5.3 Voraussetzungen für die Passwortsynchronisierung

Damit die Passwortsynchronisierung funktioniert, müssen folgende Voraussetzungen erfüllt sein:

5.3.1 Unterstützung eines universellen Passworts

Für die Passwortsynchronisierung mit verbundenen Systemen benötigt Identity Manager ein universelles Passwort. Informationen hierzu finden Sie in den folgenden Abschnitten:

5.3.2 Im Treibermanifest beschriebene Möglichkeiten zur Passwortsynchronisierung

Im Treibermanifest ist dokumentiert, ob ein verbundenes System die folgenden Funktionen der Passwortsynchronisierung unterstützt:

  • Übergabe des tatsächlichen Benutzerpassworts an Identity Manager
  • Akzeptieren eines Passworts von Identity Manager

    Das Manifest unterscheidet nicht, ob die Erstellung eines Ausgangspassworts oder Änderungen an einem bestehenden Passwort akzeptiert werden.

  • Zulässigkeit der Passwortüberprüfung auf dem verbundenen System durch Identity Manager, um den Status der Passwortsynchronisierung eines Benutzers ermitteln zu können.

HINWEIS:Das Treibermanifest wird vom Entwickler des Treibers oder vom Identity Manager-Experten geschrieben, der die Treiberkonfiguration erstellt. Eine Bearbeitung des Manifests durch einen Netzwerkverwalter ist nicht vorgesehen. Im Treibermanifest sind die tatsächlichen Möglichkeiten des Treiberschnittstellenmoduls und der Konfiguration dokumentiert. Das bloße Abändern des Manifests ändert nichts an der Funktionalität des Treibers. Zur Erweiterung der Funktionalität muss das Treiberschnittstellenmodul, das verbundene System oder die Treiberkonfiguration erweitert werden.

Die mit Identity Manager gelieferten Beispiel-Treiberkonfigurationen enthalten Einträge im Treibermanifest. Informationen dazu, wie Sie diese Einträge in vorhandene Treiber einbinden können, finden Sie in Schnitt 5.7, Upgrade bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung.

5.3.3 Steuerung der Passwortsynchronisierung über Globalkonfigurationswerte

Anhand von Globalkonfigurationswerten können Sie einen konstanten Wert festlegen, auf den in einer Richtlinie verwiesen werden kann. Globalkonfigurationswerte werden auch als Server-Variablen bezeichnet, weil sie in einem Attribut festgehalten sind, d. h. sie sind pro Reproduktion verfügbar.

Im Kontext der Passwortsynchronisierung können mit Globalkonfigurationswerten Einstellungen für den Transfer von Passwörtern zwischen dem verbundenen System und Identity Manager erstellt werden. Da das Synchronisierungsverhalten der Passwortsynchronisierungsrichtlinien von Identity Manager in der Treiberkonfiguration von den jeweiligen Einstellungen im Globalkonfigurationswert abhängig ist, kann der Passwort-Transfer problemlos geändert werden, ohne die Richtlinien selbst bearbeiten zu müssen.

Über Globalkonfigurationswerte können Sie die nachfolgend aufgeführten Einstellungen für jedes verbundene System separat steuern.

Tabelle 5-6 Einstellungen für verbundene Systeme

Einstellung

Beschreibung

Entgegennahme von Passwörtern aus dem verbundenen System durch Identity Manager

Diese Einstellung gilt für Passwörter, die vom verbundenen System bereitgestellt werden, sowie für Passwörter, die über Identity Manager-Richtlinien in der Treiberkonfiguration auf dem Herausgeberkanal erstellt werden können. Wenn Sie diese Einstellung deaktivieren, werden beide Arten von Passwörtern ausgeschlossen und erreichen somit Identity Manager nicht.

Von Identity Manager verwendete Synchronisierungsmethode: direkte Aktualisierung des universellen Passworts oder direkte Aktualisierung des Verteilungspassworts

Identity Manager kontrolliert den Einstiegspunkt (d. h. das von Identity Manager aktualisierte Passwort). NMAS kontrolliert in Abhängigkeit von den Einstellungen in der NMAS-Passwortrichtlinie den Passwort-Transfer zwischen den einzelnen Passwortarten. So zeigen Sie eine NMAS-Passwortrichtlinie an:

  1. Klicken Sie in iManager auf Passwörter > Passwortrichtlinien.
  2. Wählen Sie eine Richtlinie in der Passwortrichtlinienliste aus.
  3. Klicken Sie auf Bearbeiten.
  4. Wählen Sie im Dropdown-Listenfeld oder in der Registerkarte (je nach Versionsstand von iManager) eine Option aus.

Beispielszenarios für diese Methoden finden Sie in Abschnitt 5.8, “Implementierung der Passwortsynchronisierung”.

Erzwingung der NMAS-Passwortrichtlinien bei Passwörtern, die Identity Manager von einem verbundenen System entgegennimmt

Wenn diese Richtlinien erzwungen werden, werden eingehende,unzulässige Passwörter nicht in den Datenspeicher von Identity Manager geschrieben.

Verwendung des Identity Manager-Passworts durch Identity Manager für das Erzwingen von NMAS-Passwortrichtlinien auf einem verbundenen System durch Zurücksetzen von Passwörtern, die den Richtlinienregeln nicht entsprechen

Diese Option wird auf der NMAS-Benutzeroberfläche grau angezeigt, wenn sie vom verbundenen System nicht unterstützt wird (gemäß Treibermanifest). Das Passwort wird nur zurückgesetzt, wenn auf dem Herausgeberkanal bei einem Passwortvorgang ein Fehler auftritt.

Entgegennahme von Passwörtern durch das verbundene System

Diese Einstellung gilt sowohl für Passwörter, die von Identity Manager bereitgestellt werden, als auch für Passwörter, die über Identity Manager-Richtlinien in der Treiberkonfiguration auf dem Abonnentenkanal erstellt werden. Wenn Sie diese Einstellung deaktivieren, werden beide Arten von Passwörtern ausgeschlossen und erreichen somit das verbundene System nicht.

Diese Option wird auf der Benutzeroberfläche grau angezeigt, wenn sie vom verbundenen System nicht unterstützt wird (gemäß Treibermanifest).

Benachrichtigung des Benutzers per Email, wenn das Passwort nicht synchronisiert werden konnte

Mit dieser Einstellung wird festgelegt, ob betroffene Benutzer automatisch per Email benachrichtigt werden.

Die mit Identity Manager gelieferten Treiberkonfigurationen enthalten Einträge im Treibermanifest. Informationen dazu, wie Sie diese Einträge in vorhandene Treiber einbinden können, finden Sie in Schnitt 5.7, Upgrade bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung.

So bearbeiten Sie Globalkonfigurationswerte:

  1. Klicken Sie in iManager auf Passwörter > Passwortsynchronisierung.

  2. Suchen Sie nach einem Treiber.

    Nachdem Sie angegeben haben, wo Sie nach Treibern des verbundenen Systems suchen möchten, wird in iManager eine Übersicht über die verfügbaren Einstellungen für den Passwort-Transfer zwischen allen gefundenen Systemtreibern und iManager angezeigt.

    Beschreibung: Liste der verbundenen Systeme, aus der hervorgeht, ob der Passwort-Transfer zwischen Identity Manager und dem jeweiligen verbundenen System aktiviert ist

  3. Klicken Sie zum Anzeigen der Einstellungen auf einen Treibernamen.

    Auf der Seite „Treiber ändern“ werden die Globalkonfigurationswerte für die Passwortsynchronisierung angezeigt.

    Beschreibung: Liste der Globalkonfigurationswerte für die Passwortsynchronisierung

    Wenn eine Option auf dieser Seite grau angezeigt wird, wird die entsprechende Option nicht vom verbundenen System unterstützt.

  4. Nehmen Sie die gewünschten Änderungen vor und klicken Sie auf OK.

HINWEIS:Sie können Globalkonfigurationswerte separat für jeden Treiber festlegen. Globalkonfigurationswerte für einen bestimmten Treiber haben Vorrang vor den Werten des Treibersatzes. Durch die treiberspezifische Festlegung der Werte kann der Datenaustausch differenzierter gesteuert werden. Auf dieser Seite werden nur die für den jeweiligen Treiber vorhandenen Globalkonfigurationswerte angezeigt.

Wenn Sie Globalkonfigurationswerte für das Treibersatzobjekt festlegen, werden diese Werte von einem Treiber im betreffenden Treibersatz geerbt, wenn der Treiber über keine eigenen Werte verfügt. Wenn der Treiber keine eigenen Werte besitzt und die Globalkonfigurationswerte aus dem Treibersatz erbt, werden diese nicht in iManager angezeigt. Obwohl iManager geerbte Globalkonfigurationswerte nicht anzeigt, werden diese dennoch von den Passwortsynchronisierungsrichtlinien berücksichtigt.

5.3.4 In der Treiberkonfiguration benötigte Richtlinien

Die Identity Manager-Richtlinien der Herausgeber- und Abonnentenkanäle der einzelnen Treiber steuern den Passwort-Transfer auf Grundlage der zuvor erläuterten Einstellungen in den Globalkonfigurationsvariablen. Diese Richtlinien sind Bestandteil der Treiberkonfigurationen in Identity Manager.

Wenn Sie eine vorhandene Treiberkonfiguration nicht ersetzen, sondern aktualisieren, müssen Sie die Konfiguration um bestimmte Richtlinien ergänzen. Weitere Informationen finden Sie in Schnitt 5.7, Upgrade bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung. Damit die Passwortsynchronisierung funktioniert, müssen sich diese Richtlinien in der Treiberkonfiguration an der richtigen Stelle befinden.

Im Herausgeber-Befehlsumwandlungssatz benötigte Richtlinien

Die in der Spalte „Name der Passwortsynchronisierungsrichtlinie“ aufgeführten Richtlinien müssen in der angegebenen Reihenfolge vorhanden sein. Zudem müssen diese als letzte Richtlinien im Richtliniensatz für Herausgeber-Befehlsumwandlungen enthalten sein.

Tabelle 5-7 Im Herausgeber-Befehlsumwandlungssatz benötigte Richtlinien

Position in der Treiberkonfiguration

Name der Passwortsynchronisierungsrichtlinie

Auswirkung der Richtlinie

Herausgeber-Befehlsumwandlung

Password(Pub)-Default Password Policy

Ergänzt ein Add-Objekt um ein Standardpasswort, wenn das Add-Objekt kein Passwort enthält.

Diese Richtlinie und die Richtlinie „Password(Sub)-Default Password“ sind die einzigen Richtlinien, die geändert oder entfernt werden können. Damit die Passwortsynchronisierung ordnungsgemäß funktioniert, sollten die anderen Richtlinien unverändert verwendet werden.

Password(Pub)-Check Password GCV

Stellt durch eine GCV-Prüfung (GVC = „Global Configuration Value“, globaler Konfigurationswert) fest, ob Sie Identity Manager so konfiguriert haben, dass Passwörter von diesem verbundenen System akzeptiert werden. Wenn nicht, werden sämtliche Passwortelemente ausgeschlossen.

Der Name des GCV lautet „enable-password-publish“ und der Anzeigename lautet Identity Manager akzeptiert Passwörter von der Anwendung.

Password(Pub)-Publish Distribution Password

Wandelt das <password>-Element so um, dass es die Aktualisierung des universellen Passworts zulässt.

Diese Richtlinie verwendet folgende GCVs:

  • publish-password-to-dp
  • enforce-password-policy

Password(Pub)-Publish NDS Password

Lässt das <password>-Element durch, wenn Sie festgelegt haben, dass das NDS-Passwort aktualisiert werden soll. Wenn nicht, wird das <password>-Element ausgeschlossen.

Diese Richtlinie verwendet den GCV „publish-password-to-nds“.

Password(Pub)-Add Password Payload

Fügt Nutzlastdaten ein, die in der Engine zum Zwecke der Email-Benachrichtigung durchgereicht werden.

 

Password(Sub)-Add Password Payload

Fügt Nutzlastdaten ein, die in der Engine zum Zwecke der Email-Benachrichtigung durchgereicht werden.

Im Herausgeber-Eingabetransformationsrichtliniensatz benötigte Richtlinien

Wir empfehlen, die Email-Benachrichtigungsrichtlinie „Password(Pub)-Sub“ an die letzte Stelle zu setzen, wenn die Eingabetransformation mehrere Richtlinien enthält.

Tabelle 5-8 Im Herausgeber-Eingabetransformationsrichtliniensatz benötigte Richtlinien

Position in der Treiberkonfiguration

Name der Passwortsynchronisierungsrichtlinie

Auswirkung der Richtlinie

Herausgeber-Eingabetransformation

Password(Pub)-Sub Email Notifications

Wenn die Passwort-Nutzlastdaten durchgereicht werden und der Status ein Problem erkennen lässt, wird eine Email an den Benutzer gesendet. Die Email wird an die im Attribut für die Internet-Email-Adresse in eDirectory enthaltene Email-Adresse des Benutzers gesendet.

Diese Richtlinie verwendet den GCV „notify-user-on-password-dist-failure“, um festzustellen, ob Email-Benachrichtigungen gesendet werden müssen.

Im Richtliniensatz für Abonnenten-Befehlsumwandlung benötigte Richtlinien

Die in der Spalte „Name der Passwortsynchronisierungsrichtlinie“ aufgeführten Richtlinien müssen in der angegebenen Reihenfolge vorhanden sein. Zudem müssen diese als letzte Richtlinien im Richtliniensatz für Abonnenten-Befehlsumwandlungen enthalten sein.

Tabelle 5-9 Im Richtliniensatz für Abonnenten-Befehlsumwandlung benötigte Richtlinien

Position in der Treiberkonfiguration

Name der Passwortsynchronisierungsrichtlinie

Auswirkung der Richtlinie

Abonnenten-Befehlsumwandlung

Password(Sub)-Transform Distribution Password

Wandelt das universelle Passwort in ein <password>-Element um.

Password(Sub)-Default Password Policy

Ergänzt ein Add-Objekt um ein Standardpasswort, wenn das Add-Objekt kein Passwort enthält.

Diese Richtlinie und die Password(Pub)-Standardpasswort-Richtlinie sind die einzigen Richtlinien, die geändert oder entfernt werden können. Damit die Passwortsynchronisierung einwandfrei funktioniert, sollten die anderen Richtlinien unverändert verwendet werden.

Password(Sub)-Check Password GCV

Stellt durch eine GCV-Prüfung fest, ob Sie festgelegt haben, dass das verbundene System Passwörter akzeptieren soll. Wenn nicht, werden sämtliche Passwortelemente ausgeschlossen.

Der Name des GCV lautet „enable-password-subscribe“ und der Anzeigename lautet Anwendung akzeptiert Passwörter von Identity Manager.

Password(Sub)-Add Password Payload

Fügt Passwortnutzlastdaten ein, die in der Engine zum Zwecke der Email-Benachrichtigung durchgereicht werden.

Im Abonnenten-Ausgabetransformationsrichtliniensatz benötigte Richtlinien

Wir empfehlen, die Email-Benachrichtigungsrichtlinie „Password(Sub)-Pub“ an die letzte Stelle zu setzen, wenn die Ausgabetransformation mehrere Richtlinien enthält.

Tabelle 5-10 Im Abonnenten-Ausgabetransformationsrichtliniensatz benötigte Richtlinien

Position in der Treiberkonfiguration

Name der Passwortsynchronisierungsrichtlinie

Auswirkung der Richtlinie

Abonnenten-Ausgabetransformation

Password(Sub)-Pub Email Notifications

Wenn die Passwort-Nutzlastdaten durchgereicht werden und der Status ein Problem erkennen lässt, wird eine Email an den Benutzer gesendet.

Diese Richtlinie verwendet den GCV „notify-user-on-password-dist-failure“, um festzustellen, ob Email-Benachrichtigungen gesendet werden müssen.

5.3.5 Filter, die auf dem verbundenen System installiert sein müssen, zum Erfassen von Passwörtern

Für AD, NT Domain und NIS müssen Filter installiert werden, um das Passwort des Benutzers erfassen zu können.

Weitere Informationen hierzu finden Sie in Schnitt 5.9, Einrichten von Passwortfiltern.

5.3.6 Für Benutzer erstellte NMAS-Passwortrichtlinien

Einige Funktionen der Passwortsynchronisierung können auch ohne universelles Passwort verwendet werden. Dennoch muss das universelle Passwort durch Passwortrichtlinien für die Benutzer aktiviert werden. In einer Passwortrichtlinie können Sie auch erweiterte Passwortregeln erstellen und festlegen, ob bestehende Passwörter von Benutzern auf Regelkonformität überprüft werden sollen.

Damit Sie die Passwortsynchronisierung in Identity Manager nutzen können, benötigen Sie Kenntnisse über Passwortrichtlinien. Eine Erklärung der Passwortrichtlinien finden Sie im Kapitel „Managing Passwords by Using Password Policies“ im Password Management Administration Guide (Administrationshandbuch zur Passwortverwaltung).

5.3.7 NMAS-Anmeldemethoden

Für bestimmte Situationen muss die NMAS-Methode der Anmeldung mit einfachem Passwort eingerichtet sein, um Passwortfunktionen nutzen zu können. Diese Methode wird beispielsweise von LDAP benötigt.

Informationen zu Anmeldemethoden finden Sie im Administrationshandbuch Novell Modular Authentication Services ( NMAS) 3.0.