21 élévation de privilèges, Authentification à deux facteurs – HP Systems Insight Manager Manuel d'utilisation
Page 130
21 Élévation de privilèges
L'élévation des privilèges permet aux utilisateurs qui n'ont pas de privilèges racine d'exécuter des
outils exigeant ces droits sur des systèmes gérés HP-UX, Linux et VMware ESX. Pour utiliser cette
fonction avec HP SIM, vous devez installer sur le système géré un utilitaire tel que su, sudo ou
Powerbroker. Grâce à ces utilitaires, vous pouvez vous connecter en tant qu'utilisateur normal ;
au moment d'exécuter un programme nécessitant un accès racine, il vous suffit de préfixer la ligne
de commande correspondante avec l'exécutable de l'utilitaire d'élévation des privilèges. Par
exemple, sudo rm /private/var/db/.setupFile. Certains de ces utilitaires peuvent être
configurés pour demander un mot de passe avant d'autoriser l'accès racine.
Pour que HP SIM exécute sur des systèmes gérés des outils nécessitant une élévation des privilèges,
vous devez le configurer de telle sorte qu'il puisse reconnaître l'utilisateur qui se connecte, préfixer
la ligne de commande et demander ou non un mot de passe. Cette configuration s'effectue à partir
du Assistant de première installation ou du menu Options en sélectionnant Options
→Security
(Sécurité)
→Privilege Elevation (Élévation des privilèges). Vous pouvez configurer des valeurs
différentes selon que vous utilisez des systèmes Unix et Linux ou WMware ESX.
IMPORTANT :
Lorsque l'élévation des privilèges est activée, les autres outils qui utilisent cette
fonction doivent fournir le mot de passe d'élévation des privilèges.
Une fois que vous avez configuré HP SIM pour l'élévation des privilèges, le système détermine si
un outil en a besoin, en vérifiant son paramètre execute-as. Celui-ci indique le type d'utilisateur
requis pour exécuter l'outil sur le système géré. Si le paramètre indique un accès root (racine)
dans le fichier de définition de l'outil (tdef), HP SIM appelle la fonction d'élévation des privilèges.
Si le paramètre est absent du fichier, HP SIM associe par défaut l'accès désigné par execute-as
à l'utilisateur qui appelle l'outil dans HP SIM. Si cet utilisateur est connecté avec un accès racine,
l'élévation des privilèges sera également utilisée.
Si ce processus est nécessaire, HP SIM se connecte via SSH au système distant avec l'identité de
l'utilisateur configuré dans la page des paramètres d'élévation des privilèges (un utilisateur
spécifique, l'utilisateur actuellement connecté à HP SIM ou un utilisateur spécifié au moment de
l'exécution). Si l'utilisateur est désigné au moment de l'exécution ou si un mot de passe est nécessaire
pour l'élévation des privilèges, les invites apparaissent dans la page de l'Assistant de tâche, qui
regroupe tous les paramètres requis pour exécuter l'outil. Une fois que HP SIM est connecté au
système distant via SSH, il appelle la commande correspondant à l'outil, préfixée par l'exécutable
de l'utilitaire d'élévation des privilèges, puis fournit au besoin le mot de passe.
Authentification à deux facteurs
L’authentification à deux facteurs est une technique alternative qui peut être configurée en tant que
mécanisme de connexion pour HP SIM par un utilisateur possédant des privilèges complets. Cette
technique de connexion offre une communication plus sûre que la technique utilisant le nom
d'utilisateur et le mot de passe car, lorsqu'elle est utilisée, deux facteurs sont nécessaires à la
connexion au système. Les deux facteurs sont les suivants :
•
Carte à puce
•
Numéro d'identification personnel (PIN)
L’authentification à deux facteurs est applicable à l'interface Web HP SIM et au port 50000.
Activation et désactivation de l'authentification à deux facteurs
HP SIM utilise par défaut le mode de connexion par nom d'utilisateur et mot de passe. La technique
d'authentification à deux facteurs peut être activée ou désactivée à partir de l'interface utilisateur
graphique en sélectionnant Options
→Security→Two-factor Authentication→Change Authentication
Mechanism. Cette méthode peut également être authentifiée via l'interface de ligne de commande :
130 Élévation de privilèges