La synchronisation des mots de passe dans Identity Manager permet de simplifier les mots de passe utilisateur et de réduire les frais du service d'assistance. Parmi les nouvelles fonctionnalités, on compte la synchronisation bidirectionnelle des mots de passe, qui permet de partager les mots de passe entre eDirectory et les systèmes connectés de plusieurs manières, tel que décrit dans les scénarios de la section Mise en œuvre de la synchronisation des mots de passe.
Lorsque vous choisissez d'échanger des informations entre les systèmes connectés, prenez garde à bien sécuriser l'échange. Cela vaut particulièrement pour les mots de passe.
Dans le cadre de la planification de l'utilisation d'Identity Manager et de la synchronisation des mots de passe, consultez les conseils de sécurité suivants.
Lorsque c'est possible, il est conseillé d'activer SSL pour tous les transports. SSL doit être activé pour la communication entre le moteur DirXML et le Chargeur distant (reportez-vous à la section Sécurisation des transferts de données), et entre le moteur DirXML ou le Chargeur distant et les systèmes connectés.
Si vous n'activez pas SSL, des informations comme les mots de passe sont envoyées sans codage.
Sécurité physique :protégez l'accès à l'emplacement physique des serveurs sur lesquels est installé Novell eDirectory.
Droits d'accès : des droits administratifs sont nécessaires pour créer les objets Identity Manager et configurer les pilotes. Surveillez et contrôlez l'identité de la personne qui peut créer ou modifier les éléments suivants :
Pour des raisons de sécurité, les indices de mot de passe sont contrôlés pour vérifier qu'ils ne contiennent pas le mot de passe de l'utilisateur. Toutefois, un utilisateur peut toujours créer un indice de mot de passe fournissant trop d'informations sur le mot de passe.
Pour améliorer la sécurité lors de l'utilisation des indices de mots de passe :
Si vous choisissez ne pas utiliser d'indice de mot de passe, vérifiez que vous ne l'utilisez dans aucune règle de mot de passe que ce soit. Pour empêcher de définir des indices de mots de passe, vous pouvez être plus radical et supprimer totalement le gadget Configuration de l'indice, comme décrit à la section Désactivation du mot de passe par suppression du gadget Indice.
Un paramètre de verrouillage contre les intrus est appliqué pour les stimulation-questions, de manière à limiter le nombre de tentatives incorrectes que pourrait réaliser un intrus.
Un utilisateur pourrait créer des stimulation-questions qui contiennent des indices sur le mot de passe. Rappelez aux utilisateurs qu'ils doivent créer des stimulation-questions et des réponses qu'eux seuls peuvent comprendre. L'option Message de modification du mot de passe, dans la règle de mot de passe, est l'une des manières de le faire. Reportez-vous à la section Ajout de votre propre message de modification du mot de passe aux règles de mot de passe.
Les règles de mot de passe et le mot de passe universel permettent d'appliquer auprès des utilisateurs des exigences fortes pour les mots de passe. Utilisez les règles de mot de passe avancées pour vous conformer aux meilleures pratiques du marché en matière de mots de passe.
Vous pouvez par exemple exiger que les mots de passe utilisateur se conforment à des règles comme celles qui suivent :
N'oubliez pas que vous pouvez créer plusieurs règles de mot de passe si vous avez des exigences différentes dans les diverses parties de l'arborescence. Vous pouvez assigner une règle de mot de passe à la totalité de l'arborescence, au conteneur racine d'une partition, à un conteneur, voire à un utilisateur. Pour simplifier l'administration, nous vous recommandons d'assigner des règles de mot de passe au niveau le plus élevé possible de l'arborescence.
Vous pouvez également utiliser le verrouillage contre les intrus. Comme toujours, cette fonctionnalité eDirectory permet de spécifier le nombre d'échecs autorisés dans les tentatives de connexion avant le verrouillage du compte. Il s'agit d'un paramètre du conteneur parent et non d'un paramètre de la règle de mot de passe. Reportez-vous à la section Managing User Accounts (Gestion des comptes utilisateur) du manuel Novell eDirectory 8.7.3 Administration Guide (Guide d'administration de Novell eDirectory 8.7.3).
Sachez que les systèmes connectés avec lesquels vous synchronisez des données pourraient présenter un risque au niveau du stockage ou du transport.
Sécurisez les systèmes avec lesquels vous échangez des mots de passe. LDAP, NIS ou encore Windows présentent des failles de sécurité qu'il est utile d'étudier avant d'activer la synchronisation des mots de passe.
De nombreux fournisseurs de logiciels proposent des instructions spécifiques de sécurité qu'il convient de suivre.
Respectez bien les meilleures pratiques de sécurité du marché, concernant notamment le blocage des ports non utilisés sur le serveur.
Vous pouvez utiliser Nsure Audit pour consigner les événements que vous considérez importants pour la sécurité. Pour plus d'informations sur Nsure Audit, reportez-vous au Consignation et création de rapports avec Nsure Audit.
Vous pouvez par exemple consigner les modifications apportées aux mots de passe pour un pilote DirXML particulier, voire pour un ensemble de pilotes, en procédant comme suit :
Dans l'onglet DirXML des propriétés d'un pilote (ou d'un ensemble de pilotes), cliquez sur Niveau de consignation.
Sur la page Niveau de consignation, cliquez sur Consigner des événements spécifiques.
Dans cette page, indiquez si le pilote possède ses propres paramètres ou s'il utilise ceux de l'ensemble de pilotes.
Pour sélectionner des événements spécifiques, cliquez sur l'icône de consignation des événements .
Sur la page Activités, cochez les cases suivantes :
Cliquez sur OK sur la page Activités et à nouveau sur la page Niveau de consignation.