fois que nécessaire.
v
Pour accorder l’accès à un utilisateur, sélectionnez celui-ci dans la liste
Utilisateurs non autorisés
et cliquez sur
Autoriser
.
Répétez cette opération autant de fois que nécessaire.
Les fonctions de gestion des accès du réseau itinérant requièrent la création d’un nouveau dossier dans l’archive.
Le nouveau dossier, appelé Protected, doit être accessible en écriture par l’administrateur réseau et accessible en lecture seulement
Chapitre 4.
Itinérance des accréditations CSS
33
par les autres utilisateurs.
Si des utilisateurs disposent d’un accès en écriture sur ce dossier, ils peuvent manuellement réintégrer leurs systèmes ou se réintégrer eux-mêmes.
Restauration d’un réseau itinérant
En cas de défaillance logicielle ou matérielle, il peut être nécessaire d’effectuer une restauration du réseau itinérant.
Si le serveur itinérant est endommagé ou que les données utilisées par CSS sont endommagées sur un client enregistré, vous devez restaurer les données via l’utilitaire d’administration de la même manière que vous le feriez dans un environnement non itinérant.
Si le sous-système de sécurité intégré IBM d’un client enregistré est défectueux ou vidé, vous devez enregistrer de nouveau le client sur le serveur itinérant.
Aucune autre action n’est requise.
Modification de la paire de clés administrateur
Il n’est pas recommandé de modifier la paire de clés administrateur dans un réseau itinérant, car cela implique le ré-enregistrement de chaque client auprès du serveur itinérant.
Cependant, si vous êtes amené à modifier la paire de clés administrateur dans un réseau itinérant, vous devez exécuter les étapes suivantes pour que cette modification soit prise en compte sur tous les ordinateurs du réseau.
1.
Sur le serveur itinérant, modifiez la paire de clés administrateur via l’utilitaire d’administration.
2.
Enregistrez de nouveau tous les clients du réseau.
3.
Choisissez de conserver les fichiers existants chaque fois que le système vous demande si vous souhaitez les conserver.
Modification du dossier d’archive
La méthode utilisée pour modifier le dossier d’archive dans un environnement itinérant est légèrement différente de celle utilisée dans un environnement non itinérant car chaque ordinateur du réseau accède au même emplacement d’archive.
Pour modifier le dossier d’archive dans un réseau itinérant, procédez comme suit :
1.
Copiez les fichiers de l’ancien dossier d’archive vers le nouveau en procédant comme suit : a.
Démarrez l’utilitaire d’administration et entrez le mot de passe administrateur.
b.
Cliquez sur
Configuration de clé
.
c.
Sélectionnez Modification de l’emplacement d’une archive et cliquez sur
Suivant
.
d.
Indiquez le nouveau dossier de l’archive, puis cliquez sur
Suivant
.
e.
Cliquez sur
Oui
lorsque vous êtes invité à copier tous les fichiers de l’ancien dossier dans le nouveau dossier.
2.
Effectuez la mise à jour de tous les autres ordinateurs du réseau afin qu’ils utilisent le nouveau dossier d’archive, en procédant comme suit : a.
Démarrez l’utilitaire d’administration et entrez le mot de passe administrateur.
b.
Cliquez sur
Configuration de clé
.
c.
Sélectionnez Modification de l’emplacement d’une archive et cliquez sur
Suivant
.
d.
Indiquez le nouveau dossier de l’archive, puis cliquez sur
Suivant
.
34
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
e.
Cliquez sur
Non
lorsque vous êtes invité à copier tous les fichiers de l’ancien dossier vers le nouveau dossier.
Utilitaire de chiffrement de fichiers et de dossiers (FFE)
L’utilitaire de chiffrement de fichiers et de dossiers n’est pas affecté par l’environnement itinérant.
Cependant, les dossiers protégés sont gérés ordinateur par ordinateur.
Ainsi, si un dossier est protégé par l’utilisateur A sur un système A, un dossier portant le même nom sur le système B (le cas échéant) n’est pas protégé si l’utilisateur ne le protège pas de façon effective sur le système B.
IBM Password Manager
Tous les mots de passe protégés via IBM Password Manager sont disponibles sur tous les ordinateurs du réseau itinérant.
Termes et définitions relatifs à l’itinérance
Il est utile de connaître les termes suivants lorsque l’on aborde les concepts et procédures de configuration d’un réseau itinérant :
enregistrement de client itinérant
Procédure consistant à enregistrer un ordinateur auprès du serveur itinérant.
clients itinérants
Tous les ordinateurs sécurisés du réseau itinérant.
Serveur itinérant
Ordinateur ESS utilisé pour initier le réseau itinérant.
mot de passe d’enregistrement de client itinérant
Mot de passe utilisé pour enregistrer l’ordinateur auprès du serveur itinérant.
Chapitre 4.
Itinérance des accréditations CSS
35
36
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
Link público atualizado
O link público para o seu chat foi atualizado.