Configuration des transferts sécurisés de données dans Identity Manager

Toutes les communications des pilotes eDirectory sont sécurisées grâce au protocole SSL. Pour configurer votre système Novell eDirectory^TM de sorte qu'il gère les transferts sécurisés de données Identity Manager, exécutez l'assistant NDS2NDS dans Novell iManager.

• Présentation
• Procédure

Présentation

Les éléments suivants vous aideront à comprendre les principes de sécurité des pilotes eDirectory :

• Le pilote utilise des sockets SSL pour garantir l'authentification et une connexion sécurisée. La technologie SSL utilise des certificats numériques pour autoriser les parties concernées par une connexion SSL à s'authentifier mutuellement. Quant à Identity Manager, il utilise les certificats du serveur de certificats Novell pour effectuer une gestion sécurisée des données sensibles.
• Pour que le pilote soit utilisable, Novell^® Certificate Server^TM doit être exécuté sur chaque arborescence. Il est recommandé d'utiliser l'autorité de certification de l'une des arborescences contenant le pilote afin d'émettre les certificats utilisés pour SSL. Si votre arborescence ne dispose pas d'autorité de certification, vous devez en créer une. Vous pouvez utiliser une autorité de certification externe.
• L'implémentation Novell de la technologie SSL utilisée par le pilote s'appuie sur les services SAS (Secure Authentication Services - Services d'Authentification Sécurisée) de Novell pour eDirectory 8.6.2, et sur NTLS pour eDirectory 8.7.x. Ces services doivent être installés et configurés sur le serveur sur lequel le pilote sera exécuté. En général, eDirectory se charge automatiquement de cette opération.
• Pour configurer la sécurité du pilote, vous devez créer et référencer des certificats dans les arborescences eDirectory qui seront connectées via ce pilote. Les objets Certificat de eDirectory sont appelés objets Matériel clé (Key Material Objects - KMO) car ils conservent, de manière sécurisée, les données du certificat (y compris la clé publique) et la clé privée associées au certificat.

  Vous devez créer au moins deux KMO (un par arborescence) pour utiliser le pilote DirXML pour eDirectory. Les descriptions de cette section sont basées sur l'utilisation d'un seul KMO par arborescence.

  L'assistant de certificats de pilote NDS2NDS définit les KMO.

• Pour plus d'informations :
  • Pour obtenir une présentation générale du serveur de certificats de Novell, reportez-vous à la documentation en ligne sur Novell Certificate Server.
  • Pour obtenir une présentation générale de SSL, reportez-vous à la page Secure Socket Layer Overview (Présentation de SSL).
  • Pour une présentation générale des certificats, reportez-vous à la page Certificates and Authentication (Certificats et authentification).
  • Pour plus d'informations sur les autorités de certification, notamment sur leur configuration dans les arborescences, reportez-vous à la page Setting Up Novell PKI Services (Configuration des services Novell PKI).

Procédure

Les descriptions de cette section sont basées sur l'utilisation d'un seul KMO par arborescence. Avant de commencer, retrouvez le nom de l'arborescence ou l'adresse IP du serveur de destination.

Pour configurer votre système eDirectory en vue de la gestion de transferts sécurisés de données Identity Manager :

1. Lancez iManager et authentifiez-vous auprès de la première arborescence.

2. Cliquez sur Utilitaires DirXML > Certificats de pilote NDS2NDS.

3. Dans la page d'accueil, entrez les informations demandées pour la première arborescence.

   Les valeurs par défaut sont fournies au moyen des objets de l'arborescence auprès de laquelle vous vous êtes authentifié lorsque vous avez lancé iManager. Vous devez entrer ou confirmer les informations suivantes :

   • DN de pilote : entrez le nom distinctif du pilote eDirectory (par exemple, EDir-Employés.Employee Provisioning.Services.NomVotreOrg).
   • Nom de l'arborescence : entrez l'adresse IP de l'arborescence Employés.
   • Nom d'utilisateur d'un compte doté de privilèges Admin (par exemple, Admin).
   • Mot de passe de l'utilisateur.
   • Contexte de l'utilisateur (par exemple, Services.NomVotreOrg).

4. Cliquez sur Suivant.

   L'assistant utilise les informations que vous avez entrées pour effectuer l'authentification auprès de la première arborescence, pour contrôler le DN de pilote et pour vérifier que le pilote est associé à un serveur.

5. Entrez les informations demandées pour la deuxième arborescence.

   Dans la page d'accueil, entrez les informations demandées pour la première arborescence.

   Entrez ou confirmez les informations suivantes :

   • DN de pilote : entrez le nom distinctif du pilote eDirectory (par exemple, EDir-Comptes.EnsemblePilotes.NomVotreOrg).
   • Nom de l'arborescence : entrez le nom de l'arborescence ou l'adresse IP de l'arborescence Comptes.
   • Nom d'utilisateur d'un compte doté de privilèges Admin (par exemple, Admin).
   • Mot de passe de l'utilisateur.
   • Contexte de l'utilisateur (par exemple, Londres.NomVotreOrg).

6. Cliquez sur Suivant.

   L'assistant utilise les informations que vous avez entrées pour effectuer l'authentification auprès de la deuxième arborescence, pour contrôler le DN de pilote et pour vérifier que le pilote est associé à un serveur.

7. Vérifiez les informations qui figurent sur la page Résumé, puis cliquez sur Terminer.

   S'il existait déjà des objets KMO pour ces arborescences, l'assistant les supprime, puis effectue les opérations suivantes :

   • exporte la racine approuvée de l'autorité de certification dans une arborescence,
   • crée des objets KMO,
   • émet une requête de signature de certificat,
   • place des noms de paires de clés de certificat dans la zone ID d'authentification du pilote.