Chapitre 5.
Utilisation du logiciel Client Security
Les administrateurs peuvent utiliser les multiples composants fournis par le logiciel Client Security pour définir les dispositifs de sécurité nécessaires aux utilisateurs clients CSS.
Utilisez les exemples fournis ci-après pour planifier votre stratégie et votre configuration Client Security.
En environnement Windows 2000 et
Windows XP, par exemple, les utilisateurs peuvent définir une protection UVM pour la connexion système qui empêche la connexion d’utilisateurs non autorisés sur le client CSS.
Exemple 1 Un client Windows 2000 et un client Windows XP utilisant tous deux Outlook Express
Dans cet exemple, un client CSS (client 1) dispose de Windows 2000 et d’Outlook
Express, l’autre client (client 2) disposant de Windows XP et d’Outlook Express.
Trois utilisateurs vont nécessiter une configuration d’authentification sous UVM sur le client 1 ; un utilisateur client va nécessiter une configuration d’authentification sous UVM sur le client 2.
Tous les utilisateurs clients vont enregistrer leurs empreintes digitales afin qu’elles puissent servir pour l’authentification.
Un détecteur d’empreintes digitales compatible UVM va être installé dans le cadre de cet exemple.
Il est également établi que les deux clients nécessiteront une protection UVM pour la connexion Windows.
L’administrateur a décidé que la stratégie UVM sera éditée et utilisée sur chaque client.
Pour configurer la sécurité client, procédez comme suit :
1.
Installez le logiciel Client Security sur les clients 1 et 2.
Pour plus de détails, consultez le manuel
Logiciel Client Security Guide
d’installation.
2.
Installez les détecteurs d’empreinte digitale compatibles UVM ainsi que les logiciels associés sur chaque client.
Pour plus d’informations sur les produits compatibles UVM, rendez-vous sur le site Web IBM http://www.pc.ibm.com/us/security/secdownload.html.
3.
Configurez l’authentification utilisateur dans UVM pour chaque client.
Exécutez les opérations suivantes : a.
Autorisez des utilisateurs pour UVM en leur affectant un mot de passe composé UVM.
Le client 1 disposant de trois utilisateurs, vous devez recommencer cette opération autant de fois que nécessaire.
b.
Configurez la protection UVM pour la connexion Windows sur chaque client.
c.
Enregistrez les empreintes digitales des utilisateurs.
La stratégie indiquant que trois utilisateurs vont utiliser le client 1, chacun d’eux devra enregistrer ses empreintes digitales sur le client 1.
Au moins un utilisateur doit enregistrer ses empreintes digitales sur le client 2.
Remarque :
Si vous définissez l’empreinte digitale comme procédure d’authentification requise dans le cadre de la stratégie UVM pour un client, il est nécessaire que chaque utilisateur enregistre son ou ses empreintes digitales.
4.
Editez et sauvegardez une stratégie UVM locale sur chaque client nécessitant une authentification pour les opérations suivantes : v
Connexion Windows
© Copyright IBM Corp.
2004
39
v Acquisition d’un certificat numérique v
Utilisation d’une signature numérique pour Outlook Express
5.
Redémarrez chaque client afin d’activer la protection UVM pour la connexion
Windows.
6.
Transmettez aux utilisateurs les mots de passe composés UVM que vous avez définis pour eux ainsi que les procédures d’authentification requises spécifiées dans la stratégie UVM pour le client CSS.
Les utilisateurs clients peuvent à présent exécuter les tâches suivantes : v Utilisation de la protection UVM pour verrouiller et déverrouiller Windows.
v Inscription à un certificat numérique et sélection du sous-système de sécurité intégré comme fournisseur de service cryptographique associé au certificat.
v
Utilisation du certificat numérique pour chiffrer les messages de courrier
électronique créés dans Outlook Express.
Exemple 2 Deux clients CSS Windows 2000 utilisant Lotus Notes
Dans cet exemple, les deux clients CSS (client 1 et client 2) disposent de Windows
2000 et de Lotus Notes.
Deux utilisateurs vont nécessiter une configuration d’authentification sous UVM sur le client 1 ; un utilisateur va nécessiter une configuration d’authentification sous UVM sur le client 2 ; les deux clients vont nécessiter une protection de connexion UVM pour la connexion système.
L’administrateur a décidé d’éditer la stratégie UVM sur le client 1 et de la copier sur le client 2.
Pour configurer la sécurité client, procédez comme suit :
1.
Installez le logiciel Client Security sur les clients 1 et 2.
Etant donné que le même fichier de stratégie UVM sera utilisé, vous devez utiliser la même clé publique administrateur lors de l’installation du logiciel sur les clients 1 et 2.
Pour plus de détails sur cette opération, consultez le manuel
Logiciel Client
Security Guide
d’installation.
2.
Configurez l’authentification utilisateur dans UVM pour chaque client.
Effectuez ensuite les opérations suivantes : a.
Autorisez des utilisateurs pour UVM en leur affectant un mot de passe composé UVM.
Le client 1 disposant de deux utilisateurs, vous devez recommencer cette opération autant de fois que nécessaire.
b.
Configurez la protection de connexion UVM pour la connexion Windows sur chaque client.
3.
Activez le support Lotus Notes de la protection UVM sur les deux clients.
4.
Editez et sauvegardez une stratégie UVM sur le client 1, puis copiez-la sur le client 2.
La stratégie UVM peut nécessiter une authentification utilisateur pour la désactivation de l’économiseur d’écran, la connexion à Lotus Notes et la connexion à Windows.
Pour plus de détails, reportez-vous à la section
«Edition et utilisation d’une stratégie UVM» à la page 59.
5.
Redémarrez chaque client afin d’activer la protection UVM pour la connexion
Windows.
6.
Fournissez aux utilisateurs clients les mots de passe composés UVM ainsi que la stratégie définie pour chaque client.
40
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
Exemple 3 Plusieurs clients CSS Windows 2000 gérés par Tivoli
Access Manager et utilisant Netscape pour le courrier électronique
Le public concerné ici est un administrateur d’entreprise qui envisage d’utiliser
Tivoli Access Manager pour gérer les objets d’authentification définis par une stratégie UVM.
Dans cet exemple, plusieurs clients CSS disposent à la fois de
Windows 2000 et de Netscape.
Le client NetSEAT, composant de Tivoli Access
Manager, est installé sur tous les clients.
Tous les clients utilisant un serveur LDAP disposent également d’un client LDAP.
Elle permettra à Tivoli Access Manager de contrôler les objets d’authentification sélectionnés pour les clients.
Dans cet exemple, un utilisateur nécessite une configuration d’authentification sous
UVM sur chaque client.
Tous les utilisateurs vont enregistrer leurs empreintes digitales afin qu’elles puissent servir pour l’authentification.
Un détecteur d’empreintes digitales compatibles UVM va être installé dans le cadre de cet exemple et tous les clients vont nécessiter une protection de connexion UVM pour la connexion Windows.
Pour configurer la sécurité client, procédez comme suit :
1.
Installez le composant Client Security sur le serveur Tivoli Access Manager.
Pour plus de détails, consultez le manuel
Utilisation du logiciel Client Security avec Tivoli Access
Manager.
2.
Installez le logiciel Client Security sur tous les clients.
Etant donné qu’une stratégie UVM va être utilisée, vous devez utiliser la même clé publique administrateur lors de l’installation du logiciel sur tous les clients.
Pour plus de détails sur l’installation du logiciel, consultez le manuel
Logiciel Client
Security Guide
d’installation.
3.
Installez les détecteurs d’empreinte digitale compatibles UVM ainsi que les logiciels associés sur chaque client.
Pour plus d’informations sur les produits compatibles UVM disponibles, rendez-vous sur le site Web IBM http://www.pc.ibm.com/us/security/index.html.
4.
Configurez l’authentification utilisateur dans UVM sur chaque client.
Reportez-vous à la section
«Suppression d’utilisateurs» à la page 45
pour plus de détails.
Effectuez ensuite les opérations suivantes : a.
Autorisez des utilisateurs pour UVM en leur affectant un mot de passe composé UVM.
b.
Configurez la protection de connexion UVM pour la connexion Windows sur chaque client.
c.
Enregistrez les empreintes digitales pour chaque utilisateur client.
Si une authentification par empreinte digitale est requise sur chaque client CSS, tous les utilisateurs de ce client doivent enregistrer leurs empreintes digitales.
5.
Définissez les informations de configuration Tivoli Access Manager sur chaque client.
Pour plus de détails, consultez le manuel
Utilisation du logiciel Client
Security avec Tivoli Access
Manager.
6.
Editez et sauvegardez une stratégie UVM sur l’un des clients, puis copiez-la sur les autres clients.
La stratégie UVM doit être configurée de sorte que Tivoli
Access Manager contrôle les objets d’authentification suivants : v Connexion Windows v
Acquisition d’un certificat numérique v Utilisation d’une signature numérique pour Outlook Express
Chapitre 5.
Utilisation du logiciel Client Security
41
Pour plus de détails, reportez-vous à la section
«Edition et utilisation d’une stratégie UVM» à la page 59.
7.
Redémarrez chaque client afin d’activer la protection UVM pour la connexion
Windows.
8.
Installez le module PKCS 11 de la puce de sécurité intégrée IBM sur chaque client.
Ce module offre un support cryptographique sur les clients qui utilisent
Netscape pour l’envoi et la réception de courriers électroniques, et le sous-système de sécurité intégré IBM pour l’acquisition de certificats numériques.
Pour plus d’informations, consultez le manuel
Logiciel Client
Security Guide
d’installation.
9.
Utilisez Tivoli Access Manager pour contrôler les objets des solutions IBM
Client Security qui figurent sur la console de gestion de Tivoli Access
Manager.
10.
Indiquez aux utilisateurs client les mots de passe composés UVM ainsi que la stratégie qui ont été définis pour chaque client.
11.
Conseillez aux utilisateurs de lire le manuel
Logiciel Client Security Guide d’utilisation
pour exécuter les tâches suivantes : v
Utilisation de la protection UVM pour verrouiller et déverrouiller Windows v Utilisation de l’utilitaire de configuration utilisateur v
Inscription à un certificat numérique qui utilise le sous-système de sécurité intégré comme fournisseur de service cryptographique associé au certificat v
Utilisation du certificat numérique pour chiffrer les messages de courrier
électronique créés dans Netscape
42
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
