Novell Documentation: Novell Identity Manager 3 - Vorbereitungen zur Nutzung der Identity Manager-Passwortsynchronisierung und des universellen Passworts

5.4 Vorbereitungen zur Nutzung der Identity Manager-Passwortsynchronisierung und des universellen Passworts

5.4.1 Umstellen der Benutzer vom NDS-Passwort auf das universelle Passwort

Wenn Sie das universelle Passwort mit einer Passwortrichtlinie für eine Benutzergruppe aktivieren, muss das universelle Passwort für jeden Benutzer hinterlegt werden.

Wenn Sie das NDS-Passwort bisher über die Passwortsynchronisierung aktualisiert haben, müssen Sie für die Umstellung der Benutzerpasswörter einige Vorbereitungen treffen. Durch eine der folgenden Maßnahmen können Sie bewirken, dass die Benutzer ein universelles Passwort erstellen und somit den Übergang zur Verwendung des universellen Passworts ermöglichen:

Wenn Sie den Novell Client verwenden, stellen Sie den Novell Client bereit, der das universelle Passwort unterstützt.
Der Novell Client wird zur Identity Manager-Passwortsynchronisierung nicht benötigt.

Nachdem Sie den Novell Client bereitgestellt haben, wird das NDS-Passwort bei der nächsten Anmeldung eines Benutzers am Novell Client noch vor der Hash-Kodierung abgefangen und als universelles Passwort hinterlegt. (Siehe “Planning Login and Change Password Methods for your Users” („Planung von Methoden zur Anmeldung und Passwortänderung für Benutzer“) im „Password Management Administration Guide“ [Administrationshandbuch zur Passwortverwaltung]).
Wenn Sie den Novell Client nicht verwenden, fordern Sie die Benutzer auf, sich über die iManager-Selbstbedienungskonsole anzumelden. Durch diese Anmeldemethode wird das universelle Passwort hinterlegt. Wechseln Sie zum Zugriff auf die iManager-Selbstbedienungskonsole in das Verzeichnis /nps auf dem iManager-Server. Beispiel: https://www.myiManager.com/nps.
Fordern Sie die Benutzer auf, sich über einen beliebigen Service anzumelden, der die Authentifizierung über einen LDAP-Server durchführt, der das universelle Passwort unterstützt. Die Anmeldung kann beispielsweise über ein Firmenportal erfolgen.

5.4.2 Hilfe für Benutzer beim Ändern von Passwörtern

Wenn ein Benutzer ein Passwort in iManager, in der iManager-Selbstbedienungskonsole oder im Novell Client ändert, werden die erweiterten Passwortregeln aus der NMAS-Passwortrichtlinie angezeigt. Dadurch kann der Benutzer problemlos ein regelkonformes Passwort erstellen.

Je nach Konfiguration des Passwort-Transfers kann ein Benutzer ein Passwort auf einem verbundenen System ändern, woraufhin das Passwort mit Identity Manager und anderen verbundenen Systemen synchronisiert wird. Die erweiterten Passwortregeln werden auf den verbundenen Systemen jedoch nicht angezeigt, wenn der Benutzer ein Passwort ändert.

Wenn Sie die erweiterten Passwortregeln erzwingen und unzulässige Passwörter verhindern möchten, sollten Sie die Benutzer anweisen, das Passwort ausschließlich über die iManager-Selbstbedienungskonsole oder im Novell Client zu ändern. Stellen Sie zumindest sicher, dass die erweiterten Passwortregeln von den Benutzern problemlos eingesehen werden können.

Auf einem verbundenen System kann der Benutzer das Passwort ändern, ohne dass die Regeln der Passwortrichtlinie angezeigt werden. Daher ist es möglich, dass der Benutzer die Regeln nicht genau kennt. Bei der Änderung des Passworts sind nur die Richtlinien des verbundenen Systems obligatorisch. Je nach den geltenden Identity Manager-Einstellungen können die folgenden Probleme auftreten, wenn ein Benutzer auf einem verbundenen System ein nicht regelkonformes Passwort erstellt:

Wenn Sie die Einstellung aktiviert haben, mit der die Richtlinie von verbundenen Systemen an Identity Manager übertragene Passwörter erzwingt, erfolgt keine Synchronisierung des neuen Passwort des Benutzers mit dem Identitätsdepot. Wenn Sie Identity Manager so konfiguriert haben, dass der Benutzer bei Fehlern informiert wird, wird dem Benutzer per Email mitgeteilt, dass das Passwort nicht synchronisiert werden konnte.
Wenn Sie Identity Manager darüber hinaus so konfiguriert haben, dass nicht regelkonforme Passwörter auf verbundenen Systemen ersetzt werden, kann sich der Benutzer mit dem von ihm gewählten neuen Passwort nicht auf dem verbundenen System anmelden.
Identity Manager setzt das Passwort auf dem verbundenen System auf das Verteilungspasswort zurück; bei dem es sich in der Regel um das letzte vom Benutzer erstellte, regelkonforme Passwort handelt.

5.4.3 Vorbereitungen für die Verwendung des universellen Passworts

Eine Beschreibung der Vorbereitungen für die Verwendung des universellen Passworts finden Sie im Kapitel “Deploying Universal Password” im Password Management Administration Guide (Administrationshandbuch zur Passwortverwaltung). Einen Großteil der benötigten Informationen finden Sie in diesem Kapitel.

Wichtig in diesem Zusammenhang ist auch Folgendes:

Für die Verwendung des universellen Passworts wird eDirectory 8.7.1 oder höher benötigt. NetWare® 6.5 wird nicht benötigt.
Für die Identity Manager-Passwortsynchronisierung wird sowohl das universelle Passwort als auch das Verteilungspasswort benötigt. Das Verteilungspasswort ist das Depot, von dem aus Identity Manager Passwörter an verbundene Systeme verteilt. Wie beim universellen Passwort können auch für das Verteilungspasswort NMAS-Richtlinien erzwungen werden.
Die mit Identity Manager gelieferten iManager-Plugins beinhalten auch Plugins für die Passwortverwaltung. Mit diesen Plugins können Sie Passwortrichtlinien erstellen und festlegen, wie das universelle Passwort mit dem NDS-Passwort, dem einfachen Passwort und dem Verteilungspasswort synchronisiert werden soll.
Diese Plugins treten an die Stelle der mit NetWare 6.5 gelieferten Plugins für das universelle Passwort. Eine Beschreibung hierzu finden Sie im Kapitel “Managing Passwords by Using Password Policies” im Password Management Administration Guide (Administrationshandbuch zur Passwortverwaltung).
eDirectory 8.6.2 kann nicht für den Baum verwendet werden, den Identity Manager verwendet. eDirectory 8.6.2 wird jedoch von einer Teilmenge der Funktionen für die Passwortsynchronisierung unterstützt. Sie können eDirectory 8.6.2 also für andere Bäume verwenden, wenn Sie sich mit der Aktualisierung des gesamten Systems noch etwas Zeit lassen möchten.
Eine Möglichkeit, die Belastung zu reduzieren, die durch das Upgraden der Software zur Unterstützung des universellen Passworts entsteht, besteht darin, für Identity Manager einen separaten Baum als Identitätsdepot anzulegen. Viele Umgebungen verwenden bereits ein Identitätsdepot für Identity Manager und die Treiber.
Das universelle Passwort bietet die Möglichkeit, Passwortrichtlinien durchzusetzen und Sonderzeichen zu verwenden, die von früheren Werkzeugen für die Passwortverwaltung nicht unterstützt wurden.
Es ist sehr wichtig, dass der Novell Client und andere Dienstprogramme aktualisiert werden, damit das NDS-Passwort und das universelle Passwort stets synchron bleiben und sich keine „Passwortdivergenz“ einstellt. Siehe „Planning Login and Change Password Methods for your Users (Planung von Methoden zur Anmeldung und Passwortänderung für Benutzer)“ im Password Management Administration Guide (Administrationshandbuch zur Passwortverwaltung).
Die neueste Version des Novell Client unterstützt das universelle Passwort, kann für alle Benutzer bei der erstmaligen Aktivierung dieser Option ein universelles Passwort hinterlegen und NMAS-Passwortrichtlinien anzeigen und erzwingen, wenn Benutzer ihre Passwörter ändern.
Auf einem verbundenen System werden die von Ihnen in einer Passwortrichtlinie erstellten erweiterten Passwortregeln nicht angezeigt. Dies ist auch beim Novell Client noch nicht der Fall, die Passwortregeln werden von ihm jedoch erzwungen.
Es empfiehlt sich, die Benutzer anzuweisen, das Passwort ausschließlich über die iManager-Selbstbedienungskonsole zu ändern.

Wenn Sie es den Benutzern erlauben, Passwörter auf einem verbundenen System oder unter Verwendung der neuesten Version des Novell Client zu ändern, können Sie die Benutzer beim Erstellen regelkonformer Passwörter unterstützen, indem Sie sicherstellen, dass die Regeln der Passwortrichtlinie von den Benutzern problemlos eingesehen werden können.
Stellen Sie sicher, dass die Administratoren und Helpdesk-Mitarbeiter darüber Bescheid wissen, dass ConsoleOne® das universelle Passwort nur unterstützt, wenn es auf einem NetWare® 6.5-Server oder höher eingesetzt wird, oder wenn es auf einem Computer verwendet wird, auf dem der neueste Novell Client installiert ist.
Stellen Sie sicher, dass den Administratoren und Helpdesk-Mitarbeitern die Besonderheiten bei der Verwendung von Dienstprogrammen bekannt sind, die nur NDS-Passwörter unterstützen. Solche Dienstprogramme können zur Anmeldung verwendet werden, nicht jedoch zum Ändern von Passwörtern. Dadurch kann eine Passwortdivergenz vermieden werden.
Der Novell Modular Authentication Services (NMAS) 3.0 Administration Guide (Novell Modular Authentication Services 3.0 Administrationshandbuch) enthält einen Verweis auf eine TID, die Informationen zur Unterstützung des universellen Passworts durch bestimmte Dienstprogramme enthält.

5.4.4 Abgleichen der Container

NMAS-Passwortrichtlinien werden baumspezifisch zugewiesen. Die Passwortsynchronisierung hingegen wird pro Treiber konfiguriert. Treiber werden serverspezifisch installiert und können nur Benutzer verwalten, die sich in einer Master- oder Lese-/Schreibreproduktion befinden.

Damit eine Passwortsynchronisierung die gewünschten Ergebnisse liefert, müssen Sie sicherstellen, dass die Container in der Master- oder Lese-/Schreibreproduktion auf dem Server, auf dem die Treiber für die Passwortsynchronisierung aktiv sind, den Containern entsprechen, für die Sie Passwortrichtlinien mit aktiviertem universellem Passwort zugewiesen haben. Durch Zuweisung einer Passwortrichtlinie an den Partitionsstammcontainer kann sichergestellt werden, dass die Passwortrichtlinie allen in diesem Container und seinen Untercontainern enthaltenen Benutzern zugewiesen wird.

5.4.5 Einrichten der Email-Benachrichtigung

Führen Sie die folgenden Schritte aus, wenn Sie die Email-Benachrichtigungsfunktion nutzen möchten:

Richten Sie den Email-Server mit der Aufgabe „Benachrichtigungskonfiguration“ in iManager ein.
Ändern Sie gegebenenfalls die Email-Schablonen mit der Aufgabe „Benachrichtigungskonfiguration“ in iManager.
Stellen Sie sicher, dass das Attribut „Internet-Email-Adresse“ für die im Identitätsdepot enthaltenen Benutzer hinterlegt wurde.

Befolgen Sie die Anweisungen in Schnitt 5.12, Konfigurieren der Email-Benachrichtigung.