Gestion de la sécurité IBM Tivoli Storage Manager
Les administrateurs peuvent effectuer les activités suivantes pour gérer la sécurité IBM Tivoli Storage Manager.
Lors de l'installation, la console du serveur est définie avec un ID utilisateur spécial, nommé SERVER_CONSOLE. Ce nom est réservé et ne peut donc pas être utilisé par un autre administrateur.
Tout administrateur doté du privilège système peut révoquer ou accorder de nouveaux privilèges à l'ID utilisateur SERVER_CONSOLE. Il ne peut toutefois pas le mettre à jour, le verrouiller, le renommer ni le supprimer. L'ID utilisateur SERVER_CONSOLE ne possède pas de mot de passe. Pour cette raison, vous ne pouvez pas l'utilisez depuis un client d'administration à moins d'avoir désactivé l'authentification.
Classes de privilèges et droits d'administration
Une fois enregistrés, les administrateurs peuvent exécuter certaines tâches. Par défaut, les administrateurs peuvent demander de l'aide en ligne de commande et exécuter des requêtes.
Pour exécuter d'autres tâches, les administrateurs doivent disposer de droits d'accès grâce à l'attribution d'une ou de plusieurs classes de privilèges d'administration. Les classes de privilèges déterminent le niveau d'autorité d'un administrateur. La Figure 46 décrit ces classes de privilèges. Tout administrateur disposant du privilège système peut exécuter n'importe quelle tâche avec le serveur. Les administrateurs disposant des privilèges de règles, de stockage, d'opérateur, d'analyste ou de poste peuvent exécuter un sous-ensemble de tâches.
Remarque :
Les options serveur renforcent votre contrôle sur les droits dont disposent les administrateurs pour exécuter des tâches.
- L'option QUERYAUTH vous permet de sélectionner la classe de privilèges dont dispose un administrateur pour exécuter les commandes QUERY et SELECT. Par défaut, aucune classe de privilèges n'est requise. Vous pouvez modifier les spécifications de l'une ou l'autre des classes de privilèges, système inclus.
- L'option REQSYSAUTHOUTFILE vous permet de spécifier que les droits d'accès système sont requis pour les commandes permettant au serveur d'écrire des données sur un fichier externe (par exemple, la commande BACKUP DB). Par défaut, les droits système sont requis pour les commandes suivantes.
Pour plus d'informations sur les options de serveur, reportez-vous au document Administrator's Reference.
Lorsqu'un administrateur accède à l'interface Web d'administration, seules les tâches correspondant à la classe de privilèges de l'administrateur sont affichées.
Figure 46. Classes de privilèges d'administration
Le Tableau 26 répertorie les classes de privilèges et illustre les méthodes de définition des classes de privilèges. Pour plus d'informations, reportez-vous à la section Gestion des niveaux d'autorité des administrateurs.
Tableau 26. Classes de privilèges et droits
| Classe de privilèges | Fonctions |
|
Système grant authority rocko classes=system |
Exécuter une tâche d'administration avec le serveur.
|
|
Règle illimité grant authority smith classes=policy |
Gérer les services de sauvegarde et d'archivage des postes affectés à tous les domaines de règles.
|
|
Règle limité grant authority jones domains=engpoldom |
Mêmes fonctions que pour le privilège de règle illimité à l'exception du fait que les droits sont limités à des domaines de règles spécifiques. |
|
Stockage illimité grant authority coyote classes=storage |
Gérer l'espace de stockage du serveur sans définir ni supprimer les pools de stockage.
|
|
Stockage limité grant authority holland stgpools=tape* |
Gérer le stockage du serveur mais uniquement dans certains pools de stockage.
|
|
Opérateur grant authority bill classes=operator |
Contrôler l'opération en cours sur le serveur et la disponibilité du support de stockage.
|
|
Poste grant authority help1 classes=node node=labclient |
Accéder à un client de sauvegarde-archivage Web afin d'exécuter des opérations de sauvegarde et de restauration. (Voir Présentation générale de l'accès distant aux clients de sauvegarde-archivage Web.) |
|
Analyste grant authority marysmith classes=analyst |
Remettre à zéro les compteurs de suivi des statistiques du serveur IBM Tivoli Storage Manager. |
Gestion de l'accès au serveur et aux clients
Un administrateur dispose de plusieurs méthodes pour contrôler l'accès au serveur et aux clients. Pour en obtenir un récapitulatif, reportez-vous au Tableau 27.
Tableau 27. Gestion de l'accès
| Tâche | Détails |
| Autoriser un nouvel administrateur à accéder au serveur | |
| Modifier les droits d'accès des administrateurs enregistrés | Gestion des niveaux d'autorité des administrateurs |
| Donner à un utilisateur l'autorisation d'accéder à un client à distance | Gestion des niveaux de droits d'accès client |
| Donner à un administrateur l'autorisation de créer un jeu de sauvegardes pour un poste client | Génération de jeux de sauvegardes client sur le serveur |
| Interdire aux administrateurs d'accéder au serveur | Verrouillage et déverrouillage des administrateurs depuis le serveur |
| Interdire le lancement de nouvelles sessions sur le serveur et autoriser les sessions en cours à terminer. | Désactivation ou activation de l'accès au serveur |
| Interdire aux clients d'accéder au serveur | Verrouillage ou déverrouillage des postes client |
| Modifier le fait que les mots de passe soient obligatoires pour accéder à IBM Tivoli Storage Manager | Désactivation de l'authentification du mot de passe par défaut |
| Modifier les critères associés aux mots de passe | |
|
Interdire aux clients d'initialiser des sessions à travers un pare-feu Remarque : Pour plus d'informations sur la connexion avec IBM Tivoli Storage Manager via un pare-feu, reportez-vous au document Initiation. |
Sessions initialisées par le serveur |
Gestion des administrateurs IBM Tivoli Storage Manager
L'administrateur est chargé de l'enregistrement des autres administrateurs, de l'attribution des droits d'administration, des changements de nom, de la suppression des administrateurs ou du verrouillage et du déverrouillage de ces derniers depuis le serveur.
| Tâche | Classe de privilèges requise |
| Enregistrer un administrateur | Système |
| Attribuer des droits d'administration | Système |
| Mettre à jour les informations concernant les autres administrateurs | Système |
| Mettre à jour les informations vous concernant | Tout administrateur |
| Afficher les informations concernant les administrateurs | Tout administrateur |
| Changer le nom d'un ID utilisateur d'administration | Système |
| Supprimer des administrateurs | Système |
| Verrouiller ou déverrouiller l'accès des administrateurs au serveur | Système |
Enregistrement d'administrateurs
Un administrateur enregistre d'autres administrateurs à l'aide de la commande REGISTER ADMIN.
Pour enregistrer un administrateur dont l'ID utilisateur est DAVEHIL, le mot de passe birds et un délai d'expiration du mot de passe de 120 jours, entrez la commande REGISTER ADMIN suivante :
register admin davehil birds passexp=120 contact='backup team'
Mise à jour des informations concernant les autres administrateurs
Un administrateur peut réinitialiser le mot de passe d'un autre administrateur à l'aide de la commande UPDATE ADMINISTRATOR. Par exemple, l'administrateur DAVEHIL remplace son mot de passe par ganymede en exécutant la commande suivante :
update admin davehil ganymede
Remarque :
Vous ne pouvez pas mettre à jour les informations de contact et l'ID de l'administrateur SERVER_CONSOLE.
Changement du nom d'un administrateur
Vous pouvez renommer un ID administrateur lorsqu'un employé souhaite être identifié par un nouvel ID ou que vous souhaitez affecter un ID administrateur existant à une autre personne. Vous ne pouvez pas modifier un ID administrateur par un autre ID administrateur existant déjà sur le système.
Par exemple, si l'administrateur HOLLAND quitte votre organisation, vous pouvez affecter les classes de privilèges d'administration à un autre utilisateur en suivant les étapes suivantes :
- Affectez l'ID utilisateur HOLLAND à WAYNESMITH en exécutant la commande RENAME ADMIN suivante :
- rename admin holland waynesmith
En renommant l'ID administrateur, vous supprimez HOLLAND du serveur en tant qu'administrateur enregistré. De plus, vous enregistrez WAYNESMITH en tant qu'administrateur auquel vous avez attribué le mot de passe, la personne à contacter ainsi que les classes de privilèges d'administration appartenant auparavant à HOLLAND.
- Modifiez le mot de passe pour empêcher le précédent administrateur d'accéder au serveur en entrant :
- update admin waynesmith new_password contact="development"
Remarque :
L'administrateur SERVER_CONSOLE ne peut pas être renommé. Reportez-vous à la section Console du serveur.
Suppression d'administrateurs
Vous pouvez supprimer des administrateurs du serveur de manière à ce qu'ils ne puissent plus accéder aux fonctions de l'administrateur. Par exemple, pour supprimer l'ID administrateur enregistré SMITH, entrez :
remove admin smith
Remarques :
- Vous ne pouvez pas supprimer du système le dernier administrateur système.
- Vous ne pouvez pas supprimer l'administrateur SERVER_CONSOLE. Reportez-vous à la section Console du serveur pour plus d'informations.
Affichage des informations relatives aux administrateurs
Tout administrateur peut interroger le serveur pour afficher les informations relatives à un administrateur. Vous pouvez limiter la requête à tous les administrateurs autorisés disposant d'une classe de privilèges spécifique.
Par exemple, pour demander au système un rapport détaillé concernant l'ID administrateur DAVEHIL, exécutez la commande QUERY ADMIN :
query admin davehil format=detailed
La Figure 47 présente un rapport détaillé.
Figure 47. Rapport détaillé sur un administrateur
+--------------------------------------------------------------------------------+
| Nom administrateur : DAVEHIL |
| Date/heure dernier accès : 09.04.2002 17.10.52 |
| Jours écoulés depuis le dernier accès : <1 |
| Date/heure de définition du mot de passe : 09.04.2002 17.10.52 |
| Jours depuis la définition du mot de passe : 26 |
| Nombre de connexions incorrectes : 0 |
| Verrouillé ? : Non |
| Personne à contacter : |
| Privilège système : Oui |
| Privilège de règles : **Inclus avec privilège système** |
| Privilège stockage : **Inclus avec privilège système** |
| Privilège analyste : **Inclus avec privilège système** |
| Privilège opérateur : **Inclus avec privilège système** |
| Privilège accès client: **Inclus avec privilège système** |
| Privilège propriétaire client: **Inclus avec privilège système** |
| Date/heure d'enregistrement : 09/05/2002 23:54:20 |
| Administrateur d'enregistrement : SERVER_CONSOLE |
| Gestion des profils : |
|Délai d'expiration du mot de passe : 90 jour (s) |
+--------------------------------------------------------------------------------+
Verrouillage et déverrouillage des administrateurs depuis le serveur
Vous pouvez verrouiller d'autres administrateurs afin de les empêcher temporairement d'accéder à IBM Tivoli Storage Manager à l'aide de la commande LOCK ADMIN.
Par exemple, l'administrateur MARYSMITH est en congé exceptionnel. Vous pouvez la verrouiller en entrant :
lock admin marysmith
A son retour, tout administrateur système peut déverrouiller son ID administrateur en entrant :
unlock admin marysmith
MARYSMITH peut désormais accéder au serveur pour achever ses tâches administratives.
Vous pouvez verrouiller ou déverrouiller l'accès de l'ID SERVER_CONSOLE au serveur. Reportez-vous à la section Console du serveur pour plus d'informations.
Gestion des niveaux d'autorité des administrateurs
Une classe de privilèges est un niveau d'autorité conféré à un administrateur. La classe de privilèges détermine les tâches d'administration auxquelles l'administrateur a accès. Reportez-vous à la section Classes de privilèges et droits d'administration et au document Administrator's Reference pour en savoir plus sur les activités pouvant être effectuées par les administrateurs avec chaque classe de privilèges.
Pour gérer les niveaux d'autorité, exécutez les opérations suivantes :
| Tâche | Classe de privilèges requise |
| Accorder un niveau d'autorité à un administrateur | Système |
| Modifier le niveau d'autorité d'un administrateur | Système |
Attribution de droits aux administrateurs
Vous pouvez accorder des droits à l'aide de la commande GRANT AUTHORITY. Par exemple, pour accorder à l'administrateur JONES des privilèges de règles limités au domaine ENGPOLDOM, entrez la commande suivante :
grant authority jones domains=engpoldom
Extension des droits des administrateurs
Vous pouvez accorder des droits et les étendre à l'aide de la commande GRANT AUTHORITY. Si un ID possède déjà un certain niveau d'autorité et qu'un droit supplémentaire lui est conféré, ce droit vient s'ajouter aux classes de privilèges existantes mais ne les remplace pas.
Par exemple, JONES possède un privilège de règles limité au domaine de règles ENGPOLDOM. Entrez la commande suivante pour étendre les droits de JONES au domaine de règles MKTPOLDOM et ajouter le privilège d'opérateur :
grant authority jones domains=mktpoldom classes=operator
Voici un exemple supplémentaire : supposons qu'il existe trois pools de stockage nommés TAPEPOOL1, TAPEPOOL2 et TAPEPOOL3. Pour accorder à l'administrateur HOLLAND un privilège de stockage limité à ces pools de stockage, vous pouvez entrer la commande suivante :
grant authority holland stgpools=tape*
HOLLAND est limité à la gestion des pools de stockage dont le nom commence par TAPE, si les pools de stockage existaient lors de l'attribution de ses droits. HOLLAND n'est pas autorisé à gérer les pools de stockage définis après l'attribution de ses droits.
Pour ajouter un nouveau pool de stockage, TAPEPOOL4, aux droits d'HOLLAND, entrez :
grant authority holland stgpools=tapepool4
Réduction des droits des administrateurs
Vous pouvez révoquer une partie des droits d'un administrateur à l'aide de la commande REVOKE AUTHORITY. Supposons que vous souhaitiez retirer à l'administrateur JONES uniquement ses droits d'opérateurs et ses droits de règles sur le domaine de règles MKTPOLDOM au lieu de lui supprimer toutes ses classes de privilèges. Entrez la commande suivante :
revoke authority jones classes=operator domains=mktpoldom
JONES est toujours en possession du privilège de règles sur le domaine de règles ENGPOLDOM.
Réduction des classes de privilèges
Vous pouvez réduire les droits d'un administrateur en lui retirant tout simplement une ou plusieurs classes de privilèges et en lui en attribuant une ou plusieurs autres.
Par exemple, l'administrateur HOGAN dispose de droits système. Pour limiter les droits d'accès dont dispose HOGAN à la classe de privilèges opérateur, procédez comme suit :
- Révoquez la classe de privilèges système en entrant :
- revoke authority hogan classes=system
- grant authority hogan classes=operator
- Attribuez la classe de privilèges opérateur en entrant :
Révocation de droits aux administrateurs
Vous pouvez révoquer les droits d'un administrateur à l'aide de la commande REVOKE AUTHORITY. Pour toutes les classes de privilèges d'administration, vous ne devez spécifier aucune classe de privilèges, aucun domaine de règles ni aucun pool de stockage. Par exemple, pour révoquer les classes de privilèges de stockage et d'opérateur de l'administrateur JONES, entrez :
revoke authority jones
Gestion des mots de passe et des procédures de connexion
Par défaut, IBM Tivoli Storage Manager nécessite que les administrateurs et les postes autorisés s'identifient eux-mêmes au serveur avec un mot de passe.
Les administrateurs peuvent effectuer les activités suivantes pour gérer les mots de passe et les procédures de connexion :
| Tâche | Classe de privilèges requise |
| Modifier le délai d'expiration de l'interface d'administration Web par défaut | Système |
| Modifier le délai d'expiration du mot de passe par défaut | Système |
| Définir un nombre limité de tentatives avec des mots de passe incorrects | Système |
| Définir la longueur minimale des mots de passe | Système |
| Désactiver l'authentification du mot de passe par défaut | Système |
| Activer la connexion unifiée pour les clients | Système |
Modification du délai d'expiration de l'interface d'administration Web par défaut
Lors de l'installation, la valeur attribuée par défaut au délai d'expiration de l'interface d'administration Web est de 10 minutes. Une fois ce délai passé, l'utilisateur de l'interface Web doit de nouveau s'identifier en se connectant et en spécifiant un mot de passe. L'exemple suivant montre comment définir le délai d'expiration à 20 minutes :
set webauthtimeout 20
Vous pouvez spécifier une valeur comprise entre 0 et 9999 minutes. Si la valeur minimale est 0, cela signifie qu'il n'existe aucun délai d'expiration pour l'interface d'administration Web. Pour vous permettre d'assurer la sécurité d'un navigateur sans surveillance, nous vous recommandons de définir une valeur supérieure à zéro pour le délai d'expiration.
Modification du délai d'expiration du mot de passe par défaut
Par défaut, le serveur définit l'expiration d'un mot de passe à 90 jours. Le délai d'expiration débute dès qu'un administrateur ou un poste client est enregistré pour la première fois sur le serveur. Si le mot de passe d'un utilisateur n'est pas modifié au cours de cette période, le serveur invite l'utilisateur à le modifier lors de sa prochaine tentative d'accès au serveur.
Pour définir le délai d'expiration du mot de passe pour les administrateurs ou les postes clients sélectionnés, vous devez spécifier le nom de l'administrateur ou du poste à l'aide du paramètre ADMIN ou NODE de la commande SET PASSEXP. Si vous définissez le délai d'expiration uniquement pour les utilisateurs sélectionnés, cette valeur peut aller de 0 à 9999 jours. La valeur 0 signifie que le mot de passe de l'utilisateur n'expire jamais. Par exemple, pour définir le délai d'expiration du poste client LARRY à 120 jours, exécutez la commande suivante :
set passexp 120 node=larry
Une fois le délai d'expiration du mot de passe d'un administrateur ou d'un poste explicitement défini, celui-ci n'est pas modifié si vous déterminez ultérieurement un délai d'expiration pour tous les utilisateurs. Vous pouvez utiliser la commande RESET PASSEXP pour réinitialiser le délai d'expiration des mots de passe et lui attribuer la valeur du délai d'expiration commun. Utilisez la commande QUERY STATUS pour afficher le délai d'expiration commun des mots de passe qui, lors de l'installation, est fixé à 90 jours.
Définition d'une limite de tentatives d'accès avec un mot de passe incorrect
Par défaut, IBM Tivoli Storage Manager ne contrôle pas le nombre de tentatives d'un utilisateur pour se connecter avec un mot de passe incorrect. Vous pouvez définir un nombre limite de tentatives consécutives pour tous les postes clients utilisant des mots de passe incorrects. Lorsque cette limite est dépassée, le serveur verrouille le poste. Dans l'exemple suivant, la limite d'utilisation d'un mot de passe incorrect est définie à trois tentatives consécutives sur l'ensemble du système :
set invalidpwlimit 3
Lors de l'installation, la valeur par défaut est 0. Cette valeur signifie que les tentatives d'accès avec un mot de passe incorrect ne sont pas contrôlées. Vous pouvez définir une valeur comprise entre 0 et 9999 tentatives.
Si vous commencez par limiter les tentatives au nombre de 4 et qu'ensuite vous remplacez cette valeur par un nombre inférieur, la vérification de certains clients pourrait échouer lors de leur prochaine tentative de connexion.
Après avoir été verrouillé, un poste client ne peut être déverrouillé que par un administrateur doté de privilèges de stockage appropriés. Pour plus d'informations concernant le déverrouillage d'un poste client ou d'un administrateur, reportez-vous aux sections Verrouillage ou déverrouillage des postes client et Verrouillage et déverrouillage des administrateurs depuis le serveur.
Un administrateur peut également obliger un client à modifier son mot de passe lors de sa prochaine connexion en spécifiant le paramètre FORCEPWRESET=YES de la commande UPDATE NODE ou UPDATE ADMIN. Pour plus d'informations, reportez-vous au document Administrator's Reference.
Définition de la longueur minimale d'un mot de passe
Par défaut, IBM Tivoli Storage Manager ne contrôle pas la longueur d'un mot de passe. L'administrateur peut spécifier une longueur minimale requise pour les mots de passe IBM Tivoli Storage Manager. L'exemple suivant montre comment définir la longueur minimale d'un mot de passe à huit caractères :
set minpwlength 8
Lors de l'installation, la valeur par défaut est 0. Cette valeur signifie que la longueur du mot de passe n'est pas vérifiée. Vous pouvez définir une valeur de longueur comprise entre 0 et 64.
Désactivation de l'authentification du mot de passe par défaut
Par défaut, le serveur active automatiquement l'authentification du mot de passe. Lorsque l'authentification est activée, tous les utilisateurs doivent entrer un mot de passe pour accéder au serveur. Pour permettre aux administrateurs et aux postes clients d'accéder au serveur sans avoir à entrer de mot de passe, exécutez la commande suivante :
set authentication off
Avertissement: La désactivation de l'authentification du mot de passe réduit la sécurité des données.
Activation de la connexion unifiée avec les clients de sauvegarde-archivage
La fonction de connexion unifiée de IBM Tivoli Storage Manager permet au serveur IBM Tivoli Storage Manager d'utiliser la base de données du compte utilisateur Windows au lieu de la base de données du serveur lors de l'authentification d'une connexion à un client de sauvegarde-archivage. Grâce à cette fonction, un utilisateur peut se connecter à une machine Windows et accéder au client de sauvegarde-archivage sans avoir à entrer un autre mot de passe. Lorsque la connexion unifiée est activée, le serveur continue d'utiliser ses méthodes d'authentification habituelles pour les protocoles autres que le protocole Named Pipes.
La procédure décrite ci-dessous suppose que le serveur IBM Tivoli Storage Manager ainsi que toutes les machines client IBM Tivoli Storage Manager se trouvent dans le même domaine Windows. Un domaine Windows est un moyen de permettre au contrôleur de domaine Windows de gérer les comptes utilisateur pour tous les membres du domaine. La procédure de connexion unifiée IBM Tivoli Storage Manager profite de cette commodité qui permet au domaine Windows de gérer les comptes utilisateur.
Remarque :
Le serveur IBM Tivoli Storage Manager s'exécutera correctement sur le serveur ou le système d'exploitation du poste de travail Windows et ne devra pas nécessairement résider sur la machine du contrôleur de domaine Windows.
Configuration du système
Pour activer la connexion unifiée, vous devez disposer des éléments suivants :
- Le client de sauvegarde-archivage doit être installé sur une machine s'exécutant sous Windows NT ou Windows 2000. La connexion unifiée n'est pas prise en charge avec un client de sauvegarde-archivage IBM Tivoli Storage Manager sous Windows 95/98/ME.
- Le serveur IBM Tivoli Storage Manager doit activer le protocole Named Pipes.
- Le client de sauvegarde-archivage doit utiliser la méthode de communication Named Pipes.
Activation de la connexion unifiée
Procédez aux étapes suivantes pour activer la connexion unifiée.
Etape 1 : à partir du contrôleur de domaine Windows
Autorisez les utilisateurs IBM Tivoli Storage Manager en créant un groupe commun Windows et en ajoutant des utilisateurs :
- Ouvrez le gestionnaire de l'utilisateur pour les domaines dans Outils d'administration.
- Cliquez sur Utilisateur -> Nouveau groupe commun.
- Pour la zone Nom de groupe, entrez par exemple ADSMSERVER.
- Ajoutez des utilisateurs au groupe ADSMSERVER en utilisant le bouton Ajouter.
- Cliquez sur OK pour ajouter le groupe.
- Relancez le serveur pour activer les groupes.
Etape 2 : à partir du serveur IBM Tivoli Storage Manager
- Depuis la console IBM Tivoli Storage Manager, assurez-vous que le serveur IBM Tivoli Storage Manager est arrêté :
- Cliquez deux fois sur l'icône du bureau pour accéder à la console IBM Tivoli Storage Manager.
- Développez l'arborescence jusqu'à ce que le serveur IBM Tivoli Storage Manager que vous souhaitez utiliser soit affiché.
- Développez le serveur puis l'arborescence Rapports.
- Cliquez sur Informations sur le service.
- Si l'état du serveur affiché dans le panneau de droite est En cours d'exécution, sélectionnez le serveur puis cliquez sur Stop.
- Configurez le service du serveur IBM Tivoli Storage Manager afin d'utiliser le compte administrateur :
- Cliquez avec le bouton droit de la souris sur le serveur que vous souhaitez utiliser et sélectionnez Propriétés.Sous Windows 2000 : Démarrer -> Programmes -> Outils d'administration -> Services.
- Dans la section Type de démarrage, sélectionnez Automatique.
- Dans la section Connecter sous, sélectionnez Ce compte et remplacez LocalSystem par DOMAIN\Administrator.
- Entrez le mot de passe du compte administrateur du domaine Windows.
- Cliquez sur OK pour continuer.
- Depuis la console IBM Tivoli Storage Manager, activez la connexion unifié sur IBM Tivoli Storage Manager :
- Dans le panneau de gauche, développez le serveur.
- Développez Rapports.
- Dans le panneau de gauche, sélectionnez Informations sur le service.
- Dans le panneau de gauche, cliquez sur le serveur pour le sélectionner puis cliquez sur Editer le fichier d'options.
- Cliquez sur l'onglet Connexion Named Pipes et procédez comme suit :
- Assurez-vous que l'option Activer la connexion Named Pipes... est cochée.
- Pour la zone Nom de tube, entrez l'instance du serveur comme nom de tube. Par exemple, Server1.
- Dans la section Procédure d'ouverture de session NT, sélectionnez Activer une procédure unique via une connexion Named Pipes.
- Pour la zone Nom du groupe TSM, entrez TSMSERVER.
Remarque :
La procédure précédente donne le même résultat que lorsque vous entrez les lignes suivantes dans le fichier d'options du serveur (dsmserv.opt) :
adsmgroupname tsmserver
commmethod namedpipe
namedpipename \\.\pipe\server1
securepipes yes
- Redémarrez le serveur IBM Tivoli Storage Manager :
- Dans le panneau de gauche, développez le serveur IBM Tivoli Storage Manager.
- Développez Rapports.
- Cliquez sur Informations sur le service.
- Dans le panneau de droite, sélectionnez le serveur puis cliquez sur Démarrer. L'état du serveur doit être remplacé par En cours d'exécution.
- Assurez-vous que les clients de sauvegarde-archivage ajoutés au groupe du serveur IBM Tivoli Storage Manager sont des postes clients IBM Tivoli Storage Manager enregistrés. Voir Enregistrement de postes sur le serveur pour plus de détails.
Remarque :
Le mot de passe affecté au poste lors de son enregistrement est ignoré par le processus d'authentification lorsque la connexion unifiée est activée. Le mot de passe du domaine Windows est utilisé à la place.
Etape 3 : à partir de chaque machine client
- Tous les utilisateurs doivent s'assurer qu'ils sont membres du groupe des administrateurs ou du groupe des opérateurs de sauvegarde sur leur machine.
- Relancez la machine client pour activer le groupe.
- Editez le fichier d'options client (dsm.opt) afin de définir le client de sauvegarde-archivage pour utiliser la connexion unifiée. Assurez-vous que les options suivantes sont actives (l'astérisque doit être supprimé). Par exemple :
- commmethod namedpipe
- namedpipename \\server_name\pipe\server1
- nodename username
- passwordaccess generate
Remarques :
- Dans cet exemple, server_name est le nom NetBIOS de l'ordinateur sur lequel le serveur IBM Tivoli Storage Manager s'exécute.
- L'élément username doit correspondre au nom du compte Windows auquel l'utilisateur est connecté.
Remarque :
Dans cette exemple, la variable machinename doit être remplacée par le nom de la machine sur laquelle le serveur IBM Tivoli Storage Manager est installé.
- Pour vérifier que la connexion unifiée est activée, démarrez le client de sauvegarde-archivage. Vous pouvez également exécuter une opération de sauvegarde et de restauration.
