Client Automation-Sicherheitsfunktionen › FIPS-konforme Kryptographie › Szenarien Wenn Änderungen der FIPS-Richtlinie nicht in Kraft treten

Szenarien Wenn Änderungen der FIPS-Richtlinie nicht in Kraft treten

Nachdem Sie die in der Konfigurationsrichtlinie festgelegte FIPS 140-Einstellung verändert und die Richtlinie auf dem Manager angewendet haben, führt Client Automation die in der Change-Aktionsrichtlinie für diesen Wertset festgelegte Aktion aus. In den folgenden Szenarien treten die Änderungen der FIPS-Richtlinie nicht in Kraft und Sie sehen keine auf der Change-Aktionsrichtlinie basierende Aktion.

• Die Richtlinie ist noch nicht auf dem Zielcomputer eingetroffen - Überprüfen Sie die Einstellungen des Zielcomputers mit dem folgenden Befehl:

  ccnfcmda -cmd getparametervalue -ps /itrm/common/security/fips140 -pn policy
  

  Der Befehl gibt 0 (frühere), 1 (FIPS-bevorzugt), oder 2 (Nur-FIPS) aus. Wenn der Befehl den neuen Wert für den FIPS-Modus zurückgibt, wird der neue Modus wirksam, wenn Client Automation neu startet und den Wert in den Installmode-Parameter kopiert. Wenn der Befehl den neuen Wert für den FIPS-Modus nicht zurückgibt, zeigt es an, dass die Richtlinie noch nicht am Zielcomputer eingetroffen ist.

  Um den derzeitigen FIPS-Modus auf dem Zielcomputer zu erhalten, verwenden Sie den folgenden Befehl:

  ccnfcmda -cmd getparametervalue -ps /itrm/common/security/fips140 -pn installmode
  

  Der Installmode-Parameter und der Richtlinienparameter müssen typischerweise den gleichen Wert enthalten. Wenn Client Automation nicht neu gestartet worden ist, nachdem die Richtlinie angewandt wurde, wird der Installmode-Parameter allerdings weiter den vorherigen Richtlinienwert beibehalten, bis Sie Client Automation neu starten.

  Hinweis: Für ausführlichere Information über den Ccnfcmda-Befehl zur Agentenkonfiguration tippen Sie "<command> /?" in der Befehlszeile eingeben.

• Eine "Nur-FIPS"-Richtlinie wird auf einen DSM-Manager angewendet, der entweder das Konvertierungshilfsprogramm nicht ausgeführt oder das Konvertierungshilfsprogramm mit Fehlern ausgeführt hat. Da der Modus "Nur-FIPS" erfordert, dass das Konvertierungshilfsprogramm erfolgreich ausgeführt wird, hat die Änderung der Richtlinie keine Wirkung, bis Sie das Konvertierungshilfsprogramm erfolgreich auf dem Manager ausführen:

  Um zu sehen, ob das Konvertierungshilfsprogramm auf dem Manager ausgeführt worden ist, verwenden Sie den folgenden Befehl:

  ccnfcmda -cmd getparametervalue -ps /itrm/common/security/fips140 -pn ready_for_fips_only
  

  Wenn der Befehl 1 zurückgibt, zeigt es an, dass das Hilfsprogramm erfolgreich auf dem Manager ausgeführt worden ist.

  Hinweis: Das Konvertierungshilfsprogramm muss erfolgreich ausgeführt worden sein, wenn Sie versuchen, vom Modus "FIPS-bevorzugt" in den Modus "Nur-FIPS" oder aus dem Modus "Nur‑FIPS" in den Modus "FIPS‑bevorzugt" zu wechseln.

• Der neue FIPS-Modus ist der gleiche wie der derzeitige FIPS-Modus. Wenn der Zielcomputer schon im gleichen FIPS-Modus wie der neue FIPS-Modus funktioniert, treten die Änderungen nicht auf dem Zielcomputer in Kraft.
• Wenn die Change-Aktionsrichtlinie auf "Den Benutzer bitten, ITCM bei Bereitschaft neu zu starten" festgelegt wird, erscheint ein Dialogfeld, das den Benutzer auffordert, Client Automation neu zu starten, wenn die Richtlinie den Zielcomputer erreicht. Wenn dieser Dialog nicht erscheint, überprüfen Sie den Parameter "restartaction" auf dem Zielcomputer mit dem folgenden Befehl:

  ccnfcmda -cmd getparametervalue -ps /itrm/common/security/fips140 -pn restartaction
  

  Wenn der Befehl nicht 2 zurückgibt, zeigt es an, dass die Richtlinie noch nicht beim Zielcomputer eingetroffen ist.

  Wichtig! Aktivieren Sie nicht die Option "Den Benutzer bitten, ITCM bei Bereitschaft neu zu starten" auf einem terminalen Server , da sonst alle Benutzern aufgefordert werden, Client Automation neu zu starten!