Damit die Passwortsynchronisierung funktioniert, müssen folgende Voraussetzungen erfüllt sein:
Für die Passwortsynchronisierung mit verbundenen Systemen benötigt Identity Manager ein universelles Passwort. Informationen hierzu finden Sie in den folgenden Abschnitten:
Im Treibermanifest ist dokumentiert, ob ein verbundenes System die folgenden Funktionen der Passwortsynchronisierung unterstützt:
Das Manifest unterscheidet nicht, ob die Erstellung eines Ausgangspassworts oder Änderungen an einem bestehenden Passwort akzeptiert werden.
HINWEIS:Das Treibermanifest wird vom Entwickler des Treibers oder vom Identity Manager-Experten geschrieben, der die Treiberkonfiguration erstellt. Eine Bearbeitung des Manifests durch einen Netzwerkverwalter ist nicht vorgesehen. Im Treibermanifest sind die tatsächlichen Möglichkeiten des Treiberschnittstellenmoduls und der Konfiguration dokumentiert. Das bloße Abändern des Manifests ändert nichts an der Funktionalität des Treibers. Zur Erweiterung der Funktionalität muss das Treiberschnittstellenmodul, das verbundene System oder die Treiberkonfiguration erweitert werden.
Die mit Identity Manager gelieferten Beispiel-Treiberkonfigurationen enthalten Einträge im Treibermanifest. Informationen dazu, wie Sie diese Einträge in vorhandene Treiber einbinden können, finden Sie in Schnitt 5.7, Upgrade bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung.
Anhand von Globalkonfigurationswerten können Sie einen konstanten Wert festlegen, auf den in einer Richtlinie verwiesen werden kann. Globalkonfigurationswerte werden auch als Server-Variablen bezeichnet, weil sie in einem Attribut festgehalten sind, d. h. sie sind pro Reproduktion verfügbar.
Im Kontext der Passwortsynchronisierung können mit Globalkonfigurationswerten Einstellungen für den Transfer von Passwörtern zwischen dem verbundenen System und Identity Manager erstellt werden. Da das Synchronisierungsverhalten der Passwortsynchronisierungsrichtlinien von Identity Manager in der Treiberkonfiguration von den jeweiligen Einstellungen im Globalkonfigurationswert abhängig ist, kann der Passwort-Transfer problemlos geändert werden, ohne die Richtlinien selbst bearbeiten zu müssen.
Über Globalkonfigurationswerte können Sie die nachfolgend aufgeführten Einstellungen für jedes verbundene System separat steuern.
Tabelle 5-6 Einstellungen für verbundene Systeme
Die mit Identity Manager gelieferten Treiberkonfigurationen enthalten Einträge im Treibermanifest. Informationen dazu, wie Sie diese Einträge in vorhandene Treiber einbinden können, finden Sie in Schnitt 5.7, Upgrade bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung.
So bearbeiten Sie Globalkonfigurationswerte:
Klicken Sie in iManager auf
> .Suchen Sie nach einem Treiber.
Nachdem Sie angegeben haben, wo Sie nach Treibern des verbundenen Systems suchen möchten, wird in iManager eine Übersicht über die verfügbaren Einstellungen für den Passwort-Transfer zwischen allen gefundenen Systemtreibern und iManager angezeigt.
Klicken Sie zum Anzeigen der Einstellungen auf einen Treibernamen.
Auf der Seite „Treiber ändern“ werden die Globalkonfigurationswerte für die Passwortsynchronisierung angezeigt.
Wenn eine Option auf dieser Seite grau angezeigt wird, wird die entsprechende Option nicht vom verbundenen System unterstützt.
Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf
.HINWEIS:Sie können Globalkonfigurationswerte separat für jeden Treiber festlegen. Globalkonfigurationswerte für einen bestimmten Treiber haben Vorrang vor den Werten des Treibersatzes. Durch die treiberspezifische Festlegung der Werte kann der Datenaustausch differenzierter gesteuert werden. Auf dieser Seite werden nur die für den jeweiligen Treiber vorhandenen Globalkonfigurationswerte angezeigt.
Wenn Sie Globalkonfigurationswerte für das Treibersatzobjekt festlegen, werden diese Werte von einem Treiber im betreffenden Treibersatz geerbt, wenn der Treiber über keine eigenen Werte verfügt. Wenn der Treiber keine eigenen Werte besitzt und die Globalkonfigurationswerte aus dem Treibersatz erbt, werden diese nicht in iManager angezeigt. Obwohl iManager geerbte Globalkonfigurationswerte nicht anzeigt, werden diese dennoch von den Passwortsynchronisierungsrichtlinien berücksichtigt.
Die Identity Manager-Richtlinien der Herausgeber- und Abonnentenkanäle der einzelnen Treiber steuern den Passwort-Transfer auf Grundlage der zuvor erläuterten Einstellungen in den Globalkonfigurationsvariablen. Diese Richtlinien sind Bestandteil der Treiberkonfigurationen in Identity Manager.
Wenn Sie eine vorhandene Treiberkonfiguration nicht ersetzen, sondern aktualisieren, müssen Sie die Konfiguration um bestimmte Richtlinien ergänzen. Weitere Informationen finden Sie in Schnitt 5.7, Upgrade bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung. Damit die Passwortsynchronisierung funktioniert, müssen sich diese Richtlinien in der Treiberkonfiguration an der richtigen Stelle befinden.
Die in der Spalte „Name der Passwortsynchronisierungsrichtlinie“ aufgeführten Richtlinien müssen in der angegebenen Reihenfolge vorhanden sein. Zudem müssen diese als letzte Richtlinien im Richtliniensatz für Herausgeber-Befehlsumwandlungen enthalten sein.
Tabelle 5-7 Im Herausgeber-Befehlsumwandlungssatz benötigte Richtlinien
Wir empfehlen, die Email-Benachrichtigungsrichtlinie „Password(Pub)-Sub“ an die letzte Stelle zu setzen, wenn die Eingabetransformation mehrere Richtlinien enthält.
Tabelle 5-8 Im Herausgeber-Eingabetransformationsrichtliniensatz benötigte Richtlinien
Die in der Spalte „Name der Passwortsynchronisierungsrichtlinie“ aufgeführten Richtlinien müssen in der angegebenen Reihenfolge vorhanden sein. Zudem müssen diese als letzte Richtlinien im Richtliniensatz für Abonnenten-Befehlsumwandlungen enthalten sein.
Tabelle 5-9 Im Richtliniensatz für Abonnenten-Befehlsumwandlung benötigte Richtlinien
Wir empfehlen, die Email-Benachrichtigungsrichtlinie „Password(Sub)-Pub“ an die letzte Stelle zu setzen, wenn die Ausgabetransformation mehrere Richtlinien enthält.
Tabelle 5-10 Im Abonnenten-Ausgabetransformationsrichtliniensatz benötigte Richtlinien
Für AD, NT Domain und NIS müssen Filter installiert werden, um das Passwort des Benutzers erfassen zu können.
Weitere Informationen hierzu finden Sie in Schnitt 5.9, Einrichten von Passwortfiltern.
Einige Funktionen der Passwortsynchronisierung können auch ohne universelles Passwort verwendet werden. Dennoch muss das universelle Passwort durch Passwortrichtlinien für die Benutzer aktiviert werden. In einer Passwortrichtlinie können Sie auch erweiterte Passwortregeln erstellen und festlegen, ob bestehende Passwörter von Benutzern auf Regelkonformität überprüft werden sollen.
Damit Sie die Passwortsynchronisierung in Identity Manager nutzen können, benötigen Sie Kenntnisse über Passwortrichtlinien. Eine Erklärung der Passwortrichtlinien finden Sie im Kapitel „Managing Passwords by Using Password Policies“ im Password Management Administration Guide (Administrationshandbuch zur Passwortverwaltung).
Für bestimmte Situationen muss die NMAS-Methode der Anmeldung mit einfachem Passwort eingerichtet sein, um Passwortfunktionen nutzen zu können. Diese Methode wird beispielsweise von LDAP benötigt.
Informationen zu Anmeldemethoden finden Sie im Administrationshandbuch Novell Modular Authentication Services ( NMAS) 3.0.