Configuration de
 instance de Symantec Endpoint Protection Manager
pour l'authentification des administrateurs qui se connectent à l'aide de cartes à puce

Dans la version 14.2 ou ultérieure, les administrateurs qui travaillent pour des agences fédérales des États-Unis peuvent se connecter à
 instance de Symantec Endpoint Protection Manager
à l'aide d'une carte à puce.
Pour configurer l'authentification par carte à puce, l'administrateur doit procéder aux étapes suivantes :
A propos des cartes à puce
Les agences fédérales des États-Unis utilisent désormais un système logiciel qui permet l'authentification par carte à puce dans le cadre des standards HSPD-12. Une carte à puce fédérale des États-Unis contient les données nécessaires pour que le titulaire de la carte soit autorisé à accéder aux infrastructures et aux systèmes d'information fédéraux. Cet accès assure des niveaux de sécurité appropriés pour toutes les applications fédérales applicables.
Certains postes de travail ou ordinateurs client Windows disposent déjà de lecteurs PIV ou CAC intégrés aux claviers.
 instance de Symantec Endpoint Protection Manager
authentifie les administrateurs qui utilisent les types de carte à puce suivants :
  • Carte PIV (Personal Identity Verification) (pour les civils)
  • Carte CAS (Common Access Card) (pour le personnel militaire)
  • En mode FIPS :
     instance de Symantec Endpoint Protection Manager
    ne prend pas en charge les cartes à puce signées à l'aide d'ECDSA et RSASSA-PSS.
  • En mode non FIPS :
     instance de Symantec Endpoint Protection Manager
    ne prend pas en charge les cartes à puce signées à l'aide de RSASSA-PSS.
Voir : HSPD-12
Etape 1 : configuration de
 instance de Symantec Endpoint Protection Manager
pour l'authentification par carte à puce
Cette étape vérifie que le certificat de la carte est émis par l'autorité correcte. Ensuite, lorsque l'administrateur se connecte, le serveur de gestion lit le certificat de la carte à puce et le valide en se basant sur ces certificats AC.
Pour valider un fichier de certificat, le serveur de gestion vérifie que le fichier de certificat n'est pas répertorié dans une liste de révocation des certificats (CRL) sur Internet.
Assurez-vous que tous les fichiers racine et intermédiaires sont présents sur l'ordinateur des administrateurs. Sinon, ils ne pourront pas se connecter.
Pour configurer
 instance de Symantec Endpoint Protection Manager
pour l'authentification par carte à puce
  1. Dans la console, cliquez sur
    Administration > Serveurs
    et sélectionnez le nom de serveur de gestion local.
  2. Sous
    Tâches
    , cliquez sur
    Configurer l'authentification par carte à puce
    .
  3. Dans la zone de texte
    Spécifiez les chemins d'accès aux fichiers de certificat racine et/ou intermédiaire
    , accédez à un ou plusieurs fichiers de certificat, puis cliquez sur
    OK
    .
    Sélectionnez tous les fichiers de certificat que vous devez vérifier pour la révocation. Pour sélectionner plusieurs fichiers, appuyez sur
    Ctrl
    .
    Facultatif :
    si le serveur de gestion auquel l'administrateur se connecte ne peut pas accéder à Internet, dans la zone de texte
    Spécifiez les chemins d'accès aux listes de révocation des certificats
    , ajoutez un fichier .crl ou .pem. Vous devez également effectuer les tâches suivantes sur ces serveurs de gestion. Etape 2 : configuration du serveur de gestion pour effectuer la vérification de la révocation (les réseaux invisibles uniquement)
  4. Cliquez sur
    OK
    .
  5. Si l'administrateur se connecte à
     instance de Symantec Endpoint Protection Manager
    à distance à l'aide de la console web, il doit redémarrer le service
     instance de Symantec Endpoint Protection Manager
    et le service web
     instance de Symantec Endpoint Protection Manager
    .
Étape 2 (facultatif) : configuration du serveur de gestion pour effectuer la vérification de la révocation (requise pour les réseaux invisibles)
Si un serveur de gestion n'a pas accès à Internet, vous devez le configurer pour rechercher le fichier CRL sur l'ordinateur du serveur de gestion. Sans cette vérification, les administrateurs peuvent toujours se connecter, mais le serveur de gestion ne peut pas vérifier le fichier CRL, ce qui peut entraîner des problèmes de sécurité.
Pour configurer le serveur de gestion pour effectuer la vérification de révocation (réseaux invisibles uniquement)
  1. Sur ce serveur de gestion, ouvrez le fichier suivant :
    chemin d'installation de Symantec Endpoint Protection Manager
    \tomcat\etc\conf.properties
  2. Dans le fichier
    conf.properties
    , ajoutez
    smartcard.cert.revocation.ocsp.crldp.enabled=false
    et enregistrez le fichier.
  3. Redémarrez le serveur de gestion.
Étape 3 (facultatif) : configuration du serveur de gestion pour effectuer la vérification de la révocation (requise pour les réseaux invisibles)
Cette étape authentifie les administrateurs en tant qu'utilisateurs de la carte à puce via la configuration de l'authentification PIV. L'authentification PIV nécessite un certificat et une paire de clés qui est utilisée pour vérifier que les informations d'authentification PIV ont été émises par une entité autorisée, n'ont pas expiré et n'ont pas été révoquées. Les informations d'authentification PIV identifient également l'administrateur comme la personne à qui elle a été émise.
Avec cette étape, les utilisateurs ont juste à saisir leur nom d'utilisateur, insérer la carte à puce et saisir son code PIN pour se connecter à Symantec Endpoint Protection Manager. Il n'ont pas besoin de saisir un mot de passe Symantec Endpoint Protection Manager.
L'authentification par carte à puce n'est pas prise en charge via IPv6.
  1. Dans la console, cliquez sur
    Administration > Serveurs > Administrateurs
    .
  2. Ajoutez un nouvel administrateur ou modifiez un administrateur existant.
  3. Dans l'onglet
    Authentification
    , cliquez sur
    Activer l'authentification par carte à puce
    .
  4. Accédez au fichier de certificat d'authentification pour la carte PIV ou CAC de cet administrateur, puis cliquez sur
    OK
    .
  5. Dans la boîte de dialogue
    Confirmation de la modification
    , saisissez le mot de passe de l'administrateur et cliquez sur
    OK
    .
    Suivez cette étape pour chaque administrateur qui utilise une carte à puce pour se connecter à
     instance de Symantec Endpoint Protection Manager
    .
Etape 4 : connexion à
 instance de Symantec Endpoint Protection Manager
à l'aide d'une carte à puce
Pour se connecter à
 instance de Symantec Endpoint Protection Manager
, l'administrateur insère la carte dans un lecteur de carte à puce et saisit un code PIN. La carte à puce doit toujours être insérée dans le lecteur pendant que l'administrateur de la carte à puce est connecté et utilise le serveur de gestion. Si l'administrateur supprime la carte à puce,
 instance de Symantec Endpoint Protection Manager
déconnecte l'administrateur dans les 30 secondes.
La console Java et la console web prennent en charge l'authentification par carte à puce. La console RMM et l'API REST ne prennent pas en charge l'authentification par carte à puce.
Dépannage et réplication
Si deux sites se répliquent l'un l'autre, le site avec le fichier d'autorité de certification le plus récemment configuré remplace le fichier d'autorité de certification sur tous les autres sites.