Configuration des mesures de sécurité sur les serveurs
Middle Tier Linux
Cette section détaille les étapes nécessaires afin d'obtenir des certificats et de configurer SSL sur
SUSE® Linux Enterprise Server 9 SP1 ou Novell® Open Enterprise Server (OES Linux) 1.0, pour un serveur Web sur lequel Novell ZENworks® Middle Tier Server est installé.
Cette section présente les informations suivantes :
Section 25.1, « Configuration de SSL et des certificats sur un serveur Middle Tier Linux », page 353
Section 25.2, « Préparation du serveur Middle Tier Linux en vue d'exporter le certificat de racine approuvée », page 354
Section 25.3, « Configuration des postes de travail Windows pour l'utilisation de SSL et de certificats », page 355
Section 25.4, « Configuration de l'authentification NetIdentity », page 355
25.1 Configuration de SSL et des certificats sur un serveur Middle Tier Linux
Cette section présente les informations suivantes :
Section 25.1.1, « Configuration du serveur Web Apache 2 pour SSL sur un serveur OES Linux
Middle Tier », page 353
Section 25.1.2, « Configuration du serveur Web Apache 2 pour SSL sur un serveur
SLES 9 SP1 Middle Tier », page 353
25.1.1 Configuration du serveur Web Apache 2 pour SSL sur un serveur OES Linux Middle Tier
OES Linux configure Apache 2 par défaut avec les certificats du serveur de l'autorité de certification
SLES 9 et active l'utilisation de SSL sur Apache 2. S'il vous faut des certificats de tiers, vous devez configurer Apache 2 pour SSL conformément aux instructions de la Documentation du serveur
Apache HTTP version 2.0 (http://httpd.apache.org/docs/2.0/) .
25.1.2 Configuration du serveur Web Apache 2 pour SSL sur un serveur SLES 9 SP1 Middle Tier
Par défaut, le programme d'installation de SLES 9 SP1 n'installe pas les services Web Apache. Les
étapes suivantes se basent sur les options d'installation par défaut de SLES 9 SP1. Si vous changez ces options par défaut, les résultats pourraient être différents.
25
Configuration des mesures de sécurité sur les serveurs Middle Tier Linux
353
Remarque : Le serveur ZENworks Middle Tier ne prend pas en charge les certificats qui exigent des phrases secrètes.
Les étapes suivantes permettent de configurer les services Web sur un serveur SLES 9 SP1 après son installation initiale :
1 Dans YaST, sélectionnez Services réseau > Serveur HTTP.
L'installation du serveur HTTP nécessite l'emplacement d'installation ou celui du CD source.
2 Configurez le serveur HTTP pour SSL.
2a Dans YaST, sélectionnez Services réseau > Serveur HTTP afin de configurer le serveur
HTTP pour SSL.
2b Sélectionnez Activer les services HTTP.
2c Dans la liste Paramètres, sélectionnez Hôte par défaut, puis cliquez sur Édition.
2d Dans la liste Options, sélectionnez SSL, puis cliquez sur Édition.
2e Dans l'écran Configuration SSL, cliquez sur Édition, sélectionnez SSL autorisé, cliquez sur OK, sur Certificats, puis sélectionnez Utiliser le certificat de serveur commun.
Deux nouvelles options (SSLCertificateFile et SSLCertificateKeyFile) sont ajoutées à la liste SSL autorisé. Ces options configurent l'emplacement du certificat SSL et des fichiers de clés.
2f Cliquez sur OK, à nouveau sur OK, puis sur Terminer pour enregistrer les modifications de configuration et quitter YaST.
3 Dans un éditeur de texte, ouvrez le fichier /etc/sysconfig/apache2, puis définissez la variable APACHE_SERVER_FLAGS sur "SSL". Par exemple :
APACHE_SERVER_FLAGS=”SSL”
4 Enregistrez le fichier.
5 Utilisez la commande rcapache2 restart pour redémarrer le serveur Web Apache2.
SSL est maintenant configuré sur le serveur Web Apache. Si le serveur présente des problèmes de chargement, uilisez la commande apache2ctl configtest pour identifier les erreurs.
25.2 Préparation du serveur Middle Tier Linux en vue d'exporter le certificat de racine approuvée
Une fois le serveur Web Apache configuré pour l'utilisation SSL sur les serveurs Linux (OES Linux ou SLES 9 SP1 ou ultérieur), l'agent de gestion de bureau a encore besion d'importer le certificat de racine approuvée.
Utilisez la procédure suivante afin d'exporter le certificat de racine approuvée pour l'autorité de certification Linux par défaut :
1 Dans YaST, sélectionnez Sécurité et Utilisateurs > Gestion AC, sélectionnez
AC_YaST_par_défaut, sélectionnez Saisir AC, puis saisissez le mot de passe root à l'invite.
2 Cliquez sur Avancé, puis sélectionnez l'option Exporter vers le fichier.
3 Sélectionnez Uniquement le certificat au format PEM.
354 Guide d'installation de Novell ZENworks 7 Desktop Management
4 Dans le champ Nom du fichier, saisissez le chemin complet où enregistrer le certificat racine avec une extension .crt , par exemple, /root/ca_root_cert.crt.
Le certificat de racine approuvée est créé ; il est prêt à être importé sur les postes de travail
Windows.
25.3 Configuration des postes de travail
Windows pour l'utilisation de SSL et de certificats
Cette section présente des informations sur la façon de configurer un poste de travail Windows 98/
NT/2000/XP pour l'utilisation de SSL et des certificats de sécurité. Cette section présente les informations suivantes :
Section 25.3.1, « Importation d'un certificat sur un poste de travail Windows », page 355
Section 25.3.2, « Configuration de l'agent de gestion de bureau pour des requêtes de certificats », page 355
25.3.1 Importation d'un certificat sur un poste de travail
Windows
Si le certificat SSL que vous souhaitez utiliser a été émis par une autorité de certification qui ne figure pas dans la liste des autorités racine approuvées, vous devez installer le certificat de cette autorité, signé automatiquement, sur le poste de travail. De cette manière, le poste de travail approuvera tout certificat émis par cette autorité de certification. Vous pouvez effectuer cette opération avant ou après avoir installé l'agent de gestion de bureau.
Il est possible d'importer un certificat sur le poste de travail Windows dans un Compte utilisateur, un
Compte d'ordinateur et un Compte de service. Pour plus d'informations sur l'importation d'un certificat, reportez-vous à la page « To Import a Certificate (Importer un certificat) » sur le site Web de documentation des produits Windows XP Professionnel (http://www.microsoft.com/resources/ documentation/windows/xp/all/proddocs/en-us/sag_cmprocsimport.mspx) .
25.3.2 Configuration de l'agent de gestion de bureau pour des requêtes de certificats
Lorsque le programme d'installation de l'agent de gestion de bureau demande de saisir l'adresse IP ou le nom DNS du serveur Middle Tier, vous devez saisir le nom commun que vous avez utilisé à la création de la requête de certificat. Pour plus d'informations, reportez-vous à l' Étape 5f page 202 .
25.4 Configuration de l'authentification
NetIdentity
L'authentification auprès d'un serveur Middle Tier d'un agent de gestion de bureau repose sur un processus de stimulation/réponse. Lorsqu'un serveur Middle Tier demande à un agent de s'authentifier, il envoie un certificat X.509. L'agent vérifie l'intégrité et la fiabilité du certificat, et des données confidentielles sont alors échangées par le biais de techniques de codage de clés publiques/privées et de clés de session.
Configuration des mesures de sécurité sur les serveurs Middle Tier Linux 355
Lors de l'installation, un certificat NetIdentity est installé sur le serveur Middle Tier. Sous Linux, ce certificat est signé par l'autorité de certification (AC) de l'arborescence à laquelle appartient le serveur. Bien que le codage soit valide, ce certificat n'est pas signé par des autorités de certification approuvées, et ne devrait donc pas être approuvé en dehors d'un environnement contrôlé. Par défaut, le programme d'installation de l'agent de gestion de bureau accepte ce type de certificat signé automatiquement, mais il s'agit d'un paramètre d'installation configurable. Lorsqu'ils sont déployés en dehors d'un réseau contrôlé, les serveurs Middle Tier doivent être configurés avec un certificat signé par une autorité de certification racine approuvée. Ils doivent également être configurés pour appliquer des contrôles de fiabilité stricts.
25.4.1 Configuration d'un serveur Middle Tier avec un certificat
NetIdentity valide
Si un certificat SSL valide (en d'autres termes, signé par une autorité de certification racine approuvée) existe déjà pour le serveur, ce certificat peut être utilisé par la procédure d'authentification NetIdentity.
1 Si le serveur est un serveur Linux, notez le nom de la paire de clés du certificat SSL (il s'agit du nom de l'objet Certificat affiché dans ConsoleOne).
2 Dans un navigateur, ouvrez la page NSAdmin pour le serveur Middle Tier (http://adresse_IP/ oneNet/nsadmin).
3 Dans la page de configuration Général, reportez le nom du certificat que vous avez noté à l' Étape 1 .
4 Envoyez la modification.
5 Redémarrez le serveur Middle Tier.
S'il n'existe pas de certificat SSL valide pour le serveur, un certificat X.509 valide (c'est-à-dire, signé par une autorité de certification racine approuvée) doit être configuré pour ce serveur.
1 Obtenez un certificat signé par une autorité de certification racine approuvée. Appliquez la
procédure décrite dans les sections « Génération d'une requête de signature de certificat » page 201 et
« Installation de l'autorité de certification racine sur le serveur Middle Tier » page 203 pour la plate-forme appropriée.
2 Si le nom de la paire de clés ou le nom convivial (selon la plate-forme utilisée) n'est pas
« NetIdentity », configurez le serveur Middle Tier avec le nom approprié. Dans la procédure cidessus, reportez-vous à la partie de l' Étape 1 à l' Étape 4 .
3 Redémarrez le serveur Middle Tier.
Remarque : Dans un cas comme dans l'autre, si le certificat a été signé par une autorité de certification qui ne figure pas dans la liste des autorités racine approuvées, le certificat de cette autorité, signé automatiquement, doit être importé sur chaque poste de travail. Pour plus
d'informations, reportez-vous à la section « Importation d'un certificat sur un poste de travail
Windows » page 206 .
356 Guide d'installation de Novell ZENworks 7 Desktop Management
25.4.2 Configuration des agents de gestion de bureau pour une application de contrôles de fiabilité stricts
Une fois que le serveur Middle Tier a été configuré avec un certificat signé par une autorité de certification racine approuvée, les agents de gestion de bureau peuvent être configurés pour contrôler de manière stricte la fiabilité des certificats NetIdentity. Pour cela, modifiez la clé de registre suivante :
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity
"Strict Trust"= dword:0x00000001
La valeur de fiabilité par défaut est 0 (zéro). L'absence de valeur ou l'assignation de la valeur 0x0
(zéro) entraîne l'approbation tous les certificats. L'assignation de la valeur 0x1 configure les agents de gestion de bureau pour rejeter tout certificat dont la fiabilité ne peut pas être intégralement vérifiée.
Configuration des mesures de sécurité sur les serveurs Middle Tier Linux 357
358 Guide d'installation de Novell ZENworks 7 Desktop Management
