5.1 Überblick
Identity Manager ermöglicht eine Passwortsynchronisierung in beide Richtungen. Es verwendet dazu universelle Passwörter und verbundene Systeme zum Veröffentlichen und Abonnieren von Passwörtern.
Wie bei anderen Attributen eines Benutzerkontos können Sie auch hier die maßgeblichen Datenquellen auswählen.
- Allgemeines zu Passwörtern
- Vergleich zwischen Version 1.0 der Passwortsynchronisierung und der Identity Manager-Passwortsynchronisierung
- Was versteht man unter einer bidirektionalen Passwortsynchronisierung?
- Funktionen der Identity Manager-Passwortsynchronisierung
- Überblick über den Datenfluss bei der Passwortsynchronisierung
5.1.1 Allgemeines zu Passwörtern
NDS®-Passwörter, einfache Passwörter, Verteilungspasswörter und universelle Passwörter werden für verschiedene Zwecke eingesetzt. In früheren Versionen von eDirectory™ und Identity Manager konnten verbundene Systeme nur das NDS-Passwort mit einer Synchronisierung in eine Richtung aktualisieren.
Identity Manager verwendet das „universelle Passwort“, ein reversibles Passwort, das mit den anderen Identitätsdepot-Passwörtern synchronisiert werden kann. Das universelle Passwort wurde mit eDirectory 8.7.1 eingeführt und ist durch drei Verschlüsselungsstufen geschützt.
NMAS™ steuert die Relation zwischen dem universellen Passwort und den anderen Identitätsdepot-Passwörtern. Beispielsweise prüft NMAS, ob eine Passwortsynchronisierung zwischen dem universellen Passwort und dem NDS-Passwort, dem einfachen Passwort oder dem Verteilungspasswort besteht. NMAS fängt eingehende Anforderungen zum Ändern von Passwörtern ab und verarbeitet sie gemäß den Einstellungen in den NMAS-Passwortrichtlinien.
Identity Manager steuert die Relation zwischen Identity Vault-Passwörtern und den Passwörtern verbundener Systeme. Hierzu verwendet es das Verteilungspasswort, d. h. das Passwort des Identitätsdepots, das an die verbundenen Systeme verteilt werden kann. Wie das universelle Passwort ist auch das Verteilungspasswort durch drei Verschlüsselungsstufen geschützt und reversibel.
In der NMAS-Passwortrichtlinie können Sie festlegen, ob das Verteilungspasswort mit dem universellen Passwort übereinstimmen muss. (Die entsprechende Einstellung ist ). Wenn das Verteilungspasswort mit dem universellen Passwort übereinstimmt und Sie für verbundene Systeme die bidirektionale Passwortsynchronisierung ausgewählt haben, denken Sie daran, mit Identity Manager das universelle Passwort aus eDirectory zu extrahieren und an andere verbundene Systeme zu senden. Sie müssen sowohl die Übertragung des Passworts als auch die verbundenen Systeme, auf denen es gespeichert wird, absichern. Weitere Informationen finden Sie unter Schnitt 7.0, Sicherheit: Best Practices.
Wenn das Verteilungspasswort nicht mit dem universellen Passwort übereinstimmt (da die entsprechende Einstellung in der NMAS-Passwortrichtlinie deaktiviert ist), können Sie Passwörter im „Tunnel-Modus“ an verbundene Systeme übertragen, die das Verteilungspasswort verwenden, ohne dass dies Auswirkungen auf das universelle Passwort oder das NDS-Passwort hat. Beachten Sie, dass beim „Tunneling“ nur Passwörter zwischen verbundenen Systemen synchronisiert werden. Wenn das „Tunneling“ aktiviert ist, wird das Identitätsdepot-/universelle Passwort nicht festgelegt.
Weitere Informationen zu den verschiedenen eDirectory-Passwörtern finden Sie im Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Novell Modular Authentication Services (NMAS) 2.3 Administrationshandbuch). Beispiele zu den verschiedenen Methoden der Passwortsynchronisierung in Identity Manager finden Sie in Schnitt 5.8, Implementierung der Passwortsynchronisierung.
5.1.2 Was versteht man unter einer bidirektionalen Passwortsynchronisierung?
Bei einer bidirektionalen Passwortsynchronisierung akzeptiert Identity Manager einerseits Passwörter von verbundenen Systemen, die Sie angegeben haben, und verteilt andererseits Passwörter an diese verbundenen Systeme.
Ob die Passwortsynchronisierung in beide Richtungen auf einem bestimmten verbundenen System möglich ist, hängt von den Einstellungen auf dem verbundenen System ab.
Einige verbundene Systeme akzeptieren neue und geänderte Passwörter von Identity Manager und können auch das aktuelle Passwort des Benutzers an Identity Manager übergeben. Die nachfolgend aufgeführten verbundenen Systeme unterstützen die bidirektionale Passwortsynchronisierung von Identity Manager:
- Active Directory
- Novell® eDirectory
- Network Information Services (NIS)
- NT Domain
Bei diesen verbundenen Systemen können Benutzer das Passwort auf einem der Systeme ändern und es anschließend über Identity Manager auf den anderen Systemen synchronisieren. Wenn Sie mit den erweiterten Passwortregeln in Ihren NMAS-Passwortrichtlinien arbeiten, ist es jedoch sinnvoller, dass die Benutzer die Passwörter in der iManager-Selbstbedienungskonsole ändern. Dies ist der beste Ort für Passwortänderungen, da hier alle Regeln, die das Benutzerpasswort erfüllen muss, aufgelistet werden.
Da andere verbundene Systeme das aktuelle Benutzerpasswort nicht weiterleiten können, wird auf diesen Systemen die bidirektionale Passwortsynchronisierung nicht vollständig unterstützt. Mit der Definition von Richtlinien innerhalb der Treiberkonfiguration können sie jedoch Daten bereitstellen, die zum Erstellen von Passwörtern verwendet werden können, und diese an Identity Manager senden.
Verschiedene andere Systeme können Passwörter von Identity Manager akzeptieren und ein Ausgangspasswort für einen neuen Benutzer einrichten oder ein vorhandenes Passwort ändern oder beides. Weitere Informationen hierzu finden Sie in Schnitt 5.2, Unterstützung von verbundenen Systemen bei der Passwortsynchronisierung.
5.1.3 Vergleich zwischen Version 1.0 der Passwortsynchronisierung und der Identity Manager-Passwortsynchronisierung
Tabelle 5-1 Vergleich: Passwortsynchronisierung 1.0 und Identity Manager-Passwortsynchronisierung
|
Passwortsynchronisierung 1.0 |
Passwortsynchronisierung mit Identity Manager 2 und 3 |
|---|---|---|
|
Produktzustellung |
Separates Produkt; nicht im Lieferumfang von Identity Manager enthalten. |
Teil von Identity Manager; nicht separat erhältlich. |
|
Plattformen |
|
Auf den folgenden Plattformen wird die bidirektionale Passwortsynchronisierung vollständig unterstützt:
Auf diesen verbundenen Systemen wird das Veröffentlichen von Benutzerpasswörtern über Identity Manager unterstützt. Da das universelle Passwort und das Verteilungspasswort reversibel sind, kann Identity Manager Passwörter an verbundene Systeme verteilen. Jedes verbundene System, das das Abonnenten-Passwortelement unterstützt, kann Passwörter von Identity Manager abonnieren. Weitere Informationen hierzu finden Sie in Schnitt 5.2, Unterstützung von verbundenen Systemen bei der Passwortsynchronisierung. |
|
In einem Identitätsdepot verwendetes Passwort |
NDS-Passwort (nicht reversibel) |
Universelles Passwort (reversibel) oder Verteilungspasswort (reversibel). Das NDS-Passwort kann auch synchronisiert werden. Beispiele finden Sie in Schnitt 5.8, Implementierung der Passwortsynchronisierung. |
|
Hauptfunktionalität für unter Windows verbundene Systeme |
Das Senden von Passwörtern an Identity Manager, um das Identitätsdepot-Passwort mit dem Windows-Passwort zu synchronisieren. Da das NDS-Passwort nicht reversibel ist, wurden Passwörter nicht an NT- oder AD-Systeme zurückgesendet. |
Bereitstellung der bidirektionalen Passwortsynchronisierung Da das universelle Passwort und das Verteilungspasswort reversibel sind, können Passwörter in beide Richtungen synchronisiert werden. |
|
LDAP-Änderungen |
Nicht unterstützt |
Unterstützt |
|
Novell® Client™ |
Erforderlich |
Nicht erforderlich |
|
nadLoginName-Attribut |
Wird dazu verwendet, Passwörter aktuell zu halten. |
Nicht verwendet |
|
Komponente, die die Funktion zur Passwortsynchronisierung enthält |
Die Funktionalität zum Aktualisieren von nadLoginName ist im Identity Manager-Treiber enthalten. |
Die Passwortsynchronisierung basiert auf Identity Manager-Richtlinien in der Treiberkonfiguration. Der Treiber führt die Aufgaben aus, die er von der Metaverzeichnis-Engine erhält und die sich aus der Logik der Richtlinien ergeben. Das Treibermanifest, die Globalkonfigurationswerte und die Treiberfiltereinstellungen müssen auch die Passwortsynchronisierung unterstützen. Sie sind in der Beispiel-Treiberkonfiguration enthalten, können aber auch zu einem vorhandenen Treiber hinzugefügt werden. Weitere Informationen hierzu finden Sie in Schnitt 5.7, Upgrade bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung. |
|
Agenten |
Ein separates Software-Modul. |
Es werden keine Agenten installiert. Die Funktionalität ist jetzt im Treiber enthalten. |
5.1.4 Funktionen der Identity Manager-Passwortsynchronisierung
Die Identity Manager-Passwortsynchronisierung ist bidirektional. Identity Manager akzeptiert einerseits Passwörter, die von verbundenen Systemen an ihn gesendet werden, und übergibt andererseits Passwörter an verbundene Systeme, die wiederum von diesen akzeptiert werden.
- Akzeptieren von Passwörtern von verbundenen Systemen
- Verteilen von Passwörtern an verbundene Systeme
- Durchsetzen von Passwortrichtlinien im Datenspeicher und auf verbundenen Systemen
- Beispielsituationen für die Synchronisierung von Passwörtern
- Benachrichtigen von Benutzern, wenn bei der Passwortsynchronisierung Fehler aufgetreten sind
- Überprüfen des Passwortsynchronisierungsstatus eines Benutzers
Akzeptieren von Passwörtern von verbundenen Systemen
Wie bei früheren Versionen von DirXML® und Identity Manager kann jedes verbundene System ein Passwort über das Identitätsdepot veröffentlichen.
Sie legen fest, von welchen verbundenen Systemen Identity Manager Passwörter akzeptiert. Sie können außerdem auswählen, ob Identity Manager das Passwort für Benutzer aktualisieren soll, die sich in demselben Identitätsdepot befinden, in dem Identity Manager läuft, oder ob es nur als Kanal oder “Tunnel” für die Synchronisierung der Passwörter zwischen verbundenen Systemen fungieren soll. Dadurch ist es möglich, das Identitätsdepot-Passwort und das Passwort, das von Identity Manager an die verbundenen Systeme verteilt wird, voneinander zu trennen.
Einige verbundene Systeme (AD, andere Identitätsdepots, NT und NIS) können das aktuelle Passwort des Benutzers bereitstellen, d. h. wenn ein Benutzer das Passwort auf einem verbundenen System ändert, kann es von Identity Manager synchronisiert und an andere verbundene Systeme weitergeleitet werden.
Bei anderen verbundenen Systemen ist die Bereitstellung des aktuellen Benutzerpassworts nicht möglich. Sie können die Systeme jedoch so konfigurieren, dass Identity Manager ein Passwort über eine Formatvorlage bereitgestellt wird, z. B. ein Ausgangspasswort unter Verwendung des Nachnamens oder der Mitarbeiter-ID.
Verteilen von Passwörtern an verbundene Systeme
Mithilfe der Identity Manager-Passwortsynchronisierung können Sie ein allgemeines Passwort an verbundene Systeme verteilen.
In früheren Versionen von Identity Manager sendete ein Treiber die Passwörter von Benutzerkonten auf verbundene Systeme. Anhand der Passwörter wurden die entsprechenden Benutzer in eDirectory aktualisiert. Da das NDS-Passwort in eDirectory nicht reversibel ist, konnten Passwörter nicht aus dem zentralen Identity Manager-Identitätsdepot an die verbundenen Systeme verteilt werden. Das eDirectory-Passwort konnte nur vor dem Speichern in eDirectory, z. B. über den Novell Client, ermittelt werden.
Das von eDirectory 8.7.3 bereitgestellte universelle Passwort ist reversibel und kann verteilt werden.
Identity Manager kann Passwörter von verbundenen Systemen akzeptieren. Da das universelle Passwort reversibel ist, kann es Identity Manager aus dem Identitätsdepot an verbundene Systeme verteilen, auf denen das Einrichten eines Ausgangspassworts und das Ändern von Passwörtern unterstützt wird.
Unabhängig davon, woher das Passwort kommt, verwendet Identity Manager das Verteilungspasswort als Depot, von dem aus Passwörter an verbundene Systeme verteilt werden. Wie beim universellen Passwort können Passwortrichtlinien auch für das Verteilungspasswort erzwungen werden.
Weitere Informationen zur Verwendung des universellen Passworts und des Verteilungspassworts bei der Synchronisierung von Passwörtern finden Sie unter Implementierung der Passwortsynchronisierung.
Wie bei anderen Benutzerattributen auch entscheiden Sie, welche Systeme maßgebliche Quellen für Passwörter sind. Identity Manager verteilt die Passwörter von dieser Quelle an die anderen verbundenen Systeme.
Sie können die bidirektionale Passwortsynchronisierung auf den verbundenen Systemen einrichten, die diese Funktion unterstützen.
Durchsetzen von Passwortrichtlinien im Datenspeicher und auf verbundenen Systemen
Identity Manager kann Passwortrichtlinien für eingehende Passwörter erzwingen, indem es NMAS aufruft. Wenn das von einem verbundenen System über Identity Manager veröffentlichte Passwort nicht den Richtlinien entspricht, können Sie festlegen, dass es im Identitätsdepot abgelehnt wird. Dies bedeutet zudem, dass Passwörter, die nicht regelkonform sind, nicht an andere verbundene Systeme verteilt werden.
Identity Manager kann zudem Passwortrichtlinien auf verbundenen Systemen durchsetzen. Sie können festlegen, dass Identity Manager nicht nur die Verteilung des Passworts ablehnt, sondern auch auf dem verbundenen System das nicht regelkonforme Passwort auf das aktuelle Verteilungspasswort aus dem Identitätsdepot zurücksetzt, wenn das über Identity Manager veröffentlichte Passwort nicht der Richtlinie entspricht.
Angenommen, Sie möchten erzwingen, dass Passwörter mindestens ein numerisches Zeichen enthalten. Das verbundene System kann jedoch eine solche Richtlinie nicht erzwingen. Aus diesem Grund legen Sie fest, dass Identity Manager Passwörter von diesem verbundenen System zurücksetzen soll, wenn sie nicht den in der Richtlinie definierten Regeln entsprechen.
Bei Verwendung von erweiterten Passwortregeln und der Passwortsynchronisierung von Identity Manager empfehlen wir darüber hinaus, dass Sie die Passwortrichtlinien für alle verbundenen Systeme untersuchen, um sicherzustellen, dass die erweiterten Passwortregeln in der eDirectory-Passwortrichtlinie regelkonform sind. Auf diese Weise wird gewährleistet, dass Passwörter erfolgreich synchronisiert werden können.
Sie müssen auch sicherstellen, dass Benutzer, für die NMAS-Passwortrichtlinien gelten, mit den Benutzern übereinstimmen, für die die Passwortsynchronisierung mit verbundenen Systemen ausgeführt werden soll.
NMAS-Passwortrichtlinien werden baumspezifisch zugewiesen. Die Passwortsynchronisierung hingegen wird pro Treiber konfiguriert. Treiber werden außerdem serverspezifisch installiert und können nur solche Benutzer verwalten, die sich in einer Master- oder Lese-/Schreibreproduktion befinden. Damit eine Passwortsynchronisierung die gewünschten Ergebnisse liefert, müssen Sie sicherstellen, dass die Container in der Master- oder Lese-/Schreibreproduktion auf dem Server, auf dem die Treiber für die Passwortsynchronisierung aktiv sind, den Containern entsprechen, für die Sie Passwortrichtlinien mit aktiviertem universellem Passwort zugewiesen haben. Durch Zuweisung einer Passwortrichtlinie an den Partitionsstammcontainer kann sichergestellt werden, dass die Passwortrichtlinie allen in diesem Container und seinen Untercontainern enthaltenen Benutzern zugewiesen wird.
Weitere Informationen darüber, wie Benutzern NMAS-Passwortrichtlinien zugewiesen werden, finden Sie unter „Assigning Password Policies to Users“ im Password Management Administration Guide (Administrationshandbuch zur Passwortverwaltung).
Beispielsituationen für die Synchronisierung von Passwörtern
Mit Identity Manager können Sie angeben, welche Systeme die maßgeblichen Quellen für Passwörter sein sollen. Außerdem entscheiden Sie, wie Passwörter weitergeleitet werden.
Die meisten Funktionen der Passwortsynchronisierung von Identity Manager basieren auf dem universellen Passwort, der vom Identitätsdepot bereitgestellten reversiblen Passwortfunktionalität. In einigen Fällen ist es jedoch nicht erforderlich, das universelle Passwort zu verteilen.
Für die Identity Manager-Passwortsynchronisierung wird auch das Verteilungspasswort verwendet. Wie beim universellen Passwort kann auch beim Verteilungspasswort eine Richtlinie erzwungen werden.
Weitere Informationen zur Verwendung der Passwortsynchronisierung finden Sie unter Implementierung der Passwortsynchronisierung. Sie können eine oder mehrere dieser Beispielsituationen verwenden, um den Erfordernissen in Ihrer Umgebung gerecht zu werden.
Synchronisieren von Passwörtern unter Windows ohne den Novell Client
Für die Passwortsynchronisierung mit Active Directory und NT Domain wird kein Novell Client mehr benötigt.
Benachrichtigen von Benutzern, wenn bei der Passwortsynchronisierung Fehler aufgetreten sind
Im Abschnitt Durchsetzen von Passwortrichtlinien im Datenspeicher und auf verbundenen Systemen wird beschrieben, dass Identity Manager Passwortrichtlinien erzwingen kann, indem (von verbundenen Systemen stammende) nicht regelkonforme Passwörter abgelehnt werden.
Mit der Funktion der Email-Benachrichtigung können Sie festlegen, dass der Benutzer per Email benachrichtigt wird, wenn seine Passwortänderung nicht erfolgreich war.
Szenario.Sie haben Identity Manager so konfiguriert, dass von NT Domain eingehende Passwörter abgelehnt werden, wenn sie nicht Ihrer Passwortrichtlinie entsprechen. Sie haben die Funktion der Email-Benachrichtigung aktiviert. Eine Regel in Ihrer NMAS-Passwortrichtlinie legt fest, dass der Firmenname nicht als Passwort verwendet werden darf. Ein Benutzer eines verbundenen Systems der NT Domain ändert das Passwort in den Firmennamen. NMAS lehnt das Passwort ab und Identity Manager teilt dem Benutzer in einer Email mit, dass das Passwort nicht synchronisiert wurde.
Bevor Sie diese Funktion verwenden können, müssen Sie den Email-Server und Schablonen einrichten. Sie können Folgendes anpassen:
- Den Text der Meldungen, die von Identity Manager versendet werden
- Die Benachrichtigung, eine Kopie an den Administrator zu senden
Weitere Informationen finden Sie unter Konfigurieren der Email-Benachrichtigung.
Überprüfen des Passwortsynchronisierungsstatus eines Benutzers
Identity Manager bietet Ihnen die Möglichkeit, den Passwortsynchronisierungsstatus eines Benutzers von einem verbundenen System prüfen zu lassen. Wenn das verbundene System die Funktion zum Prüfen des Passworts unterstützt, können Sie feststellen, ob Passwörter ordnungsgemäß synchronisiert werden.
Weitere Informationen zum Überprüfen von Passwörtern finden Sie unter Überprüfen des Passwortsynchronisierungsstatus eines Benutzers.
Eine Liste der Systeme, von denen die Überprüfung von Passwörtern unterstützt wird, erhalten Sie unter Unterstützung von verbundenen Systemen bei der Passwortsynchronisierung.
5.1.5 Überblick über den Datenfluss bei der Passwortsynchronisierung
In der folgenden Abbildung sehen Sie, wie verbundene Systeme Passwörter über Identity Manager veröffentlichen.
Abbildung 5-1 Veröffentlichen von Passwörtern verbundener Systeme über Identity Manager
In der folgenden Abbildung sehen Sie, wie Identity Manager Passwörter an verbundene Systeme verteilt.
Abbildung 5-2 Verteilen von Passwörtern von Identity Manager an verbundene Systeme
5.1.6 Anzeige von Abbildungen
In dieser Dokumentation werden häufig Abbildungen verwendet, um die Optionen in iManager zu veranschaulichen. Wie die Optionen tatsächlich auf Ihrem Desktop angezeigt werden, hängt davon ab, mit welchem Browser Sie arbeiten.
In Internet Explorer werden iManager-Optionen beispielsweise in Registerkarten angezeigt.
Abbildung 5-3 Registerkarten in iManager
In Firefox werden die iManager-Optionen dagegen in einer Dropdown-Liste angezeigt.
Abbildung 5-4 Dropdown-Liste in iManager
In dieser Dokumentation werden die Abbildungen so angezeigt, wie sie in Firefox erscheinen.