Novell SecureLogin 6.0 SP1 - Lisezmoi 9 novembre 2006 1.0 Documentation 2.0 Nouveautés 3.0 Problèmes connus 4.0 Paramètres du registre 5.0 Support 6.0 Mentions légales 1.0 Documentation Voici le Support Pack 1 (SP1) de Novell SecureLogin 6.0. Dans le produit, ce Support Pack porte le numéro de version 6.0.103. Comme la documentation est mise à jour en permanence, elle ne figure ni sur le CD du produit ni dans l'image du téléchargement. Vous la trouverez sur le site Web de Novell. Cette documentation en ligne vous fournit les informations les plus récentes, y compris les mises à jour, pour les éléments suivants : - Novell SecureLogin 6.0 SP1 Overview (Présentation de Novell SecureLogin 6.0 SP1) - Novell SecureLogin 6.0 SP1 Administration Guide (Guide d'administration de Novell SecureLogin 6.0 SP1) - Novell SecureLogin 6.0 SP1 Installation Guide (Guide d'installation de Novell SecureLogin 6.0 SP1) - Novell SecureLogin 6.0 SP1 Application Definition Guide (Guide des définitions d'applications Novell SecureLogin 6.0 SP1) - Novell SecureLogin 6.0 SP1 Guide for Terminal Emulation (Guide Novell SecureLogin 6.0 SP1 pour l'émulation de terminal) - Novell SecureLogin 6.0 SP1 Terminal Services Guide (Guide des services de terminal Novell SecureLogin  6.0 SP1) - Novell SecureLogin 6.0 SP1 User Guide (Guide de l'utilisateur de Novell SecureLogin 6.0 SP1) Affichez ou téléchargez la documentation depuis : (http://www.novell.com/documentation/securelogin60) 2.0 Nouveautés 2.1 Touches de raccourci de la fonction de modification de mot de passe Si le client d'authentification LDAP agit comme GINA, la commande Ctrl+Alt+Suppr active l'option de changement de mot de passe. Elle facilite la modification des paramètres utilisateur LDAP et Windows* de ce type. 2.2 Validation du certificat du serveur LDAP Cette fonction permet au client LDAP de vérifier le certificat du serveur pendant l'authentification SSL et ainsi d'éviter les attaques ciblées dans un réseau non sécurisé. Le client LDAP n'authentifie l'utilisateur qu'après avoir vérifié le certificat du serveur et empêche ainsi tout hôte non autorisé d'apparaître comme le serveur LDAP. 2.3 Détection de l'état de la connexion au réseau grâce à l'authentification LDAP Lorsque le poste de travail se connecte au réseau, le client d'authentification LDAP le détecte et ne passe pas alors en mode poste de travail uniquement. Cette fonction est indispensable lors de l'authentification ou de la connexion sans fil au réseau en présence de LDAP GINA. Lorsque le réseau est déconnecté, le mode poste de travail uniquement est maintenu. 2.4 Fonction Login auto admin avec LDAP GINA Lorsque le protocole LDAP agit comme GINA et que le système Windows est configuré pour le login auto admin, LDAP GINA effectue un login automatique autorisant l'utilisateur à se loguer automatiquement en utilisant les informations de configuration de l'ouverture de session auto admin à partir du système. 2.5 Codage PKI du fichier cache local Cette version de SecureLogin permet de coder le fichier de cache local de l'utilisateur. Cette option est activée par défaut lorsque vous paramétrez l'utilisation de la carte à puce pour coder les données SSO (Single Sign-On). 2.6 Prise en charge du navigateur Mozilla Firefox SecureLogin est désormais doté d'une prise en charge intégrée du navigateur Mozilla* Firefox*, ce qui permet la connexion à des pages Web dans le cadre de sessions uniques. SecureLogin prend en charge Mozilla Firefox version 1.5. 2.7 Déclenchement manuel de l'assistant Web Vous pouvez démarrer manuellement l'assistant Web pour les pages sécurisées. Cette protection consiste à masquer le nom d'utilisateur et le mot de passe lors du premier chargement avec Microsoft* Internet Explorer. Dans la barre d'outils d'Internet Explorer, l'icône SecureLogin est automatiquement ajoutée. Elle peut être sélectionnée à tout moment pour lancer manuellement l'assistant Web. 2.8 Comptes MSN Hotmail Suite à des modifications apportées au site Hotmail, le script SecureLogin ne détecte plus les modifications de mots de passe de l'utilisateur. SecureLogin utilise maintenant deux nouvelles définitions d'application prédéfinie (MSN Hotmail et modification du mot de passe MSN Hotmail) pour prendre en charge la modification du mot de passe de l'utilisateur. Vous devez supprimer votre ancien script Hotmail et affecter les nouveaux scripts à tous les utilisateurs et conteneurs utilisant Hotmail. Vous devez également vérifier que le paramètre spécifique "Un champ de mot de passe doit figurer sur la page Internet Explorer pour que la définition de l'application s'exécute" est défini sur NON pour la définition d'application correspondant à la modification du mot de passe MSN Hotmail. 2.9 Exécution de SecureLogin sur un serveur Citrix avec des profils mobiles ou obligatoires Si vous exécutez SecureLogin sur un serveur Citrix et si des profils mobiles ou obligatoires sont utilisés, il est recommandé d'utiliser la clé de registre DWORD suivante : HKLM\Software\protocom\securelogin\ForceHKLMandNoD PAPI et de définir la valeur sur 1. Cette clé permet à un utilisateur de se loguer à plusieurs machines en même temps lorsque les contraintes de configuration ci-dessus sont respectées. Cela permet de contourner le problème Windows connu lié à l'utilisation de DPAPI et de plusieurs logins simultanés. 2.10 Détection de la présence d'une carte à puce Afin de détecter la présence de la carte à puce, celle-ci doit être présente pendant les opérations d'ouverture de session unique et d'administration. Cette option permet également de vérifier si une carte à puce a été supprimée après le démarrage d'une session unique, ce qui empêche la permutation de cartes à puce pour copier les références utilisateur. Pour plus d'informations, reportez-vous au manuel Novell SecureLogin Administration Guide (Guide d'administration de Novell SecureLogin), à l'adresse : http://www.novell.com/documentation/securelogin60 2.11 Recherche de certificat de carte à puce Lorsque les données SecureLogin d'un utilisateur sont codées via les références PKI avec une carte à puce, vous pouvez spécifier une chaîne de recherche dans les préférences de sécurité pour identifier le certificat utilisé pour le codage. Ce critère de recherche de certificat permet de trouver le certificat adéquat en fonction des informations des attributs Délivré à et Émetteur. Le nom convivial ne peut pas faire l'objet d'une recherche en tant qu'attribut. 2.12 Modification du code PIN dans ActiveClient Lorsque vous utilisez ActiveClient pour forcer la modification du code PIN d'un utilisateur, SecureLogin ne comprend pas que le code PIN a été modifié lors de la session en cours. Cela affecte les utilisateurs lorsqu'ils tentent d'ouvrir l'interface graphique d'administration ou qu'ils utilisent d'autres paramètres impliquant la protection par mot de passe de l'icône de barre système. Pour que la modification soit acceptée, l'utilisateur doit se déloguer puis se reloguer. 2.13 Option de codage PKI en cas de carte perdue Si le codage PKI est désactivé et si l'option Scénario de carte perdue est définie sur Autoriser la phrase secrète, il est recommandé de définir ces options à l'aide de SLManager et non iManager. 2.14 Contrôle d'intégrité des fichiers objet de stratégie de groupe dans un environnement Active Directory Microsoft Active Directory* peut servir de magasin de données pour SecureLogin. Dans ce cas, les objets de stratégie de groupe (GPO) Microsoft sont utilisables pour gérer les paramètres de session unique. Lorsque SecureLogin lit un objet GPO, il exécute un contrôle de cohérence. Il vérifie ainsi que le fichier n'est ni modifié ni supprimé. Si le l'objet GPO a changé, SecureLogin ne sera pas chargé. 2.15 Prise en charge du client NMAS La version actuelle de SecureLogin prend en charge NMAS 3.2 et NMAS 2.7 pour les méthodes NMAS. 2.16 Prise en charge du serveur NMAS La version actuelle de SecureLogin prend en charge NMAS 3.0. 2.17 Prise en charge de NICI 2.6.8 La version actuelle de SecureLogin prend en charge NICI 2.6.8. 3.0 Problèmes connus 3.1 Problèmes généraux 3.1.1 Erreur pendant la désinstallation de Novell SecureLogin Si vous désinstallez NICI avant de désinstaller Novell SecureLogin (NSL), un message d'erreur peut indiquer qu'il est impossible de charger le fichier ldapaut.dll. Pour éviter ce problème, désinstallez NICI après NSL. 3.1.2 NSL ne reconnaît pas le client Novell iFolder 2.1.x lors du login au poste de travail Si un utilisateur se logue à un poste de travail, NSL ne reconnaît pas automatiquement la fenêtre de login iFolder 2.1.8 au démarrage. Pour contourner le problème, ajoutez manuellement le script prédéfini et reloguez-vous au poste de travail. NSL identifiera alors la fenêtre de login iFolder 2.1.8. 3.1.3 Stockage des références d'authentification eGuide Si un utilisateur tente de se loguer à eGuide, NSL ne l'invite pas automatiquement à stocker ses références d'authentification. 3.1.4 Stockage des références d'authentification GroupWise WebAccess Si un utilisateur tente de se loguer à GroupWise 7.0.1 WebAccess, il n'est pas invité à stocker ses références. Pour contourner le problème, il peut activer le script GroupWise WebAccess prédéfini. Une fois le script activé, NSL fonctionnera normalement en interagissant avec GroupWise WebAccess. 3.1.5 Stockage des références Novell Access Manager Si un utilisateur tente d'accéder à Novell Access Manager, il n'est pas invité à stocker ses références. Il est redirigé vers IDP. Toutefois, le login correspondant ne fonctionne pas. 3.1.6 NSL ne se ferme pas si l'utilisateur annule le login à cet environnement en mode LDAP Si l'utilisateur d'un serveur Windows 2000 annule son login à NSL en mode LDAP, il est invité à choisir ou non d'exécuter la fonction SSO. Dans ce cas, la connexion SSO à une application Web peut entraîner l'arrêt inattendu d'Internet Explorer. 3.1.7 Impossible d'instancier le module Scriptbroker 80070005 Certaines pages Web sont configurées pour fournir des informations à SecureLogin d'une autre manière. Lorsqu'il est sur ces pages, l'utilisateur risque de recevoir le message d'erreur "Impossible de créer une instance du module Scriptbroker : 80070005". Dans ce cas, définissez la clé de registre suivante : paramètre IESSO_USE_COM (Dword - valeur 0) sous \HKEY_LOCAL_MACHINE\SOFTWARE\protocom\ securelogin Cette clé de registre modifie la méthode de communication interprocessus SecureLogin et permet de résoudre ainsi le problème lié au Web. Elle s'applique à toutes les pages Web et non seulement à la page problématique. 3.1.8 Dans certains cas, aucune nouvelle fenêtre de navigateur ne s'ouvre Insérez la clé de registre suivante pour résoudre le problème : HKLM\Software\Protocom\SecureLogin\ IESSO_USE_COM (CLÉ DWORD DÉFINIE SUR 0) 3.1.9 Détection du login Web pour la page d'authentification Novell Access Manager Cette version de Novell SecureLogin ne détecte pas le login Web pour la page d'authentification Novell Access Manager. Toutefois, l'icône SecureLogin de la barre d'outils Internet Explorer permet de configurer cette page Web et ainsi de lancer manuellement l'assistant Web. 3.1.10 La désinstallation de SecureLogin ne supprime pas le cache Vous devez supprimer manuellement le cache de SecureLogin car il n'est pas supprimé pendant la désinstallation de SecureLogin. Le dossier HKEY_LOCAL_MACHINE\ SOFTWARE\Protocom n'est pas non plus supprimé du registre système. 3.1.11 Utilisation d'une carte à puce avec ActiveClient Si vous souhaitez utiliser une carte à puce pour l'authentification SecureLogin et si ActiveClient est installé sur votre système, assurez-vous de disposer des versions requises. Au moment de la rédaction du présent document, la version recommandée d'ActiveClient est 5.4 et celle du correctif est FIXS0609014. 3.1.12 Impossibilité d'utiliser la même carte à puce pour s'authentifier dans les deux modes eDirectory et LDAP Si un utilisateur essaie de se loguer à SecureLogin en mode LDAP en utilisant la même carte à puce que pour s'authentifier en mode eDirectory, l'authentification échoue. En effet, selon l'implémentation de la carte à puce SecureLogin, il existe deux utilisateurs. 3.1.13 Le codage AES est uniquement pris en charge pour les plates-formes Windows 2003 et Windows XP La préférence de sécurité à définir pour utiliser l'algorithme AES afin de coder les données SSO dans le répertoire ne peut être utilisée que sur des ordinateurs Windows XP ou 2003, mais pas sur Windows 2000. Ce système d'exploitation ne prend en effet pas en charge AES par le biais des bibliothèques cryptographiques Microsoft. 3.1.14 Le respect de la casse des mots de passe ne fonctionne pas en cas de déverrouillage de l'icône de la barre système S'il est installé en mode client32, SecureLogin ne prend pas en compte le respect de la casse des mots de passe, lors du déverrouillage de l'icône de la barre système, en cas d'utilisation du client Novell version 4.91 SP2. Pour utiliser cette fonctionnalité, mettez à jour le logiciel Novell Client vers la version 4.91 SP3. 3.1.15 L'icône de la barre système ne peut pas être déverrouillée à l'aide de l'authentification pcProx Vous ne pouvez pas déverrouiller l'icône de la barre système SecureLogin en utilisant l'authentification NMAS pcProx. Déverrouillez l'icône à l'aide de la phrase secrète, si vous l'avez activée, ou par le biais de votre mot de passe de répertoire. 3.1.16 Les références ne sont pas supprimées du cache local Si vous supprimez des références par le biais d'iManager, elles ne sont pas supprimées du cache local. Fermez, puis rouvrez le client SecureLogin afin de resynchroniser les références avec eDirectory. 3.1.17 L'installation de SecureLogin ne remplace pas NMAS Client 3.2.0 L'installation de SecureLogin ne remplace pas NMAS 3.2.0 si ce dernier est déjà installé sur le système. Le cas échéant, installez manuellement NMAS 3.2.1. NMAS 3.2.1 est installé automatiquement pendant l'installation de SecureLogin si NMAS n'est pas présent sur le système ou si la version installée sur le système est antérieure à NMAS 3.2. 3.1.18 Le rafraîchissement du cache entraîne la réduction du nombre de logins bonus À chaque rafraîchissement du cache, le nombre de logins bonus autorisés est réduit de un. En effet, à chaque rafraîchissement du cache, SecureLogin essaie à nouveau de s'authentifier auprès de l'annuaire. 3.1.19 L'écran de sélection de l'emplacement de destination n'est plus visible Si vous indiquez un emplacement non valide dans la zone de texte pendant l'installation de Novell SecureLogin, un message d'erreur s'affiche. Lors de votre prochaine tentative de saisie d'un emplacement dans la zone de texte, l'écran de sélection de l'emplacement de destination ne sera plus visible. 3.1.20 Le client NICI n'est pas désinstallé NICI (Novell International Cryptography Infrastructure) est installé automatiquement lorsque SecureLogin est installé dans l'un des modes suivants : - LDAP - eDirectory avec LDAP - eDirectory avec le protocole Client32 (si NMAS ou Novell SecretStore est sélectionné pour l'installation) Toutefois, si vous désinstallez SecureLogin, le client NICI est conservé car d'autres services Novell (NMAS et NetIdentity, par exemple) risquent d'en avoir besoin également. Si vous comptez désinstaller le client NICI, vérifiez qu'il n'est plus nécessaire avant de le retirer. Pour désinstaller le client NICI, utilisez la fonction Ajout/Suppression de programmes. 3.1.21 Login en tant qu'administrateur après un redémarrage Vérifiez que le premier utilisateur à se loguer après l'installation ou le redémarrage dispose de droits d'administrateur sur le poste de travail. Selon les fichiers verrouillés et les options sélectionnées durant l'installation, vous pouvez avoir à redémarrer le poste de travail. Si tel est le cas, à la fin de l'installation, vous êtes invité à vous loguer avec des droits d'administrateur après le redémarrage. 3.1.22 Utilisation de noms uniques Les ID utilisateur, les applications et les stratégies de mot de passe doivent tous avoir un nom unique. En outre, vous ne pouvez pas créer une application et la nommer "Error" (Erreur). Si vous installez SecureLogin avec le client SecretStore en mode eDirectory, vous ne pouvez pas ajouter une application et la nommer App1 (par exemple) s'il existe déjà une règle de mot de passe qui porte ce nom. 3.1.23 Login après la désinstallation de l'agent de gestion ZENworks for Desktops Il se peut que vous ne parveniez pas à vous loguer à votre poste de travail dans les cas suivants : - L'agent de gestion ZENworks for Desktops 4.01 est installé. - SecureLogin est installé. - Vous désinstallez l'agent de gestion ZENworks for Desktops, puis redémarrez le poste de travail. Pour résoudre le problème : 1. Démarrez le poste de travail en mode sécurisé. 2. Copiez le fichier nwgina.dll dans le répertoire windows\system32. 3.1.24 Intégration à NetIdentity Le client NetIdentity ne fonctionne pas si SecureLogin est installé en mode LDAP non-eDirectory. En effet, NetIdentity a besoin de l'environnement eDirectory pour fonctionner. 3.1.25 Les anciens mots de passe déverrouillent le cache local Lorsque SecureLogin s'exécute avec le client Novell, celui-ci n'envoie pas de notification de changement du mot de passe à SecureLogin. L'ancien mot de passe eDirectory déverrouille encore le cache local. Pour plus d'informations, reportez-vous au document TID 10092159 du site Web du support Novell (http://support.novell.com/cgi-bin/search/ searchtid.cgi?/10092159.htm) 3.1.26 La définition d'application prédéfinie de Citrix Program Neighborhood ne fonctionne pas La définition d'application préexistante de Citrix Program Neighborhood Client  9.1.5 ne fonctionne pas. Contactez le support technique Novell pour obtenir une définition d'application mise à jour. 3.1.27 La saisie manuelle du code PIN de la carte à puce est requise pour l'authentification du serveur Citrix Si vous utilisez l'authentification de carte à puce pour l'invite de login Citrix, indiquez manuellement le code PIN dans la mesure où il n'est pas mis en cache pour l'authentification du serveur Citrix. 3.1.28 Configuration d'une stratégie réseau pour Secure Workstation La méthode de post-login de Secure Workstation échoue si vous tentez de l'utiliser pour vous loguer avant de configurer une stratégie réseau pour Secure Workstation. Pour configurer une stratégie réseau : 1. Loguez-vous à iManager. Sélectionnez Novell Secure Workstation > Séquence. 2. Sélectionnez Activate Secure Workstation (Activer Secure Workstation), puis cliquez sur Configure (Configurer). 3. Configurez les actions des différents événements, puis cliquez sur Appliquer. 3.1.29 Messages système sur Active Directory Certains paramètres, tels que Protéger par mot de passe l'icône de la barre système, requièrent un mot de passe réseau. Si Microsoft Active Directory a invité un utilisateur à changer de mot de passe durant le login suivant, ces paramètres échouent et un message système s'affiche (Mot de passe expiré ou Mot de passe incorrect, par exemple) s'affiche. 3.1.30 Les mises à jour apportées à la version actuelle de l'objet doivent être enregistrées dans Active Directory Dans la MMC d'Active Directory, la version actuelle de l'objet (affichée sur la page Paramètres avancés) peut ne pas se mettre à jour immédiatement lorsque la version de la base de données de l'annuaire est modifiée. Pour procéder à la mise à jour, cliquez sur OK, puis quittez la boîte de dialogue Propriétés MMC. 3.1.31 L'interface Quick Login/Logout ne parvient pas à se lancer Si vous installez l'interface Quick Login/Logout en modifiant l'assistant d'installation SecureLogin (après avoir installé SecureLogin et redémarré la machine), l'interface Quick Login/Logout ne se lance pas automatiquement. Cette situation se produit si SecureLogin est déjà installé (avecle composant Secure Workstation) sans l'interface Quick Login/Logout sélectionnée. Procédez comme suit pour lancer l'interface Quick Login/Logout : 1. Reloguez-vous au poste de travail. 2. Sélectionnez Démarrer > Exécuter, tapez , puis cliquez sur OK. 3.1.32 Vous devez vous loguer si l'option Activer le système de sécurité par phrase secrète est modifiée Si l'option Activer le système de sécurité par phrase secrète est modifiée, vous devez vous loguer de nouveau avant de lancer SecureLogin pour que les paramètres prennent effet. 3.2 Problèmes liés au Web 3.2.1 Invite à se loguer au même site Web Si un utilisateur se logue à un site Web, puis se déconnecte, NSL peut l'inviter à accéder de nouveau à la même page. Cette situation se produit rarement. Elle ne s'applique en outre qu'à certains sites Web. Si l'utilisateur clique sur Oui avant de continuer, un nouveau login est ajouté au client NSL. Chaque fois qu'il utilise cette option, le même login est ajouté et considéré comme nouveau. 3.2.2 Commande DumpPage La commande DumpPage peut ne pas fonctionner avec tous les types de contenu Web. 3.2.3 Ajout de la définition d'application prédéfinie Lorsque vous utilisez iManager pour ajouter l'application prédéfinie à un conteneur, certaines applications Web sont faussement identifiées comme des applications Win32. Vérifiez les propriétés de chaque application après leur ajout pour vous assurer que la configuration est correcte. 3.2.4 Le navigateur Mozilla Firefox signale une erreur après la désinstallation de SecureLogin Si vous désinstallez SecureLogin, le navigateur Mozilla Firefox affiche un message d'erreur lors de son redémarrage. Cette erreur survient parce que les extensions Firefox ne comportent pas de paramètre de ligne de commande pour la désinstallation. Dans ce cas, désinstallez l'extension Firefox manuellement, de la manière suivante : 1. Choisissez Tools (Outils) > Extensions. 2. Sélectionnez les fichiers d'extension à supprimer. 3. Cliquez sur Uninstall (Désinstaller). 4. Redémarrez le navigateur. 3.2.5 Problème Firefox pendant l'installation Une zone de message Mozilla Firefox, indiquant l'importation des paramètres Internet Explorer, s'ouvre pendant l'installation de NSL 6.0 SP1 si Firefox n'est pas appelé auparavant. Dans ce cas, cliquez sur Import (Importer) pour importer les paramètres Internet Explorer ou sur Cancel (Annuler) pour annuler l'importation. 3.2.6 Échec du changement de mot de passe Hotmail Si vous n'utilisez pas de définition d'application prédéfinie pour Hotmail* et si vous modifiez votre mot de passe utilisateur, SecureLogin essaie de vous connecter avec l'ancien mot de passe et la connexion échoue. 3.2.7 Après la mise à niveau, l'application prédéfinie Hotmail affiche un message d'erreur Si vous avez configuré l'application prédéfinie Hotmail dans SecureLogin  3.51.3, le message d'erreur suivant s'affiche après la mise à niveau de SecureLogin 3.51.3 vers SecureLogin 6.0  SP1 : BROKER_SCR_UNMATCHED_QUOTES (-147) Le cas échéant, supprimez l'ancienne définition d'application de Hotmail, puis configurez-en une nouvelle. 3.3 Problèmes liés à NMAS 3.3.1 Méthodes NMAS non prises en charge Utilisées en fin de processus, les méthodes NMAS suivantes seront retirées dans une prochaine version : - Certificat X.509 de niveau avancé - Mot de passe étendu - Entrust - Modification de mot de passe NDS - Certificat X.509 de niveau simple - Carte à puce universelle - Module client de login par mot de passe simple (LCM) Pour plus d'informations, reportez-vous à la documentation NMAS la plus récente (http://www.novell.com/documentation/nmas3 11/readme/security_readme.html). 3.3.2 Le login échoue après la mise à niveau d'eDirectory ou de NMAS Après la mise à niveau vers eDirectory 8.8 SP1 ou vers NMAS 3.1.0, l'utilisateur d'une méthode de post-login (Secure Workstation) ne parvient pas à se loguer. Pour résoudre le problème, il dispose maintenant de la version 2.0.2 du service de sécurité (http://download.novell.com/Download?build id=9hi7-ELIZ64). 3.3.3 L'utilisateur ne parvient pas à déverrouiller une icône de barre système Si le champ du mot de passe du client Novell est désactivé et si l'icône de la barre système est protégée par un mot de passe, l'utilisateur ne peut pas procéder au déverrouillage. 3.3.4 Le client NMAS n'est pas désinstallé Lorsque SecureLogin est installé, le client NMAS et éventuellement des méthodes de login NMAS peuvent l'être également. Cependant, si vous désinstallez SecureLogin, le client NMAS est conservé. Pour désinstaller le client NMAS et des méthodes NMAS, utilisez l'option Ajout/Suppression de programmes. 3.3.5 Utilisation du client LDAP avec des méthodes NMAS Si vous envisagez d'utiliser le client LDAP et les méthodes NMAS, procédez comme suit : - Définissez les mots de passe simples pour les utilisateurs. - Mettez à jour les serveurs à l'aide de la méthode de login serveur par mot de passe simple (LSM). Si vous utilisez actuellement la méthode du mot de passe simple et envisagez de continuer à le faire avec SecureLogin 6.0, vous devez installer la méthode de login serveur par mot de passe simple avant d'installer SecureLogin 6.0. Les fichiers NMAS se trouvent sur le CD SecureLogin ou dans l'image du téléchargement. 3.3.6 La variable ?syspassword affiche des valeurs incorrectes Si vous vous loguez à l'aide d'une méthode NMAS, tout script accédant à la variable  ?syspassword affiche des valeurs incorrectes (au lieu du mot de passe) si vous n'avez pas sélectionné l'option Activer le champ Mot de passe dans la boîte de dialogue de login du client Novell. Pour sélectionner Activer le champ Mot de passe : 1. Cliquez avec le bouton droit sur l'icône du client Novell dans la barre d'état (barre système), cliquez sur Propriétés du client Novell, puis sur Profils d'emplacement. 2. Dans la fenêtre Profils d'emplacement, double-cliquez sur Par défaut. 3. Sélectionnez Valeur par défaut comme instance du service, puis cliquez sur Propriétés. 4. Dans la page d'onglets Références, sélectionnez Activer le champ Mot de passe, puis cliquez sur OK. 3.3.7 Le processus d'installation sans intervention ne prend pas en charge le client NMAS Lorsque vous procédez à une installation sans intervention de SecureLogin, le composant NMAS n'est pas installé. Si vous voulez que SecureLogin fonctionne avec le client NMAS, vous devez installer le client manuellement à partir du SecureLogin du CD du produit. 3.3.8 Échec de l'intercommunication Citrix avec NMAS L'intercommunication Citrix échoue si les deux conditions suivantes sont réunies : - SecureLogin utilise le client Novell32 avec le mode d'authentification NMAS. - Un champ de mot de passe dans la boîte de dialogue de login du client Novell est désactivé ou n'est pas utilisé. Pour que l'intercommunication fonctionne, suivez la procédure ci-dessous. 1. Activez le champ de mot de passe dans la boîte de dialogue de login du client Novell. 2. Loguez-vous à SecureLogin en utilisant le mot de passe NDS. 3.3.9 L'intercommunication Citrix échoue avec NMAS 3.0 L'intercommunication Citrix avec SecureLogin échoue avec les méthodes NMAS basées sur le matériel (excepté pour pcProx) si NMAS 3.0 (fourni avec Novell Client 4.91) est installé sur le serveur Citrix et si l'authentification NMAS est activée. Pour résoudre ce problème, effectuez l'une des opérations suivantes sur le serveur Citrix : - Supprimez Novell Client 4.91, puis installez Novell Client 4.90 avec NMAS 2.7 - Désactivez l'authentification NMAS dans la configuration de Novell Client 3.3.10 L'intercommunication Citrix échoue avec NMAS 2.7 sur le client et NMAS 3.x sur le serveur La passerelle Citrix échoue, en mode mixte, avec NMAS 2.7 sur le client et NMAS 3.x sur le serveur. Dans ce cas, mettez à niveau tous les clients vers NMAS 3.2. De plus, pour l'authentification sans mot de passe, désactivez le canal virtuel NMAS. 3.3.11 L'utilisation d'un login NMAS sans mot de passe avec l'option de phrase secrète désactivée n'est pas prise en charge Un SecureLogin qui utilise le client Novell ne prend pas en charge les logins NMAS sans mot de passe si les options de phrase secrète sont désactivées. Ceci n'est pas pris en charge car SecureLogin ne parvient pas à ouvrir le cache local ou ouvre le fichier de cache local sans aucun mot de passe. 3.3.12 Échec de l'authentification hors ligne d'un login NMAS sans mot de passe L'authentification hors ligne ne fonctionne pas s'il s'agit d'une authentification NMAS sans mot de passe avec l'option de système de sécurité de la phrase secrète désactivée. En effet, SecureLogin en mode hors ligne n'accepte les phrases secrètes que dans le cas d'une authentification NMAS sans mot de passe. Ce scénario se produit uniquement si SecureLogin est installé en mode Novell Client. 3.4 Problèmes liés à LDAP 3.4.1 Login NSL en mode LDAP GINA avec eDirectory Le login NSL en mode LDAP GINA avec eDirectory ne fonctionne pas lors de la définition d'une phrase secrète pour un nouvel utilisateur si le nom distinctif complet (FDN) de l'utilisateur eDirectory comporte au moins 128 caractères. 3.4.2 Avec LDAP, SecureLogin ne parvient pas à détecter l'état de la connexion au réseau sur VMWare Sur VMWare*, SecureLogin en mode LDAP ne parvient pas à détecter l'état de la connexion au réseau. En conséquence, SecureLogin ne bascule jamais directement vers la boîte de dialogue Login hors ligne et affiche toujours la boîte de dialogue Login LDAP. 3.4.3 La sélection de séquence NMAS est désactivée sur LDAP Si la boîte de dialogue de sélection de séquence NMAS est désactivée sur LDAP, cela indique que vous possédez une version antérieure de NMAS ou que vous n'avez pas installé la méthode de mot de passe simple sur le serveur ou le client. Pour utiliser NMAS avec LDAP, installez NMAS 3.2 (qui figure sur le CD du produit SecureLogin). 3.4.4 La variable ?syspassword reflète le mot de passe simple La variable ?syspassword reflète le mot de passe simple de l'utilisateur actuellement logué si le mot de passe universel n'est pas configuré dans eDirectory. Cela se produit lorsque SecureLogin est installé en mode LDAP et que NMAS est la méthode d'authentification. 3.4.5 L'ouverture du cache local en mode hors ligne nécessite un mot de passe simple Si vous êtes logué à un serveur eDirectory utilisant SecureLogin avec LDAP et le mode NMAS d'authentification, et si le mot de passe universel n'est pas configuré, vous devez utiliser un mot de passe simple pour ouvrir le cache local en mode hors ligne SecureLogin. 3.4.6 Un mot de passe simple est requis pour déverrouiller l'icône SecureLogin de la barre système Lorsque vous procédez à une authentification NMAS en mode LDAP, si l'icône SecureLogin de la barre système est protégée par mot de passe et si le mot de passe universel n'est pas configuré, vous ne pouvez la déverrouiller qu'à l'aide d'un mot de passe simple. Le login à eDirectory à l'aide d'un mot de passe étendu ou d'un paramètre NDS ne change rien. 3.5 Problème lié à SecretStore 3.5.1 SecretStore sur le serveur Si vous comptez utiliser SecretStore sur le client (mode SecretStore), installez SecretStore 3.3.5 ou une version ultérieure, ou mettez à niveau vers cette version sur le serveur avant de sélectionner l'option SecretStore durant l'installation du client. 3.6 Problèmes liés à pcProx 3.6.1 Le nom d'utilisateur doit être renseigné automatiquement pour une authentification pcProx Le nom d'utilisateur SecureLogin doit être renseigné automatiquement pour une authentification pcProx. Pour ce faire, vous pouvez sélectionner l'option Use the Card Reader to Obtain Username for Login (Utiliser le lecteur de carte pour obtenir le nom d'utilisateur pour la connexion) lors de l'installation. La carte est alors lue à l'aide des snap-ins d'ID de login de pcProx, si bien que les informations relatives au nom d'utilisateur sont récupérées en même temps que l'ID de la carte. 3.6.2 Problème de boucle lors du login Lors du login en mode LDAP avec NMAS pcProx et Secure Workstation, une fois que le lecteur pcProx a lu la carte et logué l'utilisateur, la boîte de dialogue NSL s'affiche après plusieurs secondes et la méthode pcProx logue de nouveau l'utilisateur. Ce processus de login se répète en permanence. Le cas échéant, mettez à niveau NICI vers 2.6.8.2, dans la mesure où NICI 2.6.6 est incompatible avec NMAS 3.x, lors de l'exécution en mode LDAP avec NMAS et pcProx. 3.6.3 Risque d'incompatibilité entre pcProx et les derniers lecteurs de carte USB Les lecteurs de cartes USB les plus récents présentent des problèmes de compatibilité avec l'actuelle méthode pcProx. Par exemple, pcProx ne fonctionne pas avec le modèle de lecteur de cartes USB numéro bse-rfid1356I-usb. 3.7 Problèmes liés à TLaunch 3.7.1 Tlaunch.exe reste actif Pendant l'exécution de TLaunch en arrière-plan, tlaunch.exe ne parvient pas à s'arrêter même après l'exécution du script complet ou l'exécution de la commande EndScript. Tlaunch.exe continue de s'exécuter même après le login à l'émulateur de terminal. Pour résoudre ce problème, vous pouvez ajouter la commande KillApp à la fin du script tlaunch.exe. Cependant, si vous exécutez plusieurs copies de l'émulateur de terminal, la commande KillApp risque de fermer toutes les sessions d'émulation. Pour éviter cela, utilisez les combinaisons de touches que vous utilisez normalement pour mettre fin à une application. Par exemple : Alt+F4, Alt+F+X, Ctrl+C ou Ctrl+X (selon l'application ou l'émulateur de terminal que vous utilisez). Un correctif pour ce problème est prévu pour une version ultérieure. 3.8 Problèmes liés à iManager 3.8.1 Le système est long à réagir Si vous ouvrez le snap-in iManager SSO avec le navigateur Internet Explorer sur un client sur lequel SecureLogin est exécuté, le système peut ne pas réagir immédiatement (pendant environ 10 secondes). 3.8.2 Les options de l'onglet Sécurité ne s'affichent pas dans iManager après la mise à niveau Les options de l'onglet Sécurité ne s'affichent pas dans iManager après la mise à niveau de SecureLogin 3.51.305, si vous avez défini l'option Désactiver le système de sécurité de la phrase secrète sur Oui dans SecureLogin 3.51.305 à l'aide de ConsoleOne. Le cas échéant, changez le mode de stockage des données dans iManager sur 6.0 afin d'afficher les paramètres de sécurité. 3.8.3 Erreur d'authentification de l'utilisateur après la désactivation de la phrase secrète et l'activation de la redirection d'entreprise Si vous définissez l'option Désactiver le système de sécurité de la phrase secrète sur Oui dans SecureLogin 3.51.305 à l'aide de ConsoleOne, puis si vous mettez à niveau SecureLogin vers la version 6.0  SP1, et si configurez la redirection d'entreprise d'un autre conteneur à l'aide de iManager et tentez de vous loguer, le programme affiche le message d'erreur suivant : SecureLogin a rencontré une erreur au cours de l'authentification. Dans ce cas, définissez le mode de stockage de données dans le snap-in iManager SSO sur 6.0. 4.0 Paramètres du registre L'option Activer le fichier journal de diagnostic dans l'onglet Paramètres démarre automatiquement le login. Pour le débogage avancé, reportez-vous au TID 10088017 sur le site Web de support de Novell (http://support.novell.com/cgi-bin/search/searchtid. cgi?/10088017.htm). Pour plus d'informations sur les paramètres de registre du client LDAP, reportez-vous au TID 10093336 sur le site Web de support de Novell (http://www.novell.com/support/search.do?cmd=displayKC &docType=kc&externalId=3790292&sliceId=SAL_Public&dial ogID=14733953&stateId=0%200%2014739684). 5.0 Support Pour le support, consultez : - la documentation en ligne sur la page Web novell.com/documentation, - la base de connaissances, les mises à jour ou les forums de discussion à l'adresse support.novell.com. Les clients peuvent également appeler le support technique Novell pour les aider à résoudre leurs problèmes. Le numéro de téléphone du support technique est le 1-800-858-4000. 6.0 Mentions légales Novell exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d'erreurs. Novell se réserve en outre le droit de réviser cette publication à tout moment et sans préavis. Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu'il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque. Tous les produits ou informations techniques fournis dans le cadre de ce contrat peuvent être soumis à des contrôles d'exportation aux États-Unis et à la législation commerciale d'autres pays. Vous acceptez de vous conformer à toutes les réglementations de contrôle des exportations et à vous procurer les licences requises ou la classification permettant d'exporter, de réexporter ou d'importer des biens de consommation. Vous acceptez de ne pas procéder à des exportations ou à des réexportations vers des entités figurant sur les listes d'exclusion d'exportation en vigueur aux États-Unis ou vers des pays terroristes ou frappés d'embargo par la législation d'exportation des États-Unis. Vous acceptez de ne pas utiliser les produits livrables pour le développement prohibé d'armes nucléaires, de missiles ou chimiques et biologiques. Pour plus d'informations sur l'exportation de logiciels Novell, reportez-vous à notre page Web des services de commerce extérieur (http://www.novell.com/info/exports/). Novell décline toute responsabilité pour toute autorisation d'exportation refusée. Copyright 2006 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l'éditeur. Novell, Inc. est titulaire des droits de propriété intellectuelle relatifs à la technologie réunie dans le produit décrit dans ce document. En particulier, et sans limitation, ces droits de propriété intellectuelle peuvent inclure un ou plusieurs des brevets américains listés sur la page dédiée aux brevets du site Web de Novell (http://www.novell.com /company/legal/patents/) et un ou plusieurs brevets supplémentaires ou en cours d'homologation aux États-Unis et dans d'autres pays. Pour connaître les marques commerciales de Novell, reportez-vous à la liste des marques commerciales et des marques de service de Novell (http://www.novell .com/company/legal/trademarks/tmlist.html). Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.