Fonctionnalités de sécurité Client Automation › Cryptographie conforme à la norme FIPS › Modification de la stratégie de configuration dans le cadre de la modification du mode FIPS

Modification de la stratégie de configuration dans le cadre de la modification du mode FIPS

Pour modifier le mode FIPS de votre infrastructure Client Automation, vous devez modifier les stratégies FIPS au niveau de la stratégie de configuration par défaut. Ces stratégies déterminent le mode FIPS vers lequel vous souhaitez basculer ainsi que l'action à exécuter avant de passer d'un mode FIPS à un autre.

Si vous possédez un gestionnaire d'entreprise, effectuez les étapes ci-dessous. Les changements de stratégie sont automatiquement propagés à tous les gestionnaires de domaines associés, aux serveurs de modularité et aux agents. Si vous ne possédez pas de gestionnaire d'entreprise, procédez comme suit sur tous les gestionnaires de domaines.

Remarque : Effectuez cette tâche uniquement si le mode FIPS du gestionnaire est Préférence FIPS (prêt pour le mode FIPS‑uniquement).

Pour modifier la stratégie de configuration afin de modifier le mode FIPS :

1. Ouvrez le panneau de configuration et, dans Stratégie de configuration, cliquez avec le bouton droit de la souris sur Stratégie de configuration par défaut, puis cliquez sur Desceller.

   La stratégie est descellée et prête pour les mises à jour.

   Remarque : La modification du mode FIPS via les stratégies de configuration personnalisées n'est pas recommandée.

2. Allez dans DSM, Composants communs, Sécurité, Paramètres FIPS 140 et modifiez les stratégies suivantes :

   Paramètre FIPS 140

   Définit le niveau de conformité à la norme FIPS. Modifiez ce paramètre pour spécifier le mode FIPS vers lequel vous souhaitez basculer.

   Action sur modification

   Définit les actions à exécuter lors de la modification du paramètre FIPS 140.

   Remarque : Pour plus d'informations sur les valeurs de la stratégie pour ces paramètres, consultez l'aide de l'explorateur DSM.

3. Scellez la stratégie au niveau du gestionnaire. Pour plus d'informations sur le scellement de la stratégie, consultez la section Stratégie de configuration de l'aide de l'explorateur DSM.

   Les changements de stratégie sont propagés à tous les composants DSM associés. Ce processus prend du temps si votre infrastructure Client Automation est volumineuse.

4. Vous devez modifier manuellement le mode FIPS des composants suivants étant donné que les changements de stratégie ne seront pas automatiquement propagés à ces composants :
   • Agents autonomes Remote Control
   • Agents DSM non gérés sur le gestionnaire d'entreprise

     Remarque : Un agent non géré est un agent qui n'est relié à aucun gestionnaire de domaines. Si, par la suite, vous reliez l'agent non géré à un gestionnaire de domaines, le mode FIPS de l'agent sera remplacé par celui du gestionnaire de domaines.

   Pour modifier manuellement le mode FIPS, utilisez la commande suivante :

   ccnfcmda -cmd setparametervalue -ps /itrm/common/security/fips140 -pn installmode -v Mode_FIPS
   

   FIPS_MODE

   Spécifie le mode FIPS. Entrez 1 pour activer le mode Préférence FIPS et 2 pour le mode FIPS uniquement.

   Le mode FIPS spécifié est activé au niveau de l'agent, lorsque la commande est exécutée correctement.

   Remarque : L'explorateur DSM autonome et le générateur de rapports DSM ne requièrent aucune configuration spécifique étant donné que l'agent DSM est toujours installé avec l'installation‑autonome de ces deux composants et que les agents reçoivent automatiquement la mise à jour de stratégie envoyée par le gestionnaire.

5. Exécutez la commande suivante sur tous les composants DSM si vous n'avez pas modifié le paramètre par défaut de la stratégie Action sur modification ou si vous l'avez défini sur Passer en mode FIPS au prochain redémarrage de CA ITCM :

   caf stop
   caf start
   

   Le gestionnaire fonctionne dans le nouveau mode FIPS une fois le cadre d'applications communes redémarré.

6. Redémarrez toutes les instances de l'explorateur DSM, du générateur de rapports DSM et de la console Web.

   Le mode FIPS actualisé est maintenant disponible dans l'IUG.

7. Vérifiez que le mode FIPS des agents et des gestionnaires a basculé vers le mode FIPS requis.

   La vérification permet d'assurer la réussite du basculement.

   Remarque : Si l'utilitaire de conversion n'est pas exécuté correctement, le mode FIPS du gestionnaire reste Préférence FIPS (erreur lors de l'exécution de dsm_fips_conv).