Sophos SafeGuard Disk Encryption pour Mac : informations sur les fonctionnalités d'authentification unique ou Single Sign-On et sur ses limitations

  • ID de l'article 116756
  • Mis à jour : 17 avr. 2012

Cet article donne un aperçu des fonctionnalités d'authentification unique (SSO, Single Sign-On) et sur ses limitations dans Sophos SafeGuard Disk Encryption for Mac. Cette fonction est disponible à partir de la version 6.00.0.

Connu pour s'appliquer aux produits et aux versions Sophos suivantes

Sophos SafeGuard Disk Encryption for Mac 6.00.0

Action à mener

Single Sign-On entre l'authentification au démarrage et la connexion Mac OS X comprenant une synchronisation par mot de passe simple :

Sophos SafeGuard Disk Encryption pour Mac 6.0 peut être exécuté dans un mode où les utilisateurs doivent seulement saisir leurs informations d'identification à l'authentification au démarrage après quoi ils sont automatiquement connectés à Mac OS X en tant qu'utilisateurs individuels. Pour l'authentification unique ou Single Sign On, les utilisateurs doivent avoir les mêmes noms utilisateur et mots de passe à l'authentification au démarrage et dans Mac OS X.

En outre, plusieurs conditions préalables techniques doivent être remplies pour Single Sign On. Pour plus d'informations, reportez-vous à "Synchronisation avec authentification unique (SSO, Single Sign On) et mot de passe".

Sophos SafeGuard Disk Encryption pour Mac contient une fonction qui vous permet de changer les mots de passe à l'authentification au démarrage et dans Mac OS X et de les garder synchronisés. Sophos SafeGuard Disk Encryption pour Mac 6.0 déclenche le changement de mot de passe, opération autorisée pour les utilisateurs Mac OS X locaux ainsi que pour les comptes de mobilité Active Directory.

Les limitations suivantes s'appliquent au Single Sign-On entre la POA SSG et Mac OS X :

La fonction d'authentification unique de Sophos SafeGuard Disk Encryption pour Mac 6.0 dépend de deux paramètres Mac OS X. Il s'agit de Connexion automatique et Afficher la fenêtre de connexion. Connexion automatique doit être activé.

En général, le paramètre 'Afficher la fenêtre de connexion' devrait être sans rapport, mais nous avons rencontré des problèmes sous Mac OS X 10.7 (Lion). Au moment de la publication de Sophos SafeGuard Disk Encryption pour Mac 6.0, la version de Mac OS X est 10.7.2. Pour éviter des problèmes lors de l'exécution sous Mac OS X 10.7 (Lion), paramétrez 'Afficher la fenêtre de connexion' sur Liste d'utilisateurs.

Afin d'éviter ce bogue, la solution consiste à paramétrer cette option sur “Liste d'utilisateurs”.

  1. Le paramètre de “Afficher la fenêtre de connexion” ne doit pas être paramétré sur “Nom et mot de passe”

    Sous Mac OS X 10.7 'Afficher la fenêtre de connexion' doit être paramétré sur Liste d'utilisateurs. S'il est paramétré sur Nom et mot de passe sous Mac OS X 10.7 (Lion), un Single Sign On réussi fonctionne, mais le Mac OS X devient complètement inutilisable après un Single Sign On échoué. Ce qui signifie que vous ne pouvez plus vous connecter. Ceci peut par exemple se produire si les mots de passe d'un utilisateur dans la POA et dans Mac OS X sont désynchronisés ou si l'utilisateur SafeGuard n'existe pas dans Mac OS X.

    Sophos a rencontré ce comportement avec toutes les builds de OS X 10.7 qui ont été publiées avant mars 2012. Il s'avère que ce ce comportement ne peut plus être rencontré sous la version d'évaluation de Mac OS X 10.8 (Mountain Lion).

  2. Afin d'utiliser le Single Sign-On de SSG, le paramètre “Connexion automatique” de Mac OS X ne doit pas être désactivé.

    Cela interrompt le processus Single Sign On dans la connexion Mac OS X et Mac OS X attend une opération de l'utilisateur. Le fait de cliquer sur l'un des noms utilisateur affichés fait continuer le processus de connexion du système. Peu importe le nom utilisateur sur lequel vous cliquez. Le Single Sign On continue et l'utilisateur qui était connecté à la POA est connecté à Mac OS X.
    sgadmin --enable-SSO garantit qu'une valeur correcte est choisie pour ce paramètre (pas sur “Désactivé”). Mais vous ne devez pas le repasser sur Désactivé ultérieurement, pendant que le produit est installé ou que Sophos SafeGuard Disk Encryption Single Sign On est activé. Pour désactiver Single Sign On correctement, sgadmin --disable-sso doit être appelé. Ceci passe de nouveau le paramètre de Connexion automatique sur Désactivé et désactive Single Sign On.

Synchronisation avec authentification unique (SSO, Single Sign On) et mot de passe :

Sophos SafeGuard Disk Encryption pour Mac 6.0 peut être exécuté dans un mode où les utilisateurs doivent seulement se connecter à la POA et démarrent ensuite sur le bureau Mac OS X en tant qu'utilisateurs individuels. Afin de rendre cette SSO possible, les utilisateurs à l'authentification au démarrage et dans Mac OS X doivent avoir le même nom utilisateur et mot de passe.

Ce qui signifie qu'un administrateur Sophos SafeGuard doit initialement créer les utilisateurs SafeGuard afin que leur nom utilisateur corresponde à celui de l'utilisateur Mac OS X correspondant avec lequel SSO sera créé.

Remarque : Sophos SafeGuard Disk Encryption pour Mac 6.0 propose SSO pour les utilisateurs Mac OS X locaux ainsi que pour les comptes de mobilité Active Directory.

Comment paramétrer :

  1. Dans Sophos SafeGuard Disk Encryption pour Mac, il faut créer un utilisateur qui correspond à l'utilisateur Mac OS X. Leurs noms d'utilisateur Windows et mots de passe doivent être identiques. L'utilisateur Mac OS X peut être soit un utilisateur local soit un compte de mobilité Active Directory.
  2. SSO doit être activé tout d'abord dans Sophos SafeGuard Disk Encryption pour Mac. Ceci peut seulement être effectué via une ligne de commande avec la commande :

    sgadmin --enable-sso (sgadmin --disable-sso désactive de nouveau SSO)
  3. Lorsque vous vous connectez à la POA avec cet identifiant utilisateur, l'utilisateur est connecté automatiquement à Mac OS X.

Comme cela est déjà décrit dans les restrictions, la valeur du paramètre Mac OS X 10.7 “Afficher la fenêtre de connexion” doit être défini sur “Liste d'utilisateurs”.

En outre, Sophos SafeGuard Disk Encryption pour Mac 6.0 contient une fonction pour changer les mots de passe dans l'authentification au démarrage et dans Mac OS X d'une manière synchronisée afin qu'ils restent synchronisés.

Remarque : sachez que cette fonction contient plusieurs restrictions, surtout si l'on compare à SGN pour Windows.

  • La boîte de dialogue de changement de mot de passe dans Sophos SafeGuard Disk Encryption pour Mac déclenche le changement de mot de passe.
  • Si l'utilisateur SafeGuard actuellement connecté et l'utilisateur Mac OS X ont le même nom utilisateur, la boîte de dialogue de changement de mot de passe affiche une nouvelle coche qui propose de “Synchroniser les mots de passe”.

  • Si l'utilisateur conserve la coche définie et clique sur “OK”, Sophos SafeGuard tente de changer le mot de passe dans Sophos SafeGuard Disk Encryption pour Mac, Mac OS X (mot de passe utilisateur et mot de passe du trousseau) d'une manière synchronisée.
  • Quand cela est réussi, Sophos SafeGuard Disk Encryption pour Mac ne dérange pas l'utilisateur en affichant un message de succès, mais met simplement à jour l'horodateur “Modifié”.

  • Si l'un des trois mots de passe ne peut pas être changé, tous les mots de passe restent inchangés. Une situation comme celle-ci peut, par exemple, être causée par un nouveau mot de passe qui enfreint les règles de mot de passe de Sophos SafeGuard Disk Encryption pour Mac ou Mac OS X ou l'Active Directory. Dans ce cas, aucun mot de passe unique est changé et ils conservent tous leur ancienne valeur.
  • Si l'utilisateur supprime la coche, seul le mot de passe dans Sophos SafeGuard Disk Encryption pour Mac est changé.
  • La coche "Synchroniser les mots de passe" est seulement disponible pour l'utilisateur connecté à Mac OS X.

 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires