Data Domain : connexion à l’aide d’une carte à puce CAC ou PIV et de certificats utilisateur

Configuration requise

• Pour se connecter à l’aide d’un certificat utilisateur, le système de protection doit approuver un ou plusieurs certificats d’autorité de certification (racine et, le cas échéant, des certificats d’autorité de certification intermédiaires) :
  • Pour les utilisateurs locaux, l’identité de l’utilisateur doit être spécifiée dans le champ de nom commun du certificat.
  • Pour les utilisateurs Active Directory, l’identité de l’utilisateur peut être spécifiée en tant que valeur commonName dans la ligne d’objet (ou) au format UPN Microsoft sous OtherNames dans le champ SubjectAlternativeName.
• Vous devez disposer d’un compte d’utilisateur sur le système de protection. Vous pouvez être un utilisateur local ou un utilisateur de services de noms (NIS ou AD).

Pour un utilisateur du service de noms, le mappage groupe-rôle doit être configuré sur le système de protection.

• Les CRL importées ne doivent pas révoquer les certificats utilisateur et les AC intermédiaires en amont.

Étapes

1. Exécutez la commande suivante pour activer la connexion par certificat pour les utilisateurs :

adminaccess certificate import ca application login-auth

2. Si vous le souhaitez, pour activer la connexion basée sur un certificat pour l’utilisateur de sécurité, importez un certificat d’autorité de certification qui peut émettre des certificats d’utilisateur de sécurité, exécutez la commande suivante :

3. Connectez-vous à l’aide d’une carte CAC/PIV à Data Domain System Manager :

adminaccess certificate import ca application login-auth

• Pour Microsoft Windows, une fois la carte PIV insérée dans le lecteur PIV connecté à votre poste de travail, les certificats utilisateurs sont automatiquement lus et importés.
• Dans votre navigateur, cliquez sur Se connecter avec un certificat et choisissez le certificat utilisateur dans la boîte de dialogue qui affiche une liste de certificats utilisateur importés.
• Lors de la sélection, toute authentification multifacteur supplémentaire activée sur la carte PIV est appliquée et lors de la saisie d’un code PIN valide, l’utilisateur doit avoir accès à PowerProtect DD System Manager.

4. Connectez-vous à l’aide d’une carte CAC/PIV à l’interface de ligne de commande Data Domain via SSH :

• Utilisez les clients SSH qui prennent en charge la connexion par certificat X.509 (par exemple : SecureCRT, ssh de PKIXSSH) et reportez-vous au guide de l’utilisateur correspondant pour configurer la connexion par certificat à l’aide de CAC/PIV/cartes à puce sur l’application cliente.

Résultats

Le système valide le certificat utilisateur auprès du magasin de confiance. En fonction des privilèges d’autorisation associés à votre compte, une session utilisateur est créée pour vous.
 

Data Domain : comment désactiver la connexion par mot de passe et l’authentification AD et utiliser uniquement des cartes PIV avec des utilisateurs locaux.