Gestion des informations sensibles

La synchronisation des mots de passe dans Identity Manager permet de simplifier les mots de passe utilisateur et de réduire les frais du service d'assistance. Parmi les nouvelles fonctionnalités, on compte la synchronisation bidirectionnelle des mots de passe, qui permet de partager les mots de passe entre eDirectory et les systèmes connectés de plusieurs manières, tel que décrit dans les scénarios de la section Mise en œuvre de la synchronisation des mots de passe.

Lorsque vous choisissez d'échanger des informations entre les systèmes connectés, prenez garde à bien sécuriser l'échange. Cela vaut particulièrement pour les mots de passe.

Dans le cadre de la planification de l'utilisation d'Identity Manager et de la synchronisation des mots de passe, consultez les conseils de sécurité suivants.

• Utilisation de SSL
• Accès sécurisé à eDirectory et aux objets Identity Manager
• Révision des points de sécurité pour la gestion des mots de passe
• Création de règles de mot de passe performantes
• Sécurisation des systèmes connectés qui participent à la synchronisation des mots de passe
• Meilleures pratiques du marché à suivre en matière de sécurité
• Utilisation de Nsure Audit pour suivre les modifications apportés aux informations sensibles

Utilisation de SSL

Lorsque c'est possible, il est conseillé d'activer SSL pour tous les transports. SSL doit être activé pour la communication entre le moteur DirXML et le Chargeur distant (reportez-vous à la section Sécurisation des transferts de données), et entre le moteur DirXML ou le Chargeur distant et les systèmes connectés.

Si vous n'activez pas SSL, des informations comme les mots de passe sont envoyées sans codage.

Accès sécurisé à eDirectory et aux objets Identity Manager

Sécurité physique :protégez l'accès à l'emplacement physique des serveurs sur lesquels est installé Novell eDirectory.

Droits d'accès : des droits administratifs sont nécessaires pour créer les objets Identity Manager et configurer les pilotes. Surveillez et contrôlez l'identité de la personne qui peut créer ou modifier les éléments suivants :

• L'ensemble de pilotes DirXML
• Le pilote DirXML
• Les objets de configuration des pilotes (filtres, feuilles de style, règles), en particulier les règles utilisées pour la récupération ou la synchronisation des mots de passe
• Les objets de la règle de mot de passe (et la tâche iManager permettant de les modifier), car ils contrôlent les mots de passe qui seront synchronisés avec d'autres et les options du libre-service de mot de passe qui seront utilisées

Révision des points de sécurité pour la gestion des mots de passe

• Les objets de la règle de mot de passe sont lisibles par le public, pour permettre aux applications de vérifier si les mots de passe sont compatibles. Cela signifie qu'un utilisateur non-authentifié pourrait demander à eDirectory de trouver les règles de mot de passe appliquées. Si ces règles exigent des utilisateurs qu'ils créent des mots de passe forts, cela ne présentera aucun risque, comme indiqué à la section Création de règles de mot de passe performantes.
• L'attribut Indice de mot de passe (nsimHint) est également lisible par tous, ce qui permet aux utilisateurs non authentifiés qui ont oublié leur mot de passe d'accéder à leur indice. Les indices de mots de passe peuvent largement contribuer à réduire les appels de demande d'assistance.

  Pour des raisons de sécurité, les indices de mot de passe sont contrôlés pour vérifier qu'ils ne contiennent pas le mot de passe de l'utilisateur. Toutefois, un utilisateur peut toujours créer un indice de mot de passe fournissant trop d'informations sur le mot de passe.

  Pour améliorer la sécurité lors de l'utilisation des indices de mots de passe :

  • Autorisez l'utilisateur à n'accéder qu'à l'attribut nsimHint sur le serveur LDAP utilisé pour les options de mot de passe en libre-service.
  • Exigez que les utilisateurs répondent aux stimulation-questions avant de pouvoir recevoir leur mot de passe.
  • Rappelez aux utilisateurs qu'ils doivent créer des indices de mots de passe qu'eux seuls peuvent comprendre. L'option Message de modification du mot de passe, dans la règle de mot de passe, est l'une des manières de le faire. Reportez-vous à la section Ajout de votre propre message de modification du mot de passe aux règles de mot de passe.

  Si vous choisissez ne pas utiliser d'indice de mot de passe, vérifiez que vous ne l'utilisez dans aucune règle de mot de passe que ce soit. Pour empêcher de définir des indices de mots de passe, vous pouvez être plus radical et supprimer totalement le gadget Configuration de l'indice, comme décrit à la section Désactivation du mot de passe par suppression du gadget Indice.

• Les Questions de stimulation peuvent être lues par le public, pour que les utilisateurs non-authentifiés ayant oublié leur mot de passe puissent s'authentifier d'une autre manière. Le fait d'exiger les stimulation-questions augmente la sécurité du libre-service Mot de passe oublié ; en effet, l'utilisateur doit prouver son identité en apportant les réponses correctes avant de recevoir son mot de passe oublié ou un indice de mot de passe ou encore de réinitialiser son mot de passe.

  Un paramètre de verrouillage contre les intrus est appliqué pour les stimulation-questions, de manière à limiter le nombre de tentatives incorrectes que pourrait réaliser un intrus.

  Un utilisateur pourrait créer des stimulation-questions qui contiennent des indices sur le mot de passe. Rappelez aux utilisateurs qu'ils doivent créer des stimulation-questions et des réponses qu'eux seuls peuvent comprendre. L'option Message de modification du mot de passe, dans la règle de mot de passe, est l'une des manières de le faire. Reportez-vous à la section Ajout de votre propre message de modification du mot de passe aux règles de mot de passe.

• Pour des raisons de sécurité, les opérations relatives à l'oubli de mot de passe (Envoyer par messagerie électronique le mot de passe actuel à l'utilisateur et Autoriser l'utilisateur à réinitialiser le mot de passe) ne sont disponibles que si vous exigez de l'utilisateur qu'il réponde aux stimulation-questions.
• Une fonction d'amélioration de la sécurité a été ajoutée à NMAS 2.3.4 en ce qui concerne la modification des mots de passe universels par un administrateur. Elle fonctionne de façon très similaire à la fonction précédemment proposée pour le mot de passe NDS. Lorsqu'un administrateur modifie le mot de passe d'un utilisateur, par exemple lors de la création d'un nouvel utilisateur ou en réponse à un appel de dépannage, pour des raisons de sécurité, le mot de passe précédent expire automatiquement si vous avez activé le paramètre d'expiration des mots de passe dans la règle des mots de passe. Ce paramètre se trouve dans les règles de mots de passe avancées ; il est appelé Nombre de jours avant l'expiration du mot de passe (0-365). Dans cette fonction, ce n'est pas le nombre de jours défini qui est important, c'est son activation.

Création de règles de mot de passe performantes

Les règles de mot de passe et le mot de passe universel permettent d'appliquer auprès des utilisateurs des exigences fortes pour les mots de passe. Utilisez les règles de mot de passe avancées pour vous conformer aux meilleures pratiques du marché en matière de mots de passe.

Vous pouvez par exemple exiger que les mots de passe utilisateur se conforment à des règles comme celles qui suivent :

• Exigez des mots de passe uniques. Vous pouvez empêcher les utilisateurs de réutiliser des mots de passe et contrôler le nombre de mots de passe que le système doit stocker dans la liste d'historique à des fins de comparaison.
• Exigez un nombre minimum de caractères. Le fait d'avoir des mots de passe plus longs est l'une des meilleures manières de renforcer la sécurité des mots de passe.
• Exigez un nombre minimum de chiffres. Le fait d'exiger au moins un caractère numérique dans un mot de passe aide à le protéger des attaques de dictionnaire, dans lesquelles les intrus essaient de se connecter en utilisant des mots du dictionnaire.
• Excluez les mots de passe de votre choix. Vous pouvez exclure les mots qui, selon vous, présentent un risque, par exemple le nom ou un site de votre société, ou encore les mots test ou admin. Même si la liste d'exclusion n'a pas pour objet de remplacer tout un dictionnaire, elle peut être assez longue. Souvenez-vous simplement qu'une longue liste d'exclusions ralentit la connexion des utilisateurs. Pour mieux se protéger des attaques de dictionnaire, il vaut probablement mieux exiger l'utilisation de chiffres ou de caractères spéciaux.

N'oubliez pas que vous pouvez créer plusieurs règles de mot de passe si vous avez des exigences différentes dans les diverses parties de l'arborescence. Vous pouvez assigner une règle de mot de passe à la totalité de l'arborescence, au conteneur racine d'une partition, à un conteneur, voire à un utilisateur. Pour simplifier l'administration, nous vous recommandons d'assigner des règles de mot de passe au niveau le plus élevé possible de l'arborescence.

Vous pouvez également utiliser le verrouillage contre les intrus. Comme toujours, cette fonctionnalité eDirectory permet de spécifier le nombre d'échecs autorisés dans les tentatives de connexion avant le verrouillage du compte. Il s'agit d'un paramètre du conteneur parent et non d'un paramètre de la règle de mot de passe. Reportez-vous à la section Managing User Accounts (Gestion des comptes utilisateur) du manuel Novell eDirectory 8.7.3 Administration Guide (Guide d'administration de Novell eDirectory 8.7.3).

Sécurisation des systèmes connectés qui participent à la synchronisation des mots de passe

Sachez que les systèmes connectés avec lesquels vous synchronisez des données pourraient présenter un risque au niveau du stockage ou du transport.

Sécurisez les systèmes avec lesquels vous échangez des mots de passe. LDAP, NIS ou encore Windows présentent des failles de sécurité qu'il est utile d'étudier avant d'activer la synchronisation des mots de passe.

De nombreux fournisseurs de logiciels proposent des instructions spécifiques de sécurité qu'il convient de suivre.

Meilleures pratiques du marché à suivre en matière de sécurité

Respectez bien les meilleures pratiques de sécurité du marché, concernant notamment le blocage des ports non utilisés sur le serveur.

Utilisation de Nsure Audit pour suivre les modifications apportés aux informations sensibles

Vous pouvez utiliser Nsure Audit pour consigner les événements que vous considérez importants pour la sécurité. Pour plus d'informations sur Nsure Audit, reportez-vous au Consignation et création de rapports avec Nsure Audit.

Vous pouvez par exemple consigner les modifications apportées aux mots de passe pour un pilote DirXML particulier, voire pour un ensemble de pilotes, en procédant comme suit :

1. Dans l'onglet DirXML des propriétés d'un pilote (ou d'un ensemble de pilotes), cliquez sur Niveau de consignation.

   
   

2. Sur la page Niveau de consignation, cliquez sur Consigner des événements spécifiques.

   Dans cette page, indiquez si le pilote possède ses propres paramètres ou s'il utilise ceux de l'ensemble de pilotes.

   
   

3. Pour sélectionner des événements spécifiques, cliquez sur l'icône de consignation des événements .

4. Sur la page Activités, cochez les cases suivantes :

   • Dans Événements de l'opération, Changer le mot de passe. Cet élément surveille les modifications directes du mot de passe NDS.
   • Dans Événements de transformation, Mot de passe défini et Sync mot de passe. Ces deux éléments surveillent les événements qui concernent le mot de passe universel et le mot de passe de distribution.

   
   

5. Cliquez sur OK sur la page Activités et à nouveau sur la page Niveau de consignation.