Chapitre 8.
Gestion d’une stratégie UVM
Remarque :
Avant de tenter d’éditer la stratégie UVM du client local, assurez-vous que des clés ont été définies.
Sinon, un message d’erreur s’affiche à chaque tentative d’ouverture d’un fichier de stratégie local à l’aide de l’éditeur.
Après l’autorisation d’utilisateurs dans le gestionnaire UVM, vous devez éditer et sauvegarder une stratégie de sécurité pour chaque client IBM.
La stratégie de sécurité fournie par le logiciel Client Security est appelée stratégie UVM ; elle intègre les paramètres que vous avez indiqués à la section
“Autorisation d’utilisateurs“,
ainsi que les procédures d’authentification au niveau du client.
Un fichier de stratégie UVM peut être copié sur les clients d’un réseau.
L’utilitaire d’administration intègre un éditeur de stratégie UVM grâce qui vous permet d’éditer et de sauvegarder une stratégie UVM pour un client.
Les tâches exécutées au niveau du client IBM, telles que la connexion Windows ou le déverrouillage de l’économiseur d’écran, sont appelées des objets d’authentification, auxquels sont associées des procédures d’authentification dans le cadre de la stratégie UVM.
Vous pouvez, par exemple, définir les procédures d’authentification suivantes dans une stratégie UVM : v
Chaque utilisateur doit entrer un mot de passe composé UVM et effectuer une authentification par empreinte digitale pour se connecter à Windows.
v Chaque utilisateur doit entrer un mot de passe composé UVM lors de chaque acquisition d’un certificat numérique.
Vous pouvez contrôler des objets d’authentification spécifiques qui sont définis dans la stratégie UVM à l’aide de Tivoli Access Manager.
Pour plus de détails, reportez-vous au manuel
Utilisation du logiciel Client Security avec Tivoli Access
Manager.
Les objets d’authentification définis dans la stratégie UVM concernent le client IBM et non l’utilisateur individuel.
Par conséquent, si vous définissez dans une stratégie
UVM un objet impliquant une authentification par empreinte digitale (pour la connexion Windows, par exemple), chacun des utilisateurs autorisés à utiliser
UVM doit enregistrer son empreinte digitale pour pouvoir utiliser cet objet.
Pour plus de détails sur l’autorisation d’un utilisateur, reportez-vous à la section
«Suppression d’utilisateurs» à la page 45.
La stratégie UVM est sauvegardée dans un fichier appelé globalpolicy.gvm
.
Pour pouvoir utiliser le gestionnaire UVM sur un réseau, il est nécessaire de sauvegarder la stratégie UVM sur un client IBM puis de la copier sur d’autres clients.
La copie du fichier de stratégie UVM sur d’autres clients peut vous permettre de gagner du temps lors de la configuration.
Edition d’une stratégie UVM
Une stratégie UVM ne peut être éditée et utilisée que sur le client pour lequel elle a été éditée.
Si vous avez installé le logiciel Client Security à l’emplacement par défaut, le fichier de stratégie UVM est stocké dans le répertoire \Program
Files\IBM\Security\UVM_Policy\globalpolicy.gvm.
Pour éditer et sauvegarder un fichier de stratégie UVM, utilisez l’éditeur de stratégie UVM.
L’interface de cet
éditeur est fournie dans l’utilitaire d’administration.
© Copyright IBM Corp.
2004
55
L’authentification effectuée dépend de ce que vous sélectionnez dans l’éditeur de stratégie.
Par exemple, si vous sélectionnez “Aucun mot de passe composé obligatoire après ce type de première utilisation” pour la connexion Lotus Notes, vous serez invité à suivre cette procédure d’authentification UVM chaque fois que vous vous connectez à Lotus Notes.
Ensuite, tant que vous n’avez pas effectué de réamorçage ni de déconnexion, vous n’avez pas à ressaisir ce mot de passe composé chaque fois que vous accédez à Lotus Notes.
Lorsque vous définissez dans une stratégie UVM un objet d’authentification impliquant la détection d’empreinte digitale (pour la connexion Windows, par exemple), chacun des utilisateurs autorisés à utiliser UVM doit enregistrer ses empreintes digitales pour pouvoir utiliser cet objet.
Lorsque vous éditez une stratégie UVM, vous pouvez en afficher les informations récapitulatives en cliquant sur
Récapitulatif de la stratégie
.
Vous pouvez
également cliquer sur
Validation
afin de sauvegarder vos modifications.
Si vous cliquez sur
Validation
, un message vous invite à entrer la clé privée administrateur.
Après avoir entré cette clé, cliquez sur
OK
afin de sauvegarder vos modifications.
Si la clé indiquée est incorrecte, vos modifications ne seront pas sauvegardées.
Sélection d’objet
Les objets de stratégie UVM permettent d’établir différentes stratégies de sécurité pour les différentes actions de l’utilisateur.
Les objets UVM admis sont indiqués dans la page
Sélection d’objet
de l’écran Stratégie UVM IBM dans l’utilitaire d’administration.
Les objets de stratégie UVM admis sont les suivants :
Connexion système
Cet objet contrôle les procédures d’authentification nécessaires à la connexion au système.
Déverrouillage système
Cet objet contrôle les procédures d’authentification nécessaires au déverrouillage de l’économiseur d’écran du logiciel Client Security.
Lotus Notes Connexion
Cet objet contrôle les procédures d’authentification nécessaires à la connexion à Lotus Notes.
Lotus Notes Modification de mot de passe
Cet objet contrôle les procédures d’authentification nécessaires à la génération d’un mot de passe Lotus Notes à l’aide du gestionnaire UVM.
Signature numérique (courrier électronique)
Cet objet contrôle les procédures d’authentification nécessaires lors de la connexion sous Microsoft Outlook ou Outlook Express.
Déchiffrement (courrier électronique)
Cet objet contrôle les procédures d’authentification nécessaires lors d’une opération de déchiffrement dans Microsoft Outlook ou Outlook Express.
Protection des fichiers et des dossiers
Cet objet contrôle les procédures d’authentification nécessaires lors d’opérations de chiffrement et de déchiffrement opérées à l’aide du bouton droit de la souris.
56
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
Gestionnaire de mots de passe
Cet objet contrôle les procédures d’authentification nécessaires lorsque vous utilisez le gestionnaire de mots de passe IBM, lequel est disponible à partir du site Web d’IBM.
Lorsqu’il est activé, il est préférable, pour la plupart des utilisateurs, de conserver le paramètre
″Aucun mot de passe composé obligatoire après ce type de première utilisation
″.
Netscape Module de connexion PKCS n° 11
Cet objet contrôle la procédure d’authentification nécessaire lorsqu’un appel PKCS n° 11 C_OpenSession est reçu par le module PKCS n° 11.
Pour la plupart des utilisateurs, il est préférable de conserver le paramètre
“Aucun mot de passe composé obligatoire après ce type de première utilisation.”
Connexion Entrust
Cet objet contrôle les procédures d’authentification nécessaires lorsque
Entrust émet un appel PKCS n° 11 C_OpenSession destiné au module
PKCS n° 11.
Pour la plupart des utilisateurs, il est préférable de conserver le paramètre “Aucun mot de passe composé obligatoire après ce type de première utilisation.”
Entrust Modification du mot de passe de connexion
Cet objet contrôle les procédures d’authentification nécessaires à la modification du mot de passe de connexion Entrust.
Pour ce faire, Entrust
émet un appel PKCS#11 C_OpenSession destiné au module PKCS n° 11.
Pour la plupart des utilisateurs, il est préférable de conserver le paramètre
“Aucun mot de passe composé obligatoire après ce type de première utilisation.”
Eléments d’authentification
La stratégie UVM définit les éléments d’authentification disponibles qui sont requis pour chacun des objets que vous activez.
Cela vous permet d’établir différentes stratégies de sécurité pour les différentes actions de l’utilisateur.
Les éléments d’authentification qui peuvent être sélectionnés à partir de l’onglet
Eléments d’authentification
de l’écran Stratégie UVM IBM dans l’utilitaire d’administration sont les suivants :
Choix de mot de passe composé
Ce choix permet à l’administrateur d’établir le mot de passe composé UVM
à utiliser pour authentifier un utilisateur de l’une des trois manières suivantes : v Nouveau mot de passe composé obligatoire à chaque fois.
v
Aucun mot de passe composé obligatoire après ce type de première utilisation.
v Mot de passe composé non obligatoire si indiqué à l’ouverture de session sur le système.
Sélection d’empreintes digitales
Ce choix permet à l’administrateur d’établir que la détection d’une empreinte digitale peu être utilisée pour authentifier un utilisateur de l’une des trois manières suivantes : v Nouvelle empreinte digitale obligatoire à chaque fois.
v
Aucune empreinte digitale obligatoire après ce type de première utilisation.
Chapitre 8.
Gestion d’une stratégie UVM
57
v Aucune empreinte digitale obligatoire si donnée à l’ouverture de session sur le système.
Paramètres globaux d’empreintes digitales
Ce choix permet à l’administrateur d’établir un nombre maximal de tentatives d’authentification avant le verrouillage du système pour un utilisateur.
Cette zone permet également à l’administrateur d’autoriser le remplacement de la protection par authentification d’empreinte digitale par un mot de passe composé.
Sélection de carte à puce
Cette sélection permet à un administrateur d’exiger qu’une carte à puce soit fournie comme dispositif d’authentification supplémentaire.
Paramètres globaux de carte à puce
Cette sélection permet à un administrateur de définir la stratégie permettant la substitution lorsque le mot de passe composé UVM est fourni.
Utilisation de l’éditeur de stratégie UVM
Pour utiliser l’éditeur de stratégie UVM, procédez comme suit dans l’utilitaire d’administration :
1.
Cliquez sur le bouton
Configuration du support d’application et des stratégies
.
L’écran Configuration des applications UVM et des stratégies s’affiche.
2.
Cliquez sur le bouton
Stratégie d’application
.
L’écran Modification de la configuration de stratégie de Client Security s’affiche.
3.
Cliquez sur le bouton
Edition de la stratégie
.
L’écran Saisie du mot de passe administrateur s’affiche.
4.
Entrez votre mot de passe administrateur, puis cliquez sur
OK
.
L’écran Stratégie UVM IBM s’affiche.
5.
Cliquez sur l’onglet Sélection d’objet, puis sur
Action
ou
Type d’objet
et sélectionnez l’objet auquel vous souhaitez associer des procédures d’authentification.
Les actions proposées sont les suivantes : Connexion système, Déverrouillage système et Déchiffrement de courrier électronique.
Exemple de type d’objet :
Acquisition de certificat numérique.
6.
Pour chaque objet sélectionné, effectuez les opérations suivantes : v
Cliquez sur l’onglet
Eléments d’authentification
et éditez les paramètres des
éléments d’authentification disponibles que vous souhaitez affecter à l’objet.
v Sélectionnez
Access Manager contrôle l’objet sélectionné
afin de permettre à
Tivoli Access Manager de contrôler l’objet que vous avez choisi.
Ne sélectionnez cette option que si vous voulez que Tivoli Access Manager contrôle les éléments d’authentification pour le client IBM.
Pour plus de détails, consultez le manuel
Utilisation du logiciel Client Security avec Tivoli
Access
Manager.
Important :
Si vous activez le contrôle de Tivoli Access Manager sur l’objet, vous lui accordez également le contrôle sur l’espace objet.
Dans ce cas, vous devez réinstaller le logiciel Client Security pour établir à nouveau un contrôle local sur cet objet.
v
Sélectionnez
Refuser tout accès à l’objet sélectionné
afin qu’aucun accès ne soit possible à l’objet que vous avez choisi.
58
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
7.
Cliquez sur
OK
afin de sauvegarder vos modifications et sortir.
Edition et utilisation d’une stratégie UVM
Pour pouvoir appliquer une stratégie UVM à plusieurs clients IBM, vous devez l’éditer et la sauvegarder, puis copier le fichier correspondant sur d’autres clients
IBM.
Si vous installez le logiciel Client Security à l’emplacement par défaut, le fichier de stratégie UVM se trouve dans le répertoire \Program
Files\IBM\Security\UVM_Policy\remote\globalpolicy.gvm.
Copiez les fichiers suivants sur les autres clients IBM éloignés qui vont utiliser cette stratégie UVM : v
\IBM\Security\UVM_Policy\remote\globalpolicy.gvm
v \IBM\Security\UVM_Policy\remote\globalpolicy.gvm.sig
Si vous avez installé le logiciel Client Security à l’emplacement par défaut, le répertoire principal des chemins précédents est \Program Files.
Copiez les deux fichiers dans le répertoire \IBM\Security\UVM_Policy\ sur les clients.
Chapitre 8.
Gestion d’une stratégie UVM
59
60
Logiciel Client Security version 5.4
Guide d’administration et d’utilisation
