Cryptographie conforme à la norme FIPS
5. Si l'utilitaire s'est terminé avec des erreurs ou des avertissements, procédez comme suit : a. Affichez le fichier journal osimfiputil.log dans le dossier
répertoire_installation_ITCM\bin si le script s'est terminé avec des erreurs ou des avertissements. Pour en savoir plus, consultez le journal d'événements. b. Exécutez les actions correctives nécessaires pour corriger les erreurs et relancez l'utilitaire de conversion.
Les composants DSM sont configurés pour utiliser le mode FIPS requis.
Exemple : commande pour l'exécution de l'utilitaire de conversion pour le mode FIPS uniquement :
dmscript dsm_fips_conv.dms FIPS_ONLY
Modification de la stratégie de configuration dans le cadre de la modification du mode FIPS
Pour modifier le mode FIPS de votre infrastructure Client Automation, vous devez modifier les stratégies FIPS au niveau de la stratégie de configuration par défaut. Ces stratégies déterminent le mode FIPS vers lequel vous souhaitez basculer ainsi que l'action à exécuter avant de passer d'un mode FIPS à un autre.
Si vous possédez un gestionnaire d'entreprise, effectuez les étapes ci-dessous. Les changements de stratégie sont automatiquement propagés à tous les gestionnaires de domaines associés, aux serveurs de modularité et aux agents. Si vous ne possédez pas de gestionnaire d'entreprise, procédez comme suit sur tous les gestionnaires de domaines.
Remarque : Effectuez cette tâche uniquement si le mode FIPS du gestionnaire est
Préférence FIPS (prêt pour le mode FIPS-uniquement).
458 Manuel d'implémentation
Cryptographie conforme à la norme FIPS
Pour modifier la stratégie de configuration afin de modifier le mode FIPS :
1. Ouvrez le panneau de configuration et, dans Stratégie de configuration, cliquez avec le bouton droit de la souris sur Stratégie de configuration par défaut, puis cliquez sur Desceller.
La stratégie est descellée et prête pour les mises à jour.
Remarque : La modification du mode FIPS via les stratégies de configuration personnalisées n'est pas recommandée.
2. Allez dans DSM, Composants communs, Sécurité, Paramètres FIPS 140 et modifiez les stratégies suivantes :
Paramètre FIPS 140
Définit le niveau de conformité à la norme FIPS. Modifiez ce paramètre pour spécifier le mode FIPS vers lequel vous souhaitez basculer.
Action sur modification
Définit les actions à exécuter lors de la modification du paramètre FIPS 140.
Remarque : Pour plus d'informations sur les valeurs de la stratégie pour ces paramètres, consultez l'aide de l'explorateur DSM.
3. Scellez la stratégie au niveau du gestionnaire. Pour plus d'informations sur le scellement de la stratégie, consultez la section Stratégie de configuration de l'aide
de l'explorateur DSM.
Les changements de stratégie sont propagés à tous les composants DSM associés.
Ce processus prend du temps si votre infrastructure Client Automation est volumineuse.
Chapitre 11: Fonctionnalités de sécurité Client Automation 459
Cryptographie conforme à la norme FIPS
4. Vous devez modifier manuellement le mode FIPS des composants suivants étant donné que les changements de stratégie ne seront pas automatiquement propagés
à ces composants :
■
Agents autonomes Remote Control
■
Agents DSM non gérés sur le gestionnaire d'entreprise
Remarque : Un agent non géré est un agent qui n'est relié à aucun gestionnaire de domaines. Si, par la suite, vous reliez l'agent non géré à un gestionnaire de domaines, le mode FIPS de l'agent sera remplacé par celui du gestionnaire de domaines.
Pour modifier manuellement le mode FIPS, utilisez la commande suivante : ccnfcmda –cmd setparametervalue –ps /itrm/common/security/fips140 –pn installmode –v Mode_FIPS
FIPS_MODE
Spécifie le mode FIPS. Entrez 1 pour activer le mode Préférence FIPS et 2 pour le mode FIPS uniquement.
Le mode FIPS spécifié est activé au niveau de l'agent, lorsque la commande est exécutée correctement.
Remarque : L'explorateur DSM autonome et le générateur de rapports DSM ne requièrent aucune configuration spécifique étant donné que l'agent DSM est toujours installé avec l'installation-autonome de ces deux composants et que les agents reçoivent automatiquement la mise à jour de stratégie envoyée par le gestionnaire.
5. Exécutez la commande suivante sur tous les composants DSM si vous n'avez pas modifié le paramètre par défaut de la stratégie Action sur modification ou si vous l'avez défini sur Passer en mode FIPS au prochain redémarrage de CA ITCM : caf stop caf start
Le gestionnaire fonctionne dans le nouveau mode FIPS une fois le cadre d'applications communes redémarré.
6. Redémarrez toutes les instances de l'explorateur DSM, du générateur de rapports
DSM et de la console Web.
Le mode FIPS actualisé est maintenant disponible dans l'IUG.
7. Vérifiez que le mode FIPS des agents et des gestionnaires a basculé vers le mode
FIPS requis.
La vérification permet d'assurer la réussite du basculement.
Remarque : Si l'utilitaire de conversion n'est pas exécuté correctement, le mode
FIPS du gestionnaire reste Préférence FIPS (erreur lors de l'exécution de dsm_fips_conv).
460 Manuel d'implémentation
