5.7 Upgrade bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung

In diesem Abschnitt wird erklärt, wie bestehende Treiberkonfigurationen um Unterstützung für die Identity Manager-Passwortsynchronisierung erweitert werden können, anstatt diese Treiberkonfigurationen durch die Identity Manager-Beispielkonfigurationen zu ersetzen.

Die Unterstützung dieser Funktion muss für jeden Treiber hinzugefügt werden, der an der Passwortsynchronisierung teilnehmen soll. Dazu importieren Sie eine “Overlay”-Konfigurationsdatei, um die Richtlinien, das Treibermanifest und die GCVs gleichzeitig hinzuzufügen.

Nach dem Hinzufügen der Richtlinien, des Treibermanifests und der GCVs müssen Sie das Attribut „nspmDistributionPassword“ zum Treiberfilter hinzufügen.

WICHTIG:Befolgen Sie beim Upgrade eines mit Version 1.0 der Passwortsynchronisierung verwendeten Identity Manager-Treibers für AD oder NT Domain die Upgrade-Anleitung in den Implementierungshandbüchern zu den Identity Manager-Treibern für Active Directory und NT Domain unter Identity Manager Drivers.

Die in diesem Verfahren hinzugefügten Richtlinien ermöglichen die Passwortsynchronisierung über das universelle Passwort und das Verteilungspasswort. Wenn Sie den Identity Manager-Treiber lediglich zum Synchronisieren des NDS-Passworts verwenden, sollten Sie die Richtlinien in der Identity Manager-Treiberkonfiguration nicht verwenden. Das NDS-Passwort wird nicht über diese Richtlinien, sondern über Attribute für den privaten und öffentlichen Schlüssel synchronisiert (siehe Schnitt 5.8.2, Szenario 1: Synchronisierung zwischen zwei Identitätsdepots über das NDS-Passwort).

Voraussetzungen

5.7.1 1. Schritt: Treiber in das Format von Identity Manager 3 konvertieren

  1. Überzeugen Sie sich davon, dass die Verwendung des universellen Passworts in Ihrer Umgebung problemlos möglich ist.

    Weitere Informationen hierzu finden Sie in Schnitt 5.4, Vorbereitungen zur Nutzung der Identity Manager-Passwortsynchronisierung und des universellen Passworts.

    Beachten Sie bei Verwendung von DirXML® 1.1a Schnitt 2.3, Upgrade einer Treiberkonfiguration von DirXML 1.1 auf ein Identity Manager-Format.

  2. Klicken Sie in iManager auf Identity Manager-Dienstprogramme > Treiber importieren.

  3. Wählen Sie den Treibersatz aus, in dem sich der vorhandene Treiber befindet, und klicken Sie auf Weiter.

  4. Blättern Sie in der Liste der Treiberkonfigurationen zum Eintrag Zusätzliche Richtlinien und wählen Sie nur Richtlinien für die Passwortsynchronisierung 2.0 aus.

  5. Klicken Sie auf Weiter.

  6. Wählen Sie im Dropdown-Listenfeld Vorhandene Treiber den Treiber aus, den Sie aktualisieren möchten.

  7. Wählen Sie im Dropdown-Listenfeld Verbundenes System den Typ des verbundenen Systems aus.

    Falls der Treibername im Dropdown-Listenfeld nicht angezeigt wird, klicken Sie auf Andere Systeme.

    In Abhängigkeit vom Treibertyp fügt der Assistent zum Importieren von Treibern Einträge in das Treibermanifest ein, die über die Funktionen der Treiberkonfiguration und des verbundenen Systems Auskunft geben:

    • Übergabe von Passwörtern vom verbundenen System an Identity Manager.

      Dies bezieht sich nur auf das tatsächliche Passwort auf dem verbundenen System, nicht aber auf ein Passwort, das mittels einer Formatvorlage erstellt werden kann. Dies ist nur bei AD, eDirectory und NIS möglich.

    • Entgegennahme von Passwörtern aus Identity Manager durch das verbundene System.
    • Die Überprüfung eines Passworts durch das verbundene System, um festzustellen, ob es mit dem Passwort in Identity Manager übereinstimmt.

    Damit die Passwortsynchronisierungsrichtlinien funktionieren können, muss das Treibermanifest die richtigen Einträge enthalten. Das Treibermanifest gibt Auskunft über die kombinierten Funktionen des verbundenen Systems, des Identity Manager-Treiberschnittstellenmoduls und der Treiberkonfigurationsrichtlinien und sollte im Normalfall nicht vom Netzwerkverwalter bearbeitet werden.

  8. Klicken Sie auf Weiter.

  9. Falls Sie keine Treibermanifest- oder GCV-Werte speichern möchten, wählen Sie Diesen Treiber insgesamt aktualisieren.

    Diese Option liefert das Treibermanifest, die Globalkonfigurationswerte (GCVs) und die Identity Manager-Richtlinien, die zur Passwortsynchronisierung benötigt werden.

    Bereits vorhandene Werte werden vom Treibermanifest und den GCVs überschrieben. Da diese Treiberparameter in Identity Manager 2 neu waren, sollte ein DirXML 1.x-Treiber keine Werte enthalten, die überschrieben werden.

    Durch die Passwortsynchronisierungsrichtlinien werden keine vorhandenen Richtlinienobjekte überschrieben. Diese werden lediglich zum Treiberobjekt hinzugefügt.

    HINWEIS:Falls Sie Treibermanifest- oder GCV-Werte speichern möchten, wählen Sie Nur ausgewählte Richtlinien in diesem Treiber aktualisieren und aktivieren Sie die Kontrollkästchen aller Richtlinien. Mit dieser Option werden die Passwortrichtlinien importiert, das Treibermanifest und die GCVs jedoch nicht geändert. Etwaige zusätzliche Werte müssen Sie manuell einfügen.

  10. Klicken Sie auf Weiter und anschließend auf Fertig stellen, um den Assistenten abzuschließen.

    Sie haben nun die neuen Richtlinien als Richtlinienobjekte unter dem Treiberobjekt erstellt, müssen diese aber noch in die Treiberkonfiguration einbinden. Dazu müssen Sie die einzelnen Richtlinien manuell an der richtigen Stelle in der Treiberkonfiguration auf dem Abonnenten- und Herausgeberkanal einfügen.

5.7.2 2. Schritt: Zur Treiberkonfiguration hinzufügen

Eine Liste der hinzuzufügenden Richtlinien mit den entsprechenden Einfügepositionen finden Sie in Schnitt 5.3.4, In der Treiberkonfiguration benötigte Richtlinien.

Fügen Sie die neuen Richtlinien nacheinander an den richtigen Stellen in der vorhandenen Treiberkonfiguration ein.

Sollte der Richtliniensatz mehrere Richtlinien enthalten, müssen diese Identity Manager-Passwortsynchronisierungsrichtlinien an letzter Stelle stehen.

Wiederholen Sie die folgenden Schritte für jede Richtlinie.

  1. Wählen Sie Identity Manager > Identity Manager-Überblick und suchen Sie den Treibersatz, der den zu aktualisierenden Treiber enthält.

  2. Klicken Sie auf den Treiber, den Sie soeben aktualisiert haben (z. B. AvayaPBX).

  3. Klicken Sie auf das Symbol (z. B. „Befehlstransformationsrichtlinien“ auf dem Herausgeberkanal) für die Stelle, an der Sie eine der neuen Richtlinien einfügen möchten.

  4. Klicken Sie auf „Einfügen“, um die neue Richtlinie hinzuzufügen.

  5. Klicken Sie auf Vorhandene Richtlinie verwenden, suchen Sie das neue Richtlinienobjekt und klicken Sie auf OK.

  6. Falls die Liste zu einer der neuen Richtlinien mehr als eine Richtlinie enthält, verwenden Sie die Pfeilschaltflächen Beschreibung: Aufwärtspfeil Beschreibung: Abwärtspfeil, um die neuen Richtlinien an die richtige Stelle in der Liste zu verschieben.

    Achten Sie darauf, dass die Richtlinien in der in Schnitt 5.3.4, In der Treiberkonfiguration benötigte Richtlinien beschriebenen Reihenfolge aufgeführt werden.

5.7.3 3. Schritt: Filtereinstellungen ändern

  1. Stellen Sie sicher, dass das Attribut „nspmDistributionPassword“ für die Objektklassen, für die Sie Passwörter synchronisieren möchten ( z. B. „User“), mit den folgenden Einstellungen im Filter enthalten ist:

    • Setzen Sie den Filter auf dem Herausgeberkanal für das Attribut nspmDistributionPassword auf Ignorieren.
    • Setzen Sie den Filter auf dem Abonnentenkanal für das Attribut nspmDistributionPassword auf Benachrichtigen.
    Beschreibung: Filtereinstellungen für nspmDistributionPassword

    Um das Attribut sehen zu können, müssen Sie eventuell zur betreffenden Klasse (z. B. „User“) blättern und diese auswählen, bevor Sie durch die Attribute blättern.

    Wenn das Attribut „nspmDistributionPassword“ nicht aufgeführt ist:

    1. Vergewissern Sie sich, dass die Klasse ausgewählt ist, und klicken Sie auf Attribut hinzufügen.

    2. Wählen Sie das Attribut „nspmDistributionPassword“ aus und klicken Sie auf „OK“.

  2. Setzen Sie für alle Objekte, bei denen der Wert Benachrichtigen für das Attribut nspmDistributionPassword eingestellt ist, die Attribute „Öffentlicher Schlüssel“ und „Privater Schlüssel“ auf „Ignorieren“.

    Beschreibung: „Privater Schlüssel“ und „Öffentlicher Schlüssel“ im Filter auf „Ignorieren“ eingestellt

  3. Wiederholen Sie für jeden Treiber, den Sie zur Unterstützung der Passwortsynchronisierung aktualisieren möchten, Schritt 2 (unter “Treiber in das Format von Identity Manager 3 konvertieren”) bis Schritt 2 in diesem Abschnitt (“Filtereinstellungen ändern”).

    Der Treiber verfügt jetzt über das neue Treiberschnittstellenmodul, das erforderliche Identity Manager-Format und die anderen Elemente, die in der Treiberkonfiguration erforderlich sind, damit die Passwortsynchronisierung unterstützt wird: Treibermanifest, GCVs, Passwortsynchronisierungsrichtlinien und Filtereinstellungen.

  4. Sehen Sie in den Implementierungshandbüchern zu den einzelnen Treibern nach, ob zusätzliche Schritte oder Informationen zum Einrichten der Identity Manager-Passwortsynchronisierung erforderlich sind. Siehe Identity Manager Drivers.

  5. Aktivieren Sie das universelle Passwort für Benutzer, indem Sie Passwortrichtlinien mit aktiviertem universellem Passwort erstellen.

    Informationen hierzu finden Sie im Kapitel “Creating Password Policies” im Password Management Administration Guide (Administrationshandbuch zur Passwortverwaltung). Beachten Sie bitte die zusätzlichen Arbeitsschritte im Kapitel “(NetWare 6.5 Only) Re-Creating Universal Password Assignments” des Password Management Administration Guide (Administrationshandbuch zur Passwortverwaltung), wenn Sie das universelle Passwort bisher mit NetWare 6.5 verwendet haben.

    Zur Vereinfachung der Administration empfiehlt es sich, Passwortrichtlinien einer möglichst hohen Ebene im Baum zuzuweisen.

    Auf der Seite „Konfigurationsoptionen“ können Sie mithilfe bestimmter Optionen festlegen, wie NMAS die verschiedenen Passwortarten synchronisieren soll. Bei den meisten Implementierungen funktionieren die Standardeinstellungen. Weitere Informationen finden Sie in der Online-Hilfe zu dieser Seite.

    Szenarios für die Verwendung der Passwortsynchronisierung und das Einbinden von Passwortrichtlinien finden Sie in Schnitt 5.8, Implementierung der Passwortsynchronisierung.

    NMAS-Passwortrichtlinien werden baumspezifisch zugewiesen. Die Passwortsynchronisierung hingegen wird pro Treiber konfiguriert. Treiber werden serverspezifisch installiert und können nur Benutzer verwalten, die sich in einer Master- oder Lese-/Schreibreproduktion befinden.

    Damit eine Passwortsynchronisierung die gewünschten Ergebnisse liefert, müssen Sie sicherstellen, dass die Container in der Master- oder Lese-/Schreibreproduktion auf dem Server, auf dem die Treiber für die Passwortsynchronisierung aktiv sind, den Containern entsprechen, für die Sie Passwortrichtlinien mit aktiviertem universellem Passwort zugewiesen haben. Durch Zuweisung einer Passwortrichtlinie an den Partitionsstammcontainer kann sichergestellt werden, dass die Passwortrichtlinie allen in diesem Container und seinen Untercontainern enthaltenen Benutzern zugewiesen wird.

5.7.4 4. Schritt: Einrichten des Transfers für die Passwortsynchronisierung

Überzeugen Sie sich davon, dass der Passwort-Transfer auf allen verbundenen Systemen wie gewünscht konfiguriert ist.

  1. Klicken Sie in iManager auf Passwörter > Passwortsynchronisierung.

  2. Durchsuchen Sie einen Baum oder Container nach Treibern für verbundene Systeme, die Sie verwalten möchten.

  3. Klicken Sie auf einen Treiber, um die aktuellen Einstellungen für den Passwort-Transfer anzuzeigen.

    Diese Seite enthält eine Aufstellung der Globalkonfigurationswerte (GCVs). Ändern Sie diese durch Auswählen der entsprechenden Optionen.

    Identity Manager kontrolliert den Einstiegspunkt (d. h. das von Identity Manager aktualisierte Passwort). NMAS kontrolliert in Abhängigkeit von den Einstellungen in den Konfigurationsoptionen den Passwort-Transfer zwischen den einzelnen Passwortarten. (Schritt 3 zeigt die Seite „Konfigurationsoptionen“ an.) Wenn Sie die Option Verteilungspasswort für die Passwortsynchronisierung verwenden aktivieren, verwendet Identity Manager das Verteilungspasswort direkt. Wenn Sie diese Option deaktivieren, verwendet Identity Manager das universelle Passwort direkt.

    Informationen und Abbildungen zu diesen Optionen finden Sie in Schnitt 5.8, Implementierung der Passwortsynchronisierung sowie in der Online-Hilfe.

  4. Testen Sie die Passwortsynchronisierung.

    Überzeugen Sie sich davon, dass das Identity Manager-Passwort an die von Ihnen angegebenen Systeme verteilt wird.

    Überzeugen Sie sich davon, dass die von Ihnen angegebenen verbundenen Systeme Passwörter gegenüber Identity Manager veröffentlichen.

    Tipps zur Problemlösung finden Sie in Schnitt 5.8, Implementierung der Passwortsynchronisierung.