Demander un certificat DIGICERT TERENA personnel

Remarque : en cas de problème avec la demande d’un certificat, nous contacter en déposant un ticket .

Pour demander un certificat grille, se connecter à l’url https://services.renater.fr/ssi/grid-fr/index  )

Attention : les version de FireFox supérieures à 69 ne fonctionne pas avec cette procédure. Il faut utiliser la version 68ESRportable ( Extended Support Release  et Portable, c'est  dire qui execute Firefox sans faire une nouvelle installation de votre profile Firefox). Vous pouvez telecharger puis dézipper les versions ci-dessous en fonction de votre systeme d'exploitation :

• • Mac : https://owncloud.lal.in2p3.fr/index.php/s/J6tNk4kXaPWvBv1
  • Windows : https://owncloud.lal.in2p3.fr/index.php/s/XTWvdrKKvnb7TQj
  • Linux : https://owncloud.lal.in2p3.fr/index.php/s/RSRvBb1adexcZPE

Aller dans le repertoire dezippé et executer Firefox (application)

• -Avec ses identifiants JANUS (réinitialiser son mot passe CNRS sur https://sesame.cnrs.fr si besoin)   Aller sur www.digicert.com/sso (sélectionner l'IDP CNRS, le produit Premium et une durée de 3 ans).

  

  

  Ici il doit y avoir un message indiquant la génération de la clé privée dans le navigateur

  

  Sauvegarder son certificat et la clé privée

  Il est impératif sauvegarder son certificat et la clé associée, d'autant plus si vous avez utilisé une version portable car il faut ensuite importer ce certificat dans votre navigateur "habituel".

  1. Utiliser pour cela la fonction exportation de certificat du navigateur. Si le choix est présenté, choisir d’exporter la clé privé. Choisir le format d’exportation ’pkcs12’.
  2. Donner un mot de passe qui servira à chiffrer votre clé privée (afin de la rendre inexploitable en cas de vol). On obtient ainsi 1 fichier à sauvegarderez en lieu sûr (sur un disque réseau backupé, par exemple) en faisant attention à ne laisser le droit d’accès que pour vous même (mode 400 sous Unix par exemple).

  (exemple dans firefox pour Mac)

  1.  Firefox > Preferences. (pour Mac)
  2. Options ( pour les PC)
  3. 
  4. 
  5. 
  6. 
  7. 

  Incorporer votre certificat et clé privée dans d’autres navigateurs et logiciels

  Pour utiliser son certificat avec d’autres logiciels (d’autres navigateurs, le logiciel de messagerie, etc.), il faut importer le certificat et la clé à l’aide de la fonction importation de certificats de ce logiciel.

  Pour utiliser le certificat sur un autre ordinateur (par exemple un ordinateur personnel ), il faut y recopier le fichier contenant le certificat et la clé privée, puis comme précédemment les importer dans les logiciels utilisés, le cas échéant. Attention là aussi (particulièrement sur une machine personnelle) est particulièrement recommander de ranger le fichier contenant le certificat dans un endroit sûr (ou sinon l'effacer une fois le certificat importé).

Au départ d'un utilisateur, l'ensemble de ses comptes informatiques seront être fermés dans les 3 mois, sauf demande validée par son responsable de groupe ou de service.
La prolongation des comptes se fait obligatoirement pour une durée limitée mais peut être renouvelée autant que nécessaire (toujours après demande validée par le responsable).
La fermeture des comptes implique la suppression totale des courriers électroniques de l'agent ainsi que de l'ensemble de ses données personnelles ou réputées telles.
L'utilisateur a la charge de récupérer par lui-même, avec l'aide du SI si besoin, ses données personnelles.

Les personnels non permanents du laboratoire reçoivent, quelques semaines avant la date d'expiration de leur contrat, un courrier électronique avec le sujet : "AUTOMATIC MESSAGE: your LALs account expires soon. Ce courrier les prévient de la fermeture imminente de leur compte informatique. S'ils souhaitent le prolonger, ils doivent contacter le service informatique.

Rappel : Comme stipulé dans la Charte du CNRS, toutes les données présentes dans les comptes informatiques sont réputées professionnelles et appartiennent au laboratoire, à l'exception des données explicitement désignées comme personnelles.

Pour obtenir un compte permettant d'accéder aux différentes ressources informatiques du LAL (Linux, Windows, mail...), vous devez en premier lieu prendre connaissance de la charte informatique (english version)

Ensuite, vous devez remplir le formulaire papier attaché (english version)  , ou la version formulaire en ligne ici, en précisant impérativement :
- que vous avez pris connaissance de la charte informatique et que vous prenez l'engagement de vous y conformer.
- que vous êtes personnel permanent du laboratoire ou, dans le cas contraire, la date de fin de votre contrat et le nom de votre responsable au LAL.

Pour accéder aux ressources informatiques du LAL, tout utilisateur dispose d'un compte unique permettant:

• D'accéder aux serveurs Linux (interactifs ou de groupe)
• D'accéder aux espaces disque exportés par les serveurs Unix
• D'ouvrir une session interactive sur une machine Windows faisant partie du domaine Active Directory du LAL
• D'accéder à sa messagerie, et ce quel que soit le système d'exploitation (Windows, Linux, OSX) de son poste de travail
• D'accéder aux espaces disque exportés par les serveurs Windows

Une fois le compte créé, le SI doit vous fournir un mot de passe: il vous sera demandé de le changer dès votre première connexion

Si vous n'êtes pas personnel permanent, un mail vous sera envoyé plusieurs semaines avant la date d'expiration de votre contrat pour vous informer de la fermeture imminente de votre compte. Ce mail est également envoyé à votre responsable au LAL.
Vous trouverez également sur ce site des informations utiles à la bonne gestion de vos comptes, ainsi que la procédure pour obtenir un compte au Centre de Calcul de L'In2p3.

Un compte ayant les privilèges « administrateur » permet de tout faire, sans aucun contrôle, sur le poste de travail et parfois même sur tous les postes de travail en réseau, voire certains serveurs de l’unité.

Les logiciels espions propagés par des sites alléchants, ou des pièces jointes de mails accrocheurs, « chassent » les comptes administrateurs . Ces logiciels s'exécutant à partir d'une application lancée par un utilisateur n'ayant pas les droits d'administrateur feront, très souvent, beaucoup moins de dégâts et, la plupart du temps, seront totalement inefficaces.

Il convient d’utiliser au quotidien et en particulier pour naviguer sur internet un compte ne possédant pas les privilèges « administrateur »

Certains utilisateurs (essentiellement ceux qui travaillent sur des portables) peuvent avoir un compte avec des privilèges « administrateur » et le mot de passe associé. Dans ce cas, pour les opérations, comme des mises à jour, qui demandent les droits « administrateur » on utilisera préférentiellement les mécanismes du système d’exploitation qui permettent temporairement d’élever ses privilèges (sudo sous Unix et dérivés (LinuX, Mac, FreeBSD...), UAC ou « Exécuter en tant qu’administrateur » sous Windows).

Nous possédons chacun beaucoup de comptes avec des mots de passe associés. Ces comptes sont à la fois professionnels mais aussi personnels. Cette page a pour but de vous donner quelques bonnes pratiques, trucs et astuces pour utiliser ces comptes en toute sécurité.

Le LAL possède une charte informatique,( english version) partie intégrante du règlement intérieur (adoptée par le conseil de laboratoire le 28 novembre 1998). Elle est portée à la connaissance de l’ensemble du personnel et s’impose à tous les utilisateurs des ressources informatiques du laboratoire.

Le CNRS possède également une charte qui s'impose à tous

• Mots de passe
• Je quitte le LAL, que vont devenir mes comptes et leur contenu ?
• Privilèges
• Les certificats
• FAQ Mes comptes