4.1 Authentification

Le service de gestion à distance doit être installé sur un périphérique pour permettre à l'opérateur distant de gérer le périphérique à distance. Le service démarre automatiquement au démarrage du périphérique géré. Lorsqu'un opérateur distant exécute une session à distance sur le périphérique géré, le service démarre la session à distance uniquement si l'opérateur distant est autorisé à effectuer des opérations à distance sur le périphérique géré.

Pour empêcher tout accès non-autorisé sur le périphérique géré, le service de gestion à distance du périphérique géré utilise les modes d'authentification suivants :

4.1.1 Authentification de gestion à distance par droits

Dans l'authentification par droits, les droits sont assignés à l'opérateur distant pour lancer une session à distance sur le périphérique géré. Par défaut, l'administrateur et le super administrateur ZENworks ont le droit d'effectuer des opérations à distance sur tous les périphériques gérés, quel que soit l'utilisateur connecté au périphérique (utilisateur local ou utilisateur ZENworks).

L'opérateur distant n'a pas besoin de droits exclusifs pour exécuter une session à distance sur le périphérique géré si aucun utilisateur ne s'est connecté sur le périphérique géré ou si un utilisateur s'est connecté sur le périphérique géré mais pas sur ZENworks. En revanche, l'opérateur distant doit disposer de droits exclusifs de gestion à distance pour exécuter l'opération à distance sur le périphérique géré lorsqu'un utilisateur ZENworks s'est connecté au périphérique. Pour des raisons de sécurité, nous vous recommandons vivement d'utiliser l'authentification par droits.

L'utilisation de l'authentification basée sur les droits nécessite l'installation de ZENworks Adaptive Agent sur le périphérique. L'installation du service de gestion à distance uniquement sur le périphérique ne suffit pas.

Ce mode d'authentification n'est pas pris en charge dans le cadre du lancement d'une opération de gestion à distance en mode autonome ou depuis la ligne de commande.

4.1.2 Authentification de gestion à distance par mot de passe

Avec l'authentification par mot de passe, l'opérateur distant est invité à saisir un mot de passe pour pouvoir lancer la session à distance sur le périphérique géré.

Les deux types de schémas d'authentification utilisés sont :

  • Mot de passe ZENworks : ce schéma est basé sur le protocole Secure Remote Password (SRP) (version 6a). Un mot de passe ZENworks peut contenir au maximum 255 caractères.

  • Mot de passe VNC : schéma d'authentification par mot de passe VNC traditionnel. Un mot de passe VNC peut contenir au maximum 8 caractères. Ce schéma de mot de passe est faible par nature et est fourni uniquement pour garantir l'interopérabilité avec les composants open source.

Si vous utilisez l'authentification basée sur les mots de passe, nous vous recommandons vivement d'utiliser le modèle de mot de passe ZENworks car il est davantage sécurisé que le modèle de mot de passe VNC.

Les schémas de mot de passe fonctionnent dans les modes suivants :

  • Mode de la session : le mot de passe défini dans ce mode est valable uniquement pour la session en cours. L'utilisateur du périphérique géré doit définir un mot de passe au début de la session à distance et le communiquer à l'opérateur à distance par des méthodes « hors bande », comme le téléphone. Lors de l'initialisation d'une session à distance avec le périphérique géré, l'opérateur distant doit saisir le mot de passe correct dans la boîte de dialogue de mot de passe de la session. Si l'opérateur distant n'indique pas le mot de passe correct dans un délai de deux minutes après l'ouverture de la boîte de dialogue, la session se ferme automatiquement pour des raisons de sécurité. Si vous utilisez une authentification par mot de passe, nous vous recommandons d'utiliser ce mode d'authentification car le mot de passe est valable uniquement pour la session en cours et n'est pas enregistré sur le périphérique géré.

  • Mode permanent : dans ce mode, le mot de passe peut être défini par l'administrateur via la stratégie de gestion à distance ou par l'utilisateur du périphérique géré via l'icône ZENworks si l'option Autoriser l'utilisateur à remplacer les mots de passe par défaut sur le périphérique géré est sélectionnée dans les paramètres de sécurité de la stratégie de gestion à distance.

    Si le mot de passe est défini par l'utilisateur du périphérique géré et dans la stratégie, le mot de passe défini par l'utilisateur est prioritaire sur celui qui a été configuré dans la stratégie.

    L'administrateur peut interdire à l'utilisateur du périphérique géré de définir le mot de passe et est également autorisé à redéfinir le mot de passe défini par l'utilisateur afin de s'assurer que le mot de passe configuré dans la stratégie demeure toujours appliqué pendant l'authentification. Pour plus d'informations sur la redéfinition du mot de passe défini par l'utilisateur du périphérique géré, reportez-vous à la Section 2.5.3, Effacement du mot de passe de gestion à distance à l'aide du Centre de contrôle ZENworks.