Cryptographie conforme à la norme FIPS
Scénarios de non-application des modifications de la stratégie FIPS
Lorsque vous modifiez la configuration de la norme FIPS 140 dans la stratégie de configuration et que vous appliquez la stratégie au niveau du gestionnaire, Client
Automation utilise la valeur définie dans la stratégie de l'action de modification pour exécuter cette action. Dans les scénarios suivants, les modifications apportées à la stratégie de la norme FIPS ne prennent pas effet et aucune action n'est exécutée sur la base de la stratégie de l'action de modification.
■
La stratégie n'a pas encore atteint l'ordinateur cible : vérifiez les paramètres de l'ordinateur cible à l'aide de la commande suivante :
■ ccnfcmda –cmd getparametervalue –ps /itrm/common/security/fips140 –pn policy
La commande renvoie 0 (hérité), 1 (Préférence FIPS) ou 2 (FIPS uniquement). Si la commande renvoie la valeur du nouveau mode FIPS, le nouveau mode entrera en vigueur au redémarrage de Client Automation et lors de la copie de la nouvelle valeur dans le paramètre installmode. Si la commande ne renvoie pas la valeur du nouveau mode FIPS, cela indique que la stratégie n'a pas encore atteint l'ordinateur cible.
Pour obtenir le mode FIPS actuel de l'ordinateur cible, utilisez la commande suivante : ccnfcmda –cmd getparametervalue –ps /itrm/common/security/fips140 –pn installmode
Habituellement, le paramètre installmode et le paramètre de la stratégie doivent contenir la même valeur. Toutefois, le paramètre installmode utilisera la valeur de la nouvelle stratégie uniquement sur redémarrage de Client Automation après l'application de la nouvelle stratégie.
Remarque : Pour plus d'informations sur la commande ccnfcmda de l'agent de configuration, saisissez <command> / ? dans l'invite de commande.
La stratégie FIPS uniquement est appliquée sur un gestionnaire DSM qui n'a pas exécuté l'utilitaire de conversion ou pour lequel l'utilitaire de conversion ne s'est pas fermé avec des erreurs. Etant donné que le mode FIPS uniquement requiert l'exécution sans heurt de l'utilitaire de conversion, la modification de la stratégie prend effet uniquement lorsque l'utilitaire de conversion est exécuté correctement au niveau du gestionnaire :
Pour savoir si l'utilitaire de conversion a été exécuté correctement au niveau du gestionnaire, utilisez la commande suivante : ccnfcmda –cmd getparametervalue –ps /itrm/common/security/fips140 –pn ready_for_fips_only
Si la commande renvoie le chiffre 1, cela indique que l'utilitaire a été exécuté correctement au niveau du gestionnaire.
Remarque : L'utilitaire de conversion doit avoir été exécuté correctement si vous essayez de passer du mode Préférence FIPS au mode FIPS uniquement ou inversement.--
464 Manuel d'implémentation
Cryptographie conforme à la norme FIPS
■
■
Le nouveau mode FIPS correspond au mode FIPS actuel. Si l'ordinateur cible utilise déjà le nouveau mode FIPS, les modifications ne prennent pas effet sur l'ordinateur cible.
Si la stratégie d'action de modification est définie sur Demander à l'utilisateur de redémarrer CA ITCM, une boîte de dialogue s'affiche et invite l'utilisateur à indiquer s'il souhaite redémarrer Client Automation lorsque la stratégie atteint l'ordinateur cible. Si cette boîte de dialogue ne s'affiche pas, vérifiez le paramètre restartaction sur l'ordinateur cible à l'aide de la commande suivante : ccnfcmda –cmd getparametervalue –ps /itrm/common/security/fips140 –pn restartaction
Si la commande ne renvoie pas le chiffre 2, cela indique que la stratégie n'a pas encore atteint l'ordinateur cible.
Important : N'activez pas l'option "Demander à l'utilisateur de redémarrer CA
ITCM" si vous utilisez un serveur terminal, car l'invite est envoyée à tous les utilisateurs de Client Automation sur ce genre de serveur.
Chapitre 11: Fonctionnalités de sécurité Client Automation 465
