Novell Documentation: Novell Identity Manager 3 - Fehlersuche bei der Passwortsynchronisierung

5.13 Fehlersuche bei der Passwortsynchronisierung

Beachten Sie die Tipps in Schnitt 5.8, Implementierung der Passwortsynchronisierung.
Achten Sie darauf, dass die Methode der Anmeldung mit einfachem Passwort zusammen mit NMAS installiert wurde.
Stellen Sie sicher, dass Sie über eine Kopie des Stamms der Baumstruktur auf den Servern verfügen, auf denen NMAS Passwortrichtlinien bei eDirectory-Anmeldemethoden oder bei Passwörtern aus verbundenen Systemen erzwungen soll, die von Identity Manager synchronisiert werden.
Stellen Sie sicher, dass die Benutzer, bei denen eine Passwortsynchronisierung erforderlich ist, auf demselben Server reproduziert werden, der auch den für das Synchronisieren der Passwörter zuständigen Treiber enthält. Wie auch bei anderen Treiberfunktionen, kann der Treiber nur Benutzer verwalten, die sich in einer Master- oder Lese-/Schreibreproduktion auf demselben Server befinden.
Stellen Sie sicher, dass SSL zwischen Webserver und Identitätsdepot richtig konfiguriert ist.
Falls schon beim Erstellen eines Benutzers gemeldet wird, dass das Passwort nicht regelkonform ist, das Passwort im Identitätsdepot jedoch korrekt hinterlegt ist, entspricht das Standardpasswort in der Treiberrichtlinie möglicherweise nicht der für diesen Benutzer geltenden Passwortrichtlinie.
Im folgenden Szenario wird der Active Directory-Treiber verwendet. Bei einem anderen Treiber wäre diese Situation jedoch auch denkbar.

Bereitstellen eines Ausgangspassworts: Sie möchten, dass der Active Directory-Treiber das Ausgangspasswort für einen Benutzer bereitstellt, wenn der Treiber im Identitätsdepot ein neues Benutzerobjekt als passendes Gegenstück zu einem Benutzer in Active Directory erstellt. Die Beispielkonfiguration für den Active Directory-Treiber sendet das Ausgangspasswort in einem von der Benutzererstellung getrennten Vorgang. Darüber hinaus enthält die Beispielkonfiguration auch eine Richtlinie, die ein Standardpasswort für einen Benutzer bereitstellt, wenn Active Directory kein Passwort liefert.

Da das Hinzufügen des Benutzers und das Festlegen des Passworts separat erfolgen, erhält ein neuer Benutzer in diesem Fall immer das Standardpasswort, wenn auch möglicherweise nur kurzzeitig. Das Standardpasswort wird schon bald aktualisiert, weil der Active Directory-Treiber das Passwort unmittelbar nach dem Hinzufügen des Benutzers sendet. Wenn das Standardpasswort nicht der Passwortrichtlinie des Identitätsdepots für den Benutzer entspricht, wird eine Fehlermeldung angezeigt.

Wenn das Standardpasswort beispielsweise aus dem Nachnamen des Benutzers erstellt wird, diese aber zu kurz ist und der Passwortrichtlinie nicht entspricht, wird durch den Fehlercode „‑216“ angezeigt, dass das Passwort zu kurz ist. Diese Situation wird behoben, indem der Active Directory-Treiber ein konformes Ausgangspasswort sendet.

Unabhängig vom verwendeten Treiber müssen Sie eine der nachstehend beschriebenen Maßnahmen in Erwägung ziehen, wenn ein verbundenes System, das Benutzerobjekte erstellt, das Ausgangspasswort bereitstellen soll. Diese Maßnahmen sind besonders wichtig, wenn das Ausgangspasswort nicht mit dem Add-Ereignis, sondern mit einem nachgeordneten Ereignis übergeben wird.
- Ändern Sie die zum Erstellen des Standardpassworts verwendete Richtlinie auf dem Herausgeberkanal so ab, dass das Standardpasswort den Passwortrichtlinien entspricht, die für Ihre Organisation im Identitätsdepot definiert wurden. (Klicken Sie auf Passwörter und anschließend auf Passwortrichtlinien.)
  Wenn das Ausgangspasswort von der autorisierten Anwendung stammt, ersetzt es das Standardpasswort.
  
  Diese Möglichkeit ist vorzuziehen, weil zur Wahrung eines möglichst hohen Maßes an Sicherheit innerhalb des Systems das Vorhandensein einer Standardpasswortrichtlinie empfohlen wird.
- Entfernen Sie auf dem Herausgeberkanal die Richtlinie, die das Standardpasswort erstellt. In der Beispielkonfiguration wird diese Richtlinie im Befehlstransformationsrichtliniensatz bereitgestellt. Das Hinzufügen eines Benutzers ohne Passwort ist im Identitätsdepot zulässig. Die Überlegung hierbei ist, dass das Passwort für das neu erstellte Benutzerobjekt früher oder später über den Herausgeberkanal übergeben wird und dem Benutzerobjekt nur für kurze Zeit kein Passwort zugewiesen ist.
Passwortrichtlinien werden baumspezifisch zugewiesen. Die Passwortsynchronisierung hingegen wird pro Treiber konfiguriert. Treiber werden serverspezifisch installiert und können nur Benutzer verwalten, die sich in einer Master- oder Lese-/Schreibreproduktion befinden.
Damit eine Passwortsynchronisierung die gewünschten Ergebnisse liefert, müssen Sie sicherstellen, dass die Container in der Master- oder Lese-/Schreibreproduktion auf dem Server, auf dem die Treiber für die Passwortsynchronisierung aktiv sind, den Containern entsprechen, für die Sie Passwortrichtlinien mit aktiviertem universellem Passwort zugewiesen haben. Durch Zuweisung einer Passwortrichtlinie an den Partitionsstammcontainer kann sichergestellt werden, dass die Passwortrichtlinie allen in diesem Container und seinen Untercontainern enthaltenen Benutzern zugewiesen wird.
Hilfreiche DSTrace-Befehle:
- +DXML: Zum Anzeigen der Regelverarbeitung durch Identity Manager und möglicher Fehlermeldungen.
- +DVRS: Zum Anzeigen der Meldungen des Identity Manager-Treibers
- +AUTH: Zum Anzeigen der Änderungen am NDS-Passwort
- +DCLN: Zum Anzeigen von Meldungen des NDS DClient