HP ThinPro 7.1 - Administrator Manual
Cryptage
Les informations d'authentication Active Directory et autres secrets peuvent être hachés pour des fonctions
comme le déverrouillage d'écran et/ou cryptées et stockées dans le système pour l'authentication unique.
L'algorithme de hachage pour créer un hachage de mot de passe peut être sélectionné dans ce menu. L'option
par défaut, scrypt, est une fonction de dérivation de clé bien acceptée. Argon2, une autre fonction de
dérivation de clé, est également disponible, ainsi que les hachages conventionnels SHA-256 et SHA-512.
L'avantage d'une telle fonction réside dans le fait qu'il est coûteux sur le plan du calcul de calculer une table
arc-en-ciel correspondant aux mots de passe en texte simple en valeurs hachées pré-calculées, alors que les
hachages conventionnels sont conçus pour s'exécuter aussi rapidement que possible. Tous les hachages sont
stockés en 128 bits aléatoires ou plus de grains de sel, qui changent à chaque fois que le hachage de mot de
passe est calculé et stocké.
Les mots de passe cryptés sont utilisés dans les cas où ils peuvent être inversés et fournis au démarrage des
connexions (authentication unique). L'algorithme de cryptage peut être sélectionné ici parmi un large
éventail compatible avec OpenSSL. Sauf s'il existe une bonne raison de sélectionner une valeur diérente, HP
recommande d'utiliser l'algorithme de cryptage par défaut, qui est généralement considéré comme moderne
et sûr par la communauté sécuritaire. Le nombre de bits de grains de sel et de bits clés varie selon
l'algorithme. Vous pouvez obtenir des détails en appuyant sur le bouton info en regard du sélecteur
d'algorithme. Les clés de cryptage sont uniques pour chaque client léger et sont stockées dans un
emplacement que seuls les administrateurs peuvent lire. En outre, seules certaines applications autorisées
sur le système peuvent décrypter.
Les hachages comme les secrets cryptés peuvent être congurés avec un délai de péremption. Si la durée
entre le moment où le secret a été haché ou crypté et celui où il est utilisé ou décrypté dépasse le délai de
péremption, la correspondance de hashage ou le décryptage échoue.
Par défaut, le mot de passe unique de connexion n'est utilisable que pour une seule journée, mais tous les
mots de passe stockés avec les paramètres réseau ou de connexion peuvent être utilisés indéniment.
Options
L'utilisateur local doit se connecter : Lorsque cette option est sélectionnée alors que l'authentication Active
Directory est désactivée, l'écran de connexion s'aiche toujours au démarrage et à la déconnexion. Dans ce
cas, les informations d'authentication racine ou de l'utilisateur local doivent être utilisées pour accéder au
système.
Activer l'aperçu des données secrètes : Lorsque cette option est activée, la plupart des champs de saisie de
mot de passe et de secret aichent sur la droite une petite icône représentant un œil. En sélectionnant cette
icône en maintenant le bouton gauche de la souris enfoncé, le secret est aiché en texte simple tant que le
bouton de la souris est maintenu enfoncé. Dès que le bouton est relâché, le secret est à nouveau masqué.
Utiliser la saisie de texte du domaine : Lorsque cette option est activée, un champ de saisie de domaine
distinct est présenté pour le nom de domaine, le cas échéant. Lorsqu'elle est désactivée, le domaine est
déterminé par la valeur saisie dans le champ Utilisateur. Par exemple, si le champ Utilisateur contient
« mike@mycorp@», le domaine est supposé être « mycorp ». Si le champ utilisateur est « graycorp\mary » le
domaine est supposé être « graycorp ».
Autoriser les administrateurs à neutraliser le verrouillage de l'écran : Lorsque l'option est activée, vous
pouvez neutraliser un écran verrouillé et le ramener à l'écran de connexion ou au bureau ThinPro, exactement
comme si l'utilisateur s'était déconnecté manuellement du client léger.
Certicats
REMARQUE : Pour plus d'informations sur l'utilisation des certicats dans Linux, consultez
https://www.openssl.org/docs/.
56 Chapitre 9 Panneau de conguration