Novell Doc: Référence d'administration du système ZENworks 10 Configuration Management

32.2 Mécanismes d'authentification

Les mécanismes suivants peuvent être utilisés pour authentifier des périphériques gérés auprès de la zone de gestion ZENworks :

32.2.1 Kerberos (Active Directory uniquement)

Le protocole d'authentification Kerberos*, développé par MIT, exige que des entités (par exemple, un utilisateur et un service réseau) devant communiquer via un réseau non sécurisé apportent la preuve mutuelle de leur identité pour pouvoir effectuer l'authentification sécurisée.

La fonctionnalité Kerberos est incluse en mode natif dans les environnements Windows Active Directory.

Kerberos requiert l'utilisation d'un Centre de distribution de clés (KDC) pour faire office de tiers approuvé entre ces entités. Tous les serveurs Kerberos requièrent un fichier keytab pour s'authentifier auprès du centre de distribution de clés (KDC - Key Distribution Center). Le fichier keytab correspond à une copie sur disque, locale et codée, de la clé de l'hôte.

Lorsque vous utilisez l'authentification Kerberos, le serveur Active Directory génère un ticket Kerberos dont l'adaptateur Novell CASA (Common Authentication Services Adapter) se sert pour authentifier l'utilisateur, au lieu d'utiliser un nom d'utilisateur et un mot de passe.

Configuration de Kerberos dans votre environnement ZENworks

Configurez un compte de principal de service Kerberos et générez un fichier keytab pour ce compte.

Pour plus d'informations, reportez-vous au site Web Microsoft TechNet.

Par exemple, si vous avez créé un utilisateur appelé atsserver dans votre domaine, exécutez la commande suivante à l'invite de commande :

ktpass/princ host/atsserver.users.mon_serveur.com@MON_SERVEUR.COM -pass mot_de_passe_atsserver -mapuser atsserver -out atsserver.keytab -mapOp set -ptype KRB5_NT_PRINCIPAL

Cette commande crée un fichier keytab et modifie l'utilisateur atsserver pour qu'il devienne un principal Kerberos.
Importez le fichier keytab dans le Centre de contrôle ZENworks.
1. Dans le Centre de contrôle ZENworks, cliquez sur l'onglet Configuration, puis sur Gestion d'infrastructure et Paramètres de la source d'utilisateurs.
2. Cliquez sur pour accéder au fichier keytab et sélectionnez-le.
3. Cliquez sur OK pour importer le fichier.

Activation de l'authentification Kerberos pendant l'ajout d'une source d'utilisateurs

Vous pouvez activer l'authentification Kerberos tandis que vous ajoutez une source d'utilisateurs. Pour plus d'informations, reportez-vous à la Section 31.2.1, Ajout de sources d'utilisateurs.

Activation de l'authentification Kerberos sur une source d'utilisateurs existante

Vous pouvez activer l'authentification Kerberos sur une source d'utilisateurs existante.

Dans le Centre de contrôle ZENworks, cliquez sur l'onglet Configuration.
Dans le panneau Sources d'utilisateurs, sélectionnez la source, puis cliquez sur Modifier en regard de l'option Mécanismes d'authentification dans la section Général.
Cochez la case Kerberos, puis cliquez sur OK.

Fonctionnement de l'interaction entre l'authentification Kerberos et la boîte de dialogue Login ZENworks

Le tableau suivant illustre les différents cas de figure existants pour l'utilisateur ZENworks lors de l'authentification Kerberos avec Active Directory :

Tableau 32-1 Authentification Kerberos ZENworks avec Active Directory

Le login Windows correspond au login de la source d'utilisateurs.	ZENworks prend également en charge l'authentification par nom d'utilisateur/mot de passe.	Le membre appartient au même domaine.	Le membre appartient à un autre domaine.	Les références Windows et ZENworks correspondent.	Possibilité de se loguer à la zone de gestion.	La boîte de dialogue Login ZENworks s'affiche.
					Oui	Non
					Oui	Non
					Oui	Oui
					Non	Non
					Non	Non
					Non	Non
					Non	Non
					Oui	Non
					Oui	Non
					Oui	Oui

Par exemple, sur la deuxième ligne, le login initial de l'utilisateur, la source d'utilisateurs et les références de login ZENworks correspondent. Ainsi, l'utilisateur peut se loguer à la zone de gestion ZENworks et la boîte de dialogue Login ZENworks ne s'affiche pas.

Autre exemple, sur la troisième ligne, les références du login initial de l'utilisateur emploient les références d'un autre domaine et diffèrent des références de login ZENworks. Ainsi, l'utilisateur peut se loguer à la zone de gestion ZENworks et la boîte de dialogue Login ZENworks s'affiche.

32.2.2 Secret partagé

Lorsque vous utilisez l'authentification par secret partagé, vous devez installer et configurer le client Novell Identity Assurance Solution Client. Pour obtenir davantage d'informations ainsi que la liste des cartes à puce et des lecteurs associés pris en charge, reportez-vous à la documentation de Identity Assurance Solution Client sur le site Web de documentation Novell.

L'authentification à ZENworks à l'aide d'une carte à puce n'est pour l'instant prise en charge que sous Windows XP et dans les sessions de terminal d'un périphérique Windows Server 2003.

Lorsqu'un utilisateur utilise une carte à puce pour se loguer à eDirectory, il est automatiquement logué à ZENworks à condition que le schéma eDirectory spécifié au moment de l'ajout de la source d'utilisateurs ait été étendu au moyen de l'outil novell-zenworks-configure.

Pour plus d'informations sur l'ajout de la source d'utilisateurs, reportez-vous à la Section 31.2.1, Ajout de sources d'utilisateurs.

Pour plus d'informations sur l'extension du schéma eDirectory, reportez-vous à la section Extension du schéma eDirectory pour permettre l'authentification par secret partagé.

Si le schéma eDirectory n'est pas étendu, l'option Secret partagé ne fait pas partie des mécanismes d'authentification disponibles. En conséquence, une boîte de dialogue Login ZENworks s'affiche lorsque l'utilisateur du périphérique géré tente de se loguer à eDirectory à l'aide d'une carte à puce. Une fois que l'utilisateur a spécifié un nom d'utilisateur et un mot de passe eDirectory, ce dernier est stocké dans Novell SecretStore. La fois suivante où l'utilisateur emploie une carte à puce pour se loguer à eDirectory, le mot de passe est récupéré de SecretStore et l'utilisateur est logué à ZENworks sans avoir à indiquer de mot de passe.

Extension du schéma eDirectory pour permettre l'authentification par secret partagé

Pour s'authentifier à ZENworks grâce à un mécanisme d'authentification par secret partagé, le schéma eDirectory spécifié lors de l'ajout de la source d'utilisateurs doit avoir été étendu au moyen de l'outil novell-zenworks-configure.

Effectuez la procédure suivante pour étendre le schéma eDirectory :

Exécutez l'utilitaire novell-zenworks-configure sur un serveur ZENworks :

Sous Windows : à l'invite de commande, accédez au répertoire chemin_installation_ZENworks\bin et saisissez la commande suivante :

novell-zenworks-configure.bat -c ExtendSchemaForSmartCard

Sous Linux : À l'invite de la console, accédez au répertoire /opt/novell/zenworks/sbin et saisissez la commande suivante :

./novell-zenworks-configure -c ExtendSchemaForSmartCard
Vous êtes ensuite invité à étendre le schéma Novell eDirectory et à ajouter un attribut zcmSharedSecret facultatif à la classe d'utilisateurs. Par défaut, la valeur 1 est sélectionnée. Appuyez sur Entrée.
Entrez le nom DNS ou l'adresse IP du serveur Novell eDirectory pour étendre le schéma.
Vous êtes invité à sélectionner la communication SSL (Secure Socket Layer) ou en texte clair pour communiquer avec le serveur eDirectory. Saisissez 1 pour la communication SSL ou 2 pour la communication en texte clair, puis appuyez de nouveau sur Entrée.
Indiquez le port utilisé pour communiquer avec le serveur eDirectory.

Le port par défaut pour la communication SSL est le 636 et celui pour la communication en texte clair le 389.
Entrez le nom distinctif complet de l'administrateur.

Par exemple, cn=admin,o=organisation
Saisissez le mot de passe de l'administrateur spécifié à l'Étape 6.
(Facultatif) Entrez le nom distinctif complet de l'administrateur des sources d'utilisateurs ZENworks pour lequel appliquer la liste de contrôle d'accès.

Cet administrateur est configuré en tant qu'utilisateur dans les paramètres de la source d'utilisateurs ZENworks pour lire les utilisateurs à partir de la source ; il n'est pas nécessaire qu'il soit l'administrateur spécifié à l'Étape 6. Si vous indiquez le nom distinctif complet de cet utilisateur, le programme définit les listes de contrôle d'accès dans les conteneurs spécifiés de façon à fournir à cet utilisateur un accès en lecture à l'attribut zcmSharedSecret.
Indiquez les conteneurs d'utilisateurs pour lesquels étendre le schéma.

Plusieurs conteneurs peuvent être indiqués en les séparant par un signe +. Par exemple, o=sales ou o=sales + o=marketing.
Appuyez sur la touche Entrée afin de générer un secret aléatoire pour tous les utilisateurs figurant dans les conteneurs ci-dessus.
(Facultatif) Si vous avez choisi SSL pour la communication avec le serveur eDirectory, celui-ci présente un certificat. Saisissez o pour accepter le certificat.

32.2.3 Nom d'utilisateur/Mot de passe (eDirectory et Active Directory)

Lorsque vous utilisez l'authentification par nom d'utilisateur/mot de passe avec une source d'utilisateurs Novell eDirectory ou Microsoft Active Directory, si les références spécifiées par l'utilisateur pour se loguer au poste de travail ou au domaine correspondent aux références de login ZENworks, la boîte de dialogue Login ZENworks ne s'affiche pas et l'utilisateur est directement authentifié auprès de la zone de gestion ZENworks.

Le nom d'utilisateur et le mot de passe sont également stockés dans SecretStore. Par la suite, si un utilisateur se logue à ZENworks alors qu'aucun nom d'utilisateur ni mot de passe n'est disponible (l'utilisateur s'est logué à l'aide d'une carte à puce, par exemple), les références stockées sont utilisées et la boîte de dialogue Login ZENworks ne s'affiche tout simplement pas.

Activation de l'authentification par nom d'utilisateur/mot de passe pendant l'ajout d'une source d'utilisateurs

Vous pouvez activer l'authentification par nom d'utilisateur/mot de passe lors de l'ajout d'une source d'utilisateurs. Pour plus d'informations, reportez-vous à la Section 31.2.1, Ajout de sources d'utilisateurs.

Activation de l'authentification par nom d'utilisateur/mot de passe sur une source d'utilisateurs existante

Vous pouvez activer l'authentification par nom d'utilisateur/mot de passe sur une source d'utilisateurs existante.

Dans le Centre de contrôle ZENworks, cliquez sur l'onglet Configuration, sélectionnez la source d'utilisateurs, puis cliquez sur Modifier en regard de l'option Mécanismes d'authentification dans la section Général.
Dans le panneau Sources d'utilisateurs, sélectionnez la source, puis cliquez sur Modifier en regard de l'option Mécanismes d'authentification dans la section Général.
Cochez la case Nom d'utilisateur/mot de passe, puis cliquez sur OK.

Fonctionnement de l'interaction entre l'authentification par nom d'utilisateur/mot de passe et la boîte de dialogue Login ZENworks

Le tableau suivant illustre les différents cas de figure existants pour l'utilisateur ZENworks lors de l'authentification par nom d'utilisateur/mot de passe avec Active Directory :

Tableau 32-2 Authentification par nom d'utilisateur/mot de passe ZENworks avec Active Directory

Le login Windows correspond au login de la source d'utilisateurs.	ZENworks utilise également l'authentification Kerberos.	Le membre appartient au même domaine.	Le membre appartient à un autre domaine.	Les références Windows et ZENworks correspondent.	Possibilité de se loguer à la zone de gestion.	La boîte de dialogue Login ZENworks s'affiche.
					Oui	Non
					Oui	Non
					Oui	Oui
					Oui	Non
					Oui	Non
					Oui	Non
					Oui	Oui
					Oui	Oui
					Oui	Oui

Par exemple, sur la première ligne, le login initial de l'utilisateur, la source d'utilisateurs et les références de login ZENworks correspondent. Ainsi, l'utilisateur peut se loguer à la zone de gestion ZENworks et la boîte de dialogue Login ZENworks ne s'affiche pas.

Autre exemple, sur la deuxième ligne, les références du login initial de l'utilisateur emploient les références d'un autre domaine, mais correspondent aux références de login ZENworks. Ainsi, l'utilisateur peut se loguer à la zone de gestion ZENworks et la boîte de dialogue Login ZENworks n'apparaît pas.

Le login Windows correspond au login de la source d'utilisateurs.	ZENworks prend également en charge l'authentification par nom d'utilisateur/mot de passe.	Le membre appartient au même domaine.	Le membre appartient à un autre domaine.	Les références Windows et ZENworks correspondent.	Possibilité de se loguer à la zone de gestion.	La boîte de dialogue Login ZENworks s'affiche.
					Oui	Non
					Oui	Non
					Oui	Oui
					Non	Non
					Non	Non
					Non	Non
					Non	Non
					Oui	Non
					Oui	Non
					Oui	Oui

Le login Windows correspond au login de la source d'utilisateurs.	ZENworks prend également en charge l'authentification par nom d'utilisateur/mot de passe.	Le membre appartient au même domaine.	Le membre appartient à un autre domaine.	Les références Windows et ZENworks correspondent.	Possibilité de se loguer à la zone de gestion.	La boîte de dialogue Login ZENworks s'affiche.
					Oui	Non
					Oui	Non
					Oui	Oui
					Non	Non
					Non	Non
					Non	Non
					Non	Non
					Oui	Non
					Oui	Non
					Oui	Oui

Le login Windows correspond au login de la source d'utilisateurs.	ZENworks prend également en charge l'authentification par nom d'utilisateur/mot de passe.	Le membre appartient au même domaine.	Le membre appartient à un autre domaine.	Les références Windows et ZENworks correspondent.	Possibilité de se loguer à la zone de gestion.	La boîte de dialogue Login ZENworks s'affiche.
					Oui	Non
					Oui	Non
					Oui	Oui
					Non	Non
					Non	Non
					Non	Non
					Non	Non
					Oui	Non
					Oui	Non
					Oui	Oui