download.microsoft.comdownload.microsoft.com/.../OM2007R2_SecurityGuide.docx · Web viewLe connecteur OpsMgr a chargé avec succès le certificat d'authentification spécifié. Pendant

Guide de sécurité Operations Manager 2007 R2Microsoft Corporation

Date de publication : Mai 2009

AuteurJohn Downing

Réviseurs principauxIan Jirka, Joseph Chan, Lincoln Atkinson, Olof Mases, Ruhiyyih Mahalati, Smita Mahalati et Tim Helton

Réviseurs auxiliairesEugene Bykov, Clive Eastwood, Doug Bradley, Jakub Oleksy, Ranga Kalyanasundaram et Vitaly Filimonov

CommentairesEnvoyez vos suggestions et commentaires concernant ce document à [email protected]. Merci d'inclure le nom du guide de sécurité et la date de publication avec vos commentaires.

mailto:[email protected]?subject=Security%20Guide%20published%20May,%202009

Les informations contenues dans ce document représentent l'opinion de Microsoft Corporation sur les points cités à la date de la publication. Microsoft devant s'adapter aux conditions changeantes du marché, ce document ne doit pas être interprété comme un engagement de la part de Microsoft, et Microsoft ne peut pas garantir l'exactitude des informations présentées après la date de publication.

Ce document est fourni à titre indicatif uniquement. MICROSOFT N'ÉMET AUCUNE GARANTIE, EXPRESSE, IMPLICITE OU LÉGALE RELATIVE AUX INFORMATIONS CONTENUES DANS CE DOCUMENT.

L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. Aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de restitution, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre) sans la permission expresse et écrite de Microsoft Corporation.

Microsoft Corporation peut détenir des brevets, avoir déposé des demandes d'enregistrement de brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété intellectuelle portant sur tout ou partie des éléments qui font l'objet du présent document. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document ne vous confère aucun droit de licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle.

Sauf mention contraire, les sociétés, les organisations, les produits, les noms de domaine, les adresses électroniques, les logos, les personnes, les lieux et les événements mentionnés dans les exemples sont fictifs. Toute ressemblance avec des sociétés, organisations, produits, noms de domaine, adresses électroniques, logos, personnes, lieux ou événements réels est purement fortuite et involontaire.

© 2009 Microsoft Corporation. Tous droits réservés.

Microsoft, Active Directory, ActiveSync, Internet Explorer, JScript, SharePoint, SQL Server, Visio, Visual Basic, Visual Studio, Win32, Windows, Windows PowerShell, Windows Server et Windows Vista sont des marques du groupe de sociétés Microsoft.

Toutes les autres marques sont la propriété de leurs propriétaires respectifs.

Historique des révisions

Date de sortie Modifications

Mai 2009 La version de ce guide pour Operations Manager 2007 R2 contient les mises à jour et les ajouts suivants :

Des informations relatives au déploiement des agents sur des systèmes UNIX et

Date de sortie Modifications

Linux ont été ajoutées.

Une liste de valeurs de hachage pour les agents UNIX et Linux a été ajoutée.

ContenuSécurité dans Operations Manager 2007 R2..................................................................................7

À propos du guide de sécurité d'Operations Manager 2007........................................................7Nouvelles fonctions de sécurité dans Operations Manager 2007................................................8Informations de compte pour Operations Manager 2007............................................................9

Procédure de modification du mot de passe du compte du pool d'applications IIS ReportServer pour Operations Manager 2007....................................................................14

Procédure de modification du mot de passe du compte d'exécution du serveur de rapports dans Operations Manager 2007.........................................................................................14

Procédure de modification des comptes de service SDK et de configuration dans Operations Manager 2007..................................................................................................................... 15

Procédure de modification du mot de passe du compte de service Windows pour SQL Server Reporting Service dans Operations Manager 2007............................................................16

Procédure de définition du compte d'action sur plusieurs ordinateurs dans Operations Manager 2007..................................................................................................................... 17

Sécurité basée sur les rôles dans Operations Manager 2007...................................................19Run As Accounts and Run As Profiles in Operations Manager 2007 (Profils d'identification et

comptes d'identification dans Operations Manager 2007)......................................................23Procédure de création d'un compte d'identification dans Operations Manager 2007.............29Procédure de création et de configuration d'un profil d'identification dans Operations

Manager 2007.....................................................................................................................31Procédure de modification d'un profil d'identification existant................................................34

Authentification et chiffrement des données pour les ordinateurs Windows dans Operations Manager 2007........................................................................................................................35Procédure de configuration de la console Opérateur pour utiliser SSL lors de la connexion à

un serveur de rapports dans Operations Manager 2007.....................................................43Procédure d'obtention d'un certificat à l'aide de l'autorité de certification d'entreprise de

Windows Server 2003 dans Operations Manager 2007.....................................................44Procédure d'obtention d'un certificat à l'aide d'une autorité de certification autonome de

Windows Server 2003 dans Operations Manager 2007.....................................................49Procédure d'obtention d'un certificat à l'aide de l'autorité de certification d'entreprise de

Windows Server 2008 dans Operations Manager 2007.....................................................53Procédure d'obtention d'un certificat à l'aide d'une autorité de certification autonome de

Windows Server 2008 dans Operations Manager 2007.....................................................59Procédure de suppression de certificats importés avec MOMCertImport dans Operations

Manager 2007..................................................................................................................... 64Procédure de modification du compte d'identification associé au profil d'identification..........64Procédure de configuration d'une liaison HTTPS pour une autorité de certification Windows

Server 2008........................................................................................................................ 65

Authentification et chiffrement des données pour les systèmes d'exploitation UNIX et Linux. . .66Procédure d'installation manuelle de certificats pour la prise en charge interplateforme.......68

Utilisation d'un pare-feu avec Operations Manager 2007..........................................................69Procédure de configuration de la base de données OperationsManager pour écouter sur un

port TCP/IP spécifique........................................................................................................74Procédure de configuration de l'entrepôt de données de rapports pour écouter sur un port

TCP/IP spécifique...............................................................................................................77Utilisation de certificats avec ACS dans Operations Manager 2007..........................................80

Procédure de configuration des certificats sur le collecteur ACS dans Operations Manager 2007.................................................................................................................................... 81

Procédure de configuration des certificats sur le redirecteur ACS dans Operations Manager 2007.................................................................................................................................... 82

Considérations sur la sécurité pour la gestion sans agent dans Operations Manager 2007.....84Sécurité de la console Web dans Operations Manager 2007....................................................85Annexe A : Liste des opérations dans Operations Manager 2007.............................................86Annexe B : Liste des valeurs de hachage pour les agents UNIX et Linux.................................90

Sécurité dans Operations Manager 2007 R2

À propos du guide de sécurité d'Operations Manager 2007Ce guide vous fournit des informations liées à la sécurité se rapportant à Operations Manager 2007. Les rubriques abordées dans cette édition du guide de sécurité sont décrites dans la section suivante.

Pour de futures éditions de ce document, voir le Guide de sécurité d'Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=64017).

Dans cette section

Informations de compte pour Operations Manager 2007

Décrit les comptes dans Operations Manager 2007 pour lesquels vous fournissez des informations d'identification.

Sécurité basée sur les rôles dans Operations Manager 2007

Décrit le mode d'implémentation de la sécurité basée sur les rôles.

Run As Accounts and Run As Profiles in Operations Manager 2007 (Profils d'identification et comptes d'identification dans Operations Manager 2007)

Décrit le mode d'utilisation des comptes d'identification et des profils d'identification.

Authentification et chiffrement des données pour les ordinateurs Windows dans Operations Manager 2007

Décrit la procédure de chiffrage des données entre divers composants d'Operations Manager et le moment approprié pour l'exécuter et donne des instructions sur la façon d'obtenir et d'utiliser des certificats.

Authentification et chiffrement des données pour les systèmes d'exploitation UNIX et Linux

Décrit la façon de déployer des agents sur des ordinateurs UNIX et Linux de façon sécurisée.

Utilisation de certificats avec ACS dans Operations Manager 2007

Décrit les circonstances dans lesquelles il est nécessaire d'utiliser des certificats afin qu'une authentification ait lieu entre le redirecteur ACS et le collecteur des services ACS.

7

http://go.microsoft.com/fwlink/?LinkId=64017

Considérations sur la sécurité pour la gestion sans agent dans Operations Manager 2007.

Fournit des informations sur les considérations de sécurité pour la gestion sans agent.

Sécurité de la console Web dans Operations Manager 2007

Indique la procédure d'utilisation de SSL (Secure Sockets Layer) avec la console Web dans Operations Manager 2007.

Annexe A : Liste des opérations dans Operations Manager 2007

Dresse la liste des opérations disponibles, décomposées par profil.

Annexe B : Liste des valeurs de hachage pour les agents UNIX et Linux

Dresse la liste des valeurs de hachage pour les agents UNIX et Linux

Ressources externesPour une version en ligne de l'aide, voir Operations Manager 2007 Help (Aide d'Operations Manager) (http://go.microsoft.com/fwlink/?LinkID=77739).

Nouvelles fonctions de sécurité dans Operations Manager 2007Les sections suivantes décrivent les fonctions liées à la sécurité disponibles dans Operations Manager 2007 qui n'étaient pas disponibles dans Microsoft Operations Manager (MOM) 2005.

Comptes d'identification et profils d'identificationDans MOM 2005, l'exécution de toutes les règles et réponses utilisait des informations d'identification d'un seul compte d'action, lequel devait par conséquent disposer des droits suffisants pour toutes les applications analysées. Operations Manager 2007 introduit les comptes d'identification et les profils d'identification. Plusieurs comptes d'identification peuvent analyser plusieurs applications ou composants et vous autoriser à créer des informations d'identification disposant uniquement des privilèges requis pour la tâche souhaitée.

Les comptes d'identification vous permettent de gérer tous les mots de passe et les comptes pour l'ensemble du groupe d'administration à partir d'un seul emplacement, le serveur d'administration racine.

Rôles d'utilisateurVous pouvez accéder à Operations Manager 2007 et l'exploiter au moyen de plusieurs méthodes : console Opérateur, console Web, Windows PowerShell ou applications personnalisées. Dans tous les cas, la sécurité basée sur les rôles garantit que les informations d'identification de l'utilisateur fournies sont membres d'un rôle d'utilisateur dans Operations Manager 2007.

8



Informations de compte pour Operations Manager 2007Pendant l'installation et l'utilisation d'Operations Manager 2007, vous serez invité à fournir les informations d'identification de plusieurs comptes. Des informations sur les comptes d'action sont données au début de cette section. On y trouve aussi des informations sur d'autres comptes, tels que les comptes de service SDK et de configuration, d'installation d'agent, d'écriture d'entrepôt de données et de lecteur de données.

Qu'est-ce qu'un compte d'action ?Les divers rôles de serveur Operations Manager 2007 à savoir le serveur d'administration racine, le serveur d'administration, le serveur de passerelle et l'agent, contiennent tous un processus appelé MonitoringHost.exe. Ce processus est utilisé par chaque rôle de serveur pour accomplir des activités d'analyse, comme l'exécution d'une analyse ou d'une tâche. Par exemple, lorsqu'un agent s'abonne au journal des événements pour lire les événements, c'est le processus MonitoringHost.exe qui exécute ces activités. Le compte d'exécution du processus MonitoringHost.exe est appelé compte d'action. Le compte d'action pour l'exécution du processus MonitoringHost.exe sur un agent est appelé compte d'action d'agent. Le compte d'action utilisé par le processus MonitoringHost.exe sur un serveur d'administration est appelé compte d'action de serveur d'administration. Le compte d'action utilisé par le processus MonitoringHost.exe sur un serveur de passerelle est appelé compte d'action de serveur de passerelle.

Compte d'action de l'agentÀ moins qu'une action ait été associée à un profil d'identification, les informations d'identification utilisées pour effectuer l'action seront celles définies pour le compte d'action. Pour plus d'informations sur le profil d'identification, voir Run As Accounts and Run As Profiles in Operations Manager 2007 (Profils d'identification et comptes d'identification dans Operations Manager 2007) dans ce guide. Exemples d'actions :

Analyse et collecte des données des journaux d'événements Windows

Analyse et collecte des données des compteurs de performances Windows

Analyse et collecte des données WMI (Windows Management Instrumentation)

Exécution d'actions telles que scripts ou lots

MonitoringHost.exe est le processus qui exécute ces actions à l'aide des informations d'identification spécifiées dans le compte d'action. Une nouvelle instance de MonitoringHost.exe est créée pour chaque compte.

Utilisation d'un compte à privilèges limitésLorsque vous installez Operations Manager 2007, vous pouvez choisir l'une des 2 options suivantes lors de l'attribution du compte d'action :

Système local

9

Compte de domaine ou local

Une approche courante consiste à spécifier un compte de domaine, lequel vous autorise à sélectionner un utilisateur disposant des privilèges minimum pour votre environnement.

Sur les ordinateurs exécutant les systèmes d'exploitation Windows Server 2003, Windows Server 2003 R2 et Windows Vista, le compte d'action par défaut doit disposer des privilèges minimaux suivants :

être membre du groupe Utilisateurs locaux ;

être membre du groupe local Utilisateurs de l'Analyseur de performances ;

disposer du droit « Permettre l'ouverture d'une session locale » (SetInteractiveLogonRight).

Important Les privilèges minimaux décrits ci-dessus sont les privilèges les moins élevés pris en charge par Operations Manager 2007 pour le compte d'action. D'autres comptes d'identification peuvent avoir des privilèges moins élevés. Les privilèges réels requis pour les comptes d'action varient en fonction des packs d'administration en cours d'exécution sur l'ordinateur et de leur configuration. Pour plus d’informations sur les privilèges spécifiques requis, consultez le guide du pack d’administration correspondant.

Gardez les points suivants à l'esprit lors du choix des informations d'identification pour le compte d'action :

Un compte à privilèges limités ne peut être utilisé que sur les ordinateurs exécutant Windows Server 2003, Windows Server 2003 R2 et Windows Vista. Sur les ordinateurs exécutant Windows 2000 et Windows XP, le compte d'action doit être membre du groupe de sécurité Administrateurs locaux ou du système local.

Un compte à privilèges limités est suffisant pour les agents utilisés pour analyser les contrôleurs de domaine.

L'utilisation d'un compte de domaine nécessite une mise à jour du mot de passe cohérente avec vos stratégies d'expiration des mots de passe.

Vous devez arrêter puis démarrer le service d'administration System Center si le compte d'action a été configuré pour utiliser un compte à privilèges limités et que ce dernier a été ajouté aux groupes requis lorsque le service d'administration de System Center était en cours d'exécution.

Compte d'action de notificationLe Compte d'action de notification est un compte d'identification qui est créé par l'utilisateur pour configurer des notifications. Il s'agit du compte d'action utilisé pour la création et l'envoi de notifications. Assurez-vous que les informations d'identification que vous utilisez pour ce compte disposent de droits suffisants pour le serveur SMTP, de messagerie instantanée ou SIP que vous utiliserez pour les notifications.

Si vous changez le mot de passe pour les informations d'identification saisies pour le compte d'action de notification, vous devrez faire les mêmes modifications de mot de passe pour le compte d'identification.

10

Gestion des informations d'identification du compte d'actionPour le compte que vous choisissez, Operations Manager déterminera la date d'expiration du mot de passe et génèrera une alerte 14 jours avant l'expiration du compte. Lorsque vous changez le mot de passe dans Active Directory, vous pouvez changer le mot de passe pour le compte d'action dans Operations Manager sur l'onglet Compte de la page Propriétés du compte d'identification. Pour plus d'informations sur la gestion des informations d'identification du compte d'action, voir Procédure de modification des informations d'identification du compte d'action dans Operations Manager (http://go.microsoft.com/fwlink/?LinkId=88304) (éventuellement en anglais).

Vous pouvez utiliser un script Windows PowerShell, set-ActionAccount.ps1, pour définir le compte d'action sur plusieurs ordinateurs. Pour plus d'informations, voir le SC Ops Mgr 2007 Resource Kit (http://go.microsoft.com/fwlink/?LinkId=92596) (éventuellement en anglais). Le script vous permet de définir le compte d'action sur tous les ordinateurs définis dans un groupe d'ordinateurs. Voir Définir le compte d'action sur plusieurs ordinateurs dans Operations Manager 2007 dans le guide de sécurité.

Compte de service SDK et de configurationLe compte de service SDK et de configuration est un jeu d'informations d'identification utilisé par le service d'accès aux données System Center et le service de configuration de l'administration System Center pour mettre à jour des informations dans la base de données OperationsManager. Operations Manager fait en sorte que les informations d'identification utilisées pour le compte d'action SDK et de configuration soient attribuées au rôle sdk_user dans la base de données OperationsManager. Le compte de service SDK et de configuration peut être configuré en tant que compte de système local ou en tant que compte de domaine. L'utilisation d'un compte Utilisateur local n'est pas prise en charge.

Si le serveur d'administration racine et la base de données OperationsManager se trouvent sur des ordinateurs différents, le compte de service SDK et de configuration doit être modifié pour devenir un compte de domaine. Pour une meilleure sécurité, nous vous recommandons d'utiliser un compte différent de celui utilisé pour le compte d'action du serveur d'administration. Pour modifier ces comptes, voir l'article de la base de connaissances Comment modifier les informations d'identification pour le service de Kit de développement logiciel (SDK) OpsMgr et pour le service de configuration OpsMgr dans System Center Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=112435).

Compte d'installation des agentsLors du déploiement d'agents basé sur la détection, vous êtes invité à entrer un compte disposant de droits d'administrateur. Ce compte est utilisé pour installer l'agent sur l'ordinateur, et doit donc être administrateur local sur tous les ordinateurs sur lesquels vous déployez les agents. Le compte d'action du serveur d'administration est le compte par défaut de l'agent d'installation. Si le compte d'action du serveur d'administration ne dispose pas de droits d'administrateur,

11








sélectionnez Autre compte d'utilisateur et tapez un compte disposant de droits d'administrateur. Ce compte est crypté avant son utilisation et il est ensuite ignoré.

Compte d'écriture de l'entrepôt de donnéesLe compte d'écriture de l'entrepôt de données écrit des données provenant du serveur d'administration racine ou du serveur d'administration dans l'entrepôt de données de rapports et lit les données provenant de la base de données OperationsManager. Les informations d'identification que vous fournissez pour ce compte lui permettront d'être membre des rôles en fonction de l'application, comme décrit dans le tableau suivant.

Application Base de données/rôle Rôle/compte

Microsoft SQL Server 2005 OperationsManager db_datareader

Microsoft SQL Server 2005 OperationsManager dwsync_user

Microsoft SQL Server 2005 OperationsManagerDW OpsMgrWriter

Microsoft SQL Server 2005 OperationsManagerDW db_owner

Operations Manager 2007 Rôle d'utilisateur Administrateurs de sécurité des rapports Operations Manager

Operations Manager 2007 Compte d'identification Compte d'action d'entrepôt de données

Operations Manager 2007 Compte d'identification Compte de lecture de synchronisation de la configuration de l'entrepôt de données

Si vous changez le mot de passe des informations d'identification saisies pour le compte d'écriture de l'entrepôt de données, vous devrez faire les mêmes modifications de mot de passe pour les comptes suivants :

Compte d'identification appelé compte d'action d'entrepôt de données

Compte d'identification appelé compte de lecteur de synchronisation de la configuration de l'entrepôt de données

Compte de lecteur de donnéesCe compte est utilisé pour déployer des rapports, définir l'utilisateur utilisé par SQL Reporting Services pour lancer des requêtes sur l'entrepôt de données de rapports et pour la connexion du compte de pool d'applications des services Internet (IIS) SQL Reporting Services au serveur d'administration racine. Ce compte est ajouté au profil utilisateur Administrateur de rapports.

12

Les informations d'identification que vous fournissez pour ce compte lui permettront d'être membre des rôles en fonction de l'application, comme décrit dans le tableau suivant.

Application Base de données/rôle Rôle/compte

Microsoft SQL Server 2005

Instance d'installation du serveur de rapports

Compte d'exécution du serveur de rapports

Microsoft SQL Server 2005

OperationsManagerDW OpsMgrReader

Operations Manager 2007

Rôle d'utilisateur Administrateurs de sécurité des rapports Operations Manager


Rôle d'utilisateur Opérateurs de rapports Operations Manager


Compte d'identification Compte de déploiement des rapports de l'entrepôt de données

IIS Pool d'applications ReportServer$<INSTANCE>

Service Windows SQL Server Reporting Services Compte de connexion

Si vous changez le mot de passe des informations d'identification saisies pour le compte de lecteur de données, vous devrez faire les mêmes modifications de mot de passe pour les comptes suivants :

Compte d'exécution du serveur de rapports

Le compte de service SQL Server Reporting Services sur l'ordinateur hébergeant SQL Server Reporting Services (SRS)

Le compte du pool d'applications des services Internet (IIS) ReportServer$<INSTANCE>

Compte d'identification appelé compte de déploiement des rapports de l'entrepôt de données

Voir aussiProcédure de modification du mot de passe du compte d'exécution du serveur de rapports dans Operations Manager 2007

Procédure de modification du mot de passe du compte d'exécution du serveur de rapports dans Operations Manager 2007

Procédure de modification des comptes de service SDK et de configuration dans Operations Manager 2007

Procédure de modification du mot de passe du compte de service Windows pour SQL Server Reporting Service dans Operations Manager 2007

Procédure de définition du compte d'action sur plusieurs ordinateurs dans Operations Manager 2007

13

Procédure de modification du mot de passe du compte du pool d'applications IIS ReportServer pour Operations Manager 2007Si le mot de passe change pour le compte que vous avez spécifié comme compte de lecteur de données pendant l'installation du serveur de rapports, vous pouvez utiliser la procédure suivante pour modifier le mot de passe du compte du pool d'applications IIS ReportServer sur l'ordinateur exécutant SQL Server Reporting Services.

1. Sur l'ordinateur hébergeant SQL Server Reporting Services, sur le bureau Windows, cliquez sur Démarrer, pointez sur Programmes, pointez sur Outils d'administration, puis cliquez sur Gestionnaire des services Internet (IIS).

2. Dans Gestionnaire des services Internet (IIS), développez <Nom de l'ordinateur> (ordinateur local), développez Pools d'applications, cliquez avec le bouton droit sur ReportServer<INSTANCE>, puis cliquez sur Propriétés.

3. Dans la boîte de dialogue Propriétés de ReportServer<INSTANCE>, cliquez sur Identité.

4. Dans la zone de texte Mot de passe, tapez le nouveau mot de passe, puis cliquez sur OK.

5. Fermez le Gestionnaire des services Internet (IIS).



Procédure de modification du mot de passe du compte d'exécution du serveur de rapports dans Operations Manager 2007Si le mot de passe change pour le compte que vous avez spécifié comme compte de lecteur de données pendant l'installation du serveur de rapports, utilisez la procédure suivante pour modifier le mot de passe du compte d'exécution sur le serveur de rapports.

1. Sur l'ordinateur hébergeant le serveur de rapports, sur le bureau de Windows, cliquez sur Démarrer, pointez sur Programmes, pointez sur Microsoft SQL Server 2005, pointez sur Outils de configuration, puis cliquez sur Configuration de Reporting Services.

2. Dans la boîte de dialogue Sélection de l'instance d'installation de Report Server, cliquez sur Connexion.

Pour modifier le compte du pool d'applications IIS ReportServer

Pour modifier le mot de passe du compte d'exécution du serveur de rapports

14

3. Dans la partie gauche du volet Gestionnaire de configuration de Reporting Services, cliquez sur Compte d'exécution.

4. Dans le volet Compte d'exécution, tapez le nouveau mot de passe pour le compte d'exécution.

5. Cliquez sur Appliquer, puis cliquez sur Quitter pour fermer le Gestionnaire de configuration de Reporting Services.

Voir aussiProcédure de modification du mot de passe du compte du pool d'applications IIS ReportServer pour Operations Manager 2007


Procédure de modification des comptes de service SDK et de configuration dans Operations Manager 2007Pendant l'installation d'Operations Manager 2007, vous êtes invité à fournir les informations d'identification de deux services. Le nom de ces services a changé avec l'introduction d'Operations Manager 2007 R2. Si vous voulez modifier le mot de passe des informations d'identification que vous avez fournies ou utiliser un jeu d'informations d'identification différent, suivez la procédure relative à la version d'Operations Manager que vous utilisez.

Remarque Les mêmes informations d'identification doivent être utilisées pour les deux services.

1. Sur l'ordinateur qui héberge le serveur d'administration racine, sur le bureau Windows, cliquez sur Démarrer, puis sur Exécuter.

2. Dans la boîte de dialogue Exécuter, tapez services.msc, puis cliquez sur OK.

3. Dans la liste des services, cliquez avec le bouton droit sur Service SDK, puis cliquez sur Propriétés.

4. Dans la boîte de dialogue Propriétés de SDK, cliquez sur l'onglet Connexion.

5. Entrez les nouvelles informations d'identification ou modifiez le mot de passe des informations d'identification existantes, puis cliquez sur OK.

6. Dans la liste des services, cliquez avec le bouton droit sur Service de configuration, puis cliquez sur Propriétés.

7. Dans la boîte de dialogue Propriétés de Configuration, cliquez sur l'onglet Connexion.


Pour modifier les informations d'identification ou le mot de passe pour les services Operations Manager 2007 SP1

15

9. Arrêtez et redémarrez le service SDK et le service de configuration.

1. Sur l'ordinateur qui héberge le serveur d'administration racine, sur le bureau Windows, cliquez sur Démarrer, puis sur Exécuter.


3. Dans la liste des services, cliquez avec le bouton droit sur Service d'accès aux données System Center, puis cliquez sur Propriétés.

4. Dans la boîte de dialogue Propriétés de Accès aux données de System Center, cliquez sur l'onglet Connexion.


6. Dans la liste des services, cliquez avec le bouton droit sur service de configuration de l'administration System Center, puis cliquez sur Propriétés.

7. Dans la boîte de dialogue Propriétés de Configuration de l'administration System Center, cliquez sur l'onglet Connexion.


9. Arrêtez et redémarrez le service d'accès aux données System Center et le service de configuration de l'administration System Center.

Procédure de modification du mot de passe du compte de service Windows pour SQL Server Reporting Service dans Operations Manager 2007Si le mot de passe change pour le compte que vous avez spécifié comme compte de lecteur de données pendant l'installation du serveur de rapports, utilisez la procédure suivante pour modifier le mot de passe du compte du service Windows sur l'ordinateur exécutant SQL Server Reporting Services.

1. Sur l'ordinateur qui exécute SQL Server Reporting Services, sur le bureau Windows, cliquez sur Démarrer, pointez sur Paramètres puis cliquez sur Exécuter.


3. Dans Services, faites défiler vers le bas de la liste, cliquez avec le bouton droit sur SQL Server Reporting Services (<INSTANCE>), puis cliquez sur Propriétés.

4. Dans la boîte de dialogue Propriétés de SQL Server Reporting Services (<INSTANCE>), cliquez sur Connexion.

Pour modifier les informations d'identification ou le mot de passe pour les services Operations Manager 2007 R2

Pour modifier le compte de service Windows pour SQL Server Reporting services

16

5. Dans les zones de texte Mot de passe et Confirmer le mot de passe, tapez le nouveau mot de passe, puis cliquez sur OK.

6. Fermez Services, puis fermez Outils d'administration.

Voir aussiProcédure de modification du mot de passe du compte du pool d'applications IIS ReportServer pour Operations Manager 2007

Procédure de modification du mot de passe du compte d'exécution du serveur de rapports dans Operations Manager 2007

Procédure de définition du compte d'action sur plusieurs ordinateurs dans Operations Manager 2007Cette procédure vous montre comment utiliser un script Windows PowerShell, set-ActionAccount.ps1, pour définir le compte d'action sur plusieurs ordinateurs. Vous devrez télécharger le script set-ActionAccount.ps1 sur l'ordinateur qui héberge la console Opérateur et l'interface de commande d'Operations Manager 2007. Pour plus d'informations sur le script set-ActionAccount.ps1, voir le SC Ops Mgr 2007 Resource Kit (http://go.microsoft.com/fwlink/?LinkId=92596).

Vous pouvez spécifier les ordinateurs pour lesquels vous voulez modifier le compte d'action en créant un groupe d'ordinateurs ou en sélectionnant un groupe d'ordinateurs dans l'inventaire détecté. Les deux procédures sont décrites dans les sections suivantes. Pour ces procédures, il est présumé que le script ActionAccount.ps1 a été téléchargé dans le dossier Mes documents d'un utilisateur, sur le lecteur C.

1. Connectez-vous à l'ordinateur avec un compte membre du rôle Administrateurs Operations Manager, pour le groupe d'administration Operations Manager 2007.

2. Dans la console Opérateur, cliquez sur le bouton Analyse.

Remarque Lorsque vous exécutez la console Opérateur sur un ordinateur qui n'est pas un serveur d'administration, la boîte de dialogue Connexion au serveur s'affiche. Dans la zone de texte Nom du serveur, tapez le nom du serveur d'administration Operations Manager 2007 auquel vous souhaitez que la console Opérateur se connecte.

3. Dans le volet Analyse, cliquez avec le bouton droit sur Analyse, pointez sur Nouveau, puis cliquez sur Affichage des états.

4. Dans la boîte de dialogue Propriétés, dans le champ texte Nom, entrez un nouveau nom pour cet affichage (dans cet exemple, Mon groupe d'ordinateurs).

5. Dans l'onglet Critères, dans la zone de liste Afficher les données relatives à , cliquez

Pour définir le compte d'action sur plusieurs ordinateurs

17


sur le bouton points de suspension (…).

6. Dans la boîte de dialogue Sélectionner un type de cible, dans le champ texte Rechercher, tapez Groupe d'ordinateurs, cliquez sur Afficher toutes les cibles, sélectionnez Groupe d'ordinateurs dans la liste, puis cliquez sur OK.

7. Dans la boîte de dialogue Propriétés, cliquez sur OK.

8. Dans le volet Analyse, développez Analyse, puis cliquez sur l'affichage que vous venez de créer (par exemple, cliquez sur Mon groupe d'ordinateurs).

9. Dans le volet des résultats (par exemple, le volet de résultats Mon groupe d'ordinateurs), cliquez avec le bouton droit sur le groupe d'ordinateurs contenant les ordinateurs cibles dont vous voulez modifiez le compte d'action, cliquez sur Ouvrir, puis cliquez sur Interface de commande.

10. Dans la fenêtre Windows PowerShell, tapez le chemin d'accès vers le script suivi par le nom du script, puis par le compte d'action que vous voulez utiliser. Par exemple, tapez c:\Documents and Settings\<utilisateur>\Mes documents\set-ActionAccount "ActionAccount", (où « ActionAccount » correspond aux informations d'identification (domaine\nom d'utilisateur) pour le compte d'action que vous voulez définir sur plusieurs ordinateurs), puis appuyez sur ENTRÉE.


2. Dans la console Opérateur, cliquez sur le bouton Analyse.


3. Dans le volet Analyse, développez Analyse, puis cliquez sur Inventaire détecté.

4. Dans le volet Actions, développez Actions d'état, puis cliquez sur Modifier le type de cible.

5. Dans la boîte de dialogue Sélectionner un type de cible, sélectionnez Afficher toutes les cibles.

6. Dans la zone de texte Rechercher, tapez Groupe d'ordinateurs.

7. Dans la colonne Cible, cliquez sur Groupe d'ordinateurs, puis sur OK.

8. Dans le volet de résultats Inventaire détecté (groupe d'ordinateurs), cliquez avec le bouton droit sur le groupe d'ordinateurs contenant les ordinateurs cibles dont vous voulez modifiez le compte d'action, cliquez sur Ouvrir, puis cliquez sur Interface de

Pour définir le compte d'action sur plusieurs ordinateurs en utilisant l'inventaire détecté

18

commande.

9. Dans la fenêtre Windows PowerShell, tapez le chemin d'accès vers le script suivi par le nom du script, puis par le compte d'action que vous voulez utiliser. Par exemple, tapez c:\Documents and Settings\<utilisateur>\Mes documents\set-ActionAccount "ActionAccount", (où « ActionAccount » correspond aux informations d'identification (domaine\nom d'utilisateur) pour le compte d'action que vous voulez définir sur plusieurs ordinateurs), puis appuyez sur ENTRÉE.

Sécurité basée sur les rôles dans Operations Manager 2007Vous pouvez lancer et manipuler Operations Manager 2007 en utilisant la console Opérateur, la console Web, Windows PowerShell ou des applications personnalisées. Dans tous les cas, la sécurité basée sur les rôles garantit que les informations d'identification de l'utilisateur fournies sont membres d'un rôle d'utilisateur dans Operations Manager.

Operations Manager 2007 peut analyser de nombreux types d'applications différents dans l'entreprise, et ces applications peuvent être administrées par plusieurs équipes. En tant qu'administrateur Operations Manager, vous pouvez limiter l'accès à chacune des équipes de façon à ce qu'elles ne puissent accéder qu'à leurs propres données d'analyse. La sécurité basée sur les rôles vous permet d'accorder un accès aux données d'analyse, aux utilitaires et aux actions de façon séparée pour chaque équipe.

Terminologie et conceptsLa terminologie concernant la sécurité basée sur les rôles est décrite dans le tableau suivant.

Terme Signification

Opération/privilège Action sécurisable, comme la résolution d'alertes, l'exécution de tâches, l'écrasement d'analyses, la création de rôles d'utilisateurs, la consultation d'alertes, la consultation d'événements, et ainsi de suite. Pour une liste des opérations disponibles, voir l'Annexe A.

Profil Collection d'opérations accordées à une personne, par exemple, administrateur ou opérateur.

Operations Manager 2007 contient les profils suivants :

Administrateur

19

Terme Signification

Opérateur avancé

Auteur

Opérateur

Opérateur en lecture seule

Opérateur de rapports

Administrateur de sécurité des rapports

Étendue Définit les limites d'exécution des opérations de profil, par exemple les tâches et les groupes.

Rôles d'utilisateur Combinaison d'un profil et d'une étendue.

Affectation de rôles Association d'utilisateurs et de groupes Windows à des rôles Operations Manager.

ÉtendueL'étendue de tous les objets d'un pack d'administration, par exemple attributs, analyses, détections d'objets, règles, tâches et affichages, est définie par cibles (également appelées types ou classes). Une cible, telle que définie dans un pack d'administration, représente un certain type d'objet. Tous les objets de ce type partagent certaines caractéristiques communes. Quel que soit l'endroit où se trouvent des objets de ce type, il y a un moyen commun de les détecter, un jeu de propriétés commun qui peut être détecté et un moyen commun de les analyser. Par défaut, avant toute importation de packs d'administration, 163 cibles sont créées dans Operations Manager 2007.

Les groupes sont des collections logiques d'objets, telles que des ordinateurs Windows, des disques durs ou des instances de Microsoft SQL Server.

Les tâches peuvent être des tâches d'agent ou des tâches de console. Les tâches d'agent peuvent s'exécuter à distance sur un agent ou un serveur d'administration, tandis que les tâches de console peuvent seulement s'exécuter sur l'ordinateur local. En outre, les tâches de console ne sont pas délimitées par des rôles d'utilisateurs ; elles sont disponibles pour tous les utilisateurs. Dans Operations Manager 2007, vous pouvez avoir un fichier de commandes ou un script exécuté en tant que tâche à distance ou tâche locale, mais si la tâche est générée par une alerte ou un événement, elle ne peut être exécutée que localement.

Les affichages sont des groupes d'objets gérés possédant une caractéristique commune définie dans les propriétés de l'affichage. Lorsque vous sélectionnez un affichage, une requête est alors envoyée à la base de données OperationsManager et les résultats de la requête s'affichent dans le volet de résultats.

20

Rôle d'utilisateurDans Operations Manager 2007, on crée un rôle d'utilisateur en définissant l'union d'un profil et d'une étendue. Vous créez un rôle d'utilisateur à partir de l'un des 5 profils prédéfinis, ou des 7 profils prédéfinis si Reporting a été installé, puis vous définissez une étendue appropriée. Le tableau suivant définit les types de profils et une étendue appropriée pour chacun d'eux.

Type de profil Description du profil Étendue du rôle

Administrateur Dispose de privilèges étendus d'accès à Operations Manager ; aucune étendue du profil Administrateur n'est prise en charge.

Accès complet à l'ensemble des données, services, outils d'administration et de création d'Operations Manager.

Opérateur avancé Dispose d'un droit de modification limité de la configuration d'Operations Manager ; droit de création de remplacements de règles, d'analyses de cibles ou de groupes de cibles au sein de l'étendue configurée. L'opérateur avancé hérite également des privilèges de l'opérateur.

L'étendue peut être limitée à celle de tout groupe, affichage et tâche actuellement présents ou importés ultérieurement.

Auteur Dispose de droits pour créer, modifier et supprimer des tâches, des règles, des analyses et des affichages au sein de l'étendue configurée. L'auteur hérite également des privilèges de l'opérateur avancé.

L'étendue peut être limitée à celle de tout groupe, cible, tâche et affichage actuellement présents ou importés ultérieurement. Le rôle Auteur est unique en ce sens qu'il s'agit du seul type de profil dont l'étendue peut être limitée à celles des cibles.

Opérateur Possibilité de modifier ou de supprimer des alertes, d'exécuter des tâches et d'accéder à des affichages en fonction de l'étendue configurée. L'Opérateur hérite également des privilèges de l'Opérateur en lecture seule.

L'étendue peut être limitée à celle de tout groupe, affichage et tâche actuellement présents ou importés ultérieurement.

21

Type de profil Description du profil Étendue du rôle

Opérateur en lecture seule Possibilité d'afficher des alertes et d'accéder à des affichages en fonction de l'étendue configurée.

L'étendue peut être limitée à celle de tout groupe ou affichage actuellement présents ou importés ultérieurement.

Opérateur de rapports Possibilité d'afficher des rapports en fonction de l'étendue configurée.

Étendue définie globalement.

Administrateur de sécurité des rapports

Permet l'intégration de la sécurité de SQL Reporting Services aux rôles d'Operations Manager.

Aucune étendue.

Important Si l'on ajoute un compte d'ordinateur à un membre d'un rôle d'utilisateur, tous les services de cet ordinateur peuvent alors avoir accès au Kit de développement logiciel (SDK). Il est déconseillé d'ajouter un compte d'ordinateur à un rôle d'utilisateur.

Vous pouvez ajouter des groupes de sécurité Active Directory ou des comptes individuels à n'importe lequel de ces rôles prédéfinis, à l'exception du rôle Administrateur. Vous ne pouvez ajouter des Groupes de sécurité Active Directory qu'au rôle Administrateur.

Si vous ajoutez des utilisateurs ou un groupe à un rôle, ces personnes pourront exercer les privilèges du rôle en question sur tous les objets limités par l'étendue (y compris les objets hérités).

Remarque L'étendue des rôles prédéfinis est définie de manière globale, ce qui leur donne accès à l'ensemble des groupes, affichages, cibles et tâches, sauf pour l'Administrateur de sécurité des rapports.

Operations Manager vous permet également de créer des rôles personnalisés, basés sur les profils Opérateur, Opérateur en lecture seule, Auteur et Opérateur Avancé. Lorsque vous créez le rôle, vous pouvez réduire l'étendue des groupes, tâches et affichages auxquels le rôle a accès. Par exemple, vous pouvez créer le rôle « Opérateur Exchange » et limiter l'étendue aux groupes, affichages et tâches se rapportant à Exchange. Les comptes d'utilisateur affectés à ce rôle pourront uniquement exécuter des actions de niveau Opérateur sur des objets associés à Exchange.

Important Veillez à créer un groupe de sécurité de domaine pour le rôle Administrateurs Operations Manager. Il est nécessaire que ce groupe soit en place lors de la première phase d'installation d'un groupe d'administration.

22

Pour plus d'informations sur l'administration des rôles, des comptes et des profils de sécurité dans Operations Manager 2007, voir la rubrique Procédure d'administration des rôles, des comptes et des profils de sécurité dans Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=88131) (éventuellement en anglais).

Run As Accounts and Run As Profiles in Operations Manager 2007 (Profils d'identification et comptes d'identification dans Operations Manager 2007)Pour pouvoir exécuter sur un ordinateur cible des règles, tâches, analyses et détections définies dans un pack d'administration, il est nécessaire de fournir des informations d'identification. Par défaut, les règles, tâches, analyses et détections s'exécutent en utilisant le compte d'action par défaut de l'agent ou du serveur. Par exemple, si l'action est exécutée sur un agent, les informations d'identification utilisées pour l'action proviennent du compte d'action d'agent. Pour plus d'informations sur le compte d'action, voir Informations de compte pour Operations Manager 2007 dans ce guide.

Les comptes et profils d'identification vous permettent d'exécuter diverses règles, tâches, analyses ou détections à l'aide de comptes différents sur plusieurs ordinateurs. Les packs d'administration ne partagent plus la même identité et vous permettent par conséquent d'utiliser un compte à privilèges limités pour votre compte d'action. Les comptes d'identification prennent en charge les types de compte suivants :

Windows : informations d'identification Windows, par exemple, domaine\nom d'utilisateur, ou nom d'utilisateur@NomDeDomaineComplet et le mot de passe associé

Chaîne de communauté : chaîne de communauté SNMP version 2

Authentification de base : authentification Web de base standard

Authentification simple : toute combinaison générique d'un nom d’utilisateur et d'un mot de passe, par exemple, formulaire Web, Authentification SQL ou autre acceptant un nom d’utilisateur et un mot de passe

Authentification Digest : authentification Web digest standard

Authentification binaire : authentification définie par l’utilisateur

Compte d'action : informations d'identification Windows qui ne peuvent être attribuées qu'au profil de compte d'action

Un compte d'identification vous permet de spécifier les privilèges nécessaires pour utilisation avec des règles, tâches, analyses et détections ciblées pour des ordinateurs spécifiques en fonction des besoins.

Les données des informations d'identification sont chiffrées avant d'être transférées du serveur d'administration racine à l'ordinateur cible où elles sont stockées de façon sûre.

Il est possible d'associer une tâche, une règle, une analyse ou une détection particulière à un profil d'identification. Cette association se fait lors de la création du pack d'administration.

23



L'administrateur Operations Manager peut associer d'autres comptes d'identification pour un profil d'identification particulier sur un ordinateur cible.

Par exemple, Alice travaille sur un pack d'administration SQL et crée une tâche Obtenir les statistiques de la BD. Alice sait que le compte d'action n'a pas de droits suffisant pour exécuter cette tâche ; toutefois, Bob, l'administrateur SQL, possède de tels droits. Alice doit configurer la tâche pour l'exécuter en utilisant les informations d'identification de Bob.

Tout en créant le pack d'administration, Sam crée un profil d'identification appelé Opérateurs de BD et il l'associe au module tâche. Lorsque le pack d'administration SQL contenant la tâche Obtenir les statistiques de la BD est importé dans Operations Manager 2007, le profil d'identification associé à la tâche est inclus dans l'importation et des opérateurs de BD s'affichent dans la liste des profils d'identification disponibles.

L'administrateur Operations Manager 2007 va créer un compte d'identification configuré avec les informations d'identification d'Alice. Le compte d'identification est ensuite associé au profil d'identification qui sera utilisé par la tâche. L'ordinateur cible sur lequel le compte d'identification sera utilisé est spécifié explicitement dans le profil d'identification.

Remarque Le compte par défaut pour le profil d'identification est le compte d'action. Réfléchissez à ce que devrait être le compte d'action et choisissez un compte ayant les autorisations appropriées. Dans la plupart des cas, un administrateur de domaine ne serait pas un bon choix.

Les administrateurs Operations Manager 2007 peuvent associer différents comptes d'identification pour différents ordinateurs cibles à chaque profil d'identification. Cette association est utile dans les cas où le profil d'identification est utilisé sur plusieurs ordinateurs et où chaque ordinateur nécessite des informations d'identification différentes. Alice a des droits d'utilisateur pour exécuter la tâche sur l'ordinateur 1 exécutant SQL Server, alors que Bob a des droits d'utilisateur sur l'ordinateur 2 exécutant SQL Server. Dans cette situation, des comptes d'identification distincts sont créés pour Alice et pour Bob et tous deux sont associés au profil d'identification unique. Cette attribution doit être effectuée sur deux ordinateurs distincts.

Profils d'identification dans Operations Manager 2007En plus des profils d'identification que vous pouvez créer, Operations Manager 2007 comprend les profils d'identification décrits dans le tableau suivant. Ces profils sont utilisés par Operations Manager 2007 lui-même

Nom Description Compte d'identification

Compte d'affectation des agents Active Directory

Compte utilisé par le module d'affectation des agents Active Directory pour publier les paramètres d'affectation sur Active Directory.

Compte Windows système local

24


Compte d'administration d'agent automatique

Ce compte sera utilisé pour diagnostiquer automatiquement la défaillance d'agents.

Aucun

Compte d'action d'analyse client

S'il est spécifié, utilisé par Operations Manager 2007 pour exécuter tous les modules d'analyse du client. S'il n'est pas spécifié, Operations Manager 2007 utilise le compte d'action par défaut.

Aucun

Compte du groupe d'administration connecté

Compte utilisé par le pack d'administration Operations Manager pour analyser l'intégrité de la connexion aux groupes d'administration connectés.

Aucun

Compte d'entrepôt de données

Si ce compte est spécifié, il sert à exécuter toutes les règles de collecte et de synchronisation de l'entrepôt de données à la place du compte d'action par défaut. S'il n'est pas remplacé par le compte d'authentification SQL de l'entrepôt de données, les règles de collecte et de synchronisation utilisent ce compte pour se connecter aux bases de données de l'entrepôt de données via l'authentification intégrée Windows.

Aucun

Compte de déploiement des rapports de l'entrepôt de données

Les procédures de déploiement automatique des rapports de l'entrepôt de données utilisent ce compte pour exécuter diverses opérations relatives au déploiement des rapports.


Compte d'authentification SQL Server de l'entrepôt de données

Si ce compte est spécifié, les règles de collecte et de synchronisation utilisent ce nom


25


de connexion et ce mot de passe pour se connecter aux bases de données de l'entrepôt de données via une authentification SQL Server.

Compte d'action par défaut. Compte d'action par défaut du service de contrôle d'intégrité.

Les informations d'identification du compte sont fournies au moment de l'installation.

Compte d'action de mise à jour de packs d'administration

Ce compte est utilisé par le notificateur de mise à jour de packs d'administration.

Aucun

Compte de notification Compte Windows utilisé par des règles de notification. Utilisez l'adresse de messagerie de ce compte comme adresse d'expéditeur pour le courrier électronique et la messagerie instantanée.

Aucun

Compte de base de données opérationnelle

Ce compte est utilisé pour lire et écrire des informations dans la base de données OperationsManager.

Aucun

Compte d'analyse à privilèges élevés

Ce profil est utilisé pour l'analyse, laquelle ne peut être effectuée qu'avec un niveau élevé de privilèges sur un système, comme par exemple une analyse exigeant les droits d'administrateur local ou système local. Ce profil est par défaut équivalent à Système local, sauf remplacement spécifique pour un système cible.

Aucun

Compte d'authentification SQL Server du SDK Reporting

Si ce compte est spécifié, le service SDK utilise ce nom de connexion et ce mot de passe pour se connecter aux bases de


26


données de l'entrepôt de données via une authentification SQL Server.

Réservé Ce profil est réservé et ne peut pas être utilisé.

Aucun

Compte de validation d'abonnement d'alerte

Compte utilisé par le module de validation d'abonnements d'alerte qui valide le fait que les abonnements de notification sont en règle. Ce profil requiert des droits d'administrateur.

Compte Windows système local

Compte d'action de cluster Windows

Ce profil est utilisé pour toutes les détections et les analyses des composants cluster Windows. Sauf s'il est spécifiquement renseigné par l'utilisateur, ce profil correspond par défaut aux comptes d'action utilisés.

Aucun

Compte d'action WS-Management

Ce profil est utilisé pour accéder à WS-Management.

Aucun

Profils d'identification et comptes d'identification dans Operations Manager 2007Avec la diffusion d'Operations Manager 2007 R2, les caractéristiques supplémentaires suivantes ont été ajoutées aux comptes et profils d'identification : distribution et orientation. Les sections suivantes donnent des explications sur la distribution et l'orientation ainsi que sur l'incidence de ces caractéristiques sur la sécurité.

Présentation de la distribution et de l'orientationLa distribution et l'orientation d'un compte d'identification doivent être correctement configurées pour que le profil d'identification fonctionne correctement.

Lorsque vous configurez un profil d'identification, vous sélectionnez les comptes d'identification que vous souhaitez lui associer. Après avoir créé cette association, vous pouvez spécifier la classe, le groupe ou l'objet pour lequel le compte d'identification doit être utilisé pour exécuter les tâches, règles, analyses et détections.

27

La distribution est un attribut d'un compte d'identification ; elle vous permet de spécifier les ordinateurs qui recevront les informations d'identification du compte d'identification. Vous pouvez choisir de distribuer les informations d'identification du compte d'identification à tous les ordinateurs gérés par agent ou uniquement à certains ordinateurs.

Exemple d'orientation d'un compte d'identification : L'ordinateur physique ABC héberge deux instances de Microsoft SQL Server : l'instance X et l'instance Y. Chaque instance utilise des informations d'identification différentes pour le compte sa . Vous créez un compte d'identification avec les informations d'identification sa pour l'instance X et un compte d'identification différent avec les informations d'identification sa pour l'instance Y. Lorsque vous configurez le profil d'identification SQL Server, vous associez au profil les informations d'identification du compte d'identification, par exemple X et Y, et vous spécifiez que les informations d'identification de l'instance X du compte d'identification doivent être utilisées pour l'instance X de SQL Server et que les informations d'identification de l'instance Y du compte d'identification doivent être utilisées pour l'instance Y de SQL Server. Ensuite, vous devez également configurer chaque jeu d'informations d'identification du compte d'identification à distribuer à l'ordinateur physique ABC.

Exemple de distribution d'un compte d'identification : SQL Server1 et SQL Server2 sont deux ordinateurs physiques différents. SQL Server1 utilise le jeu d'informations d'identification NomUtilisateur1 et MotPasse1 pour le compte SQL sa . SQL Server2 utilise les informations d'identification NomUtilisateur2 et MotPasse2 pour le compte SQL sa . Le pack d'administration SQL possède un seul profil d'identification SQL qui est utilisé pour tous les serveurs SQL Server. Vous pouvez définir ensuite un compte d'identification pour les informations d'identification NomUtilisateur1 et un autre compte d'identification pour les informations d'identification NomUtilisateur2. Ces deux comptes d'identification peuvent être associés au profil d'identification SQL Server et être configurés afin d'être distribués aux ordinateurs appropriés : à savoir que NomUtilisateur1 est distribué à SQL Server1 et NomUtilisateur2 à SQL Server2. Les informations de compte qui transitent entre le serveur d'administration et l'ordinateur désigné sont cryptées.

Sécurité du compte d'identificationDans Operations Manager 2007 SP1, les informations d'identification du compte d'identification sont distribuées à tous les ordinateurs gérés par agent (option la moins sécurisée). Dans Operations Manager 2007 SP2, les informations d'identification du compte d'identification ne sont distribuées qu'aux ordinateurs que vous spécifiez (option la plus sécurisée). Si Operations Manager distribuait automatiquement le compte d'identification en fonction des détections, cela introduirait un risque de sécurité dans votre environnement, comme illustré dans l'exemple suivant. Pour cette raison, aucune option de distribution automatique n'a été intégrée à Operations Manager.

Par exemple, Operations Manager 2007 identifie un ordinateur qui héberge SQL Server 2005 en fonction de la présence d'une clé de registre. Il est possible de créer cette même clé de registre sur un ordinateur qui n'exécute pas une instance de SQL Server 2005. Si Operations Manager devait distribuer automatiquement les informations d'identification à tous les ordinateurs gérés par agent qui ont été identifiés comme étant des ordinateurs SQL Server 2005, ces informations

28

d'identification seraient envoyées au serveur SQL Server imposteur et pourraient être utilisées par un utilisateur doté de droits d'administration sur ce serveur.

Lorsque vous créez un compte d'identification en utilisant Operations Manager 2007 R2, vous êtes invité à choisir le mode de traitement du compte d'identification parmi les options Moins sécurisé et Plus sécurisé. « Plus sécurisé » signifie que lorsque vous associez le compte d'identification au profil d'identification, vous devez fournir les noms des ordinateurs spécifiques auxquels vous souhaitez distribuer les informations d'identification. En identifiant les ordinateurs de destination, vous pouvez éviter le scénario de falsification décrit plus haut. Si vous optez pour un traitement moins sécurisé, vous n'aurez pas à indiquer d'ordinateurs spécifiques et les informations d'identification seront distribuées à tous les ordinateurs gérés par agent.

Remarque Avec toutes les versions d'Operations Manager 2007, les informations d'identification que vous avez sélectionnées pour le compte d'identification doivent posséder des droits d'ouverture de session locale. Dans le cas contraire, le module échouera.

Voir aussiInformations de compte pour Operations Manager 2007

Sécurité basée sur les rôles dans Operations Manager 2007

Procédure de création d'un compte d'identification dans Operations Manager 2007Cette procédure décrit la création d'un Compte d'identification, à l'aide d'un ensemble d'informations d'identification Windows, par exemple. Elle explique ensuite comment modifier les propriétés du Compte d'identification afin de modifier le niveau de sécurité et la distribution des informations d'identification. La même procédure est utilisable pour tous les autres types de compte. Pour plus d'informations sur les autres types de comptes, voir Types d'informations d'identification dans Operations Manager 2007.

Les informations d'identification que vous fournissez dans un compte d'identification permettent d'exécuter des tâches, des règles, des analyses et des détections telles qu'elles sont définies dans leur pack d'administration. Le guide du pack d'administration indique les paramètres dont vous avez besoin pour configurer le compte d'identification et le profil d'identification.


2. Dans la console Opérateur, cliquez sur Administration.

3. Dans le volet Administration, développez Administration, développez Configuration d'identification, cliquez avec le bouton droit sur Comptes, puis cliquez sur Créer un compte d'identification....

4. Dans l'Assistant Créer un compte d'identification, dans la page Introduction, cliquez

Pour créer un compte d'identification

29

sur Suivant.5. Dans la page Propriétés générales, procédez comme suit :

a. Sélectionnez Windows dans la liste Type de compte d'identification : .b. Tapez un nom complet dans la zone de texte Nom complet. c. Le cas échéant, tapez une description dans la zone de texte Description.

d. Cliquez sur Suivant.6. Dans la page Informations d'identification, tapez un nom d'utilisateur et son mot de

passe, puis sélectionnez le domaine pour le compte que vous souhaitez faire membre de ce compte d'identification.

7. Cliquez sur Suivant.8. Dans la page Sécurité de distribution, sélectionnez l'option Moins sécurisé ou Plus

sécurisé, selon le cas.

9. Cliquez sur Créer.10. Sur la page Progression de la création du compte d'identification, cliquez sur

Fermer.

En créant un compte d'identification, vous êtes averti que vous devez l'associer à un profil d'identification mais l'option de configuration de la distribution des informations d'identification de ce compte ne vous est pas proposée. Ces deux activités sont réalisables dans l'assistant Profil d'identification. Vous pouvez également configurer la distribution des informations d'identification du compte d'identification en modifiant les propriétés de celui-ci comme indiqué ci-après.


2. Dans le volet Administration, développez le nœud Administration, développez le nœud Configuration d'identification et sélectionnez le conteneur Comptes.

3. Dans le volet de résultats, double-cliquez sur le compte d'identification à modifier afin d'ouvrir ses propriétés.

4. Les valeurs sont modifiables sous les onglets Propriétés générales, Informations d'identification et Distribution de la page Propriétés du compte d'identification. Dans ce cas, sélectionnez l'onglet Distribution.

5. Dans la zone Ordinateurs sélectionnés : sous l'onglet Distribution , cliquez sur Ajouter pour ouvrir la boîte de dialogue Recherche d'ordinateurs.

6. Dans la page Nom du service, cliquez sur la liste Option : et sélectionnez l'une des options suivantes :

a. Rechercher par nom d'ordinateur (par défaut), puis tapez le nom d'ordinateur dans la zone Filtrer par : (facultatif).

b. Afficher les ordinateurs suggérés ; si vous avez déjà associé le compte d'identification à un profil d'identification, une liste d'ordinateurs détectés qui

Pour modifier les propriétés du compte d'identification

30

hébergent le service analysé s'affiche ici.

c. Afficher les serveurs d'administration ; dans certains cas, par exemple, lors de l'analyse entre plates-formes, l'analyse est réalisée en totalité par le serveur d'administration, ce qui signifie que les informations d'identification doivent lui être distribuées.

7. Le cas échéant, tapez une valeur dans la zone Filtrer par : (facultatif) pour affiner les résultats de recherche, puis cliquez sur Rechercher. La liste d'ordinateurs correspondant aux critères de recherche s'affiche dans la zone Éléments disponibles.

8. Sélectionnez les ordinateurs auxquels vous souhaitez distribuer les informations d'identification, puis cliquez sur Ajouter. Les ordinateurs figurent dans la zone Éléments sélectionnés.

9. Cliquez sur OK. Sous l'onglet Distribution apparaît alors la liste des ordinateurs. Cliquez sur OK.

Voir aussiProcédure de création et de configuration d'un profil d'identification dans Operations Manager 2007

Procédure de création et de configuration d'un profil d'identification dans Operations Manager 2007Le processus de création et de configuration d'un profil d'identification personnalisé comprend quatre étapes :

1. Identification de la classe, du groupe ou des objets auxquels le compte d'identification sera appliqué.

2. Création et configuration des comptes d'identification.

3. Association des comptes d'identification avec le profil d'identification.

4. Configuration de la distribution des informations d'identification de l'objet Compte d'identification vers des ordinateurs spécifiques.

Cette procédure peut être utilisée pour créer et configurer un nouveau profil d'identification ; vous pouvez également utiliser la section de configuration pour modifier ou configurer les profils d'identification préexistants dans votre groupe d'administration. Cette procédure suppose que vous n'avez pas encore créé d'objet Compte d'identification.

1. Connectez-vous à la console Opérateur avec un compte membre du rôle Administrateurs Operations Manager, pour le groupe d'administration Operations Manager 2007.


3. Dans le volet Administration, développez Administration, développez Exécuter en tant que > Configuration, puis cliquez sur le conteneur Profils. Cliquez avec le bouton droit

Pour créer un profil d'identification

31

sur le volet Résultats, puis cliquez sur Créer un profil d'identification. Si vous naviguez pour la première fois dans l'Assistant Création de profil d'identification, n'oubliez pas de lire la page Introduction.

4. Cliquez sur Suivant. 5. Dans la page Propriétés générales, procédez comme suit :

a. Tapez un nom pour le profil d'identification dans la zone Nom d'affichage.

b. Entrez éventuellement une description du profil d'identification.

c. Cliquez sur Nouveau en regard de la liste Sélectionnez le pack d'administration de destination pour créer un pack d'administration de remplacement si vous n'en avez pas déjà créé un. Si vous avez déjà créé un pack d'administration de remplacement, sélectionnez-le dans la liste déroulante et passez à l'étape 9.

6. Dans l'Assistant Créer un pack d'administration de la page Propriétés générales, entrez un nom dans la zone Nom. Entrez éventuellement une description du pack d'administration. Cliquez ensuite sur Suivant.

Conseil Par défaut, lorsque vous créez un objet du pack d'administration, désactivez une règle ou une analyse ou créez un remplacement, Operations Manager enregistre le paramètre dans le pack d'administration par défaut. Nous vous recommandons de créer un pack d'administration distinct pour chaque pack d'administration scellé que vous souhaitez personnaliser, plutôt que d'enregistrer les paramètres personnalisés dans le pack d'administration par défaut. Pour plus d'informations, voir Personnalisation des packs d'administration http://go.microsoft.com/fwlink/?LinkId=140601 (peut être en anglais)

7. Dans la page Article de base de connaissances, cliquez sur Modifier si vous souhaitez ajouter un résumé, des informations de configuration, des informations complémentaires et des informations de sources externes sur ce pack d'administration.

8. Cliquez sur Créer. Cette opération vous renvoie à la page Propriétés générales de l'Assistant Profil d'identification.

9. Cliquez sur Suivant. 10. Dans la page Comptes d'identification, cliquez sur Ajouter pour ouvrir la page Ajouter

un compte d'identification.

11. Cliquez sur Nouveau pour démarrer l'Assistant Création de compte d'identification et ouvrir la page Propriétés générales.

12. Dans la zone Type de compte d'identification, sélectionnez le type de compte que vous souhaitez créer. Vous trouverez plus d'informations à ce sujet dans le guide du pack d'administration.

13. Tapez un nom dans la zone Nom d'affichage, entrez éventuellement une description, puis cliquez sur Suivant.

32



14. Dans la page Informations d'identification, tapez le nom d'utilisateur et le mot de passe des informations d'identification que vous souhaitez utiliser pour le profil d'identification respectivement dans les zones Nom d'utilisateur, Mot de passe et Confirmer le mot de passe.

15. Assurez-vous que le domaine adéquat est sélectionné pour les informations d'identification dans la liste Domaine. Cliquez sur Suivant.

16. Dans la page Sécurité de la distribution, sélectionnez l'option Moins sécurisé ou Plus sécurisé conformément aux instructions du guide du pack d'administration. Notez que si vous choisissez l'option Moins sécurisé, les informations d'identification sont accessibles aux administrateurs de tous les ordinateurs destinataires. Pour plus d'informations sur la sécurité de la distribution des informations d'identification, voir Profils d'identification et comptes d'identification dans Operations Manager 2007.

17. Cliquez sur Créer. 18. Dans la page Progression de la création du compte d'identification, une fois la

création terminée, lisez la note d'avertissement, puis cliquez sur Fermer. Cette opération vous renvoie à la page Ajouter un compte d'identification.

19. Dans la zone Ce compte d'identification sera utilisé pour gérer les objets suivants, sélectionnez Tous les objets ciblés ou Une classe, un groupe ou un objet sélectionné(e), conformément aux valeurs indiquées dans votre guide du pack d'administration.

20. Si la zone Une classe, un groupe ou un objet sélectionné(e) est pré-remplie avec une valeur, cliquez sur OK ; sinon, cliquez sur Sélectionner et choisissez Classe, Groupe ou Objet conformément aux instructions de votre guide du pack d'administration. Cette opération ouvre respectivement la page Recherche de classes, Recherche de groupes ou Recherche d'objets.

21. Dans l'outil de recherche, tapez votre recherche ou vos critères de filtre, puis cliquez sur Rechercher. Les résultats s'affichent dans la zone Éléments disponibles.

22. Sélectionnez l'élément qui sera utilisé pour gérer le compte d'identification, puis cliquez sur OK.

23. Cliquez sur OK. Cette opération vous renvoie à la page Comptes d'identification de l'Assistant Création de profil d'identification.

24. Pour ajouter des profils d'identification supplémentaires, cliquez de nouveau sur Ajouter et répétez les étapes 10 à 23 ; sinon, cliquez sur Créer.

Remarque Cette procédure suppose que vous avez sélectionné l'option Plus sécurisé et présente les étapes restantes dans l'ordre. Si vous avez sélectionné l'option Moins sécurisé, passez à l'étape 29.

25. Dans la page Achèvement de l'Assistant Création de profil d'identification, tous les comptes d'identification configurés avec le paramètre Plus sécurisé s'affichent sous forme de liens. Il est désormais nécessaire de sélectionner individuellement chaque

33

compte d'identification et de configurer la distribution des informations d'identification.

26. Double-cliquez sur un compte ; cette opération ouvre la page Propriétés du compte d'identification dans l'onglet Distribution. Le niveau de sécurité sélectionné s'affiche, ainsi que les Ordinateurs sélectionnés. Ces deux éléments peuvent être modifiés dans cet onglet.

27. Cliquez sur Ajouter dans la zone Ordinateurs sélectionnés, puis procédez comme suit :

a. Sélectionnez Rechercher par nom d'ordinateur (par défaut), Afficher les ordinateurs suggérés ou Afficher les serveurs d'administration.

b. Tapez éventuellement une valeur dans la zone Filtrer par : (facultatif). c. Cliquez sur Rechercher. Les résultats s'affichent dans la zone Éléments

disponibles.

d. Sélectionnez les ordinateurs qui vous conviennent dans la liste, puis cliquez sur Ajouter. Cette opération ajoute les ordinateurs sélectionnés dans la zone Objets sélectionnés.

e. Cliquez sur OK.

28. Cliquez sur OK. Cette opération vous renvoie à la page Achèvement de l'Assistant Création de profil d'identification. Une coche verte apparaît en regard des comptes pour lesquels vous avez configuré avec succès la distribution.

29. Cliquez sur Fermer.

Voir aussiProcédure de création d'un compte d'identification dans Operations Manager 2007

Procédure de modification d'un profil d'identification existant

Procédure de modification d'un profil d'identification existantVous avez peut-être créé les profils d'identification préexistants à l'aide de la section Procédure de création et de configuration d'un profil d'identification ou ils ont peut-être été créés lors de l'importation d'un pack d'administration qui en contenait un. Utilisez cette procédure pour modifier les propriétés d'un profil d'identification existant.

1. Ouvrez la console Opérateurs avec un compte membre du rôle Administrateurs Operations Manager 2007.

2. Sélectionnez l'affichage Administration.

3. Dans le volet de navigation de l'affichage Administration, sélectionnez le conteneur Profils.

4. Dans le volet des résultats, double-cliquez sur le profil dont vous souhaitez modifier les propriétés. L'Assistant Profil d'identification qui s'ouvre contient les paramètres

Procédure de modification d'un profil d'identification existant

34

précédemment configurés.

5. Dans la page Propriétés générales, vous pouvez modifier la valeur des champs Nom d'affichage et Description.

6. Cliquez sur Suivant. 7. Dans la page Comptes d'identification, vous pouvez ajouter des comptes

d'identification supplémentaires, modifier les paramètres des comptes existants et supprimez les comptes d'identification qui ne doivent plus être associés au profil d'identification.

8. Une fois vos modifications effectuées, cliquez sur Enregistrer. 9. Dans la page Achèvement, dans la zone Comptes d'identification plus sécurisés :,

vous devez sélectionner chaque compte un à un et configurer la distribution des informations d'identification pour chaque compte d'identification. Pour plus d'informations sur la configuration de la distribution des informations d'identification du compte d'identification, voir : Procédure de création et de configuration d'un profil d'identification dans Operations Manager 2007

10. Une fois la configuration de la distribution effectuée, cliquez sur Fermer.

Authentification et chiffrement des données pour les ordinateurs Windows dans Operations Manager 2007Operations Manager 2007 comprend des composants tels que le serveur d'administration racine, le serveur d'administration, le serveur de passerelle, le serveur de rapports, la base de données OperationsManager, l'entrepôt de données de rapports, l'agent, la console Web et la console Opérateur. Cette section explique comment se fait l'authentification et identifie les canaux de connexion dans lesquels les données sont chiffrées.

Authentification basée sur un certificatLorsqu'un agent Operations Manager et le serveur d'administration sont séparés par une forêt non approuvée ou une limite de groupe de travail, il est nécessaire d'implémenter une authentification basée sur un certificat. Les sections suivantes donnent des informations sur ces situations ainsi que les procédures spécifiques pour l'obtention et l'installation de certificats à partir d'autorités de certification Windows.

Établissement de la communication entre les agents et les serveurs d'administration dans les mêmes limites d'approbationUn agent et le serveur d'administration utilisent l'authentification Windows pour s'authentifier mutuellement avant que le serveur d'administration n'accepte des données de l'agent. Le

35

protocole Kerberos version 5 constitue la méthode par défaut pour fournir l'authentification. Pour que l'authentification mutuelle Kerberos fonctionne, il est nécessaire d'installer les agents et le serveur d'administration dans un domaine Active Directory. Si un agent et un serveur d'administration sont dans des domaines séparés, une approbation totale doit exister entre les domaines. Dans ce scénario, lorsque l'authentification mutuelle a eu lieu, le canal de données entre l'agent et le serveur d'administration est chiffré. Aucune intervention de l'utilisateur n'est requise pour réaliser l'authentification et le chiffrage.

Établissement de la communication entre les agents et les serveurs d'administration en franchissant les limites d'approbationUn ou plusieurs agents pourraient être déployés dans un domaine (domaine B) séparé du serveur d'administration (domaine A), et il n'existerait pas d'approbation bidirectionnelle entre les domaines. Étant donné qu'il n'y a pas d'approbation entre les deux domaines, les agents d'un domaine ne peuvent pas s'authentifier auprès du serveur d'administration dans l'autre domaine à l'aide du protocole Kerberos. L'authentification mutuelle entre les composants Operations Manager 2007 au sein de chaque domaine se produit toujours.

Une solution à cette situation consiste à installer un serveur de passerelle dans le domaine dans lequel résident les agents, puis à installer des certificats sur le serveur de passerelle et sur le serveur d'administration pour obtenir une authentification mutuelle et un chiffrement des données. L'utilisation du serveur de passerelle signifie que vous avez besoin d'un seul certificat dans le domaine B et d'un seul port à travers le pare-feu, comme représenté dans l'illustration suivante.

Pour plus d'informations, voir les rubriques suivantes de ce guide de sécurité :

Procédure d'obtention d'un certificat à l'aide de l'autorité de certification d'entreprise de Windows Server 2003 dans Operations Manager 2007

Procédure d'obtention d'un certificat à l'aide d'une autorité de certification autonome de Windows Server 2003 dans Operations Manager 2007



36

Établissement de la communication à travers un domaine – Limite du groupe de travailDans votre environnement, vous pouvez avoir un ou deux agents déployés dans un groupe de travail à l'intérieur de votre pare-feu. L'agent du groupe de travail ne peut pas s'authentifier auprès du serveur d'administration dans le domaine utilisant le protocole Kerberos. Une solution à cette situation consiste à installer des certificats sur l'ordinateur qui héberge l'agent et sur le serveur d'administration auquel celui-ci se connecte, comme représenté dans l'illustration suivante.

Remarque Dans ce scénario, l'agent doit être installé manuellement.

Procédez comme suit sur l'ordinateur qui héberge l'agent et le serveur d'administration en utilisant la même autorité de certification (CA) pour chacun :

Demandez les certificats à l'autorité de certification.

Approuvez les demandes de certificat au niveau de l'autorité de certification.

Installez les certificats approuvés dans les magasins de certificats de l'ordinateur.

Utilisez l'outil MOMCertImport pour configurer Operations Manager 2007.

Il s'agit de la même procédure que pour installer des certificats sur un serveur de passerelle, à l'exception du fait que vous n'installez pas ou n'exécutez pas l'outil d'approbation de la passerelle. Pour plus d'informations, voir les rubriques suivantes de ce guide de sécurité :





37

Assistant Certificate Generation (Génération de certificats)Les étapes nécessaires pour générer, récupérer et installer des certificats figurent dans ce guide de sécurité. Un Assistant Certificate Generation permet de simplifier ce processus. Pour plus d'informations, voir le billet de blog Obtaining Certificates for Non-Domain Joined Agents Made Easy With Certificate Generation Wizard (obtention aisée de certificats pour des agents joints hors domaine avec l'Assistant Certificate Generation) (http://go.microsoft.com/fwlink/?LinkId=128392).

Remarque L'Assistant Certificate Generation est fourni « en l'état », sans aucune garantie, et il ne confère aucun droit. L'utilisation de cet utilitaire fait l'objet de clauses figurant sur la page http://www.microsoft.com/info/cpyright.htm

Confirmer l'installation du certificatSi vous avez correctement installé le certificat, l'événement suivant est consigné dans le journal des événements d'Operations Manager.

Niveau Source ID de l'événement Général

Informations Connecteur OpsMgr 20053 Le connecteur OpsMgr a chargé avec succès le certificat d'authentification spécifié.

Pendant l'installation d'un certificat, vous exécutez l'outil MOMCertImport. Lorsque l'outil MOMCertImport a terminé, le numéro de série du certificat que vous avez importé est consigné dans la sous-clé de Registre suivante.

Attention Une modification incorrecte du Registre peut endommager gravement votre système. Par conséquent, avant d’apporter des modifications au Registre, sauvegardez toutes les données importantes présentes sur l'ordinateur.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings

Authentification et chiffrement des données entre serveur d'administration racine, serveur d'administration, serveur de passerelle et agentsLa communication entre ces composants d'Operations Manager commence avec l'authentification mutuelle. Si des certificats sont présents des deux côtés du canal de communications, ils seront utilisés pour l'authentification mutuelle ; sinon, le protocole Kerberos

38

http://www.microsoft.com/info/cpyright.htm




version 5 est utilisé. Si deux composants sont séparés à travers un domaine non approuvé, l'authentification mutuelle doit être effectuée à l'aide de certificats.

Les communications normales, comme les événements, les alertes et le déploiement d'un pack d'administration, s'effectuent sur ce canal. L'illustration précédente montre un exemple d'une alerte générée sur l'un des agents et réacheminée vers le serveur d'administration racine (RMS). Entre l'agent et le serveur de passerelle, le package de sécurité Kerberos est utilisé pour chiffrer les données car le serveur de passerelle et l'agent se trouvent dans le même domaine. L'alerte est déchiffrée par le serveur de passerelle puis de nouveau chiffrée en utilisant les certificats du serveur d'administration. Une fois l'alerte reçue par le serveur d'administration, celui-ci déchiffre le message, le rechiffre en utilisant le protocole Kerberos puis l'envoie au serveur d'administration racine où ce dernier déchiffre l'alerte.

Une partie de la communication entre le serveur d'administration racine et l'agent peut comprendre des informations d'identification, par exemple des données et des tâches de configuration. Le canal de données entre l'agent et le serveur d'administration ajoute une autre couche de chiffrage en plus du chiffrage normal du canal. Aucune intervention de l'utilisateur n'est requise.

Serveur d'administration racine et base de données OperationsManagerLes informations de compte d'identification sont stockées sous forme chiffrée dans la base de données OperationsManager au moyen d'une paire de clés symétriques créées par Operations Manager 2007. Si le serveur d'administration racine (RMS) devait être remplacé, le nouveau serveur d'administration racine ne pourrait pas lire de données chiffrées dans la base de données. L'utilitaire SecureStorageBackup, fourni avec Operations Manager 2007, permet de sauvegarder et de restaurer cette clé de chiffrement.

Important Exécutez l'utilitaire SecureStorageBackup pour exporter la clé du serveur d'administration racine à des fins de sauvegarde. Sans sauvegarde de la clé du serveur d'administration racine, il vous faudrait entrer de nouveau tous vos comptes d'identification si vous étiez dans l'obligation de reconstruire le serveur d'administration racine. Dans les environnements de grande taille, cette opération peut concerner des centaines de comptes. Pour plus d'informations sur l'utilitaire SecureStorageBackup, voir la rubrique Procédure de sauvegarde et de restauration des clés de cryptage dans Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=87387) (éventuellement en anglais).

Pour plus d'informations sur la récupération après sinistre impliquant la perte du serveur d'administration racine avec ou sans sauvegarde de la clé de chiffrement, voir l'article de la base de connaissances intitulé La clé de chiffrement du serveur d'administration racine n'est pas disponible une fois que vous avez remplacé ou réinstallé le serveur d'administration racine dans Microsoft System Center Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=112310) (éventuellement en anglais).

39






Serveur d'administration racine et console Opérateur, serveur de console Web et serveur de rapportsL'authentification et le chiffrement des données entre le serveur d'administration racine (RMS) et la console Opérateur, le serveur de console Web ou le serveur de rapports sont effectués à l'aide de la technologie WCF (Windows Communication Foundation) (précédemment désignée par le nom de code « Indigo »). La tentative initiale d'authentification est effectuée en utilisant les informations d'identification de l'utilisateur. Le protocole Kerberos est essayé en premier. Si le protocole Kerberos ne fonctionne pas, un autre tentative est effectuée en utilisant NTLM. Si l'authentification échoue toujours, l'utilisateur est invité à fournir des informations d'identification. Une fois l'authentification effectuée, le flux de données est chiffré selon le protocole Kerberos, ou SSL si NTLM est utilisé.

Dans le cas d'un serveur de rapports et d'un serveur d'administration racine, une fois l'authentification effectuée, une connexion de données est établie entre le serveur d'administration racine et le serveur de rapports SQL Server. Ceci est accompli en utilisant strictement le protocole Kerberos ; par conséquent, le serveur d'administration racine et le serveur de rapports doivent résider dans des domaines approuvés. Pour plus d'informations sur WCF, voir l'article MSDN Qu'est-ce que Windows Communication Foundation ? (http://go.microsoft.com/fwlink/?LinkId=87429).

Serveur d'administration et entrepôt de données de rapportsDeux canaux de communication existent entre un serveur d'administration et l'entrepôt de données de rapports :

Le processus hôte d'analyse généré par le service de contrôle d'intégrité dans un serveur d'administration ou un serveur d'administration racine

Le service SDK sur le serveur d'administration racine

Processus hôte d'analyse et entrepôt de données de rapportsPar défaut, le processus hôte d'analyse généré par le service de contrôle d'intégrité, qui est chargé de consigner les événements collectés et les compteurs de performances dans le magasin de données, obtient l'authentification Windows intégrée en s'exécutant en tant que compte d'enregistreur de données, lequel a été spécifié pendant l'installation de Reporting. Les informations d'identification du compte sont stockées de façon sûre dans un compte d'identification intitulé Compte d'action d'entrepôt de données. Ce compte d'identification est membre d’un profil d'identification appelé Compte d'entrepôt de données (qui est associé aux règles de collecte réelles).

Si l'entrepôt de données de rapports et le serveur d'administration sont séparés par une limite d'approbation (par exemple s'ils résident dans des domaines différents sans approbation), l'authentification Windows intégrée ne fonctionnera pas. Pour contourner cette situation, le processus hôte d'analyse peut se connecter à l'entrepôt de données de rapports en utilisant l'authentification SQL Server. Pour cela, créez un nouveau compte d'identification (du type compte simple) avec les informations d'identification du compte SQL et faites-en un membre du

40


profil d'identification appelé Compte d'authentification SQL Server de l'entrepôt de données, avec le serveur d'administration comme ordinateur cible.

Important Par défaut, le profil d'identification, dénommé Compte d'authentification SQL Server de l'entrepôt de données, a reçu un compte spécial via l'utilisation du compte d'identification du même nom. Ne modifiez jamais le compte associé au compte d'identification dénommé Compte d'authentification SQL Server de l'entrepôt de données. Créez plutôt votre propre compte et votre propre compte d'identification et faites de ce dernier un membre du profil d'identification dénommé Compte d'authentification SQL Server de l'entrepôt de données lors de la configuration de l'authentification SQL Server.

Le texte qui suit décrit les relations des diverses informations d'identification de comptes, comptes d'identification et profils d'identification pour l'authentification Windows intégrée et l'authentification SQL Server.

Valeur par défaut : Authentification Windows intégréeProfil d'identification : compte d'entrepôt de données

Compte d'identification : compte d'action d'entrepôt de données

Informations d'identification : compte d'enregistreur de données (spécifié pendant l'installation)

Profil d'identification : compte d'authentification SQL Server de l'entrepôt de données

Compte d'identification : compte d'authentification SQL Server de l'entrepôt de données

Informations d'identification : compte spécial créé par Operations Manager (ne pas modifier)

Facultatif : authentification SQL ServerProfil d'identification : compte d'authentification SQL Server de l'entrepôt de données

Compte d'identification : un compte d'identification que vous créez.

Informations d'identification : un compte que vous créez.

Le service d'accès aux données System Center ou le Service SDK, et l'entrepôt de données de rapportsLe Service SDK que l'on trouve dans Operations Manager 2007 SP1 est renommé Service d'accès aux données System Center dans Operations Manager 2007 SP2.

Par défaut, le service d'accès aux données System Center, ou service SDK, qui est chargé de lire les données de l'entrepôt de données de rapports et de les rendre accessibles dans la zone Paramètre de rapport, obtient l'authentification Windows intégrée en s'exécutant en tant que compte de service SDK et de configuration, lequel a été défini pendant l'installation d'Operations Manager 2007.

Si l'entrepôt de données de rapports et le serveur d'administration sont séparés par une limite d'approbation (si, par exemple, ils résident dans des domaines différents sans approbation), l'authentification Windows intégrée ne fonctionnera pas. Pour contourner cette situation, le

41

service d'accès aux données System Center ou le service SDK peut se connecter à l'entrepôt de données de rapports en utilisant l'authentification SQL Server. Pour cela, créez un nouveau compte d'identification (du type compte simple) avec les informations d'identification du compte SQL et faites-en un membre du profil d'identification appelé Compte d'authentification SQL Server du SDK Reporting, avec le serveur d'administration comme ordinateur cible.

Important Par défaut, le profil d'identification, dénommé Compte d'authentification SQL Server du SDK Reporting a reçu un compte spécial via l'utilisation du compte d'identification du même nom. Ne modifiez jamais le compte associé au compte d'identification dénommé Compte d'authentification SQL Server du SDK Reporting. Créez plutôt votre propre compte et votre propre compte d'identification et faites de ce dernier un membre du profil d'identification dénommé Compte d'authentification SQL Server du SDK Reporting lors de la configuration de l'authentification SQL Server.

Le texte qui suit décrit les relations des diverses informations d'identification de comptes, comptes d'identification et profils d'identification pour l'authentification Windows intégrée et l'authentification SQL Server.

Valeur par défaut : authentification Windows intégréeCompte de service SDK et de configuration (défini pendant l'installation d'Operations Manager)

Profil d'identification : compte d'authentification SQL Server du SDK Reporting

Compte d'identification : compte d'authentification SQL Server du SDK Reporting

Informations d'identification : compte spécial créé par Operations Manager (ne pas modifier)

Facultatif : authentification SQL ServerProfil d'identification : compte d'authentification SQL Server de l'entrepôt de données

Compte d'identification : un compte d'identification que vous créez.

Informations d'identification : un compte que vous créez.

Console Opérateur et serveur de rapportsLa console Opérateur se connecte au serveur de rapports sur le port 80 en utilisant HTTP. L'authentification est effectuée en utilisant l'authentification Windows. Les données peuvent être chiffrées par l'utilisation du canal SSL. Pour plus d'informations sur l'utilisation de SSL entre la console Opérateur et le serveur de rapports, voir Procédure de configuration de la console Opérateur pour utiliser SSL lors de la connexion à un serveur de rapports dans Operations Manager 2007 plus loin dans le guide de sécurité.

Serveur de rapports et entrepôt de données de rapportsL'authentification entre le serveur de rapports et l'entrepôt de données de rapports est effectuée en utilisant l'authentification Windows. Le compte qui avait été spécifié comme compte de lecteur de données pendant l'installation de l'application de rapports devient le compte d'exécution sur le

42

serveur de rapports. Si le mot de passe du compte doit être modifié, vous devrez effectuer la même modification de mot de passe en utilisant le Gestionnaire de configuration de Reporting Services dans SQL Server 2005. Pour plus d'informations sur la réinitialisation de ce mot de passe, voir Procédure de modification du mot de passe du compte d'exécution du serveur de rapports dans Operations Manager 2007. Les données entre le serveur de rapports et l'entrepôt de données de rapports ne sont pas chiffrées.


Procédure de configuration de la console Opérateur pour utiliser SSL lors de la connexion à un serveur de rapports dans Operations Manager 2007





Procédure de suppression de certificats importés avec MOMCertImport dans Operations Manager 2007

Procédure de configuration de la console Opérateur pour utiliser SSL lors de la connexion à un serveur de rapports dans Operations Manager 2007Avant de pouvoir configurer la console Opérateur pour utiliser SSL lors de la connexion à un serveur de rapports, vous devez d'abord installer un certificat SSL sur IIS puis configurer la console Opérateur pour utiliser SSL.

Sur le serveur de rapports, démarrez le Gestionnaire des services Internet (IIS) pour demander et installer un certificat SSL. Pour plus d'informations sur la procédure à suivre pour implémenter SSL dans IIS, voir l'article de la base de connaissances Comment faire pour implémenter SSL dans IIS (http://go.microsoft.com/fwlink/?LinkId=87862).

Utilisez la procédure suivante pour configurer la console Opérateur pour utiliser SSL.


2. Dans la console Opérateur, cliquez sur le bouton Administration.

Pour configurer la console Opérateur pour utiliser SSL

43




3. Dans le volet Administration, développez successivement Administration, Gestion des périphériques puis cliquez sur Paramètres.

4. Dans le volet Paramètres, cliquez avec le bouton droit sur Rapports, puis cliquez sur Propriétés.

5. Dans l'onglet Général, sous Paramètres du serveur de rapports, cliquez sur la liste déroulante URL du serveur de rapports et sélectionnez https://.

6. Modifiez l'URL en remplaçant :80 par :443, puis cliquez sur OK.

Voir aussiProcédure d'obtention d'un certificat à l'aide de l'autorité de certification d'entreprise de Windows Server 2003 dans Operations Manager 2007



Procédure d'obtention d'un certificat à l'aide de l'autorité de certification d'entreprise de Windows Server 2003 dans Operations Manager 2007Les procédures suivantes indiquent les étapes permettant d'obtenir un certificat à partir d'une autorité de certification d'entreprise en utilisant les services de certificats, un composant de Windows 2000 Server et de Windows Server 2003. Pour obtenir un certificat de cette manière, vous devez procéder comme suit :

Téléchargez le certificat d'autorité de certification racine de confiance.

Importez le certificat d'autorité de certification racine de confiance.

Créez un modèle de certificat.

Demandez un certificat à l'autorité de certification d'entreprise.

Importez le certificat dans Operations Manager.

1. Ouvrez une session sur l'ordinateur sur lequel avez installé un certificat (par exemple, le serveur de passerelle ou le serveur d'administration).

Pour télécharger le certificat d'autorité de certification racine de confiance

44

2. Démarrez Internet Explorer et connectez-vous à l'ordinateur hébergeant les Services de certificats (par exemple, https://<nom_serveur>/certsrv.

3. Dans la page Bienvenue, cliquez sur Télécharger un certificat d'Autorité de certification, une chaîne de certificat ou la liste de révocation de certificats.

4. Sur la page Télécharger un certificat d'Autorité de certification, une chaîne de certificat ou la liste de révocation de certificats, cliquez sur Méthode de codage, cliquez sur Base 64 puis cliquez sur Télécharger une chaîne de certificats d'Autorité de certification.

5. Dans la boîte de dialogue Téléchargement de fichiers, cliquez sur Enregistrer et enregistrez le certificat ; par exemple, Trustedca.p7b.

6. Lorsque le téléchargement est terminé, fermez Internet Explorer.

1. Sur le Bureau Windows, cliquez sur Démarrer, puis cliquez sur Exécuter.2. Dans la boîte de dialogue Exécuter, tapez mmc puis cliquez sur OK.

3. Dans la fenêtre Console1, cliquez sur Fichier puis sur Ajouter/Supprimer un composant logiciel enfichable.

4. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter.

5. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Certificats, puis cliquez sur Ajouter.

6. Dans la boîte de dialogue Composant logiciel enfichable Certificats, sélectionnez Compte d'ordinateur, puis cliquez sur Suivant.

7. Dans la boîte de dialogue Sélectionner un ordinateur, assurez-vous que Ordinateur local: (l'ordinateur sur lequel s'exécute cette console) est sélectionné, puis cliquez sur Terminer.

8. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Fermer.

9. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur OK.

10. Dans la fenêtre Console1, développez Certificats (ordinateur local), développez Autorités de certification racine de confiance, puis cliquez sur Certificats.

11. Cliquez avec le bouton droit sur Certificats, sélectionnez Toutes les tâches, puis cliquez sur Importer.

12. Dans l'Assistant Importation de certificat, cliquez sur Suivant.13. Sur la page Fichier à importer, cliquez sur Parcourir et sélectionnez l'emplacement où

vous avez téléchargé le fichier du certificat de l'autorité de certification, par exemple, TrustedCA.p7b, sélectionnez le fichier puis cliquez sur Ouvrir.

14. Sur la page Fichier à importer, sélectionnez Placer tous les certificats dans le

Pour importer le certificat d'autorité de certification racine de confiance

45

magasin suivant et vérifiez que Autorités de certification racines de confiance s'affiche dans le Magasin de certificats, puis cliquez sur Suivant.

15. Dans la page Fin de l'Assistant Importation de certificat, cliquez sur Terminer.

1. Sur l'ordinateur hébergeant votre autorité de certification d'entreprise, sur le bureau Windows, cliquez sur Démarrer, pointez sur Programmes, pointez sur Outils d'administration, puis cliquez sur Autorité de certification.

2. Dans le volet de navigation, développez le nom de l'autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis cliquez sur Gérer.

3. Dans la console Modèles de certificats, dans le volet des résultats, cliquez avec le bouton droit sur IPSec (requête hors connexion), puis cliquez sur Dupliquer le modèle.

4. Dans la boîte de dialogue Propriétés du nouveau modèle, dans l'onglet Général, dans la zone de texte Nom complet du modèle, tapez un nouveau nom pour ce modèle (par exemple, CertOperationsManager).

5. Sur l'onglet Traitement de la demande, sélectionnez Autoriser l'exportation de la clé privée, puis cliquez sur Fournisseurs de services de cryptographiques.

6. Dans la boîte de dialogue Sélection du fournisseur de services cryptographiques, sélectionnez le fournisseur de services cryptographiques le mieux adapté à vos besoins, puis cliquez sur OK.

Remarque Windows 2000 Server fonctionne avec Microsoft Enhanced Cryptographic Provider 1.0. Windows Server 2003 et Windows XP fonctionnent avec le fournisseur de services cryptographiques Microsoft RSAS Channel.

7. Cliquez sur l'onglet Extensions, puis dans Extensions incluses dans ce modèle, cliquez sur Stratégies d'application, puis sur Modifier.

8. Dans la boîte de dialogue Modifier l'extension des stratégies d'application, cliquez sur Sécurité IP IKE intermédiaire, puis cliquez sur Supprimer.

9. Cliquez sur Ajouter, puis dans la liste des stratégies d'application, maintenez la touche CTRL enfoncée pour sélectionner différents éléments de la liste, cliquez sur Authentification du client et sur Authentification du serveur, puis cliquez sur OK.

10. Dans la boîte de dialogue Modifier l'extension des stratégies d'application, cliquez sur OK.

11. Cliquez sur l'onglet Sécurité, assurez-vous que le groupe Utilisateurs authentifiés possède les autorisations de lecture et d'inscription, puis cliquez sur OK.

12. 0. 1. Dans le composant logiciel enfichable Autorité de certification, cliquez avec le

Pour créer un modèle de certificat

Pour ajouter le modèle au dossier Modèles de certificats

46

bouton droit sur le dossier Modèles de certificats, pointez sur Nouveau, puis cliquez sur Modèle de certificat à délivrer.

2. Dans le champ Activer les modèles de certificat, sélectionnez le modèle de certificat que vous avez créé puis cliquez sur OK.

1. Ouvrez une session sur l'ordinateur sur lequel vous souhaitez installer un certificat (par exemple, serveur de passerelle ou serveur d'administration).

2. Démarrez Internet Explorer et connectez-vous à l'ordinateur hébergeant les Services de certificats (par exemple, http://<nom_serveur>/certsrv).

3. Sur la page d'accueil des Services de certificats de Microsoft, cliquez sur Demander un certificat.

4. Sur la page Demander un certificat, cliquez sur Ou soumettre une demande de certificat avancé.

5. Sur la page Demande de certificat avancé, cliquez sur Créer et soumettre une demande auprès de cette Autorité de certification.

6. Sur la page Demande de certificat avancé, procédez comme suit :

a. Sous Modèle de certificat, sélectionnez le nom du modèle que vous avez créé (par exemple, CertOperationsManager).

b. Sous Informations d'identification pour les modèles hors connexion, dans le champ Nom, tapez un nom unique, par exemple le nom de domaine complet de l'ordinateur pour lequel vous demandez le certificat. Entrez les informations appropriées dans les autres champs.

Remarque L'ID d'événement 20052 est généré si le nom de domaine complet saisi dans le champ Nom ne correspond pas au nom de l'ordinateur.

c. Sous Options des clés, cliquez sur Créer un nouveau jeu de clés ; dans le champ Fournisseur de services cryptographiques, sélectionnez le fournisseur de services cryptographiques le mieux adapté à vos besoins ; sous Taille de la clé, sélectionnez une taille correspondant à vos besoins, sélectionnez Nom de conteneur de clé automatique, vérifiez que l'option Marquer les clés comme étant exportables est sélectionnée, désactivez la case Exporter les clés vers un fichier, désactivez la case Activer la protection renforcée par clé privée, puis cliquez sur Stocker le certificat dans le magasin de certificats de l'ordinateur local.

Remarque Windows 2000 Server fonctionne avec Microsoft Enhanced Cryptographic Provider 1.0. Windows Server 2003 et Windows XP fonctionnent avec le fournisseur de services cryptographiques Microsoft RSAS Channel.

Pour demander un certificat auprès d'une autorité de certification d'entreprise

47

d. Sous Options supplémentaires, sous Format de la demande, sélectionnez CMC ; dans la liste Algorithme de hachage, sélectionnez SHA-1 ; désactivez la case Enregistrer la demande dans un fichier ; puis dans le champ Nom convivial, tapez le nom de domaine complet de l'ordinateur pour lequel vous demandez le certificat.

e. Cliquez sur Envoi.f. Si un message Violation de script potentielle s'affiche, cliquez sur Oui.g. Sur la page Certificat délivré, cliquez sur Installer ce certificat.h. Si une boîte de dialogue Violation de script potentielle s'affiche, cliquez sur Oui.i. Sur la page Certificat installé, une fois qu'apparaît le message Votre nouveau

certificat a été correctement installé, fermez le navigateur.

1. Connectez-vous à l'ordinateur avec un compte membre du groupe Administrateurs.

2. Sur le Bureau Windows, cliquez sur Démarrer, puis sur Exécuter.3. Dans la boîte de dialogue Exécuter, tapez cmd puis cliquez sur OK.

4. À l'invite de commande, tapez <lettre_lecteur>: (où <lettre_lecteur> est le lecteur sur lequel se trouve le support d'installation Operations Manager 2007), puis appuyez sur ENTRÉE.

5. Tapez cd\SupportTools\i386 et appuyez sur ENTRÉE.

Remarque Sur les ordinateurs 64 bits, tapez cd\SupportTools\amd64

6. Tapez la commande suivante :

MOMCertImport /SubjectName <Nom de l'objet du certificat>7. Appuyez sur ENTRÉE.

Voir aussiProcédure de configuration de la console Opérateur pour utiliser SSL lors de la connexion à un serveur de rapports dans Operations Manager 2007





Pour importer des certificats avec l'outil MOMCertImport

48

Procédure d'obtention d'un certificat à l'aide d'une autorité de certification autonome de Windows Server 2003 dans Operations Manager 2007Les procédures suivantes indiquent les étapes permettant d'obtenir un certificat à partir d'une autorité de certification d'entreprise en utilisant les services de certificats, un composant de Windows 2000 Server et de Windows Server 2003. Pour obtenir un certificat de cette manière, vous devez procéder comme suit :

Effectuez les procédures suivantes :

Téléchargez le certificat d'autorité de certification racine de confiance.

Importez le certificat racine de confiance de l'autorité de certification

Demandez un certificat auprès d'une autorité de certification autonome.

Approuvez la demande de certificat en attente. Si vos services de certificats ont été configurés de manière à approuver automatiquement les certificats, passez à la procédure suivante qui effectue la récupération du certificat. Sinon, l'administrateur de l'autorité de certification doit émettre le certificat en utilisant la procédure Récupérer le certificat.

Récupérer le certificat.

À l'aide de l'utilitaire MOMCertImport, importez le certificat dans Operations Manager.




4. Sur la page Télécharger un certificat d'Autorité de certification, une chaîne de certificat ou la liste de révocation de certificats, cliquez sur Méthode de codage, cliquez sur Base 64 puis cliquez sur Télécharger une chaîne de certificats d'Autorité de certification.





4. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable,



49

cliquez sur Ajouter.5. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome,

cliquez sur Certificats, puis cliquez sur Ajouter.6. Dans la boîte de dialogue Composant logiciel enfichable Certificats, sélectionnez

Compte d'ordinateur, puis cliquez sur Suivant.7. Dans la boîte de dialogue Sélectionner un ordinateur, assurez-vous que Ordinateur

local: (l'ordinateur sur lequel s'exécute cette console) est sélectionné, puis cliquez sur Terminer.







14. Sur la page Fichier à importer, sélectionnez Placer tous les certificats dans le magasin suivant et vérifiez que Autorités de certification racines de confiance s'affiche dans le Magasin de certificats, puis cliquez sur Suivant.


1. Ouvrez une session sur l'ordinateur sur lequel vous souhaitez installer un certificat (par exemple, le serveur de passerelle ou le serveur d'administration).


3. Sur la page d'accueil des Services de certificats de Microsoft, cliquez sur Demander un certificat.

4. Sur la page Demander un certificat, cliquez sur Ou soumettre une demande de certificat avancé.

5. Sur la page Demande de certificat avancé, cliquez sur Créer et soumettre une demande auprès de cette Autorité de certification.

6. Sur la page Demande de certificat avancé, procédez comme suit :

a. Sous Informations d'identification, dans le champ Nom, tapez un nom unique, par exemple le nom de domaine complet de l'ordinateur pour lequel vous demandez le

Pour demander un certificat auprès d'une autorité de certification autonome

50

certificat. Entrez les informations adéquates pour les champs restants.

Remarque L'ID d'événement 20052 est généré si le nom de domaine complet saisi dans le champ Nom ne correspond pas au nom de l'ordinateur.

b. Sous Type de certificat nécessaire :

Cliquez sur la liste, puis sélectionnez Autres.

Dans le champ OID, tapez 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2c. Sous Options des clés, effectuez les sélections suivantes :

Cliquez sur Créer un nouveau jeu de clésDans le champ Fournisseur de services de chiffrement, sélectionnez Microsoft Enhanced Cryptographic Provider v1.0Sous Utilisation de la clé, sélectionnez Les deuxSous Taille de la clé, sélectionnez 1024Sélectionnez Nom de conteneur de clé automatiqueSélectionnez Marquer les clés comme étant exportablesDésactivez la case Exporter les clés vers un fichier (non requis pour les services de certificat Active Directory Windows Server 2008)

Désactivez la case Activer la protection renforcée par clé privéeCliquez sur Stocker le certificat dans le magasin de certificats de l'ordinateur local.

d. Sous Options supplémentaires :

Sous Format de la demande, sélectionnez CMCDans la liste Algorithme de hachage, sélectionnez SHA-1Désactivez la case Enregistrer la demande dans un fichierDans le champ Nom convivial, entrez le nom de domaine complet de l'ordinateur pour lequel vous demandez le certificat.

e. Cliquez sur Envoi.f. Si une boîte de dialogue Violation de sécurité potentielle s'affiche, cliquez sur Oui.g. Lorsque la page Certificat en attente s'affiche, fermez le navigateur.

1. Ouvrez une session sur l'ordinateur hébergeant les Services de certificats en tant qu'administrateur de l'autorité de certification.

2. Sur le bureau Windows, cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Autorité de certification.

3. Dans Autorité de certification, développez le nœud du nom de votre autorité de certification, puis cliquez sur Demandes en attente.

Pour approuver la demande de certificat en attente

51

4. Dans le volet des résultats, cliquez avec le bouton droit sur la demande en attente créée par la procédure ci-dessus, pointez sur Toutes les tâches, puis cliquez sur Délivrer.

5. Cliquez sur Certificats délivrés, et vérifiez que le certificat que vous venez d'émettre figure dans la liste.

6. Fermez Autorité de certification.



3. Sur la page d'accueil des Services de certificats de Microsoft, cliquez sur Afficher le statut d'une requête de certificat en attente.

4. Sur la page Afficher le statut d'une requête de certificat en attente, cliquez sur certificat que vous avez demandé.

5. Sur la page Certificat délivré, cliquez sur Installer ce certificat.6. Dans la boîte de dialogue Violation de script potentielle, cliquez sur Oui.7. Sur la page Certificat installé, une fois qu'apparaît le message Votre nouveau

certificat a été correctement installé, fermez le navigateur.


2. Sur le Bureau Windows, cliquez sur Démarrer, puis cliquez sur Exécuter.3. Dans la boîte de dialogue Exécuter, tapez cmd puis cliquez sur OK.





MOMCertImport7. Dans la boîte de dialogue Sélectionner un certificat, sélectionnez le certificat que vous

avez récupéré comme indiqué dans la section précédente, puis cliquez sur OK.

Remarque Pour vous aider à sélectionner le certificat approprié si plusieurs certificats

Pour récupérer le certificat

Pour importer des certificats avec l'outil MOMCertImport

52

sont affichés, sélectionnez le certificat dont les objectifs sont répertoriés sous le libellé Authentification des serveurs, authentification des clients et le certificat dont le nom convivial correspond à celui que vous avez défini précédemment à l'étape 6d dans la procédure intitulée « Pour demander un certificat auprès d'une autorité de certification autonome ».

8. Dans la boîte de dialogue Commande, le message suivant s'affiche Le certificat a été installé avec succès. Consultez le journal Operations Manager dans l'observateur d'événements pour vérifier la connectivité du canal.






Procédure d'obtention d'un certificat à l'aide de l'autorité de certification d'entreprise de Windows Server 2008 dans Operations Manager 2007Utilisez les procédures de cette rubrique pour obtenir un certificat depuis l'ordinateur Windows Server 2008 hébergeant les services de certificats Active Directory (AD CS) de la racine d’entreprise. Vous utiliserez l'utilitaire de ligne de commande CertReq pour demander et accepter un certificat, puis vous utiliserez une interface Web pour envoyer et récupérer votre certificat.

On suppose que les services de certificat Active Directory sont installés, qu'une liaison HTTPS a été créée et que son certificat associé a été installé. Des informations sur la création d'une liaison HTTPS sont disponibles dans la rubrique Procédure de configuration d'une liaison HTTPS pour une autorité de certification Windows Server 2008.

Important Le contenu de cette rubrique est basé sur les paramètres par défaut pour les services de certificat Active Directory Windows Server 2008 ; par exemple, attribution de la valeur 2048 pour la longueur de la clé, sélection de Microsoft Software Key Storage Provider comme fournisseur de services cryptographiques (CSP) et utilisation de l'algorithme SHA1 (Secure Hash Algorithm 1). Évaluez ces sélections en fonction des exigences de la stratégie de sécurité de votre société.

53

Le processus général pour obtenir un certificat à partir d'une autorité de certification d'entreprise est le suivant :

1. Téléchargez le certificat d'autorité de certification racine de confiance.

2. Importez le certificat d'autorité de certification racine de confiance.

3. Créez un modèle de certificat.

4. Ajoutez le modèle au dossier Modèles de certificats.

5. Créez un fichier d'informations d'installation pour utilisation avec l'utilitaire de ligne de commande CertReq.

6. Créez un fichier de demande.

7. Envoyez une demande à l'autorité de certification.

8. Importez le certificat dans le magasin de certificats.

9. Importez le certificat dans Operations Manager en utilisant MOMCertImport.




4. Sur la page Télécharger un certificat d'Autorité de certification, une chaîne de certificat ou la liste de révocation de certificats, cliquez sur Méthode de codage, cliquez sur Base 64 puis cliquez sur Télécharger une chaîne de certificats d'autorité de certification.







6. Dans la boîte de dialogue Composant logiciel enfichable Certificats, sélectionnez



54

Compte d'ordinateur, puis cliquez sur Suivant.7. Dans la boîte de dialogue Sélectionner un ordinateur, assurez-vous que Ordinateur

local: (l'ordinateur sur lequel s'exécute cette console) est sélectionné, puis cliquez sur Terminer.









1. Sur l'ordinateur hébergeant votre autorité de certification d'entreprise, sur le bureau Windows, cliquez sur Démarrer, pointez sur Programmes, pointez sur Outils d'administration, puis cliquez sur Autorité de certification.

2. Dans le volet de navigation, développez le nom de l'autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis cliquez sur Gérer.

3. Dans la console Modèles de certificats, dans le volet des résultats, cliquez avec le bouton droit sur IPSec (requête hors connexion), puis cliquez sur Dupliquer le modèle.

4. Dans la boîte de dialogue Dupliquer le modèle, sélectionnez Windows Server 2003 Enterprise Edition, puis cliquez sur OK.

Remarque L'option pour Windows Server 2008 Enterprise n'est pas prise en charge pour le moment.

5. Dans la boîte de dialogue Propriétés du nouveau modèle, dans l'onglet Général, dans la zone de texte Nom complet du modèle, tapez un nouveau nom pour ce modèle, par exemple, OperationsManagerCert.

6. Sur l'onglet Traitement de la demande, sélectionnez Autoriser l'exportation de la clé

Pour créer un modèle de certificat

55

privée.

7. Cliquez sur l'onglet Extensions, puis dans Extensions incluses dans ce modèle, cliquez sur Stratégies d'application, puis sur Modifier.

8. Dans la boîte de dialogue Modifier l'extension des stratégies d'application, cliquez sur Sécurité IP IKE intermédiaire, puis cliquez sur Supprimer.

9. Cliquez sur Ajouter, puis dans la liste des stratégies d'application, maintenez la touche CTRL enfoncée pour sélectionner différents éléments de la liste, cliquez sur Authentification du client et sur Authentification du serveur, puis cliquez sur OK.

10. Dans la boîte de dialogue Modifier l'extension des stratégies d'application, cliquez sur OK.

11. Cliquez sur l'onglet Sécurité et assurez-vous que le groupe Utilisateurs authentifiés possède les autorisations de lecture et d'inscription, puis cliquez sur OK.

12. Fermez la console des modèles de certificat.

1. Sur l'ordinateur hébergeant votre autorité de certification d'entreprise, dans le composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur le dossier Modèles de certificats, pointez sur Nouveau, puis cliquez sur Modèle de certificat à délivrer.

2. Dans le champ Activer les modèles de certificat, sélectionnez le modèle de certificat que vous avez créé ; par exemple, cliquez sur OperationsManagerCert, puis cliquez sur OK.

1. Sur l'ordinateur hébergeant le composant Operations Manager pour lequel vous demandez un certificat, cliquez sur Démarrer, puis cliquez sur Exécuter.

2. Dans la boîte de dialogue Exécuter, tapez Notepad puis cliquez sur OK.

3. Créez un fichier texte comportant le contenu suivant :

[NewRequest]Subject="CN=<nom de domaine complet de l'ordinateur pour lequel vous créez le certificat, par exemple le serveur de passerelle ou le serveur d'administration>"Exportable=TRUEKeyLength=2048KeySpec=1KeyUsage=0xf0MachineKeySet=TRUE[EnhancedKeyUsageExtension]OID=1.3.6.1.5.5.7.3.1OID=1.3.6.1.5.5.7.3.2

4. Enregistrez le fichier avec une extension .inf ; par exemple, ConfigDemande.inf.

Pour ajouter le modèle au dossier Modèles de certificats

Pour créer un fichier d'informations d'installation (.inf)

56

5. Fermez le Bloc-notes.


2. Dans la boîte de dialogue Exécuter, tapez cmd puis cliquez sur OK.

3. Dans la fenêtre de commande, tapez CertReq –New –f ConfigDemande.inf DemandCert.req, puis appuyez sur ENTRÉE.

4. Ouvrez le fichier résultant (par exemple, DemandCert.req) dans le Bloc-notes et copiez son contenu dans le Presse-papiers.

5. 0. 1. Sur l'ordinateur hébergeant le composant Operations Manager pour lequel vous demandez un certificat, démarrez Internet Explorer puis connectez-vous à l'ordinateur hébergeant les Services de certificat, par exemple, https://<nom de serveur>/certsrv.

Remarque Si une liaison HTTPS n'a pas été configurée sur le site Web des Services de certificat, le navigateur ne pourra pas se connecter. Voir la rubrique Procédure de configuration d'une liaison HTTPS pour une autorité de certification Windows Server 2008 dans ce guide.

2. Sur la page d'accueil des Services de certificats Active Directory de Microsoft, cliquez sur Demander un certificat.

3. Sur la page Demander un certificat, cliquez sur Demande de certificat avancé.

4. Sur la page Demande de certificat avancé, cliquez sur Soumettez une demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64, ou soumettez une demande en utilisant un fichier PKCS #7 codé en base 64.

5. Sur la page Soumettre une demande de certificat ou de renouvellement, dans la zone de texte Demande enregistrée, collez le contenu du fichier DemandCert.req fichier que vous avez copié à l'étape 4 de la procédure précédente.

6. Dans le champ Modèle de certificat, sélectionnez le modèle de certificat que vous avez créé, par exemple, OperationsManagerCert, puis cliquez sur Envoyer.

7. Sur la page Certificat délivré, sélectionnez Codé en base 64, puis cliquez sur Télécharger le certificat.

8. Dans la boîte de dialogue Téléchargement de fichier - Avertissement de sécurité, cliquez sur Enregistrer et enregistrez le certificat, par exemple sous le nom de NouvCertificat.cer.

9. Fermez Internet Explorer.

Pour créer un fichier de demande à utiliser avec une autorité de certification d'entreprise

Pour envoyer une demande à une autorité de certification d'entreprise

Pour importer le certificat dans le magasin de certificats57

1. Sur l'ordinateur hébergeant le composant Operations Manager pour lequel vous configurez le certificat, cliquez sur Démarrer, puis cliquez sur Exécuter.


3. Dans la fenêtre de commande, tapez CertReq –Accept NouvCertificat.cer, puis appuyez sur ENTRÉE.

1. Connectez-vous à l'ordinateur sur lequel vous avez installé le certificat avec un compte membre du groupe Administrateurs.












Procédure d'obtention d'un certificat à l'aide d'une autorité de certification autonome de Windows Server 2008 dans Operations Manager 2007Utilisez les procédures de cette rubrique pour obtenir un certificat de l'ordinateur Windows Server 2008 autonome hébergeant les services de certificats Active Directory (AD CS). Vous

Pour importer le certificat dans Operations Manager en utilisant MOMCertImport

58

utiliserez l'utilitaire de ligne de commande CertReq pour demander et accepter un certificat, puis vous utiliserez une interface Web pour envoyer et récupérer votre certificat.

On suppose que les services de certificat Active Directory sont installés, qu'une liaison HTTPS est utilisée et que son certificat associé a été installé. Des informations sur la création d'une liaison HTTPS sont disponibles dans la rubrique Procédure de configuration d'une liaison HTTPS pour une autorité de certification Windows Server 2008.

Important Le contenu de cette rubrique est basé sur les paramètres par défaut pour les services de certificat Active Directory Windows Server 2008 ; par exemple, attribution de la valeur 2048 pour la longueur de la clé, sélection de Microsoft Software Key Storage Provider comme fournisseur de services cryptographiques (CSP) et utilisation de l'algorithme SHA1 (Secure Hash Algorithm 1). Évaluez ces sélections en fonction des exigences de la stratégie de sécurité de votre société.

Le processus général pour obtenir un certificat à partir d'une autorité de certification autonome est le suivant :

1. Téléchargez le certificat d'autorité de certification racine de confiance.

2. Importer le certificat racine de confiance de l'autorité de certification

3. Créez un fichier d'informations d'installation pour utilisation avec l'utilitaire de ligne de commande CertReq.

4. Créez un fichier de demande.

5. Envoyez une demande à l'autorité de certification en utilisant le fichier de demande.

6. Approuvez la demande de certificat en attente.

7. Récupérez le certificat de l'autorité de certification.

8. Importez le certificat dans le magasin de certificats.

9. Importez le certificat dans Operations Manager en utilisant MOMCertImport.




4. Sur la page Télécharger un certificat d'autorité de certification, une chaîne de certificat ou la liste de révocation de certificats, cliquez sur Méthode de codage, cliquez sur Base 64 puis cliquez sur Télécharger une chaîne de certificats d'autorité de certification.



59


1. Sur le Bureau Windows, cliquez sur Démarrer, puis cliquez sur Exécuter.2. Dans la boîte de dialogue Exécuter, tapez mmc, puis cliquez sur OK.





7. Dans la boîte de dialogue Sélectionner un ordinateur, assurez-vous que Ordinateur local: (l'ordinateur sur lequel s'exécute cette console) est sélectionné, puis cliquez sur Terminer.










2. Dans la boîte de dialogue Exécuter, tapez Notepad puis cliquez sur OK.

3. Créez un fichier texte comportant le contenu suivant :

[NewRequest]


Pour créer un fichier d'informations d'installation (.inf)

60

Subject="CN=<nom de domaine complet de l'ordinateur pour lequel vous créez le certificat, par exemple le serveur de passerelle ou le serveur d'administration>"Exportable=TRUEKeyLength=2048KeySpec=1KeyUsage=0xf0MachineKeySet=TRUE[EnhancedKeyUsageExtension]OID=1.3.6.1.5.5.7.3.1OID=1.3.6.1.5.5.7.3.2

4. Enregistrez le fichier avec une extension .inf, par exemple, ConfigDemande.inf.

5. Fermez le Bloc-notes.



3. Dans la fenêtre de commande, tapez CertReq –New –f ConfigDemande.inf DemandCert.req, puis appuyez sur ENTRÉE.

4. Ouvrez le fichier résultant (par exemple, DemandCert.req) avec le Bloc-notes. Copiez le contenu de ce fichier dans le Presse-papiers.

1. Sur l'ordinateur hébergeant le composant Operations Manager pour lequel vous demandez un certificat, démarrez Internet Explorer puis connectez-vous à l'ordinateur hébergeant les Services de certificat (par exemple, https://<nom de serveur>/certsrv).

Remarque Si une liaison HTTPS n'a pas été configurée sur le site Web des Services de certificat, le navigateur ne pourra pas se connecter. Voir la rubrique Procédure de configuration d'une liaison HTTPS pour une autorité de certification Windows Server 2008 dans ce guide.

2. Sur la page d'accueil des Services de certificats Active Directory de Microsoft, cliquez sur Demander un certificat.

3. Sur la page Demander un certificat, cliquez sur Demande de certificat avancé.

4. Sur la page Demande de certificat avancé, cliquez sur Soumettez une demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64, ou soumettez une demande en utilisant un fichier PKCS #7 codé en base 64.

Pour créer un fichier de demande à utiliser avec une autorité de certification autonome

Pour envoyer une demande à une autorité de certification autonome

61

5. Sur la page Soumettre une demande de certificat ou une demande de renouvellement, dans la zone de texte Demande enregistrée, collez le contenu du fichier DemandCert.req que vous avez copié à l'étape 4 de la procédure précédente, puis cliquez sur Soumettre.


1. Ouvrez une session en tant qu'administrateur d'autorité de certification sur l'ordinateur hébergeant les Services de certificats Active Directory.

2. Sur le bureau Windows, cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Autorité de certification.

3. Dans Autorité de certification, développez le nœud du nom de votre autorité de certification, puis cliquez sur Demandes en attente.

4. Dans le volet des résultats, cliquez avec le bouton droit sur la demande en attente créée par la procédure ci-dessus, pointez sur Toutes les tâches, puis cliquez sur Délivrer.

5. Cliquez sur Certificats délivrés, et vérifiez que le certificat que vous venez d'émettre figure dans la liste.

6. Fermez l'Autorité de certification.


2. Démarrez Internet Explorer et connectez-vous à l'ordinateur hébergeant les Services de certificats (par exemple, https://<nom_serveur>/certsrv).

3. Sur la page d'accueil des Services de certificats Active Directory de Microsoft, cliquez sur Afficher le statut d'une requête de certificat en attente.

4. Sur la page Afficher le statut d'une requête de certificat en attente, cliquez sur certificat que vous avez demandé.

5. Sur la page Certificat délivré, sélectionnez Codé en base 64, puis cliquez sur Télécharger le certificat.

6. Dans la boîte de dialogue Téléchargement de fichier - Avertissement de sécurité, cliquez sur Enregistrer et enregistrez le certificat, par exemple sous le nom de NouvCertificat.cer.

7. Sur la page Certificat installé, une fois qu'apparaît le message Votre nouveau certificat a été correctement installé, fermez le navigateur.


1. Sur l'ordinateur hébergeant le composant Operations Manager pour lequel vous

Pour approuver la demande de certificat en attente

Pour récupérer le certificat

Pour importer le certificat dans le magasin de certificats

62

configurez le certificat, cliquez sur Démarrer, puis cliquez sur Exécuter.2. Dans la boîte de dialogue Exécuter, tapez cmd puis cliquez sur OK.

3. Dans la fenêtre de commande, tapez CertReq –Accept NouvCertificat.cer, puis appuyez sur ENTRÉE.

1. Connectez-vous à l'ordinateur sur lequel vous avez installé le certificat avec un compte membre du groupe Administrateurs.












Procédure de suppression de certificats importés avec MOMCertImport dans Operations Manager 2007Utilisez la procédure suivante pour supprimer les certificats qui ont été importés à l'aide de l'utilitaire MOMCertImport.

Pour importer le certificat dans Operations Manager en utilisant MOMCertImport

Pour supprimer des certificats importés avec l'utilitaire MOMCertImport

63



4. À l'invite de commandes, tapez <lettre_lecteur>: (où <lettre_lecteur> est le lecteur sur lequel se trouve le support d'installation Operations Manager 2007), puis appuyez sur ENTRÉE.

5. Tapez cd\SupportTools\i386, puis appuyez sur ENTRÉE.



MOMCertImport /Remove, puis appuyez sur ENTRÉE.




Procédure de modification du compte d'identification associé au profil d'identificationPar défaut, un compte d'identification est associé aux profils d'identification suivants.

Compte d'entrepôt de données

Compte de lecture de synchronisation de la configuration de l'entrepôt de données




Par exemple, le profil d'identification dénommé Compte d'authentification SQL Server de l'entrepôt de données est associé à un compte d'identification de même nom. À titre d'exemple, vous pouvez utiliser la procédure suivante pour modifier le compte d'identification associé au profil d'identification appelé Compte d'authentification SQL Server de l'entrepôt de données. Bien entendu, le nouveau compte d'identification à associer avec ce profil d'identification doit avoir été créé préalablement. Pour plus d'informations sur les comptes et les profils d'identification, voir la rubrique How to Administer Security Roles, Accounts, and Profiles in Operations Manager 2007 (Procédure d'administration des rôles, des comptes et des profils de sécurité dans Operations Manager 2007) (http://go.microsoft.com/fwlink/?LinkId=88131).

64





2. Dans la console Opérateur, cliquez sur le bouton Administration.


3. Dans le volet Administration, développez Administration, développez Sécurité, puis cliquez sur Profils Exécuter en tant que.

4. Dans le volet Profils d'identification, cliquez avec le bouton droit sur Compte d'authentification SQL Server de l'entrepôt de données, puis cliquez sur Propriétés.

5. Dans la boîte de dialogue Profil d'identification - Compte d'authentification SQL Server de l'entrepôt de données, cliquez sur l'onglet Comptes d'identification.

6. Sous Comptes d'identification, cliquez sur l'ordinateur cible, puis cliquez sur Modifier.7. Dans la boîte de dialogue Modifier un autre compte d'identification, cliquez sur la liste

Compte d'identification, sélectionnez le nouveau compte d'identification à associer à ce profil d'identification, puis cliquez sur OK.

8. Dans la boîte de dialogue Profil d'identification - Compte d'authentification SQL Server de l'entrepôt de données, cliquez sur OK.

Procédure de configuration d'une liaison HTTPS pour une autorité de certification Windows Server 2008Si vous configurez pour la première fois une nouvelle autorité de certification à utiliser avec Operations Manager 2007, utilisez la procédure suivante pour configurer une liaison HTTPS pour l'autorité de certification.

1. Sur l'ordinateur hébergeant votre autorité de certification, sur le bureau Windows, cliquez sur Démarrer, pointez sur Programmes, pointez sur Outils d'administration, puis cliquez sur Gestionnaire des services Internet (IIS).

2. Dans la boîte de dialogue Gestionnaire des services Internet (IIS), dans le volet Connexions, développez le nom de votre ordinateur, développez Sites, puis cliquez sur Site Web par défaut.

3. Dans le volet Actions, cliquez sur Liaisons.

Pour modifier le compte d'identification associé avec un profil d'identification

Pour configurer une liaison HTTPS

65

4. Dans la boîte de dialogue Liaisons de sites, cliquez sur Ajouter. 5. Dans la boîte de dialogue Ajouter la liaison de site, sur le menu Type, sélectionnez

https.

6. Dans la liste Certificat SSL, sélectionnez l'entrée qui correspond au nom de votre ordinateur, puis cliquez sur OK.

7. Dans la boîte de dialogue Liaisons de sites, cliquez sur Fermer.8. Dans le volet Connexions, sous Site Web par défaut, cliquez sur CertSrv.

9. Dans le volet /Accueil serv. cert., cliquez avec le bouton droit sur Paramètres SSL, puis cliquez sur Ouvrir la fonctionnalité.

10. Dans le volet Paramètres SSL, cliquez sur Exiger SSL, puis cliquez sur Exiger SSL 128 bits.

11. Dans le volet Actions, cliquez sur Appliquer, puis fermez le Gestionnaire des services Internet (IIS).

Authentification et chiffrement des données pour les systèmes d'exploitation UNIX et LinuxAvec Operations Manager 2007 R2, vous pouvez déployer des agents sur des ordinateurs UNIX ou Linux. Dans un tel environnement, l'authentification Kerberos n'est pas possible. Par conséquent, des certificats sont utilisés entre le serveur d'administration et les ordinateurs UNIX ou Linux. Dans ce scénario, les certificats sont auto-signés par le serveur d'administration (bien qu'il soit possible d'utiliser des certificats tiers, ils ne sont pas nécessaires).

Vous pouvez utiliser deux méthodes pour déployer des agents. Vous pouvez utiliser l'Assistant Détection ou vous pouvez installer manuellement un agent. Parmi ces deux méthodes, l'installation manuelle d'un agent est l'option la plus sécurisée. Lorsque vous utilisez l'Assistant Détection pour déployer des agents sur des ordinateurs UNIX ou Linux, vous espérez que l'ordinateur sur lequel vous les déployez est effectivement l'ordinateur attendu. Lorsque vous utilisez l'Assistant Détection pour déployer des agents, le risque encouru est plus grand que lorsque vous les déployez sur des ordinateurs du réseau public ou d'une zone DMZ. Dans cette section du guide de sécurité, nous décrirons comment déployer manuellement un agent sur un ordinateur UNIX ou Linux.

Lorsque vous utilisez l'Assistant Détection pour déployer un agent, l'Assistant Détection exécute les fonctions suivantes :

Déploiement L'Assistant Détection copie le package de l'agent sur l'ordinateur UNIX ou Linux puis commence le processus d'installation.

Signature du certificat Operations Manager récupère le certificat de

66

l'agent, signe le certificat, re-déploie le certificat sur l'agent, puis redémarre l'agent.

Détection L'Assistant Détection détecte l'ordinateur et effectue un test pour vérifier la validité du certificat. Si l'Assistant Détection détermine que l'ordinateur peut être détecté et que le certificat est valide, il ajoute l'ordinateur nouvellement détecté à la base de données OperationsManager.

Lorsque vous déployez manuellement un agent, vous effectuez les deux premières étapes qui sont habituellement réalisées par l'Assistant Détection, à savoir le déploiement et la signature du certificat. Ensuite, vous utilisez l'Assistant Détection pour ajouter l'ordinateur à la base de données OperationsManager.

Si le système comporte des certificats existants, ils sont réutilisés pendant l'installation de l'agent. Il n'y a pas création de certificats. Les certificats ne sont pas automatiquement supprimés lorsque vous désinstallez un agent. Vous devez supprimer manuellement les certificats qui sont répertoriés dans le dossier /etc/opt/microsoft/scx/ssl. Pour régénérer les certificats lors de l'installation, vous devez supprimer ce dossier avant d'installer l'agent.

Des valeurs de hachage pour les binaires de l'agent sont disponibles dans l'Annexe B : Liste des valeurs de hachage pour les agents UNIX et Linux dans ce guide.

Pour avoir des instructions sur la façon de déployer manuellement un agent, voir la rubrique « Installation manuelle d'agents interplateforme » dans le Operations Manager 2007 R2 Operations Guide (Guide des opérations Operations Manager 2007 R2) (http://go.microsoft.com/fwlink/?LinkID=146211), puis procédez comme suit pour installer les certificats.

Considérations sur les pare-feu pour UNIX et LinuxSi votre ordinateur UNIX ou Linux est équipé d'un pare-feu, vous devez ouvrir le port 1270 (entrant). Ce numéro de port n'est pas configurable. Si vous déployez des agents dans un environnement à faible niveau de sécurité et que vous utilisez l'Assistant Détection pour déployer et signer les certificats, vous devez ouvrir le port SSH. Le numéro du port SSH est configurable. Par défaut, SSH utilise le port TCP 22 entrant.

Procédure d'installation manuelle de certificats pour la prise en charge interplateformeAvant de commencer cette procédure, vous devez déjà avoir installé manuellement un agent. Vous devrez utiliser un compte racine ou un compte à privilèges élevés pour exécuter la procédure.

Pour installer des certificats pour la prise en charge interplateforme67



1. Sur l'ordinateur hébergeant le système d'exploitation UNIX ou Linux, localisez le fichier /etc/opt/microsoft/scx/ssl/scx-host-<nom_d'hôte>.pem et copiez-le ou transférez-le de façon sécurisée dans un emplacement de l'ordinateur hébergeant Operations Manager 2007 R2.

2. Sur l'ordinateur hébergeant le serveur Operations Manager 2007 R2, sur le bureau Windows, cliquez sur Démarrer, puis sur Exécuter.

3. Dans la boîte de dialogue Exécuter, tapez cmd, puis appuyez sur ENTRÉE.

4. Allez dans le répertoire dans lequel vous avez copié le fichier scx.pem.

5. Tapez la commande scxcertconfig -sign scx-host-<nom_d'hôte>.pem scx_new.pem, puis appuyez sur ENTRÉE. Cette commande signe automatiquement votre certificat (scx-host-<nom_d'hôte>.pem) puis enregistre le nouveau certificat (scx-host-<nom_d'hôte>_new.pem).

Remarque Vérifiez que l'emplacement où Operations Manager est installé se trouve bien dans le chemin d'accès indiqué, ou utilisez le chemin d'accès complet du fichier scxcertconfig.exe.

6. Copiez ou transférez de façon sécurisée le fichier scx_new.pem dans le dossier /etc/opt/microsoft/scx/ssl dossier sur l'ordinateur hébergeant le système d'exploitation UNIX ou Linux. Il remplace le fichier scx-host-<nom_d'hôte>.pem d'origine.

7. Redémarrez l'agent en tapant sxadmin –restart.

1. Sur l'ordinateur qui héberge Operations Manager 2007 R2, démarrez la console Operations Manager puis cliquez sur Administration.

2. Dans le volet Administration, cliquez sur Assistant Détection.

3. Dans l'Assistant Gestion des ordinateurs et des périphériques, sur la page Type de détection, cliquez sur Ordinateurs Unix/Linux, puis cliquez sur Suivant.

4. Sur la page Méthode de détection, cliquez sur Ajouter.5. Dans la boîte de dialogue Définir des critères de détection, dans la zone Étendue de

la détection, sélectionnez Nom DNS, puis tapez le nom de domaine complet de l'ordinateur UNIX ou Linux que vous voulez ajouter.

6. Dans la zone Informations d'identification, tapez le nom d'utilisateur et un mot de passe d'un compte valide, puis cliquez sur OK.

7. Sur la page Méthode de détection, vérifiez que l'option Activer la détection basée sur SSH n'est pas sélectionnée ; si c'est nécessaire, sélectionnez le serveur d'administration que vous avez utilisé pour signer le certificat, puis cliquez sur Détecter.

8. Sur la page Sélectionner les ordinateurs à gérer, sélectionnez l'ordinateur puis cliquez sur Suivant.

9. Sur la page Résumé, cliquez sur Terminé.

Pour détecter un ordinateur UNIX ou Linux en utilisant Operations Manager 2007 R2

68

Utilisation d'un pare-feu avec Operations Manager 2007

Guide de renforcement de la sécuritéLe guide de renforcement de la sécurité de Microsoft Operations Manager 2007 vous fournit les informations essentielles sur la façon de mieux protéger, ou renforcer, votre environnement Operations Manager 2007 en utilisant l'Assistant Configuration de la sécurité (SCW, Security Configuration Wizard). SCW est un outil de réduction de la surface d'attaque pour les produits qui exécutent les systèmes d'exploitation Windows Server 2003 Service Pack 1 (SP1), Windows Server 2003 Service Pack 2 (SP2) et Windows Server 2003 R2.

Outre des recommandations de configuration pratiques, ce guide comprend des informations sur la façon de mettre à niveau un agent qui a été verrouillé, personnaliser des numéros de port dont le paramétrage par défaut a été modifié et des exemples de renforcement d'un serveur et d'un agent. Bien que la plupart des administrateurs de serveur puissent bénéficier de la lecture de ce guide, celui-ci est conçu pour apporter le maximum d'éléments aux administrateurs chargés de la sécurité d'Operations Manager 2007. Pour plus d'informations, voir le document System Center Operations Manager 2007 SCW Roles and Security Hardening Guide for Windows Server 2003 (Rôles de l'Assistant de configuration de la sécurité de System Center Operations Manager 2007 et guide de renforcement de la sécurité pour Windows Server 2003) (http://go.microsoft.com/fwlink/?LinkId=120136).

Connexion à l'entrepôt de données de rapports à travers un pare-feuCette section décrit la procédure de configuration de votre environnement pour qu'il prenne en charge la mise en place d'un entrepôt de données de rapports derrière un pare-feu.

Remarque La séparation de la console Opérateur, du serveur d'administration racine, du serveur d'administration ou du serveur de rapports par un pare-feu ou à travers une limite d'approbation n'est pas prise en charge.

Dans un environnement où l'entrepôt de données de rapports est séparé du nom du serveur d'administration racine et du serveur de rapports par un pare-feu, l'authentification Windows intégrée ne peut pas être utilisée. Vous devez prendre des mesures pour configurer l'authentification SQL Server. Les sections suivantes expliquent comment activer l'authentification SQL Server entre le serveur d'administration racine (ou serveur d'administration), le serveur de rapports et l'entrepôt de données de rapports, comme représenté sur l'illustration suivante.

69




Serveur d'administration et entrepôt de données de rapportsLes étapes suivantes sont nécessaires pour activer l'authentification SQL Server :

1. Sur l'ordinateur hébergeant l'entrepôt de données de rapports, créez une connexion SQL dans le rôle approprié autorisant un accès en lecture et en écriture. Les informations d'identification que vous fournissez pour ce compte doivent correspondre à un membre de l'un des rôles suivants dans la base de données OperationsManagerDW sur l'ordinateur exécutant SQL Server :

a. OpsMgrWriter

b. db_owner (uniquement pour le groupe d'administration de la propriété dans la base de données)

2. Sur l'ordinateur hébergeant le serveur d'administration racine, créez un compte d'identification (de type simple) avec les informations d'identification de l'étape précédente.

3. Associez ce compte d'identification au profil d'identification appelé compte d'authentification SQL Server de l'entrepôt de données, en ciblant ce profil d'identification sur chaque serveur d'administration. Pour plus d'informations, voir Procédure de modification du compte d'identification associé au profil d'identification dans ce guide.

S'il y a un pare-feu entre le serveur d'administration et l'entrepôt de données de rapports, vous devrez ouvrir le port 1433.

Serveur de rapports et entrepôt de données de rapportsS'il y a un pare-feu ou une limite d'approbation entre le serveur de rapports et l'entrepôt de données de rapports, il faudra établir des communications point à point.

70

Le compte qui avait été spécifié comme compte de lecteur de données pendant l'installation de l'application de rapports devient le compte d'exécution sur le serveur de rapports, et c'est ce compte qui sera utilisé pour la connexion à l'entrepôt de données de rapports.

Vous devrez déterminer le numéro de port qu'utilise l'ordinateur exécutant SQL Server sur l'entrepôt de données de rapports et entrer ce numéro dans la table dbo.MT_DataWarehouse de la base de données OperationsManager. Voir Procédure de configuration de l'entrepôt de données de rapports pour écouter sur un port TCP/IP spécifique dans ce guide.

Serveur de rapports et serveur d'administration racine séparés par un pare-feuUn message d'erreur de type « Impossible de vérifier si le rôle de l'utilisateur actuel est sysadmin » est susceptible de s'afficher lors de l'installation de l'application Reporting si le serveur de rapports et le serveur d'administration racine sont séparés par un pare-feu. Ce message d'erreur pourrait s'afficher même si les ports appropriés du pare-feu ont été ouverts. Cette erreur se produit une fois que l'on a entré le nom de l'ordinateur pour le serveur d'administration racine et que l'on a cliqué sur Suivant. Cette erreur pourrait également s'afficher parce que le programme d'installation de l'application Reporting n'a pas réussi à se connecter à la base de données OperationsManager sur le serveur d'administration racine. Dans cet environnement, vous devrez déterminer le numéro de port utilisé par l'ordinateur exécutant SQL Server et configurer la base de données OperationsManager pour qu'elle l'utilise. Voir la rubrique Procédure de configuration de la base de données OperationsManager pour écouter sur un port TCP/IP spécifique dans ce guide.

Attribution des portsLe tableau suivant illustre l'interaction des composants Operations Manager 2007 derrière un pare-feu, inclut des informations sur les ports utilisés pour la communication entre les composants, sur la direction pour ouvrir le port entrant et indique si le numéro de port peut être modifié.

Composant A d'Operations Manager 2007 SP1

Numéro et direction du port

Composant B d'Operations Manager 2007 SP1

Configurable Remarque

serveur d'administration racine

1433 ---> base de données OperationsManager ;

Oui (installation)

serveur d'administration

1433 ---> base de données OperationsManager ;

Oui (installation)

serveur d'administration

5723, 5724 --->


Non Le port 5724 doit être ouvert pour installer ce

71





composant. Il peut être fermé à l'issue de l'installation du composant.

serveur de passerelle

5723 ---> serveur d'administration racine

Non


1433 ---> Entrepôt de données de rapports

Non

serveur de rapports ;

5723, 5724 --->


Non Le port 5724 doit être ouvert pour installer ce composant. Il peut être fermé à l'issue de l'installation du composant.

console Opérateur ; 5724 ---> serveur d'administration racine

Non

Source de la structure de connecteurs


Non

serveur de console Web ;


Non

Navigateur de console Web

51908 ---> serveur de console Web ;

Oui (Administration IIS)

Le port 51908 est le port par défaut utilisé lors de la sélection de l'authentification Windows. Si vous sélectionnez l'authentification par formulaires, vous devez installer un

72





certificat SSL et configurer un port disponible pour la fonctionnalité https du site Web de la console Web Operations Manager 2007.

Serveur d'administration racine connecté (local)

5724 ---> Serveur d'administration racine connecté (connecté)

Non

Agent installé à l'aide de MOMAgent.msi


Oui (installation)


5723 ---> serveur d'administration

Oui (installation)


5723 ---> serveur de passerelle Oui (installation)

serveur de passerelle

5723 ---> serveur d'administration

Oui (installation)

Agent (redirecteur ACS)

51909 ---> Collecteur des services ACS du serveur d'administration

Oui (Registre)

Données Analyse des exceptions sans agent du client

51906 ---> Serveur d'administration avec partage de fichiers d'analyse des erreurs d'application

Oui (Assistant Analyse client)

Données Programme d'amélioration de l'expérience

51907 ---> Point d'arrivée du serveur d'administration (Programme

Oui (Assistant Analyse client)

73





utilisateur provenant du client

d'amélioration de l'expérience utilisateur)

Console Opérateur (rapports)

80 ---> SQL Reporting Services

Non La console Opérateur se connecte au site Web SQL Reporting Services via le port 80.

Serveur de rapports

1433 ---> Entrepôt de données de rapports

Oui

Serveur d'administration (collecteur des services ACS)

1433 ---> Base de données des services ACS

Oui

Procédure de configuration de la base de données OperationsManager pour écouter sur un port TCP/IP spécifiqueEffectuez les étapes suivantes pour configurer un port statique pour la base de données OperationsManager :

Utilisez le gestionnaire de configuration SQL Server pour désactiver l'adressage de port dynamique, spécifier un port statique, désactiver et arrêter le service SQL Server Browser, puis redémarrez le service SQL Server <Instance>.

Modifiez la table dbo.MT_ManagementGroup avec le numéro de port statique.

Modifiez le Registre pour configurer le numéro de port statique sur le serveur d'administration racine.

Attention Une modification incorrecte du Registre peut endommager gravement votre système. Par conséquent, avant d'apporter des modifications au Registre, sauvegardez toutes vos données importantes.

1. Connectez-vous à l'ordinateur hébergeant la base de données OperationsManager.

2. Sur le bureau Windows, cliquez sur Démarrer, pointez sur Programmes, pointez sur

Pour configurer le numéro de port de la base de données OperationsManager

74

Microsoft SQL Server 2005, pointez sur Outils de configuration, puis cliquez sur Gestionnaire de configuration SQL Server.

3. Dans la boîte de dialogue Gestionnaire de configuration SQL Server, développez Configuration du réseau SQL Server 2005 puis cliquez sur Protocoles pour <INSTANCE>.

4. Dans le volet Résultats, cliquez avec le bouton droit sur TCP/IP puis cliquez sur Propriétés.

5. Dans la boîte de dialogue Propriétés de TCP/IP, cliquez sur l'onglet Adresses IP.

6. Plusieurs adresses IP s'affichent dans le format IP1, IP2, jusqu'à IPAll. L'une d'elles est l'adresse IP de l'adaptateur de bouclage, 127.0.0.1. D'autres adresses IP s'affichent pour chaque adresse IP de l'ordinateur. Développez IP1, IP2, jusqu'à IPAll.

7. Pour les zones IPn, si la boîte de dialogue Ports TCP dynamiques contient un 0, ce qui indique que le moteur de base de données écoute sur des ports dynamiques, supprimez le 0.

8. Dans la zone IPAll, si la boîte de dialogue Ports TCP dynamiques contient un numéro de port (qui indique le numéro de port dynamique qui a été attribué), supprimez le numéro de port.

9. Dans la zone IPAll, dans la boîte de dialogue Port TCP, entrer le numéro de port statique que vous voulez utiliser, puis cliquez sur OK.

10. Dans la boîte de dialogue Gestionnaire de configuration SQL Server, cliquez sur Services SQL Server 2005.

11. Dans le volet Résultats du Gestionnaire de configuration SQL Server, cliquez avec le bouton droit sur SQL Server Browser et sélectionnez Propriétés.

12. Dans la boîte de dialogue Propriétés de SQL Server Browser, cliquez sur l'onglet Service.

13. Dans l'onglet Service, cliquez sur Mode de démarrage. Dans la liste Mode de démarrage, cliquez sur Désactivé puis cliquez sur OK.

14. Dans le volet Résultats du Gestionnaire de configuration SQL Server, cliquez avec le bouton droit sur SQL Server Browser puis cliquez sur Arrêter.

15. Dans le volet Résultats, cliquez avec le bouton droit sur SQL Server (<nom d'instance>) puis cliquez sur Redémarrer.

16. Fermez le Gestionnaire de configuration SQL Server.

1. Sur l'ordinateur qui héberge la base de données OperationsManager, sur le bureau Windows, cliquez sur Démarrer, pointez sur Programmes, Microsoft SQL Serveur 2005, puis cliquez sur SQL Server Management Studio.

2. Dans la boîte de dialogue Connexion au serveur, dans la liste Type de serveur, sélectionnez Moteur de base de données.

Pour entrer le numéro de port de SQL Server dans la table dbo.MT_ManagementGroup

75

3. Dans la liste Nom du serveur, tapez le nom du serveur, l'instance et le numéro de port de votre base de données OperationsManager (par exemple, ordinateur\<instance>).

4. Dans la liste Authentification, choisissez Authentification Windows, puis cliquez sur Se connecter.

5. Dans le volet Explorateur d'objets, développez successivement Bases de données, OperationsManager, Tables, cliquez avec le bouton droit sur dbo.MT_ManagementGroup, puis cliquez sur Ouvrir une table.

6. Dans le volet Résultats, faites défiler vers la droite jusqu'à la colonne intitulée SQLServerName_<guid>.

7. Sur la première ligne, entrez ordinateur\<instance>, une virgule, un espace, puis le numéro de port de SQL Server (par exemple, ordinateur\INSTANCE1, <port>).

8. Cliquez sur Fichier, puis sur Quitter.

1. Connectez-vous à l'ordinateur hébergeant le serveur d'administration racine.

2. Sur le bureau Windows, cliquez sur Démarrer, puis sur Exécuter, tapez regedit, puis cliquez sur OK.

3. Sur la page Éditeur du Registre, développez successivement HKEY_LOCAL_MACHINE, SOFTWARE, Microsoft, Microsoft Operations Manager, 3.0, puis cliquez sur Installation.

4. Dans le volet Résultats, cliquez avec le bouton droit sur DatabaseServerName, puis cliquez sur Modifier.

5. Dans la boîte de dialogue Modification de la chaîne, dans la zone de texte Données de la valeur, ajoutez une virgule et un espace au nom du serveur de la base de données, puis tapez le numéro de port. Par exemple, <nom_ordinateur>\<instance>, <numéro de port>.

6. Cliquez sur OK.

Procédure de configuration de l'entrepôt de données de rapports pour écouter sur un port TCP/IP spécifiqueEffectuez les procédures suivantes pour configurer un port statique pour l'entrepôt de données de rapports :

Utilisez le gestionnaire de configuration SQL Server pour désactiver l'adressage de port dynamique, spécifier un port statique, désactiver et arrêter le service SQL Server Browser, puis redémarrez le service <Instance> SQL Server.

Modifiez la table dbo.MT_ManagementGroup avec le numéro de port statique.

Modifiez la table dbo.MemberDatabase avec le numéro de port statique.

Pour modifier le Registre sur le serveur d'administration racine

76

Modifiez le Registre pour configurer le numéro de port statique sur le serveur d'administration racine.

Attention Une modification incorrecte du Registre peut endommager gravement votre système. Par conséquent, avant d'apporter des modifications au Registre, sauvegardez toutes vos données importantes.

Modifiez les paramètres de SQL Server Reporting Services.

1. Connectez-vous à l'ordinateur hébergeant l'entrepôt de données de rapports.

2. Sur le bureau Windows, cliquez sur Démarrer, pointez sur Programmes, pointez sur Microsoft SQL Server 2005, pointez sur Outils de configuration, puis cliquez sur Gestionnaire de configuration SQL Server.

3. Dans la boîte de dialogue Gestionnaire de configuration SQL Server, développez Configuration du réseau SQL Server 2005 puis cliquez sur Protocoles pour <INSTANCE>.

4. Dans le volet Résultats, cliquez avec le bouton droit sur TCP/IP puis cliquez sur Propriétés.

5. Dans la boîte de dialogue Propriétés de TCP/IP, cliquez sur l'onglet Adresses IP.

6. Plusieurs adresses IP s'affichent dans le format IP1, IP2, jusqu'à IPAll. L'une d'elles est l'adresse IP de la carte de bouclage, 127.0.0.1. D'autres adresses IP s'affichent pour chaque adresse IP de l'ordinateur. Développez IP1, IP2, jusqu'à IPAll.

7. Pour les zones IPn, si la boîte de dialogue Ports TCP dynamiques contient un 0, ce qui indique que le moteur de base de données écoute sur des ports dynamiques, supprimez le 0.

8. Dans la zone IPAll, si le champ Ports TCP dynamiques contient un numéro de port (qui indique le numéro de port dynamique qui a été attribué), supprimez le numéro de port.

9. Dans la zone IPAll, dans la boîte de dialogue Port TCP, entrez le numéro de port statique que vous voulez utiliser, puis cliquez sur OK.

10. Dans la boîte de dialogue Gestionnaire de configuration SQL Server, cliquez sur Services SQL Server 2005.

11. Dans le volet Résultats du Gestionnaire de configuration SQL Server, cliquez avec le bouton droit sur SQL Server Browser et sélectionnez Propriétés.

12. Dans la boîte de dialogue Propriétés de SQL Server Browser, cliquez sur l'onglet Service.

13. Dans l'onglet Service, cliquez sur Mode de démarrage. Dans la liste Mode de démarrage, cliquez sur Désactivé puis cliquez sur OK.

14. Dans le volet Résultats du Gestionnaire de configuration SQL Server, cliquez avec le bouton droit sur SQL Server Browser puis cliquez sur Arrêter.

Pour configurer le numéro de port de la base de données OperationsManager

77

15. Dans le volet Résultats, cliquez avec le bouton droit sur SQL Server (<nom d'instance>) puis cliquez sur Redémarrer.

16. Fermez le Gestionnaire de configuration SQL Server.

1. Sur l'ordinateur qui héberge la base de données OperationsManager, sur le bureau Windows, cliquez sur Démarrer, pointez sur Programmes, Microsoft SQL Server 2005, puis cliquez sur SQL Server Management Studio.


3. Dans la liste Nom du serveur, tapez le serveur et l'instance de votre base de données OperationsManager (par exemple, ordinateur\INSTANCE1).


5. Dans le volet Explorateur d'objets, développez successivement Bases de données, OperationsManager, Tables, cliquez avec le bouton droit sur dbo.MT_DataWarehouse, puis cliquez sur Ouvrir une table.

6. Dans le volet Résultats, faites défiler vers la droite jusqu'à la colonne intitulée MainDatabaseServerName_<guid>.

7. Sur la première ligne, entrez ordinateur\<instance>, une virgule, un espace, puis le numéro de port de SQL Server (par exemple, ordinateur\<instance>, <port>).


1. Sur l'ordinateur qui héberge l'entrepôt de données de rapports, sur le bureau Windows, cliquez sur Démarrer, pointez sur Programmes, pointez sur Microsoft SQL Server 2005 puis cliquez sur SQL Server Management Studio.


3. Dans la liste Nom du serveur, tapez le serveur et l'instance de votre base de données OperationsManager (par exemple, ordinateur\<instance>).


5. Dans le volet Explorateur d'objets, développez successivement Bases de données, OperationsManagerDW, Tables, cliquez avec le bouton droit sur dbo.MemberDatabase, puis cliquez sur Ouvrir une table.

6. Dans le volet Résultats, faites défiler vers la droite jusqu'à la colonne intitulée ServerName.

7. Sur la première ligne, entrez ordinateur\<instance>, une virgule, un espace, puis le

Pour entrer le numéro de port de SQL Server dans la table dbo.MT_ManagementGroup

Pour entrer le numéro de port de SQL Server dans la table dbo.MemberDatabase

78

numéro de port de SQL Server (par exemple, ordinateur\<instance>, <port>).



2. Sur le bureau Windows, cliquez sur Démarrer, puis sur Exécuter, tapez regedit, puis cliquez sur OK.

3. Sur la page Éditeur du Registre, développez successivement HKEY_LOCAL_MACHINE, SOFTWARE, Microsoft, Microsoft Operations Manager, 3.0, puis cliquez sur Reporting.

4. Dans le volet Résultats, cliquez avec le bouton droit sur DWDBInstance, puis cliquez sur Modifier.

5. Dans la boîte de dialogue Modification de la chaîne, dans la zone de texte Données de la valeur, ajoutez une virgule et un espace au nom du serveur de la base de données, puis tapez le numéro de port. Par exemple, <nom_ordinateur>\<instance>, <numéro de port>.

6. Cliquez sur OK.


2. Démarrez Internet Explorer et connectez-vous à http://<nom de l’ordinateur>/reports$<nom de l'instance>.

3. Cliquez sur l'onglet Contenu.

4. Sur le côté droit de la barre d'outils, cliquez sur Afficher les détails.

5. Cliquez sur Entrepôt de données principal.6. Dans la zone de texte Chaîne de connexion, localisez la ligne indiquant

source=<ordinateur>\<instance>;initial.7. Ajoutez une virgule et un espace au nom de l'instance, puis tapez le numéro de port

statique. Par exemple, Source=<ordinateur>\<instance>, <port>;initial.8. Cliquez sur Appliquer puis fermez le navigateur.

Utilisation de certificats avec ACS dans Operations Manager 2007Lorsque le redirecteur des services ACS se trouve dans un domaine séparé du domaine dans lequel se situe le collecteur des services ACS et qu'aucune approbation bidirectionnelle n'existe entre les deux domaines, des certificats doivent être utilisés pour que l'authentification puisse avoir lieu entre le redirecteur ACS et le collecteur des services ACS.

Pour modifier le Registre sur le serveur de rapports

Pour modifier SQL Server Reporting Services

79

Il est supposé que les événements suivants se sont déjà produits sur l'ordinateur hébergeant le redirecteur ACS avant la mise en place des certificats pour les services ACS :

Un agent a été installé sur l'ordinateur qui servira de redirecteur ACS. Pour plus d'informations, voir la rubrique How to Deploy the Operations Manager 2007 Agent Using the Agent Setup Wizard (Procédure de déploiement de l'agent Operations Manager 2007 à l'aide de l'Assistant Installation de l'agent) (http://go.microsoft.com/fwlink/?LinkId=91128).

Un certificat (et le certificat de l'autorité de certification) a été installé sur l'ordinateur hébergeant l'agent. Pour plus d'informations, voir la rubrique Certificates in Operations Manager 2007 (Certificats dans Operations Manager 2007) (http://go.microsoft.com/fwlink/?LinkId=91129).

Sur l'ordinateur hébergeant le collecteur des services ACS, il est supposé que l'action suivante a été accomplie avant la mise en place des certificats pour les services ACS :

Un certificat (et le certificat de l'autorité de certification) a été installé sur le serveur d'administration hébergeant le collecteur des services ACS. Pour plus d'informations, voir la rubrique Certificates in Operations Manager 2007 (Certificats dans Operations Manager 2007) (http://go.microsoft.com/fwlink/?LinkId=91129).

L'agent inactif a été approuvé et la communication entre l'agent et le serveur d'administration fonctionne correctement (l'agent apparaît comme Sain dans la console Operations Manager et les packs d'administration ont été déployés vers l'agent). Pour plus d'informations, voir la rubrique How to Approve an Operations Manager 2007 Agent Installed for a Management Group Using MOMAgent.msi (Procédure d'approbation d'un agent Operations Manager 2007 installé pour un groupe d'administration à l'aide de MOMAgent.msi) (http://go.microsoft.com/fwlink/?LinkId=91130).

Le collecteur des services ACS et la base de données ont été installés. Pour plus d'informations, voir la rubrique How to Install an ACS Collector and Database (Procédure d'installation d'un collecteur et d'une base de données des services ACS) (http://go.microsoft.com/fwlink/?LinkId=91142).

La description qui suit est une vue d'ensemble de la procédure à exécuter pour utiliser des certificats avec les services ACS.

Remarque Les certificats utilisés sur différents composants Operations Manager 2007 (par exemple, le collecteur des services ACS, le redirecteur ACS, l'agent, le serveur de passerelle, le serveur d'administration ou le serveur d'administration racine) doivent être délivrés par la même autorité de certification.

Sur l'ordinateur hébergeant le collecteur des services ACS :

Exécutez la commande ADTServer -c.

Mappez le certificat du redirecteur ACS dans Active Directory.

Dans la console Operations Manager, activez ACS.

Sur l'ordinateur hébergeant le redirecteur ACS :

Exportez le certificat sur un disque, un lecteur flash USB ou un partage réseau.

80













Exécutez la commande ADTAgent -c.

Voir aussiProcédure de configuration des certificats sur le collecteur ACS dans Operations Manager 2007

Procédure de configuration des certificats sur le redirecteur ACS dans Operations Manager 2007

Procédure de configuration des certificats sur le collecteur ACS dans Operations Manager 2007Lorsque les certificats ont été installés entre l'agent et le serveur d'administration et que les services ACS ont été déployés, effectuez les procédures suivantes sur les ordinateurs hébergeant le collecteur des services ACS ; ces opérations sont nécessaires pour configurer les services ACS afin qu'ils utilisent des certificats.

Remarque Lorsque vous aurez terminé ces procédures, vous devrez activer les redirecteurs ACS. Pour plus d'informations, voir la rubrique How To Enable ACS Forwarders In Operations Manager 2007 (Procédure d'activation des redirecteurs ACS dans Operations Manager 2007) (http://go.microsoft.com/fwlink/?LinkId=91143).


3. À l'invite de commandes, tapez <lettre_lecteur>: (où <lettre_lecteur> est le lecteur sur lequel est installé le système d'exploitation), puis appuyez sur ENTRÉE.

4. Tapez cd %systemroot%, puis appuyez sur ENTRÉE.

5. Tapez cd system32\security\adtserver, puis appuyez sur ENTRÉE.

6. Tapez net stop adtserver puis appuyez sur ENTRÉE.

7. Tapez adtserver -c, puis appuyez sur ENTRÉE.

8. Dans la liste de certificats numérotée, trouvez le certificat utilisé pour Operations Manager, tapez le numéro figurant dans la liste (ce devrait être 1), puis appuyez sur ENTRÉE.

9. Tapez net start adtserver puis appuyez sur ENTRÉE.

1. Connectez-vous à l'ordinateur hébergeant Active Directory.

2. Sur le bureau Windows, cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.

3. Développez le nom de domaine, cliquez avec le bouton droit sur Ordinateurs, pointez sur Nouveau, puis cliquez sur Ordinateur.

Pour attribuer un certificat au collecteur des services ACS

Pour configurer le mappage nommé au certificat

81




4. Dans la boîte de dialogue Nouvel objet - Ordinateur, entrez le nom NetBios de l'ordinateur hébergeant le redirecteur ACS, puis cliquez sur Suivant. Répétez cette étape pour chaque ordinateur qui héberge un redirecteur ACS.

5. Dans la boîte de dialogue Gérés vérifiez que l'option Ceci est un ordinateur pris en charge n'est pas sélectionnée, puis cliquez sur Suivant.

6. Dans la boîte de dialogue Nouvel objet - Ordinateur, cliquez sur Terminer.7. Dans Utilisateurs et ordinateurs Active Directory, dans le volet de droite, cliquez avec

le bouton droit sur l'ordinateur (ou les ordinateurs) que vous avez ajouté(s), puis cliquez sur Mappages des noms.

8. Dans la boîte de dialogue Mappage des identités de sécurité, cliquez sur Certificats X.509, puis cliquez sur Ajouter.

9. Dans la boîte de dialogue Ajouter un certificat, cliquez sur le menu Regarder dans, sélectionnez l'emplacement où se trouve le certificat, puis cliquez sur Ouvrir.

10. Dans la boîte de dialogue Ajouter un certificat, vérifiez que l'option Utiliser le sujet en tant qu'identité de sécurité de substitution est sélectionné, puis cliquez sur OK.

11. Dans la boîte de dialogue Mappage des identités de sécurité, cliquez sur OK.

12. Répétez les étapes 4 à 11 pour chaque ordinateur que vous avez ajouté.

Voir aussiUtilisation de certificats avec ACS dans Operations Manager 2007

Procédure de configuration des certificats sur le redirecteur ACS dans Operations Manager 2007

Procédure de configuration des certificats sur le redirecteur ACS dans Operations Manager 2007Lorsque les certificats ont été installés entre l'agent et le serveur d'administration et que les services ACS ont été déployés, effectuez les procédures suivantes sur les ordinateurs hébergeant le redirecteur ACS ; ces opérations sont nécessaires pour configurer les services ACS afin qu'ils utilisent des certificats.


3. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.



Pour exporter le certificat

82


7. Dans la boîte de dialogue Sélectionner un ordinateur, sélectionnez Ordinateur local (l'ordinateur sur lequel cette console s'exécute), puis cliquez sur Terminer.



10. Dans le volet Racine de la console\Certificats (ordinateur local), développez Certificats (ordinateur local), développez Personnels, puis cliquez sur Certificats.

11. Dans le volet des résultats, cliquez avec le bouton droit sur le certificat que vous utilisez pour Operations Manager, pointez sur Toutes les tâches, puis cliquez sur Exporter.

12. Dans l'Assistant Exportation de certificat, sur la page d'accueil, cliquez sur Suivant.13. Sur la page Exportation de la clé privée, sélectionnez Non, ne pas exporter la clé

privée, puis cliquez sur Suivant.14. Sur la page Format de fichier d'exportation, sélectionnez Binaire codé DER X.509

(.cer), puis cliquez sur Suivant.15. Sur la page Fichier à exporter, cliquez sur Parcourir.16. Sur la page Enregistrer sous, sélectionnez un dossier et un nom de fichier pour le

certificat, vérifiez que l'option Type est réglée sur Binaire codé DER X.509 (*.cer), puis cliquez sur Enregistrer.

Remarque Vous devrez copier ce certificat sur l'ordinateur hébergeant le collecteur des services ACS ; choisissez par conséquent un emplacement à partir duquel le collecteur des services ACS pourra lire, ou envisagez d'enregistrer le certificat sur un disque, un lecteur flash USB ou un partage réseau. En outre, nous vous conseillons d'inclure le nom de l'ordinateur dans le nom du fichier si vous exportez des certificats à partir de différents ordinateurs.

17. Sur la page Fichier à exporter, vérifiez que le chemin d'accès et le nom du fichier sont corrects, cliquez sur Suivant, puis cliquez sur Terminer.


3. À l'invite de commandes, tapez <lettre_lecteur>: (où <lettre_lecteur> est le lecteur sur lequel est installé le système d'exploitation), puis appuyez sur ENTRÉE.

4. Tapez cd %systemroot% et appuyez sur ENTRÉE.

5. Tapez cd system32, puis appuyez sur ENTRÉE.

Pour exécuter la commande adtagent

83

6. Tapezadtagent -c et appuyez sur ENTRÉE.

7. Une liste de certificats numérotée s'affiche. Trouvez le certificat utilisé pour Operations Manager, tapez le numéro figurant dans la liste (ce devrait être 1), puis appuyez sur ENTRÉE.

8. Tapez exit pour fermer la fenêtre de commande.

Voir aussiProcédure de configuration des certificats sur le collecteur ACS dans Operations Manager 2007

Utilisation de certificats avec ACS dans Operations Manager 2007

Considérations sur la sécurité pour la gestion sans agent dans Operations Manager 2007.La gestion sans agent vous permet d'analyser des ordinateurs sans y installer d'agent. Vous pouvez par exemple utiliser la gestion sans agent pour des ordinateurs inclus dans des environnements spéciaux dans lesquels il n'est pas possible d'installer un agent.

Le serveur d'administration communique avec l'ordinateur géré sans agent sur le port RPC (TCP 135) et sur la plage de ports DCOM ; l'utilisation de la gestion sans agent pour un ordinateur situé à l'extérieur d'un pare-feu n'est par conséquent pas prise en charge.

Pour utiliser la gestion sans agent, le compte d'action du serveur d'administration doit aussi être un administrateur local sur l'ordinateur distant et doit se situer dans le même domaine, ou une relation d'approbation doit exister entre leurs domaines. Par exemple, un agent proxy s'exécutant en tant que compte à faibles privilèges ne pourra pas accéder à l'espace de noms WMI ; par conséquent, l'exécution des règles, scripts et analyses échouera.

Sécurité de la console Web dans Operations Manager 2007Le serveur de console Web est une version de type navigateur du volet Analyse de la console Opérateur d'Operations Manager 2007. Le serveur de console Web est généralement utilisé lorsque vous souhaitez accéder à des données d'analyse de groupe d'administration d'Operations Manager 2007 des façons suivantes :

Depuis Internet

Sans installer la console Opérateur

À partir d'un endroit doté d'une connexion bas débit

Lorsque les notifications sont configurées pour contenir des liens hypertextes vers les alertes pertinentes dans la console Web

L'installation de la console Web se traduit par l'installation d'un nouveau site Web et d'un nouveau pool d'applications dans les Services Internet (IIS). Le nouveau site Web est nommé

84

console Web Operations Manager 2007 et le nouveau pool d'applications est nommé OPWebConsoleApp. Le port par défaut pour accéder à la console Web à partir d'un navigateur en utilisant l'authentification Windows est 51908.

Pendant l'installation de la console Web, vous êtes invité à sélectionner l'authentification Windows ou l'authentification par formulaires. Avec l'authentification Windows, Microsoft recommande vivement d'utiliser SSL. Avec l'authentification par formulaires, SSL est requis.

L'authentification Windows peut être utilisée si tous vos utilisateurs accèdent à Operations Manager à partir de l'intranet.

Remarque Le serveur de console Web doit être installé sur le serveur d'administration racine si vous sélectionnez l'authentification Windows.

Si vos utilisateurs doivent accéder à la console Web depuis Internet, sélectionnez Authentification par formulaires.

Remarque La meilleure pratique pour accéder à la console Web depuis Internet est d'utiliser l'authentification par formulaires avec SSL via la console Web.

Avec l'authentification par formulaires ou l'authentification Windows, les informations d'identification que vous fournissez doivent être membre d'un rôle d'utilisateur dans Operations Manager 2007.

Connexion de la console Web à InternetLa meilleure pratique pour l'implémentation de l'accès à Internet de la console Web consiste à placer le serveur de console Web dans un réseau de périmètre connecté à Internet. Configurez la console Web pour utiliser l'authentification par formulaires et installez un certificat SSL/TLS sur IIS. Vous devrez ouvrir le port 5724 entre le serveur de console Web et Operations Manager 2007. Le canal entre le serveur de console Web et le serveur d'administration racine est chiffré.

Pour plus d'informations, consultez l'article suivant de la Base de connaissances Comment faire pour implémenter SSL dans IIS (http://go.microsoft.com/fwlink/?LinkId=87862).

Annexe A : Liste des opérations dans Operations Manager 2007Cette annexe fournit une liste des opérations qui sont disponibles pour chaque profil dans Operations Manager 2007.

85



Opérateur de rapportsLe profil Opérateur de rapports comprend un ensemble de privilèges destinés aux utilisateurs qui doivent accéder aux rapports. Un rôle basé sur le profil Opérateur de rapports accorde aux membres le droit de consulter des rapports en fonction de leur étendue configurée.

Récupérer l'instance de l'entrepôt de données pour le groupe d'administration

Écrire dans les rapports favoris

Supprimer des rapports favoris

Lire des rapports favoris

Mettre à jour des rapports favoris

Lire des rapports

Exécuter des rapports

Opérateur en lecture seuleLe profil Opérateur en lecture seule comprend un ensemble de privilèges destinés aux utilisateurs qui doivent accéder aux alertes et aux affichages en lecture seule. Un rôle basé sur le profil Opérateur en lecture seule accorde aux membres le droit de consulter des alertes et d'accéder à des affichages en fonction de leur étendue configurée.

Lire des alertes

Récupérer l'instance de l'entrepôt de données pour le groupe d'administration

Lire l'état d'une résolution

Lire une instance d'un connecteur

Lire des tâches de console

Énumérer des objets de diagnostic

Énumérer les résultats de diagnostics

Énumérer des objets de détection tels que définis dans un pack d'administration

Lire des règles de détection

Lire des événements

Écrire dans des tâches de console favorites

Supprimer des tâches de console favorites

Énumérer des tâches de console favorites

Mettre à jour des tâches de console favorites

Écrire des affichages favoris

Supprimer des affichages favoris

Énumérer des affichages favoris

Mettre à jour des affichages favoris

Énumérer des objets d'analyse

86

Énumérer des classes d'analyse

Énumérer des classes de relations d'analyse

Énumérer des packs d'administration

Énumérer des types d'analyse

Énumérer des types de module

Énumérer des analyses

Énumérer des remplacements

Énumérer des données de performances

Énumérer des objets de détection tels que définis dans un pack d'administration

Énumérer l'état de détections antérieures

Énumérer les relations entre objets analysés

Énumérer des règles

Énumérer des recherches enregistrées

Mettre à jour des recherches enregistrées

Écrire dans des recherches enregistrées

Supprimer des recherches enregistrées

Énumérer des états

Accorder l'accès à des groupes d'administration connectés

Énumérer des affichages

Énumérer des types d'affichages

OpérateurLe profil Opérateur comprend un ensemble de privilèges destinés aux utilisateurs qui doivent accéder aux alertes, aux affichages et aux tâches. Un rôle basé sur le profil Opérateur accorde aux membres le droit d'interagir avec des alertes, d'exécuter des tâches et d'accéder à des affichages en fonction de leur étendue configurée. Le profil Opérateur contient tous les privilèges du profil Opérateur en lecture seule en plus de ceux répertoriés ci-dessous.

Mettre à jour des alertes

Exécuter des diagnostics

Créer des tâches favorites

Supprimer des tâches favorites

Énumérer des tâches favorites

Mettre à jour des tâches favorites

Exécuter des routines de récupération

Mettre à jour des paramètres du mode Maintenance

Énumérer des actions de notification

87

Supprimer des actions de notification

Mettre à jour des actions de notification

Énumérer des points de terminaison de notification

Énumérer des destinataires de notification

Supprimer des destinataires de notification

Mettre à jour des destinataires de notification

Énumérer des abonnements de notification

Supprimer des abonnements de notification

Mettre à jour des abonnements de notification

Énumérer des tâches

Énumérer des états de tâches

Exécuter des tâches

Opérateur avancéLe profil Opérateur avancé comprend un ensemble de privilèges destinés aux utilisateurs qui doivent accéder à un ajustement limité des configurations de l'analyse en plus des privilèges d'opérateur. Un rôle basé sur le profil Opérateur avancé donne aux membres la possibilité de remplacer la configuration des règles et des analyses pour des cibles ou groupes de cibles spécifiques au sein de l'étendue configurée. Le profil Opérateur avancé contient tous les privilèges du profil Opérateur et du profil Opérateur en lecture seule en plus de ceux répertoriés ci-dessous.

Mettre à jour des packs d'administration

Énumérer des modèles

AuteurLe profil Auteur comprend un ensemble de privilèges permettant de créer des configurations de l'analyse. Un rôle basé sur le profil Auteur accorde aux membres la possibilité de créer, modifier et supprimer des configurations d'analyse (tâches, règles, analyses et affichages) au sein de l'étendue configurée. Par commodité, le profil Auteur peut également être configuré pour disposer des privilèges de l'Opérateur avancé avec une étendue limitée par groupe. Le profil Auteur contient tous les privilèges des profils Opérateur avancé, Opérateur et Opérateur en lecture seule en plus de ceux répertoriés ci-dessous.

Créer des packs d'administration

Supprimer des packs d'administration

Énumérer des profils d'identification

88

AdministrateurLe profil Administrateur comprend tous les privilèges d'Operations Manager. Aucune limitation de l'étendue du profil Administrateur n'est prise en charge. Le profil Administrateur contient tous les privilèges des profils Auteur, Opérateur avancé, Opérateur et Opérateur en lecture seule en plus de ceux répertoriés ci-dessous.

Créer un état de résolution

Supprimer un état de résolution

Mettre à jour un état de résolution

Déployer un agent

Réparer ou mettre à jour un agent installé

Désinstaller un agent

Énumérer les paramètres des agents

Mettre à jour les paramètres des agent

Énumérer des agents

Démarrer ou arrêter la gestion d'ordinateurs ou de périphériques via un service de contrôle d'intégrité proxy

Énumérer des ordinateurs ou des périphériques gérés via un service de contrôle d'intégrité proxy

Insérer une instance d'ordinateur ou de périphérique

Supprimer une instance d'ordinateur ou de périphérique

Exécuter une tâche de détection

Créer des événements

Énumérer des paramètres globaux

Mettre à jour des paramètres globaux

Exporter des packs d'administration

Énumérer des serveurs d'administration

Supprimer un point de terminaison de notification

Mettre à jour un point de terminaison de notification

Créer des données de performances

Créer des comptes d'identification

Supprimer des comptes d'identification

Énumérer des comptes d'identification

Mettre à jour des comptes d'identification

Créer des mappages entre des comptes d'identification et des profils d'identification

Supprimer des mappages entre des comptes d'identification et des profils d'identification

Énumérer des mappages entre des comptes d'identification et des profils d'identification

Mettre à jour des mappages entre des comptes d'identification et des profils d'identification

89

Créer des groupes d'administration connectés

Supprimer des groupes d'administration connectés

Énumérer des rôles d'utilisateurs

Supprimer des rôles d'utilisateurs

Mettre à jour des rôles d'utilisateurs

Écrire dans les rapports favoris

Supprimer des rapports favoris

Lire des rapports favoris

Mettre à jour des rapports favoris

Lire des rapports


Administrateur de sécurité des rapportsLe profil Administrateur de sécurité des rapports comprend un jeu de privilèges conçus pour permettre l'intégration de la sécurité de SQL Server Reporting Services dans Operations Manager.

Exporter des packs d'administration

Énumérer des classes telles que définies dans les packs d'administration

Énumérer des packs d'administration


Énumérer des règles

Annexe B : Liste des valeurs de hachage pour les agents UNIX et LinuxCette annexe répertorie les valeurs de hachage pour les binaires de l'agent pour les ordinateurs fonctionnant sous UNIX et Linux.

Valeurs de hachage MD5

Agent Fichier Hachage MD5

AIX 5.3 POWER scx-1.0.4-248.aix.5.ppc.lpp.gz a8ef3ebbed8cef7e98030b77ce01079f

AIX 6.1 POWER scx-1.0.4-248.aix.6.ppc.lpp.gz 9d9a43a34576cc29cd150b947017d3fe

HPUX 11iv2 IA64 scx-1.0.4-248.hpux.11iv2.ia64.depot.Z

6d4faad6e35830d8df01cf2afcc33243

HPUX 11iv2 scx-1.0.4- 12a611c53a9f02b8c49be1a6d4966e58

90

Agent Fichier Hachage MD5

PARISC 248.hpux.11iv2.parisc.depot.Z

HPUX 11iv3 IA64 scx-1.0.4-248.hpux.11iv3.ia64.depot.Z

855518128e2a96b976b2dbdca6dec164

HPUX 11iv3 PARISC

scx-1.0.4-248.hpux.11iv3.parisc.depot.Z

5a08f1eadb99dc30d1ec25b2a8add395

RHEL 4 x64 scx-1.0.4-248.rhel.4.x64.rpm 4e6a0800d2a579c35837373ee988a3f2

RHEL 4 x86 scx-1.0.4-248.rhel.4.x86.rpm 5d059616e158d0cb0d36e43c81e4b218

RHEL 5 x64 scx-1.0.4-248.rhel.5.x64.rpm 1f47c05508f94ecd4329facbf6ff4d97

RHEl 5 x86 scx-1.0.4-248.rhel.5.x86.rpm ac291fff0ae029c46b4bb9b0fc65226e

SLES 9 x86 scx-1.0.4-248.sles.9.x86.rpm 2a81ce3f40eabe605f1c8ddcad141c28

SLES 10 x64 scx-1.0.4-248.sles.10.x64.rpm 9911d90e16445b32ecc4d6aed9775ff1

SLES 10 x86 scx-1.0.4-248.sles.10.x86.rpm 04f77082ddb4c12da045b298dc1eab61

Solaris 8 SPARC scx-1.0.4-248.solaris.8.sparc.pkg.Z

b3f5ab647d34d54b43f0810bb002f4c6

Solaris 9 SPARC scx-1.0.4-248.solaris.9.sparc.pkg.Z

eb67396ee081155615b5a2d5e851a176

Solaris 10 SPARC

scx-1.0.4-248.solaris.10.sparc.pkg.Z

99ed166b51517b4356f66276b2b223dc

Solaris 10 x86 scx-1.0.4-248.solaris.10.x86.pkg.Z

dcf30dc553939aed648d0353342005cd

Valeurs de hachage SHA1

Agent Fichier SHA1

AIX 5.3 POWER

scx-1.0.4-248.aix.5.ppc.lpp.gz da18adfccd7eae140ddca6177b9470e0b5776dfc

AIX 6.1 POWER

scx-1.0.4-248.aix.6.ppc.lpp.gz cf702d3e13254eb6c8eb476c748eba346b5e775b

HPUX 11iv2 IA64

scx-1.0.4-248.hpux.11iv2.ia64.depot.Z

ceaf9b0d732ac94184d7ccedfdb2e3b4c1b761d7

HPUX 11iv2 scx-1.0.4-248.hpux.11iv2.parisc.depot.Z

cfa64d3d29f4ce7404229c6418983946cb46d415

91

Agent Fichier SHA1

PARISC

HPUX 11iv3 IA64


2e33c132f73e8355f663c864e9c5f39ac4a7c1c0

HPUX 11iv3 PARISC


e1836db997d1992fdf9a0d2c9b41938f5bf880ec

RHEL 4 x64 scx-1.0.4-248.rhel.4.x64.rpm 7061fbaa60f7b7b260445a26a0783f2b663c18df

RHEL 4 x86 scx-1.0.4-248.rhel.4.x86.rpm a36c7c3abed1db65bf1c21d5d1eb0b30ef57afe3

RHEL 5 x64 scx-1.0.4-248.rhel.5.x64.rpm c112b0093c020615ee93e61b32e8f705a0f324b3

RHEl 5 x86 scx-1.0.4-248.rhel.5.x86.rpm 9bf4a5e8acaf24497cd24bf16017a1b173cb1d50

SLES 9 x86 scx-1.0.4-248.sles.9.x86.rpm 63796e9167ce6a04fe82eb5202c3c98dfa0dd37c

SLES 10 x64

scx-1.0.4-248.sles.10.x64.rpm 391004f7535a7185d6817ed327c024b2d0e3777a

SLES 10 x86

scx-1.0.4-248.sles.10.x86.rpm b6b9923b47753d013b69f1abd638f1a9c0788234

Solaris 8 SPARC


08c2059863c4aaa5ee79790a83bb8f9da4b3240a

Solaris 9 SPARC


21f14b470de0e8d311c66d55e438c55688c5aadf

Solaris 10 SPARC


de0ddcf80dce18e0599ec20d29b57145126cee55

Solaris 10 x86

scx-1.0.4-248.solaris.10.x86.pkg.Z

499526bb43cb3ce9db6d7cf122b6bd5f15858bb4

Valeurs de hachage SHA256

Agent Fichier SHA256

AIX 5.3 POWER

scx-1.0.4-248.aix.5.ppc.lpp.gz

40f93e6c5dabc07ae983814bd24bae2f9f53448dcd51d5cb4ac43e47e51a2506

AIX 6.1 POW

scx-1.0.4-248.aix.6.ppc.lpp.gz

670e02e9af19bb3aea0593947676843faf6c360694bed41cd3a0bc0fd20fbbcc

92


ER

HPUX 11iv2 IA64


a60e92bcfb53b7d49bfb2dcc909690cb955800922fd54e496a27796e684ec3fc

HPUX 11iv2 PARISC


553390b3ef4cc21375bc307855bb16c9865b196c4403605fe1df079f9f503d74

HPUX 11iv3 IA64


f102b4c36447b1a2c6a6b374228fba03ec0547e3750826a94578d28a219f516a

HPUX 11iv3 PARISC


8d43eab9b481d51f4b9efb74ec5eb03e08eb5d8556032e745588e9b3a2eb327d

RHEL 4 x64

scx-1.0.4-248.rhel.4.x64.rpm

382b7d7afd1075cc188626b59b8f48b1c7666bdfc29c6bed1ab3e8191c9394fe

RHEL 4 x86

scx-1.0.4-248.rhel.4.x86.rpm

281d51128b98526f2223fcea93ebd72cf1b46ee81f4f5a65a08c17d39c2fb7dc

RHEL 5 x64

scx-1.0.4-248.rhel.5.x64.rpm

6448da9d2fbdc75e662255edbf22e4523c38f614baf9a0bcea9795a17be578d4

RHEl 5 x86

scx-1.0.4-248.rhel.5.x86.rpm

70408343a052ea77960315dd76ff70b9b42aad2c8c41c50997e2d5e2d30f0b1d

SLES 9 x86

scx-1.0.4-248.sles.9.x86.rpm

e628120ae89004d828bd8334330b2c44ea6cb165985b39149d28084e8849f86a

SLES 10 x64

scx-1.0.4-248.sles.10.x64.rpm

20be0a828a355f907f9a8a7dedbd8900e83f9be14b304c10054d9619b0c9998d

SLES 10 x86

scx-1.0.4-248.sles.10.x86.rpm

854262692e324bcbf78501a6b5d5199a10b4e608bcbed6524a82bee205d1f256

Solaris 8 SPARC


ad3754a5064d7733b7b096c111efbf5630927852c07b16ea0799bf7aefb1740a

93


Solaris 9 SPARC


81bec81c17ea8a86833accbda8c6045147b08f38b600b7cea0dcc730a59b2d90

Solaris 10 SPARC


a37a23b3ec25f8c1294c248d13cb73bbe5a7ea8fe2631bfbb42c847f724a90da

Solaris 10 x86

scx-1.0.4-248.solaris.10.x86.pkg.Z

54abb0189e2b70c13644c901dc495b045bdc1e2a087a634b222ca42b4826d6c9

94