Chapitre 6.
Autorisation d’utilisateurs
Les informations qui suivent vous seront utiles pour autoriser des utilisateurs
Windows à utiliser le gestionnaire de vérification d’utilisateur (UVM).
Authentification pour les utilisateurs client
L’authentification des utilisateurs finals au niveau du client constitue l’un des aspects importants de la sécurité informatique.
Le logiciel Client Security offre l’interface requise pour gérer la stratégie de sécurité d’un client CSS.
Cette interface fait partie du logiciel d’authentification, UVM (gestionnaire de vérification d’utilisateur), qui constitue le composant principal du logiciel Client Security.
Il existe deux façons de gérer la stratégie de sécurité UVM pour un client CSS : v
Au niveau local, à l’aide d’un éditeur de stratégie résidant sur le client CSS v Au sein d’une entreprise, à l’aide de Tivoli Access Manager
Des clés de chiffrement sont générées dès l’ajout du premier utilisateur.
Eléments d’authentification
Des éléments d’authentification (tels que les mots de passe composés UVM ou les empreintes digitales des utilisateurs) permettent d’autoriser des utilisateurs au niveau du client CSS.
Lorsque vous autorisez un utilisateur Windows à utiliser le gestionnaire UVM, vous affectez un mot de passe composé pour l’utilisateur client.
Le mot de passe composé UVM, qui peut comporter jusqu’à 256 caractères, représente l’élément d’authentification principal pour le gestionnaire UVM.
Lorsque vous affectez un mot de passe composé UVM, des clés de chiffrement utilisateur sont créées pour l’utilisateur client et stockées dans un fichier géré par le sous-système de sécurité intégré IBM.
Si le client CSS utilise une unité compatible UVM pour l’authentification, l’élément d’authentification (par exemple, les empreintes digitales de l’utilisateur) doit aussi être préalablement enregistré dans le gestionnaire UVM.
Lors de la configuration de l’authentification utilisateur, vous pouvez sélectionner les dispositifs suivants qui sont fournis par le logiciel Client Security : v
Protection UVM pour la connexion au système d’exploitation.
La protection
UVM garantit que seuls les utilisateurs reconnus par le gestionnaire UVM peuvent accéder à l’ordinateur.
Avant d’activer la protection UVM pour la connexion au système, reportez-vous à la section
«Configuration de la protection de connexion UVM» à la page 47
pour plus d’informations.
v
Economiseur d’écran Client Security.
Une fois ajouté, l’utilisateur client peut configurer l’économiseur d’écran Client Security.
Pour cela, il doit utiliser l’option Affichage du panneau de configuration de Windows.
Vous devez activer la protection UVM pour la connexion au système pour l’économiseur d’écran
Client Security.
© Copyright IBM Corp.
2004
43
Opérations préalables à l’autorisation d’utilisateurs
Important :
N’autorisez que des comptes utilisateur qui pourront être utilisés pour la connexion Windows.
Si vous autorisez un compte utilisateur qui
ne peut pas
être utilisé pour la connexion Windows,
tous
les utilisateurs seront verrouillés sur le système lors de l’activation de la protection UVM.
Important :
Au moins un utilisateur client
doit
être autorisé à utiliser UVM lors de la configuration.
Si aucun utilisateur n’est autorisé à utiliser UVM lors de la configuration initiale du logiciel IBM Client Security, vos paramètres de sécurité ne seront
pas
appliqués et vos informations ne seront
pas
protégées.
Lors de l’autorisation d’un utilisateur client, l’utilitaire d’administration vous propose d’effectuer votre choix dans une liste de noms d’utilisateur.
Ces noms correspondent à des comptes utilisateur ajoutés dans le cadre de l’utilisation de
Windows.
Avant d’ajouter des utilisateurs client dans UVM, utilisez Windows pour créer des comptes utilisateur et des profils pour ces utilisateurs.
Le logiciel Client
Security est compatible avec les dispositifs de sécurité fournis par Windows.
Utilisez l’application Utilisateurs et Mots de passe pour créer de nouveaux comptes utilisateur et gérer des comptes ou des groupes existants.
Pour plus d’informations, reportez-vous à la documentation Microsoft.
Remarques :
1.
Lorsque vous créez de nouveaux utilisateurs à l’aide de Windows, le mot de passe du domaine doit être identique pour chaque nouvel utilisateur.
2.
N’autorisez pas un utilisateur dont l’un des noms utilisateur Windows a été modifié.
En effet, UVM pointera sur l’ancien nom utilisateur alors que
Windows reconnaîtra le nouveau.
3.
Lorsqu’un compte utilisateur autorisé est supprimé de Windows, l’interface de protection à la connexion UVM continue à afficher le compte comme un compte pouvant être utilisé pour la connexion à Windows, alors que cela est incorrect.
Ce compte
ne peut pas
être utilisé pour la connexion à Windows.
4.
Une fois un utilisateur autorisé, ne modifiez pas son nom utilisateur Windows.
Sinon, vous devrez réautoriser un nouveau nom d’utilisateur dans UVM et demander de nouvelles accréditations.
Autorisation d’utilisateurs
Les utilisateurs doivent se connecter avec des droits d’administrateur pour pouvoir se servir de l’utilitaire d’administration.
Pour autoriser des utilisateurs dans le gestionnaire UVM, procédez comme suit :
1.
A partir du bureau Windows du client CSS, cliquez sur
Démarrer > Paramètres
> Panneau de configuration > Sous-système de sécurité intégré IBM
.
Le message Saisie du mot de passe administrateur s’affiche.
2.
Entrez le mot de passe administrateur et cliquez sur
OK
.
La fenêtre principale Sous-système de sécurité IBM Utilitaire d’administration s’affiche.
3.
Dans la zone Sélection des utilisateurs Windows à autoriser, sélectionnez un nom d’utilisateur.
Remarque :
Les noms d’utilisateur de la liste sont définis par les comptes utilisateur créés dans Windows.
44
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
4.
Cliquez sur
Autorisation
.
L’écran Configuration de l’authentification utilisateur s’affiche.
5.
Passez en revue et sélectionnez les paramètres d’expiration du mot de passe composé pour le nouvel utilisateur.
Par défaut, la case
L’utilisateur doit changer le mot de passe à la prochaine utilisation
est cochée et le mot de passe composé est défini pour expirer au bout de 184 jours.
6.
Entrez et confirmez un mot de passe composé UVM initial pour le nouvel utilisateur autorisé et cliquez sur
Suivant
.
Si le mot de passe composé ne respecte pas les conditions requises définies dans la stratégie de sécurité, un écran s’affiche afin de vous indiquer que le mot de passe composé entré est incorrect.
Dans ce cas, cliquez sur
OK
, puis sur
Affichage des conditions requises pour le mot de passe composé
, pour d’afficher les paramètres requis pour un mot de passe composé correct.
Lorsque le mot de passe composé est accepté, un message s’affiche afin d’indiquer que l’opération a abouti.
7.
Cliquez sur
OK
pour continuer.
L’écran Mot de passe de connexion Windows s’affiche.
Si la fonction de connexion UVM sécurisée est activée, le mot de passe Windows en cours de l’utilisateur doit être enregistré afin que l’utilisateur puisse se connecter au système.
Cet écran permet à l’administrateur d’effectuer l’une des opérations suivantes : v
Le mot de passe Windows de l’utilisateur sera enregistré ultérieurement à l’aide de l’utilitaire de configuration utilisateur.
Pour que l’utilisateur puisse enregistrer son mot de passe Windows ultérieurement via l’utilitaire de configuration utilisateur, sélectionnez le bouton d’option approprié et cliquez sur
Suivant
.
v
Enregistrement immédiat du mot de passe Windows en cours.
Pour enregistrer immédiatement le mot de passe Windows en cours de l’utilisateur, entrez et confirmez le mot de passe utilisateur dans les zones prévues à cet effet et cliquez sur
Suivant
.
Remarque :
Le mot de passe entré doit correspondre au mot de passe
Windows en cours de l’utilisateur.
Ce paramètre n’a aucun effet sur le mot de passe enregistré dans Windows.
Un message s’affiche afin d’indiquer que l’opération est terminée.
8.
Cliquez sur
OK
.
9.
Cliquez sur
Terminer
.
Suppression d’utilisateurs
Les utilisateurs doivent se connecter avec des droits d’administrateur pour pouvoir se servir de l’utilitaire d’administration.
Pour annuler l’autorisation d’utilisateurs dans le gestionnaire UVM, procédez comme suit :
1.
A partir du bureau Windows du client CSS, cliquez sur
Démarrer > Paramètres
> Panneau de configuration > Sous-système de sécurité intégré IBM
.
Le message Saisie du mot de passe administrateur s’affiche.
2.
Entrez le mot de passe administrateur et cliquez sur
OK
.
La fenêtre principale Sous-système de sécurité IBM Utilitaire d’administration s’affiche.
Chapitre 6.
Autorisation d’utilisateurs
45
3.
Dans la zone Utilisateurs Windows autorisés à utiliser UVM, sélectionnez un nom d’utilisateur.
4.
Cliquez sur
Suppression utilisateur
.
Un message s’affiche afin de vous prévenir que les informations de sécurité de l’utilisateur sélectionné, y compris l’ensemble des clés, certificats, empreintes digitales et mots de passe enregistrés pour cet utilisateur, vont être perdus.
5.
Cliquez sur
Oui
pour continuer.
Un message vous invite à indiquer si vous voulez supprimer les informations archivées de l’utilisateur.
Si vous supprimez ces informations, l’utilisateur ne pourra plus restaurer aucun des paramètres préalablement sauvegardés sur un système.
6.
Cliquez sur
Oui
pour exécuter l’opération.
Création de nouveaux utilisateurs
Les utilisateurs doivent se connecter avec des droits d’administrateur pour pouvoir se servir de l’utilitaire d’administration.
Pour créer de nouveaux utilisateurs, procédez comme suit :
1.
A partir du bureau Windows du client CSS, cliquez sur
Démarrer > Paramètres
> Panneau de configuration > Sous-système de sécurité intégré IBM
.
Le message Saisie du mot de passe administrateur s’affiche.
2.
Entrez le mot de passe administrateur et cliquez sur
OK
.
La fenêtre principale Sous-système de sécurité IBM Utilitaire d’administration s’affiche.
3.
Dans la zone Sélection des utilisateurs Windows à autoriser, cliquez sur
Création d’un nouvel utilisateur Windows
.
L’écran Nouveau compte utilisateur s’affiche.
4.
Cliquez sur
Création d’un nouveau compte
.
5.
Entrez un nom pour le nouveau compte utilisateur dans la zone prévue à cet effet ; cliquez ensuite sur
Suivant
.
6.
Sélectionnez un type de compte en cliquant sur le bouton d’option approprié.
7.
Cliquez sur
Créer un compte
.
8.
Retournez dans l’utilitaire d’administration du Sous-système de sécurité client
IBM.
Le nouveau compte utilisateur est affiché dans la zone Sélection des utilisateurs
Windows à autoriser.
46
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
