Guide d'installation Citrix Password Manager. Citrix Password Manager 4.6 avec Service Pack 1 Citrix XenApp 5.0, édition Platinum

Transcription

1 Guide d'installation Citrix Password Manager Citrix Password Manager 4.6 avec Service Pack 1 Citrix XenApp 5.0, édition Platinum

2 Avis de copyright et de marque déposée L'utilisation du produit documenté dans ce guide est sujette à votre acceptation préalable du Contrat de licence de l'utilisateur final. Une version imprimable du Contrat de licence d'utilisateur final figure sur le support d'installation. Les informations contenues dans ce document peuvent faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, noms et données utilisés dans les exemples fournis sont fictifs. Aucune partie de ce document ne peut être reproduite ou transmise, sous quelque forme, par quelque moyen, électronique ou mécanique, et pour quelque motif que ce soit, sans l'autorisation expresse et écrite de Citrix Systems, Inc. Citrix Password Manager remplace des clés de cryptage d'utilisateurs finaux spécifiques chaque fois que leur méthode d'authentification principale est modifiée, par exemple par un changement de mot de passe de domaine ou l'émission d'une nouvelle carte à puce. Il est possible de configurer Password Manager pour qu'il effectue cette opération automatiquement en utilisant le module de gestion des clés fourni en option. Password Manager peut également être configuré pour utiliser l'api de protection des données de Microsoft (DPAPI). Lorsque vous utilisez le module de gestion des clés en option et/ou le DPAPI, notez que les administrateurs sont en mesure d'accéder aux informations d'identification personnelles ou professionnelles d'un utilisateur stockées dans Password Manager, s'ils se connectent sous le compte de cet utilisateur final. Pour plus de sécurité, les utilisateurs finaux peuvent être invités à vérifier leur identité à l'aide d'informations uniques fournies au système. Ceci offre une couche de protection supplémentaire pour les informations d'identification secondaires de l'utilisateur. Des réglementations informatiques au niveau des gouvernements régionaux peuvent nécessiter d'avertir vos utilisateurs finaux des éventuelles implications pour la sécurité et la confidentialité du déploiement de configurations de sécurité du module de gestion des clés et de DPAPI. Passez en revue les règles de votre société et déterminez, le cas échéant, le type de notification requis pour vos utilisateurs finaux Citrix Systems, Inc. Tous droits réservés. v-go code Passlogix, Inc. Tous droits réservés. Citrix, ICA (Independent Computing Architecture) et Program Neighborhood sont des marques déposées, XenApp et SpeedScreen sont des marques de Citrix Systems, Inc. aux États-Unis et dans d'autres pays. Cryptage RSA RSA Security Inc. Tous droits réservés. Ce produit inclut des composants logiciels développés par The Apache Software Foundation ( Ce produit inclut un logiciel développé par Salamander Software Ltd Salamander Software Ltd. Parties 2003 Citrix Systems, Inc. Tous droits réservés. Reconnaissances de marques Adobe, Acrobat et PostScript sont soit des marques de fabrique, soit des marques déposées d'adobe Systems Incorporated aux États-Unis et/ou dans d'autres pays. Java, Sun et SunOS sont des marques de fabrique ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d'autres pays. Solaris est une marque déposée de Sun Microsystems, Inc. Sun Microsystems, Inc n'a pas testé ni approuvé ce produit. Certaines parties de ce logiciel sont basées sur le travail du groupe Independent JPEG Group. Certaines parties de ce logiciel contiennent du code d'images appartenant à Pegasus Imaging Corporation, Tampa, FL et protégé par copyright. Tous droits réservés. Macromedia est une marque ou une marque déposée de Macromedia, Inc. aux États-Unis et/ou dans d'autres pays. Microsoft, MS-DOS, Windows, Windows Media, Windows Server, Windows NT, Win32, Outlook, ActiveX, Active Directory et DirectShow sont soit des marques déposées soit des marques de Microsoft Corporation aux États-Unis et/ou dans d'autres pays. Netscape et Netscape Navigator sont des marques déposées de Netscape Communications Corp. aux États-Unis et dans d'autres pays. Novell Directory Services, NDS et NetWare sont des marques déposées de Novell, Inc. aux États-Unis et dans d'autres pays. Novell Client est une marque de Novell, Inc. RealOne est une marque de RealNetworks, Inc. FLEXnet Operations et FLEXnet Publisher sont des marques de fabrique et/ou des marques déposées de Acresso Software Inc. et/ou InstallShield Co., Inc. Toutes les autres marques de fabrique, de commerce et de service et autres marques déposées sont la propriété de leurs détenteurs respectifs. Code document : 28 août 2008 (FA)

3 Table des matières 1 Bienvenue Gamme de produits Password Manager Password Manager édition Advanced Password Manager édition Enterprise Recherche de documentation Conventions de la documentation Support et formation Planification de votre environnement Password Manager Composants de Password Manager Schéma du processus de planification Démarches préalables Choix du type de magasin central Choix d'un magasin central Active Directory Choix d'un point de partage réseau NTFS Choix d'un dossier partagé Novell Utilisation de l'association de comptes avec plusieurs magasins centraux et informations d'identification de compte utilisateur dans une entreprise multidomaine Stratégies de mot de passe et accès aux applications Stratégie de mot de passe par défaut (Default) Stratégie de mot de passe de domaine Stratégies de mot de passe personnalisées Considérations de stratégie de mot de passe Réglages par défaut des stratégies de mot de passe par défaut et de domaine (Default/Domain) Types d'applications à authentification unique utilisables dans l'entreprise Types d'informations requis pour les applications Types de cartes à puce utilisées dans l'entreprise Prise en charge des cartes à puce Configuration logicielle requise pour l'utilisation de cartes à puce

4 4 Guide d'installation Citrix Password Manager Utilisation ou non de la vérification d'identité Vérification de l'identité des utilisateurs à l'aide des questions de sécurité (authentification avec questions) Récupération ou déverrouillage automatique des informations d'identification Planification de vos configurations utilisateur Considérations de planification Partage de ressources ou d'une station de travail entre plusieurs utilisateurs (Bureau dynamique) Contrôle des applications Confort utilisateur avec le Bureau dynamique Configurations requises pour le système de licences Mode déconnecté Gestion d'un environnement intégrant des types de licences mixtes Pour utiliser des licences Utilisateurs simultanés disponibles en mode déconnecté Sélection des fonctionnalités optionnelles du service Password Manager Fonctions autonomes de compte Intégrité des données Module de gestion des clés Habilitation Synchronisation des informations d'identification (Association de comptes) Scénarios de déploiement de l'agent Password Manager Considérations sur XenApp Instructions relatives aux choix d'authentification principale et de protection des informations d'identification multiples Page Méthodes de protection des données Page Protection secondaire des données compromis entre maintien de la sécurité et simplicité d'utilisation Usurpation d'identité Nom d'utilisateur et mot de passe Cartes à puce avec certificats et données d'authentification des utilisateurs Cartes à puce à codes secrets Profils itinérants (DPAPI de Microsoft) Mots de passe vides Installation de Password Manager Récapitulatif des étapes d'installation Configurations matérielles et logicielles requises Configuration logicielle requise pour le système de prise en charge Configuration logicielle requise pour Password Manager Configuration requise pour ASP.NET

5 Table des matières 5 Exigences liées aux comptes et à la sécurité du service Password Manager Certificat d'authentification serveur requis Comptes requis pour les modules du service Exigences liées aux comptes préalables à l'installation et à l'utilisation de Password Manager Installation et utilisation du service Password Manager Installation et utilisation de la Console Password Manager et de l'outil de définition d'application Installation et utilisation de l'agent Password Manager Installation de Microsoft.NET Framework Installation côte à côte de.net 2.0 et.net Pour installer Microsoft.NET Installation de Java Runtime Environment Si vous installez JRE ou en effectuez la mise à jour après installation de la Console, de l'outil de définition d'application ou de l'agent Pour associer JRE à Password Manager Résolution d'un message d'erreur lié à Java lors de l'installation ou de la désinstallation de l'agent Configurations requises pour le système de licences Avant l'installation de Password Manager Ordre d'installation Recommandations relatives à l'emplacement des composants de Password Manager Création d'un magasin central Pour créer un magasin central de type point de partage réseau NTFS Pour créer un magasin central de type dossier partagé Novell Pour créer un magasin central de type Active Directory Facultatif - Création d'un magasin central à partir d'une invite de commande Création d'un magasin central Active Directory à partir d'une invite de commande Création d'un magasin central de type point de partage réseau NTFS à partir d'une ligne de commande Création d'un magasin central de type dossier partagé Novell à partir d'une invite de commande Installation et configuration du service Password Manager Pour installer les modules du service Pour configurer le(s) service(s) Password Manager avec l'assistant de configuration du service Numéro de port du service Password Manager Installation et configuration de la Console Password Manager Pour installer la Console Password Manager Pour configurer la Console Password Manager

6 6 Guide d'installation Citrix Password Manager Installation et configuration de l'agent Password Manager Scénarios d'installation Configuration et utilisation de la fonction du service multi-domaine Configuration requise Récapitulatif des tâches Pour configurer le service pour une utilisation multi-domaine Mise à niveau de Password Manager Mises à niveau prises en charge Résumé des étapes de la mise à niveau Avant la mise à niveau de Password Manager Utilisation du programme Autorun Ordre des mises à niveau Sauvegarde des données du Service avant une mise à niveau Sauvegarde du fichier process.xml (environnements Bureau dynamique uniquement) Sauvegarde de votre magasin central existant Stratégies, définitions d'applications, questions/questionnaires et configurations utilisateur mis à jour Microsoft.NET versions 1.1 et Étape 1 - Mettre à niveau le service Password Manager Pour mettre à niveau le service Password Manager Étape 2 - Mettre à niveau la Console Password Manager Pour mettre à niveau la Console Password Manager Étape 3 - Mettre à niveau l'agent Password Manager Pour mettre à niveau l'agent Password Manager sur une machine cliente

7 1 Bienvenue A l'aide de l'authentification unique, Citrix Password Manager offre un accès sûr et protégé par mot de passe aux applications d'émulateur de terminal, Windows et Web exécutées dans un environnement Citrix ou sur le bureau. Les utilisateurs s'authentifient une fois, puis Password Manager ouvre automatiquement des sessions dans les systèmes protégés par mot de passe, applique les stratégies de mot de passe, surveille tous les événements associés aux mots de passe et peut même automatiser certaines tâches de l'utilisateur, telles que la modification des mots de passe. Ce document, le Guide d'installation Citrix Password Manager, présente les informations nécessaires pour vous permettre de planifier et de réaliser l'installation de Password Manager 4.6 avec Service Pack 1 ou la mise à niveau de votre version actuelle de Password Manager vers la version 4.6 avec Service Pack 1. Gamme de produits Password Manager Password Manager est proposé en deux éditions : Password Manager édition Advanced Password Manager édition Enterprise En outre, Citrix XenApp 5.0 édition Platinum, compte une fonctionnalité comparable à Password Manager édition Enterprise, nommée Single Sign-on Powered by Password Manager. Password Manager édition Advanced L'édition Advanced de Password Manager permet d'augmenter la sécurité de votre entreprise par les moyens suivants : options de stratégie de mots de passe renforcée ; création automatique de mots de passe ;

8 8 Guide d'installation Citrix Password Manager option d'assistant de modification de mot de passe à démarrage automatique ; cryptage des mots de passe pendant qu'ils sont en mémoire, stockés et en cours de transmission ; options d'expiration de mot de passe pour les applications ne disposant pas de cette fonctionnalité. L'édition Advanced interagit également de manière efficace avec d'autres programmes, ce qui simplifie le stockage des informations d'identification ainsi que vos opérations de maintenance pour ce processus et ces informations. Password Manager édition Enterprise L'édition Enterprise de Password Manager est destinée aux environnements d'entreprise les plus exigeants et les plus complexes. L'édition Enterprise : offre une sécurité améliorée, des fonctions autonomes et de mobilité pour les utilisateurs ainsi que des performances élevées ; réduit le nombre d'appels à l'assistance technique grâce à des fonctions autonomes permettant aux utilisateurs de modifier leur mot de passe Windows et de déverrouiller leur compte ; permet aux utilisateurs itinérants d'accéder rapidement à leurs informations avec le Bureau dynamique, ce qui simplifie la rotation d'utilisateurs sur les postes de travail partagés ; fournit des fonctions de sécurité d'entreprise, telles que l'intégration avec des cartes à puce et la prise en charge de Kerberos et du Support d environnement fédéré (ADFS et SAML). Recherche de documentation Bienvenue dans Citrix Password Manager, quelquefois appelé Password_Manager_Read_Me_First.html, est inclus au support d'installation et contient des liens vers les documents qui vous aident à démarrer. Il contient aussi des liens vers les documents les plus récents, ainsi que les technologies correspondantes. Dans le programme Autorun, vous pouvez accéder à ce document en cliquant sur Étape 1: Afficher la check-list d'installation et les autres documents. Le site Web du centre de connaissances Citrix (Citrix Knowledge Center), contient des liens vers tous les documents de produits, organisés par produit. Sélectionnez le produit auquel vous souhaitez accéder, puis cliquez sur l'onglet Documentation dans la page des informations produit.

9 1 Bienvenue 9 Le fichier lisez-moi contient les informations sur les problèmes connus. Pour faire part de vos commentaires sur la documentation, cliquez sur le lien Article Feedback situé sur le côté droit de la page de la documentation produit. Conventions de la documentation Support et formation Pour plus de cohérence, la terminologie employée dans cette documentation est celle de Vista et de Windows Server 2008 ; par exemple, les termes employés sont «Documents» plutôt que «Mes documents» et «Ordinateur» plutôt que «Mon ordinateur». La documentation de Password Manager utilise les conventions typographiques suivantes. Convention Gras Italique Police à espacement fixe {accolades} Signification Indique une commande, le nom d'un élément de l'interface tel qu'une zone de texte ou un bouton, ou des données entrées par l'utilisateur. Espaces réservés à des informations que vous fournissez. Par exemple, nomfichier signifie que vous tapez le nom réel du fichier. Les caractères en italique sont aussi utilisés pour les termes nouveaux et les titres d'ouvrages. Correspond à du texte figurant dans un fichier texte. Dans une commande, il s'agit d'une série d'éléments dont un est requis. Par exemple, {yes no } signifie que vous devez entrer «yes» ou «no». N'entrez pas les accolades. [crochets] Dans une commande, il s'agit d'éléments en option. Par exemple, [/ ping] indique que vous devez entrer /ping avec la commande. N'entrez pas les crochets. (barre verticale)... (points de suspension) Dans une commande, il s'agit d'un séparateur entre des éléments entre accolades et crochets. Par exemple, { /hold /release /delete } signifie que vous devez entrer soit /hold, soit /release, soit /delete. Le ou les éléments précédents de la commande peuvent être répétés. Par exemple, /route:nompériphérique[, ] indique que vous pouvez taper plusieurs nompériphériques en les séparant par des virgules. Le Centre de connaissances Citrix ( propose un grand nombre de services de support technique, d'outils et de ressources développeur.

10 10 Guide d'installation Citrix Password Manager Les informations sur les formations Citrix sont disponibles sur la page

11 2 Planification de votre environnement Password Manager Cette section a pour objectif de vous aider à concevoir votre environnement Password Manager et de vous orienter dans le choix du mode de déploiement de Password Manager. Composants de Password Manager Les sections suivantes décrivent brièvement les principaux composants de Password Manager. Magasin central. Le magasin central est un stockage centralisé permettant à Password Manager de stocker et de gérer les données utilisateur et d'administration. Les données utilisateur comprennent notamment les informations d'identification, les réponses aux questions de sécurité et d'autres données relatives à l'utilisateur. Les données d'administration incluent les stratégies de mot de passe, les définitions d'application, les questions de sécurité et d'autres données de portée plus large. Lorsqu'un utilisateur ouvre une session, Password Manager compare ses informations d'identification à celles stockées dans le magasin central. Lorsque l'utilisateur ouvre des applications ou des pages Web protégées par mot de passe, les informations d'identification les plus récentes sont extraites du magasin central. Console Password Manager. La Console Password Manager est le centre de commande de Password Manager. Elle vous permet de gérer l'expérience Password Manager des utilisateurs. Vous pouvez y configurer la façon dont fonctionne Password Manager, les fonctions à déployer, les mesures de sécurité utilisées et d'autres paramètres importants liés aux mots de passe. La Console contient quatre éléments principaux, ou nœuds, dans le panneau de gauche. Lorsque vous sélectionnez un nœud, ses tâches spécifiques apparaissent. Ces nœuds sont les suivants. Configurations utilisateur, qui permettent d'ajuster certaines paramètres aux utilisateurs en fonction de leur emplacement

12 12 Guide d'installation Citrix Password Manager géographique ou de leur rôle dans l'entreprise. Les paramètres des trois autres nœuds vous permettent de créer des configurations utilisateur. Définitions d'application, qui offrent les informations nécessaires pour l'authentification auprès des applications et pour la détection des erreurs éventuelles. Vous pouvez utiliser les modèles de définition d'application fournis avec Password Manager pour accélérer le processus ou créer vos définitions personnalisées pour les applications qui ne peuvent pas utiliser ces modèles. D'autres modèles sont disponibles à l'adresse Stratégies de mot de passe, qui contrôlent la longueur des mots de passe, le type et la variété des caractères des mots de passe définis par l'utilisateur et générés automatiquement. Elles vous permettent aussi de spécifier les caractères à exclure dans les mots de passe et la réutilisation des mots de passe précédents. La création de stratégies de mot de passe cohérentes avec les stratégies de sécurité de votre entreprise garantit une bonne gestion de la sécurité des mots de passe par Password Manager. Vérification d'identité, qui utilise les questions de sécurité créées pour apporter un niveau de sécurité supplémentaire en protégeant contre l'usurpation d'identité, les modifications de mot de passe et les déverrouillages de compte non autorisés. Les utilisateurs qui s'inscrivent et qui répondent à vos questions de sécurité peuvent ensuite vérifier leur identité en fournissant les mêmes réponses aux questions. Une fois la vérification effectuée, les utilisateurs peuvent accomplir les tâches des fonctions autonomes sur leur compte, comme la réinitialisation de leur mot de passe principal ou le déverrouillage de leur compte utilisateur. Les questions de sécurité peuvent également servir à la récupération de clés. Une version limitée de la console, l'outil de définition d'application, est également fourni avec Password Manager. Installez cet outil pour permettre à d'autres utilisateurs de créer des définitions d'applications sans avoir besoin d'accéder à la console entière et aux fonctionnalités plus sensibles qui s'y trouvent, telles que les stratégies de mot de passe et les questions de sécurité. Agent Password Manager. L'Agent Password Manager soumet les informations d'identification appropriées aux applications exécutées sur la machine cliente de l'utilisateur, applique les stratégies de mot de passe, fournit la fonctionnalité des fonctions autonomes et permet aux utilisateurs de gérer leurs informations d'identification avec le Gestionnaire d'informations d'identification.

13 2 Planification de votre environnement Password Manager 13 Service Password Manager. Il est exécuté sur un serveur Web qui constitue la base de fonctionnalités optionnelles disponibles dans cette version. Installez le service Password Manager si vous envisagez de mettre en place au moins un des modules suivants : Voir aussi : Fonctions autonomes de compte, qui permet la réinitialisation des mots de passe Windows et le déverrouillage des comptes Windows ; Intégrité des données, qui protège les données lors de leur transfert du magasin central vers l'agent ; Gestion des clés, qui permet aux utilisateurs de récupérer leurs informations d'identification secondaires lorsque leur mot de passe principal change, soit par récupération de clé automatique, soit après réponse aux questions de sécurité avec authentification avec questions. Habilitation, qui vous permet d'utiliser la console pour ajouter, supprimer ou mettre à jour les données utilisateur et les informations d'identification Password Manager. Synchronisation des informations d'identification, qui synchronise les informations d'identification sur les différents domaines utilisant un service Web. «Planification de votre environnement Password Manager», page 11 «Installation de Password Manager», page 55

14 14 Guide d'installation Citrix Password Manager Schéma du processus de planification Démarches préalables Un environnement Password Manager peut inclure les éléments suivants : dossiers réseau partagés ou Active Directory contenant le magasin central ; un ou plusieurs ordinateurs exécutant la Console Password Manager ; ordinateurs d'utilisateurs exécutant l'agent Password Manager ; serveur dédié hébergeant le service Password Manager, avec un ou plusieurs modules de fonctionnalités installés ; environnement Citrix XenApp hébergeant l'agent Password Manager ; dispositifs d'authentification tels que des cartes à puces ;

15 2 Planification de votre environnement Password Manager 15 fonctionnalités de Password Manager telles que le Bureau dynamique et la gestion des clés. Après avoir établi votre plan Password Manager, vous pouvez commencer à le mettre en œuvre dans votre environnement. Le tableau ci-dessous présente les éléments requis pour commencer à utiliser Password Manager. Tâche 1. Étudier les fonctionnalités à mettre en place dans votre environnement. 2. Créer un magasin central et installer les composants de Password Manager avec des fonctionnalités optionnelles. ou Mettre à niveau un déploiement existant de Password Manager. 3. Créer, modifier ou passer en revue vos stratégies de mot de passe. 4. Créer ou modifier vos définitions d'application. Voir la section Guide de l'administrateur Citrix Password Manager «Authentification des utilisateurs et vérification d'identité» dans le Guide de l'administrateur Citrix Password Manager «Gestion de l'authentification avec questions» dans le Guide de l'administrateur Citrix Password Manager «Autorisation des utilisateurs à gérer leurs informations d'identification principales avec les fonctions autonomes de compte» dans le Guide de l'administrateur Citrix Password Manager «Automatisation de la saisie des informations d'identification à l'aide de l'habilitation» dans le Guide de l'administrateur Citrix Password Manager «Le Bureau dynamique : un environnement de bureau partagé destiné aux utilisateurs» dans le Guide de l'administrateur Citrix Password Manager «Choix du type de magasin central», page 16 «Installation de Password Manager», page 55 «Mise à niveau de Password Manager», page 97 «Stratégies de mot de passe et accès aux applications», page 24 Guide de l'administrateur Citrix Password Manager «Types d'applications à authentification unique utilisables dans l'entreprise», page 29 «Utilisation des stratégies de mot de passe pour appliquer les critères de mot de passe» dans le Guide de l'administrateur Citrix Password Manager

16 16 Guide d'installation Citrix Password Manager Tâche 5. Créer des configurations utilisateur adaptées aux besoins de votre entreprise. 6. Installer l'agent sur des stations de travail utilisateur ou un serveur XenApp. 7. Informer vos utilisateurs que Password Manager peut les aider à enregistrer leurs informations d'identification en toute sécurité. Voir la section «Planification de vos configurations utilisateur», page 35 «Création de configurations utilisateur» dans le Guide de l'administrateur Citrix Password Manager «Scénarios de déploiement de l'agent Password Manager», page 45 «Installation et configuration de l'agent Password Manager», page 84 Procédures d'exploitation standard ou manuel de mise en œuvre des stratégies informatiques de votre entreprise Choix du type de magasin central Remarque : vous pouvez créer un magasin central de façon automatique lors du processus d'installation de Password Manager ou manuellement à l'aide des utilitaires de configuration de magasin central. Voir «Création d'un magasin central», page 69 et «Facultatif - Création d'un magasin central à partir d'une invite de commande», page 72. Password Manager utilise un référentiel appelé magasin central pour le stockage et la récupération d'informations sur vos utilisateurs et votre environnement. Password Manager s'appuie sur les données du magasin central pour exécuter toutes les fonctions d'authentification unique par défaut et celles que vous configurez. Le magasin central contient des données utilisateur et des données d'administration. Les données utilisateur du magasin central comprennent des informations d'identification secondaires des utilisateurs, des questions/réponses de sécurité, des données liées au service (par exemple, données habilitées, données de l'authentification avec questions, enregistrement de la récupération de clé, etc.) et des données utilisateur de registre Windows associées à Password Manager. Les données administratives du magasin central comprennent des définitions d'application, des stratégies de mot de passe, des questions de sécurité et autres réglages effectués par le biais de la Console pour les fonctionnalités et composants de Password Manager.

17 2 Planification de votre environnement Password Manager 17 Plus concrètement, le magasin central permet à l'agent exécuté sur un l'ordinateur d'un utilisateur ou sur un serveur Citrix XenApp de communiquer avec le magasin central et les services afin de fournir les informations d'identification aux applications auquel l'utilisateur a accès. L'Agent gère un magasin local sur l'ordinateur de l'utilisateur. Ce magasin local contient uniquement les informations d'identification secondaires de l'utilisateur, les données de récupération de clé et les questions/réponses de sécurité (le cas échéant). Il effectue une synchronisation avec le magasin central pour permettre aux utilisateurs de se déplacer dans l'entreprise tout en ayant en permanence accès aux informations d'identification enregistrées. Les types de magasins centraux suivants sont disponibles. Active Directory Le magasin central utilise l'environnement et les objets Active Directory pour stocker et mettre à jour les données de Password Manager. Voir «Choix d'un magasin central Active Directory», page 18. Point de partage réseau NTFS Le magasin central utilise un partage de fichiers réseau Windows pour stocker les données de Password Manager. Voir «Choix d'un point de partage réseau NTFS», page 19. Dossier partagé Novell Le magasin central utilise un dossier partagé Novell NetWare pour stocker les données de Password Manager. Voir «Choix d'un dossier partagé Novell», page 21. Remarque : Citrix Password Manager vous permet d'effectuer la migration d'utilisateurs d'un type de magasin central à un autre si vous optez par la suite pour un type différent de celui utilisé dans votre environnement. Veuillez consulter la section «Déplacement des données vers un autre magasin central» dans le Guide de l'administrateur Citrix Password Manager. Remarque : si la forêt de votre entreprise contient plusieurs domaines, veuillez consulter la section «Utilisation de l'association de comptes avec plusieurs magasins centraux et informations d'identification de compte utilisateur dans une entreprise multidomaine», page 22.

18 18 Guide d'installation Citrix Password Manager Veuillez consulter également la section «Spécification des contrôleurs de domaine pour les configurations utilisateur» du Guide de l'administrateur Citrix Password Manager pour obtenir des informations sur les configurations utilisateur dans des environnements multiples de contrôleur de domaine. Choix d'un magasin central Active Directory En choisissant un magasin central de type Active Directory, vous pouvez tirer parti de vos structures d'authentification utilisateur et d'administration d'objets Active Directory existantes. Par exemple, vous pouvez appliquer des paramètres utilisateur à tout niveau dans un domaine (domaine, unité organisationnelle, groupe ou utilisateur). Deux nouvelles classes et deux attributs ont été ajoutés au schéma Active Directory pour la création d'un magasin central Active Directory : Classe citrix-ssoconfig citrix-ssosecret Description Décrit l'objet contenant les données correspondant aux réglages de l'agent, à l'état de synchronisation, ainsi que les définitions d'application et le comportement des utilisateurs à la première utilisation de l'agent. Cette classe inclut les attributs suivants : citrix-ssoconfigdata : contient les données. citrix-ssoconfigtype : indique le type de données. Décrit l'objet de données secrètes utilisé pour authentifier un utilisateur Password Manager. Cette classe inclut l'attribut suivant : citrix-ssosecretdata : contient des informations d'identification cryptées pour une application et les données du module de réinitialisation de mot de passe des fonctions autonomes du compte. Remarque : pour plus d'informations sur ces classes et attributs, veuillez consulter le fichier CitrixMPMSchema.xml, dans le dossier \Tools du support d'installation de Password Manager. En règle générale, nous vous recommandons de choisir Active Directory comme type de magasin central dans les cas suivants : Vous avez la possibilité d'étendre votre schéma Active Directory sans affecter votre entreprise.

19 2 Planification de votre environnement Password Manager 19 Vous avez déjà mis en place des procédures de sauvegarde et de restauration Active Directory conformes aux recommandations de Microsoft (bien que cela ne soit pas obligatoire). Vous préférez que les données de votre magasin central bénéficient du haut niveau de disponibilité que confère Active Directory. Avantages d'un magasin central Active Directory Étant donné qu'active Directory intègre des capacités de récupération et de redondance des données en cas de panne, des mesures supplémentaires de restauration d'urgence ne sont pas nécessaires. La réplication Active Directory contribue à répartir les données administratives et utilisateur du magasin central dans votre entreprise. L'utilisation d'un magasin central Active Directory ne nécessite aucun matériel supplémentaire. Considérations sur le magasin central Active Directory L'utilisation d'un magasin central Active Directory implique d'étendre votre schéma ; cette opération doit être planifiée et mise en œuvre avec précaution. L'extension du schéma affecte l'ensemble de la forêt. Il est conseillé d'étendre le schéma et de créer votre magasin central Active Directory en dehors des heures de bureau. Le temps de latence du cycle de réplication d'active Directory influe sur la vitesse de copie de ces changements sur tous les contrôleurs de domaine de la forêt. Dans les grandes entreprises, la réplication intersite des données de magasin central au moyen de réseaux étendus (WAN) nécessite de configurer la réplication correctement afin de limiter le temps de latence. Notez que la réplication intrasite, en revanche, génère en principe un temps de latence moins élevé. Choix d'un point de partage réseau NTFS Important : dans ce cas, utilisez un partage caché pour le magasin central. En choisissant un magasin central de type point de partage réseau NTFS, vous pouvez tirer parti de vos structures d'authentification utilisateur et arborescence Active Directory existantes sans avoir à étendre le schéma Active Directory. Par exemple, vous pouvez appliquer des paramètres utilisateur à tout niveau dans un domaine (domaine, unité organisationnelle, groupe ou utilisateur).

20 20 Guide d'installation Citrix Password Manager Password Manager crée un dossier partagé nommé CITRIXSYNC incluant deux sous-dossiers appelés People et CentralStoreRoot. Le dossier People contient un sous-dossier par utilisateur et inclut les propriétés de droits d'accès en lecture et en écriture adéquates pour l'utilisateur. Le dossier CentralStoreRoot contient des données administratives. Avantages d'un point de partage réseau NTFS Vous pouvez émuler l'aspect et la commodité d'un magasin central Active Directory sans avoir à étendre votre schéma Active Directory, tout en tirant parti de votre hiérarchie ou de vos groupes Active Directory existants. Remarque : l'association de configurations utilisateur à des groupes n'est prise en charge que dans des domaines Active Directory utilisant l'authentification Active Directory. Les données utilisateur sont toujours à jour, étant donné qu'elles sont stockées dans un emplacement central. Les temps de latence associés à Active Directory sont également éliminés. Pour accroître le niveau de disponibilité, vous pouvez mettre en place un dispositif d'équilibrage de la charge de vos partages sur plusieurs ordinateurs pouvant chacun héberger un partage réseau NTFS. Le point de partage réseau NTFS permet de réduire la charge de travail associée aux tâches d'authentification de votre environnement Active Directory. Password Manager vous permet de migrer votre magasin central de type dossier partagé NTFS vers un magasin central de type Active Directory si vous décidez d'en mettre un en œuvre ultérieurement. Considérations sur le point de partage réseau NTFS L'hébergement du magasin central peut nécessiter du matériel supplémentaire. Vous devez sauvegarder les fichiers et dossiers du magasin central (y compris les autorisations associées) de façon régulière. Veillez également à gérer et mettre en place des plans de restauration d'urgence permettant la réplication des fichiers et dossiers pour la récupération du site. La topologie réseau de votre entreprise peut nécessiter que les utilisateurs (et l'agent Password Manager) transfèrent les données utilisateur via une ou plusieurs liaisons WAN. Dans ce cas, il est judicieux de mettre en œuvre la technologie Système de fichiers distribués (DFS) intégrée à Microsoft

21 2 Planification de votre environnement Password Manager 21 Windows Server 2000, 2003 et Cette dernière est décrite en détail sur le site Web de Microsoft, à l'adresse Choix d'un dossier partagé Novell Important : les services Password Manager ne sont pas pris en charge dans les environnements Password Manager utilisant des dossiers partagés Novell NetWare. En choisissant un magasin central de type dossier partagé Novell NetWare, vous pouvez tirer parti de vos services d'annuaire Novell NetWare existants. L'utilisation de ce type de magasin central est semblable à l'utilisation d'un point de partage réseau NTFS. Configurez un dossier réseau sécurisé dans edirectory pour stocker toutes les données associées à votre environnement Password Manager. Les applications et paramètres peuvent être définis et affectés au niveau du domaine. Avantages d'un dossier partagé Novell Vous avez déjà mis en place des services d'annuaire Novell NetWare. Vous pouvez choisir d'utiliser un dossier partagé sécurisé existant en tant que magasin central. Considération sur le dossier partagé Novell Ce type de magasin central ne prend pas en charge l'association de configurations utilisateur à des groupes Active Directory. Si vous utilisez un dossier partagé Novell NetWare, le mot de passe Novell de vos utilisateurs doit être identique à leur mot de passe Windows. Cette contrainte inclut les environnements Novell ZENworks for Desktops avec prise en charge de la règle Utilisateur local dynamique (DLU) configurée sur le serveur Novell Directory Server et Novell Workstation Manager sur chaque ordinateur exécutant l'agent Password Manager. L'Agent utilise un mot de passe Windows. Par conséquent, l'utilisation de la synchronisation de fichiers Novell NetWare nécessite que le mot de passe Novell des utilisateurs soit identique à leur mot de passe Windows. Le magasin central doit être situé dans la même arborescence que les ordinateurs sur lesquels l'agent est installé. Les utilisateurs doivent ouvrir une session dans l'arborescence Novell où est situé le dossier partagé. Ils doivent également disposer de comptes avec autorisations en lecture au dossier partagé Novell NetWare désigné en tant que magasin central.

22 22 Guide d'installation Citrix Password Manager Les services Password Manager ne sont pas pris en charge dans les environnements Password Manager utilisant des dossiers partagés Novell NetWare. Utilisation de l'association de comptes avec plusieurs magasins centraux et informations d'identification de compte utilisateur dans une entreprise multidomaine Remarque : veuillez consulter «Synchronisation des informations d'identification à l'aide de la fonction Association de comptes» dans le Guide de l'administrateur Citrix Password Manager pour configurer la fonction Association de comptes. Les administrateurs peuvent créer plusieurs magasins centraux dans des entreprises contenant plusieurs domaines. Il est en outre possible d'utiliser plusieurs types de magasins centraux dans ce type d'environnement. Par exemple, vous pouvez associer des configurations utilisateur avec un magasin central de type point de partage réseau NTFS dans un domaine et avec un magasin central de type Active Directory dans un autre domaine. Étant donné que les sociétés gèrent parfois plusieurs domaines Windows, les utilisateurs peuvent alors disposer de plusieurs comptes Windows. Password Manager offre une fonction appelée Association de comptes. Celle-ci permet à un utilisateur d'ouvrir une session sur n'importe quelle application à partir d'un ou plusieurs comptes Windows. Dans la mesure où Password Manager lie généralement les informations d'identification d'utilisateur à un seul compte, ces informations ne sont pas automatiquement synchronisées entre les différents comptes que peut posséder un utilisateur. Cependant, les administrateurs peuvent configurer la fonction Association de comptes pour synchroniser les informations d'identification de l'utilisateur à l'aide du module de synchronisation des informations d'identification Les utilisateurs bénéficiant de la fonction Association de comptes peuvent accéder à toutes les applications à partir de n'importe lequel de leurs comptes dans leur environnement Password Manager. Lors de la modification, de l'ajout ou de la suppression d'informations d'identification dans un compte, elles sont automatiquement synchronisées avec chacun des comptes associés à l'utilisateur. Sans la fonction Association de comptes, les utilisateurs possédant plusieurs comptes Windows doivent modifier manuellement leurs informations de connexion séparément dans chaque compte Windows.

23 2 Planification de votre environnement Password Manager 23 Avantages liés à l'utilisation de la fonction Association de comptes L'association de comptes permet d'accroître la productivité et de réduire le nombre de sollicitations du service d'assistance en synchronisant les informations d'identification des utilisateurs en vue de limiter les opérations de maintenance ou les échecs liés aux ouvertures de sessions. La synchronisation de comptes est possible sur différents types de magasins centraux. En d'autres termes, un compte utilisateur configuré pour utiliser Active Directory comme type de magasin central peut être synchronisé avec un compte utilisateur associé configuré pour utiliser un point de partage réseau NTFS. La synchronisation de comptes est également possible sur différentes associations de configurations utilisateur. Par exemple, une configuration utilisateur peut être associée à une hiérarchie Active Directory (unité organisationnelle ou utilisateur) dans un domaine et à un groupe Active Directory dans un autre domaine. La synchronisation de comptes est aussi possible sur différentes associations de configurations utilisateur au sein du même domaine et au sein du même magasin central. Il n'est pas nécessaire d'établir de relations de confiance entre les contrôleurs de domaine pour utiliser la fonction Association de comptes. Considération sur la fonction Association de comptes Tenez compte des éléments suivants pour la configuration de l'association de comptes. L'association de comptes n'est pas compatible avec les cartes à puces lorsque celles-ci sont utilisées comme mécanisme d'authentification principale pour ouvrir une session sous Windows. Remarque : la configuration utilisateur de chaque domaine peut inclure des stratégies de mot de passe différentes susceptibles d'empêcher l'accès à une ressource. Cela étant, l'association de comptes ne synchronise que les informations d'identification et non les stratégies des configurations utilisateur. Penchez-vous sur le mode d'élaboration des stratégies de mot de passe utilisées dans votre entreprise. Chaque compte de domaine associé doit utiliser Citrix Password Manager.

24 24 Guide d'installation Citrix Password Manager Le nom des définitions d'application doit être le même dans chaque configuration utilisateur pour que la fonction Association de comptes puisse synchroniser les informations d'identification. Les informations d'identification sont partagées uniquement pour les applications spécifiées dans les définitions d'application créées par l'administrateur de Password Manager. Le module de synchronisation des informations d'identification, intégré au service Password Manager, est un service Web disponible via une connexion HTTP sécurisée. Il est donc accessible à partir de tous les ordinateurs de votre entreprise utilisant l'association de comptes. Stratégies de mot de passe et accès aux applications Les stratégies de mot de passe sont des règles contrôlant la manière dont les mots de passe sont créés, soumis et gérés. L'installation de Password Manager comprend deux stratégies de mot de passe standard intitulées Default et Domain, insuppressibles. Vous pouvez copier et modifier ces stratégies pour les adapter aux stratégies et réglementations de votre entreprise. Voir aussi : «Réglages par défaut des stratégies de mot de passe par défaut et de domaine (Default/Domain)», page 27 Stratégie de mot de passe par défaut (Default) Password Manager applique la stratégie par défaut aux applications protégées par mot de passe utilisées dans votre entreprise (sauf celles nécessitant des informations d'identification de domaine). Cette stratégie est appliquée à toute application non définie par un administrateur (à l'aide de la fonction de définition d'application de la Console) ou non intégrée dans un groupe d'applications. Lorsqu'un utilisateur ajoute ses informations au Gestionnaire d'informations d'identification pour une application non associée à une définition d'application, Password Manager applique la stratégie par défaut pour gérer cette application.

25 2 Planification de votre environnement Password Manager 25 Stratégie de mot de passe de domaine En règle générale, un administrateur crée un groupe d'applications et sélectionne la stratégie de domaine à appliquer aux applications de ce groupe. Password Manager applique ensuite la stratégie de domaine aux applications dont l'accès est conditionné à l'entrée des informations d'identification de domaine de l'utilisateur. La stratégie de domaine peut être modifiée ou copiée pour refléter les stratégies de domaine NT ou Active Directory de votre entreprise liées aux comptes utilisateur. Si vous souhaitez étendre le groupe de partage de mot de passe à un domaine, vous devez lui appliquer la stratégie Domain. Remarque : un groupe d'applications est un ensemble d'applications définies associées à une ou plusieurs configurations utilisateur comprenant la stratégie de gestion des applications. Stratégies de mot de passe personnalisées Important : lorsque vous créez une stratégie de mot de passe personnalisée ou que vous modifiez des stratégies existantes, assurez-vous que les exigences de votre entreprise ne divergent pas de celles de l'application. Par exemple, si vous créez une stratégie qui ne correspond pas au moins aux besoins d'une application, vos utilisateurs ne pourront pas s'authentifier auprès d'elle. vous pouvez créer des stratégies de mots de passe correspondant à vos besoins : vous pouvez appliquer une stratégie pour votre groupe de partage de domaine, créer des stratégies individuelles à appliquer aux groupes individuels d'applications pour les sécuriser encore davantage, etc. Les stratégies de mot de passe peuvent généralement imposer des restrictions semblables à celles énumérées ci-après. Nombre minimum et maximum de caractères pour un mot de passe Règle d'utilisation des caractères alphabétiques et numériques Nombre de répétitions d'un caractère autorisées Règle d'utilisation des caractères ou des caractères spéciaux (inclusion ou exclusion) Affichage des mots de passe stockés par les utilisateurs Nombre de tentatives de saisie du mot de passe par les utilisateurs

26 26 Guide d'installation Citrix Password Manager Expiration de mot de passe Historique de mot de passe et exceptions Considérations de stratégie de mot de passe Tenez compte du confort des utilisateurs lors de l'élaboration de vos stratégies de sécurité. Des mots de passe trop restrictifs risquent d'être difficiles à créer, à mettre en place ou à mémoriser pour les utilisateurs. Étant donné que Password Manager est sécurisé par nature, la stratégie de mot de passe par défaut définit le niveau minimum de sécurité recommandé par Citrix pour la sécurisation de la plupart des applications à authentification unique. Vous pouvez modifier ces paramètres selon les stratégies et réglementations de votre entreprise. Dans la mesure où le service Password Manager applique la stratégie de mot de passe Default aux applications ajoutées par les utilisateurs, assurezvous de configurer cette stratégie de façon à être la plus large possible, afin d'accepter les mots de passe de toutes les applications pour lesquelles vous autorisez les utilisateurs à stocker des mots de passe. Lorsque les utilisateurs modifient leurs mots de passe, Password Manager peut être configuré, au moyen d'un paramètre de configuration utilisateur, pour comparer leur ancien mot de passe avec le nouveau. Cela empêche l'utilisation répétée d'un même mot de passe pour une application. Dans certains cas, les utilisateurs disposent d'un seul mot de passe pour plusieurs applications (dans une suite logicielle, par exemple). Cette situation est appelée partage de mot de passe : les applications utilisent la même autorité d'authentification. Même si les informations d'identification (nom d'utilisateur et champs personnalisés) sont différentes pour ces applications, le mot de passe reste identique. Dans ce cas, créez un groupe d'applications qui est également un groupe de partage de mot de passe pour garantir que l'agent gère le mot de passe pour toutes les applications du groupe comme s'il s'agissait d'une seule. Lors d'une modification du mot de passe pour l'une d'entre elles, l'agent s'assure que cette modification est répercutée pour toutes les applications du groupe. Les groupes de partage de mot de passe de domaine ont la particularité d'utiliser le mot de passe de domaine de l'utilisateur en tant que mot de passe principal pour le groupe d'applications. Lors d'une modification du mot de passe de domaine, l'agent s'assure que cette modification est répercutée pour toutes les applications du groupe. Cependant, seul le mot de passe de domaine peut être modifié. Les utilisateurs ne peuvent pas

27 2 Planification de votre environnement Password Manager 27 modifier le mot de passe pour les autres applications du groupe, à moins que l'administrateur ne retire l'application du groupe de partage de mot de passe de domaine. Réglages par défaut des stratégies de mot de passe par défaut et de domaine (Default/Domain) Le tableau ci-dessous décrit les réglages par défaut des stratégies de mot de passe par défaut et de domaine. Options des stratégies de mot de passe par défaut et de domaine Règles de mot de passe de base Valeur par défaut Valeur personnalisée Longueur de mot de passe minimale 8 Longueur de mot de passe maximale 20 Nombre de répétitions possibles d'un caractère 6 Nombre de répétitions successives possibles d'un caractère 4 Règles des caractères alphabétiques Autoriser les minuscules Le mot de passe peut débuter avec une minuscule. Le mot de passe peut se terminer avec une minuscule. Oui Oui Oui Nombre minimum de minuscules requis 0 Autoriser les majuscules Le mot de passe peut débuter avec une majuscule. Le mot de passe peut se terminer avec une majuscule. Oui Oui Oui Nombre minimum de majuscules requis 0 Règles de caractère numérique Autoriser les caractères numériques Le mot de passe peut débuter avec un caractère numérique. Le mot de passe peut se terminer par un caractère numérique. Oui Oui Oui Nombre minimum de caractères numériques requis 0 Nombre maximum de caractères numériques autorisé 20 Règles des caractères spéciaux Autoriser les caractères spéciaux Non

28 28 Guide d'installation Citrix Password Manager Options des stratégies de mot de passe par défaut et de domaine Valeur par défaut Valeur personnalisée Le mot de passe peut débuter avec un caractère spécial. Le mot de passe peut se terminer par un caractère spécial. Nombre minimum de caractères spéciaux requis 0 Nombre maximum de caractères spéciaux autorisé 20 Liste de caractères spéciaux autorisés Règles d'exclusion Exclure des mots de passe les caractères ou groupes de caractères de cette liste Ne pas autoriser le nom d'utilisateur de l'application dans le mot de passe Ne pas autoriser certaines parties du nom d'utilisateur de l'application dans le mot de passe Nombre de caractères des portions (groupes de caractères pouvant être utilisés à partir du nom d'utilisateur de l'application) Ne pas autoriser le nom d'utilisateur Windows dans le mot de passe Ne pas autoriser certaines parties du nom d'utilisateur Windows dans le mot de passe. Nombre de caractères des portions (groupes de caractères pouvant être utilisés à partir du nom d'utilisateur Windows) Historique et expiration des mots de passe Le nouveau mot de passe doit être différent du précédent Nombre de mots de passe précédents retenus 1 Utiliser les paramètres d'expiration de mot de passe associés aux définitions d'application Délai d'expiration du mot de passe (jours) 42 Nombre de jours pour la notification avant expiration du mot de passe Préférences d'authentification Autoriser l'utilisateur à révéler le mot de passe pour les applications Oui Oui!@#$^&*( )_+= [ ] \,? Paramètre facultatif Non Non 3 Non Non 3 Non Non 14 Non

29 2 Planification de votre environnement Password Manager 29 Options des stratégies de mot de passe par défaut et de domaine Obliger l'utilisateur à s'authentifier à nouveau avant de soumettre les informations d'identification pour une application Valeur par défaut Non Valeur personnalisée Nombre de nouvelles tentatives d'ouverture de session 3 Délai limite pour les tentatives (en secondes) Assistant de modification de mot de passe Permettre aux utilisateurs de choisir un mot de passe généré par le système ou de créer leur propre mot de passe Autoriser les utilisateurs à créer leur propre mot de passe seulement Autoriser les utilisateurs à choisir un mot de passe généré par le système seulement Générer un mot de passe et le soumettre à l'application sans afficher l'assistant de modification de mot de passe 120 seconde s Oui Non Non Non Types d'applications à authentification unique utilisables dans l'entreprise Remarque : Password Manager prend en charge la version 64 bits d'internet Explorer. En revanche, il ne prend pas en charge les logiciels d'émulation de terminal 64 bits. En tant qu'administrateur de Password Manager, vous pouvez créer une définition d'application ou modifier un modèle de définition d'application pour chaque application que Password Manager doit gérer pour vos utilisateurs. Pour créer des définitions d'application, utilisez la Console ou l'outil de définition d'application autonome, qui peut être installé sur des stations de travail n'exécutant pas la Console. Vous pouvez également permettre aux utilisateurs d'ajouter leurs informations d'identification dans Password Manager pour toutes leurs applications côté client qu'il détecte, selon les paramètres définis dans les configurations utilisateur. L'Agent peut détecter et répondre aux modifications d'informations d'identification de la plupart des applications, notamment celles appartenant aux catégories suivantes.

30 30 Guide d'installation Citrix Password Manager Type d'application Windows Web Émulateur de terminal Description Applications Windows 32 bits (y compris les applications Java) telles que Microsoft Outlook, Lotus Notes, SAP ou toute application Windows protégée par mot de passe Applications Web (y compris les applets Java et SAP), accessibles via Microsoft Internet Explorer Applications accessibles à partir d'un émulateur de terminal compatible HLLAPI L'Agent répond selon les définitions d'application créées de toute part ou copiées à partir de modèles existants. Une définition d'application : active l'agent pour qu'il reconnaisse et réponde aux applications et aux formulaires utilisés par ces dernières pour traiter les informations d'identification des utilisateurs ; est composée d'un ensemble d'identificateurs établissant les paramètres requis pour effectuer la reconnaissance et la réponse. Dans chaque définition, vous créez des formulaires d'ouverture de session et de mot de passe requis par l'application pour autoriser l'accès. L'assistant de définition d'application vous aide à créer une définition si vous ouvrez l'application ; il détecte les formulaires et champs de la plupart des applications à l'aide des fonctions de correspondance de fenêtre de Password Manager. Remarque : Password Manager inclut des modèles de définition d'application par défaut pour diverses applications ou fonctionnalités applicatives Citrix. Cliquez sur Définitions d'application sur l'arborescence de la console et cliquez sur Gérer les modèles dans la zone Tâches courantes pour les afficher. Ces modèles sont également disponibles via l'outil de définition d'application. Pour obtenir d'autres modèles, consultez le site Web de l'assistance Citrix, à l'adresse Types d'informations requis pour les applications Avant de créer une définition, vous devez recueillir les informations suivantes pour chaque application à authentification unique de votre entreprise. Vous pouvez également démarrer l'application pour permettre à l'assistant de définition d'application ou à l'outil du même nom de détecter certaines de ces informations. Nom du fichier exécutable de l'application, et éventuellement son chemin d'accès.

31 2 Planification de votre environnement Password Manager 31 Pour renforcer la sécurité, vous pouvez fournir un chemin d'accès à l'application, ce qui garantit que l'utilisateur utilise l'application spécifiquement approuvée par votre entreprise. Champs d'informations d'identification requis par chaque application (nom d'utilisateur, mot de passe et autres champs comme le nom de domaine ou le mot de passe secondaire). Autres champs liés aux informations d'identification du formulaire, notamment les champs de modification de mot de passe suivants : Ouverture de session, Modification de mot de passe, Modification du mot de passe réussie (facultatif), Échec de la modification du mot de passe (facultatif). Exigences liées au partage de mot de passe. Vous pouvez également avoir besoin de connaître les applications qui partagent la même autorité d'authentification et qui font partie d'un groupe de partage de mot de passe. Les groupes de partage de mot de passe permettent à Password Manager de gérer plusieurs combinaisons d'informations d'identification pour des applications utilisant la même méthode d'authentification. De même, vous pouvez appliquer la même stratégie de mot de passe aux groupes d'applications. Informations associées aux applications d'émulation de terminal. Informations telles que les noms courts de session d'émulation de terminal requis par les émulateurs de terminal HLLAPI (High-Level Language Application Programming Interface). Types de cartes à puce utilisées dans l'entreprise Vous devez tenir compte du type d'authentification utilisé dans votre entreprise. Une fois que vous avez déterminé vos types d'authentification et choisi une méthode de protection des données dans votre configuration utilisateur, vous pouvez mettre en place la vérification de l'identité des utilisateurs pour sécuriser encore davantage les informations d'identification. Voir aussi : «Utilisation ou non de la vérification d'identité», page 33 «Instructions relatives aux choix d'authentification principale et de protection des informations d'identification multiples», page 46

32 32 Guide d'installation Citrix Password Manager Prise en charge des cartes à puce Citrix a testé des cartes à puce conformes à la norme ISO 7816 relative aux cartes avec contacts électriques (carte contact) qui communiquent avec un système informatique via un périphérique appelé lecteur de cartes à puce. Vous pouvez connecter le lecteur à l'ordinateur hôte via le port série, le port USB ou le port PC Card (PCMCIA) de ce dernier. Citrix permet l'utilisation de cartes à puce cryptographiques PC/SC. Ces cartes prennent en charge des opérations cryptographiques telles que le cryptage et les signatures numériques. Les cartes cryptographiques permettent de sécuriser le stockage des clés privées comme celles utilisées dans les systèmes de sécurité à infrastructure à clé publique (ICP, aussi appelée PKI : Public Key Infrastructure). Ces cartes assurent les fonctions cryptographiques sur la carte à puce proprement dite, ce qui signifie que la clé privée ne quitte jamais la carte. En outre, vous pouvez assurer une sécurité accrue en utilisant une authentification à deux facteurs : le numéro de la carte et le code secret de l'utilisateur. La combinaison de ces facteurs garantit que l'utilisateur est bien le détenteur autorisé de la carte. Configuration logicielle requise pour l'utilisation de cartes à puce Pour connaître le détail des configurations requises pour la mise en place d'un système recourant à des cartes à puce, veuillez contacter votre intégrateur ou distributeur de cartes à puce. Les composants suivants sont nécessaires sur le serveur ou le client : logiciel PC/SC ; logiciel CSP (Cryptographic Service Provider : fournisseur de services cryptographiques) ; pilotes logiciels du lecteur de cartes à puce. Vos systèmes d'exploitation Windows clients et serveurs vous ont peut-être été fournis avec des logiciels PC/SC, des logiciels CSP ou des pilotes de lecteur de cartes à puce. Pour savoir si ces composants logiciels sont pris en charge ou s'ils doivent être remplacés par d'autres logiciels spécifiques, veuillez contacter votre distributeur de cartes à puce. Important : pour utiliser les cartes à puce dans un environnement Windows 2008 ou Windows Vista, vous devez créer ou mettre à niveau votre magasin central avec une console Password Manager 4.5 ou ultérieure et API de protection des données de Microsoft (nécessite des profils itinérants) doit être sélectionné dans vos configurations utilisateur.

33 2 Planification de votre environnement Password Manager 33 Utilisation ou non de la vérification d'identité Si les paramètres de configuration utilisateur l'exigent, les utilisateurs peuvent être amenés à vérifier leur identité dans les cas suivants. Modification du type d'authentification par un utilisateur. Par exemple, ce dernier passe d'une authentification à carte à puce à une authentification par mot de passe. Vous pouvez créer une configuration utilisateur qui n'exige de vérification initiale qu'en cas de changement du type d'authentification. Modification du mot de passe principal par un administrateur. Réinitialisation du mot de passe principal par un utilisateur à l'aide des fonctions autonomes de compte. Déverrouillage du compte de domaine à l'aide des fonctions autonomes de compte. Modification du mot de passe principal par un utilisateur sur une machine où l'agent n'est pas installé, puis ouverture de session sur une machine où il est installé. Password Manager peut être configuré pour vérifier l'identité de l'utilisateur afin de garantir que l'utilisateur est autorisé à utiliser Password Manager. Vous pouvez choisir l'une des deux méthodes de vérification suivantes. Méthode Mot de passe précédent Questions de sécurité (méthode également appelée authentification avec questions) Description Dans ce cas, les utilisateurs doivent vérifier leur identité en entrant leur mot de passe principal précédent. Dans ce cas, vous créez un questionnaire contenant autant de questions et de groupes de questions que vous souhaitez proposer aux utilisateurs. Vous pouvez utiliser les questions par défaut proposées par Password Manager ou créer vos propres questions. Attention : lorsque le mot de passe précédent est la seule méthode de vérification d'identité disponible pour les utilisateurs, ceux qui l'oublient ne peuvent plus accéder au système. Un administrateur doit alors utiliser la tâche Réinitialiser les données utilisateur de la Console Password Manager pour permettre aux utilisateurs de s'enregistrer à nouveau. Ce dernier devra peut-être également réinitialiser les mots de passe dans les applications de l'utilisateur.

34 34 Guide d'installation Citrix Password Manager Voir aussi : «Récupération ou déverrouillage automatique des informations d'identification», page 34 Vérification de l'identité des utilisateurs à l'aide des questions de sécurité (authentification avec questions) Remarque : si vous décidez de ne pas configurer les questions de sécurité, les utilisateurs sont invités à entrer leur mot de passe principal précédent à la première ouverture de session et lorsqu'ils changent leur mot de passe principal. Vous pouvez aussi permettre aux utilisateurs de choisir la méthode qu'ils préfèrent utiliser pour l'authentification (mots de passe précédents ou questions de sécurité). Password Manager vous permet d'utiliser l'authentification avec questions pour vérifier l'identité des utilisateurs. Password Manager inclut quatre questions (en anglais, français, allemand, japonais et espagnol) utilisables avec cette méthode. L'authentification avec questions s'utilise comme suit : lors de l'enregistrement des questions de sécurité de l'utilisateur au cours de son premier enregistrement sur l'agent ; après l'enregistrement, si vous avez configuré les fonctions autonomes de compte pour permettre aux utilisateurs de modifier leurs informations d'identification principales ou de déverrouiller leur compte. Lorsque les utilisateurs modifient leur mot de passe principal, vous pouvez confirmer leur identité en les invitant à répondre aux questions de sécurité dans le cadre d'un questionnaire que vous créez. Ce questionnaire apparaît à la première ouverture de l'agent. Les utilisateurs répondent à un nombre minimum de questions, puis peuvent être invités à entrer de nouveau ces informations lors d'événements de modification de mot de passe spécifiques. Récupération ou déverrouillage automatique des informations d'identification Important : la gestion automatique des clés n'est pas aussi sûre que d'autre mécanisme de récupération de clé tels que les questions de sécurité et le mot de passe précédent.

35 2 Planification de votre environnement Password Manager 35 Vous pouvez configurer Password Manager pour ne pas effectuer de vérification d'identité et pour récupérer automatiquement les informations d'identification (à savoir, les clés de cryptage associées aux données utilisateur) en utilisant le module de gestion des clés du service Password Manager. La procédure de base pour utiliser la gestion automatique des clés est la suivante. 1. Installez le service Citrix Password Manager avec le module de gestion de clés. 2. Créez ou modifiez les configurations utilisateur et sélectionnez la méthode de récupération de clé permettant une gestion automatique des clés sans vérification d'identité. Cette option est incluse dans la propriété de protection secondaire des données de la configuration utilisateur. Planification de vos configurations utilisateur Important : vous devez créer une configuration avant de déployer l'agent Password Manager vers vos utilisateurs. Une configuration utilisateur contient des informations relatives au serveur de licences et aux licences nécessaires au fonctionnement de l'agent. Remarque : l'association de configurations utilisateur à des groupes n'est prise en charge que dans des domaines Active Directory utilisant l'authentification Active Directory. Une configuration utilisateur est un ensemble unique de paramètres, stratégies de mot de passe et applications appliqués aux utilisateurs associés à une hiérarchie Active Directory (unité organisationnelle ou utilisateur individuel) ou à un groupe Active Directory (hormis les groupes de distribution et les groupes locaux de domaine en mode Active Directory mixte, qui ne sont pas pris en charge). Une configuration utilisateur vous permet de contrôler le comportement et l'aspect de l'agent au niveau des utilisateurs. Ces configurations définissent les informations utilisateurs, les définitions d'application, les stratégies de mot de passe et les méthodes de vérification d'identité. Vous devez également spécifier des informations de licence (serveur de licences et type de licence) dans chaque configuration utilisateur. C'est pourquoi les utilisateurs ne peuvent pas utiliser l'agent tant que vous n'avez pas configuré les paramètres de leur configuration utilisateur. Avant de créer vos configurations utilisateur, assurez-vous que vous avez déjà créé ou défini les éléments suivants :

36 36 Guide d'installation Citrix Password Manager magasin central ; modules de service optionnels ; définitions d'application ; stratégies de mot de passe ; questions de sécurité (facultatif). Les configurations utilisateur comprennent les éléments suivants : Utilisateurs associés à une hiérarchie de domaine Active Directory (unité organisationnelle ou utilisateur individuel) ou à un groupe Active Directory. Méthodes de protection des données Les définitions d'application créées, que vous pouvez combiner dans un groupe d'applications lors de la création d'une configuration utilisateur; Stratégies de mot de passe associées à des groupes d'applications. (Lors de la création d'une configuration utilisateur, vous pouvez créer un ou plusieurs groupes d'applications à associer à une configuration utilisateur. Vous pouvez également ajouter un groupe d'applications à une configuration utilisateur après avoir créé la configuration utilisateur). Fonctions autonomes de compte (déverrouillage de compte et réinitialisation de mot de passe) et options de gestion de clés (utilisation des mots de passe précédents, questions de sécurité créées pour vos utilisateurs et gestion automatique des clés). Réglages des options telles que le Bureau dynamique, l'habilitation et la prise en charge d'applications. Voir aussi : «Types de cartes à puce utilisées dans l'entreprise», page 31 «Utilisation ou non de la vérification d'identité», page 33 Considérations de planification Si vous devez appliquer les mêmes paramètres de configuration utilisateur à un groupe différent d'utilisateurs, dupliquez la configuration utilisateur sur la Console et modifiez les réglages selon vos besoins. Le mode d'organisation de votre environnement Password Manager peut affecter le fonctionnement des configurations utilisateur. En d'autres termes, vous associez des configurations utilisateur de votre environnement

37 2 Planification de votre environnement Password Manager 37 Password Manager à une hiérarchie Active Directory (unité d'organisation ou utilisateurs) ou à un groupe Active Directory. Si vous utilisez les deux (hiérarchie et groupe) et qu'un utilisateur se trouve dans les deux conteneurs, la configuration utilisateur associée à la hiérarchie a la priorité et sera celle utilisée. Ce schéma est appelé environnement mixte. Les informations de configuration utilisateur gérées dans le magasin central sont prioritaires par rapport à celles contenues dans le magasin local (à savoir, les données utilisateur stockées sur l'ordinateur d'un utilisateur). Les données utilisateur du magasin local sont principalement utilisées lorsque le magasin central n'est pas disponible ou qu'il est déconnecté. Partage de ressources ou d'une station de travail entre plusieurs utilisateurs (Bureau dynamique) Remarque : la section «Le Bureau dynamique : un environnement de bureau partagé destiné aux utilisateurs» dans le Guide de l'administrateur Citrix Password Manager décrit comment configurer le Bureau dynamique. Le Bureau dynamique permet aux utilisateurs de partager leurs stations de travail de façon sûre et efficace. Avec le Bureau dynamique, Password Manager vous offre à la fois une rotation accélérée des utilisateurs et l'accès à l'authentification unique. Toutefois, avant la mise en place de cette fonctionnalité, vous devez : créer des configurations utilisateur dédiées ; configurer un compte partagé de Bureau dynamique ; modifier les scripts qui définissent les applications à exécuter sur les machines en Bureau dynamique ainsi que leur comportement au démarrage et à l'arrêt. Cette fonctionnalité n'est pas installée par défaut, vous pouvez la sélectionner pendant la phase initiale de l'installation de l'agent. Vous pouvez également l'ajouter lors d'une mise à niveau de vos déploiements.

38 38 Guide d'installation Citrix Password Manager Remarque : si vous déployez le Bureau dynamique dans un environnement dans lequel les utilisateurs se connectent à l'aide de cartes à puce et dans lequel votre source de clé de carte à puce est DPAPI avec profil, ne sélectionnez pas l'option Saisie du mot de passe précédent en tant que méthode de récupération de clé unique pour ces utilisateurs. Dans un tel environnement, les utilisateurs ne peuvent pas saisir le mot de passe précédent adéquat et ne peuvent donc définitivement plus accéder au système. Pour prévenir ce problème, sélectionnez l'option de gestion automatique des clés ou proposez une option d'authentification avec questions aux utilisateurs. Contrôle des applications Ils peuvent s'authentifier rapidement à l'aide de leurs informations d'identification Windows ou d'une authentification renforcée avec carte à puce. En tant qu'administrateur, vous pouvez configurer le Bureau dynamique pour lancer des applications dans l'environnement Bureau dynamique afin que les utilisateurs n'aient pas à rechercher leurs applications et à ensuite patienter pendant leur chargement. De même, vous pouvez configurer le Bureau dynamique de sorte que toutes les applications soient fermées correctement, laissant un environnement «propre» pour la prochaine session. Confort utilisateur avec le Bureau dynamique Lorsque le compte partagé effectue une ouverture de session, il place la machine en mode «rotation utilisateur rapide», ce qui entraîne l'affichage d'une boîte d'ouverture de session Windows standard. La session du compte partagé reste ouverte quelle que soit l'activité de l'utilisateur du Bureau partagé. Lorsque les utilisateurs s'authentifient, ils n'ouvrent pas de session dans le Bureau dynamique de la façon habituelle. Le Bureau dynamique utilise leurs informations d'identification Windows pour démarrer une session Bureau dynamique. Les utilisateurs n'ouvrent pas véritablement de session, mais ils s'authentifient. Ainsi, les événements associés à l'ouverture de session, tels que l'application de la stratégie de groupe, l'initialisation des imprimantes, etc., et les délais qu'ils impliquent sont éliminés. Le Bureau dynamique offre une impression de permutation rapide des utilisateurs. Un utilisateur peut démarrer une session, effectuer des tâches liées à son poste et fermer la session afin que le prochain utilisateur puisse accéder au système et faire de même. Le passage d'un utilisateur à l'autre s'effectue de façon rapide et efficace.

39 2 Planification de votre environnement Password Manager 39 L'Agent Password Manager est lancé lorsqu'une session du Bureau dynamique démarre. Une fois la session établie, le Bureau dynamique accède aux informations d'identification du compte Windows pour lancer les applications en utilisant l'interface shell standard. En général, ces applications clientes légères invitent les utilisateurs à entrer leurs informations d'identification, qui peuvent être fournies par l'agent en fonction des paramètres associés à leur compte Windows. Configurations requises pour le système de licences Installez le serveur de licences et ajoutez les licences avant d'installer Password Manager. Important : pour exécuter cette version, vous devez disposer du serveur de licences (version 11.5), disponible dans le dossier Licences du support d'installation. Si vous exécutez une version antérieure au serveur de licences, vous devez le mettre à niveau à la version Pour plus d'informations sur les configurations requises, sur les termes du contrat de licence et sur l'installation des licences, veuillez consulter le Guide de démarrage du système de licences Citrix, disponible sur le site Web de Citrix à l'adresse sous le titre «Top Licensing Resources» de la page. Mode déconnecté Remarque : ce mode est défini au sein d'une configuration utilisateur. Veuillez consulter la section «Configuration du système de licences» dans le Guide de l'administrateur Citrix Password Manager. Si certains de vos utilisateurs sont amenés à être déconnectés du serveur de licences pour des périodes étendues (par exemple, utilisateurs itinérants travaillant sur des ordinateurs portables), vous devez spécifier une durée de mode déconnecté pour ces derniers. Cette durée est définie dans le cadre des réglages de licence de la configuration utilisateur de l'utilisateur. Elle détermine deux aspects importants du cycle de vie des licences. La durée pendant laquelle l'utilisateur peut être déconnecté du serveur de licences sans entrer dans la période de grâce de la licence. Au terme de la durée du mode déconnecté, les utilisateurs employant la configuration utilisateur associée entrent dans la période de grâce, qui dure 30 jours.

40 40 Guide d'installation Citrix Password Manager La durée s'écoulant avant qu'une licence extraite, actuellement utilisée en mode déconnecté, soit réintégrée au pool des licences disponibles sur le serveur de licences, que le produit soit reconnecté ou non à ce dernier. Si une licence est extraite et que le mode déconnecté associé à celle-ci expire avant que la licence ait été réintégrée, le serveur de licences la réintègre automatiquement afin qu'elle soit à nouveau disponible. Par exemple, si un ordinateur portable exécutant Password Manager est perdu et n'est jamais reconnecté au réseau de votre entreprise, le serveur de licences réintègre automatiquement la licence au terme de la durée du mode déconnecté. En d'autres termes, lorsque vous définissez le mode déconnecté, vous spécifiez le temps devant s'écouler avant la réintégration de la licence au pool de licences disponibles. Pensez à définir de longues durées de mode déconnecté pour les utilisateurs ne se connectant pas régulièrement au réseau de votre entreprise, comme le personnel commercial travaillant à distance. Réglez cette durée sur la période la plus longue pendant laquelle les utilisateurs de cette configuration sont susceptibles de rester à distance de votre réseau. Cependant, n'oubliez pas qu'il n'est pas possible de récupérer de licences extraites pendant cette durée, même si ces dernières sont installées sur du matériel perdu ou dégradé. Gestion d'un environnement intégrant des types de licences mixtes Selon votre environnement Password Manager et les besoins de votre entreprise, vous avez peut-être acquis des licences Password Manager Utilisateurs désignés et Utilisateurs simultanés. Par exemple, vous pouvez créer des configurations utilisateur basées sur le modèle de licence Utilisateurs désignés pour des utilisateurs itinérants employant l'agent via un ordinateur de bureau et un ordinateur portable. Vous pouvez également créer des configurations utilisateur basées sur le modèle de licence Utilisateurs simultanés pour les utilisateurs du Bureau dynamique, par exemple. Dans certains cas, toutes vos licences Utilisateurs désignés peuvent être utilisées, ce qui empêche certains utilisateurs d'accéder à Password Manager. Dans ce cas, vous pouvez utiliser les licences Utilisateurs simultanés disponibles dans votre configuration utilisateur pour un usage en mode déconnecté. Pour utiliser des licences Utilisateurs simultanés disponibles en mode déconnecté 1. Créez une configuration utilisateur comme le décrit la section «Création d'une configuration utilisateur : l'assistant de configuration utilisateur» du Guide de l'administrateur Citrix Password Manager.

41 2 Planification de votre environnement Password Manager Dans la page Configuration du système de licences, sélectionnez Licence Utilisateurs simultanés (éditions Enterprise et Platinum uniquement). 3. Sélectionnez Autoriser l'utilisation de la licence en mode déconnecté et définissez la durée pendant laquelle la licence peut être extraite du serveur de licences. 4. Terminez la définition de la configuration utilisateur. Pour les utilisateurs associés à cette configuration utilisateur, le modèle de licence est identique à celui d'une licence Utilisateurs désignés : la licence peut être utilisée par des utilisateurs travaillant occasionnellement à distance et pouvant se trouver déconnectés sur de courtes périodes. L'utilisation des licences Utilisateurs simultanés est alors gérée utilisateur par utilisateur. Sélection des fonctionnalités optionnelles du service Password Manager Le service Password Manager est un service Web qui utilise Secure Sockets Layers (SSL) pour crypter les données partagées par le service, la Console et l'agent de Password Manager. Il utilise un serveur Web dédié pour héberger les fonctionnalités facultatives de Password Manager. Installez le service Password Manager si vous envisagez de mettre en place un ou plusieurs des modules suivants : Module de gestion des clés, qui permet aux utilisateurs d'ouvrir une session sur le réseau et d'obtenir un accès immédiat aux applications gérées par Password Manager sans qu'il soit nécessaire de vérifier leur identité via l'authentification avec questions. Module d'intégrité des données, qui ajoute une signature numérique aux données avant leur transfert du magasin central vers l'agent. module d'habilitation, qui vous permet d'ajouter, de supprimer ou de mettre à jour des informations d'identification utilisateur à partir de la Console ; Fonctions autonomes de compte, qui permet la réinitialisation des mots de passe Active Directory et le déverrouillage de leurs comptes. Module de synchronisation des informations d'identification, qui permet aux utilisateurs de synchroniser leurs informations d'identification entre différents comptes (association de comptes).

42 42 Guide d'installation Citrix Password Manager Important : le serveur hébergeant le service Password Manager contient des informations utilisateur très sensibles. Citrix recommande d'utiliser un serveur dédié et de le placer dans un endroit protégé. Fonctions autonomes de compte Remarque : vous ne pouvez utiliser les fonctions autonomes de compte que dans un environnement Active Directory afin d'autoriser les utilisateurs à réinitialiser leur mot de passe principal ou à déverrouiller leur compte de domaine Windows. Vous pouvez configurer les fonctions autonomes de compte de Password Manager pour permettre à vos utilisateurs de réinitialiser leur mot de passe principal sans intervention de l'administrateur ou du personnel d'assistance technique. En fonction de vos besoins, vous pouvez mettre en œuvre l'une des fonctions autonomes de réinitialisation de mot de passe et de déverrouillage de compte (ou les deux) en toute sécurité dans votre environnement Password Manager. Le module de réinitialisation de mot de passe permet aux utilisateurs qui ont oublié leur mot de passe principal de le réinitialiser pour ouvrir une session. Le déverrouillage de compte permet aux utilisateurs de déverrouiller leur compte de domaine en cas de verrouillage de ce dernier. Les fonctions autonomes de compte sont protégées par l'authentification avec questions, qui garantit l'autorisation des utilisateurs lorsqu'ils s'apprêtent à réinitialiser leur mot de passe ou à déverrouiller leur compte. Lorsque ces fonctions sont activées, les utilisateurs doivent suivre un processus d'inscription au cours duquel ils doivent répondre à des questions de sécurité que vous créez et sélectionnez. Ces questions de sécurité sont présentées aux utilisateurs lorsqu'ils doivent réinitialiser leur mot de passe ou déverrouiller leur compte. Après avoir répondu correctement, ils sont autorisés à réinitialiser leur mot de passe ou à déverrouiller leur compte. Vous pouvez également utiliser les fonctions autonomes avec l'interface Web. L'Interface Web est un composant de Citrix XenApp qui permet aux utilisateurs d'accéder aux applications publiées en cliquant sur les liens d'une page Web. Remarque : les fonctions autonomes de compte ne prennent pas en charge les ouvertures de session de nom d'utilisateur principal (UPN), tels que [email protected].

43 2 Planification de votre environnement Password Manager 43 Intégrité des données Remarque : si vous avez déjà mis en place une structure sécurisée pour protéger les données transmises, tel qu'ipsec (Internet Protocol Security) ou SMB (Server Message Block), il n'est pas nécessaire d'installer le module d'intégrité des données. Installez ce module si vous souhaitez garantir que les données transmises entre les composants de Password Manager proviennent d'une source fiable et approuvée. Ce module facultatif est destiné aux utilisateurs disposant de réseaux non fiables. Le module d'intégrité de données contient les fichiers de clé publique et privée utilisés pour signer les données. Il utilise un système de clé publique RSA pour garantir que l'agent n'obtient les données de configuration que d'une source autorisée. Important : le module d'intégrité des données ne distribue pas la clé privée. Une fois les données signées par la Console, cette dernière envoie les données et la signature au magasin central. L'Agent reçoit les données et la signature du magasin central pendant la synchronisation. Il contacte alors le service Password Manager pour obtenir une copie de la clé publique nécessaire à la vérification de la signature reçue du magasin central. Si l'agent est configuré pour utiliser le module d'intégrité des données, il refuse toujours des données de configuration pour lesquelles la vérification d'intégrité échoue. En cas d'échec, l'agent journalise l'événement et affiche un message d'erreur invitant les utilisateurs à contacter leur administrateur. L'Agent applique ensuite par défaut les configurations précédentes ou rétablit l'état déconnecté. Module de gestion des clés Le module de gestion des clés permet aux utilisateurs d'ouvrir une session sur le réseau et d'obtenir un accès immédiat aux applications gérées par Password Manager sans utiliser l'authentification avec questions (cette méthode est également appelée gestion automatique des clés). Lorsque les utilisateurs changent leur mot de passe réseau, l'agent détecte la modification et récupère les clés de cryptage de l'utilisateur à l'aide du service Password Manager.

44 44 Guide d'installation Citrix Password Manager Cette méthode offre aux utilisateurs l'accès le plus rapide à leurs applications. Toutefois, il ne protège pas contre un accès par un utilisateur non autorisé ou par un administrateur empruntant l'identité d'un utilisateur car il n'existe aucun «secret de l'utilisateur» pour protéger le mot de passe réseau de celui-ci. Pour prévenir ce risque, mettez en place la gestion automatique des clés en combinaison avec les fonctions autonomes de compte et l'authentification avec questions. La gestion automatique des clés utilise la scission de clé (division en deux d'une clé privée) pour réduire la menace d'une attaque de sécurité. Important : la politique de sécurité d'une organisation permet parfois aux administrateurs système d'avoir accès aux mots de passe des applications gérées par Password Manager. Consultez la politique de sécurité de votre société avant d'autoriser Password Manager à gérer les mots de passe dont les utilisateurs souhaitent maintenir le secret. La désélection des fonctions de gestion automatique des clés du paramètre Méthodes de protection des données de la configuration utilisateur peut également contribuer à empêcher les accès non autorisés. Habilitation L'habilitation accroît la souplesse et la fonctionnalité de Password Manager dans l'environnement de votre entreprise en permettant d'automatiser certains processus longs. Lors d'une nouvelle installation de Password Manager, de l'ajout de centaines de nouveaux utilisateurs et applications ou de la suppression des informations inutiles, l'habilitation permet de travailler plus rapidement. Par exemple, vous pouvez utiliser l'habilitation pour ajouter tous les noms d'utilisateur et mots de passe de toutes vos applications dans le magasin central. Vous épargnez ainsi le processus Configuration initiale des informations d'identification aux utilisateurs qui ouvrent l'agent pour la première fois. En outre, si vous souhaitez mettre un nouveau logiciel à disposition de vos utilisateurs, vous pouvez créer une définition pour l'application et utiliser l'habilitation pour ajouter les informations d'identification de tous les utilisateurs qui l'utiliseront. L'habilitation permet les opérations suivantes : ajout, modification et suppression d'informations d'identification dans le magasin central ; réinitialisation d'informations d'identification ; suppression d'utilisateurs et de leurs informations d'identification d'application de Password Manager.

45 2 Planification de votre environnement Password Manager 45 L'habilitation consiste à utiliser les informations de l'environnement pour créer un modèle permettant d'ajouter, de supprimer ou de modifier des informations d'identification dans le magasin central. L'habilitation est un composant du service Password Manager. Synchronisation des informations d'identification (Association de comptes) La fonction Association de comptes permet à un utilisateur de se connecter à n'importe quelle application à l'aide d'un compte Windows ou plus. Dans la mesure où Password Manager lie généralement les informations d'identification d'utilisateur à un seul compte, ces informations ne sont pas automatiquement synchronisées entre les différents comptes que peut posséder un utilisateur. Toutefois, les administrateurs peuvent configurer la fonction Association de comptes de manière à synchroniser les informations d'identification des utilisateurs. Les utilisateurs bénéficiant de la fonction Association de comptes peuvent accéder à toutes les applications à partir de n'importe lequel de leurs comptes dans leur environnement Password Manager. Lors de la modification, de l'ajout ou de la suppression d'informations d'identification dans un compte, elles sont automatiquement synchronisées avec chacun des comptes associés à l'utilisateur. Scénarios de déploiement de l'agent Password Manager Le déploiement de Password Manager dépend de la fréquence d'accès à des applications dans votre entreprise. Par exemple, si vous avez mis en place un environnement XenApp, vous pouvez publier l'agent Password Manager sur tous les serveurs de la batterie hébergeant des applications nécessitant une authentification. Les utilisateurs peuvent accéder à ces applications au moyen d'une connexion Citrix. Si les utilisateurs exécutent les applications localement sur leurs stations de travail, ordinateurs portables, ordinateurs de poche ou autres machines clientes, l'agent est installé sur ces machines. L'Agent dans ce cas fournit des informations d'identification et l'accès aux applications exécutées localement sur la machine cliente. Vous pouvez également déployer l'agent dans un environnement mixte, incluant des applications locales et des application publiées sur des ordinateurs exécutant XenApp. L'Agent installé localement fournit les informations d'identification aux applications installées sur la machine cliente et l'agent XenApp fournit les informations d'identification aux applications publiées. Si vous exécutez également Access Gateway Advanced Edition, les applications sont disponibles à partir de XenApp par le biais d'un navigateur Web.

46 46 Guide d'installation Citrix Password Manager Password Manager peut être utilisé avec les logiciels suivants : Access Gateway Advanced Edition Composants Citrix XenApp tels que : Citrix XenApp Plugin pour applications hébergées Citrix XenApp Plugin pour applications en streaming Interface Web Considérations sur XenApp Lorsque vous utilisez Password Manager dans un environnement XenApp, vous devez installer l'agent sur chaque serveur contenant des applications nécessitant l'authentification. L'Agent fournit les informations d'identification aux applications publiées uniquement. Installez la Console sur un bureau ou un serveur qui ne fait pas partie de la batterie de serveurs. Ce bureau ou ce serveur doit être exécuté sur le même système d'exploitation que les serveurs sur lesquels sont publiées les applications ou que les serveurs sur lesquels sera installé l'agent. Utilisez cette Console pour créer des configurations utilisateur pour contrôler le comportement de l'agent. Les utilisateurs accèdent aux applications publiées de la batterie à travers leur connexion ICA établie à l'aide d'un client. Lorsqu'un utilisateur tente de se connecter à une application publiée nécessitant des informations d'identification, l'agent reconnaît la demande d'authentification envoyée par le serveur XenApp. Il détermine le type d'application (Windows, Web ou émulateur de terminal) et récupère les informations d'identification correspondantes du magasin local de l'utilisateur stocké dans le profil de l'utilisateur. Instructions relatives aux choix d'authentification principale et de protection des informations d'identification multiples Lors de la création d'une configuration utilisateur, vous pouvez sélectionner des méthodes de protection des informations d'identification selon les plans d'authentification en place dans votre entreprise.

47 2 Planification de votre environnement Password Manager 47 Les pages de propriétés de configuration utilisateur ci-après vous permettent de régler le comportement de l'agent Password Manager et la méthode de protection des informations d'identification utilisée lors de la mise en place par les utilisateurs d'une ou plusieurs méthodes d'authentification principale. Page Méthodes de protection des données La page de propriétés de configuration utilisateur Méthodes de protection des données vous permet de sélectionner des méthodes de protection des données d'authentification principale simples ou multiples. En outre, vous pouvez également réglementer l'accès des administrateurs aux informations d'identification des utilisateurs afin de les empêcher d'emprunter l'identité d'un utilisateur et d'accéder sans autorisation aux informations de l'utilisateur. Page Protection secondaire des données Pour un meilleur niveau de sécurité en cas de modification de l'authentification principale par les utilisateurs (par exemple, modification de mot de passe de domaine ou remplacement de carte à puce), la page de propriétés de configuration utilisateur Protection secondaire des données vous permet d'obliger les utilisateurs à s'authentifier de nouveau et à vérifier leur identité avant de déverrouiller leurs informations d'identification d'application. compromis entre maintien de la sécurité et simplicité d'utilisation Les deux questions à se poser lors du choix des options sur ces deux pages de propriétés de configuration utilisateur sont les suivantes. Quels types d'authentification sont utilisés dans mon environnement pour les utilisateurs administrés dans cette configuration utilisateur? Comment trouver un équilibre entre les besoins de sécurité de l'entreprise et le confort d'utilisation de l'ensemble des utilisateurs? Notez également que les choix suivants ne s'excluent pas mutuellement et que vous pouvez les combiner dans votre entreprise (on parle alors d'une authentification principale multiple). Votre choix repose sur l'équilibre entre vos besoins de sécurité et le confort des utilisateurs de votre entreprise.

48 48 Guide d'installation Citrix Password Manager Usurpation d'identité Si vous souhaitez bloquer l'accès des administrateurs aux informations d'identification d'un utilisateur, sélectionnez Oui pour l'option suivante. Les informations d'identification sont protégées contre toute tentative d'usurpation d'identité par des administrateurs en vue d'accéder aux informations des utilisateurs. Devez-vous réglementer l'accès des administrateurs aux données utilisateurs? Oui est le réglage par défaut de la page Méthodes de protection des données. Avec cette configuration, l'administrateur de comptes ou autres ne peut pas accéder aux mots de passe ou aux données de l'utilisateur. Ce paramètre permet d'empêcher un administrateur de prendre l'identité d'un utilisateur. L'administrateur ne peut pas ouvrir de session sous le nom de l'utilisateur ni accéder aux données stockées dans le magasin d'informations d'identification local de l'utilisateur. La valeur Oui désactive l'utilisation de l'option API de protection des données de Microsoft de cette page ainsi que l'option Aucune invite aux utilisateurs ; restauration automatique de la protection principale des données sur le réseau de la page Protection secondaire des données suivante. Les cartes à puce et les profils itinérants ne sont pas autorisés dans ce cas et les informations d'identification ne sont pas automatiquement restaurées en cas de changement de mot de passe sans authentification ni vérification. Sélectionnez Non pour autoriser l'utilisation de l'ensemble des fonctions d'authentification multiple disponibles sur cette page et sur la page Protection secondaire des données (y compris la possibilité de restaurer les informations d'identification sans nouvelle authentification ni vérification d'identité). Nom d'utilisateur et mot de passe La mise en place la plus simple correspond au réglage par défaut de la page Méthodes de protection des données : un environnement dont la sécurité repose uniquement sur le mot de passe. Ce réglage par défaut autorise vos utilisateurs à utiliser leurs nom d'utilisateur et mot de passe tout en protégeant leurs informations d'identification contre tout accès non autorisé par des administrateurs. Important : la sécurité procurée par ce choix dépend de la rigueur relative de votre stratégie de mot de passe de domaine. Plus les contraintes liées aux mots de passe sont fortes (et donc complexes), plus le niveau sécurité offert par ce choix est élevé.

49 2 Planification de votre environnement Password Manager 49 Option Devez-vous réglementer l'accès des administrateurs aux données utilisateurs? Données d'authentification des utilisateurs Description Voir «Usurpation d'identité», page 48. Sélectionnée. Un secret utilisateur est utilisé pour accéder aux données utilisateur et ainsi protéger ces dernières. Dans ce cas, le secret utilisateur est un mot de passe. La sécurité du mot de passe peut être calculée à partir du mot de passe de domaine saisi par l'utilisateur ou d'un mot de passe ponctuel généré par des dispositifs à jetons, de proximité ou à reconnaissance biométrique. Cartes à puce avec certificats et données d'authentification des utilisateurs Important : cette option n'est pas prise en charge par la version 4.1 de l'agent Password Manager. Sélectionnez les options Utiliser la même protection des données qu'avec Password Manager 4.1 et versions précédentes et Protection des données par carte à puce si vous envisagez d'utiliser ces Agents d'ancienne génération. Veuillez consulter la section «Sélection des méthodes de protection des données» du Guide de l'administrateur Citrix Password Manager. Important : pour utiliser les cartes à puce dans un environnement Windows 2008 ou Windows Vista, vous devez créer ou mettre à niveau votre magasin central avec une console Password Manager 4.5 ou ultérieure et API de protection des données de Microsoft (nécessite des profils itinérants) doit être sélectionné dans vos configurations utilisateur. Utilisez cette option uniquement si vous souhaitez combiner des cartes à puce avec certificats ou signatures numériques incorporés avec les données d'authentification des utilisateurs de votre entreprise. L'association de cartes à puce avec un nom d'utilisateur et un mot de passe pour l'authentification est la meilleure solution de protection des données d'authentification des utilisateurs. Remarque : sélectionnez l'option Certificat de carte à puce si vous utilisez des cartes à puce avec le Bureau dynamique.

50 50 Guide d'installation Citrix Password Manager Option Devez-vous réglementer l'accès des administrateurs aux données utilisateurs? Données d'authentification des utilisateurs Certificat de carte à puce Description Voir «Usurpation d'identité», page 48. Sélectionnée. Un secret utilisateur est utilisé pour accéder aux données utilisateur et ainsi protéger ces dernières. Dans ce cas, le secret utilisateur est un mot de passe. La sécurité du mot de passe peut être calculée à partir du mot de passe de domaine saisi par l'utilisateur ou d'un mot de passe ponctuel généré par des dispositifs à jetons, de proximité ou à reconnaissance biométrique. Sélectionnée. Dans ce cas, le secret utilisateur est protégé par cryptage et décryptage fournis par le certificat de sécurité de la carte. Cartes à puce à codes secrets Remarque : cette option est prise en charge par la version 4.1 de l'agent Password Manager Agent si vous sélectionnez les options Utiliser la même protection des données qu'avec Password Manager 4.1 et versions précédentes et Code secret en tant que mot de passe, si vous envisagez d'utiliser des Agents d'ancienne génération. Si vous utilisez des cartes à puce ne prenant pas en charge les certificats de sécurité en tant qu'authentification principale dans un domaine Windows ou que vous n'utilisez pas de profil itinérant, utilisez l'option Permettre le code secret de carte à puce. Lorsque vous sélectionnez cette option, les clés de cryptage utilisées pour protéger les informations d'identification secondaires sont calculées à partir du code secret de carte à puce. Pensez à mettre en place une politique de code secret restrictif. Dans certaines sociétés, les codes secrets sont des numéros à quatre chiffres qui n'offrent pas un niveau de protection élevé (inférieur à un mot de passe à huit caractères, par exemple) et risquent d'être plus exposés aux attaques. N'utilisez cette option que si votre entreprise a mis en place une politique de code secret impliquant un mélange de lettres et de chiffres et une longueur minimum de huit caractères.

51 2 Planification de votre environnement Password Manager 51 Option Devez-vous réglementer l'accès des administrateurs aux données utilisateurs? Données d'authentification des utilisateurs Permettre le code secret de carte à puce Description Voir «Usurpation d'identité», page 48. Sélectionnée. Un secret utilisateur est utilisé pour accéder aux données utilisateur et ainsi protéger ces dernières. Dans ce cas, le secret utilisateur est un code secret. Sélectionnée. Autoriser l'utilisation du code secret de carte à puce comme secret utilisateur pour assurer la protection. Utilisez cette option uniquement si votre entreprise a instauré une politique de code secret restrictif. Profils itinérants (DPAPI de Microsoft) Important : pour utiliser les cartes à puce dans un environnement Windows 2008 ou Windows Vista, vous devez créer ou mettre à niveau votre magasin central avec une console Password Manager 4.5 ou ultérieure et API de protection des données de Microsoft (nécessite des profils itinérants) doit être sélectionné dans vos configurations utilisateur. Remarque : cette méthode est prise en charge par la version 4.1 de l'agent Password Manager et est gérée sur les plates-formes Windows XP, Windows 2000 et Windows 2003 Server. Sélectionnez les options Utiliser la même protection des données qu'avec Password Manager 4.1 et versions précédentes et Protection des données par carte à puce si vous envisagez d'utiliser ces Agents d'ancienne génération. Sélectionnez Non en réponse à la question Devez-vous réglementer l'accès des administrateurs aux données utilisateurs? pour autoriser l'utilisation de profils itinérants et de l'api de protection des données de Microsoft dans votre environnement. Cette option est la mieux sécurisée après la méthode Cartes à puce avec certificats et données d'authentification des utilisateurs. Sélectionnez cette option si vous utilisez des profils itinérants exploitant un protocole d'authentification de réseau Kerberos pour les utilisateurs. Cette option ne fonctionne que si des profils itinérants sont présents. Si vous stockez également des profils itinérants sur des stations de travail, vous devez la sélectionner.

52 52 Guide d'installation Citrix Password Manager Password Manager calcule les clés de cryptage protégeant les informations d'identification secondaires à partir du mot de passe principal de l'utilisateur. Néanmoins, si un utilisateur utilise une carte à puce pour l'authentification principale, il n'existe aucun mot de passe principal et cette opération alors est impossible. Dans ce cas, la meilleure solution pour l'agent est l'option API de protection des données de Microsoft. Cette option utilise la DPAPI de Microsoft pour calculer les clés de cryptage et protéger les informations d'identification secondaires. Ce mécanisme de cryptage utilise les informations d'identification Windows ou de domaine de l'utilisateur pour calculer les clés de cryptage. Si les utilisateurs saisissent des mots de passe pour accéder à leur PC et un protocole d'authentification réseau Kerberos pour accéder aux serveurs Citrix XenApp, sélectionnez les options suivantes : Non en réponse à la question Devez-vous réglementer l'accès des administrateurs aux données utilisateurs? Données d'authentification des utilisateurs API de protection des données de Microsoft Cette méthode admet également l'utilisation d'informations d'identification de l'utilisateur et de cartes à puce pour l'ouverture de session. Voir aussi : «Cartes à puce avec certificats et données d'authentification des utilisateurs», page 49 Mots de passe vides Important : si vous ne sélectionnez pas cette option et qu'un mot de passe vide est autorisé dans votre environnement, l'agent ne calcule aucun secret utilisateur et n'assure aucune protection des données avec le mot de passe vide. L'utilisation d'un mot de passe vide doit rester exceptionnelle et doit être uniquement utilisée dans des environnements à faible niveau de sécurité nécessitant un confort d'utilisation optimal. Elle convient, par exemple, aux situations dans lesquelles une station de travail ou un ordinateur commun localisé dans une usine sert à de nombreux utilisateurs. Vous pouvez toujours utiliser Password Manager pour contrôler l'accès aux applications mais les informations d'identification utilisées pour accéder à la station de travail incluent un mot de passe vide.

53 2 Planification de votre environnement Password Manager 53 Option Devez-vous réglementer l'accès des administrateurs aux données utilisateurs? Données d'authentification des utilisateurs Autoriser la protection des données à l'aide d'un mot de passe vide Description Voir «Usurpation d'identité», page 48. Sélectionnée. Un secret utilisateur est utilisé pour accéder aux données utilisateur et ainsi protéger ces dernières. Dans ce cas, le secret utilisateur est un mot de passe. Sélectionnée. Si vous sélectionnez cette option et que l'agent détecte que l'utilisateur dispose d'un mot de passe vide, un secret utilisateur de protection des données est calculé à partir de l'id de l'utilisateur.

54 54 Guide d'installation Citrix Password Manager

55 3 Installation de Password Manager Cette section décrit les tâches de pré-installation, d'installation et de configuration requises pour l'installation de Citrix Password Manager. Récapitulatif des étapes d'installation Tâche Pré-installation Choisir les ordinateurs de votre environnement sur lesquels vous allez installer le logiciel. Préparer les ordinateurs en vue de l'installation. Installer le serveur de licences et ajouter des licences pour Password Manager. Installation Vérifier le menu Autorun. Reportez-vous à la section ou au document suivant : «Planification de votre environnement Password Manager», page 11 «Configurations matérielles et logicielles requises», page 56 «Configuration requise pour ASP.NET», page 59 «Exigences liées aux comptes et à la sécurité du service Password Manager», page 59 «Installation de Microsoft.NET Framework 2.0», page 63 «Installation de Java Runtime Environment», page 65 «Configurations requises pour le système de licences», page 66 Guide de démarrage du système de licences Citrix, disponible sur le site licensing/ sous le titre «Top Licensing Resources» de la page. «Avant l'installation de Password Manager», page 67 Créer un magasin central. «Choix du type de magasin central», page 16 «Création d'un magasin central», page 69

56 56 Guide d'installation Citrix Password Manager Tâche Installer le Service Password Manager. Installer la Console Password Manager. Installer Password Manager Plugin/l'Agent Password Manager. Reportez-vous à la section ou au document suivant : «Installation et configuration du service Password Manager», page 77 «Installation et configuration de la Console Password Manager», page 82 «Installation et configuration de l'agent Password Manager», page 84 Configurations matérielles et logicielles requises Important : n'installez pas Password Manager sur un contrôleur de domaine. L'installation sur un contrôleur de domaine de l'agent, du service, de la console ou du magasin central de type point de partage réseau NTFS de Password Manager n'est pas prise en charge. Cette section décrit les configurations logicielle et matérielle requises pour l'environnement. Elle présuppose que chaque ordinateur répond à la configuration matérielle minimale requise pour le système d'exploitation installé. Configuration logicielle requise pour le système de prise en charge Les ordinateurs de l'environnement Password Manager peuvent nécessiter l'utilisation des logiciels de prise en charge suivants. Composant logiciel Requis par Emplacement Microsoft Windows Installer 3.0 (ou une version ultérieure) Tous Dossier Support du support d'installation de Password Manager Microsoft.NET Framework 2.0 Java Standard Edition Runtime Environment (JRE) Versions 1.4.x, 5, et 6 Service Password Manager Console Password Manager Outil de définition d'application Console Password Manager Outil de définition d'application Agent Password Manager Dossier Support du support d'installation de Password Manager

57 3 Installation de Password Manager 57 Composant logiciel Requis par Emplacement Microsoft Internet Explorer version 6.0 ou 7.0 (mode non protégé) Utilisateurs accédant à des applications Web à authentification unique (SSO) Configuration logicielle requise pour Password Manager Le tableau suivant présente les configurations logicielle et matérielle requises pour Password Manager. Important : le serveur hébergeant le service Password Manager contient des informations utilisateur très sensibles. Citrix recommande d'utiliser un serveur dédié et de le placer dans un endroit protégé. Composant de Password Manager Environnement ou système d'exploitation Microsoft Windows pris en charge Magasin central Active Directory Partage de fichiers NTFS Dossier partagé Novell Console Microsoft Windows Vista (édition Business, édition Ultimate, édition Enterprise) 32 bits et 64 bits Microsoft Windows XP Professionnel Service Pack 2, 32 bits Microsoft Windows XP Professionnel, édition x64 64 bits Microsoft Windows 2000 Professionnel, Service Pack 4 Microsoft Windows Server 2008 (édition Standard, édition Enterprise, édition Datacenter) 32 bits et 64 bits Microsoft Windows Server 2003 R2 (édition Standard, édition Enterprise, édition Datacenter) - 32 bits et 64 bits Microsoft Windows Server 2003 avec Service Pack 2 (édition Standard, édition Enterprise, édition Datacenter) 32 bits et 64 bits Microsoft Windows 2000 Server, Service Pack 4 (Windows 2000 Server, Advanced Server, Datacenter Server) - 32 bits Configuration matérielle requise 30 Ko d'espace disque par utilisateur 64 Mo de mémoire vive 60 Mo d'espace disque

58 58 Guide d'installation Citrix Password Manager Composant de Password Manager Agent. Microsoft Windows Vista (édition Business, édition Ultimate, édition Enterprise) 32 bits et 64 bits Microsoft Windows XP Professionnel Service Pack 2, 32 bits Microsoft Windows XP Professionnel, édition x64 64 bits Microsoft Windows XP Embedded Microsoft Windows 2000 Professionel, Service Pack 4 Microsoft Windows Fundamentals for Legacy PCs Microsoft Windows Server 2008 (édition Standard, édition Enterprise, édition Datacenter) 32 bits et 64 bits Microsoft Windows Server 2003 R2 (édition Standard, édition Enterprise, édition Datacenter) - 32 bits et 64 bits Microsoft Windows Server 2003 avec Service Pack 2 (édition Standard, édition Enterprise, édition Datacenter) 32 bits et 64 bits Microsoft Windows 2000 Server, Service Pack 4 (Windows 2000 Server, Advanced Server, Datacenter Server) - 32 bits Service Microsoft Windows Server 2008 (édition Standard, édition Enterprise, édition Datacenter) 32 bits Microsoft Windows Server 2003 R2 (édition Standard, édition Enterprise, édition Datacenter) 32 bits Microsoft Windows Server 2003 avec Service Pack 2 (édition Standard, édition Enterprise, édition Datacenter) 32 bits ASP.NET (composants du serveur d'applications disponibles) Outil de définition d'application Environnement ou système d'exploitation Microsoft Windows pris en charge Identique à l'agent Configuration matérielle requise 10 Mo de mémoire vive 25 Mo d'espace disque (si les fonctionnalité s optionnelles ne sont pas installées) 35 Mo d'espace disque (si les fonctionnalité s optionnelles sont installées) 128 Mo de mémoire vive 30 Mo d'espace disque Identique à l'agent Remarque : Password Manager n'est pas pris en charge par Microsoft Windows XP Home Edition. Le Bureau dynamique n'est pris en charge que sous Microsoft Windows 2000 Professionnel, Microsoft Windows XP Embedded et Microsoft Windows XP Professionnel, Service Pack 2, 32 bits. Il n'est pas pris en charge par les systèmes d'exploitation 64 bits ou tout système d'exploitation serveur.

59 3 Installation de Password Manager 59 Configuration requise pour ASP.NET Assurez-vous que le composant Windows ASP.NET est installé sur l'ordinateur exécutant le service Password Manager. Exigences liées aux comptes et à la sécurité du service Password Manager Avant d'installer le service Password Manager, assurez-vous que les comptes et composants nécessaires à sa prise en charge sont disponibles. Par ailleurs, le service utilisant le mode HTTP sécurisé (HTTPS), il requiert un certificat d'authentification serveur pour ses communications avec la Console et l'agent à l'aide du protocole SSL (Secure Sockets Layer). Certificat d'authentification serveur requis Remarque : lors de l'installation du service Password Manager, Password Manager crée des certificats de signature et de validation pour authentifier les informations du magasin central. Ces certificats sont indépendants du certificat SSL requis. Avant d'installer le service, vous devez obtenir, d'une autorité de certification (CA), un certificat d'authentification serveur pour les transmissions à l'aide du protocole SSL ou, si vous disposez d'une infrastructure de clé publique (PKI), télécharger votre propre certificat sur le serveur exécutant le service. Il est nécessaire d'obtenir un certificat pour assurer des communications sécurisées entre le service et l'agent et la Console, et pour garantir que la Console et l'agent communiquent avec le serveur de service approprié. Ce certificat est utilisé pour les transmissions à l'aide du protocole SSL. Son nom commun doit donc correspondre au nom de domaine complet du serveur de service (FQDN). Spécifiez une taille de clé minimale de Vous devez installer le certificat dans le magasin de certificats de votre ordinateur local et établir la relation de confiance nécessaire pour la Console et l'agent. Vous devez installer ce certificat sur les stations de travail exécutant le service, la Console et l'agent. Dans un environnement de service à équilibrage de charge ou en clusters, vous pouvez utiliser un certificat unique pour plusieurs serveurs de service si le nom commun du certificat SSL inclut un caractère générique (en

60 60 Guide d'installation Citrix Password Manager général, un astérisque). Par exemple, vous pouvez utiliser un certificat SSL avec le nom commun Serveur*.MaSociété.com pour un environnement intégrant des serveurs nommés Serveur1.MaSociété.com, Serveur2.MaSociété.com et Serveur3.MaSociété.com. Il est également possible d'utiliser un certificat SSL avec le nom commun *.MaSociété.com lorsque ce dernier ne coïncide pas avec le FQDN du serveur. Important : si vous obtenez votre certificat d'une autorité non approuvée par défaut (telle qu'une autorité de certification installée dans votre société), vous devez installer le certificat d'autorité racine dans le magasin de certificat «Autorités de certification racines de confiance» de votre ordinateur local pour établir une relation de confiance. Les échecs de connexion SSL éventuellement rencontrés par les utilisateurs sont généralement liés à un certificat de serveur non approuvé. Veuillez vous reporter au site Web de Microsoft pour obtenir des instructions sur l'extraction et le déploiement des certificats racine CA. Voir aussi : «Pour configurer le(s) service(s) Password Manager avec l'assistant de configuration du service», page 78 Comptes requis pour les modules du service Le service Password Manager peut nécessiter jusqu'à trois types de compte pour la lecture et l'écriture de données lors de son exécution dans votre environnement : Compte du service Compte de l'intermédiaire d'authentification Compte de fonctions autonomes Le nombre et le type de comptes nécessaires dépendent des modules du service à utiliser. Le tableau ci-dessous présente les comptes requis par chaque module du service. Lorsque différents modules nécessitent le même type de compte, vous pouvez utiliser le même compte pour plusieurs modules ou spécifier des comptes personnalisés différents pour chaque module. Module Comptes requis Service Intermédiaire Fonctions d'authentification autonomes Intégrité des données Oui Non Non

61 3 Installation de Password Manager 61 Module Comptes requis Module de gestion des clés Oui Oui Non Habilitation Oui Oui Non Fonctions autonomes Oui Oui Oui Synchronisation d'informations d'identification Service Intermédiaire Fonctions d'authentification autonomes Oui Non Non Exigences liées aux comptes de service Sur le serveur du service Password Manager, utilisez les comptes suivants pour l'exécution du service. Système d'exploitation Windows Server 2003 Windows Server 2008 Spécification du compte Utilisez les comptes existants Service réseau ou Service local. Remarque : si vous choisissez de créer un compte de domaine en tant que compte de service, vous devez enregistrer un nom principal de service pour ce compte de domaine et pour l'ordinateur de service dans Active Directory à l'aide de l'utilitaire setspn.exe. Pour plus d'informations sur les noms principaux de service, veuillez consulter le site Web de Microsoft. Vous ne pouvez pas spécifier un compte d'utilisateur local comme compte de service dans cette version de Password Manager. En revanche, cela est possible avec le compte Service local intégré. Exigences liées au compte d'intermédiaire d'authentification Sur le serveur exécutant le service Password Manager, créez un compte doté des réglages suivants. Ce dernier sera utilisé pour les échanges entre l'intermédiaire d'authentification et le service. Ce compte requiert des droits d'accès en lecture et en écriture au magasin central. Les exigences applicables au compte dépendent du type de magasin central mis en place.

62 62 Guide d'installation Citrix Password Manager Type de magasin central Description du compte partage réseau NTFS Caractéristiques du compte : droits d'accès en lecture et en écriture au magasin central ; membre du domaine ; Une fois le magasin central créé : Accordez au compte les autorisations de partage Contrôle total sur le point de partage CITRIXSYNC$. Accordez au compte les autorisations Contrôle total au dossier CITRIXSYNC et à ses sous-dossiers : le dossier CentralStoreRoot et le dossier People. Accordez au compte les autorisations Contrôle total à tous les objets de fichiers du dossier CITRIXSYNC et ses sous-dossiers. Assurez-vous que le groupe Utilisateurs authentifiés dispose des droits requis pour créer des dossiers au sein du dossier People. Active Directory Caractéristiques du compte : droits d'accès en lecture et en écriture au magasin central ; membre du groupe d'administrateurs de domaine ; Remarque : vous ne pouvez pas utiliser le service Password Manager si le type de votre magasin central est un dossier partagé Novell. Exigences liées aux fonctions autonomes Si vous avez recours aux fonctions de réinitialisation de mot de passe ou de déverrouillage de compte du module de fonctions autonomes, utilisez un compte appartenant au groupe des administrateurs de domaine. Exigences liées aux comptes préalables à l'installation et à l'utilisation de Password Manager La section suivante décrit les exigences liées aux comptes s'appliquant aux utilisateurs amenés à installer et à utiliser des composants de Password Manager.

63 3 Installation de Password Manager 63 Installation et utilisation du service Password Manager L'utilisateur installant le service et exécutant l'assistant de configuration du service doit appartenir au domaine (utilisateur de domaine) et au groupe d'administrateurs locaux de l'ordinateur de service (ajoutez un compte utilisateur de domaine au groupe d'administrateurs locaux). Le compte utilisateur de domaine ne doit pas nécessairement être un administrateur de domaine. Installation et utilisation de la Console Password Manager et de l'outil de définition d'application L'utilisateur installant la Console, réalisant une opération de découverte et de configuration sur cette dernière et utilisant celle-ci doit être un administrateur de domaine et appartenir au groupe d'administrateurs locaux de la station de travail de la Console. Ce compte utilisateur requiert des droits d'accès en lecture et en écriture au magasin central. Il est possible d'accorder à un compte non administrateur des droits de gestion de la Console et de ses fonctions associées via la délégation Active Directory ou la délégation contrainte. Installation et utilisation de l'agent Password Manager L'utilisateur installant l'agent doit appartenir au domaine (utilisateur de domaine) et au groupe d'administrateurs locaux de l'ordinateur de service. Le compte utilisateur de domaine ne doit pas nécessairement être un administrateur de domaine. L'utilisateur exécutant l'agent doit appartenir au domaine (utilisateur de domaine). Installation de Microsoft.NET Framework 2.0 Cette section décrit l'installation de Microsoft.NET Framework 2.0 à partir du support d'installation de Password Manager. Vous devez installer cette application sur un ordinateur de votre environnement, sur lequel vous envisagez d'installer les éléments suivants : Console Service Outil de définition d'application.

64 64 Guide d'installation Citrix Password Manager Important : Citrix a inclus la version.net Framework 2.0 requise pour l'installation de Password Manager sur le support d'installation de Password Manager. Utilisez cette version ou NET 3.0. Lisez systématiquement le fichier readme.htm disponible sur le site Web de Citrix ( pour vérifier la présence de mises à jour et d'informations de dernière minute. (Le fichier lisez-moi et tous les autres documents Password Manager sont accessibles à partir du fichier Password_Manager_Read_Me_First.html, situé dans le dossier Documentation du support d'installation.) Installation côte à côte de.net 2.0 et.net 1.1 Vous pouvez installer.net 2.0 sur une station de travail ou un serveur comprenant également.net 1.1. Cette installation est appelée installation côte à côte de Framework. Il n'est pas nécessaire de désinstaller.net Framework 1.1 d'un ordinateur sur lequel vous envisagez d'installer les fonctions Password Manager suivantes : Console Service Outil de définition d'application Voir aussi : «Microsoft.NET versions 1.1 et 2.0», page 101 Pour installer Microsoft.NET Accédez au support d'installation sur l'ordinateur sur lequel vous envisagez d'installer la Console, le service, ou l'outil de définition d'application. 2. Si le mode Autorun est activé : lorsque l'écran d'installation de Citrix Password Manager s'affiche, cliquez sur Parcourir le CD pour ouvrir l'explorateur Windows. Si le mode Autorun est désactivé : ouvrez l'explorateur Windows et naviguez jusqu'aux fichiers du produit. 3. Ouvrez le dossier Support, puis le dossier DotNet Pour les systèmes 32 bits : ouvrez le dossier x86 et cliquez ensuite sur le fichier dotnetfx.exe. Pour les systèmes 64 bits : ouvrez le dossier x64 et cliquez ensuite sur le fichier dotnet.exe.

65 3 Installation de Password Manager Cliquez sur la fenêtre Avertissement de sécurité, cliquez sur Exécuter. 6. Cliquez dans les différentes boîtes de dialogue affichées pour installer.net Framework Cliquez sur Terminer pour achever l'installation. Remarque : pour les systèmes d'exploitation proposés dans toute autre langue que l'anglais, paramétrez la prise en charge de la version 2.0 du pack linguistique de.net Framework. Ce pack est disponible sur le site Web de Microsoft ( Installation de Java Runtime Environment Password Manager prend en charge Java Runtime Environment (JRE), versions 1.4.x, 5 (1.5.x) et 6 (1.6.x). Téléchargez la version actuellement prise en charge depuis le site Web de Sun Microsystems ( Vous pouvez l'installer sur les ordinateurs sur lesquels vous souhaitez installer les éléments suivants : Console Outil de définition d'application Agent. Si vous installez JRE ou en effectuez la mise à jour après installation de la Console, de l'outil de définition d'application ou de l'agent Si vous installez JRE ou en effectuez la mise à jour après installation de la Console, de l'outil de définition d'application ou de l'agent, vous devez mettre à niveau Password Manager via le Panneau de configuration sur cet ordinateur. Cette procédure associe la version JRE actuelle à ces composants de Password Manager. Pour associer JRE à Password Manager 1. Dans le Panneau de configuration, dans la zone Programmes, sélectionnez l'un des éléments suivants et cliquez sur Modifier. Console Citrix Password Manager 4.6 avec Service Pack 1 Service Citrix Password Manager 4.6 avec Service Pack 1

66 66 Guide d'installation Citrix Password Manager Citrix Password Manager 4.6 avec Service Pack 1 2. Dans la boîte de dialogue de configuration, sélectionnez Réparer et cliquez sur Suivant deux fois. 3. Cliquez sur Terminer à la fin de la réparation de la Console. Résolution d'un message d'erreur lié à Java lors de l'installation ou de la désinstallation de l'agent Le message d'erreur suivant peut apparaître lors de l'installation ou de la désinstallation de l'agent. Citrix Password Manager a détecté qu'au moins un programme ou fichier Java est actuellement en cours d'utilisation. Veuillez fermer tous les programmes et arrêter tous les services liés à Java avant de continuer. En général, cette erreur se produit lors de l'installation de l'agent sur un ordinateur exécutant également un service de serveur Web, tel qu'un serveur Apache Tomcat ou Apache HTTP. Elle peut aussi apparaître lors de l'installation de l'agent sur un serveur Citrix XenApp pour lequel la console License Management Console est installée. Dans ce cas, effectuez l'une des opérations suivantes. 1. Arrêtez le service. 2. Installez ou désinstallez l'agent. 3. Redémarrez le service. Configurations requises pour le système de licences Installez le serveur de licences et ajoutez les licences avant d'installer Password Manager. Important : pour exécuter cette version, vous devez disposer du serveur de licences (version 11.5), disponible dans le dossier Licences du support d'installation. Si vous exécutez une version antérieure au serveur de licences, vous devez le mettre à niveau à la version 11.5.

67 3 Installation de Password Manager 67 Pour plus d'informations sur les configurations requises, sur les termes du contrat de licence et sur l'installation des licences, veuillez consulter le Guide de démarrage du système de licences Citrix, disponible sur le site Web de Citrix à l'adresse sous le titre «Top Licensing Resources» de la page. Le Guide de l'administrateur Citrix Password Manager contient des informations sur l'utilisation des licences utilisateurs désignés et simultanés avec Password Manager. Remarque : les documents Guide de démarrage du système de licences Citrix, Guide de l'administrateur Citrix Password Manager, et tous les autres documents Password Manager se trouvent dans le fichier Password_Manager_Read_Me_First.html, situé dans le dossier Documentation du support d'installation. Vous pouvez trouver d'autres ressources concernant le système de licences sur la page sous le titre «Top Licensing Resources» de la page. Avant l'installation de Password Manager Utilisez le programme Autorun pour effectuer des tâches telles que la création d'un magasin central ou l'installation de composants Password Manager. Une fois que vous accédez au support d'installation, l'écran d'options d'installation du programme Autorun s'affiche. Dans le cas contraire : 1. Ouvrez l'explorateur Windows et naviguez jusqu'aux fichiers d'installation. 2. Cliquez sur Autorun.exe. Ordre d'installation Il est recommandé d'installer Password Manager dans l'ordre suivant. Licence Password Manager. Création du magasin central Installez le service Password Manager si vous souhaitez utiliser un ou plusieurs des modules suivants : Gestion des clés ; Fonctions autonomes ; Habilitation Synchronisation d'informations d'identification ;

68 68 Guide d'installation Citrix Password Manager Intégrité des données. Remarque : si vous décidez d'installer le module d'intégrité des données ultérieurement ou après avoir installé la console et l'agent, vous devez ajouter une signature numérique aux données existantes de votre magasin central à l'aide de l'outil de signature des données CtxSignData.exe. (Cet outil est disponible une fois que vous avez installé le module d'intégrité des données.) Inversement, si vous désinstallez le module d'intégrité des données, vous devez retirer la signature des données de votre magasin central. Installez la Console Password Manager sur un ou plusieurs ordinateurs de votre environnement. Installez l'outil de définition d'application sur un ou plusieurs ordinateurs de votre environnement lorsque vous devez uniquement créer des définitions d'application. Après avoir configuré les fonctions de Password Manager sur la Console, installez l'agent Password Manager sur chaque ordinateur de votre environnement. Vous pouvez également déployer l'agent sous la forme d'une application publiée dans un environnement Citrix XenApp. Recommandations relatives à l'emplacement des composants de Password Manager Important : vous ne devez en aucun cas installer le service et l'agent sur le même ordinateur. N'installez pas Password Manager sur un contrôleur de domaine. L'installation sur un contrôleur de domaine de l'agent, du service, de la console ou du magasin central de type point de partage réseau NTFS de Password Manager n'est pas prise en charge. L'installation du service, de la Console et de l'agent est autorisée dans les cas suivants. Vous pouvez installer le service et la Console sur le même ordinateur. Vous pouvez installer la Console et l'agent sur le même ordinateur. Vous pouvez installer l'agent sur tout ordinateur ou machine cliente de votre environnement pour accéder aux applications SSO installées localement.

69 3 Installation de Password Manager 69 Vous pouvez installer la Console et l'outil de définition d'application sur n'importe quel ordinateur de votre environnement. à des fins de test, vous pouvez installer la Console et l'agent sur le même ordinateur. Vous pouvez ainsi facilement vérifier l'application des modifications apportées à la Console sur l'agent. Vous pouvez déployer l'agent dans un environnement XenApp. Dans ce cas, l'agent soumet ou fournit des informations d'identification uniquement pour les applications XenApp publiées (pas pour celles qui sont installées localement sur la station de travail de l'utilisateur ou la machine cliente). Important : le serveur hébergeant le service Password Manager et le magasin central contient des informations utilisateur très sensibles. Veillez à utiliser un serveur dédié et à le placer physiquement dans un endroit protégé. Création d'un magasin central Les procédures suivantes présupposent que le support d'installation de Password Manager est chargé sur l'ordinateur destiné à héberger le magasin central et que l'écran du programme Autorun est affiché. Voir aussi : «Choix du type de magasin central», page 16 «Utilisation de l'association de comptes avec plusieurs magasins centraux et informations d'identification de compte utilisateur dans une entreprise multidomaine», page 22 «Avant l'installation de Password Manager», page 67 «Facultatif - Création d'un magasin central à partir d'une invite de commande», page 72 Pour créer un magasin central de type point de partage réseau NTFS 1. Cliquez sur Étape 2 : Créer le magasin central. 2. Cliquez sur Créer votre magasin central dans un point de partage réseau NTFS. 3. Cliquez sur Oui dans la boîte de dialogue de confirmation. Une fenêtre de commande s'affiche.

70 70 Guide d'installation Citrix Password Manager 4. Une fois le magasin central créé, appuyez sur n'importe quelle touche pour fermer la fenêtre de commande. Un dossier Point de partage réseau NTFS est ensuite créé à l'emplacement suivant : %SystemDrive%\CITRIXSYNC. Remarque : les utilisateurs autres que les administrateurs sur les serveurs de fichiers devant gérer les dossiers Password Manager peuvent être ajoutés au dossier partagé de la racine et disposer du contrôle total. Ces derniers doivent également être ajoutés aux dossiers People et CentralStoreRoot car ceux-ci n'héritent pas des droits d'accès du dossier partagé de la racine. L'association de configurations utilisateur à des groupes n'est prise en charge que dans des domaines Active Directory utilisant l'authentification Active Directory. Pour créer un magasin central de type dossier partagé Novell Remarque : veillez à créer le magasin central sur un ordinateur sur lequel le client Novell est installé. Notez également que la connexion de l'agent aux magasins centraux de type dossier partagé Novell est impossible lorsque ce dernier est exécuté sur des ordinateurs 64 bits. 1. Cliquez sur Étape 2 : Créer le magasin central. 2. Cliquez sur Créer votre magasin central dans un dossier partagé Novell. 3. Cliquez sur Oui dans la boîte de dialogue de confirmation. Une fenêtre de commande s'affiche. 4. À l'invite PATH, saisissez un chemin d'accès UNC identifiant le serveur, le volume et le ou les dossiers NetWare à créer. Par exemple : \\NW5SRV\DATA\CITRIXSYNC$. 5. Une fois le magasin central créé, appuyez sur n'importe quelle touche pour fermer la fenêtre de commande Windows. Un dossier partagé Novell a été créé.

71 3 Installation de Password Manager 71 Pour créer un magasin central de type Active Directory Remarque : assurez-vous que le serveur actuel fait partie du domaine Active Directory et que l'utilisateur actuel est membre du groupe d'administrateurs du schéma et du groupe d'administrateurs du domaine. vérifiez que le contrôleur du schéma Active Directory est configuré pour permettre les mises à jour. Important : si le serveur utilisé pour l'extension du schéma Active Directory n'est pas le contrôleur de domaine, veillez à ce que l'utilitaire Microsoft Windows, Ldifde.exe est installé sur le serveur avant de procéder à cette étape. L'utilitaire est disponible sur le support d'installation Windows ou sur le site Web de Microsoft ( Vous ne pourrez pas terminer ce processus si le fichier Ldifde.exe n'est pas installé. 1. Cliquez sur Étape 2 : Créer le magasin central. 2. Cliquez sur Créer votre magasin central dans votre domaine Active Directory. 3. Cliquez sur Étape 1 : Étendre le schéma Active Directory pour les nouveaux objets Répertoire. 4. Cliquez sur Oui dans la boîte de dialogue de confirmation. Une fenêtre de commande s'affiche. 5. Une fois le schéma étendu, appuyez sur n'importe quelle touche pour fermer la fenêtre de commande. Remarque : avant de continuer, assurez-vous que l'extension du schéma a été répercutée sur tous les contrôleurs de domaine de votre environnement Active Directory. 6. Cliquez sur Étape 2 : Créer le magasin central dans le schéma étendu. 7. Cliquez sur Oui dans la boîte de dialogue de confirmation. Une fenêtre de commande s'affiche. 8. Une fois le schéma étendu, appuyez sur n'importe quelle touche pour fermer la fenêtre de commande. Le magasin central Active Directory a été créé.

72 72 Guide d'installation Citrix Password Manager Voir aussi : «Choix d'un magasin central Active Directory», page 18 Facultatif - Création d'un magasin central à partir d'une invite de commande Le processus d'installation de Password Manager vous permet de créer un magasin central à partir d'une fenêtre d'invite de commande. Cette méthode vous permet d'utiliser des paramètres personnalisés à la place des paramètres par défaut disponibles dans l'écran d'installation de Password Manager. Le tableau suivant présente les différents types de magasin central et les utilitaires associés. Ces utilitaires se trouvent dans le dossier Tools (outils) du support d'installation de Password Manager. Utilitaire Nom de fichier Utilisation et description Utilitaire d'extension du schéma Active Directory Utilitaire de préparation du domaine Active Directory Utilitaire de configuration de la synchronisation de fichiers Utilitaire de configuration de la synchronisation de fichiers pour Novell NetWare CtxSchemaPrep.exe CtxDomainPrep.exe CtxFileSyncPrep.exe CtxNWFileSyncPrep.ex e Permet de créer un magasin central Active Directory. Étend le schéma Active Directory à utiliser avec Password Manager. Permet de créer un magasin central Active Directory. Met à jour les autorisations de la racine du domaine Active Directory afin de permettre aux utilisateurs de créer des objets Password Manager sous leurs objets Utilisateur. Permet de créer un magasin central de type point de partage réseau NTFS. Permet de créer un magasin central dans un dossier partagé Novell NetWare à accès public. Création d'un magasin central Active Directory à partir d'une invite de commande La création d'un magasin central Active Directory à partir d'une invite de commande se fait en deux étapes : Étendez le schéma Active Directory à utiliser avec Password Manager.

73 3 Installation de Password Manager 73 Mettez à jour les autorisations de la racine du domaine Active Directory afin de permettre aux utilisateurs de créer des objets Password Manager sous leurs objets Utilisateur. Remarque : vérifiez que le contrôleur du schéma Active Directory est configuré pour permettre les mises à jour. Pour créer le magasin central automatiquement à partir d'une ligne de commande Étape 1 : Étendre le schéma Active DIrectory Important : si le serveur utilisé pour l'extension du schéma Active Directory n'est pas le contrôleur de domaine, veillez à ce que l'utilitaire Microsoft Windows, Ldifde.exe est installé sur le serveur avant de procéder à cette étape. L'utilitaire est disponible sur le support d'installation Windows ou sur le site Web de Microsoft ( Vous ne pourrez pas terminer ce processus si le fichier Ldifde.exe n'est pas installé. 1. Ouvrez une session sur un serveur du domaine Active Directory à l'aide d'un compte dont les informations d'identification appartiennent au groupe Administrateurs du schéma. 2. Vérifiez que l'ordinateur possédant le rôle de contrôleur de schéma est configuré afin de permettre des mises à jour du schéma. 3. Vous pouvez également ouvrir une invite de commande et accéder au répertoire /Tools sur le support d'installation. 4. Entrez ensuite CtxSchemaPrep.exe. 5. Assurez-vous que les modifications du schéma ont bien été répercutées sur tous les contrôleurs de domaine de l'entreprise avant de continuer vers l'étape 2 : Mettre à jour les autorisations de la racine du domaine. Pour créer le magasin central automatiquement à partir d'une ligne de commande Étape 2 : Mettre à jour les autorisations de la racine du domaine. 1. Avant de continuer, assurez-vous que les modifications de schéma apportées à l'étape 1 : Étendre le schéma Active Directory pour les nouveaux objets Répertoire, ont entièrement été répercutées sur tous les contrôleurs de domaine de l'entreprise. 2. À l'aide d'un compte disposant d'informations d'identification appartenant au groupe Administrateurs du domaine, ouvrez une session sur un ordinateur résidant dans le domaine que vous souhaitez configurer.

74 74 Guide d'installation Citrix Password Manager 3. Vous pouvez également ouvrir une invite de commande et accéder au répertoire /Tools sur le support d'installation. 4. Entrez CtxDomainPrep.exe [nom distinctif]. où : nom distinctif Nom distinctif relatif de l'unité organisationnelle sur laquelle définir les autorisations. Ce nom distinctif est ajouté au nom distinctif de la racine du domaine. À l'aide de cette option, vous pouvez spécifier une unité d'organisation (UO) pour définir les autorisations au niveau de l'uo, plutôt que de la racine du domaine. Cette technique limite l'utilisation de Password Manager à l'uo spécifiée. Par exemple : CtxDomainPrep.exe OU=Employés définit l'autorisation pour OU=Employés, DC=votre domaine, DC=com. 5. Suivez les instructions à l'écran pour achever la création du magasin central. Création d'un magasin central de type point de partage réseau NTFS à partir d'une ligne de commande L'utilitaire de configuration de la synchronisation de fichiers NTFS, CtxFileSyncPrep.exe, crée automatiquement les dossiers nécessaires à votre magasin central. Il crée également le dossier partagé, le dossier CentralStoreRoot et le dossier People et leur affecte les droits et paramètres de partage et de sécurité adéquats. Vérifiez les points suivants. Le magasin central doit appartenir au même domaine que les stations de travail ou serveurs XenApp sur lesquels l'agent est installé. Exécutez CtxFileSyncPrep sur le serveur hébergeant le point de partage réseau NTFS.

75 3 Installation de Password Manager 75 Remarque : les utilisateurs autres que les administrateurs sur les serveurs de fichiers devant gérer les dossiers Password Manager peuvent être ajoutés au dossier partagé de la racine et disposer du contrôle total. Ces derniers doivent également être ajoutés aux dossiers People et CentralStoreRoot car ceux-ci n'héritent pas des droits d'accès du dossier partagé de la racine. Accordez à ces utilisateurs les autorisations de partage des permissions, des fichiers et des sousdossiers dans le dossier People et dans le dossier racine du magasin central. L'association de configurations utilisateur à des groupes n'est prise en charge que dans des domaines Active Directory utilisant l'authentification Active Directory. Pour créer un magasin central de type point de partage réseau NTFS à partir d'une invite de commande 1. Vous pouvez également ouvrir une invite de commande sur le serveur hébergeant le point de partage réseau NTFS et accéder au dossier Tools sur le support produit. 2. Entrez CtxFileSyncPrep [/path:nomchemin] [/share:nompartage][/admin:[+ -]nomcompte] où : /path:nomchemin /share:nomchemin /Admin:[+ -]nomcompte Définit le nom du chemin d'accès du point de partage réseau NTFS sur le serveur local. Si vous utilisez ce paramètre, le nom du chemin d'accès doit se trouver sur le serveur local. Si vous ne spécifiez pas le paramètre /path: nomchemin, cette commande crée le magasin central à l'emplacement suivant : %SystemDrive%\CITRIXSYNC. Définit le nom du partage du point de partage réseau NTFS sur le serveur local. Si vous ne spécifiez pas le paramètre /share: nompartage, cette commande crée le paramètre de partage du magasin central sous CITRIXSYNC$. Ajoute ou supprime le nom d'un compte pour permettre à ce compte d'administrer un dossier en partage. Sans spécification du signe plus ou moins, le signe correspondant à l'opération par défaut d'ajout d'un compte est le signe plus. Utilisez le signe plus (+) pour ajouter un compte, le nom du compte ayant la forme domaine\nomutilisateur ou utilisateur@domaine. Utilisez le signe moins (-) pour supprimer le compte ou désactiver les droits d'administration du compte.

76 76 Guide d'installation Citrix Password Manager Le dossier CentralStoreRoot et le dossier People sont créés et possèdent les droits et paramètres de partage et de sécurité adéquats. Le dossier partagé est maintenant prêt pour la synchronisation. Création d'un magasin central de type dossier partagé Novell à partir d'une invite de commande L'utilitaire de configuration du dossier partagé Novell, CtxNWFileSyncPrep.exe, crée automatiquement les dossiers nécessaires à votre magasin central. Il crée également le dossier partagé, le dossier CentralStoreRoot et le dossier People et leur affecte les droits et paramètres de partage et de sécurité adéquats. Notions importantes L'Agent utilise un mot de passe Windows. Par conséquent, l'utilisation de la synchronisation de fichiers Novell NetWare nécessite que le mot de passe Novell des utilisateurs soit identique à leur mot de passe Windows. Le magasin central doit être situé dans la même arborescence que les ordinateurs d'installation de l'agent. Les utilisateurs doivent ouvrir une session dans l'arborescence Novell où est situé le dossier partagé. Ils doivent également disposer de comptes avec autorisations en lecture au dossier partagé Novell NetWare désigné en tant que magasin central. Tout utilisateur ne disposant pas des droits Supervisor et devant gérer les dossiers Password Manager peut être ajouté au dossier de synchronisation de racine en qu'abonné (Trustee) avec tous les droits. Il dispose ainsi de l'accès à tous les autres dossiers et fichiers sous le dossier de synchronisation de la racine. Important : veillez à ne pas utiliser de volumes système pour héberger le dossier partagé. Le volume système offre en général une quantité limitée d'espace disponible. À mesure que les données sont écrites dans le magasin central, le volume système risque en effet d'atteindre sa capacité maximale, ce qui entraîne l'arrêt de l'environnement Password Manager (et éventuellement de votre serveur Novell NetWare). Pour créer un magasin central de type dossier partagé Novell à partir d'une invite de commande 1. Vous pouvez également ouvrir une invite de commande sur le serveur hébergeant le dossier partagé Novell et accéder au répertoire Tools sur le support d'installation.

77 3 Installation de Password Manager Entrez CtxNWFileSyncPrep /path:\\serveur NetWare\volume\dossier où : /path:\\serveur NetWare/ volume/dossier Paramètre obligatoire spécifiant le chemin d'accès UNC identifiant le serveur NetWare, le volume et le dossier du magasin de données à créer. Vous ne devez pas utiliser de dossier existant étant donné que l'utilitaire en crée un. Par exemple : /path:\\nw5srv\data\citrixsync Le dossier CentralStoreRoot et le dossier People sont désormais créés et possèdent les droits et paramètres de partage et de sécurité adéquats. Le dossier partagé est prêt pour la synchronisation. Installation et configuration du service Password Manager Après l'installation, l'assistant de configuration du service est exécuté pour vous permettre de configurer et d'activer le service. La procédure d'installation et de configuration comprend les étapes suivantes. Obtenez et installez un certificat SSL sur les ordinateurs hébergeant le service, la Console et l'agent. Créez le type de compte requis par le ou les services à installer. Installez le ou les services. Exécutez l'assistant de configuration du service. Voir aussi : «Sélection des fonctionnalités optionnelles du service Password Manager», page 41 «Exigences liées aux comptes et à la sécurité du service Password Manager», page 59 «Comptes requis pour les modules du service», page 60 «Avant l'installation de Password Manager», page 67

78 78 Guide d'installation Citrix Password Manager Pour installer les modules du service Les procédures suivantes présupposent que le support d'installation de Password Manager est chargé sur l'ordinateur destiné à héberger le magasin central et que l'écran du programme Autorun est affiché. 1. Cliquez sur Étape 3 : Installer les composants d'administration. 2. Cliquez sur Étape 2 : Installer le Service Password Manager (le cas échéant). 3. Cliquez sur Suivant, acceptez l'accord de licence et cliquez de nouveau sur Suivant. 4. Dans la fenêtre Dossier de destination, acceptez le dossier de destination par défaut ou identifiez-en un autre, puis cliquez sur Suivant. 5. Dans la fenêtre Sélection des modules, sélectionnez les modules à installer : Module de gestion des clés Intégrité des données Habilitation Fonctions autonomes Synchronisation d'informations d'identification 6. Cliquez sur Suivant. Vous pouvez cliquer sur Précédent si vous souhaitez modifier vos choix de modules. 7. Cliquez sur Installer. 8. Cliquez sur Terminer. L'assistant de configuration du service est lancé. Pour configurer le(s) service(s) Password Manager avec l'assistant de configuration du service Remarque : l'assistant de configuration du service est lancé après l'installation d'un ou de plusieurs modules du service. Après la configuration initiale, vous pouvez exécuter l'assistant à tout moment en cliquant sur Démarrer > Tous les programmes > Citrix > Password Manager > Configuration du service.

79 3 Installation de Password Manager 79 La page Bienvenue fournit la liste de tous les modules du service détectés comme étant installés. 1. Dans la page Bienvenue, cliquez sur Suivant. 2. Dans la page Configuration du service, spécifiez les éléments suivants : Paramètre de connexion Certificat SSL Nom d'hôte virtuel Informations d'identification du compte Indiquez le numéro de port pour la connexion au service. La valeur par défaut est 443. Sélectionnez le certificat SSL installé sur l'ordinateur du service et à utiliser pour la communication avec les machines clientes. Sélectionnez la case à cocher Afficher le nom long pour afficher les informations LDAP contenues dans le certificat. L'option Utiliser une valeur par défaut est sélectionnée par défaut si le nom du certificat SSL et le nom d'hôte virtuel correspondent. Le nom d'hôte virtuel doit correspondre au nom du certificat SSL. L'hôte virtuel est le nom de la machine visible par les utilisateurs lors de la création du certificat ; ce nom ne correspond pas nécessairement au nom réel de la machine. Par exemple, le nom du certificat peut inclure un caractère générique (astérisque) ou un nom de domaine en majuscules ou en minuscules ne correspondant pas à la casse du nom de domaine du certificat. Ce paramètre est utile dans les environnements de service à équilibrage de charge ou en clusters. Sélectionnez l'ordinateur local à utiliser pour le service. En général, vous pouvez sélectionner le compte Service réseau. 3. Cliquez sur Suivant. La page Création d'un certificat de signature s'affiche. 4. Si l'assistant détecte un certificat de signature : cliquez sur Suivant. Si le certificat de signature n'existe pas : indiquez un délai d'expiration pour le certificat de signature (en mois). Le délai d'expiration par défaut est de 12 mois. Cliquez sur Suivant. 5. Dans la page Configuration d'un intermédiaire d'authentification : Si vous avez créé un magasin central Active Directory, sélectionnez Active Directory et cliquez sur Suivant. Si vous avez créé un magasin central sur un point de partage réseau NTFS, sélectionnez Point de partage réseau NTFS, entrez le chemin d'accès UNC au magasin central créé et cliquez sur Suivant.

80 80 Guide d'installation Citrix Password Manager 6. Si le module d'intégrité des données est installé, sélectionnez l'un des éléments suivants et cliquez sur Suivant. Je n'utiliserai pas le module d'intégrité des données dans cet environnement. J'utiliserai le module d'intégrité des données dans cet environnement. Sélectionnez cette option si les données de votre magasin central ne nécessitent aucune signature numérique ni écriture sécurisée. Sélectionnez cette option si les données de votre magasin central nécessitent une signature numérique et une écriture sécurisée, et si vous décidez d'installer ce module. Entrez le nom de l'ordinateur hébergeant le module d'intégrité des données. Sélectionnez un port pour le service. Le numéro de port par défaut est 443. Remarque : si vous décidez d'installer le module d'intégrité des données après avoir installé la console et l'agent, vous devez ajouter une signature numérique aux données existantes de votre magasin central à l'aide de l'outil de signature des données CtxSignData.exe. Cet outil est disponible une fois que vous avez installé le module d'intégrité des données. Inversement, si vous désinstallez le module d'intégrité des données, vous devez retirer la signature des données de votre magasin central. La page Configuration des domaines s'affiche ; elle contient une liste des domaines capables de prendre en charge le service Password Manager. 7. Dans la page Configuration des domaines : A. Cochez la case correspondant à chaque domaine pour lequel vous souhaitez activer la prise en charge du service. B. Sélectionnez un domaine ou plus et cliquez sur Propriétés pour ouvrir la boîte de dialogue Modification de la configuration. C. Si vous avez créé un magasin central Active Directory, cliquez sur Contrôleur de domaine et sélectionnez le contrôleur de domaine correct à partir de la liste. D. Cliquez sur Compte de l'intermédiaire d'authentification et entrez le nom d'utilisateur, le mot de passe et le domaine du compte de l'intermédiaire d'authentification utilisé pour communiquer avec le magasin central. E. Si vous installez le module Fonctions autonomes, cliquez sur Compte des fonctions autonomes de compte et entrez les informations d'identification de cette fonction.

81 3 Installation de Password Manager 81 F. Cliquez sur OK pour fermer la boîte de dialogue Modification de la configuration. G. Cliquez sur Suivant. Important : si le service est exécuté dans un environnement Windows Server 2008 avec un magasin central NTFS, vous devez utiliser le fichier CtxFileSyncPrep.exe pour ajouter le compte d'intermédiaire d'authentification en tant qu'administrateur au magasin central. Entrez : CtxFileSyncPrep [/Admin:nomcompte] Si le service est exécuté dans un environnement Windows Server 2008 avec un magasin central Active Directory, vous devez aussi ajouter le compte d'intermédiaire d'authentification en tant qu'administrateur au magasin central. Le site Web de Citrix contient des suggestions sur la manière de procéder, à l'adresse ( La page Confirmation des réglages affiche la boîte de propriétés correspondant à la configuration du module du service. Cliquez sur Précédent pour corriger ou modifier des informations. 8. Cliquez sur Terminer pour valider les informations de configuration du service et sur Oui pour confirmer que vous souhaitez enregistrer ces réglages. Cliquez de nouveau sur le bouton Terminer pour fermer les fenêtres Mise en application des réglages. Voir aussi : «Exigences liées aux comptes et à la sécurité du service Password Manager», page 59 «Exigences liées aux comptes de service», page 61 «Exigences liées aux fonctions autonomes», page 62 Numéro de port du service Password Manager Le numéro de port par défaut pour le service Password Manager est 443. Lorsque vous configurez le service Password Manager, vous pouvez utiliser tout autre port disponible du serveur exécutant le service si le port 443 est déjà utilisé. Ce numéro de port est utilisé par Password Manager pour accéder à chaque module du service installé.

82 82 Guide d'installation Citrix Password Manager Si vous installez un ou plusieurs modules ultérieurement, veillez à utiliser le numéro de port que vous avez spécifié lors de la première installation du service. Le service ne peut pas être exécuté sur plusieurs ports. Si vous spécifiez un numéro de port incorrect, Password Manager risque d'afficher ultérieurement des messages d'erreur du type «cannot communicate or connect with the Password Manager Service». Veillez également à spécifier le numéro de port approprié lors de l'utilisation de l'outil de signature de l'intégrité des données sur l'invite de commande. Installation et configuration de la Console Password Manager Vous pouvez installer la Console sur n'importe quel ordinateur de votre environnement. Si vous souhaitez utiliser Password Manager dans un environnement à domaines multiples avec plusieurs magasins centraux, vous pouvez installer la Console sur n'importe quel ordinateur du domaine. Installez l'outil de définition d'application sur n'importe quel ordinateur de votre environnement si vous souhaitez créer des définitions d'application en mode autonome. Il n'est alors pas nécessaire d'installer la Console. Pour installer la Console Password Manager Les procédures suivantes présupposent que le support d'installation de Password Manager est chargé sur l'ordinateur destiné à héberger le magasin central et que l'écran du programme Autorun est affiché. 1. Cliquez sur Étape 3 : Installer les composants d'administration. 2. Cliquez sur Étape 3 : Installer la Console Password Manager. 3. Cliquez sur Suivant, acceptez l'accord de licence et cliquez de nouveau sur Suivant. 4. Dans la page Type d'installation, sélectionnez au moins un des composants suivants à installer et cliquez sur Suivant. Console Outil de définition d'application Sélectionnez cette option pour installer la console, indispensable pour créer et gérer les stratégies, les définitions d'application, les configurations utilisateur, etc. Sélectionnez cette option pour installer cet outil sans démarrer ou utiliser l'ensemble de la Console. Vous pouvez l'installer en mode indépendant sur les ordinateurs où la console n'est pas installée ou ne peut l'être.

83 3 Installation de Password Manager 83 Administration du serveur de licences Console Access Management Console - Diagnostics Sélectionnez cette option pour gérer vos licences à partir de la console. Elle vous permet d'ajouter un raccourci vers le serveur de licences. Sélectionnez cette option pour aider l'assistance technique de Citrix à résoudre les problèmes de console. 5. Cliquez sur Suivant, puis sur Terminer à la fin de l'installation. Vous pouvez désormais configurer la Console. Pour configurer la Console Password Manager Remarque : à la première ouverture de la Console après son installation, cette dernière effectue une opération de découverte et vous permet de configurer les paramètres de la Console. Après cette première étape, vous pouvez lancer une opération de découverte et modifier les paramètres de configuration à tout moment en cliquant sur Démarrer > Programmes > Citrix > Consoles de gestion > Access Management Console et en cliquant sur Configurer et exécuter la découverte dans la zone Tâches courantes du panneau Tâches. 1. Cliquez sur Démarrer > Tous les programmes > Citrix > Consoles de gestion > Access Management Console. Fermez l'assistant Configurer et exécuter la découverte. 2. Dans la page Bienvenue, cliquez sur Suivant. La page Sélectionner les produits ou les composants s'affiche. 3. Cliquez sur Citrix Resources pour sélectionner Configuration Tools et Password Manager, puis cliquez sur Suivant. 4. Dans la page Identification du magasin central, sélectionnez le type de magasin central que vous avez déjà créé. Si vous avez créé un magasin central Active Directory, dans la liste, sélectionnez le contrôleur de domaine auquel vous voulez que Password Manager se lie pour l'écriture dans le magasin central ou sélectionnez Tout contrôleur de domaine autorisant l'écriture. Cliquez sur Suivant. si vous avez créé un magasin central de type point de partage réseau NTFS ou dossier partagé Novell, entrez le chemin d'accès UNC du partage. Cliquez sur Suivant. 5. Dans la page Configuration des options d'intégrité de données :

84 84 Guide d'installation Citrix Password Manager Si vous avez installé le module d'intégrité des données et que vous l'avez activé lors de la configuration du service, cochez la case Activer l'intégrité des données, entrez le nom du serveur et le numéro de port associé dans les champs de texte, puis cliquez sur le bouton Suivant. Si vous avez installé le module d'intégrité des données et que vous ne souhaitez pas l'activer, laissez la case non cochée et cliquez sur le bouton Suivant. Assurez-vous de l'avoir préalablement désactivé via l'assistant de configuration du service sur l'ordinateur hébergeant le service. Si vous n'avez pas installé le module d'intégrité des données, cliquez sur Suivant. La page Afficher la découverte contenant le résumé de la configuration s'affiche. 6. Cliquez sur Suivant pour démarrer la découverte. 7. À la fin de l'opération, cliquez sur Terminer. La Console est désormais configurée et peut être utilisée. Vous pouvez maintenant utiliser la Console pour configurer votre environnement Password Manager. Installation et configuration de l'agent Password Manager Remarque : à des fins de test, vous pouvez installer la Console et l'agent sur le même ordinateur. Vous pouvez ainsi facilement vérifier l'application des modifications apportées à la Console sur l'agent. Important : assurez-vous d'avoir créé des configurations utilisateur avant d'installer l'agent sur les stations de travail des utilisateurs. Si vous installez l'agent sans les configurations utilisateurs correspondantes, les utilisateurs risquent de voir apparaître un message d'erreur au lancement de l'agent. Notez également que la connexion de l'agent aux magasins centraux de type dossier partagé Novell est impossible lorsque ce dernier est exécuté sur des ordinateurs 64 bits.

85 3 Installation de Password Manager 85 L'Agent Password Manager est conçu pour être exécuté sur des machines clientes : ordinateurs de bureau et ordinateurs portables, ordinateurs de poche et autres périphériques. L'Agent dans ce cas fournit des informations d'identification et l'accès aux applications exécutées localement sur la machine cliente. Vous pouvez également installer l'agent sur un ordinateur exécutant Citrix XenApp. L'Agent dans ce cas fournit des informations d'identification et l'accès aux applications publiées. Les utilisateurs peuvent utiliser l'agent pour accéder aux applications locales même lorsqu'ils ne sont pas connectés à un réseau. Les informations d'identification des utilisateurs sont synchronisées lorsque ces derniers se reconnectent au réseau de l'entreprise. Lorsque vous installez l'agent en utilisant l'option Autorun fournie sur le support d'installation de Password Manager, le logiciel d'installation détecte votre système d'exploitation et installe l'agent approprié. Important : Password Manager Plugin est la nouvelle appellation de l'agent Password Manager. Scénarios d'installation Le tableau suivant présente certains environnements et méthodes d'installation. Environnement Citrix XenApp et Citrix Access Gateway Environnement mixte Installation locale Image de l'agent pour installation réseau Installation non assistée de l'agent Schéma XenApp et Access Gateway proposent des applications auxquelles accèdent les utilisateurs via leur navigateur Web. Installez l'agent Password Manager sur chaque serveur XenApp. Les utilisateurs accèdent aux applications publiées et locales. Installez l'agent Password Manager sur chaque serveur XenApp et sur chaque bureau. Les utilisateurs accèdent aux applications installées sur les machines clientes. Installez l'agent Password Manager sur des machines clientes locales. Créez une image d'installation accessible sur votre réseau. Utilisez les options d'installation Windows pour installer l'agent.

86 86 Guide d'installation Citrix Password Manager Sur les machines clientes, l'icône de notification de l'agent indique la manière dont ce dernier est déployé : Une icône représentant une clé sur fond bleu indique que le logiciel est installé sur une machine cliente. Une icône représentant une clé et un ordinateur sur fond bleu indique que le logiciel est publié sur un ordinateur exécutant XenApp. Notions importantes Si vous effectuez une installation sans image de plusieurs produits Citrix en incluant Password Manager, installez l'agent Password Manager en dernier. Lorsque vous configurez ou modifiez l'emplacement du serveur de licences ou tout autre paramètre associé au système de licences, les modifications ne sont appliquées à aucun Agent en cours d'utilisation dans l'environnement. Pour les appliquer, vous devez fermer et redémarrer ces instances. Ceci ne concerne pas les ordinateurs utilisant Windows Vista ou Windows Server 2008 : Vous devez redémarrer la machine après installation de l'agent afin que la DLL GINA (Graphical Identification and Authentication) soit installée. L'Agent ne sera pas exécuté avant le redémarrage de la station de travail. Néanmoins, si vous préférez que la station de travail ne soit pas redémarrée immédiatement, vous pouvez supprimer l'action de redémarrage. Pour ce faire, utilisez le paramètre facultatif avec la commande msiexec de installer package du programme d'installation de Microsoft. Pour exécuter le programme d'installation avec l'option de suppression, utilisez la commande suivante : msiexec /norestart /i chemin du fichier MSI incluant le nom du fichier. Pour obtenir la liste complète des options du programme d'installation Windows, ouvrez une fenêtre de commande sur une station de travail sur laquelle ce programme est installé et entrez : msiexec /?

87 3 Installation de Password Manager 87 Voir aussi : «Préservation de la chaîne GINA lors de l'installation de l'agent», page 93 Pour installer l'agent Password Manager sur une machine cliente Les procédures suivantes présupposent que le support produit de Password Manager est chargé sur l'ordinateur sur lequel vous avez choisi d'installer l'agent et que l'écran du programme Autorun est affiché. 1. Cliquez sur Étape 4 : Installer Password Manager Plugin. 2. Cliquez sur Installer Password Manager Plugin. L'assistant d'installation Citrix Password Manager Plugin s'affiche. 3. Cliquez sur Suivant, acceptez l'accord de licence et cliquez de nouveau sur Suivant. 4. Dans la page Sélection de composants, sélectionnez une ou plusieurs des fonctionnalités optionnelles à installer et cliquez sur Suivant : Intégrité des données (si ce service est installé). Fonctions autonomes (si ce service est installé). Bureau dynamique (cette option nécessite un compte existant à utiliser en tant que compte partagé du Bureau dynamique). Remarque : le Bureau dynamique n'est pas pris en charge par Windows Vista, toute plate-forme exécutant les services Terminal Server, tout système d'exploitation serveur ou tout système d'exploitation 64 bits. Prise en charge Java (cette option installe la prise en charge par Password Manager de l'environnement Java Runtime Environment déjà installé sur le client). 5. Dans la page Configuration du magasin central : A. Sélectionnez le type de magasin central. B. Si vous avez sélectionné Point de partage réseau NTFS ou Dossier partagé Novell, entrez l'emplacement du magasin central. C. Cliquez sur Suivant. 6. Dans la page Adresse du serveur, entrez l'adresse et le numéro de port de l'ordinateur hébergeant le service, puis cliquez sur Suivant.

88 88 Guide d'installation Citrix Password Manager Dans le champ de texte de l'adresse, utilisez le nom de domaine complet (FQDN) de l'ordinateur hébergeant le service. Le numéro de port par défaut est 443. Si vous avez sélectionné l'option Bureau dynamique, la page Configuration du compte partagé du Bureau dynamique s'affiche. Remarque : les fonctionnalités Bureau à distance et les services Terminal Server ne peuvent pas être exécutés si vous utilisez le Bureau dynamique. Lors de l'installation du Bureau dynamique, le programme d'installation réinitialise la valeur de la clé de registre AllowMultipleSessions à Entrez les informations d'identification pour le compte partagé du Bureau dynamique et cliquez sur le bouton Suivant. Indiquez le nom du domaine auquel appartient la machine, au format NetBIOS et non sous forme de nom de domaine complet. 8. Cliquez sur Installer. 9. Cliquez sur Terminer pour achever l'installation. 10. Windows Vista ou Windows Server 2008 : fermez la session puis rouvrez une session sur votre compte Windows. Il est inutile de redémarrer la machine cliente. Système d'exploitation pris en charge autre que Windows Vista ou Windows Server 2008 : cliquez sur Oui pour redémarrer la machine cliente. Pour créer une image de l'agent pour une installation réseau Important : si vous créez une image à partir d'un ordinateur 32 bits, cette image ne peut être installée que sur des ordinateurs 32 bits. Si vous créez une image à partir d'un ordinateur 64 bits, cette image ne peut être installée que sur des ordinateurs 64 bits. Vous pouvez installer une image de l'agent sur un partage réseau à l'aide d'un outil disponible sur le support d'installation. Cet outil crée une image d'installation de l'agent Password Manager contenant vos réglages personnalisés. Les procédures suivantes présupposent que le support d'installation de Password Manager est chargé sur l'ordinateur sur lequel vous avez choisi d'installer l'agent et que l'écran du programme Autorun est affiché. 1. Cliquez sur Étape 4 : Installer Password Manager Plugin.

89 3 Installation de Password Manager Cliquez sur Créer une image d'installation de Password Manager Plugin. La page Assistant d'installation Citrix Password Manager Plugin s'affiche. 3. Cliquez sur Suivant. 4. Dans la page Création du pack d'installation administrateur, entrez l'emplacement du partage réseau dans lequel vous souhaitez enregistrer le pack d'installation et cliquez sur Suivant. 5. Sélectionnez au moins un des composants suivants à installer et cliquez sur Suivant. Intégrité des données (si ce service est installé). Fonctions autonomes (si ce service est installé). Bureau dynamique (cette option nécessite un compte existant à utiliser en tant que compte partagé du Bureau dynamique). Remarque : le Bureau dynamique n'est pas pris en charge par Windows Vista, toute plate-forme exécutant les services Terminal Server, tout système d'exploitation serveur ou tout système d'exploitation 64 bits Prise en charge Java (cette option installe la prise en charge par Password Manager de l'environnement Java Runtime Environment déjà installé sur le client). La page Configuration du magasin central s'affiche. 6. Dans la page Configuration du magasin central : A. Sélectionnez le type de magasin central. B. Si vous avez sélectionné Point de partage réseau NTFS ou Dossier partagé Novell, entrez l'emplacement du magasin central. C. Cliquez sur Suivant. L'écran Adresse du serveur s'affiche. 7. Entrez l'adresse et le numéro de port de l'ordinateur hébergeant le service et cliquez sur Suivant. Dans le champ de texte de l'adresse, utilisez le nom de domaine complet (FQDN) de l'ordinateur hébergeant le service. Le numéro de port par défaut est 443.

90 90 Guide d'installation Citrix Password Manager Si vous avez sélectionné l'option Bureau dynamique, l'écran Configuration du compte partagé du Bureau dynamique s'affiche. Remarque : les fonctionnalités Bureau à distance et les services Terminal Server ne peuvent pas être exécutés si vous utilisez le Bureau dynamique. Lors de l'installation du Bureau dynamique, le programme d'installation réinitialise la valeur de la clé de registre AllowMultipleSessions à Entrez les informations d'identification pour le compte partagé du Bureau dynamique et cliquez sur le bouton Suivant. Indiquez le nom du domaine auquel appartient la machine, au format NetBIOS et non sous forme de nom de domaine complet. 9. Un message d'avertissement s'affiche, pour vous rappeler qu'avant d'installer l'image en cours de création sur un ordinateur exécutant Windows Vista ou WIndows Server 2008, vous devez d'abord installer les bibliothèques Run-Time C. Ces fichiers sont fournis avec le logiciel d'installation. Voir «Installation non assistée de l'agent Password Manager», page 90. Cliquez sur OK. 10. Dans l'écran Installation administrateur confirmée prête, cliquez sur Suivant. 11. Cliquez sur Terminer pour achever l'installation. Le fichier setup.msi et les fichiers de support sont désormais enregistrés à l'emplacement de partage réseau spécifié. Important : avant d'installer l'agent Password Manager par une invite de commande sur un ordinateur Windows Vista, vous devez d'abord installer les bibliothèques Runtime C, disponibles sur le support d'installation. L'installation échouera sans les bibliothèques Runtime C mises à jour. Veuillez consulter la section «Installation non assistée de l'agent Password Manager», page 90 pour plus de précisions. Installation non assistée de l'agent Password Manager Vous pouvez installer l'agent Password Manager en mode non assisté à partir d'une invite de commande à l'aide de l'option de mode silencieux, /quiet, du programme d'installation Windows.

91 3 Installation de Password Manager 91 Pour installer l'agent Password Manager en mode non assisté à partir d'une invite de commande Important : avant d'installer l'agent Password Manager par une invite de commande sur un ordinateur Windows Vista, vous devez d'abord installer les bibliothèques Runtime C, disponibles sur le support d'installation. L'installation échouera sans les bibliothèques Runtime C mises à jour. 1. Pour les ordinateurs Windows Vista uniquement, installez la bibliothèque Runtime C : Pour les ordinateurs 32 bits : à partir du support d'installation, exécutez Support\vcredist\vcredist_x86.exe. Pour les ordinateurs 64 bits : à partir du support d'installation, exécutez Support\vcredist\vcredist_x86.exe et Support\vcredist\vcredist_x64,exe. 2. Dans une invite de commande, recherchez le dossier de partage réseau sur lequel l'image Password Manager (Citrix Password Manager Plugin.msi) est enregistrée. 3. Entrez msiexec /i Citrix Password Manager Plugin.msi /quiet. D'autres commandes sont disponibles. Pour obtenir la liste complète des options du programme d'installation Windows, ouvrez une fenêtre de commande sur une station de travail sur laquelle ce programme est installé et entrez : msiexec /? Le tableau suivant présente la liste des options spécifiques à Password Manager à utiliser lors de l'installation de Password Manager à partir de la invite de commande. Chaque option requiert la présence du signe égal (=) pour que la valeur soit activée (par exemple, SSPR_SELECT=1 active les fonctions autonomes). Option SYNCPOINTTYPE Description Spécifie le type du magasin central. Indiquez FileSyncPath pour utiliser un magasin central de type point de partage réseau NTFS. Indiquez ADSyncPath pour utiliser un magasin central Active Directory. Indiquez NovellSyncPath pour utiliser un magasin central de type dossier partagé Novell.

92 92 Guide d'installation Citrix Password Manager SYNCPOINTLOC DI_SELECT SSPR_SELECT SERVICEURL SERVICEURLPORT /forcerestart Options spécifiques au Bureau dynamique HD_SELECT HD_USERNAME HD_PASSWORD HD_DOMAIN DISABLE_TERMINAL_SERVIC E Spécifie le chemin d'accès UNC du magasin central de type point de partage réseau NTFS. Indiquez \\nomserveur\nomdossier$, où nomserveur correspond au nom de l'ordinateur hébergeant le magasin central et nomdossier correspond au nom du dossier partagé. Cette option n'est pas nécessaire pour un magasin central Active Directory. Indiquez 1 pour activer la fonction d'intégrité des données. Indiquez 1 pour activer les fonctions autonomes. Spécifie l'url de l'ordinateur de service. Indiquez \\FQDN\MPMService, où FQDN correspond au nom de domaine complet de l'ordinateur de service. Cette option est requise si les paramètres DI_SELECT et (ou) SSPR_SELECT sont spécifiés. Spécifie le port du serveur de service. La valeur par défaut est 443. Cette option est requise si les paramètres DI_SELECT et (ou) SSPR_SELECT sont spécifiés. Indiquez /forcerestart pour arrêter et redémarrer la station de travail après l'installation. Un redémarrage est nécessaire pour l'installation de l'agent. Entrez msiexec /? pour afficher des options supplémentaires. La commande REBOOT= peut aussi être utilisée. Veuillez également consulter la section «Le Bureau dynamique : un environnement de bureau partagé destiné aux utilisateurs» du Guide de l'administrateur Citrix Password Manager. Indiquez 1 pour installer le Bureau dynamique. Spécifie le nom d'utilisateur du compte partagé du Bureau dynamique. Spécifie le mot de passe du compte partagé du Bureau dynamique. Spécifie le domaine du compte partagé du Bureau dynamique. Indiquez 1 pour désactiver les services Terminal Server, nécessaires au fonctionnement du Bureau dynamique.

93 3 Installation de Password Manager 93 Préservation de la chaîne GINA lors de l'installation de l'agent Important : si vous créez une image à partir d'une installation (.msi) de l'agent Password Manager à partir d'un ordinateur 32 bits, cette image ne peut être installée que sur des ordinateurs 32 bits. Si vous créez une image à partir d'un ordinateur 64 bits, cette image ne peut être installée que sur des ordinateurs 64 bits. Remarque : Windows Vista et Windows Server 2008 n'utilisent pas la fonctionnalité GINA. Cette section ne concerne pas les ordinateurs utilisant ces systèmes d'exploitation. GINA est le composant Windows qui contrôle la boîte de dialogue que les utilisateurs voient lorsqu'ils appuient sur les touches CTRL+ALT+SUPPR. Cette boîte collecte les données nécessaires à l'authentification. XenApp, Password Manager et le client Novell NetWare interagissent avec la DLL Microsoft GINA ou nécessitent son remplacement. Quel que soit le logiciel que vous installez, s'il utilise une DLL GINA personnalisée, vous devez vous assurer que la chaîne GINA n'est pas rompue. Cela implique d'installer ou désinstaller les logiciels dans un ordre spécifique pour préserver la chaîne GINA correcte. En installant l'agent Password Manager en dernier, vous garantissez que la GINA de Password Manager est appelée en premier par le processus Winlogon. Configuration et utilisation de la fonction du service multi-domaine Le service Password Manager Service traiter les demandes de service entre utilisateurs de domaines de confiance différents. Un administrateur peut installer la Console Password Manager sur des ordinateurs de domaines différents et créer une ou plusieurs configurations dans chacun des domaines. Par exemple, en supposant un ordinateur équipé du service Password Manager et situé dans le domaine A, les utilisateurs configurés dans le domaine A peuvent utiliser les fonctions autonomes du compte pour déverrouiller leurs comptes. Les utilisateurs associés à une configuration utilisateur dans le domaine B peuvent également utiliser cette fonctionnalité, telle qu'elle est fournie par l'ordinateur du service du domaine A. Dans ce cas, plusieurs configurations utilisateur existent dans des domaines multiples, elles utilisent un seul ordinateur du service pour cette fonction.

94 94 Guide d'installation Citrix Password Manager Configuration requise Avant de mettre en place la fonction de service multi-domaine, veillez à répondre aux critères de configuration requise suivants : Composant Domaines Magasin central Fonction d'intégrité des données Console Password Manager Comptes de l'intermédiaire d'authentification et de fonctions autonomes du compte Configuration requise Chaque domaine partageant le service doit faire partie de la même forêt de domaine. Les domaines de cette forêt doivent avoir un accord de confiance transitif bidirectionnel. Cette fonctionnalité est disponible pour les mises en place utilisant les magasins centraux Active Directory ou de points de partage réseau NTFS. Elle n'est pas disponible pour les magasins centraux de dossier partagé Novell. Tous les utilisateurs partageant le même ordinateur de service doivent être mis en place à l'aide du même type de magasin central : Active Directory ou dossier partagé NTFS. Les types multiples de magasins centraux ne sont pas pris en charge. Un magasin central de type dossier partagé NTFS par domaine n'est pas pris en charge dans ce cas. Toutefois, vous pouvez utiliser un magasin central de type dossier partagé NTFS par forêt. La fonction Intégrité des données doit être utilisée uniformément pour tous les domaines. C'est-à-dire qu'elle est soit activée, soit désactivée, dans les configurations du service et de l'agent, et ce pour tous les domaines. Par exemple, vous pouvez activer cette fonction dans la configuration du service et la désactiver pour l'installation de l'agent. Chaque console ne peut afficher qu'un seul magasin central et non des magasins centraux multiples. L'administrateur de Password Manager doit installer une console dans chaque domaine en utilisant un compte utilisateur disposant des droits d'administration pour ce domaine. L'administrateur peut également installer une console avec la possibilité d'accéder à d'autres domaines et, au besoin, de passer à ces domaines en ouvrant une session avec des informations d'identification spécifiques à ce domaine précis. Vous pouvez configurer un compte de l'intermédiaire d'authentification et un compte de fonctions autonomes du compte disposant des droits en lecture et écriture au magasin central et de privilèges suffisants pour réinitialiser les mots de passe des utilisateurs et déverrouiller les comptes utilisateurs. Vous pouvez aussi spécifier ces comptes pour chaque domaine dans l'outil de configuration du service.

95 3 Installation de Password Manager 95 Récapitulatif des tâches Effectuez les tâches suivantes pour mettre en place la fonction de service multidomaine. Tâche Installation d'une instance de la console dans chaque domaine utilisant cette fonction et création de configurations d'utilisateur. Configuration du service. Description/Voir la section «Installation et utilisation de la Console Password Manager et de l'outil de définition d'application», page 63 «Pour configurer le service pour une utilisation multi-domaine», page 95 Pour configurer le service pour une utilisation multi-domaine 1. Ouvrez une session en tant qu'administrateur sur la machine sur laquelle le service est installé. 2. Démarrez l'outil de configuration du service en cliquant sur Démarrer > Tous les programmes > Citrix > Password Manager > Configuration du service. 3. Lorsque l'outil de configuration du service s'affiche, cliquez sur Configuration de domaine dans le panneau de gauche. Une liste de domaines s'affiche. 4. Cochez la case correspondant à chaque domaine pour activer la prise en charge du service sur ce domaine. 5. Sélectionnez un domaine ou plus et cliquez sur Propriétés pour ouvrir la boîte de dialogue Modification de la configuration. 6. Dans la boîte de dialogue Modification de la configuration : A. Si vous avez créé un magasin central Active Directory, cliquez sur Contrôleurs de domaine et, dans la liste, sélectionnez le contrôleur de domaine auquel vous voulez que Password Manager se lie pour l'écriture dans le magasin central ou sélectionnez Tout contrôleur de domaine autorisant l'écriture. B. Cliquez sur Compte de l'intermédiaire d'authentification et entrez le nom d'utilisateur, le mot de passe et le domaine du compte de l'intermédiaire d'authentification utilisé pour communiquer avec le magasin central. C. Si vous installez le module Fonctions autonomes, cliquez sur Compte des fonctions autonomes de compte et entrez les

96 96 Guide d'installation Citrix Password Manager informations d'identification de cette fonction. Voir «Exigences liées aux fonctions autonomes», page Cliquez sur OK pour fermer la boîte de dialogue Modification de la configuration. 8. Cliquez sur OK, puis sur Oui pour enregistrer la configuration.

97 4 Mise à niveau de Password Manager Important : n'installez pas Password Manager sur un contrôleur de domaine. L'installation sur un contrôleur de domaine de l'agent, du service, de la console ou du magasin central de type point de partage réseau NTFS de Password Manager n'est pas prise en charge. Cette section décrit les tâches nécessaires à la mise à niveau de Citrix Password Manager à partir de versions antérieures à la version 4.6 avec Service Pack 1. Mises à niveau prises en charge Vous pouvez mettre à niveau Password Manager vers la version 4.6 avec Service Pack 1 à partir de ces versions : Password Manager 4.1 (y compris les service packs ou corrections à chaud). Password Manager 4.6 (avec toutes les corrections à chaud éventuelles) Password Manager 4.6 Important : les mises à niveau directes à partir des versions 2.5 et 4.0 ne sont pas prises en charge. Résumé des étapes de la mise à niveau Tâche Avant la mise à niveau Reportez-vous à la section ou au document suivant :

98 98 Guide d'installation Citrix Password Manager Tâche Choisir les ordinateurs de votre environnement sur lesquels vous allez mettre à jour le logiciel. Préparer les ordinateurs pour la mise à niveau et exporter les données d'administration. Sauvegarder le magasin central. Sauvegarder le fichier process.xml sur chaque station de travail Bureau dynamique. Installer le serveur de licences et ajouter des licences pour Password Manager. Mise à niveau «Planification de votre environnement Password Manager», page 11 «Installation de Password Manager», page 55 «Avant la mise à niveau de Password Manager», page 99 «Déplacement des données vers un autre magasin central» dans le Guide de l'admnistrateur Citrix Password Manager «Sauvegarde des fichiers du service Password Manager» dans le Guide de l'administrateur Citrix Password Manager «Avant la mise à niveau de Password Manager», page 99 «Configurations requises pour le système de licences», page 66 Guide de démarrage du système de licences Citrix, disponible sur le site Web de Citrix site ( licensing/) Vérifier le menu Autorun. «Avant l'installation de Password Manager», page 67 Mettre à niveau le serveur de licences et ajouter des licences pour Password Manager. Mettre à niveau le service Password Manager. Mettre à niveau la Console Password Manager. Reportez-vous à la section ou au document suivant : «Configurations requises pour le système de licences», page 39 Guide de démarrage du système de licences Citrix, disponible sur le site Web de Citrix site ( licensing/) «Étape 1 - Mettre à niveau le service Password Manager», page 102 «Étape 2 - Mettre à niveau la Console Password Manager», page 104 Mettre à niveau votre magasin central. «Choix du type de magasin central», page 16 «Étape 2 - Mettre à niveau la Console Password Manager», page 104 Installer l'agent Password Manager. «Étape 3 - Mettre à niveau l'agent Password Manager», page 106 «Installation et configuration de l'agent Password Manager», page 84

99 4 Mise à niveau de Password Manager 99 Avant la mise à niveau de Password Manager Tenez compte des éléments suivants avant de commencer la mise à niveau de votre environnement Password Manager. «Mise à niveau des configurations utilisateur existantes» dans le Guide de l'administrateur Citrix Password Manager «Sauvegarde des fichiers importants» dans le Guide de l'administrateur Citrix Password Manager «Sauvegarde des fichiers du service Password Manager» dans le Guide de l'administrateur Citrix Password Manager Utilisation du programme Autorun Utilisez Autorun pour exécuter des tâches Password Manager telles que la création d'un magasin central ou la mise à niveau de composants Password Manager. Une fois que vous accédez au support d'installation, l'écran Autorun s'affiche. Important : Password Manager Plugin est la nouvelle appellation de l'agent Password Manager. S'il ne démarre pas automatiquement : 1. Ouvrez l'explorateur Windows et naviguez jusqu'aux fichiers d'installation. 2. Cliquez sur Autorun.exe. Ordre des mises à niveau Nous vous suggérons de suivre l'ordre suivant pour effectuer la mise à niveau de Password Manager : Installez vos licences Important : pour exécuter cette version, vous devez disposer du serveur de licences (version 11.5), disponible dans le dossier Licences du support d'installation. Si vous exécutez une version antérieure au serveur de licences, vous devez le mettre à niveau à la version Mettez à niveau le service Password Manager si vous utilisez au moins un des modules suivants. À cette occasion, vous pouvez également installer d'autres modules.

100 100 Guide d'installation Citrix Password Manager Gestion des clés ; Fonctions autonomes ; Habilitation ; Synchronisation d'informations d'identification ; Intégrité des données. Remarque : si vous décidez d'installer le module d'intégrité des données ultérieurement ou après avoir installé la console et l'agent, vous devez ajouter une signature numérique aux données existantes de votre magasin central à l'aide de l'outil de signature des données CtxSignData.exe. (Cet outil est disponible une fois que vous avez installé le module d'intégrité des données.) Inversement, si vous désinstallez le module d'intégrité des données, vous devez retirer la signature des données de votre magasin central. Mettez à niveau la Console Password Manager sur au moins un des ordinateurs de votre environnement. Mettez à niveau ou installez l'outil de définition d'application sur au moins un des ordinateurs de votre environnement si vous avez seulement besoin de créer des définitions d'applications. Après avoir configuré les fonctions Password Manager dans la console, mettez à niveau ou installez l'agent Password Manager sur chaque ordinateur de votre environnement. Sauvegarde des données du Service avant une mise à niveau Utilisez l'outil CtxMoveServiceData.exe pour sauvegarder vos données de service avant une mise à niveau. Important : Password Manager 4.1 contient l'outil ctxmovekeyrecoverydata.exe. Si vous l'utilisez pour sauvegarder vos données de service, vous devez utiliser le même outil pour importer les données vers la version 4.6 avec Service Pack 1. Si vous utilisez un outil pour sauvegarder les données de votre service et un autre pour les importer, les données en seront altérées. «Sauvegarde des fichiers du service Password Manager» dans le Guide de l'administrateur Citrix Password Manager.

101 4 Mise à niveau de Password Manager 101 Sauvegarde du fichier process.xml (environnements Bureau dynamique uniquement) Si vous avez auparavant utilisé la fonction Bureau dynamique, assurez-vous de sauvegarder le fichier process.xml situé dans le dossier %SystemDrive%\Citrix\Metaframe Password Manager\HotDesktop de chaque station de travail Bureau dynamique. Le fichier process.xml existant est retenu lors de la mise à niveau, mais il est en règle générale préférable de protéger ces informations. Sauvegarde de votre magasin central existant En règle générale, il est préférable de toujours sauvegarder votre magasin central existant avant toute mise à niveau. Remarque : les versions 4.1 et 4.5 de l'agent Password Manager peuvent fonctionner avec un magasin central Password Manager 4.6. Toutefois, les nouvelles fonctions introduites dans la version 4.6 ne seront pas disponibles dans ces versions de l'agent. Mettez à niveau l'agent dès que possible pour qu'il corresponde aux versions du service et de la console. Une mise à niveau permet de garantir l'accès aux dernières fonctions et améliorations pour les utilisateurs. Stratégies, définitions d'applications, questions/ questionnaires et configurations utilisateur mis à jour La première fois que vous configurez et exécutez la découverte dans la console mise à niveau pour Password Manager, vous avez la possibilité de mettre à niveau votre magasin central (ainsi que les données qu'il contient). Les stratégies, questions, questionnaires, définitions d'applications et configurations utilisateur existants sont conservés. Mettez à niveau tous les agents à la dernière version afin de permettre aux utilisateurs de bénéficier de fonctions mises à jour et d'un meilleur niveau de sécurité. Considérez de modifier vos stratégies, définitions d'applications et configurations utilisateur pour cette même raison. Microsoft.NET versions 1.1 et 2.0 Vous pouvez installer.net 2.0 sur une station de travail ou un serveur comprenant également.net 1.1. Cette installation est appelée installation «côte à côte» de Framework. Vous n'avez pas besoin de désinstaller.net 1.1 Framework des ordinateurs de votre environnement.

102 102 Guide d'installation Citrix Password Manager Important : les versions précédentes de la console Access Management Console nécessitaient la version 1.1 de Microsoft.NET Framework. Pour les ordinateurs utilisant aussi des versions ultérieures de.net Framework, Citrix fournit une solution de contournement grâce à un fichier nommé mmc.exe.config, qui assurait le chargement de la version 1.1. Cette solution de contournement n'est plus nécessaire et doit être supprimée. Si vous ne le faites pas, la console ne démarre pas et elle affiche une erreur telle que «Impossible d'initialiser le composant enfichable». Pour éviter ce problème, supprimez le fichier \Windows\system32\mmc.exe.config (le cas échéant). Ces opérations empêchent le bon fonctionnement des versions précédentes de la console (car elles utilisent la version 1.1 de.net Framework). Si vous possédez une version antérieure et que vous ne souhaitez pas la mettre à niveau, contactez l'assistance technique de Citrix pour obtenir une autre solution de contournement. Voir aussi : «Installation de Microsoft.NET Framework 2.0», page 63 Étape 1 - Mettre à niveau le service Password Manager Si votre environnement utilise le service Password Manager, vous devez effectuer la mise à niveau de tous les modules du service en cours d'utilisation en même temps. Vos modules de service existants sont supprimés pendant la mise à niveau et sont remplacés par ceux de Password Manager 4.6 avec Service Pack 1. Remarque : si vous n'utilisez pas le Service Password Manager dans votre environnement Password Manager existant, il n'est nécessaire de mettre à niveau que la Console, le magasin central et l'agent. Vous devez fournir des informations à propos de la configuration du service, tels que des paramètres, un nom d'utilisateur et un mot de passe de compte et l'emplacement du magasin central, lors du processus de mise à niveau. Si vous mettez à niveau à partir de Password Manager 4.1 et que vous avez installé le Service et la Console sur le même ordinateur, vous devez mettre à niveau les deux composants. Important : Vous ne pouvez pas spécifier un compte d'utilisateur local comme compte de service dans cette version de Password Manager. Voir.«Exigences liées aux comptes de service», page 61

103 4 Mise à niveau de Password Manager 103 Les procédures suivantes présupposent que le support d'installation de Password Manager est chargé sur l'ordinateur destiné à héberger le magasin central et que l'écran du programme Autorun est affiché. Voir aussi : «Exigences liées aux comptes de service», page 61 «Pour configurer le(s) service(s) Password Manager avec l'assistant de configuration du service», page 78 Pour mettre à niveau le service Password Manager 1. Cliquez sur Étape 3 : Installer les composants d'administration. 2. Cliquez sur Étape 2 : Installer le Service Password Manager (le cas échéant). 3. Cliquez sur Oui dans la boîte de dialogue de confirmation pour supprimer la version précédente du service et continuez l'installation. 4. Pour mettre à niveau depuis la version 4.1 uniquement : Cliquez sur Oui dans la boîte de dialogue de confirmation indiquant que vous devez mettre à niveau la Console Password Manager après la mise à niveau du service. 5. Cliquez sur Suivant, acceptez l'accord de licence et cliquez de nouveau sur Suivant. 6. Dans la page Dossier de destination, cliquez sur Suivant. 7. Dans la page Sélection des modules, sélectionnez les modules que vous souhaitez installer : Module de gestion des clés Intégrité des données Habilitation Fonctions autonomes Synchronisation d'informations d'identification 8. Cliquez sur Suivant. 9. Cliquez sur Installer. 10. Cliquez sur Terminer.

104 104 Guide d'installation Citrix Password Manager À la fin de l'assistant d'installation, l'assistant de configuration de service démarre. Entrez les informations nécessaires à la configuration du service, tels que des paramètres de connexion, un nom de certificat, un nom d'utilisateur et un mot de passe de compte et l'emplacement du magasin central. Voir aussi : «Pour configurer le(s) service(s) Password Manager avec l'assistant de configuration du service», page 78 Étape 2 - Mettre à niveau la Console Password Manager La Console de gestion de l'environnement Password Manager existant est supprimée lors de l'installation de la Console Password Manager 4.6 avec Service Pack 1. Pour obtenir des résultats optimaux, mettez à niveau toutes les consoles installées et l'outil de définition d'application. Important : la première fois que vous configurez et exécutez la découverte dans la Console pour Password Manager 4.1 ou 4.5, vous êtes invité à mettre à niveau votre magasin central et les données qu'il contient. Les magasins centraux mis à niveau ne sont pas compatibles avec les anciennes versions de la console. Voir aussi : «Sauvegarde de votre magasin central existant», page 101 «Installation côte à côte de.net 2.0 et.net 1.1», page 64 Pour mettre à niveau la Console Password Manager 1. Cliquez sur Étape 3 : Installer les composants d'administration. 2. Cliquez sur Étape 3 : Installer la Console Password Manager. 3. Cliquez sur Suivant, acceptez l'accord de licence et cliquez de nouveau sur Suivant. La page Effectuer la mise à niveau de la Console Citrix Password Manager s'affiche. 4. Cliquez sur Suivant pour confirmer la suppression de la version existante de la console et la poursuite de l'installation. La page Type d'installation s'affiche.

105 4 Mise à niveau de Password Manager Sélectionnez au moins un des composants suivants à installer et cliquez sur Suivant : Console Outil de définition d'application Administration du serveur de licences Console Access Management Console - Diagnostics Sélectionnez cette option pour installer la console, indispensable pour créer et gérer les stratégies, les définitions d'application, les configurations utilisateur, etc. Sélectionnez cette option pour installer cet outil sans démarrer ou utiliser l'ensemble de la Console. Vous pouvez l'installer en mode indépendant sur les ordinateurs où la console n'est pas installée ou ne peut l'être. Sélectionnez cette option pour gérer vos licences à partir de la console. Elle vous permet d'ajouter un raccourci vers le serveur de licences. Sélectionnez cette option pour aider l'assistance technique de Citrix à résoudre les problèmes de console. 6. Cliquez sur Suivant, puis sur Terminer à la fin de l'installation. 7. Cliquez sur Démarrer > Tous les programmes > Citrix > Consoles de gestion > Access Management Console. 8. Pour mettre à niveau à partir de la version 4.1 ou 4.5 seulement : lorsque vous êtes invité à confirmer si vous souhaitez mettre à niveau le magasin central, cliquez sur Oui. 9. Pour mettre à niveau à partir de la version 4.1 seulement : cliquez sur Mettre à niveau. Remarque : si vous cliquez sur Ne pas mettre à niveau, vous devez configurer et exécuter la découverte à partir de la Console à chaque fois jusqu'à ce que vous mettiez à niveau (c'est-à-dire, que vous quittiez et redémarriez la Console et que vous cliquiez sur Mettre à jour). Vous ne pouvez pas enregistrer les paramètres ou les résultats de la découverte dans la console à l'écran si vous cliquez sur Ne pas mettre à niveau. 10. Configurez la Console.

106 106 Guide d'installation Citrix Password Manager Remarque : pour mettre à niveau à partir de la version 4.1 ou 4.5 seulement : si vous avez ultérieurement configuré et exécuté la découverte à partir de la version 4.6 avec Service Pack 1 de la Console dans le cadre de la mise à niveau et que le type de votre magasin central est un partage réseau NTFS, vous serez invité à mettre à niveau le magasin central. Cliquez sur OK pour mettre à niveau ou sur Annuler pour quitter le programme. Si vous ne mettez pas à niveau votre magasin central cette fois-ci, vous ne pouvez utiliser que les versions précédentes (4.1 et 4.5) de la console avec le magasin central. Voir aussi : «Pour configurer la Console Password Manager», page 83 Étape 3 - Mettre à niveau l'agent Password Manager Remarque : si vous mettez à niveau le Service et la Console Password Manager mais pas l'agent, Password Manager assurera ses fonctions de base auprès des utilisateurs dont les configurations sont liées à des hiérarchies Active Directory (unités d'organisation ou utilisateurs). Cependant, vos utilisateurs n'auront pas accès aux dernières fonctionnalités de Password Manager. Citrix recommande de mettre à niveau l'agent dès que possible pour qu'il corresponde aux versions du service et de la console. L'Agent est supprimé lorsque vous installez l'agent de Password Manager 4.6 avec Service Pack 1. Important : Password Manager Plugin est la nouvelle appellation de l'agent Password Manager. Pour mettre à niveau l'agent Password Manager sur une machine cliente Remarque : si vous envisagez d'utiliser le Bureau dynamique dans votre environnement en l'incluant dans l'installation de l'agent, veuillez consulter la section «Confort utilisateur avec le Bureau dynamique», page 38.

107 4 Mise à niveau de Password Manager 107 Les procédures suivantes présupposent que le support d'installation de Password Manager est chargé sur l'ordinateur sur lequel vous avez choisi d'installer l'agent et que l'écran du programme Autorun est affiché. 1. Cliquez sur Étape 4 : Installer Password Manager Plugin. 2. Cliquez sur Installer Password Manager Plugin. La boîte de dialogue Détection de mise à niveau s'affiche. 3. Cliquez sur Oui dans la boîte de dialogue de confirmation pour supprimer la version précédente de l'agent et continuez l'installation. L'assistant d'installation Citrix Password Manager Plugin s'affiche. 4. Cliquez sur Suivant, acceptez l'accord de licence et cliquez de nouveau sur Suivant. La page Sélection de composants s'affiche. 5. Sélectionnez au moins un des composants suivants à installer et cliquez sur Suivant. Intégrité des données (si ce service est installé). Fonctions autonomes (si ce service est installé). Bureau dynamique (cette option nécessite un compte existant à utiliser en tant que compte partagé du Bureau dynamique). Remarque : le Bureau dynamique n'est pas pris en charge par Windows Vista, toute plate-forme exécutant les services Terminal Server, tout système d'exploitation serveur ou tout système d'exploitation 64 bits Remarque : les fonctionnalités Bureau à distance, les services Terminal Server ou Windows XP Fast User Switching ne peuvent pas être activés si vous utilisez le Bureau dynamique. Si ces fonctionnalités sont activées, vous serez invité à les désactiver si vous sélectionnez le Bureau dynamique. Prise en charge Java (cette option installe la prise en charge par Password Manager de l'environnement Java Runtime Environment déjà installé sur le client). 6. Dans la page Configuration du magasin central, procédez comme suit : A. Sélectionnez le type de magasin central.

108 108 Guide d'installation Citrix Password Manager B. Si vous avez sélectionné Point de partage NTFS ou Dossier partagé Novell, vérifiez l'emplacement du magasin central. C. Cliquez sur Suivant. La page Adresse du serveur s'affiche. 7. Vérifiez l'adresse et le numéro de port de l'ordinateur hébergeant le Service et cliquez sur Suivant. Dans le champ de texte de l'adresse, utilisez le nom de domaine complet (FQDN) de l'ordinateur hébergeant le service. Le numéro de port par défaut est 443. Si vous avez sélectionné l'option Bureau dynamique, l'écran Configuration du compte partagé du Bureau dynamique s'affiche. 8. Entrez les informations d'identification pour le compte partagé du Bureau dynamique et cliquez sur le bouton Suivant. Indiquez le nom du domaine auquel appartient la machine, au format NetBIOS et non sous forme de nom de domaine complet. 9. Cliquez sur Installer. 10. Cliquez sur Terminer pour achever l'installation. 11. Effectuez l'une des opérations suivantes. Si vous utilisez un système d'exploitation pris en charge autre que Windows Vista ou Windows Server 2008, cliquez sur Oui pour redémarrer la machine cliente. Vous devez redémarrer la machine cliente. Si vous utilisez Windows Vista ou Server 2008, fermez la session puis rouvrez une session sur votre compte Windows Vista. Il est inutile de redémarrer la machine cliente.