Conseils et services informatiques
A A A
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

 

Gestion de la sécurité IBM Tivoli Storage Manager

Les administrateurs peuvent effectuer les activités suivantes pour gérer la sécurité IBM Tivoli Storage Manager. 

Tâches :
Gestion de l'accès au serveur et aux clients
Gestion des administrateurs IBM Tivoli Storage Manager
Gestion des niveaux d'autorité des administrateurs
Gestion des mots de passe et des procédures de connexion
Concepts :
Console du serveur
Classes de privilèges et droits d'administration

Console du serveur

Lors de l'installation, la console du serveur est définie avec un ID utilisateur spécial, nommé SERVER_CONSOLE. Ce nom est réservé et ne peut donc pas être utilisé par un autre administrateur.

Tout administrateur doté du privilège système peut révoquer ou accorder de nouveaux privilèges à l'ID utilisateur SERVER_CONSOLE. Il ne peut toutefois pas le mettre à jour, le verrouiller, le renommer ni le supprimer. L'ID utilisateur SERVER_CONSOLE ne possède pas de mot de passe. Pour cette raison, vous ne pouvez pas l'utilisez depuis un client d'administration à moins d'avoir désactivé l'authentification.

Classes de privilèges et droits d'administration

Une fois enregistrés, les administrateurs peuvent exécuter certaines tâches. Par défaut, les administrateurs peuvent demander de l'aide en ligne de commande et exécuter des requêtes.

Pour exécuter d'autres tâches, les administrateurs doivent disposer de droits d'accès grâce à l'attribution d'une ou de plusieurs classes de privilèges d'administration. Les classes de privilèges déterminent le niveau d'autorité d'un administrateur. La Figure 46 décrit ces classes de privilèges. Tout administrateur disposant du privilège système peut exécuter n'importe quelle tâche avec le serveur. Les administrateurs disposant des privilèges de règles, de stockage, d'opérateur, d'analyste ou de poste peuvent exécuter un sous-ensemble de tâches.

Remarque :

Les options serveur renforcent votre contrôle sur les droits dont disposent les administrateurs pour exécuter des tâches.

  • L'option QUERYAUTH vous permet de sélectionner la classe de privilèges dont dispose un administrateur pour exécuter les commandes QUERY et SELECT. Par défaut, aucune classe de privilèges n'est requise. Vous pouvez modifier les spécifications de l'une ou l'autre des classes de privilèges, système inclus.
  • L'option REQSYSAUTHOUTFILE vous permet de spécifier que les droits d'accès système sont requis pour les commandes permettant au serveur d'écrire des données sur un fichier externe (par exemple, la commande BACKUP DB). Par défaut, les droits système sont requis pour les commandes suivantes.

Pour plus d'informations sur les options de serveur, reportez-vous au document Administrator's Reference.

Lorsqu'un administrateur accède à l'interface Web d'administration, seules les tâches correspondant à la classe de privilèges de l'administrateur sont affichées.

Figure 46. Classes de privilèges d'administration



Le Tableau 26 répertorie les classes de privilèges et illustre les méthodes de définition des classes de privilèges. Pour plus d'informations, reportez-vous à la section Gestion des niveaux d'autorité des administrateurs

Tableau 26. Classes de privilèges et droits

Classe de privilèges Fonctions

Système

grant authority rocko classes=system

Exécuter une tâche d'administration avec le serveur.
  • Responsabilités étendues sur tout le système
  • Gestion de l'entreprise
  • Gestion de la sécurité IBM Tivoli Storage Manager

Règle illimité

grant authority smith classes=policy

Gérer les services de sauvegarde et d'archivage des postes affectés à tous les domaines de règles.
  • Gestion des postes
  • Gestion des règles
  • Gestion des plannings

Règle limité

grant authority jones domains=engpoldom

Mêmes fonctions que pour le privilège de règle illimité à l'exception du fait que les droits sont limités à des domaines de règles spécifiques.

Stockage illimité

grant authority coyote classes=storage 

Gérer l'espace de stockage du serveur sans définir ni supprimer les pools de stockage.
  • Gestion de la base de données et du journal de reprise
  • Gestions des unités IBM Tivoli Storage Manager
  • Gestion du stockage IBM Tivoli Storage Manager

Stockage limité

grant authority holland stgpools=tape* 

Gérer le stockage du serveur mais uniquement dans certains pools de stockage.
  • Gestions des unités IBM Tivoli Storage Manager
  • Gestion du stockage IBM Tivoli Storage Manager

Opérateur

grant authority bill classes=operator

Contrôler l'opération en cours sur le serveur et la disponibilité du support de stockage.
  • Gestion du serveur IBM Tivoli Storage Manager
  • Gestion des sessions client
  • Gestion des opérations sur bande

Poste

grant authority help1 

  classes=node node=labclient

Accéder à un client de sauvegarde-archivage Web afin d'exécuter des opérations de sauvegarde et de restauration. (Voir Présentation générale de l'accès distant aux clients de sauvegarde-archivage Web.)

Analyste

grant authority marysmith 

  classes=analyst

Remettre à zéro les compteurs de suivi des statistiques du serveur IBM Tivoli Storage Manager.

Gestion de l'accès au serveur et aux clients

Un administrateur dispose de plusieurs méthodes pour contrôler l'accès au serveur et aux clients. Pour en obtenir un récapitulatif, reportez-vous au Tableau 27

Tableau 27. Gestion de l'accès

Tâche Détails
Autoriser un nouvel administrateur à accéder au serveur
  1. Enregistrement d'administrateurs
  2. Attribution de droits aux administrateurs
Modifier les droits d'accès des administrateurs enregistrés Gestion des niveaux d'autorité des administrateurs
Donner à un utilisateur l'autorisation d'accéder à un client à distance Gestion des niveaux de droits d'accès client
Donner à un administrateur l'autorisation de créer un jeu de sauvegardes pour un poste client Génération de jeux de sauvegardes client sur le serveur
Interdire aux administrateurs d'accéder au serveur Verrouillage et déverrouillage des administrateurs depuis le serveur
Interdire le lancement de nouvelles sessions sur le serveur et autoriser les sessions en cours à terminer. Désactivation ou activation de l'accès au serveur
Interdire aux clients d'accéder au serveur Verrouillage ou déverrouillage des postes client
Modifier le fait que les mots de passe soient obligatoires pour accéder à IBM Tivoli Storage Manager Désactivation de l'authentification du mot de passe par défaut
Modifier les critères associés aux mots de passe

Interdire aux clients d'initialiser des sessions à travers un pare-feu

Remarque :

Pour plus d'informations sur la connexion avec IBM Tivoli Storage Manager via un pare-feu, reportez-vous au document Initiation.

Sessions initialisées par le serveur

Gestion des administrateurs IBM Tivoli Storage Manager

L'administrateur est chargé de l'enregistrement des autres administrateurs, de l'attribution des droits d'administration, des changements de nom, de la suppression des administrateurs ou du verrouillage et du déverrouillage de ces derniers depuis le serveur. 

Tâche Classe de privilèges requise
Enregistrer un administrateur Système
Attribuer des droits d'administration Système
Mettre à jour les informations concernant les autres administrateurs Système
Mettre à jour les informations vous concernant Tout administrateur
Afficher les informations concernant les administrateurs Tout administrateur
Changer le nom d'un ID utilisateur d'administration Système
Supprimer des administrateurs Système
Verrouiller ou déverrouiller l'accès des administrateurs au serveur Système

Enregistrement d'administrateurs

Un administrateur enregistre d'autres administrateurs à l'aide de la commande REGISTER ADMIN.

Pour enregistrer un administrateur dont l'ID utilisateur est DAVEHIL, le mot de passe birds et un délai d'expiration du mot de passe de 120 jours, entrez la commande REGISTER ADMIN suivante :

register admin davehil birds passexp=120 contact='backup team'

Mise à jour des informations concernant les autres administrateurs

Un administrateur peut réinitialiser le mot de passe d'un autre administrateur à l'aide de la commande UPDATE ADMINISTRATOR. Par exemple, l'administrateur DAVEHIL remplace son mot de passe par ganymede en exécutant la commande suivante :

update admin davehil ganymede

Remarque :

Vous ne pouvez pas mettre à jour les informations de contact et l'ID de l'administrateur SERVER_CONSOLE.

Changement du nom d'un administrateur

Vous pouvez renommer un ID administrateur lorsqu'un employé souhaite être identifié par un nouvel ID ou que vous souhaitez affecter un ID administrateur existant à une autre personne. Vous ne pouvez pas modifier un ID administrateur par un autre ID administrateur existant déjà sur le système.

Par exemple, si l'administrateur HOLLAND quitte votre organisation, vous pouvez affecter les classes de privilèges d'administration à un autre utilisateur en suivant les étapes suivantes :

  1. Affectez l'ID utilisateur HOLLAND à WAYNESMITH en exécutant la commande RENAME ADMIN suivante :
  1. rename admin holland waynesmith

En renommant l'ID administrateur, vous supprimez HOLLAND du serveur en tant qu'administrateur enregistré. De plus, vous enregistrez WAYNESMITH en tant qu'administrateur auquel vous avez attribué le mot de passe, la personne à contacter ainsi que les classes de privilèges d'administration appartenant auparavant à HOLLAND.

  1. Modifiez le mot de passe pour empêcher le précédent administrateur d'accéder au serveur en entrant :
  1. update admin waynesmith new_password contact="development"

Remarque :

L'administrateur SERVER_CONSOLE ne peut pas être renommé. Reportez-vous à la section Console du serveur.

Suppression d'administrateurs

Vous pouvez supprimer des administrateurs du serveur de manière à ce qu'ils ne puissent plus accéder aux fonctions de l'administrateur. Par exemple, pour supprimer l'ID administrateur enregistré SMITH, entrez :

remove admin smith

Remarques :

  1. Vous ne pouvez pas supprimer du système le dernier administrateur système.
  2. Vous ne pouvez pas supprimer l'administrateur SERVER_CONSOLE. Reportez-vous à la section Console du serveur pour plus d'informations.

Affichage des informations relatives aux administrateurs

Tout administrateur peut interroger le serveur pour afficher les informations relatives à un administrateur. Vous pouvez limiter la requête à tous les administrateurs autorisés disposant d'une classe de privilèges spécifique.

Par exemple, pour demander au système un rapport détaillé concernant l'ID administrateur DAVEHIL, exécutez la commande QUERY ADMIN :

query admin davehil format=detailed

La Figure 47 présente un rapport détaillé.

Figure 47. Rapport détaillé sur un administrateur

+--------------------------------------------------------------------------------+

|        Nom administrateur : DAVEHIL                                            |

|      Date/heure dernier accès : 09.04.2002 17.10.52                            |

|    Jours écoulés depuis le dernier accès : <1                                  |

|    Date/heure de définition du mot de passe : 09.04.2002 17.10.52              |

|   Jours depuis la définition du mot de passe : 26                              |

|     Nombre de connexions incorrectes : 0                                       |

|                   Verrouillé ? : Non                                           |

|                   Personne à contacter :                                       |

|          Privilège système : Oui                                               |

|          Privilège de règles : **Inclus avec privilège système**               |

|         Privilège stockage : **Inclus avec privilège système**                 |

|         Privilège analyste : **Inclus avec privilège système**                 |

|        Privilège opérateur : **Inclus avec privilège système**                 |

|   Privilège accès client: **Inclus avec privilège système**                    |

|    Privilège propriétaire client: **Inclus avec privilège système**            |

|    Date/heure d'enregistrement : 09/05/2002 23:54:20                           |

| Administrateur d'enregistrement : SERVER_CONSOLE                               |

|          Gestion des profils :                                                 |

|Délai d'expiration du mot de passe :  90 jour (s)                               |

+--------------------------------------------------------------------------------+

Verrouillage et déverrouillage des administrateurs depuis le serveur

Vous pouvez verrouiller d'autres administrateurs afin de les empêcher temporairement d'accéder à IBM Tivoli Storage Manager à l'aide de la commande LOCK ADMIN.

Par exemple, l'administrateur MARYSMITH est en congé exceptionnel. Vous pouvez la verrouiller en entrant :

lock admin marysmith

A son retour, tout administrateur système peut déverrouiller son ID administrateur en entrant :

unlock admin marysmith

MARYSMITH peut désormais accéder au serveur pour achever ses tâches administratives.

Vous pouvez verrouiller ou déverrouiller l'accès de l'ID SERVER_CONSOLE au serveur. Reportez-vous à la section Console du serveur pour plus d'informations.

Gestion des niveaux d'autorité des administrateurs

Une classe de privilèges est un niveau d'autorité conféré à un administrateur. La classe de privilèges détermine les tâches d'administration auxquelles l'administrateur a accès. Reportez-vous à la section Classes de privilèges et droits d'administration et au document Administrator's Reference pour en savoir plus sur les activités pouvant être effectuées par les administrateurs avec chaque classe de privilèges.

Pour gérer les niveaux d'autorité, exécutez les opérations suivantes : 

Tâche Classe de privilèges requise
Accorder un niveau d'autorité à un administrateur Système
Modifier le niveau d'autorité d'un administrateur Système

Attribution de droits aux administrateurs

Vous pouvez accorder des droits à l'aide de la commande GRANT AUTHORITY. Par exemple, pour accorder à l'administrateur JONES des privilèges de règles limités au domaine ENGPOLDOM, entrez la commande suivante :

grant authority jones domains=engpoldom

Extension des droits des administrateurs

Vous pouvez accorder des droits et les étendre à l'aide de la commande GRANT AUTHORITY. Si un ID possède déjà un certain niveau d'autorité et qu'un droit supplémentaire lui est conféré, ce droit vient s'ajouter aux classes de privilèges existantes mais ne les remplace pas.

Par exemple, JONES possède un privilège de règles limité au domaine de règles ENGPOLDOM. Entrez la commande suivante pour étendre les droits de JONES au domaine de règles MKTPOLDOM et ajouter le privilège d'opérateur :

grant authority jones domains=mktpoldom classes=operator

Voici un exemple supplémentaire : supposons qu'il existe trois pools de stockage nommés TAPEPOOL1, TAPEPOOL2 et TAPEPOOL3. Pour accorder à l'administrateur HOLLAND un privilège de stockage limité à ces pools de stockage, vous pouvez entrer la commande suivante :

grant authority holland stgpools=tape*

HOLLAND est limité à la gestion des pools de stockage dont le nom commence par TAPE, si les pools de stockage existaient lors de l'attribution de ses droits. HOLLAND n'est pas autorisé à gérer les pools de stockage définis après l'attribution de ses droits.

Pour ajouter un nouveau pool de stockage, TAPEPOOL4, aux droits d'HOLLAND, entrez :

grant authority holland stgpools=tapepool4

Réduction des droits des administrateurs

Vous pouvez révoquer une partie des droits d'un administrateur à l'aide de la commande REVOKE AUTHORITY. Supposons que vous souhaitiez retirer à l'administrateur JONES uniquement ses droits d'opérateurs et ses droits de règles sur le domaine de règles MKTPOLDOM au lieu de lui supprimer toutes ses classes de privilèges. Entrez la commande suivante :

revoke authority jones classes=operator domains=mktpoldom

JONES est toujours en possession du privilège de règles sur le domaine de règles ENGPOLDOM.

Réduction des classes de privilèges

Vous pouvez réduire les droits d'un administrateur en lui retirant tout simplement une ou plusieurs classes de privilèges et en lui en attribuant une ou plusieurs autres.

Par exemple, l'administrateur HOGAN dispose de droits système. Pour limiter les droits d'accès dont dispose HOGAN à la classe de privilèges opérateur, procédez comme suit :

  1. Révoquez la classe de privilèges système en entrant :
  1. revoke authority hogan classes=system
  2. grant authority hogan classes=operator
  1. Attribuez la classe de privilèges opérateur en entrant :

Révocation de droits aux administrateurs

Vous pouvez révoquer les droits d'un administrateur à l'aide de la commande REVOKE AUTHORITY. Pour toutes les classes de privilèges d'administration, vous ne devez spécifier aucune classe de privilèges, aucun domaine de règles ni aucun pool de stockage. Par exemple, pour révoquer les classes de privilèges de stockage et d'opérateur de l'administrateur JONES, entrez :

revoke authority jones

Gestion des mots de passe et des procédures de connexion

Par défaut, IBM Tivoli Storage Manager nécessite que les administrateurs et les postes autorisés s'identifient eux-mêmes au serveur avec un mot de passe.

Les administrateurs peuvent effectuer les activités suivantes pour gérer les mots de passe et les procédures de connexion : 

Tâche Classe de privilèges requise
Modifier le délai d'expiration de l'interface d'administration Web par défaut Système
Modifier le délai d'expiration du mot de passe par défaut Système
Définir un nombre limité de tentatives avec des mots de passe incorrects Système
Définir la longueur minimale des mots de passe Système
Désactiver l'authentification du mot de passe par défaut Système
Activer la connexion unifiée pour les clients Système

Modification du délai d'expiration de l'interface d'administration Web par défaut

Lors de l'installation, la valeur attribuée par défaut au délai d'expiration de l'interface d'administration Web est de 10 minutes. Une fois ce délai passé, l'utilisateur de l'interface Web doit de nouveau s'identifier en se connectant et en spécifiant un mot de passe. L'exemple suivant montre comment définir le délai d'expiration à 20 minutes :

set webauthtimeout 20

Vous pouvez spécifier une valeur comprise entre 0 et 9999 minutes. Si la valeur minimale est 0, cela signifie qu'il n'existe aucun délai d'expiration pour l'interface d'administration Web. Pour vous permettre d'assurer la sécurité d'un navigateur sans surveillance, nous vous recommandons de définir une valeur supérieure à zéro pour le délai d'expiration.

Modification du délai d'expiration du mot de passe par défaut

Par défaut, le serveur définit l'expiration d'un mot de passe à 90 jours. Le délai d'expiration débute dès qu'un administrateur ou un poste client est enregistré pour la première fois sur le serveur. Si le mot de passe d'un utilisateur n'est pas modifié au cours de cette période, le serveur invite l'utilisateur à le modifier lors de sa prochaine tentative d'accès au serveur.

Pour définir le délai d'expiration du mot de passe pour les administrateurs ou les postes clients sélectionnés, vous devez spécifier le nom de l'administrateur ou du poste à l'aide du paramètre ADMIN ou NODE de la commande SET PASSEXP. Si vous définissez le délai d'expiration uniquement pour les utilisateurs sélectionnés, cette valeur peut aller de 0 à 9999 jours. La valeur 0 signifie que le mot de passe de l'utilisateur n'expire jamais. Par exemple, pour définir le délai d'expiration du poste client LARRY à 120 jours, exécutez la commande suivante :

set passexp 120 node=larry

Une fois le délai d'expiration du mot de passe d'un administrateur ou d'un poste explicitement défini, celui-ci n'est pas modifié si vous déterminez ultérieurement un délai d'expiration pour tous les utilisateurs. Vous pouvez utiliser la commande RESET PASSEXP pour réinitialiser le délai d'expiration des mots de passe et lui attribuer la valeur du délai d'expiration commun. Utilisez la commande QUERY STATUS pour afficher le délai d'expiration commun des mots de passe qui, lors de l'installation, est fixé à 90 jours.

Définition d'une limite de tentatives d'accès avec un mot de passe incorrect

Par défaut, IBM Tivoli Storage Manager ne contrôle pas le nombre de tentatives d'un utilisateur pour se connecter avec un mot de passe incorrect. Vous pouvez définir un nombre limite de tentatives consécutives pour tous les postes clients utilisant des mots de passe incorrects. Lorsque cette limite est dépassée, le serveur verrouille le poste. Dans l'exemple suivant, la limite d'utilisation d'un mot de passe incorrect est définie à trois tentatives consécutives sur l'ensemble du système :

set invalidpwlimit 3

Lors de l'installation, la valeur par défaut est 0. Cette valeur signifie que les tentatives d'accès avec un mot de passe incorrect ne sont pas contrôlées. Vous pouvez définir une valeur comprise entre 0 et 9999 tentatives.

Si vous commencez par limiter les tentatives au nombre de 4 et qu'ensuite vous remplacez cette valeur par un nombre inférieur, la vérification de certains clients pourrait échouer lors de leur prochaine tentative de connexion.

Après avoir été verrouillé, un poste client ne peut être déverrouillé que par un administrateur doté de privilèges de stockage appropriés. Pour plus d'informations concernant le déverrouillage d'un poste client ou d'un administrateur, reportez-vous aux sections Verrouillage ou déverrouillage des postes client et Verrouillage et déverrouillage des administrateurs depuis le serveur.

Un administrateur peut également obliger un client à modifier son mot de passe lors de sa prochaine connexion en spécifiant le paramètre FORCEPWRESET=YES de la commande UPDATE NODE ou UPDATE ADMIN. Pour plus d'informations, reportez-vous au document Administrator's Reference.

Définition de la longueur minimale d'un mot de passe

Par défaut, IBM Tivoli Storage Manager ne contrôle pas la longueur d'un mot de passe. L'administrateur peut spécifier une longueur minimale requise pour les mots de passe IBM Tivoli Storage Manager. L'exemple suivant montre comment définir la longueur minimale d'un mot de passe à huit caractères :

set minpwlength 8

Lors de l'installation, la valeur par défaut est 0. Cette valeur signifie que la longueur du mot de passe n'est pas vérifiée. Vous pouvez définir une valeur de longueur comprise entre 0 et 64.

Désactivation de l'authentification du mot de passe par défaut

Par défaut, le serveur active automatiquement l'authentification du mot de passe. Lorsque l'authentification est activée, tous les utilisateurs doivent entrer un mot de passe pour accéder au serveur. Pour permettre aux administrateurs et aux postes clients d'accéder au serveur sans avoir à entrer de mot de passe, exécutez la commande suivante :

set authentication off

Avertissement: La désactivation de l'authentification du mot de passe réduit la sécurité des données.

Activation de la connexion unifiée avec les clients de sauvegarde-archivage

La fonction de connexion unifiée de IBM Tivoli Storage Manager permet au serveur IBM Tivoli Storage Manager d'utiliser la base de données du compte utilisateur Windows au lieu de la base de données du serveur lors de l'authentification d'une connexion à un client de sauvegarde-archivage. Grâce à cette fonction, un utilisateur peut se connecter à une machine Windows et accéder au client de sauvegarde-archivage sans avoir à entrer un autre mot de passe. Lorsque la connexion unifiée est activée, le serveur continue d'utiliser ses méthodes d'authentification habituelles pour les protocoles autres que le protocole Named Pipes.

La procédure décrite ci-dessous suppose que le serveur IBM Tivoli Storage Manager ainsi que toutes les machines client IBM Tivoli Storage Manager se trouvent dans le même domaine Windows. Un domaine Windows est un moyen de permettre au contrôleur de domaine Windows de gérer les comptes utilisateur pour tous les membres du domaine. La procédure de connexion unifiée IBM Tivoli Storage Manager profite de cette commodité qui permet au domaine Windows de gérer les comptes utilisateur.

Remarque :

Le serveur IBM Tivoli Storage Manager s'exécutera correctement sur le serveur ou le système d'exploitation du poste de travail Windows et ne devra pas nécessairement résider sur la machine du contrôleur de domaine Windows.

Configuration du système

Pour activer la connexion unifiée, vous devez disposer des éléments suivants :

  • Le client de sauvegarde-archivage doit être installé sur une machine s'exécutant sous Windows NT ou Windows 2000. La connexion unifiée n'est pas prise en charge avec un client de sauvegarde-archivage IBM Tivoli Storage Manager sous Windows 95/98/ME.
  • Le serveur IBM Tivoli Storage Manager doit activer le protocole Named Pipes.
  • Le client de sauvegarde-archivage doit utiliser la méthode de communication Named Pipes.

Activation de la connexion unifiée

Procédez aux étapes suivantes pour activer la connexion unifiée.

Etape 1 : à partir du contrôleur de domaine Windows

Autorisez les utilisateurs IBM Tivoli Storage Manager en créant un groupe commun Windows et en ajoutant des utilisateurs :

  1. Ouvrez le gestionnaire de l'utilisateur pour les domaines dans Outils d'administration.
  2. Cliquez sur Utilisateur -> Nouveau groupe commun.
  3. Pour la zone Nom de groupe, entrez par exemple ADSMSERVER.
  4. Ajoutez des utilisateurs au groupe ADSMSERVER en utilisant le bouton Ajouter.
  5. Cliquez sur OK pour ajouter le groupe.
  6. Relancez le serveur pour activer les groupes.

Etape 2 : à partir du serveur IBM Tivoli Storage Manager

  1. Depuis la console IBM Tivoli Storage Manager, assurez-vous que le serveur IBM Tivoli Storage Manager est arrêté :
    1. Cliquez deux fois sur l'icône du bureau pour accéder à la console IBM Tivoli Storage Manager.
    2. Développez l'arborescence jusqu'à ce que le serveur IBM Tivoli Storage Manager que vous souhaitez utiliser soit affiché.
    3. Développez le serveur puis l'arborescence Rapports.
    4. Cliquez sur Informations sur le service.
    5. Si l'état du serveur affiché dans le panneau de droite est En cours d'exécution, sélectionnez le serveur puis cliquez sur Stop.
  2. Configurez le service du serveur IBM Tivoli Storage Manager afin d'utiliser le compte administrateur :
    1. Cliquez avec le bouton droit de la souris sur le serveur que vous souhaitez utiliser et sélectionnez Propriétés.Sous Windows 2000 : Démarrer -> Programmes -> Outils d'administration -> Services.
    2. Dans la section Type de démarrage, sélectionnez Automatique.
    3. Dans la section Connecter sous, sélectionnez Ce compte et remplacez LocalSystem par DOMAIN\Administrator.
    4. Entrez le mot de passe du compte administrateur du domaine Windows.
    5. Cliquez sur OK pour continuer.
  3. Depuis la console IBM Tivoli Storage Manager, activez la connexion unifié sur IBM Tivoli Storage Manager :
    1. Dans le panneau de gauche, développez le serveur.
    2. Développez Rapports.
    3. Dans le panneau de gauche, sélectionnez Informations sur le service.
    4. Dans le panneau de gauche, cliquez sur le serveur pour le sélectionner puis cliquez sur Editer le fichier d'options.
    5. Cliquez sur l'onglet Connexion Named Pipes et procédez comme suit :
      1. Assurez-vous que l'option Activer la connexion Named Pipes... est cochée.
      2. Pour la zone Nom de tube, entrez l'instance du serveur comme nom de tube. Par exemple, Server1.
      3. Dans la section Procédure d'ouverture de session NT, sélectionnez Activer une procédure unique via une connexion Named Pipes.
      4. Pour la zone Nom du groupe TSM, entrez TSMSERVER.

Remarque :

La procédure précédente donne le même résultat que lorsque vous entrez les lignes suivantes dans le fichier d'options du serveur (dsmserv.opt) :

adsmgroupname tsmserver

commmethod                     namedpipe

namedpipename \\.\pipe\server1

securepipes yes

  1. Redémarrez le serveur IBM Tivoli Storage Manager :
    1. Dans le panneau de gauche, développez le serveur IBM Tivoli Storage Manager.
    2. Développez Rapports.
    3. Cliquez sur Informations sur le service.
    4. Dans le panneau de droite, sélectionnez le serveur puis cliquez sur Démarrer. L'état du serveur doit être remplacé par En cours d'exécution.
  2. Assurez-vous que les clients de sauvegarde-archivage ajoutés au groupe du serveur IBM Tivoli Storage Manager sont des postes clients IBM Tivoli Storage Manager enregistrés. Voir Enregistrement de postes sur le serveur pour plus de détails.

Remarque :

Le mot de passe affecté au poste lors de son enregistrement est ignoré par le processus d'authentification lorsque la connexion unifiée est activée. Le mot de passe du domaine Windows est utilisé à la place.

Etape 3 : à partir de chaque machine client

  1. Tous les utilisateurs doivent s'assurer qu'ils sont membres du groupe des administrateurs ou du groupe des opérateurs de sauvegarde sur leur machine.
  2. Relancez la machine client pour activer le groupe.
  3. Editez le fichier d'options client (dsm.opt) afin de définir le client de sauvegarde-archivage pour utiliser la connexion unifiée. Assurez-vous que les options suivantes sont actives (l'astérisque doit être supprimé). Par exemple :
  1. commmethod                     namedpipe
  2. namedpipename \\server_name\pipe\server1
  3. nodename username
  4. passwordaccess generate

Remarques :

    1. Dans cet exemple, server_name est le nom NetBIOS de l'ordinateur sur lequel le serveur IBM Tivoli Storage Manager s'exécute.
    2. L'élément username doit correspondre au nom du compte Windows auquel l'utilisateur est connecté.

Remarque :

Dans cette exemple, la variable machinename doit être remplacée par le nom de la machine sur laquelle le serveur IBM Tivoli Storage Manager est installé.

  1. Pour vérifier que la connexion unifiée est activée, démarrez le client de sauvegarde-archivage. Vous pouvez également exécuter une opération de sauvegarde et de restauration.