Mode d'emploi | Dell Encryption security Manuel utilisateur

Ajouter à Mes manuels
44 Des pages
Dell Data Protection
Guide de configuration
____________________
&copy; 2014 Dell Inc.
Marques d&eacute;pos&eacute;es et marques commerciales utilis&eacute;es dans les documents DDP|E, DDP|ST et DDP|CE : Dell™ et le logo Dell, Dell
Precision™, OptiPlex™, ControlVault™, Latitude™, XPS&reg;, et KACE™ sont des marques commerciales de Dell Inc. Intel&reg;, Pentium&reg;,
Intel Core Inside Duo&reg;, Itanium&reg;, et Xeon&reg; sont des marques d&eacute;pos&eacute;es d'Intel Corporation aux &Eacute;tats-Unis et dans d'autres pays. Adobe&reg;,
Acrobat&reg;, et Flash&reg; sont des marques d&eacute;pos&eacute;es d'Adobe Systems Incorporated. Authen Tec&reg; et Eikon&reg; sont des marques d&eacute;pos&eacute;es
d'Authen Tec. AMD&reg; est une marque d&eacute;pos&eacute;e d'Advanced Micro Devices, Inc. Microsoft&reg;, Windows&reg;, et Windows Server&reg;, Internet
Explorer&reg;, MS-DOS&reg;, Windows Vista&reg;, MSN&reg;, ActiveX&reg;, Active Directory&reg;, Access&reg;, ActiveSync&reg;, BitLocker&reg;, BitLocker To Go&reg;,
Excel&reg;, Hyper-V&reg;, Silverlight&reg;, Outlook&reg;, PowerPoint&reg;, Skydrive&reg;, SQL Server&reg;, et Visual C++&reg; sont des marques commerciales ou
des marques d&eacute;pos&eacute;es de Microsoft Corporation aux &Eacute;tats-Unis et/ou dans d'autres pays. VMware&reg; est une marque d&eacute;pos&eacute;e ou une
marque commerciale de VMware, Inc. aux &Eacute;tats-Unis ou dans d'autres pays. Box&reg; est une marque d&eacute;pos&eacute;e de Box. DropboxSM est une
marque de service de Dropbox, Inc. Google™, Android™, Google™ Chrome™, Gmail™, YouTube&reg;, et Google™ Play sont des marques
commerciales ou des marques d&eacute;pos&eacute;es de Google Inc. aux &Eacute;tats-Unis et dans d'autres pays. Apple&reg;, Aperture&reg;, App StoreSM, Apple
Remote Desktop™, Apple TV&reg;, Boot Camp™, FileVault™, iCloud&reg;SM, iPad&reg;, iPhone&reg;, iPhoto&reg;, iTunes Music Store&reg;, Macintosh&reg;,
Safari&reg;, et Siri&reg; sont des marques de service, des marques commerciales ou des marques d&eacute;pos&eacute;es d'Apple, Inc. aux &Eacute;tats-Unis et/ou dans
d'autres pays. GO ID&reg;, RSA&reg;, et SecurID&reg; sont des marques d&eacute;pos&eacute;es d'EMC Corporation. EnCase™ et Guidance Software&reg; sont des
marques commerciales ou des marques d&eacute;pos&eacute;es de Guidance Software. Entrust&reg; est une marque d&eacute;pos&eacute;e d'Entrust&reg;, Inc. aux &Eacute;tatsUnis et dans d'autres pays. InstallShield&reg; est une marque d&eacute;pos&eacute;e de Flexera Software aux &Eacute;tats-Unis, en Chine, dans l'Union europ&eacute;enne,
&agrave; Hong Kong, au Japon, &agrave; Ta&iuml;wan et au Royaume Uni. Micron&reg; et RealSSD&reg; sont des marques d&eacute;pos&eacute;es de Micron Technology, Inc. aux
&Eacute;tats-Unis et dans d'autres pays. Mozilla&reg; Firefox&reg; est une marque d&eacute;pos&eacute;e de Mozilla Foundation aux &Eacute;tats-Unis et/ou dans d'autres
pays. iOS&reg; est une marque commerciale ou une marque d&eacute;pos&eacute;e de Cisco Systems, Inc. aux &Eacute;tats-Unis et dans certains autres pays, et
est utilis&eacute;e sous licence. Oracle&reg; et Java&reg; sont des marques d&eacute;pos&eacute;es d'Oracle et/ou ses soci&eacute;t&eacute;s affili&eacute;es. Les autres noms peuvent &ecirc;tre
des marques commerciales de leurs propri&eacute;taires respectifs. SAMSUNG™ est une marque commerciale de SAMSUNG aux &Eacute;tats-Unis
ou dans d'autres pays. Seagate&reg; est une marque d&eacute;pos&eacute;e de Seagate Technology LLC aux &Eacute;tats-Unis et/ou dans d'autres pays. Travelstar&reg;
est une marque d&eacute;pos&eacute;e de HGST, Inc.&reg;, Inc. aux &Eacute;tats-Unis et dans d'autres pays. UNIX&reg; est une marque d&eacute;pos&eacute;e de The Open Group.
VALIDITY™ est une marque commerciale de Validity Sensors, Inc. aux &Eacute;tats-Unis et dans d'autres pays. VeriSign&reg; et autres marques
connexes sont des marques commerciales ou des marques d&eacute;pos&eacute;es de VeriSign, Inc. ou ses filiales ou succursales aux &Eacute;tats-Unis et dans
d'autres pays, et sont utilis&eacute;es sous licence par Symantec Corporation. KVM on IP&reg; est une marque d&eacute;pos&eacute;e de Video Products. Yahoo&reg;
est une marque d&eacute;pos&eacute;e de Yahoo! Inc.
Ce produit utilise une partie du programme 7-Zip. Le code source est disponible &agrave; l'adresse www.7-zip.org. Il est prot&eacute;g&eacute; sous licence
GNU LGPL + et par les restrictions unRAR (www.7-zip.org/license.txt).
2014-02
Protection assur&eacute;e par un ou plusieurs brevets am&eacute;ricains, dont les num&eacute;ros 7665125, 7437752 et 7665118.
Les informations contenues dans le pr&eacute;sent document sont susceptibles d'&ecirc;tre modifi&eacute;es sans pr&eacute;avis.
Sommaire
1
Configuration de Compatibility Server .
server_config.xml
gkresource.xml .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
Configuration de Core Server
PolicyService.config.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
14
14
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
NotificationObjects.config
Ajouter l'emplacement du dossier Compatibility Server au fichier de configuration du Core Server .
. . .
15
Donner la permission au Core Server d'effectuer une it&eacute;ration via des m&eacute;thodes d'authentification.
. . .
15
Configuration de Device Server .
eserver.properties
run-service.conf
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
Configuration de Security Server
context.properties
5
13
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activation des notifications de licence par e-mail sur le serveur SMTP .
Notification.config .
13
. .
D&eacute;sactiver des Services Web
4
11
12
Remplacement de l'arbitrage des r&egrave;gles le plus s&eacute;curis&eacute; par l'arbitrage des r&egrave;gles le moins s&eacute;curis&eacute;
3
5
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activation du format Domaine\Nom d'utilisateur .
run-service.conf
5
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des fonctionnalit&eacute;s de cryptage
Emp&ecirc;cher la suppression des fichiers temporaires .
Masquer des ic&ocirc;nes en transparence
19
21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
Masquer une ic&ocirc;ne de barre d'&eacute;tat syst&egrave;me .
Activation par plages horaires .
. . . . . . . . . . . . . . . . . . . . . .
19
Guide de configuration
3
Interrogation forc&eacute;e
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
Options d'inventaire
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
Activations hors domaine
6
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des composants pour l'authentification/autorisation 
Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . .
25
. . . . . . . . . . . . . . .
25
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
Configuration des composants pour l'authentification/autorisation Kerberos .
Instructions pour les services Windows
. . . . . . . . . . . . . . . . . . . . . . . . . . .
25
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
Instructions pour le fichier de configuration Key Server
Exemple de fichier de configuration :
Instructions pour les services Windows
Instructions pour la Console de gestion &agrave; distance .
7
Instructions pour la Console de gestion &agrave; distance .
8
Expressions Cron
29
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
31
31
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
Caract&egrave;res sp&eacute;ciaux
Cr&eacute;er un certificat auto-sign&eacute; avec Keytool et g&eacute;n&eacute;rer une demande 
de signature de certificat (CSR) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . .
35
G&eacute;n&eacute;rer une nouvelle paire de cl&eacute;s et un certificat auto-sign&eacute;
. . . . . . . . . . . . . . . . . . . . . . .
35
Demander un certificat sign&eacute; par une autorit&eacute; de certification .
. . . . . . . . . . . . . . . . . . . . . . .
36
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
Importer un certificat racine .
Exemple de m&eacute;thode pour demander un certificat
4
27
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syntaxe des expressions Cron .
Exemples
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;sentation des expressions Cron
9
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Attribuer le r&ocirc;le d'administrateur Forensic .
D&eacute;sactiver l'autorisation Forensic .
23
Guide de configuration
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
1
Configuration de Compatibility Server
Ce chapitre d&eacute;crit les param&egrave;tres que vous pouvez modifier afin d'adapter Compatibility Server &agrave; votre environnement.
Faites toujours une copie de sauvegarde des fichiers de configuration avant de les modifier.
Ne modifiez que les param&egrave;tres document&eacute;s dans ce fichier. Vous risquez de corrompre ou d'endommager le syst&egrave;me si
vous modifiez les autres donn&eacute;es contenues dans ces fichiers, notamment les balises. Dell n'est pas en mesure de garantir
que les probl&egrave;mes r&eacute;sultant de l'apport de modifications non autoris&eacute;es &agrave; ces fichiers pourront &ecirc;tre r&eacute;solus sans proc&eacute;der &agrave;
une r&eacute;installation de Compatibility Server.
server_config.xml
Vous pouvez modifier certains des param&egrave;tres d&eacute;crits ci-apr&egrave;s dans &lt;r&eacute;pertoire d'installation du Compatibility
Server&gt;\conf\server_config.xml. Les param&egrave;tres qui ne doivent pas &ecirc;tre modifi&eacute;s sont identifi&eacute;s comme tel. Si
Compatibility Server est en cours d'ex&eacute;cution, vous devez arr&ecirc;ter ce service avant de modifier le fichier server_config.xml.
Red&eacute;marrez ensuite le service Compatibility Server pour permettre aux modifications apport&eacute;es &agrave; ce fichier de prendre
effet.
server_config.xml
Param&egrave;tre
Valeur par d&eacute;faut
Description
secrets.location
$dell.home$/conf/secretKeyStore
Emplacement par d&eacute;faut du fichier secretkeystore.
Mettez &agrave; jour ce param&egrave;tre si vous modifiez
l'emplacement par d&eacute;faut de ce fichier.
archive.location
$dell.home$/conf/archive
Emplacement par d&eacute;faut de l'archive. Mettez &agrave;
jour ce param&egrave;tre si vous modifiez l'emplacement
par d&eacute;faut de ce fichier.
domain.qualified.authentication
vrai
Indique si le nom de connexion complet d'un
utilisateur est requis pour toutes les requ&ecirc;tes
envoy&eacute;es au serveur.
Si vous modifiez cette valeur, vous devez
red&eacute;marrer Device Server pour permettre &agrave; la
nouvelle valeur de prendre effet.
1000
Limite d'une recherche de r&eacute;pertoire au-del&agrave; de
laquelle une exception est lev&eacute;e.
directory.server.search.timeout.seconds
60
D&eacute;lai d'expiration (en secondes) du serveur pour
les recherches LDAP.
directory.client.search.timeout
60
D&eacute;lai d'expiration (en secondes) du client pour les
recherches LDAP.
directory.max.search.size
Guide de configuration
5
server_config.xml
Param&egrave;tre
Valeur par d&eacute;faut
rmi.recovery.host
Description
Pour utiliser la fonction de r&eacute;cup&eacute;ration EMS
multi-serveur :
&lt;!-- supprimez le commentaire et modifiez les noms
d'h&ocirc;tes en ajoutant les noms complets de vos
domaines pour activer la r&eacute;cup&eacute;ration
&lt;property name=&quot;rmi.recovery.host&quot;&gt;
&lt;value&gt;rmi://foo.fabrikam.com:1099&lt;/value&gt;
&lt;/property&gt;
&lt;property name=&quot;rmi.recovery.host&quot;&gt;
&lt;value&gt;rmi://foo.fabrikam2.com:1099&lt;/value&gt;
&lt;/property&gt;
--&gt;
default.gatekeeper.group.remote
CMGREMOTE
Nom par d&eacute;faut du groupe auquel appartiennent
par d&eacute;faut toutes les Proxy r&egrave;gles. Vous pouvez
modifier ce nom ici ou dans le fichier
context.properties de Device Server.
Si vous modifiez le nom du groupe ici, vous devez
&eacute;galement le modifier dans Device Server si vous
pr&eacute;voyez :
• de prot&eacute;ger des p&eacute;riph&eacute;riques Windows ;
• d'utiliser CREDActivate.
Nous vous recommandons de regrouper toutes vos
Proxy r&egrave;gles dans un seul groupe.
rsa.securid.enabled
faux
Si vous utilisez RSA SecurID pour
Microsoft Windows version 6 comme
remplacement de votre GINA, d&eacute;finissez ce
param&egrave;tre sur vrai, puis arr&ecirc;tez et red&eacute;marrez le
service Compatibility Server.
Lorsque les utilisateurs de Shield activent un
environnement RSA de remplacement de GINA,
l'authentification LDAP est alors remplac&eacute;e par
une authentification RSA.
inv.queue.task.worker.size
10
Nombre de threads utilis&eacute;s pour traiter la file
d'attente de l'inventaire.
inv.queue.task.timeout.seconds
900
Nombre de secondes avant le d&eacute;lai d'expiration.
inv.queue.task.retry.count
3
Nombre de tentatives de traitement de l'inventaire
ex&eacute;cut&eacute;es par le serveur avant abandon.
report.retry.max
120
Nombre maximal de nouvelles tentatives.
report.retry.wait.millis
250
D&eacute;lai d'attente en milli&egrave;mes de secondes avant
toute nouvelle tentative.
6
Guide de configuration
server_config.xml
Param&egrave;tre
triage.execute.time
Valeur par d&eacute;faut
0 0 0/6 * *
Description
Le triage est un processus qui consiste &agrave;
rapprocher les utilisateurs et les groupes que le
serveur conna&icirc;t d&eacute;j&agrave;.
Le param&egrave;tre par d&eacute;faut est &laquo; 0 0 0/6 * * ? &raquo;, ce
qui signifie que le triage est effectu&eacute; toutes les
6 heures &agrave; partir de minuit (minuit, 6h00, midi,
18h00, minuit...)
gatekeeper.service.max.sessions
5
Nombre maximal de sessions Proxy r&egrave;gles.
gatekeeper.service.max.session.timeout
5
D&eacute;lai d'expiration pour le nombre maximal de
sessions Proxy r&egrave;gles.
security.authorization.method.IAdministrat
iveService.updateAdminRoles
AcctAdmin
R&ocirc;le requis pour mettre &agrave; jour des r&ocirc;les
d'administrateur de groupe ou d'utilisateur.
security.authorization.method.IAdministrati
veService.getAdministrativeAccountGroups
AcctAdmin
R&ocirc;le requis pour mettre &agrave; jour des r&ocirc;les
d'administrateur de groupe ou d'utilisateur.
security.authorization.method.IAdministrat
iveService.openGetLogsSession
SystemAdmin, LogAdmin
R&ocirc;les requis pour r&eacute;cup&eacute;rer les sessions de rapport.
security.authorization.method.IAdministrat
iveService.getLogs
SystemAdmin, LogAdmin
R&ocirc;les requis pour r&eacute;cup&eacute;rer les rapports.
security.authorization.method.IAdministrat
iveService.getLogColumnList
SystemAdmin, LogAdmin
R&ocirc;les requis pour r&eacute;cup&eacute;rer la liste des colonnes du
rapport.
security.authorization.method.IAdministrat
iveService.getLogCategoryList
SystemAdmin, LogAdmin
R&ocirc;les requis pour r&eacute;cup&eacute;rer la liste des cat&eacute;gories
du rapport.
security.authorization.method.IAdministrat
iveService.getLogPriorityList
SystemAdmin, LogAdmin
R&ocirc;les requis pour r&eacute;cup&eacute;rer la liste des priorit&eacute;s du
rapport.
security.authorization.method.IAdministrat
iveService.getUniqueIdName
AcctAdmin, SecAdmin,
HelpDeskAdmin, SystemAdmin
R&ocirc;les requis pour r&eacute;cup&eacute;rer les noms associ&eacute;s aux
ID uniques.
security.authorization.method.IAdministrat
iveService.getAdministrators
AcctAdmin
R&ocirc;le requis pour r&eacute;cup&eacute;rer la liste des
administrateurs du syst&egrave;me.
security.authorization.method.IAdministrat
iveService.setSuperAdminPassword
SuperAdmin
R&ocirc;le requis pour d&eacute;finir le mot de passe
superadmin.
security.authorization.method.IAdministrat
iveService.resetSuperAdminPassword
SecAdmin
security.authorization.method.IAdministrat
iveService.addDomain
SystemAdmin, SecAdmin
R&ocirc;les requis pour ajouter des domaines.
security.authorization.method.IAdministrat
iveService.removeDomain
SystemAdmin, SecAdmin
R&ocirc;les requis pour supprimer des domaines.
security.authorization.method.IAdministrat
iveService.updateDomain
SystemAdmin, SecAdmin
R&ocirc;les requis pour mettre &agrave; jour des domaines.
security.authorization.method.IAdministrat
iveService.addGroups
SystemAdmin, SecAdmin
R&ocirc;les requis pour ajouter des groupes.
security.authorization.method.IAdministrat
iveService.removeGroup
SystemAdmin, SecAdmin
R&ocirc;les requis pour supprimer des groupes.
R&ocirc;le requis pour r&eacute;initialiser le mot de passe
superadmin.
Guide de configuration
7
server_config.xml
Param&egrave;tre
Valeur par d&eacute;faut
security.authorization.method.IAdministrat
iveService.findLdapGroups
SystemAdmin, SecAdmin
R&ocirc;les requis pour rechercher des groupes LDAP.
security.authorization.method.IAdministrat
iveService.findLdapUsers
SystemAdmin, SecAdmin
R&ocirc;les requis pour rechercher des utilisateurs
LDAP.
security.authorization.method.IAdministrat
iveService.addUsers
SystemAdmin, SecAdmin
R&ocirc;les requis pour ajouter des utilisateurs.
security.authorization.method.IAdministrat
iveService.addLicense
SystemAdmin
R&ocirc;le requis pour ajouter des licences d'entreprise.
security.authorization.method.IAdministrat
iveService.getLicense
SystemAdmin
R&ocirc;le requis pour afficher la licence d'entreprise.
security.authorization.method.IDeviceMan
ager.recoverDevice
HelpDeskAdmin, SecAdmin
R&ocirc;les requis pour r&eacute;cup&eacute;rer un p&eacute;riph&eacute;rique.
security.authorization.method.IDeviceMan
ager.isUserSuspended
HelpDeskAdmin, SecAdmin
R&ocirc;les requis pour suspendre des utilisateurs.
security.authorization.method.DeviceMana
gerService.proxyActivate
SecAdmin
R&ocirc;le requis pour activer des p&eacute;riph&eacute;riques par
proxy.
security.authorization.method.DeviceMana
gerService.proxiedDeviceManualAuth
HelpDeskAdmin, SecAdmin
R&ocirc;les requis pour r&eacute;cup&eacute;rer manuellement un
p&eacute;riph&eacute;rique par proxy.
security.authorization.method.IFileManage
r.getGatekeeperResource
SystemAdmin
R&ocirc;le requis pour r&eacute;cup&eacute;rer le fichier de ressources
Gatekeeper.
security.authorization.method.IFileManage
r.approveGatekeeperResource
SystemAdmin
R&ocirc;le requis pour approuver le fichier de ressources
Gatekeeper.
security.authorization.method.IFileManage
r.approveGatekeeperConfig
SystemAdmin
R&ocirc;le requis pour approuver la configuration de
Gatekeeper.
most-restrictive
Cette propri&eacute;t&eacute; contr&ocirc;le le fonctionnement de
l'algorithme de mappage de r&egrave;gle pour les
&eacute;l&eacute;ments de r&egrave;gle auxquels une pr&eacute;f&eacute;rence de
s&eacute;curit&eacute; est appliqu&eacute;e lorsque la r&egrave;gle poss&egrave;de
plusieurs nœuds parents.
policy.arbiter.security.mode
Description
Valeurs :
Least-restrictive – La valeur d'&eacute;l&eacute;ment la moins
restrictive des parents est utilis&eacute;e.
Most-restrictive – La valeur d'&eacute;l&eacute;ment la plus
restrictive de tous les parents est utilis&eacute;e.
policy.set.synchronization.sync-unmodified
vrai
Cet indicateur signale que la prochaine
synchronisation externe doit ajouter ou remapper
tous les &eacute;l&eacute;ments de r&egrave;gle sans d&eacute;finir l'indicateur
modifi&eacute; sur vrai. Cet indicateur bascule sur faux
apr&egrave;s chaque synchronisation. Il doit donc &ecirc;tre
r&eacute;initialis&eacute; si l'administrateur de s&eacute;curit&eacute; souhaite
ajouter des &eacute;l&eacute;ments sans apporter de
modification. Il s'agit d'une option avanc&eacute;e.
db.schema.version.major
Sch&eacute;ma de la base de donn&eacute;es principale.
db.schema.version.minor
Sch&eacute;ma de la base de donn&eacute;es secondaire.
8
Guide de configuration
server_config.xml
Param&egrave;tre
Valeur par d&eacute;faut
db.schema.version.patch
dao.db.driver.dir
Description
Version du correctif du sch&eacute;ma de la base de
donn&eacute;es.
$dell.home$/lib/mssql-microsoft
dao.db.host
Emplacement par d&eacute;faut du pilote de base de
donn&eacute;es. Mettez &agrave; jour ce param&egrave;tre si vous
modifiez l'emplacement par d&eacute;faut de ce fichier.
Nom d'h&ocirc;te de votre serveur de base de donn&eacute;es.
Ce param&egrave;tre peut &ecirc;tre modifi&eacute; dans l'outil de
configuration.
dao.db.name
Nom de votre base de donn&eacute;es.
Ce param&egrave;tre peut &ecirc;tre modifi&eacute; dans l'outil de
configuration.
dao.db.user
Nom d'utilisateur poss&eacute;dant les autorisations
maximales pour votre base de donn&eacute;es.
Ce param&egrave;tre peut &ecirc;tre modifi&eacute; dans l'outil de
configuration.
dao.db.password
Mot de passe associ&eacute; au nom d'utilisateur
poss&eacute;dant les autorisations maximales pour votre
base de donn&eacute;es.
Ce param&egrave;tre peut &ecirc;tre modifi&eacute; dans l'outil de
configuration.
dao.db.max.retry.count
10
Nombre maximal de tentatives de reconnexion &agrave;
SQL Server ex&eacute;cut&eacute;es par Compatibility Server
lorsqu'une erreur de socket sp&eacute;cifi&eacute;e se produit.
dao.db.connection.retry.wait.seconds
5
La premi&egrave;re tentative de reconnexion est
imm&eacute;diate. La deuxi&egrave;me tentative est ex&eacute;cut&eacute;e
d&egrave;s que le d&eacute;lai (en secondes) indiqu&eacute; est &eacute;coul&eacute;.
La troisi&egrave;me tentative est ex&eacute;cut&eacute;e lorsque le
double du d&eacute;lai indiqu&eacute; est &eacute;coul&eacute;, la quatri&egrave;me
est ex&eacute;cut&eacute;e lorsque le triple du d&eacute;lai indiqu&eacute; est
&eacute;coul&eacute;, et ainsi de suite.
dao.connection.pool.max.uses
dao.connection.pool.inactive.threshold.seconds
10000
Permet d'interrompre les connexions. 0 signifie
que les connexions ne sont pas interrompues.
900
Utilis&eacute; pour d&eacute;terminer si une connexion n'est pas
utilis&eacute;e et peut donc &ecirc;tre ferm&eacute;e.
dao.db.driver.socket.errors
0
Compatibility Server tente de se reconnecter &agrave;
SQL Server lorsque des erreurs correspondant aux
codes r&eacute;pertori&eacute;s dans cette liste de valeurs
s&eacute;par&eacute;es par des virgules se produisent.
0 correspond au code d'erreur pour les erreurs de
socket rencontr&eacute;es par Microsoft SQL. Vous
pouvez &eacute;galement ajouter 17142 pour les erreurs
de pause du serveur et 6002 pour les erreurs
d'arr&ecirc;t du serveur.
dao.db.mssql.compatability.level
90
Valeur pour SQL version 2005 ou ult&eacute;rieure.
Guide de configuration
9
server_config.xml
Param&egrave;tre
Valeur par d&eacute;faut
Description
vfs.file.handler.auth
com.credant.guardian.server.vfs.Auth Gestionnaire du fichier d'autorisation.
FileHandler
vfs.file.handler.inventory
com.credant.guardian.server.vfs.Inve Gestionnaire du fichier d'inventaire.
ntoryFileHandler
vfs.file.handler.event
com.credant.guardian.server.vfs.Even Gestionnaire du fichier d'&eacute;v&eacute;nements.
tFileHandler
gatekeeper.resource
$dell.home$/conf/gkresource.xml
Mettez &agrave; jour ce param&egrave;tre si vous modifiez
l'emplacement par d&eacute;faut du fichier de ressources
Gatekeeper.
$dell.home$/conf/gkconfig.xml
Mettez &agrave; jour ce param&egrave;tre si vous modifiez
l'emplacement par d&eacute;faut du fichier de ressources
Gatekeeper.
rmi.server.registry.host
localhost
La propri&eacute;t&eacute; h&ocirc;te est uniquement utilis&eacute;e pour les
programmes clients afin de d&eacute;terminer
l'emplacement du registre. Elle n'est pas utilis&eacute;e
lors de la cr&eacute;ation du registre RMI et des objets
distants. Elle sera cr&eacute;&eacute;e dans localhost.
rmi.server.registry.port
1099
La configuration du port du registre RMI peut &ecirc;tre
effectu&eacute;e au moment de l'installation. Il est
&eacute;galement possible de modifier le port une fois
l'installation termin&eacute;e &agrave; l'aide de ce param&egrave;tre.
gatekeeper.config
Si vous modifiez cette valeur, vous devez
&eacute;galement configurer Gatekeeper Web Services.
security.authorization.method.IServerRepor
ts.getOverviewReport
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
security.authorization.method.IReportingSe
rvice.removeEntity
SystemAdmin
R&ocirc;le requis pour supprimer les entit&eacute;s du serveur.
security.authorization.method.IReportingSe
rvice.setEntityVisibility
SystemAdmin
R&ocirc;le requis pour d&eacute;finir la visibilit&eacute; des entit&eacute;s du
serveur.
security.authorization.method.IReportingSe
rvice.getHardwareDetailReport
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
R&ocirc;les requis pour afficher la page de d&eacute;tails du
p&eacute;riph&eacute;rique.
security.authorization.method.IReportingSe
rvice.openSession
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
R&ocirc;les requis pour ouvrir une session sur le serveur.
security.authorization.method.IReportingSe
rvice.getPagedReport
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
R&ocirc;les requis pour afficher le rapport pagin&eacute;.
security.authorization.method.IReportingSe
rvice.getDeviceTypeReport
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
R&ocirc;les requis pour afficher le rapport sur les types
de p&eacute;riph&eacute;riques.
security.authorization.method.IReportingSe
rvice.getDeviceOsReport
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
R&ocirc;les requis pour afficher le rapport sur le syst&egrave;me
d'exploitation.
security.authorization.method.IReportingSe
rvice.getDeviceModelReport
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
R&ocirc;les requis pour afficher les rapports sur les
mod&egrave;les de p&eacute;riph&eacute;riques.
security.authorization.method.IReportingSe
rvice.getPolicyDetailReport
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
R&ocirc;les requis pour afficher le rapport sur les d&eacute;tails
des r&egrave;gles.
10
Guide de configuration
R&ocirc;les requis pour d&eacute;finir l'autorisation pour les
rapports du serveur.
server_config.xml
Param&egrave;tre
Valeur par d&eacute;faut
Description
security.authorization.method.IReportingSe
rvice.getWorkstationDetailReport
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
R&ocirc;les requis pour afficher le rapport sur les d&eacute;tails
des postes de travail.
security.authorization.method.IReportingSe
rvice.getEncryptionFailuresReport
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
R&ocirc;les requis pour afficher le rapport d'&eacute;chec du
cryptage.
security.authorization.method.IReportingSe
rvice.getEncryptionSummaryReport
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
R&ocirc;les requis pour afficher le rapport de r&eacute;sum&eacute; du
cryptage.
security.authorization.method.IReportingSe
rvice.getUserDetail
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
R&ocirc;les requis pour afficher le rapport sur les d&eacute;tails
des utilisateurs.
security.authorization.method.IReportingSe
rvice.getGroupDetail
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
R&ocirc;les requis pour afficher le rapport sur les d&eacute;tails
des groupes.
security.authorization.method.IReportingSe
rvice.getDomainDetail
AcctAdmin, HelpDeskAdmin,
SystemAdmin, SecAdmin
R&ocirc;les requis pour afficher le rapport sur la liste des
domaines.
security.authorization.method.IKeyService.
getKeys
ForensicAdmin
Ce param&egrave;tre est utilis&eacute; avec un module
d'extension d'int&eacute;gration forensic. Veuillez
contacter le support Dell pour savoir si un outil
d'int&eacute;gration forensic est n&eacute;cessaire.
faux
L'autorisation des activations hors domaine est
une configuration avanc&eacute;e qui a d'importantes
r&eacute;percussions. AVANT d'activer cette
configuration, contactez le service client&egrave;le pour
aborder vos besoins sp&eacute;cifiques en termes
d'environnement. Red&eacute;marrez le service
Compatibility Server apr&egrave;s avoir modifi&eacute; cette
valeur.
accountType.nonActiveDirectory.enabled
En plus de ce param&egrave;tre, cr&eacute;ez ou modifiez le
param&egrave;tre de r&eacute;pertoire sur l'ordinateur Windows
comme suit :
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\CMGShield
AllowNonDomainActivations=REG_DWORD:1
gkresource.xml
Vous pouvez modifier les param&egrave;tres dans &lt;r&eacute;p. d'installation de Compatibility Server&gt;\conf\gkresource.xml.
Nous vous recommandons d'ins&eacute;rer des commentaires au d&eacute;but du fichier pour effectuer le suivi des modifications que
vous apportez. Vous pourrez ainsi facilement transf&eacute;rer vos modifications vers le nouveau fichier lorsque vous effectuerez
une mise &agrave; niveau.
REMARQUE : Le fichier gkresource.xml doit &ecirc;tre un fichier XML bien form&eacute;. Si vous ne ma&icirc;trisez pas le format XML, Dell vous recommande
de ne pas essayer de modifier ce fichier. Le cas &eacute;ch&eacute;ant, veillez &agrave; utiliser les r&eacute;f&eacute;rences des entit&eacute;s plut&ocirc;t que des caract&egrave;res
sp&eacute;ciaux bruts (sans programmation sp&eacute;ciale).

Pour pouvoir prendre effet, les modifications apport&eacute;es au fichier de ressources Gatekeeper doivent &ecirc;tre approuv&eacute;es par un
administrateur syst&egrave;me.
Guide de configuration
11
Activation du format Domaine\Nom d'utilisateur
Ins&eacute;rez la cha&icirc;ne de caract&egrave;res suivante pour activer (ou d&eacute;sactiver) le format domaine\nom d'utilisateur. Ce format est
d&eacute;sactiv&eacute; si la cha&icirc;ne de caract&egrave;res n'existe pas dans le fichier. Vous pouvez &eacute;galement d&eacute;sactiver ce format en d&eacute;finissant
la valeur sur 0.
1 Naviguez jusqu'&agrave; &lt;r&eacute;p. d'installation de Compatibility Server&gt;\conf.
2 Ouvrez le fichier gkresource.xml &agrave; l'aide d'un &eacute;diteur XML.
3 Ins&eacute;rez la cha&icirc;ne de caract&egrave;res :
&lt;string name=&quot;EnableGKProbeMultiDomainSupport&quot;&gt;1&lt;/string&gt;
4 Enregistrez le fichier, puis fermez-le.
run-service.conf
Vous pouvez modifier certains des param&egrave;tres d&eacute;crits ci-apr&egrave;s dans &lt;r&eacute;pertoire d'installation du Compatibility
Server&gt;\conf\run-service.conf. Ces param&egrave;tres sont configur&eacute;s automatiquement au moment de l'installation. 
Pour personnaliser les param&egrave;tres ou modifier la configuration de n'importe quel service :
1 Arr&ecirc;tez le service.
2 Supprimez le service.
3 Modifiez puis enregistrez le fichier run-service.conf. Nous vous recommandons d'ins&eacute;rer des commentaires au d&eacute;but du
fichier pour effectuer le suivi des modifications que vous apportez.
4 R&eacute;installez le service.
5 D&eacute;marrez le service.
run-service.conf
Param&egrave;tre
JAVA_HOME
wrapper.java.additional.5
Valeur par d&eacute;faut
Description
Dell\Java Runtime\jreX.x
Emplacement du r&eacute;pertoire d'installation de Java.
Sans objet
L'adresse Mac indiqu&eacute;e dans cette ligne
correspond &agrave; l'adresse Mac de la carte Ethernet
locale.
Si un serveur poss&egrave;de plusieurs cartes r&eacute;seau ou si
vous souhaitez effectuer une liaison vers une
autre carte que la carte principale, saisissez ici
l'adresse physique (Mac) de la carte r&eacute;seau en
supprimant les tirets.
wrapper.ntservice.name
EpmCompatSvr
wrapper.ntservice.displayname
Dell Compatibility Server
wrapper.ntservice.description
Enterprise Compatibility Server
wrapper.ntservice.dependency.1
wrapper.ntservice.starttype
wrapper.ntservice.interactive
12
Guide de configuration
Nom du service.
Nom d'affichage du service.
Description du service.
D&eacute;pendances du service. Ajoutez les d&eacute;pendances
n&eacute;cessaires en commen&ccedil;ant par 1.
AUTO_START
faux
Mode dans lequel le service est install&eacute; :
AUTO_START ou DEMAND_START.
Lorsque ce param&egrave;tre est configur&eacute; sur vrai, le
service est autoris&eacute; &agrave; interagir avec le bureau.
2
Configuration de Core Server
Ce chapitre d&eacute;crit les param&egrave;tres que vous pouvez modifier afin d'adapter Core Server &agrave; votre environnement.
Ne modifiez que les param&egrave;tres document&eacute;s dans ce fichier. Vous risquez de corrompre ou d'endommager le syst&egrave;me si
vous modifiez les autres donn&eacute;es contenues dans ces fichiers, notamment les balises. Dell n'est pas en mesure de garantir
que les probl&egrave;mes r&eacute;sultant de l'apport de modifications non autoris&eacute;es &agrave; ces fichiers pourront &ecirc;tre r&eacute;solus sans proc&eacute;der &agrave;
une r&eacute;installation du Core Server.
Remplacement de l'arbitrage des r&egrave;gles le plus s&eacute;curis&eacute; par l'arbitrage des
r&egrave;gles le moins s&eacute;curis&eacute;
PolicyService.config
Modifiez ce param&egrave;tre pour remplacer l'arbitrage des r&egrave;gles le plus s&eacute;curis&eacute; par l'arbitrage des r&egrave;gles le moins s&eacute;curis&eacute;.
Modifiez le param&egrave;tre dans &lt;r&eacute;pertoire d'installation du Core Server&gt;\PolicyService.config. Si le Core Server est en cours
de fonctionnement, vous devez arr&ecirc;ter le Service, modifier le fichier PolicyService.config, puis red&eacute;marrer le Service pour
que les modifications &agrave; ce fichier prennent effet.
Nous vous recommandons d'ins&eacute;rer des commentaires au d&eacute;but du fichier pour effectuer le suivi des modifications que
vous apportez. Vous pourrez ainsi facilement transf&eacute;rer vos modifications vers le nouveau fichier PolicyServiceConfig.xml
lorsque vous effectuerez une mise &agrave; niveau.
Modifiez la section suivante :
&lt;!-- Web Service Targets --&gt;
&lt;object id=&quot;PolicyService&quot; singleton=&quot;false&quot; type=&quot;Credant.Policy.Service.PolicyService,
Credant.Policy.ServiceImplementation&quot;&gt;
&lt;property name=&quot;TemplateDataAccess&quot; ref=&quot;TemplateDataAccess&quot;/&gt;
&lt;property name=&quot;PolicyDataAccess&quot; ref=&quot;PolicyDataAccess&quot;/&gt;
&lt;property name=&quot;SupportDataAccess&quot; ref=&quot;SupportDataAccess&quot;/&gt;
&lt;property name=&quot;AuditLog&quot; ref=&quot;ServiceAuditLog&quot;/&gt;
&lt;property name=&quot;GlobalArbitrationBias&quot; value=&quot;1&quot; /&gt; [remplacez la valeur &laquo; 0 &raquo; par la valeur &laquo; 1 &raquo; pour d&eacute;finir la
valeur sur le param&egrave;tre le moins s&eacute;curis&eacute;]
&lt;/object&gt;
D&eacute;sactiver des Services Web
REMARQUE : Il s'agit d'un param&egrave;tre avanc&eacute; qui doit imp&eacute;rativement &ecirc;tre modifi&eacute; conform&eacute;ment aux consignes du service client&egrave;le.
Pour d&eacute;sactiver des services web sur le Core Server (par exemple, si une seconde installation Core Server est charg&eacute;e
exclusivement du traitement de l'inventaire), modifiez les param&egrave;tres dans :
&lt;r&eacute;pertoire d'installation du Core Server&gt;\
Credant.Server2.WindowsService.exe.Config
et
&lt;r&eacute;pertoire d'installation du Core Server&gt;\Spring.config
Si le Core Server est en cours de fonctionnement, vous devez arr&ecirc;ter le Service, modifier les param&egrave;tres dans ces deux
fichiers, puis red&eacute;marrer le Service afin que les changements prennent effet.
Guide de configuration
13
Credant.Server2.WindowsService.exe.Config
Supprimez la section suivante :
&lt;!-- Web Services Configuration --&gt;
&lt;system.serviceModel&gt;
&lt;services configSource=&quot;Services.config&quot;/&gt;
&lt;behaviors configSource=&quot;Behaviors.config&quot;/&gt;
&lt;bindings configSource=&quot;Bindings.config&quot;/&gt;
&lt;/system.serviceModel&gt;
Spring.config
Supprimez les &eacute;l&eacute;ments suivants :
Supprimez toutes les d&eacute;finitions &lt;object&gt; &lt;/object&gt; sous les en-t&ecirc;tes AOP Advice, Web Service Target Definition, et
Web Service Host Definition.
Activation des notifications de licence par e-mail sur le serveur SMTP
Si vous utilisez Dell Data Protection | Cloud Edition, ces param&egrave;tres sont automatis&eacute;s en utilisant l'Outil de
configuration serveur. Utilisez cette proc&eacute;dure si vous devez activer le Serveur SMTP pour les notifications de licence par
e-mail &agrave; d'autres fins que Dell Data Protection | Cloud Edition.
NotificationObjects.config
Pour configurer les notifications de licence par e-mail sur votre serveur SMTP, modifiez le fichier
NotificationObjects.config qui se trouve &agrave; l'emplacement suivant : &lt;r&eacute;p. d'installation de Core Server&gt;.
Effectuez les modifications suivantes :
&lt;object name=&quot;EmailNotification&quot; singleton=&quot;false&quot; type=&quot;Credant.Notification.EmailNotification,
Credant.Notification&quot;&gt; [Ne modifiez pas cette valeur]
&lt;property name=&quot;NotificationDataFactory&quot; ref=&quot;NotificationDataFactory&quot;/&gt; [Ne modifiez pas cette valeur]
&lt;property name=&quot;Host&quot; value=&quot;test.dell.com&quot;/&gt;
&lt;property name=&quot;Port&quot; value=&quot;25&quot;/&gt;
&lt;property name=&quot;Username&quot; value=&quot;username&quot;/&gt;
&lt;property name=&quot;Password&quot; value=&quot;${SmtpPassword}&quot;/&gt; [Ne modifiez pas cette valeur]
&lt;property name=&quot;Logger&quot; ref=&quot;NotificationLogger&quot;/&gt; [Ne modifiez pas cette valeur]
&lt;/object&gt;
Notification.config
Si votre serveur e-mail requiert une authentification, modifiez le fichier Notification.config qui se trouve &agrave; l'emplacement
suivant : &lt;r&eacute;p. d'installation de Core Server&gt;.
Effectuez les modifications suivantes :
&lt;notification&gt;
&lt;add key=&quot;SmtpPassword&quot; value=&quot;your_email_server_password&quot;/&gt;
&lt;/notification&gt;
14
Guide de configuration
Ajouter l'emplacement du dossier Compatibility Server au fichier de
configuration du Core Server
Le Core Server est une application .Net, ce qui signifie que l'acc&egrave;s aux informations du r&eacute;pertoire peut parfois &ecirc;tre
interdit, en raison des autorisations. Cependant, pour lire le secretkeystore (la cl&eacute; de cryptage de base), le Core Server doit
acc&eacute;der aux informations de configuration du r&eacute;pertoire du Compatibility Server pour l'emplacement du secretkeystore. Si
les autorisations de r&eacute;pertoire bloquent cet acc&egrave;s, le Core Server ne parvient pas &agrave; authentifier les utilisateurs de la
Console. Ce param&egrave;tre ajoute l'emplacement du dossier du Compatibility Server dans le fichier de configuration du Core
Server en cas de probl&egrave;mes d'acc&egrave;s au r&eacute;pertoire.
1 Rendez-vous sur &lt;r&eacute;pertoire d'installation du Core Server&gt;\EntityDataAccessObjects.config.
2 Changez l'&eacute;l&eacute;ment en gras :
&lt;object id=&quot;DomainDataAccess&quot; singleton=&quot;false&quot; type=&quot;Credant.Entity.DataAccess.DomainDataAccess,
Credant.Entity.DataAccess&quot;&gt;
&lt;property name=&quot;Logger&quot; ref=&quot;DataAccessLogger&quot;/&gt;
&lt;!--&lt;property name=&quot;CompatibilityServerPath&quot;
value=&quot;PATH_TO_COMPATIBILITY_SERVER&quot;/&gt; --&gt;
Supprimez le commentaire de cette ligne et d&eacute;finissez le chemin d'acc&egrave;s complet du Compatibility Server.
&lt;/object&gt;
3 Enregistrez le fichier, puis fermez-le.
4 Red&eacute;marrez les Services Core Server et Compatibility Server.
Donner la permission au Core Server d'effectuer une it&eacute;ration via des
m&eacute;thodes d'authentification
Les tentatives d'authentification Core Server peuvent &ecirc;tre bloqu&eacute;es par le contr&ocirc;leur de domaine, dans le cadre des r&egrave;gles
d&eacute;finies quant aux m&eacute;thodes d'authentification autoris&eacute;es. L'am&eacute;lioration a consist&eacute; &agrave; mettre en œuvre un
&laquo; commutateur &raquo; dans le fichier de configuration Core Server afin de permettre &agrave; celui-ci d'effectuer une it&eacute;ration via
diverses m&eacute;thodes d'authentification, dans le but d'en identifier une qui fonctionne.
1 Rendez-vous sur &lt;r&eacute;pertoire d'installation du Core Server &gt;\Spring.config.
2 Changez l'&eacute;l&eacute;ment en gras :
&lt;object id=&quot;DomainCache&quot; singleton=&quot;true&quot; type=&quot;Credant.Authorization.DomainCache.DomainCache,
Credant.Authorization.DomainCache&quot;&gt;
&lt;!-- Change this logger? --&gt;
&lt;property name=&quot;Logger&quot; ref=&quot;DataAccessLogger&quot; /&gt;
&lt;property name=&quot;DomainDataAccess&quot;
ref=&quot;DomainDataAccess&quot; /&gt;
&lt;property name=&quot;RefreshFrequency&quot; value=&quot;300&quot; /&gt;
&lt;property name=&quot;TryAllAuthTypes&quot; value=&quot;false&quot; /&gt;
Changez cette valeur en &laquo; true &raquo; pour activer cette fonctionnalit&eacute;.
&lt;!-- Utilis&eacute; pour modifier AuthType par domaine : la cl&eacute; est le CID du domaine et la valeur est
System.DirectoryServices.AuthenticationTypes
&lt;property name=&quot;DomainAuthType&quot;&gt;
&lt;dictionary key-type=&quot;string&quot; value-type=&quot;int&quot; &gt;
&lt;entry key=&quot;5A23TPM2&quot; value=&quot;0&quot; /&gt;
&lt;/dictionary&gt;
&lt;/property&gt;
--&gt;
&lt;/object&gt;
3 Enregistrez le fichier, puis fermez-le.
4 Red&eacute;marrez le service Core Server.
Guide de configuration
15
16
Guide de configuration
3
Configuration de Device Server
Ce chapitre d&eacute;crit les param&egrave;tres que vous pouvez modifier afin d'adapter Device Server &agrave; votre environnement.
Ne modifiez que les param&egrave;tres document&eacute;s dans ce fichier. Vous risquez de corrompre ou d'endommager le syst&egrave;me si
vous modifiez les autres donn&eacute;es contenues dans ces fichiers, notamment les balises. Dell n'est pas en mesure de garantir
que les probl&egrave;mes r&eacute;sultant de l'apport de modifications non autoris&eacute;es &agrave; ces fichiers pourront &ecirc;tre r&eacute;solus sans proc&eacute;der &agrave;
une r&eacute;installation du Device Server.
eserver.properties
Vous pouvez modifier les param&egrave;tres d&eacute;crits ci-apr&egrave;s dans &lt;r&eacute;p. d'installation de Device Server&gt;\conf\eserver.properties.
Nous vous recommandons d'ins&eacute;rer des commentaires au d&eacute;but du fichier pour effectuer le suivi des modifications que
vous apportez. Vous pourrez ainsi facilement transf&eacute;rer vos modifications vers le nouveau fichier lorsque vous effectuerez
une mise &agrave; niveau.
eserver.properties
Param&egrave;tre
eserver.default.host
eserver.default.port
Valeur par d&eacute;faut
Device Server Service
Description
Nom complet du domaine sur lequel le
service Device Server est install&eacute;.
Enterprise Server version 7.7 ou ult&eacute;rieure - Port d'&eacute;coute qui sera utilis&eacute; par Device
8443
Server pour les demandes d'activation
Enterprise Server ant&eacute;rieur &agrave; la version 7.7 - entrantes envoy&eacute;es par les p&eacute;riph&eacute;riques.
8081
eserver.use.ssl
Vrai
SSL est activ&eacute; par d&eacute;faut. Configurez ce
param&egrave;tre sur Faux pour d&eacute;sactiver SSL.
eserver.keystore.location
${context['server.home']}/conf/cacerts
Emplacement du certificat SSL utilis&eacute; par
Device Server.
eserver.keystore.password
changeit
Si vous avez modifi&eacute; le mot de passe cacerts
dans l'outil de configuration, ce param&egrave;tre
est mis &agrave; jour en cons&eacute;quence. Pour
modifier votre cacert dans l'outil de
configuration &agrave; tout moment apr&egrave;s la
configuration initiale, mettez &agrave; jour ce
param&egrave;tre en saisissant le mot de passe
Keystore que vous utilisez.
Guide de configuration
17
eserver.properties
Param&egrave;tre
Valeur par d&eacute;faut
eserver.ciphers
Description
D&eacute;finit la liste des chiffrements de cryptage.
Tous les chiffrements doivent &ecirc;tre s&eacute;par&eacute;s
par une virgule. Si vous laissez ce param&egrave;tre
vide, le socket autorisera uniquement les
chiffrements disponibles pris en charge par
Tomcat.
Supprimez le commentaire dans l'exemple
ci-dessous pour d&eacute;finir la liste des
chiffrements de cryptage. S&eacute;parez tous les
chiffrements par une virgule. Consultez le
guide de r&eacute;f&eacute;rence des JSSE de Sun pour
conna&icirc;tre la liste des noms de suites de
chiffrement valides.
#eserver.ciphers=
SSL_RSA_WITH_RC4_128_MD5,SSL_RS
A_WITH_RC4_128_SHA,SSL_DHE_RSA
_WITH_3DES_EDE_CBC_SHA
run-service.conf
Vous pouvez modifier certains des param&egrave;tres d&eacute;crits ci-apr&egrave;s dans &lt;r&eacute;pertoire d'installation du Device
Server&gt;\conf\run-service.conf. Ces param&egrave;tres sont configur&eacute;s automatiquement au moment de l'installation. Pour
personnaliser les param&egrave;tres ou modifier la configuration de n'importe quel service :
1 Arr&ecirc;tez le service.
2 Supprimez le service.
3 Modifiez puis enregistrez le fichier run-service.conf. Nous vous recommandons d'ins&eacute;rer des commentaires au d&eacute;but du
fichier pour effectuer le suivi des modifications que vous apportez.
4 R&eacute;installez le service.
5 D&eacute;marrez le service.
run-service.conf
Param&egrave;tre
JAVA_HOME
wrapper.ntservice.name
Valeur par d&eacute;faut
Description
Dell\Java Runtime\jreX.x
Emplacement du r&eacute;pertoire d'installation de
Java.
EpmDeviceSvr
wrapper.ntservice.displayname
Dell Device Server
wrapper.ntservice.description
Enterprise Device Server
wrapper.ntservice.dependency.1
wrapper.ntservice.starttype
wrapper.ntservice.interactive
18
Guide de configuration
Nom du service.
Nom d'affichage du service.
Description du service.
D&eacute;pendances du service. Ajoutez les
d&eacute;pendances n&eacute;cessaires en commen&ccedil;ant
par 1.
AUTO_START
faux
Mode dans lequel le service est install&eacute; :
AUTO_START ou DEMAND_START.
Lorsque ce param&egrave;tre est configur&eacute; sur vrai,
le service est autoris&eacute; &agrave; interagir avec le
bureau.
4
Configuration de Security Server
Ce chapitre d&eacute;crit les param&egrave;tres que vous pouvez modifier afin d'adapter Security Server &agrave; votre environnement.
Ne modifiez que les param&egrave;tres document&eacute;s dans ce fichier. Vous risquez de corrompre ou d'endommager le syst&egrave;me si
vous modifiez les autres donn&eacute;es contenues dans ces fichiers, notamment les balises. Dell n'est pas en mesure de garantir
que les probl&egrave;mes r&eacute;sultant de l'apport de modifications non autoris&eacute;es &agrave; ces fichiers pourront &ecirc;tre r&eacute;solus sans proc&eacute;der &agrave;
une r&eacute;installation de Security Server.
context.properties
Vous pouvez modifier les param&egrave;tres d&eacute;crits ci-apr&egrave;s dans &lt;r&eacute;p. d'installation de Security
Server&gt;\webapps\xapi\WEB-INF\context.properties.
Nous vous recommandons d'ins&eacute;rer des commentaires au d&eacute;but du fichier pour effectuer le suivi des modifications que
vous apportez. Vous pourrez ainsi facilement transf&eacute;rer vos modifications vers le nouveau fichier lorsque vous effectuerez
une mise &agrave; niveau.
context.properties
Param&egrave;tre
default.gatekeeper.group.remote
xmlrpc.max.threads
Valeur par d&eacute;faut
Description
CMGREMOTE
Nom de groupe du p&eacute;riph&eacute;rique distant. Ne
modifiez pas cette valeur.
250
Nombre max. de threads simultan&eacute;s dans ce
Device Server.
default.auth.upn.suffix
Suffixe UPN ajout&eacute; au nom de connexion
d'un utilisateur si le serveur requiert un
nom de connexion complet et si aucun nom
de connexion n'est fourni dans la requ&ecirc;te.
device.manual.auth.enable
vrai
Indique si les authentifications manuelles
sont activ&eacute;es ou d&eacute;sactiv&eacute;es. Ne modifiez
pas cette valeur.
service.activation.enable
vrai
Indique si les activations sont g&eacute;r&eacute;es par
Device Server. Ne modifiez pas cette valeur.
service.policy.enable
vrai
Indique si la r&egrave;gle est activ&eacute;e ou d&eacute;sactiv&eacute;e.
Ne modifiez pas cette valeur.
service.auth.enable
vrai
Indique si les authentifications sont g&eacute;r&eacute;es
par Device Server.
service.forensic.enable
vrai
Ce param&egrave;tre est utilis&eacute; avec un module
d'extension d'int&eacute;gration forensic. Veuillez
contacter le support Dell pour savoir si un
outil d'int&eacute;gration forensic est n&eacute;cessaire.
service.support.enable
vrai
Autorise la r&eacute;cup&eacute;ration des
m&eacute;ta-informations relatives au serveur.
service.device.enable
vrai
Autorise la prise en charge des services du
Shield tels que le stockage des cl&eacute;s SDE.
Guide de configuration
19
20
Guide de configuration
Configuration des fonctionnalit&eacute;s de cryptage
5
Cette section vous explique comment vous pouvez contr&ocirc;ler ind&eacute;pendamment les fonctionnalit&eacute;s de cryptage..
Emp&ecirc;cher la suppression des fichiers temporaires
Par d&eacute;faut, tous les fichiers temporaires qui se trouvent dans le r&eacute;pertoire c:\windows\temp directory sont
automatiquement supprim&eacute;s au cours de l'installation/la mise &agrave; niveau de DDPE. La suppression des fichiers temporaires
permet de r&eacute;duire la dur&eacute;e initiale du cryptage et est effectu&eacute;e avant l'analyse de cryptage initiale.
Cependant, si votre entreprise utilise une application tierce qui n&eacute;cessite de conserver la structure des fichiers qui se
trouvent dans le r&eacute;pertoire \temp directory, vous devez emp&ecirc;cher la suppression de ces fichiers.
Pour d&eacute;sactiver la suppression des fichiers temporaires, cr&eacute;ez ou modifiez le param&egrave;tre registre en suivant les indications
ci-apr&egrave;s :
HKLM\SOFTWARE\CREDANT\CMGShield
DeleteTempFiles (REG_DWORD)=0
Remarque : le fait de ne pas supprimer les fichiers temporaires augmente la dur&eacute;e de cryptage initiale.
Masquer des ic&ocirc;nes en transparence
Lors de l'installation, toutes les ic&ocirc;nes de cryptage en transparence sont affich&eacute;es par d&eacute;faut. Utilisez le param&egrave;tre de
r&eacute;pertoire suivant pour masquer les ic&ocirc;nes de cryptage en transparence pour tous les utilisateurs g&eacute;r&eacute;s sur un ordinateur
apr&egrave;s l'installation initiale.
Cr&eacute;ez ou modifiez le param&egrave;tre registre suivant :
HKLM\Software\CREDANT\CMGShield
HideOverlayIcons (DWORD value)=1
Si un utilisateur (dot&eacute; des privil&egrave;ges appropri&eacute;s) choisit d'afficher les ic&ocirc;nes de cryptage en transparence, ce param&egrave;tre
&eacute;crasera cette valeur de r&eacute;pertoire.
Masquer une ic&ocirc;ne de barre d'&eacute;tat syst&egrave;me
Par d&eacute;faut, lors de l'installation, l'ic&ocirc;ne de barre d'&eacute;tat syst&egrave;me est affich&eacute;e. Utilisez le param&egrave;tre suivant de r&eacute;pertoire pour
masquer les ic&ocirc;nes de barre d'&eacute;tat syst&egrave;me pour tous les utilisateurs g&eacute;r&eacute;s sur un ordinateur apr&egrave;s l'installation initiale.
Cr&eacute;ez ou modifiez le param&egrave;tre registre suivant :
HKLM\Software\CREDANT\CMGShield
HIDESYSTRAYICON (DWORD value)=1
Activation par plages horaires
La fonctionnalit&eacute; d'activation par plages horaires vous permet d'&eacute;chelonner les activations des Shields sur une p&eacute;riode
d&eacute;finie en vue de diminuer la charge du serveur lors d'un d&eacute;ploiement de masse. Les activations sont diff&eacute;r&eacute;es en fonction
de plages horaires g&eacute;n&eacute;r&eacute;es par des algorithmes pour permettre une r&eacute;partition fluide des heures d'activation.
Guide de configuration
21
L'activation et la configuration de la fonctionnalit&eacute; d'activation par plages horaires s'effectuent dans le programme
d'installation du Shield ou via le poste de travail du Shield.
Pour les utilisateurs n&eacute;cessitant une activation via VPN, la configuration d'une activation par plages horaires pour le Shield
peut &ecirc;tre n&eacute;cessaire pour diff&eacute;rer l'activation initiale pendant une dur&eacute;e suffisamment importante pour permettre au
logiciel client VPN d'&eacute;tablir une connexion au r&eacute;seau.
ATTENTION : Ne configurez l'activation par plages horaires qu'avec l'aide du service client&egrave;le. Si la configuration des plages horaires
n'est pas correctement effectu&eacute;e, un grand nombre de tentatives d'activation de clients peuvent &ecirc;tre ex&eacute;cut&eacute;es
simultan&eacute;ment, ce qui risque de ralentir consid&eacute;rablement les performances du syst&egrave;me.
Les cl&eacute;s de registre suivantes sont utilis&eacute;es pour configurer l'activation par plages horaires. Il est n&eacute;cessaire de red&eacute;marrer le
poste de travail du Shield pour permettre aux modifications apport&eacute;es &agrave; ces cl&eacute;s de registre de prendre effet.
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SlottedActivation
Ce param&egrave;tre active ou d&eacute;sactive la fonction d'Activation par plages horaires.
D&eacute;sactiv&eacute;=0 (d&eacute;faut)
Activ&eacute;=1
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\CalRepeat
Dur&eacute;e en secondes de l'intervalle d&eacute;fini pour votre plage d'horaire d'activation. Vous pouvez utiliser cette propri&eacute;t&eacute; pour
modifier la dur&eacute;e en secondes de l'intervalle d&eacute;fini pour votre plage d'horaire d'activation. Pour une p&eacute;riode de
sept heures, les plages horaires d'activation peuvent &ecirc;tre r&eacute;parties sur 25 200 secondes. Le param&egrave;tre par d&eacute;faut est
86400 secondes, ce qui correspond &agrave; une r&eacute;p&eacute;tition quotidienne.
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\SlotIntervals
Dur&eacute;e de l'intervalle dans la r&eacute;p&eacute;tition, ACTIVATION_SLOT_CALREPEAT, qui correspond au moment o&ugrave; toutes les
activations par plages horaires se produisent. Un seul intervalle est autoris&eacute;. Ce param&egrave;tre doit &ecirc;tre 0,&lt;CalRepeat&gt;. Une
valeur autre que 0 peut provoquer des r&eacute;sultats inattendus. Le param&egrave;tre par d&eacute;faut est 0,86400. Pour configurer une
r&eacute;p&eacute;tition toutes les sept heures, utilisez le param&egrave;tre 0,25200. CALREPEAT est activ&eacute; lorsqu'un utilisateur du Shield se
connecte.
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\MissThreshold
Nombre maximal de plages horaires d'activation qui peuvent &ecirc;tre manqu&eacute;es avant que l'ordinateur tente de proc&eacute;der &agrave;
l'activation lors de la prochaine connexion de l'utilisateur pour lequel une plage horaire d'activation a &eacute;t&eacute; d&eacute;finie. Si
l'activation &eacute;choue lors de cette tentative imm&eacute;diate, le Shield reprend les tentatives d'activation par plages horaires. Si
l'activation &eacute;choue en raison d'une d&eacute;faillance du r&eacute;seau, une nouvelle tentative d'activation est ex&eacute;cut&eacute;e une fois la
connexion au r&eacute;seau r&eacute;tablie, et ce m&ecirc;me si la valeur du param&egrave;tre MISSTHRESHOLD n'a pas &eacute;t&eacute; d&eacute;pass&eacute;e. Si un
utilisateur se d&eacute;connecte avant le d&eacute;but de la plage horaire de l'activation, une nouvelle plage horaire est d&eacute;finie pour sa
prochaine connexion.
• HKCU/Software/CREDANT/ActivationSlot (en fonction des donn&eacute;es utilisateur)
Heure diff&eacute;r&eacute;e pour la tentative d'activation par plages horaires qui est d&eacute;finie lorsque l'utilisateur se connecte pour la
premi&egrave;re fois au r&eacute;seau apr&egrave;s l'activation de la fonctionnalit&eacute; d'activation par plages horaires. La plage horaire de
l'activation est recalcul&eacute;e &agrave; chaque tentative d'activation.
• HKCU/Software/CREDANT/SlotAttemptCount (en fonction des donn&eacute;es utilisateur)
Nombre de tentatives &eacute;chou&eacute;es ou manqu&eacute;es qui se produisent lorsque la plage horaire arrive &agrave; &eacute;ch&eacute;ance et que la
tentative d'activation &eacute;choue. Lorsque ce nombre atteint la valeur d&eacute;finie dans le param&egrave;tre
ACTIVATION_SLOT_MISSTHRESHOLD, l'ordinateur ex&eacute;cute imm&eacute;diatement une tentative d'activation d&egrave;s qu'une
connexion au r&eacute;seau est &eacute;tablie.
Pour permettre l'activation par plages horaires via la ligne de commande, utilisez une commande bas&eacute;e sur l'exemple
suivant :
setup.exe /v&quot;SLOTTEDACTIVATION=1 CALREPEAT=25200 SLOTINTERVALS=0,25200 &lt;autres param&egrave;tres&gt;&quot;
REMARQUE : Veillez &agrave; placer une valeur contenant un ou plusieurs caract&egrave;res sp&eacute;ciaux, tels qu'un espace, entre des guillemets
d’&eacute;chappement (sans programmation sp&eacute;ciale).
22
Guide de configuration
Interrogation forc&eacute;e
Utilisez le param&egrave;tre registre suivant pour autoriser le Shield &agrave; interroger le serveur pour proc&eacute;der &agrave; une mise &agrave; niveau
forc&eacute;e des r&egrave;gles.
Cr&eacute;ez ou modifiez le param&egrave;tre registre suivant :
HKLM\SOFTWARE\Credant\CMGShield\Notify
PingProxy (DWORD value)=1
Selon la version Shield, le param&egrave;tre de r&eacute;pertoire dispara&icirc;tra automatiquement ou passera de 1 &agrave; 0 une fois l'interrogation
termin&eacute;e.
Selon les permissions d'un utilisateur Admin, il est possible qu'une modification des permissions s'impose pour cr&eacute;er ce
param&egrave;tre de r&eacute;pertoire. En cas de probl&egrave;mes pendant la tentative de cr&eacute;ation d'un nouveau DWORD, proc&eacute;dez comme
suit pour modifier les permissions.
1 Dans le r&eacute;pertoire Windows, rendez-vous sur HKLM\SOFTWARE\Credant\CMGShield\Notifier.
2 Cliquez avec le bouton droit de la souris sur Notifier &gt; Autorisations.
3 Quand la fen&ecirc;tre Permission de notifier s'ouvre, cochez la case Contr&ocirc;le total.
4 Cliquez sur OK.
Vous pouvez cr&eacute;er le param&egrave;tre de votre nouveau r&eacute;pertoire.
Options d'inventaire
Utilisez les param&egrave;tres suivants du registre pour permettre au Shield d'envoyer au serveur, au choix, un inventaire
optimis&eacute;, un inventaire complet ou un inventaire complet pour tous les utilisateurs activ&eacute;s.
Envoyer un inventaire optimis&eacute; au serveur
Cr&eacute;ez ou modifiez le param&egrave;tre registre suivant :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
OnlySendInvChanges (REG_DWORD)=1
Si aucune entr&eacute;e n'existe, l'inventaire optimis&eacute; est envoy&eacute; au serveur.
Envoyer un inventaire complet au serveur
Cr&eacute;ez ou modifiez le param&egrave;tre registre suivant :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
OnlySendInvChanges (REG_DWORD)=0
Si aucune entr&eacute;e n'existe, l'inventaire optimis&eacute; est envoy&eacute; au serveur.
Envoyer un inventaire complet pour tous les utilisateurs activ&eacute;s
Cr&eacute;ez ou modifiez le param&egrave;tre registre suivant :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
RefreshInventory (REG_DWORD)=1
Cette entr&eacute;e est supprim&eacute;e du registre une fois trait&eacute;e. Cependant, la valeur est enregistr&eacute;e dans le coffre. Par cons&eacute;quent,
m&ecirc;me si vous red&eacute;marrez l'ordinateur avant le chargement de l'inventaire, le Shield honorera cette requ&ecirc;te lors du
prochain chargement r&eacute;ussi de l'inventaire.
Cette entr&eacute;e remplace la valeur de r&eacute;pertoire OnlySendInvChanges.
Activations hors domaine
L'autorisation des activations hors domaine est une configuration avanc&eacute;e qui a d'importantes r&eacute;percussions. Contactez le
service client&egrave;le pour aborder vos besoins environnementaux sp&eacute;cifiques et obtenir des instructions afin d'activer cette fonction.
Guide de configuration
23
24
Guide de configuration
Configuration des composants pour
l'authentification/autorisation Kerberos
6
Cette section vous explique comment configurer les composants requis pour l'utilisation de l'authentification/autorisation
Kerberos.
Configuration des composants pour l'authentification/autorisation Kerberos
REMARQUE : Pour utiliser l'authentification/autorisation Kerberos, il est n&eacute;cessaire d'int&eacute;grer le serveur qui contient le composant Key
Server dans le domaine concern&eacute;.
Key Server est un service qui &eacute;coute les clients qui se connectent &agrave; un socket. D&egrave;s qu'un client est connect&eacute;, une
connexion s&eacute;curis&eacute;e est n&eacute;goci&eacute;e, authentifi&eacute;e et crypt&eacute;e gr&acirc;ce aux API Kerberos (en cas d'&eacute;chec de la n&eacute;gociation de la
connexion s&eacute;curis&eacute;e, le client est d&eacute;connect&eacute;).
Key Server v&eacute;rifie ensuite aupr&egrave;s de Device Server si l'utilisateur ex&eacute;cutant le client est autoris&eacute; &agrave; acc&eacute;der aux cl&eacute;s. Cet
acc&egrave;s est accord&eacute; dans la Console de gestion &agrave; distance via des domaines individuels.
Instructions pour les services Windows
1
2
3
4
Acc&eacute;dez au panneau de configuration des services Windows (D&eacute;marrer &gt; Ex&eacute;cuter... &gt; services.msc &gt; OK).
Effectuez un clic droit sur Dell Key Server, puis s&eacute;lectionnez Propri&eacute;t&eacute;s.
Acc&eacute;dez &agrave; l'onglet Connexion et cochez la case d'option Ce compte :.
Dans le champ Ce compte :, ajoutez l'utilisateur de domaine de votre choix. Cet utilisateur de domaine doit au
minimum disposer des droits d'administrateur local pour le dossier Key Server (il doit disposer de droits d'&eacute;criture sur le
fichier de configuration Key Server ainsi que sur le fichier log.txt).
5 Cliquez sur OK.
6 Red&eacute;marrez le service (laissez le panneau de configuration des services Windows ouvert pour pouvoir y retourner
ult&eacute;rieurement).
7 Naviguez jusqu'au fichier log.txt qui se trouve dans le &lt;r&eacute;p. d'installation de Key Server&gt; pour v&eacute;rifier que le service a
correctement d&eacute;marr&eacute;.
Instructions pour le fichier de configuration Key Server
1 Naviguez jusqu'au &lt;r&eacute;p. d'installation de Key Server&gt;.
2 Ouvrez le fichier Credant.KeyServer.exe.config &agrave; l'aide d'un &eacute;diteur de texte.
3 Naviguez jusqu'&agrave; &lt;add key=&quot;user&quot; value=&quot;superadmin&quot; /&gt; et remplacez la valeur &laquo; superadmin &raquo; par le nom de
l'utilisateur concern&eacute; (vous pouvez &eacute;galement laisser la valeur &laquo; superadmin &raquo;).
Le format &laquo; superadmin &raquo; peut correspondre &agrave; n'importe quelle m&eacute;thode permettant l'authentification sur le serveur.
Vous pouvez utiliser le nom de compte SAM, l'UPN ou le format domaine\nom d'utilisateur. Toutes les m&eacute;thodes
permettant l'authentification sur le serveur sont accept&eacute;es car la validation est requise pour ce compte utilisateur pour
une autorisation en fonction d'Active Directory.
Par exemple, dans un environnement &agrave; domaines multiples, si vous saisissez uniquement un nom de compte SAM tel
que &laquo; jdoe &raquo;, l'authentification risque d'&eacute;chouer car le serveur ne pourra pas authentifier &laquo; jdoe &raquo; car &laquo; jdoe &raquo; est
introuvable. Bien que le format domaine\nom d'utilisateur soit accept&eacute;, nous vous recommandons d'utiliser l'UPN dans
un environnement &agrave; domaines multiples.
Dans un environnement &agrave; domaine unique, vous pouvez utiliser le nom de compte SAM.
Guide de configuration
25
4 Acc&eacute;dez &agrave; &lt;add key=&quot;epw&quot; value=&quot;&lt;valeur crypt&eacute;e du mot de passe&gt;&quot; /&gt; et remplacez &laquo; epw &raquo; par &laquo; password &raquo;. Puis
remplacez la &laquo; &lt;valeur crypt&eacute;e du mot de passe&gt; &raquo; par le mot de passe de l'utilisateur de l'&eacute;tape 3. Ce mot de passe est
re-crypt&eacute; d&egrave;s que le serveur red&eacute;marre.
Si vous avez utilis&eacute; &laquo; superadmin &raquo; &agrave; l'&eacute;tape 3, et si le mot de passe superadmin n'est pas &laquo; changeit &raquo;, vous devez le
modifier ici.
5 Enregistrez vos modifications, puis fermez le fichier.
Exemple de fichier de configuration :
&lt;?xml version=&quot;1.0&quot; encoding=&quot;utf-8&quot; ?&gt;
&lt;configuration&gt;
&lt;appSettings&gt;
&lt;add key=&quot;port&quot; value=&quot;8050&quot; /&gt; [Port TCP sur lequel le serveur &eacute;coutera. Le port par d&eacute;faut est 8050,
modifiez-le si n&eacute;cessaire.]
&lt;add key=&quot;maxConnections&quot; value=&quot;2000&quot; /&gt; [Nombre de connexions de socket actives que le serveur
autorisera]
&lt;add key=&quot;url&quot; value=&quot;https://keyserver.domain.com:8081/xapi&quot; /&gt; [URL de votre Device Server] Si votre
Enterprise Server est &agrave; la version 7.7 ou une version ult&eacute;rieure, le format est
https://keyserver.domain.com:8443/xapi/ -- Si Enterprise Server est ant&eacute;rieur &agrave; la version 7.7, le format est le
suivant : https://deviceserver.domaine.com:8081/xapi https://keyserver.domain.com:8081/xapi (sans la derni&egrave;re
barre oblique.]
&lt;add key=&quot;verifyCertificate&quot; value=&quot;false&quot; /&gt; [la valeur &laquo; vrai &raquo; v&eacute;rifie les certificats ; d&eacute;finissez-la sur &laquo; faux &raquo;
si vous ne souhaitez pas v&eacute;rifier les certificats ou si vous utilisez des certificats auto-sign&eacute;s]
&lt;add key=&quot;user&quot; value=&quot;superadmin&quot; /&gt; [Nom d'utilisateur utilis&eacute; pour communiquer avec Device Server.
Notez que le type Administrateur Forensic doit &ecirc;tre s&eacute;lectionn&eacute; pour cet utilisateur dans la Console de gestion &agrave;
distance. Le format &laquo; superadmin &raquo; peut correspondre &agrave; n'importe quelle m&eacute;thode permettant l'authentification
sur le serveur. Vous pouvez utiliser le nom de compte SAM, l'UPN ou le format domaine\nom d'utilisateur. Toutes
les m&eacute;thodes permettant l'authentification sur le serveur sont accept&eacute;es car la validation est requise pour ce
compte utilisateur pour une autorisation en fonction d'Active Directory. Par exemple, dans un environnement &agrave;
domaines multiples, si vous saisissez uniquement un nom de compte SAM tel que &laquo; jdoe &raquo;, l'authentification
risque d'&eacute;chouer car le serveur ne pourra pas authentifier &laquo; jdoe &raquo; car &laquo; jdoe &raquo; est introuvable. Bien que le
format domaine\nom d'utilisateur soit accept&eacute;, nous vous recommandons d'utiliser l'UPN dans un
environnement &agrave; domaines multiples. Dans un environnement &agrave; domaine unique, vous pouvez utiliser le nom de
compte SAM.]
&lt;add key=&quot;cacheExpiration&quot; value=&quot;30&quot; /&gt; [Fr&eacute;quence (en secondes) &agrave; laquelle le service doit v&eacute;rifier les
personnes autoris&eacute;es &agrave; demander des cl&eacute;s. Le service conserve un cache et assure le suivi de son anciennet&eacute;.
Lorsque l'anciennet&eacute; du cache d&eacute;passe la valeur d&eacute;finie (en secondes), le service &eacute;tablit alors une nouvelle liste.
Lorsqu'un utilisateur se connecte, Key Server doit t&eacute;l&eacute;charger les utilisateurs autoris&eacute;s &agrave; partir du Device Server.
S'il n'existe aucun cache pour ces utilisateurs, ou si la liste n'a pas &eacute;t&eacute; t&eacute;l&eacute;charg&eacute;e au cours des &laquo; x &raquo; derni&egrave;res
secondes, la liste est alors t&eacute;l&eacute;charg&eacute;e &agrave; nouveau. Aucune interrogation n'est ex&eacute;cut&eacute;e, mais cette valeur permet
de configurer le d&eacute;lai d'expiration de la liste apr&egrave;s lequel une actualisation est n&eacute;cessaire.]
&lt;add key=&quot;epw&quot; value=&quot;encrypted value of the password&quot; /&gt; [Mot de passe utilis&eacute; pour communiquer avec le
Device Server. Si vous avez modifi&eacute; le mot de passe superadmin, vous devez &eacute;galement le modifier ici.]
&lt;/appSettings&gt;
&lt;/configuration&gt;
Instructions pour les services Windows
1 Retournez au panneau de configuration des services Windows.
2 Red&eacute;marrez le service Dell Key Server.
3 Naviguez jusqu'au fichier log.txt qui se trouve dans le &lt;r&eacute;p. d'installation de Key Server&gt; pour v&eacute;rifier que le service a
correctement d&eacute;marr&eacute;.
4 Fermez le panneau de configuration des services Windows.
26
Guide de configuration
Instructions pour la Console de gestion &agrave; distance
1
2
3
4
Si n&eacute;cessaire, connectez-vous &agrave; la Console de gestion &agrave; distance.
Cliquez sur Domaines, puis sur l'ic&ocirc;ne D&eacute;tails.
Cliquez sur Key Server.
Dans la liste des comptes Key Server, ajoutez l'utilisateur qui ex&eacute;cutera les op&eacute;rations d'administration. Le format &agrave;
utiliser est Domaine\Nom d'utilisateur. Cliquez sur Ajouter un compte.
5 Cliquez sur Utilisateurs dans le menu de gauche. Dans la zone de recherche, recherchez le nom d'utilisateur que vous
avez ajout&eacute; &agrave; l'&eacute;tape 4. Cliquez sur Rechercher.
6 Une fois que vous avez localis&eacute; l'utilisateur appropri&eacute;, cliquez sur l'ic&ocirc;ne D&eacute;tails.
7 S&eacute;lectionnez Administrateur Forensic. Cliquez sur Mettre &agrave; jour.
La configuration des composants pour l'authentification/autorisation Kerberos est maintenant termin&eacute;e.
Guide de configuration
27
28
Guide de configuration
Attribuer le r&ocirc;le d'administrateur Forensic
7
Par d&eacute;faut, l'autorisation Forensic est activ&eacute;e sur les serveurs dorsaux et d&eacute;sactiv&eacute;e sur les serveurs frontaux. Ces
param&egrave;tres sont d&eacute;finis correctement lors de l'installation du Device Server et du serveur de s&eacute;curit&eacute;.
Instructions pour la Console de gestion &agrave; distance
1 Si n&eacute;cessaire, connectez-vous &agrave; la Console de gestion &agrave; distance.
2 Dans le volet de gauche, cliquez sur G&eacute;rer &gt; Utilisateurs.
3 Dans la page Rechercher les utilisateurs, saisissez le nom de l'utilisateur auquel vous souhaitez accorder le r&ocirc;le
d'administrateur Forensic, puis cliquez sur Rechercher (les identifiants de cet utilisateur sont fournis au moment de
l'ex&eacute;cution des utilitaires CMGAd, CMGAu et CMGAlu et de Decryption Agent en mode Forensic).
4 Dans la page R&eacute;sultats de la recherche d'utilisateur, cliquez sur l'ic&ocirc;ne D&eacute;tails.
5 Dans la page D&eacute;tails de l'utilisateur : &lt;Nom d'utilisateur&gt;, s&eacute;lectionnez Admin.
6 Dans la colonne Utilisateur, cochez la case Administrateur Forensic, puis cliquez sur Mettre &agrave; jour.
Le r&ocirc;le d'administrateur Forensic est d&eacute;sormais d&eacute;fini.
D&eacute;sactiver l'autorisation Forensic
1 Sur votre serveur principal, naviguez jusqu'&agrave; &lt;r&eacute;pertoire d'installation du serveur de
s&eacute;curit&eacute;&gt;\webapps\xapi\WEB-INF\context.properties et modifiez la propri&eacute;t&eacute; suivante :
service.forensic.enable=true
en
service.forensic.enable=false
2 Red&eacute;marrez le service du serveur de s&eacute;curit&eacute;.
3 Naviguez jusqu'&agrave; &lt;r&eacute;p. d'installation de Device Server&gt;\webapps\ROOT\WEB-INF\web.xml et effectuez la
modification suivante :
&lt;init-param&gt;
&lt;param-name&gt;forensic&lt;/param-name&gt;
&lt;param-value&gt;@FORENSIC_DISABLE@&lt;/param-value&gt;
&lt;/init-param&gt;
4 Red&eacute;marrez le service Device Server.
5 La m&eacute;thode recommand&eacute;e consiste &agrave; supprimer le r&ocirc;le d'administrateur Forensic pour les utilisateurs qui n'utilisent pas
activement les permissions de r&ocirc;le.
Guide de configuration
29
30
Guide de configuration
8
Expressions Cron
Cette section vous explique comment utiliser la syntaxe des expressions Cron et les caract&egrave;res sp&eacute;ciaux.
Pr&eacute;sentation des expressions Cron
Cron est un outil disponible depuis de nombreuses ann&eacute;es sous UNIX. Ses puissantes fonctionnalit&eacute;s de planification sont
donc &eacute;prouv&eacute;es. La classe CronTrigger est bas&eacute;e sur les fonctionnalit&eacute;s de planification de Cron.
CronTrigger utilise les expressions Cron qui permettent de planifier le d&eacute;clenchement de r&egrave;gles, par exemple &agrave; 8h00 tous
les matins du lundi au vendredi, ou &agrave; 1h30 du matin tous les derniers vendredis du mois.
Les expressions Cron constituent un outil puissant mais qui peut parfois pr&ecirc;ter &agrave; confusion. Ce document a pour objectif
de dissiper certains des myst&egrave;res qui entourent la cr&eacute;ation d'une expression Cron en vous apportant quelques points de
rep&egrave;res auxquels vous pourrez vous r&eacute;f&eacute;rer avant d'avoir &agrave; solliciter une aide ext&eacute;rieure.
Syntaxe des expressions Cron
Les expressions Cron se composent de six champs obligatoires et d'un champ facultatif s&eacute;par&eacute;s par un espace. Ces champs
peuvent contenir toutes les valeurs autoris&eacute;es ainsi que diff&eacute;rentes combinaisons de caract&egrave;res sp&eacute;ciaux autoris&eacute;s qui sont
sp&eacute;cifiques &agrave; chaque champ.
La syntaxe des expressions Cron peut &ecirc;tre aussi simple que * * * * ? *.
Ou plus complexe, par exemple 0 0/5 14,18,3-39,52 ? JAN,MAR,SEP MON-FRI 2002-2010.
Les diff&eacute;rents champs sont d&eacute;crits dans le tableau ci-dessous.
Nom du champ
Obligatoire ?
Valeurs autoris&eacute;es
Caract&egrave;res sp&eacute;ciaux autoris&eacute;s
Minutes
Oui
0-59
,-*/
Hours
Oui
0-23
,-*/
Day of month
Oui
1-31
,-*?/LWC
Month
Oui
1-12 ou JAN-DEC
,-*/
Day of week
Oui
1-7 ou SUN-SAT
,-*?/LC#
Year
Non
vide, 1970-2099
,-*/
Caract&egrave;res sp&eacute;ciaux
•
•
•
•
Le caract&egrave;re * permet de sp&eacute;cifier toutes les valeurs. Par exemple, * dans le champ &laquo; Minutes &raquo; signifie chaque minute.
Le caract&egrave;re ? (aucune valeur pr&eacute;cise) est utile lorsque vous devez sp&eacute;cifier une valeur dans l'un des deux champs o&ugrave; ce
caract&egrave;re est autoris&eacute; mais pas dans l'autre. Par exemple, si vous souhaitez d&eacute;clencher une r&egrave;gle &agrave; un jour pr&eacute;cis du mois
(le 10), mais que le jour de la semaine auquel il correspond n'a aucune importance, saisissez 10 dans le champ &laquo; Day of
month &raquo; et ? dans le champ &laquo; Day of week &raquo;.
Le caract&egrave;re - permet de sp&eacute;cifier des plages de valeurs. Par exemple, 10-12 dans le champ &laquo; Hours &raquo; permet de
sp&eacute;cifier les heures suivantes : 10 heures, 11 heures et 12 heures.
Le caract&egrave;re , permet de sp&eacute;cifier des valeurs suppl&eacute;mentaires. Par exemple, MON,WED,FRI dans le champ &laquo; Day of
week &raquo; signifie les jours suivants : lundi, mercredi et vendredi.
Guide de configuration
31
•
Le caract&egrave;re / permet de sp&eacute;cifier des incr&eacute;ments.
0/15 dans le champ &laquo; Seconds &raquo; signifie les secondes suivantes : 0, 15, 30 et 45.
5/15 dans le champ &laquo; Seconds &raquo; signifie les secondes suivantes : 5, 20, 35 et 50.
Faire pr&eacute;c&eacute;der le caract&egrave;re / du caract&egrave;re * &eacute;quivaut &agrave; sp&eacute;cifier 0 comme valeur de d&eacute;part.
1/3 dans le champ &laquo; Day of month &raquo; signifie que la r&egrave;gle est d&eacute;clench&eacute;e tous les 3 jours &agrave; partir du premier jour du
mois.
L'essentiel &agrave; retenir est qu'il existe un ensemble de nombres qui peuvent &ecirc;tre activ&eacute;s ou d&eacute;sactiv&eacute;s pour chaque champ
de l'expression. Pour les secondes et les minutes, les num&eacute;ros vont de 0 &agrave; 59. Pour les heures, de 0 &agrave; 23, pour les jours du
mois, de 0 &agrave; 31. Pour les mois, de 1 &agrave; 12. Le caract&egrave;re / vous permet d'activer facilement la fr&eacute;quence dans l'ensemble
correspondant. Ainsi, 7/6 dans le champ &laquo; Month &raquo; permet de d&eacute;clencher la r&egrave;gle uniquement le septi&egrave;me mois, et non
tous les six mois.
• Le caract&egrave;re L est autoris&eacute; dans les champs &laquo; Day of month &raquo; et &laquo; Day of week &raquo;. Ce caract&egrave;re signifie &laquo; dernier &raquo;
mais il peut avoir des significations diff&eacute;rentes selon qu'il est employ&eacute; dans l'un ou l'autre de ces champs.
La valeur L dans le champ &laquo; Day of month &raquo; signifie le dernier jour du mois (le 31 pour le mois de janvier, le 28 pour
le mois de f&eacute;vrier dans le cas des ann&eacute;es non bissextiles).
S'il est utilis&eacute; seul dans le champ &laquo; Day of week &raquo;, ce caract&egrave;re signifie le septi&egrave;me jour de la semaine ou SAT (samedi).
S'il succ&egrave;de &agrave; une autre valeur dans le champ &laquo; Day of week &raquo;, il signifie alors le dernier xxx&egrave;me jour de la semaine dans
le mois. Par exemple, 6L signifie le dernier vendredi du mois. Pour &eacute;viter d'obtenir des r&eacute;sultats pr&ecirc;tant &agrave; confusion
lorsque vous utilisez l'option L, il est important de ne pas sp&eacute;cifier de listes ou de plages de valeurs.
• Le caract&egrave;re W est autoris&eacute; dans le champ &laquo; Day of month &raquo;. Ce caract&egrave;re permet de sp&eacute;cifier le jour de semaine (du
lundi au vendredi) le plus proche d'une date donn&eacute;e. Par exemple, si vous sp&eacute;cifiez la valeur 15W dans le champ &laquo; Day
of month &raquo;, cela signifie le jour de semaine le plus proche du 15 du mois. Si le 15 du mois correspond &agrave; un samedi, la
r&egrave;gle sera d&eacute;clench&eacute;e le vendredi 14. Si le 15 du mois correspond &agrave; un dimanche, la r&egrave;gle sera d&eacute;clench&eacute;e le lundi 16. Si
le 15 du mois correspond &agrave; un mardi, la r&egrave;gle sera d&eacute;clench&eacute;e le mardi 15. Cependant, si vous d&eacute;finissez la valeur
1W dans le champ &laquo; Day of month &raquo; et si le premier jour du mois correspond &agrave; un samedi, la r&egrave;gle sera d&eacute;clench&eacute;e le
lundi 3 car il n'est pas possible de d&eacute;passer la limite du mois. Le caract&egrave;re W peut uniquement &ecirc;tre utilis&eacute; lorsque vous
sp&eacute;cifiez un seul jour, et non une plage ou une liste de jours, dans le champ &laquo; Day of month &raquo;.
Il est &eacute;galement possible d'associer les caract&egrave;res L et W dans une expression correspondant &agrave; un &laquo; Day of month &raquo;
pour cr&eacute;er l'expression LW, qui signifie alors le dernier jour de semaine du mois.
• Le caract&egrave;re # est autoris&eacute; dans le champ &laquo; Day of week &raquo;. Ce caract&egrave;re permet de sp&eacute;cifier le &laquo; ni&egrave;me &raquo; jour du mois.
Par exemple, la valeur 6#3 dans le champ &laquo; Day of week &raquo; signifie le troisi&egrave;me vendredi du mois (jour 6 = vendredi et
#3 = le troisi&egrave;me du mois).
Autres exemples :
2#1 = le premier lundi du mois 
4#5 = le cinqui&egrave;me mercredi du mois.
Notez que si vous sp&eacute;cifiez la valeur #5 et qu'il n'existe pas de cinqui&egrave;me occurrence du jour de la semaine sp&eacute;cifi&eacute; dans
le mois concern&eacute;, la r&egrave;gle ne sera pas d&eacute;clench&eacute;e pendant le mois en question.
• Le caract&egrave;re C est autoris&eacute; pour le calendrier. Lorsque ce caract&egrave;re est utilis&eacute;, les valeurs sont alors calcul&eacute;es en fonction
du calendrier associ&eacute;, le cas &eacute;ch&eacute;ant. Si aucun calendrier n'est associ&eacute;, l'utilisation de ce caract&egrave;re &eacute;quivaut &agrave; utiliser un
calendrier englobant tous les &eacute;v&eacute;nements. Si vous d&eacute;finissez la valeur 5C dans le champ &laquo; Day of month &raquo;, cela signifie
le premier jour du calendrier correspondant au 5 du mois ou au premier jour suivant le 5 du mois. Si vous d&eacute;finissez la
valeur 1C dans le champ &laquo; Day of week &raquo;, cela signifie le premier jour du calendrier correspondant au dimanche ou au
premier jour suivant le dimanche.
REMARQUE : La d&eacute;finition d'une valeur correspondant &agrave; la fois au jour de la semaine et au jour du mois n'est pas totalement prise en
charge. Utilisez le caract&egrave;re ? dans l'un de ces champs. La d&eacute;finition des fonctionnalit&eacute;s d&eacute;crites pour le caract&egrave;re C n'est
pas totalement prise en charge. Les caract&egrave;res autoris&eacute;s et les noms des mois et des jours de la semaine ne sont pas
sensibles &agrave; la casse. Vous pouvez indiff&eacute;remment saisir &laquo; MON &raquo; ou &laquo; mon &raquo; (pour lundi). Faites bien attention aux effets
des ? et * dans les champs &laquo; Day of week &raquo; et &laquo; Day of month &raquo;.
Soyez particuli&egrave;rement vigilant lorsque vous sp&eacute;cifiez les heures de d&eacute;clenchement des r&egrave;gles entre minuit et 1 h 00 du
matin. Le changement d'heure peut entra&icirc;ner l'omission (ou la r&eacute;p&eacute;tition) d'un d&eacute;clenchement, selon qu'il s'agit d'un passage
&agrave; l'heure d'&eacute;t&eacute; ou &agrave; l'heure d'hiver.
32
Guide de configuration
Exemples
Expression
Signification
0 0 12 * * ?
D&eacute;clenchement de la r&egrave;gle tous les jours &agrave; 12h00 (midi)
0 15 10 ? * *
D&eacute;clenchement de la r&egrave;gle tous les jours &agrave; 10h15
0 15 10 * * ?
D&eacute;clenchement de la r&egrave;gle tous les jours &agrave; 10h15
0 15 10 * * ? *
D&eacute;clenchement de la r&egrave;gle tous les jours &agrave; 10h15
0 15 10 * * ? 2005
D&eacute;clenchement de la r&egrave;gle tous les jours &agrave; 10h15 pendant l'ann&eacute;e
2005
0 * 14 * * ?
D&eacute;clenchement de la r&egrave;gle toutes les minutes de 14h00 &agrave; 14h59,
tous les jours
0 0/5 14 * * ?
0 0/5 14,18 * * ?
D&eacute;clenchement de la r&egrave;gle toutes les 5 minutes de 14h00 &agrave;
14h55, tous les jours
D&eacute;clenchement de la r&egrave;gle toutes les 5 minutes de 14h00 &agrave;
14h55 ET d&eacute;clenchement de la r&egrave;gle toutes les 5 minutes de
18h00 &agrave; 18h55, tous les jours
0 0-5 14 * * ?
D&eacute;clenchement de la r&egrave;gle toutes les minutes de 14h00 &agrave; 14h05,
tous les jours
0 10,44 14 ? 3 WED
D&eacute;clenchement de la r&egrave;gle &agrave; 14h10 et &agrave; 14h44 tous les mercredis
du mois de mars.
0 15 10 ? * MON-FRI
D&eacute;clenchement de la r&egrave;gle &agrave; 10h15 tous les lundis, mardis,
mercredis, jeudis et vendredis
0 15 10 15 * ?
D&eacute;clenchement de la r&egrave;gle &agrave; 10h15 le 15 de chaque mois
0 15 10 L * ?
D&eacute;clenchement de la r&egrave;gle &agrave; 10h15 le dernier jour de chaque mois
0 15 10 ? * 6L
D&eacute;clenchement de la r&egrave;gle &agrave; 10h15 le dernier vendredi de chaque
mois
0 15 10 ? * 6L
D&eacute;clenchement de la r&egrave;gle &agrave; 10h15 le dernier vendredi de chaque
mois
0 15 10 ? * 6L 2002-2005
D&eacute;clenchement de la r&egrave;gle &agrave; 10h15 chaque dernier vendredi de
chaque mois pendant les ann&eacute;es 2002, 2003, 2004 et 2005
0 15 10 ? * 6#3
D&eacute;clenchement de la r&egrave;gle &agrave; 10h15 le troisi&egrave;me vendredi de
chaque mois
0 0 12 1/5 * ?
D&eacute;clenchement de la r&egrave;gle &agrave; 12h (midi) tous les 5 jours de
chaque mois &agrave; partir du premier jour du mois.
0 11 11 11 11 ?
D&eacute;clenchement de la r&egrave;gle tous les 11 novembre &agrave; 11h11.
Guide de configuration
33
34
Guide de configuration
9
Cr&eacute;er un certificat auto-sign&eacute; avec Keytool et g&eacute;n&eacute;rer
une demande de signature de certificat (CSR)
REMARQUE : Cette section d&eacute;crit les &eacute;tapes &agrave; suivre pour cr&eacute;er un certificat auto-sign&eacute; pour des composants Java. Ce processus ne peut
pas &ecirc;tre utilis&eacute; pour cr&eacute;er un certificat auto-sign&eacute; pour les composants bas&eacute;s sur .NET.
Nous recommandons un certificat auto-sign&eacute; uniquement dans un environnement hors production.
Si votre entreprise n&eacute;cessite un certificat de serveur SSL, ou si vous avez besoin de cr&eacute;er un certificat pour d'autres raisons,
cette section d&eacute;crit le processus de cr&eacute;ation d'un magasin de cl&eacute;s java &agrave; l'aide de l'outil Keytool.
Keytool cr&eacute;e les cl&eacute;s priv&eacute;es qui sont transmises sous le format d'une demande de signature de certificat (CSR) &agrave; une
autorit&eacute; de certification, telle que VeriSign&reg; ou Entrust&reg;. Sur la base de cette CSR, l'autorit&eacute; de certification cr&eacute;era
ensuite un certificat de serveur sign&eacute;. Le certificat de serveur est ensuite t&eacute;l&eacute;charg&eacute; sur un fichier avec le certificat de
l'autorit&eacute; de signature. Les certificats sont ensuite import&eacute;s dans le fichier cacerts.
G&eacute;n&eacute;rer une nouvelle paire de cl&eacute;s et un certificat auto-sign&eacute;
1 Naviguez vers le r&eacute;pertoire conf de Compliance Reporter, Console Web Services, Device Server, ou Gatekeeper Web
Services.
2 Sauvegardez la base de donn&eacute;es de certificats par d&eacute;faut :
Cliquez sur D&eacute;marrer &gt; Ex&eacute;cuter et tapez move cacerts cacerts.old.
3 Ajoutez Keytool au chemin d'acc&egrave;s au syst&egrave;me. Tapez la commande suivante dans une invite de commande :
set path=%path%;%dell_java_home%\bin
4 Pour g&eacute;n&eacute;rer un certificat, ex&eacute;cutez Keytool comme indiqu&eacute; :
keytool -genkey -keyalg RSA -sigalg SHA1withRSA -alias dell -keystore
.\cacerts
5 Saisissez les informations suivantes, quand l'outil keytool vous invite &agrave; le faire.
REMARQUE : Faites une copie de sauvegarde des fichiers de configuration avant de les modifier. Modifiez uniquement les param&egrave;tres
sp&eacute;cifi&eacute;s. Vous risquez de corrompre ou d'endommager le syst&egrave;me si vous modifiez les autres donn&eacute;es contenues dans ces
fichiers, notamment les balises. Dell n'est pas en mesure de garantir que les probl&egrave;mes r&eacute;sultant de l'apport de modifications
non autoris&eacute;es &agrave; ces fichiers pourront &ecirc;tre r&eacute;solus sans proc&eacute;der &agrave; une r&eacute;installation de l'Enterprise Server.
•
Mot de passe du magasin de cl&eacute;s : saisissez un mot de passe (les caract&egrave;res non pris en charge sont les suivants :
&lt;&gt;;&amp;” ’), et d&eacute;finissez la variable dans le composant de fichier conf &agrave; la m&ecirc;me valeur, comme suit :
&lt;r&eacute;pertoire d'installation du Compliance Reporter&gt;\conf\eserver.properties. D&eacute;finissez la valeur
eserver.keystore.password =
&lt;r&eacute;pertoire d'installation des Console Web Services&gt;\conf\eserver.properties. D&eacute;finissez la valeur
eserver.keystore.password =
&lt;r&eacute;pertoire d'installation du Device Server&gt;\conf\eserver.properties. D&eacute;finissez la valeur eserver.keystore.password =
•
Nom et pr&eacute;nom : saisissez le nom complet du serveur sur lequel le composant avec lequel vous travaillez est install&eacute;.
•
•
Service : saisissez la valeur appropri&eacute;e (par exemple, S&eacute;curit&eacute;).
Entreprise : saisissez la valeur appropri&eacute;e (par exemple, Dell).
Ce nom complet comprend le nom d'h&ocirc;te et le nom de domaine (par exemple, server.dell.com).
Guide de configuration
35
•
•
•
Ville ou localit&eacute; : saisissez la valeur appropri&eacute;e (par exemple, Austin).
&Eacute;tat ou province : saisissez le nom non-abr&eacute;g&eacute; de l'&Eacute;tat ou de la province (par exemple, Texas).
Code de deux lettres du pays :
&Eacute;tats-Unis = US
Canada = CA
Suisse = CH
Allemagne = DE
Espagne = ES
France = FR
Grande-Bretagne = GB
Irlande = IE
Italie = IT
Pays-Bas = NL
•
•
L'utilitaire demande confirmation que l'information est correcte. Si c'est le cas, saisissez oui.
Si ce n'est pas le cas, saisissez non. Le Keytool affiche toutes les valeurs saisies pr&eacute;c&eacute;demment. Cliquez sur OK pour
accepter la valeur ou modifiez la valeur, puis cliquez sur OK.
Mot de passe cl&eacute; pour alias : si vous ne saisissez pas un autre mot de passe ici, ce mot de passe sera par d&eacute;faut celui
du magasin de cl&eacute;s.
Demander un certificat sign&eacute; par une autorit&eacute; de certification
Utilisez cette proc&eacute;dure pour g&eacute;n&eacute;rer une demande de signature de certificat (CSR) pour le certificat auto-sign&eacute; cr&eacute;&eacute; dans
G&eacute;n&eacute;rer une nouvelle paire de cl&eacute;s et un certificat auto-sign&eacute;.
1 Substituez la m&ecirc;me valeur que celle utilis&eacute;e pr&eacute;c&eacute;demment pour &lt;certificatealias&gt; :
keytool -certreq -sigalg MD5withRSA -alias &lt;certificate-alias&gt; -keystore
.\cacerts -file &lt;csr-filename&gt;
Exemple :
keytool -certreq -sigalg MD5withRSA -alias dell -keystore .\cacerts -file
credant.csr
Le fichier .csr contiendra une paire BEGIN/END qui sera utilis&eacute;e lors de la cr&eacute;ation du certificat de l'autorit&eacute; de
certification.
Sch&eacute;ma 9-1. Exemple de fichier .CSR
2 Suivez votre processus organisationnel pour l'acquisition d'un certificat de serveur SSL aupr&egrave;s d'une autorit&eacute; de
certification. Envoyer le contenu de &lt;csr-filename&gt; pour la signature.
REMARQUE : Il existe plusieurs m&eacute;thodes pour demander un certificat valide. Un exemple de m&eacute;thode est disponible dans Exemple de
m&eacute;thode pour demander un certificat.
36
Guide de configuration
3 Lorsque le certificat sign&eacute; est re&ccedil;u, enregistrez-le dans un fichier.
4 La m&eacute;thode recommand&eacute;e consiste &agrave; sauvegarder ce certificat dans le cas o&ugrave; une erreur se produise pendant le processus
d'importation. Cette sauvegarde pourra &eacute;viter d'avoir &agrave; reprendre le processus depuis le d&eacute;but.
Importer un certificat racine
REMARQUE : Si l'Autorit&eacute; de certification du certificat racine est Verisign (mais pas Verisign Test), passez &agrave; la proc&eacute;dure suivante et
importez le certificat sign&eacute;.
Le certificat racine de l'autorit&eacute; de certification valide les certificats sign&eacute;s.
1 Effectuez l'une des op&eacute;rations suivantes :
• T&eacute;l&eacute;chargez le certificat racine de l'autorit&eacute; de certification et enregistrez-le dans un fichier.
• Obtenez le certificat racine du serveur de l'annuaire d'entreprise.
2 Effectuez l'une des op&eacute;rations suivantes :
• Si vous activez SSL pour Compliance Reporter, Console Web Services, Device Server ou Legacy Gatekeeper
Connector, utilisez le r&eacute;pertoire de composantconf.
• Si vous activez SSL entre le serveur et le serveur de r&eacute;pertoire d'entreprise, remplacez par &lt;R&eacute;pertoire d'installation
Dell&gt;\Java Runtimes\jre1.x.x_xx\lib\security (le mot de passe par d&eacute;faut de JRE cacerts est changeit).
3 Ex&eacute;cutez Keytool comme suit pour installer le certificat racine :
keytool -import -trustcacerts -alias &lt;ca-cert-alias&gt; -keystore .\cacerts -file
&lt;ca-cert-filename&gt;
Exemple :
keytool -import -alias Entrust -keystore .\cacerts -file .\Entrust.cer
Exemple de m&eacute;thode pour demander un certificat
Exemple de m&eacute;thode pour demander un certificat : utiliser un navigateur web pour acc&eacute;der au Serveur CA Microsoft, qui
sera mis en place en interne par votre entreprise.
1 Naviguez jusqu'au serveur CA Microsoft. L'adresse IP sera fournie par votre entreprise.
Guide de configuration
37
2 S&eacute;lectionnez Demander un certificat et cliquez sur Suivant &gt;.
Sch&eacute;ma 9-2. Services de certificats Microsoft
3 S&eacute;lectionnez Demandes avanc&eacute;es puis cliquez sur Suivant &gt;.
Sch&eacute;ma 9-3. Choisissez le type de demande
38
Guide de configuration
4 S&eacute;lectionnez l'option de Soumettre une demande de certificat avec un fichier PKCS #10 &agrave; encodage base64 et cliquez
sur Suivant &gt;.
Sch&eacute;ma 9-4. Demande de certificat avanc&eacute;e
5 Collez le contenu de la demande CSR dans la zone de texte. S&eacute;lectionnez un mod&egrave;le de certificat de serveur Web et
cliquez sur Envoyer &gt;.
Sch&eacute;ma 9-5. Soumettre une requ&ecirc;te enregistr&eacute;e
Guide de configuration
39
6 Enregistrez le certificat. S&eacute;lectionnez Binaire encod&eacute; et cliquez sur T&eacute;l&eacute;charger certificat CA.
Sch&eacute;ma 9-6. T&eacute;l&eacute;charger un certificat CA
7 Enregistrez le certificat. S&eacute;lectionnez Binaire encod&eacute; et cliquez sur T&eacute;l&eacute;charger chemin de certification CA.
Sch&eacute;ma 9-7. T&eacute;l&eacute;charger chemin de certification CA
40
Guide de configuration
8 Importez les certificats d'autorit&eacute; de signature convertis. Retournez &agrave; la fen&ecirc;tre DOS. Tapez :
keytool -import -trustcacerts -file &lt;csr-filename&gt; -keystore cacerts
9 Apr&egrave;s que le certificat de l'autorit&eacute; de signature a &eacute;t&eacute; import&eacute;, le certificat du serveur peuvent &ecirc;tre import&eacute;s (la cha&icirc;ne de
confiance peut &ecirc;tre &eacute;tablie). Tapez :
keytool -import -alias dell -file &lt;csr-filename&gt; -keystore cacerts
Utilisez l'alias du certificat auto-sign&eacute; pour combiner la demande CSR avec le certificat du serveur.
10 La liste du fichier cacerts montrera que le certificat du serveur a une longueur de cha&icirc;ne de certificat de 2, ce qui indique
que le certificat n'est pas auto-sign&eacute;. Tapez :
keytool -list -v -keystore cacerts
Notez que l'empreinte de certificat du deuxi&egrave;me certificat de la cha&icirc;ne est le certificat d'autorit&eacute; de signature import&eacute;
(qui est &eacute;galement r&eacute;pertori&eacute; ci-dessous comme certificat du serveur dans la liste).
Le certificat du serveur a &eacute;t&eacute; import&eacute;, ainsi que le certificat de l'autorit&eacute; de signature.
Guide de configuration
41
42
Guide de configuration
0XXXXXA0X
Mode d'emploi | Dell Encryption security Manuel utilisateur

Manuels associés

Dell

Data Guardian

Nvidia

SHIELD TV PRO

Dell

Inspiron 545

Dell

Security Tools

Seagate

SRN01C

Dell

Security Tools

Dell

Endpoint Security Suite Pro

Adobe

Connect Enterprise Serveur 6

Xerox

Digital Alternatives

Dell

Encryption

Dell

Security Tools

Seagate

STDC500205 Wireless 500 Go noir
