La tendance est au client "léger" et au déploiement simplifié. Bref, le navigateur internet a pris une part de plus en plus grande dans les déploiements de IBM Domino.
Mais, comme
aurait dit Monsieur de La Palisse, quand on a des clients "légers",
on n'a plus de client "lourd" ... et l'application des "policy" de mots de passe est différente.
Mettre en
place une politique de changement de mot de passe régulier pose un
problème car le processus de synchronisation est alors différent.
Pas de
solution ? Mais si, mais si... L'application de changement de mot de passe de
Tilaune.
Comme tout bon administrateur ou administratrice (mais les filles sont, hélas, trop rares... ), vous avez intégré l'ID Notes dans la base de courrier pour gérer Signature/Chiffrement des messages. Vous avez mis en place un IdVault et une politique de sécurité forçant la modification et la synchronisation.
Pas de soucis
pour vos clients Notes : ils changent les mots de passe de leur ID local en
temps et en heure. Les ids sont
synchronisés avec le serveur et tout le monde est content. Pour les clients iNotes, c'est différent.
Pourquoi la
politique de synchronisation des mots de passe ne fonctionne pas avec les
clients iNotes ?
Les options de la politique de sécurité pour le changement de mots de passe s’appliquent en totalité aux clients Notes mais certaines seulement aux clients iNotes.
Le paramètre
« Force user to change Internet Password on next login » de la fiche
Personne ne s'applique qu'au changement de mot de passe Internet (HTTPPassword) pour les clients iNotes. Il ne modifie ni l'IdVault ni l'id de la base.
La synchronisation du mot de passe de l’Id Notes se diffuse du client Notes vers le client iNotes et non dans le sens le contraire.
Si
l’utilisateur doit changer son mot de passe avec une synchronisation d'ID, il ne peut le faire que par les
« préférences/sécurité » de sa base de courrier.
Il pourra changer de mot de passe et il y aura synchronisation dans l'ID Vault, dans l'ID contenu dans la base et dans le champ HTTPPassword de la fiche personne.
Il pourra changer de mot de passe et il y aura synchronisation dans l'ID Vault, dans l'ID contenu dans la base et dans le champ HTTPPassword de la fiche personne.
Le changement
est laissé au bon vouloir de l'utilisateur... donc... jamais ou
presque ...
L'application de changement de mot de
passe de Tilaune :
Nous avons
été confronté à ce dilemme "Faire confiance aux utilisateurs pour les changements" :-) ou
"Mettre à disposition un outil pour les administrateurs" et ... nous
avons donc opté pour l'outil.
Comment fonctionne l’outil Tilaune ?
Sur la base
de deux agents principaux à planifier et d’un document de paramétrage.
Le premier
agent va auditer et lancer la demande de changement. L'autre va loguer ce qui
est fait par les utilisateurs et quand.
 |
| - La page de paramétrage - |
Comme on ne
peut pas utiliser le masque standard de changement de mot de passe,
l’application va contenir ses propres paramètres en s'appuyant sur les
politiques de sécurité définies par les administrateurs.
Le document
de paramétrage, défini les grandes lignes de la politique de sécurité pour
permettre l’affichage des "vrais messages d'erreurs" aux utilisateurs et non un
message bateau "Error code 4755" si les règles ne sont pas respectées
Fonctionnement :
On peut
travailler en mode "Audit" ou en mode "Forcer le mot de
passe"
Agent d'audit et d'envoi de notification :
Cet agent
permet d'obtenir les informations de statut : la date du dernier changement de mot de passe, la date attendue pour le prochain changement, la date du blocage du compte, etc ...
 |
| - Vue des audits des dates de validités des mots de passe - |
Si
l'utilisateur doit changer son mot de passe, il reçoit un mail avec le lien URL
qui lui permettra d'effectuer cette tâche.
 |
| - Ecran de changement de mot de passe - |
Si le mot de
passe n'est pas changé au terme de la période de
"PasswordGracePeriod" l'utilisateur bascule dans le groupe des intrus
...
Bref, on
revient dans le domaine connu des administrateurs Domino ...
Si vous avez
besoin de plus d'informations, le formulaire de contact est là pour ça...
Aucun commentaire:
Enregistrer un commentaire