Chapitre 7.
Fonctions UVM supplémentaires
Une fois que des utilisateurs ont été autorisés dans UVM, des fonctions supplémentaires de Client Security peuvent être utilisées, parmi lesquelles : v
Authentification Windows améliorée.
Reportez-vous à la section
«Planification de la la protection de connexion UVM»
pour plus de détails.
v
Protection de l’authentification améliorée pour les utilisateurs Lotus Notes.
v
Activation des applications conformes au module PKCS 11.
v
Réinitialisation d’un mot de passe composé.
v
Enregistrement des empreintes digitales de l’utilisateur.
Reportez-vous à la section
«Enregistrement des empreintes digitales de l’utilisateur» à la page 53
pour plus de détails.
Si un détecteur d’empreintes digitales compatible UVM est installé avant l’ajout d’utilisateurs dans UVM, il est possible de procéder à ce stade à l’enregistrement des empreintes digitales.
Authentification Windows améliorée
La fonction de protection de connexion UVM vient renforcer le dispositif de sécurité par mot de passe fourni avec Windows.
L’interface de connexion UVM remplace la connexion Windows de sorte que la fenêtre de connexion UVM s’ouvre
à chaque tentative de connexion de l’utilisateur au système.
Planification de la la protection de connexion UVM
Lisez les informations ci-après avant de définir et d’utiliser la protection UVM pour la connexion Windows.
v Si la stratégie UVM indique qu’une authentification par empreinte digitale est requise pour la connexion Windows et qu’aucune empreinte digitale n’est enregistrée pour l’utilisateur, il est nécessaire que ce dernier enregistre ses empreintes pour pouvoir se connecter.
Par ailleurs, si le mot de passe Windows de l’utilisateur n’est pas enregistré (ou est enregistré de façon incorrecte) dans UVM, il doit être indiqué correctement par l’utilisateur pour que la connexion soit possible.
v
Ne videz pas la puce de sécurité intégrée IBM tant que la protection UVM est activée.
Sinon, le système se verrouillera.
Pour plus de détails, consultez les
“Conseils pour l’administrateur” au
Annexe A, «Identification des incidents», à la page 73.
v Si vous désélectionnez la caseActivation
du remplacement de connexion
Windows
dans l’utilitaire d’administration, le système revient à la procédure d’ouverture de session Windows sans utiliser la protection de connexion UVM.
v
Si vous activez le remplacement de connexion Windows par la fenêtre de connexion sécurisée du gestionnaire UVM et activez la fonction Cisco LEAP, vous devez réinstaller Cisco Aironet Client Utility (ACU).
Configuration de la protection de connexion UVM
Pour configurer la protection de connexion UVM pour Windows, procédez comme suit :
1.
A partir du bureau Windows du client IBM, cliquez sur
Démarrer > Paramètres
> Panneau de configuration > Sous-système de sécurité intégré IBM
.
© Copyright IBM Corp.
2004
47
La fenêtre principale de l’utilitaire d’administration s’affiche.
2.
Cliquez sur
Configuration du support d’application et des stratégies
.
L’écran Configuration des applications UVM et des stratégies s’affiche.
3.
Cochez la case
Activation du remplacement de connexion Windows
.
4.
Cliquez sur
OK
.
5.
Cliquez sur
Sortir
.
6.
Fermez toutes les applications.
7.
Redémarrez l’ordinateur.
Lors du redémarrage, vous êtes invité à vous connecter.
Pour plus d’informations sur la protection UVM, reportez-vous à la section
«Authentification Windows améliorée» à la page 47.
Récupération d’un mot de passe composé UVM
Un mot de passe composé UVM est créé pour chaque utilisateur autorisé dans la stratégie de sécurité du client IBM.
L’utilitaire d’administration permet à un administrateur de récupérer ou modifier un mot de passe composé, qui peut être perdu ou oublié, ou encore modifié par l’utilisateur client.
Pour lancer une procédure de récupération de mot de passe composé UVM, procédez comme suit :
1.
A partir du bureau Windows du client IBM, cliquez sur
Démarrer >
Paramètres > Panneau de configuration > Sous-système de sécurité intégré
IBM
.
La fenêtre principale de l’utilitaire d’administration s’affiche.
2.
Dans la zone Utilisateurs Windows autorisés à utiliser UVM, sélectionnez un nom d’utilisateur.
3.
Cliquez sur
Modification du mot de passe composé
.
L’écran de modification du mot de passe composé s’affiche.
4.
Entrez le chemin et le nom du répertoire de l’archive de clés, ou cliquez sur
Parcourir
afin de localiser le répertoire.
5.
Entrez le chemin et le nom de fichier de la clé privée administrateur dans la zone Fichier de clés privées d’archive, ou cliquez sur
Parcourir
afin de localiser le fichier.
6.
Cliquez sur
OK
.
Si la clé privée administrateur a été scindée en plusieurs fichiers, un message vous invite à entrer le chemin et le nom de chaque fichier.
Cliquez sur
Lecture fichier suivant
après avoir entré chaque nom de fichier dans la zone Fichier de clés.
7.
Entrez le nouveau mot de passe composé UVM pour l’utilisateur dans la zone
Mot de passe composé UVM et confirmez ce mot de passe composé dans la zone de confirmation de mot de passe composé UVM.
Cliquez sur le bouton de
visualisation des règles du mot de passe composé
afin de visualiser les règles activées par la stratégie de sécurité UVM.
8.
Sélectionnez et définissez les règles de péremption de mot de passe composé disponibles dans la zone de péremption de mot de passe composé.
9.
Cliquez sur
Suivant
.
Un message s’affiche afin d’indiquer que l’opération a abouti.
10.
Cliquez sur
Terminer
.
48
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
Protection de l’authentification améliorée pour les utilisateurs Lotus
Notes
UVM permet d’améliorer la protection des utilisateurs de Lotus Notes.
Activation et configuration de la protection de connexion UVM pour un ID utilisateur Lotus Notes
Avant de pouvoir activer la protection de connexion UVM pour Lotus Notes, ce dernier doit être installé sur le client IBM, un ID utilisateur et un mot de passe
Lotus Notes doivent être définis pour l’utilisateur et celui-ci doit disposer de droits suffisants pour utiliser le gestionnaire UVM.
Pour configurer la protection de connexion UVM pour Lotus Notes, procédez comme suit :
1.
A partir du bureau Windows du client IBM, cliquez sur
Démarrer >
Paramètres > Panneau de configuration > Sous-système de sécurité intégré
IBM
.
La fenêtre principale de l’utilitaire d’administration s’affiche.
2.
Cliquez sur
Configuration du support d’application et des stratégies
.
L’écran Configuration des applications UVM et des stratégies s’affiche.
3.
Sélectionnez l’option
Activation du support Lotus Notes
.
La protection UVM pour l’ID utilisateur Lotus Notes est à présent activée.
Si nécessaire, suivez les étapes facultatives ci-après pour configurer la stratégie de connexion Lotus Notes.
4.
Cliquez sur
Stratégie d’application
.
L’écran Modification de la configuration de stratégie de Client Security s’affiche.
5.
Cliquez sur
Edition de la stratégie
.
6.
Entrez le mot de passe administrateur et cliquez sur
OK
.
L’écran Stratégie
UVM IBM : Connexion Lotus Notes s’affiche.
7.
Cliquez sur l’onglet Sélection d’objet, puis sélectionnez
Connexion Lotus
Notes
dans le menu déroulant Action.
8.
Cliquez sur l’onglet Eléments d’authentification, puis sélectionnez les éléments d’authentification requis pour la connexion Lotus Notes.
9.
Cliquez sur
Validation
pour sauvegarder vos choix.
L’écran Clé privée d’administrateur requise s’affiche.
10.
Indiquez l’emplacement de la clé privée.
Pour cela, entrez directement le chemin d’accès dans la zone prévue à cet effet ou cliquez sur
Parcourir
et sélectionnez le dossier approprié.
11.
Cliquez sur
OK
.
L’écran Gestionnaire de vérification d’utilisateur IBM : Récapitulatif de stratégie affiche un récapitulatif des objets contrôlés par la stratégie client locale.
12.
Lancez Lotus Notes.
L’enregistrement du mot de passe UVM est terminé une fois Lotus Notes démarré.
Chapitre 7.
Fonctions UVM supplémentaires
49
Utilisation de la protection de connexion UVM dans Lotus
Notes
Avant de commencer à utiliser la protection UVM pour Lotus Notes, vous devez suivre la procédure décrite à la section
«Configuration de la protection de connexion UVM dans Lotus Notes».
Configuration de la protection de connexion UVM dans Lotus
Notes
Pour configurer la protection UVM dans Lotus Notes, procédez comme suit :
1.
Connectez-vous à Lotus Notes.
La fenêtre Gestionnaire de vérification d’utilisateur IBM s’affiche.
2.
Entrez et vérifiez votre mot de passe Lotus Notes dans les zones prévues à cet effet.
Votre mot de passe Lotus Notes est à présent enregistré dans UVM.
Re-définition de votre mot de passe Lotus Notes
Pour redéfinir votre mot de passe Lotus Notes, procédez comme suit :
1.
Connectez-vous à Lotus Notes.
2.
A partir de la barre de menus de Lotus Notes, cliquez sur
Fichier > Outils >
Sécurité utilisateur
.
La fenêtre Gestionnaire de vérification d’utilisateur IBM s’affiche.
3.
Entrez votre mot de passe composé UVM et cliquez sur
OK
.
La fenêtre Sécurité utilisateur s’affiche.
4.
Cliquez sur
Définition de mot de passe
.
La fenêtre Gestionnaire de vérification d’utilisateur IBM s’affiche.
5.
Sélectionnez le bouton
Création de votre propre mot de passe
.
6.
Entrez et vérifiez votre mot de passe Lotus Notes dans les zones prévues à cet effet et cliquez sur
OK
.
Remarque :
Si vous essayez de changer votre mot de passe par une valeur déjà utilisée auparavant, Lotus Notes rejette la modification mais il n’en informe pas le logiciel Client Security.
Par conséquent, le nouveau mot de passe rejeté est stocké dans UVM.
Si vous recevez un message indiquant que le mot de passe a déjà été utilisé par le passé, vous devez quitter Lotus Notes, lancer l’utilitaire de configuration utilisateur, puis restaurer la valeur initiale du mot de passe Lotus Notes.
Si cette erreur se produit alors que votre mot de passe Lotus Notes a été généré de façon aléatoire, vous n’avez aucun moyen de savoir quel était ce mot de passe et vous ne pouvez donc pas le restaurer manuellement.
Vous devez demander un nouveau fichier d’ID à votre administrateur ou restaurer une version préalablement sauvegardée de ce fichier.
Désactivation de la protection de connexion UVM pour un ID utilisateur Lotus Notes
Si vous souhaitez désactiver la protection de connexion UVM pour un ID utilisateur Lotus Notes, procédez comme suit :
1.
A partir du bureau Windows du client IBM, cliquez sur
Démarrer > Paramètres
> Panneau de configuration > Sous-système de sécurité intégré IBM
.
50
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
Une fois que vous avez tapé le mot de passe administrateur, la fenêtre principale de l’utilitaire d’administration s’affiche.
2.
Cliquez sur
Configuration du support d’application et des stratégies
.
L’écran Configuration des applications UVM et des stratégies s’affiche.
3.
Désélectionnez l’option
Activation du support Lotus Notes
.
4.
Cliquez sur
OK
.
L’écran Actions du support d’application affiche un message indiquant que le support Lotus Notes est désactivé.
Configuration de la protection de connexion UVM pour un autre ID utilisateur Lotus Notes
Pour passer d’un ID utilisateur dont la protection UVM est activée à un autre ID utilisateur, procédez comme suit :
1.
Quittez Lotus Notes.
2.
Désactivez la protection UVM pour l’ID utilisateur en cours.
Reportez-vous à la section
«Désactivation de la protection de connexion UVM pour un ID utilisateur Lotus Notes» à la page 50
pour plus de détails.
3.
Lancez Lotus Notes et changez d’ID utilisateur.
Pour plus de détails sur cette opération, consultez votre documentation Lotus Notes.
4.
Pour configurer la protection UVM de cet ID utilisateur, lancez l’outil de configuration de Lotus Notes (fourni par le logiciel Client Security), et définissez la protection UVM.
Reportez-vous à la section
«Utilisation de la protection de connexion UVM dans Lotus Notes» à la page 50.
Activation des applications conformes au module PKCS 11
Les instructions de la présente section sont spécifiques de l’utilisation du logiciel
Client Security pour ce qui concerne l’obtention et l’utilisation de certificats numériques avec des applications prenant en charge le module PKCS 11, par exemple, un logiciel Netscape ou RSA SecurID.
Pour plus de détails concernant l’utilisation de paramètres de sécurité pour les applications Netscape, consultez la documentation fournie avec ce dernier.
Seules les versions 4.8
et 7.1
de Netscape sont prises en charge par le logiciel IBM Client
Security.
Remarque :
Pour utiliser des navigateurs 128 bits avec le logiciel Client Security, la puce de sécurité intégrée IBM doit prendre en charge le chiffrement 256 bits.
La puissance de chiffrement fournie par le logiciel Client Security est indiquée dans l’utilitaire d’administration (bouton
Paramètres de puce
).
Installation du module PKCS 11 de la puce de sécurité intégrée IBM
Avant d’utiliser un certificat numérique, vous devez installer le module PKCS 11 de la puce de sécurité intégrée IBM sur l’ordinateur.
Cette installation nécessitant un mot de passe composé UVM, vous devez ajouter au moins un utilisateur dans la stratégie de sécurité pour l’ordinateur.
Pour installer le module PKCS 11 de la puce de sécurité intégrée IBM à l’aide de
Netscape, procédez comme suit :
1.
Ouvrez Netscape et cliquez sur
File > Open page
.
Chapitre 7.
Fonctions UVM supplémentaires
51
2.
Recherchez le fichier d’installation ibmpkcsinstallt.html
ou ibmpkcsinstalls.html
.
(Si vous avez accepté le répertoire par défaut lors de l’installation du logiciel, ce fichier se trouve dans C:\Program Files\IBM\Security.)
3.
Ouvrez le fichier d’installation ibmpkcsinstallt.html
ou ibmpkcsinstalls.html
dans Netscape.
Un message vous invite à confirmer l’installation de ce module de sécurité.
4.
Cliquez sur
OK
.
La fenêtre de mot de passe composé UVM s’affiche.
5.
Entrez le mot de passe composé UVM et cliquez sur
OK
.
Un message s’affiche pour indiquer que le module est installé.
Sélection du sous-système de sécurité intégré IBM pour générer un certificat numérique
Pendant la création du certificat numérique, lorsque vous serez invité à sélectionner la carte ou la base de données dans laquelle générer la clé, sélectionnez
CSP amélioré du sous-système de sécurité intégré IBM
.
Pour plus d’informations sur la génération d’un certificat numérique et son utilisation dans Netscape, consultez la documentation fournie avec ce dernier.
Mise à jour de l’archive de clés
Une fois que vous avez créé un certificat numérique, effectuez une copie de sauvegarde du certificat en mettant à jour l’archive de clés.
Vous pouvez effectuer cette mise à jour à l’aide de l’utilitaire de configuration.
Utilisation du certificat numérique du module PKCS 11
Utilisez les paramètres de sécurité de vos applications pour visualiser, sélectionner et utiliser les certificats numériques.
Par exemple, dans les paramètres de sécurité de Netscape Messenger, vous devez d’abord sélectionner le certificat pour pouvoir créer des signatures numériques ou chiffrer vos messages électroniques.
Pour plus de détails, consultez la documentation fournie par Netscape.
Après avoir installé le module PKCS n° 11 de la puce de sécurité intégrée IBM,
UVM vous invitera à appliquer des procédures d’authentification à chaque utilisation du certificat numérique.
Vous devrez peut-être entrer votre mot de passe composé UVM et/ou scanner vos empreintes digitales.
Les besoins d’authentification sont définis dans la stratégie UVM pour l’ordinateur.
Si vous ne parvenez pas à vous authentifier suivant la procédure définie dans la stratégie UVM, un message d’erreur s’affiche.
Lorsque vous cliquez sur
OK
en réponse au message, l’application se lance, mais vous ne pouvez pas utiliser le certificat numérique généré par la puce de sécurité intégrée IBM tant que l’application n’a pas été redémarrée et que vous n’avez pas indiqué le mot de passe composé et/ou les empreintes digitales qui conviennent.
Réinitialisation d’un mot de passe composé
Si un utilisateur oublie son mot de passe composé, l’administrateur peut l’autoriser
à réinitialiser son mot de passe.
52
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
Réinitialisation à distance d’un mot de passe composé
Pour réinitialiser un mot de passe à distance, procédez comme suit : v
Administrateurs
Un administrateur distant doit exécuter la procédure suivante :
1.
Créer un nouveau mot de passe unique et le communiquer à l’utilisateur.
2.
Envoyer un fichier de données à l’utilisateur.
Le fichier de données peut être envoyé à l’utilisateur par courrier
électronique, copié sur un support amovible tel qu’une disquette ou copié directement dans le fichier d’archive de l’utilisateur (en supposant que l’utilisateur puisse accéder à ce système).
Ce fichier chiffré permet d’effectuer une vérification par comparaison avec le nouveau mot de passe unique.
v
Utilisateurs
L’utilisateur doit exécuter la procédure suivante :
1.
Ouvrir une session sur l’ordinateur.
2.
Lorsqu’il est invité à entrer son mot de passe composé, cocher la case
″J’ai oublié mon mot de passe composé
″.
3.
Entrer le mot de passe unique communiqué par l’administrateur distant et fournir l’emplacement du fichier envoyé par l’administrateur.
Une fois qu’UVM a vérifié que les informations contenues dans le fichier correspondaient au mot de passe fourni, l’utilisateur se voit accorder l’accès.
Il est alors immédiatement invité à modifier son mot de passe composé.
Voici la méthode recommandée pour réinitialiser un mot de passe composé en cas d’oubli.
Réinitialisation manuelle d’un mot de passe composé
Si l’administrateur peut utiliser directement le système de l’utilisateur ayant oublié son mot de passe, il peut ouvrir une session sur ce système en tant qu’administrateur, fournir la clé privée administrateur à l’utilitaire d’administration et modifier manuellement le mot de passe composé de l’utilisateur.
Il n’est pas nécessaire que l’administrateur connaisse l’ancien mot de passe composé de l’utilisateur pour effectuer une modification de ce mot de passe.
Enregistrement des empreintes digitales de l’utilisateur
Lorsqu’une stratégie UVM indique qu’une authentification par empreinte digitale est requise, il est nécessaire que chaque utilisateur enregistre ses empreintes dans le gestionnaire UVM.
Pour enregistrer les empreintes digitales d’un utilisateur dans UVM, procédez comme suit dans l’utilitaire d’administration :
1.
Dans la zone Utilisateurs Windows autorisés à utiliser UVM, sélectionnez un nom d’utilisateur.
2.
Cliquez sur
Edition utilisateur
.
La fenêtre Modification de la configuration utilisateur de Client Security -
Edition des attributs utilisateur UVM s’affiche.
3.
Sélectionnez l’option
Enregistrement d’empreinte digitale et/ou de carte à puce
, puis cliquez sur
Suivant
.
La fenêtre Modification de la configuration utilisateur de Client Security -
Unités UVM activées s’affiche.
4.
Cliquez sur
Enregistrement des empreintes digitales de l’utilisateur
.
Chapitre 7.
Fonctions UVM supplémentaires
53
5.
Dans la zone Sélection d’une main, cliquez sur
Gauche
ou
Droite
.
6.
Dans la zone Sélection d’un doigt, sélectionnez le doigt dont vous allez scanner l’empreinte, puis cliquez sur
Début de l’enregistrement
.
7.
Placez votre doigt sur le détecteur d’empreinte digitale compatible UVM et suivez les instructions affichées à l’écran.
Suivant votre modèle de scanner, vous devrez peut-être scanner chaque empreinte quatre fois.
Cliquez sur
Annulation doigt
pour annuler le scannage d’un doigt.
8.
Sélectionnez un autre doigt à enregistrer ou cliquez sur
Sortie
.
54
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
Public link updated
The public link to your chat has been updated.