5.8 Implementierung der Passwortsynchronisierung

Mit der Funktion für die Passwortsynchronisierung in Identity Manager können Sie verschiedene Szenarios implementieren. In diesem Abschnitt werden einfache Szenarios beschrieben, um zu verdeutlichen, wie sich die Einstellungen der Identity Manager-Passwortsynchronisierung und die NMAS-Passwortrichtlinien auf die Synchronisierung von Passwörtern auswirken. Sie können ein oder mehrere dieser Szenarios verwenden, um den Erfordernissen Ihrer Umgebung gerecht zu werden.

5.8.1 Überblick über die Relation zwischen Identity Manager und NMAS

Dienstprogramme und NMAS

Dienstprogramme wie iManager und der Novell Client kommunizieren mit NMAS, anstatt ein bestimmtes Passwort direkt zu aktualisieren. NMAS ist die Instanz, die entscheidet, welche Passwörter aktualisiert werden.

NMAS synchronisiert Passwörter innerhalb eines Identitätsdepots und verwendet dazu die Einstellungen aus den NMAS-Passwortrichtlinien.

Ältere Dienstprogramme, die das universelle Passwort noch nicht unterstützen, aktualisieren das NDS-Passwort direkt, anstatt mit NMAS zu kommunizieren und NMAS die Entscheidung zu überlassen, welche Passwörter aktualisiert werden müssen. Beachten Sie, wie Benutzer und Helpdesk-Administratoren in Ihrer Umgebung ältere Dienstprogrammen nutzen. Da ältere Dienstprogramme das NDS-Passwort nicht über NMAS, sondern direkt aktualisieren, kann es zu einer Passwortdivergenz (d. h. zu fehlender Synchronisierung zwischen dem universellen Passwort und dem NDS-Passwort) kommen, wenn Sie das universelle Passwort und NMAS 2.3 verwenden.

Damit das universelle Passwort unterstützt wird, müssen Sie sicherstellen, dass die Benutzer auf den Novell Client aufrüsten und die Helpdesk-Benutzer ConsoleOne nur in Verbindung mit der neuesten Version des Novell Client oder von NetWare einsetzen.

Abbildung 5-5 Passwortsynchronisierung über NMAS

Beschreibung: Dienstprogramme gehen über NMAS, um Passwörter zu aktualisieren; ältere Dienstprogramme aktualisieren das NDS-Passwort jedoch direkt

Identity Manager und NMAS

Identity Manager steuert den “Einstiegspunkt” (für die direkte Aktualisierung des universellen Passworts oder des Verteilungspassworts). NMAS steuert den Transfer bei der Passwortsynchronisierung innerhalb des Identitätsdepots.

In Szenario 1 kann der Identity Manager-Treiber für eDirectory verwendet werden, um das NDS-Passwort direkt zu aktualisieren. Dieses Szenario entspricht im Wesentlichen dem in DirXML 1.x angegebenen Szenario.

In Szenario 2, Szenario 3 und Szenario 4 wird Identity Manager zur Aktualisierung des universellen Passworts oder des Verteilungspassworts verwendet. Identity Manager nimmt über NMAS Passwortänderungen vor. Auf diese Weise kann NMAS andere Passwörter im Identitätsdepot gemäß den Einstellungen der NMAS-Passwortrichtlinie aktualisieren und erweiterte Passwortregeln aus NMAS-Passwortrichtlinien bei Passwörtern durchsetzen, die mit verbundenen Systemen synchronisiert werden. In diesen Szenarios verteilt Identity Manager stets das Verteilungspasswort an die verbundenen Systeme.

Szenario 2, Szenario 3 und Szenario 4 unterscheiden sich durch die unterschiedlichen Kombinationen der Einstellungen für die NMAS-Passwortrichtlinien und die Identity Manager-Passwortsynchronisierung für jeden verbundenen Systemtreiber.

5.8.2 Szenario 1: Synchronisierung zwischen zwei Identitätsdepots über das NDS-Passwort

Wie bereits in Version 1.0 der Passwortsynchronisierung können Sie das NDS-Passwort unter Verwendung des eDirectory-Treibers zwischen zwei Identitätsdepots synchronisieren. Für dieses Szenario muss das universelle Passwort nicht implementiert sein; das Verfahren kann mit eDirectory 8.6.2 oder höher durchgeführt werden. Diese Art der Passwortsynchronisierung wird als Synchronisierung des öffentlichen/privaten Schlüsselpaars bezeichnet.

Diese Methode sollte nur zum Synchronisieren von Passwörtern zwischen zwei Identitätsdepots angewandt werden. Da NMAS hierbei nicht zur Verwendung kommt, können mit dieser Methode keine Passwörter für verbundene Anwendungen synchronisiert werden.

Vor- und Nachteile von Szenario 1

Tabelle 5-11 Vorteile: Passwortsynchronisierung zwischen eDirectory und eDirectory mittels NDS-Passwort

Vorteile

Nachteile

Einfache Konfiguration. Es müssen lediglich die richtigen Attribute in den Treiberfilter aufgenommen werden.

Wenn Sie Identity Manager 3 und eDirectory 8.7.3 stufenweise implementieren, kann diese Methode die allmähliche Implementierung erleichtern.

  • Es ist nicht erforderlich, die Treiberkonfigurationen um die neuen Passwort-Synchronisierungsrichtlinien zu erweitern.
  • Das universelle Passwort muss nicht im Identitätsdepot implementiert sein.
  • Kann mit verbundenen Depots verwendet werden, auf denen eDirectory 8.6.2 oder höher läuft.
  • NMAS 2.3 ist nicht erforderlich.

Setzt die grundlegenden Passworteinschränkungen durch, die für das NDS-Passwort festgelegt werden können.

Mit dieser Methode können Passwörter zwischen Identitätsdepots synchronisiert werden. Eine Synchronisierung von Passwörtern gegenüber anderen verbundenen Systemen ist nicht möglich.

Führt keine Aktualisierung des universellen Passworts oder des Verteilungspassworts durch.

Da diese Methode NMAS nicht verwendet, können Passwörter nicht mit erweiterten Passwortregeln in Richtlinien für Passwörter validiert werden, die aus einem anderen Identitätsdepot stammen.

Da diese Methode NMAS nicht verwendet, können keine Passwörter im verbundenen Identitätsdepot zurückgesetzt werden, die der NMAS-Passwortrichtlinie nicht entsprechen.

Bei fehlgeschlagener Passwortsynchronisierung erfolgt keine Email-Benachrichtigung.

Der Aufruf der Funktion „Passwortstatus überprüfen“ aus iManager heraus wird nicht unterstützt. (Für diese Funktion wird das Verteilungspasswort benötigt.)

Das folgende Diagramm zeigt, dass der Identity Manager-Treiber für eDirectory wie in DirXML 1.x verwendet werden kann, um das NDS-Passwort zwischen zwei Identitätsdepots zu synchronisieren. In diesem Szenario wird NMAS nicht verwendet.

Abbildung 5-6 Synchronisierung zwischen zwei Identitätsdepots über das NDS-Passwort

Beschreibung: Szenario 1

Einrichten von Szenario 1

Damit Sie diese Art der Passwortsynchronisierung einrichten können, müssen Sie zunächst den Treiber konfigurieren.

Implementierung des universellen Passworts

Nicht erforderlich.

Konfiguration der Passwortrichtlinie

Keine.

Einstellungen für die Passwortsynchronisierung

Keine. Die Einstellungen auf der Seite „Passwortsynchronisierung“ für einen Treiber haben bei dieser Methode der Synchronisierung eines NDS-Passworts keine Auswirkungen.

Treiberkonfiguration

Entfernen Sie die in Schnitt 5.3.4, In der Treiberkonfiguration benötigte Richtlinien aufgeführten Passwortsynchronisierungsrichtlinien. Diese Richtlinien zielen auf die Unterstützung des universellen Passworts und des Verteilungspassworts ab. Das NDS-Passwort wird nicht über diese Richtlinien, sondern über die Attribute für den privaten und öffentlichen Schlüssel synchronisiert.

Stellen Sie sicher, dass der Treiberfilter für die Treiber beider Identitätsdepots die Attribute des öffentlichen und des privaten Schlüssels für alle Objektklassen synchronisiert, für die Passwörter synchronisiert werden sollten. Die folgende Abbildung zeigt hierfür ein Beispiel.

Abbildung 5-7 Synchronisieren der Attribute für den privaten und den öffentlichen Schlüssel

Beschreibung: „Privater Schlüssel“ und „Öffentlicher Schlüssel“ im Filter auf „Synchronisieren“ eingestellt

Fehlersuche bei Szenario 1

  • Aktivieren Sie die Option „DSTrace“.
  • Kontrollieren Sie den Treiberfilter, um sicherzustellen, dass die Attribute „Öffentlicher Schlüssel“ und „Privater Schlüssel“ nicht ignoriert, sondern synchronisiert werden.
  • Beachten Sie auch die Tipps in Schnitt 5.13, Fehlersuche bei der Passwortsynchronisierung.

5.8.3 Szenario 2: Synchronisieren unter Verwendung des universellen Passworts

Mit Identity Manager können Sie ein Passwort aus einem verbundenen System mit dem universellen Passwort im Identitätsdepot synchronisieren.

Wenn das universelle Passwort aktualisiert wird, kann auch das NDS-Passwort, das Verteilungspasswort oder das einfache Passwort aktualisiert werden (in Abhängigkeit von den Einstellungen in der NMAS-Passwortrichtlinie).

Jedes verbundene System kann Passwörter an Identity Manager veröffentlichen, wenn auch nicht alle Systeme das tatsächliche Passwort des Benutzers bereitstellen können. So kann beispielsweise Active Directory das tatsächliche Passwort eines Benutzers an Identity Manager veröffentlichen. Obwohl PeopleSoft kein Passwort aus dem System bereitstellt, kann es ein Ausgangspasswort bereitstellen, das in einer Richtlinie in der Treiberkonfiguration erstellt wurde (z. B. unter Verwendung der Mitarbeiter-ID oder des Nachnamens). Nicht alle Treiber können Passwortänderungen von Identity Manager abonnieren. Weitere Informationen hierzu finden Sie in Schnitt 5.2, Unterstützung von verbundenen Systemen bei der Passwortsynchronisierung.

Vor- und Nachteile von Szenario 2

Tabelle 5-12 Vorteile: Synchronisieren unter Verwendung des universellen Passworts

Vorteile

Nachteile

Ermöglicht die Synchronisierung von Passwörtern zwischen dem Identitätsdepot und dem verbundenen System (in beiden Richtungen).

Ermöglicht die Bestätigung von Passwörtern auf Basis der NMAS-Passwortrichtlinie.

Ermöglicht Email-Benachrichtigungen bei fehlerhaften Passwortoperationen, z. B. wenn ein aus dem verbundenen System eingehendes Passwort nicht der Passwortrichtlinie entspricht.

Unterstützt die Aufgabe „Passwortstatus überprüfen“ in iManager, wenn das universelle Passwort mit dem Verteilungspasswort synchronisiert wird und das verbundene System Passwortprüfungen unterstützt.

NMAS erzwingt die erweiterten Passwortregeln in den Passwortrichtlinien, wenn die Regeln aktiviert sind. Wenn ein aus dem verbundenen System eingehendes Passwort nicht regelkonform ist, wird eine Fehlermeldung erzeugt. Wenn die entsprechende Option aktiviert ist, erhalten Sie eine Email-Benachrichtigung.

Wenn Sie nicht möchten, dass die Regeln der Passwortrichtlinie erzwungen werden, können Sie die Option „Erweiterte Passwortregeln aktivieren“ in der NMAS-Passwortrichtlinie deaktivieren.

Das Zurücksetzen von Passwörtern im verbundenen System ist bei dieser Methode nicht möglich, da das Verteilungspasswort und das universelle Passwort unter Umständen nicht identisch sind (in Abhängigkeit von den Einstellungen in den Passwortrichtlinien).

Das Diagramm zu diesem Szenario zeigt folgenden Verlauf:

  1. Passwörter treffen über Identity Manager ein.
  2. Identity Manager verwendet NMAS für die direkte Aktualisierung des universellen Passworts.
  3. NMAS synchronisiert das universelle Passwort unter Berücksichtigung der Einstellungen der NMAS-Passwortrichtlinien mit dem Verteilungspasswort und anderen Passwörtern.
  4. Identity Manager ruft das Verteilungspasswort ab, um es an verbundene Systeme zu verteilen, die Passwörter akzeptieren.

Obwohl in diesem Diagramm gleich mehrere Systeme mit Identity Manager verbunden sind, gilt es zu beachten, dass die Einstellungen für die Treiber jedes verbundenen Systems einzeln festgelegt werden müssen.

Abbildung 5-8 Passwortsynchronisierung über das universelle Passwort

Beschreibung: Szenario 2

Einrichten von Szenario 2

So richten Sie diese Art der Passwortsynchronisierung ein:

Implementierung des universellen Passworts

Überzeugen Sie sich davon, dass die Verwendung des universellen Passworts in Ihrer Umgebung möglich ist. Weitere Informationen hierzu finden Sie in Schnitt 5.4, Vorbereitungen zur Nutzung der Identity Manager-Passwortsynchronisierung und des universellen Passworts.

Konfiguration der Passwortrichtlinie

Stellen Sie sicher, dass den Teilen des Identitätsdepots, für die Sie diese Art der Passwortsynchronisierung einrichten möchten, eine NMAS-Passwortrichtlinie zugewiesen ist.

  1. Klicken Sie in iManager auf Passwörter > Passwortrichtlinien.

  2. Wählen Sie eine Richtlinie aus und klicken Sie anschließend auf Bearbeiten.

  3. Suchen Sie das Objekt, in dem die Passwortsynchronisierung stattfinden soll, und wählen Sie es aus.

    Sie können die Richtlinie der gesamten Baumstruktur (durch Auswahl des Objekts „Login Policy“ [Anmelderichtlinie] im Sicherheitscontainer), einem Partitionsstammcontainer, einem Container oder einem bestimmten Benutzer zuweisen. Es empfiehlt sich, Passwortrichtlinien einer möglichst hohen Ebene im Baum zuzuweisen, um die Verwaltung zu vereinfachen.

  4. In der Passwortrichtlinie müssen folgende Optionen ausgewählt sein:

    Beschreibung: Einstellungen in der Passwortrichtlinie für Szenario 2
    • Universelles Passwort aktivieren
    • NDS-Passwort bei Auswahl des universellen Passworts synchronisieren
    • Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren

      Da Identity Manager das Verteilungspasswort abruft, um Passwörter an verbundene Systeme zu verteilen, ist eine Passwortsynchronisierung in beide Richtungen nur möglich, wenn diese Option aktiviert ist.

  5. Vervollständigen Sie die Passwortrichtlinie nach Bedarf.

    NMAS erzwingt die erweiterten Passwortregeln in den Passwortrichtlinien, wenn die Regeln aktiviert sind. Wenn Sie nicht möchten, dass die Regeln der Passwortrichtlinie erzwungen werden, können Sie die Option Erweiterte Passwortregeln aktivieren deaktivieren.

    Bei der Verwendung von erweiterten Passwortregeln müssen Sie sicherstellen, dass diese nicht im Widerspruch zu den Passwortrichtlinien auf den verbundenen Systemen stehen, die Passwörter abonnieren.

Einstellungen für die Passwortsynchronisierung

  1. Klicken Sie in iManager auf Passwörter > Passwortsynchronisierung.

  2. Suchen Sie nach Treibern für die verbundenen Systeme und wählen Sie dann einen Treiber aus.

  3. Nehmen Sie Einstellungen für den Treiber für das verbundene System vor.

    Stellen Sie sicher, dass die folgenden Optionen ausgewählt sind:

    • Identity Manager akzeptiert Passwörter (Herausgeberkanal)

      Wenn das Treibermanifest die Funktion „password-publish“ nicht enthält, wird auf der Seite eine entsprechende Meldung angezeigt. Auf diese Weise wird dem Benutzer mitgeteilt, dass keine Passwörter aus der Anwendung abgerufen werden können und diese nur durch Erstellen eines Passworts mittels einer Richtlinie in der Treiberkonfiguration veröffentlicht werden können.

    • Anwendung akzeptiert Passwörter (Abonnentenkanal)

      Wenn das verbundene System Passwörter nicht akzeptiert, wird die Option grau angezeigt.

    Diese Einstellungen ermöglichen die Passwortsynchronisierung in beide Richtungen, wenn diese vom verbundenen System unterstützt wird.

    Sie können die Einstellungen an Ihre Geschäftsrichtlinien für die autorisierte Quelle für Passwörter anpassen. Wenn ein verbundenes System Passwörter z. B. nur abonnieren, jedoch nicht veröffentlichen soll, wählen Sie nur die Option Anwendung akzeptiert Passwörter (Abonnentenkanal).

  4. Stellen Sie sicher, dass die Option Verteilungspasswort für die Passwortsynchronisierung verwenden nicht aktiviert ist:

    In diesem Szenario aktualisiert Identity Manager das universelle Passwort direkt. Das Verteilungspasswort wird weiterhin für die Verteilung von Passwörtern an verbundene Systeme verwendet, es wird jedoch anstelle von Identity Manager von NMAS über das universelle Passwort aktualisiert.

  5. (Optional) Wählen Sie gegebenenfalls Folgendes aus:

    • Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen

      Denken Sie daran, dass das Attribut „Internet-Email-Adresse“ des eDirectory-Benutzerobjekts in mit einem Wert belegt sein muss, damit Email-Benachrichtigungen gesendet werden können.

      Email-Benachrichtigungen sind nicht-invasiv, d. h., sie haben keinerlei Auswirkungen auf die Verarbeitung des XML-Dokuments, das das Versenden der Email ausgelöst hat. Tritt beim Versand der Email-Benachrichtigung ein Fehler auf, wird der Vorgang nur dann wiederholt, wenn die Operation selbst wiederholt wird. Debug-Meldungen zu Email-Benachrichtigungen werden trotzdem in die Trace-Datei geschrieben.

Treiberkonfiguration

  1. Stellen Sie sicher, dass die erforderlichen Passwortsynchronisierungsrichtlinien für das Identity Manager-Skript in den Treiberkonfigurationen aller Treiber enthalten sind, die an der Passwortsynchronisierung teilnehmen sollen.

    Die Richtlinien müssen sich in der Treiberkonfiguration an der richtigen Stelle und in der richtigen Reihenfolge befinden. Eine Aufstellung der Richtlinien finden Sie in Schnitt 5.3.4, In der Treiberkonfiguration benötigte Richtlinien.

    Die Identity Manager-Beispielkonfigurationen enthalten die Richtlinien bereits. Wenn Sie einen vorhandenen Treiber upgraden, können Sie die Richtlinien wie in Schnitt 5.7, Upgrade bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung beschrieben hinzufügen.

  2. Stellen Sie den Filter für das Attribut „nspmDistributionPassword“ richtig ein:

    • Setzen Sie den Filter auf dem Herausgeberkanal bei allen Objektklassen für das Attribut nspmDistributionPassword auf „Ignorieren“.
    • Setzen Sie den Treiberfilter auf dem Abonnentenkanal bei allen Objektklassen, die Passwortänderungen abonnieren sollen, für das Attribut nspmDistributionPassword auf „Benachrichtigen“.
    Beschreibung: Filtereinstellungen für nspmDistributionPassword

  3. Setzen Sie für alle Objekte, bei denen der Wert Benachrichtigen für das Attribut „nspmDistributionPassword“ eingestellt ist, die Attribute „Public Key“ und „Private Key“ auf Ignorieren.

    Beschreibung: „Private Key“ und „Public Key“ im Filter auf „Ignorieren“ eingestellt

  4. Damit die Passwortsicherheit gewährleistet ist, müssen Sie die Kontrolle darüber behalten, wer Zugriffsrechte auf Identity Manager-Objekte haben soll.

Fehlersuche bei Szenario 2

Beachten Sie auch die Tipps in Schnitt 5.13, Fehlersuche bei der Passwortsynchronisierung.

Flussdiagramm für Szenario 2

Das folgende Flussdiagramm zeigt, wie NMAS mit dem von Identity Manager empfangenen Passwort verfährt. In diesem Szenario wird das Passwort mit dem universellen Passwort synchronisiert. NMAS entscheidet nach den folgenden Kriterien, wie das Passwort zu behandeln ist:

  • Ist das universelle Passwort in der NMAS-Passwortrichtlinie aktiviert?
  • Sind erweiterte Passwortregeln aktiviert, die eingehende Passwörter einhalten müssen?
  • Welche anderen Einstellungen sind in der Passwortrichtlinie für das Synchronisieren des universellen Passworts mit den anderen Passwörtern festgelegt?

Abbildung 5-9 Wie NMAS mit dem von Identity Manager empfangenen Passwort verfährt

Beschreibung: Flussdiagramm für Szenario 2
Probleme bei der Anmeldung im Identitätsdepot
  • Aktivieren Sie in DSTrace die Einstellungen +AUTH, +DXML und +DVRS.

    Abbildung 5-10 DSTrace-Befehle

  • Überzeugen Sie sich davon, dass das Element <password> oder <modify-password> an Identity Manager übergeben wird. Während diese Optionen aktiviert sind, beobachten Sie den Trace-Bildschirm, um sicherzustellen, dass sie übergeben werden.
  • Überzeugen Sie sich davon, dass das Passwort gemäß den Regeln der Passwortrichtlinie gültig ist.
  • Überprüfen Sie die Konfiguration und Zuweisung der NMAS-Passwortrichtlinie. Weisen Sie die Richtlinie versuchsweise einem Benutzer direkt zu, um sicherzustellen, dass die korrekte Richtlinie verwendet wird.
  • Stellen Sie sicher, dass auf der Seite „Passwortsynchronisierung“ für den Treiber die Option DirXML akzeptiert Passwörter ausgewählt ist.
  • Stellen Sie sicher, dass in der Passwortrichtlinie die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren ausgewählt ist.
Probleme bei der Anmeldung an einem anderen verbundenen System, das Passwörter abonniert

Dieser Abschnitt befasst sich mit der Fehlersuche in Fällen, in denen ein verbundenes System Passwörter gegenüber Identity Manager veröffentlicht, aber ein anderes verbundenes System, das Passwörter veröffentlicht, keine Änderungen von dem anderen System mitgeteilt bekommt. Bei dieser Konstellation spricht man auch von einem „sekundären verbundenen System“, weil das zweite verbundene System die Passwörter über Identity Manager vom ersten verbundenen System erhält.

  • Aktivieren Sie in DSTrace die Einstellungen +DXML und +DVRS, um sich die Regelverarbeitung durch Identity Manager ansehen zu können.
  • Stellen Sie die Identity Manager LDAP Trace-Stufe für den Treiber auf 3 ein.
  • Stellen Sie auf der Seite „Passwortsynchronisierung“ sicher, dass die Option Identity Manager akzeptiert Passwörter ausgewählt ist.
  • Überprüfen Sie den Treiberfilter, um sicherzustellen, dass das Attribut „nspmDistributionPassword“ korrekt eingestellt ist (siehe Schritt 2).
  • Überzeugen Sie sich davon, dass das <password> für ein „Add“- oder <modify-password>-Element an das verbundene System gesendet wird. Beobachten Sie zur Kontrolle den DSTrace-Bildschirm oder die DSTrace-Datei bei aktivierten Trace-Optionen, wie in den ersten Arbeitsschritten erläutert.
  • Überzeugen Sie sich davon, dass die Treiberkonfiguration die Passwortrichtlinien für das Identity Manager-Skript an der richtigen Stelle und in der richtigen Reihenfolge enthält, wie in Schnitt 5.3.4, In der Treiberkonfiguration benötigte Richtlinien beschrieben.
  • Vergleichen Sie die NMAS-Passwortrichtlinie im Identitätsdepot mit etwaigen Passwortrichtlinien, die von dem verbundenen System erzwungen werden, und stellen Sie sicher, dass diese kompatibel sind.
Keine Email-Generierung bei Passwortfehlern
  • Aktivieren Sie in DSTrace die Einstellung +DXML, um sich die Regelverarbeitung durch Identity Manager ansehen zu können.
  • Stellen Sie die Identity Manager LDAP Trace-Stufe für den Treiber auf 3 ein.
  • Überzeugen Sie sich davon, dass die Regel für das Erzeugen einer Email-Benachrichtigung ausgewählt ist.
  • Überzeugen Sie sich davon, dass das Identitätsdepot-Objekt im Attribut „Internet EMail Address“ die richtige Email-Adresse des Benutzers enthält.
  • Stellen Sie sicher, dass der SMTP-Server und die Email-Schablone in der Aufgabe „Benachrichtigungskonfiguration“ richtig konfiguriert sind. Weitere Informationen hierzu finden Sie in Schnitt 5.12, Konfigurieren der Email-Benachrichtigung.
Fehler beim Ausführen der Task „Objektpasswort überprüfen“

Die Task „Passwortstatus überprüfen“ in iManager bewirkt, dass der Treiber die Aktion „Objektpasswort überprüfen“ ausführt. Wenn dabei Probleme auftreten, sollten Sie Folgendes überprüfen:

  • Wenn die Task „Objektpasswort überprüfen“ den Code „-603“ zurückgibt, fehlt im Identitätsdepot-Objekt das Attribut „nspmDistributionPassword“. Überprüfen Sie, ob der Treiberfilter die richtigen Einstellungen für die Attribute „nspmDistributionPassword“ enthält. Stellen Sie außerdem sicher, dass in der Passwortrichtlinie die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren ausgewählt ist.
  • Wenn die Task „Objektpasswort überprüfen“ die Meldung Nicht synchronisiert zurückgibt, vergewissern Sie sich, dass die Treiberkonfiguration die entsprechenden Passwortsynchronisierungsrichtlinien enthält.
  • Vergleichen Sie die NMAS-Passwortrichtlinie im Identitätsdepot mit etwaigen Passwortrichtlinien, die von dem verbundenen System erzwungen werden, und stellen Sie sicher, dass diese kompatibel sind.
  • Ausgangspunkt für die Task „Objektpasswort überprüfen“ ist das Verteilungspasswort. Wenn das Verteilungspasswort nicht aktualisiert wird, meldet die Aktion „Objektpasswort überprüfen“ eventuell nicht, dass die Passwörter synchronisiert wurden.
  • Denken Sie daran, dass die Task „Passwortstatus überprüfen“ nur beim Identity Manager-Treiber das NDS-Passwort anstelle des Verteilungspassworts überprüft.
Hilfreiche DSTrace-Befehle

+DXML: Zum Anzeigen der Regelverarbeitung durch Identity Manager und möglicher Fehlermeldungen

+DVRS: Zum Anzeigen der Meldungen des Identity Manager-Treibers

+AUTH: Zum Anzeigen der Änderungen am NDS-Passwort

5.8.4 Szenario 3: Synchronisieren des Identitätsdepots und der verbundenen Systeme mit Aktualisierung des Verteilungspassworts durch Identity Manager

In diesem Szenario aktualisiert Identity Manager das Verteilungspasswort direkt und lässt NMAS entscheiden, wie die anderen Passwörter des Identitätsdepots synchronisiert werden sollen.

Jedes verbundene System kann Passwörter an Identity Manager veröffentlichen, wenn auch nicht alle Systeme das tatsächliche Passwort des Benutzers bereitstellen können. So kann beispielsweise Active Directory das tatsächliche Passwort eines Benutzers an Identity Manager veröffentlichen. Obwohl PeopleSoft kein Passwort aus dem System bereitstellt, kann es ein Ausgangspasswort bereitstellen, das in einer Richtlinie in der Treiberkonfiguration erstellt wurde (z. B. unter Verwendung der Mitarbeiter-ID oder des Nachnamens). Nicht alle Treiber können Passwortänderungen von Identity Manager abonnieren. Weitere Informationen hierzu finden Sie in Schnitt 5.2, Unterstützung von verbundenen Systemen bei der Passwortsynchronisierung.

Vor- und Nachteile von Szenario 3

Tabelle 5-13 Vorteile: Synchronisieren des Identitätsdepots und der verbundenen Systeme durch Aktualisierung des Verteilungspassworts

Vorteile

Nachteile

Ermöglicht die Synchronisierung von Passwörtern zwischen dem Identitätsdepot und verbundenen Systemen.

Sie können auswählen, ob Richtlinien für die von verbundenen Systemen übergebenen Passwörter erzwungen werden sollen oder nicht.

Sie können festlegen, dass eine Benachrichtigung gesendet wird, falls bei der Passwortsynchronisierung ein Fehler auftritt.

Wenn Sie sich für das Erzwingen von Passwortrichtlinien entscheiden, haben Sie die Möglichkeit, ein nicht regelkonformes Passwort auf dem verbundenen System auf das Verteilungspasswort zurückzusetzen.

 

Das Diagramm zu diesem Szenario zeigt folgenden Verlauf:

  1. Passwörter treffen über Identity Manager ein.
  2. Identity Manager geht über NMAS, um das Verteilungspasswort direkt zu aktualisieren.
  3. Identity Manager verwendet das Verteilungspasswort auch, um Passwörter an verbundene Systeme zu übergeben, die Sie für das Akzeptieren von Passwörtern konfiguriert haben.
  4. NMAS synchronisiert das universelle Passwort unter Berücksichtigung der Einstellungen der NMAS-Passwortrichtlinien mit dem Verteilungspasswort und anderen Passwörtern.

Obwohl in diesem Diagramm gleich mehrere Systeme mit Identity Manager verbunden sind, gilt es zu beachten, dass die Einstellungen für die Treiber jedes verbundenen Systems einzeln festgelegt werden müssen.

Abbildung 5-11 Synchronisieren des Identitätsdepots und der verbundenen Systeme durch Aktualisierung des Verteilungspassworts

Beschreibung: Szenario 3

Einrichten von Szenario 3

So richten Sie diese Art der Passwortsynchronisierung ein:

Implementierung des universellen Passworts

Überzeugen Sie sich davon, dass die Verwendung des universellen Passworts in Ihrer Umgebung problemlos möglich ist. Weitere Informationen hierzu finden Sie in Schnitt 5.4, Vorbereitungen zur Nutzung der Identity Manager-Passwortsynchronisierung und des universellen Passworts.

Konfiguration der Passwortrichtlinie

  1. Klicken Sie in iManager auf Passwörter > Passwortrichtlinien.

  2. Stellen Sie sicher, dass den Teilen des Identitätsdepot-Baums, für die Sie diese Art der Passwortsynchronisierung einrichten möchten, eine Passwortrichtlinie zugewiesen ist. Sie können diese Richtlinie der gesamten Baumstruktur, einem Partitionsstammcontainer, einem Container oder einem bestimmten Benutzer zuweisen. Es empfiehlt sich, Passwortrichtlinien einer möglichst hohen Ebene im Baum zuzuweisen, um die Verwaltung zu vereinfachen.

  3. In der Passwortrichtlinie müssen folgende Optionen ausgewählt sein:

    Beschreibung: Einstellungen in der Passwortrichtlinie für Szenario 3
    • Universelles Passwort aktivieren
    • NDS-Passwort bei Auswahl des universellen Passworts synchronisieren
    • Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren

      Da Identity Manager das Verteilungspasswort abruft, um Passwörter an verbundene Systeme zu verteilen, ist eine Passwortsynchronisierung in beide Richtungen nur möglich, wenn diese Option ausgewählt ist.

  4. Bei der Verwendung von erweiterten Passwortregeln müssen Sie sicherstellen, dass diese nicht im Widerspruch zu den Passwortrichtlinien auf den verbundenen Systemen stehen, die Passwörter abonnieren.

Einstellungen für die Passwortsynchronisierung

  1. Klicken Sie in iManager auf Passwörter > Passwortsynchronisierung.

  2. Suchen Sie nach Treibern für die verbundenen Systeme und wählen Sie dann einen Treiber aus.

  3. Nehmen Sie Einstellungen für den Treiber für das verbundene System vor.

    Stellen Sie sicher, dass die folgenden Optionen ausgewählt sind:

    • Identity Manager akzeptiert Passwörter (Herausgeberkanal)
    • Verteilungspasswort für die Passwortsynchronisierung verwenden

      Wenn das Treibermanifest die Funktion “password-publish” nicht enthält, wird auf der Seite eine entsprechende Meldung angezeigt. Auf diese Weise wird dem Benutzer mitgeteilt, dass keine Passwörter aus der Anwendung abgerufen werden können und diese nur durch Erstellen eines Passworts mittels einer Richtlinie in der Treiberkonfiguration veröffentlicht werden können.

    • Anwendung akzeptiert Passwörter (Abonnentenkanal)

    Diese Einstellungen ermöglichen die Passwortsynchronisierung in beide Richtungen, wenn diese vom verbundenen System unterstützt wird.

    Sie können die Einstellungen an Ihre Geschäftsrichtlinien für die autorisierte Quelle für Passwörter anpassen. Wenn ein verbundenes System Passwörter z. B. nur abonnieren, jedoch nicht veröffentlichen soll, wählen Sie nur die Option Anwendung akzeptiert Passwörter (Abonnentenkanal).

  4. Legen Sie mit den Optionen unter Verteilungspasswort für die Passwortsynchronisierung verwenden fest, ob NMAS-Passwortrichtlinien erzwungen oder ignoriert werden sollen.

  5. (Sofern zutreffend) Wenn Sie festgelegt haben, dass Passwortrichtlinien erzwungen werden sollen, müssen Sie auch angeben, ob Identity Manager das Passwort des verbundenen Systems zurücksetzen soll, wenn es nicht regelkonform ist.

  6. (Optional) Wählen Sie gegebenenfalls Folgendes aus:

    • Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen

      Denken Sie daran, dass das Attribut „Internet-Email-Adresse“ im Benutzerobjekt in eDirectory mit einem Wert belegt sein muss, damit Email-Benachrichtigungen gesendet werden können.

      Email-Benachrichtigungen sind nicht-invasiv, d. h., sie haben keinerlei Auswirkungen auf die Verarbeitung des XML-Dokuments, das die Email ausgelöst hat. Tritt beim Versand der Email-Benachrichtigung ein Fehler auf, wird der Vorgang nur dann wiederholt, wenn die Operation selbst wiederholt wird. Debug-Meldungen zu Email-Benachrichtigungen werden trotzdem in die Trace-Datei geschrieben.

Treiberkonfiguration

  1. Stellen Sie sicher, dass die erforderlichen Passwortsynchronisierungsrichtlinien für das Identity Manager-Skript in den Treiberkonfigurationen aller Treiber enthalten sind, die an der Passwortsynchronisierung teilnehmen sollen.

    Die Richtlinien müssen sich in der Treiberkonfiguration an der richtigen Stelle und in der richtigen Reihenfolge befinden. Eine Aufstellung der Richtlinien finden Sie in Schnitt 5.3.4, In der Treiberkonfiguration benötigte Richtlinien.

    Die Identity Manager-Beispielkonfigurationen enthalten die Richtlinien bereits. Wenn Sie einen vorhandenen Treiber upgraden möchten, können Sie die Richtlinien wie in Schnitt 5.7, Upgrade bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung beschrieben hinzufügen.

  2. Stellen Sie den Filter für das Attribut „nspmDistributionPassword“ richtig ein:

    • Auf dem Herausgeberkanal setzen Sie den Treiberfilter auf Ignorieren für das Attribut „nspmDistributionPassword“ für alle Objektklassen.
    • Auf dem Abonnentenkanal setzen Sie den Treiberfilter auf Benachrichtigen für das Attribut „nspmDistributionPassword“ für alle Objektklassen, die Passwortänderungen abonnieren sollen.
    Beschreibung: Filtereinstellungen für nspmDistributionPassword

  3. Setzen Sie für alle Objekte, bei denen der Wert Benachrichtigen für das Attribut „nspmDistributionPassword“ eingestellt wurde, die Attribute „Öffentlicher Schlüssel“ und „Privater Schlüssel“ im Treiberfilter auf Ignorieren.

    Beschreibung: „Privater Schlüssel“ und „Öffentlicher Schlüssel“ im Filter auf „Ignorieren“ eingestellt

  4. Damit die Passwortsicherheit gewährleistet ist, müssen Sie die Kontrolle darüber behalten, wer Zugriffsrechte auf Identity Manager-Objekte haben soll.

Fehlersuche bei Szenario 3

Beachten Sie auch die Tipps in Schnitt 5.13, Fehlersuche bei der Passwortsynchronisierung.

Flussdiagramm für Szenario 3

Das folgende Flussdiagramm zeigt, wie NMAS mit dem von Identity Manager empfangenen Passwort verfährt. In diesem Szenario wird das Passwort mit dem Verteilungspasswort synchronisiert; dabei trifft NMAS folgende Entscheidungen:

  • Wie das Passwort zu verarbeiten ist, und zwar abhängig davon, ob eingehende Passwörter auf ihre Regelkonformität mit der Passwortrichtlinie überprüft werden (wenn das universelle Passwort und erweiterte Passwortregeln aktiviert sind).
  • Welche anderen Einstellungen in der Passwortrichtlinie für das Synchronisieren des universellen Passworts mit den anderen Passwörtern festgelegt sind.

Abbildung 5-12 Das Passwort aus Identity Manager wird mit dem Verteilungspasswort synchronisiert

Beschreibung: Flussdiagramm zur Verarbeitung von Passwörtern durch NMAS in Szenario 3 - Synchronisierung mit Verteilungspasswort
Probleme bei der Anmeldung bei eDirectory
  • Aktivieren Sie in DSTrace die Einstellungen +AUTH, +DXML und +DVRS .

    Abbildung 5-13 DSTrace-Befehle

  • Überzeugen Sie sich davon, dass das Element <password> oder <modify-password> an Identity Manager übergeben wird. Beobachten Sie zur Kontrolle den DSTrace-Bildschirm oder die Trace-Datei bei aktivierten Trace-Optionen, wie im ersten Arbeitsschritt erläutert.
  • Überzeugen Sie sich davon, dass das Passwort gemäß den Regeln der NMAS-Passwortrichtlinie gültig ist.
  • Überprüfen Sie die Konfiguration und Zuweisung der NMAS-Passwortrichtlinie. Weisen Sie die Richtlinie versuchsweise dem Benutzer direkt zu, um sicherzustellen, dass die korrekte Richtlinie verwendet wird.
  • Stellen Sie sicher, dass auf der Seite „Passwortsynchronisierung“ für den Treiber die Option Identity Manager akzeptiert Passwörter (Herausgeberkanal) ausgewählt ist.
  • Stellen Sie sicher, dass in der NMAS-Passwortrichtlinie die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren ausgewählt ist.
  • Stellen Sie sicher, dass in der NMAS-Passwortrichtlinie die Option NDS-Passwort bei Auswahl des universellen Passworts synchronisieren ausgewählt ist, falls dieses Verhalten gewünscht wird.
  • Wenn sich Benutzer über den Novell Client oder ConsoleOne anmelden, überprüfen Sie die Versionsnummer. Ältere Novell Clients und ConsoleOne können sich unter Umständen nicht beim Identitätsdepot anmelden, wenn das universelle Passwort nicht mit dem NDS-Passwort synchronisiert ist.

    Es sind Versionen des Novell Client und von ConsoleOne verfügbar, die das universelle Passwort erkennen. Weitere Informationen hierzu finden Sie im NMAS 3.0 Administration Guide (MAS 3.0 Administrationshandbuch).

  • Einige ältere Dienstprogramme authentifizieren unter Verwendung des NDS-Passworts und können sich ebenfalls nicht beim Identitätsdepot anmelden, wenn das universelle Passwort nicht mit dem NDS-Passwort synchronisiert ist. Wenn Sie das NDS-Passwort für die meisten Benutzer nicht verwenden möchten, einige Administratoren oder Helpdesk-Benutzer jedoch die Authentifizierung über ältere Dienstprogramme nutzen müssen, können Sie den Helpdesk-Benutzern versuchsweise eine andere Passwortrichtlinie zuweisen. Auf diese Weise können andere Optionen für die Synchronisierung des universellen Passworts festgelegt werden.
Probleme bei der Anmeldung an einem anderen verbundenen System, das Passwörter abonniert

Dieser Abschnitt befasst sich mit der Fehlersuche in Situationen, in denen ein verbundenes System Passwörter gegenüber Identity Manager veröffentlicht, ein anderes verbundenes System, das ebenfalls Passwörter veröffentlicht, jedoch anscheinend keine Änderungen von dem anderen System mitgeteilt bekommt. Bei dieser Konstellation spricht man auch von einem „sekundären verbundenen System“, weil das zweite verbundene System die Passwörter über Identity Manager vom ersten verbundenen System erhält.

  • Aktivieren Sie in DSTrace die Einstellungen +DXML und +DVRS, um sich die Regelverarbeitung durch Identity Manager und mögliche Fehlermeldungen ansehen zu können.
  • Stellen Sie die Identity Manager LDAP Trace-Stufe für den Treiber auf 3 ein.
  • Stellen Sie sicher, dass auf der Seite „Passwortsynchronisierung“die Option Identity Manager akzeptiert Passwörter (Herausgeberkanal) ausgewählt ist.
  • Stellen Sie sicher, dass in der Passwortrichtlinie die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren nicht ausgewählt ist.

    Identity Manager verwendet das Verteilungspasswort, um Passwörter mit verbundenen Systemen zu synchronisieren. Das universelle Passwort muss mit dem Verteilungspasswort synchronisiert sein, damit diese Synchronisierungsmethode funktioniert.

  • Kontrollieren Sie im Treiberfilter das Attribut „nspmDistributionPassword“.
  • Überzeugen Sie sich davon, dass das <password>-Element für ein Add- oder <modify-password>-Element für das Attribut „nspmDistributionPassword“ in die Attributoperationen „Add“ bzw. „Modify“ umgeändert wurde. Beobachten Sie zur Kontrolle den DSTrace-Bildschirm oder die DSTrace-Datei bei aktivierten Trace-Optionen, wie im ersten Arbeitsschritt erläutert.
  • Überzeugen Sie sich davon, dass die Treiberkonfiguration die Passwortrichtlinien für das Identity Manager-Skript an der richtigen Stelle und in der richtigen Reihenfolge enthält, wie in Schnitt 5.3.4, In der Treiberkonfiguration benötigte Richtlinien beschrieben.
  • Vergleichen Sie die Passwortrichtlinie im Identitätsdepot mit etwaigen Passwortrichtlinien, die von dem verbundenen System durchgesetzt werden, um sicherzustellen, dass die Richtlinien kompatibel sind.
Keine Email-Generierung bei Passwortfehlern
  • Aktivieren Sie in DSTrace die Einstellung +DXML, um sich die Regelverarbeitung durch Identity Manager ansehen zu können.
  • Stellen Sie die Identity Manager LDAP Trace-Stufe für den Treiber auf 3 ein.
  • Überzeugen Sie sich davon, dass die Regel für das Erzeugen einer Email-Benachrichtigung ausgewählt ist.
  • Überzeugen Sie sich davon, dass das Identitätsdepot-Objekt im Attribut „Internet EMail Address“ den richtigen Wert für den Benutzer enthält.
  • Stellen Sie sicher, dass der SMTP-Server und die Email-Schablone in der Aufgabe „Benachrichtigungskonfiguration“ richtig konfiguriert sind. Weitere Informationen hierzu finden Sie in Schnitt 5.12, Konfigurieren der Email-Benachrichtigung.

Email-Benachrichtigungen sind nicht-invasiv, d. h., sie haben keinerlei Auswirkungen auf die Verarbeitung des XML-Dokuments, das das Versenden der Email ausgelöst hat. Tritt beim Versand der Email-Benachrichtigung ein Fehler auf, wird der Vorgang nur dann wiederholt, wenn die Operation selbst wiederholt wird. Debug-Meldungen zu Email-Benachrichtigungen werden in die Trace-Datei geschrieben.

Fehler beim Ausführen der Task „Passwortstatus überprüfen“

Die Task „Passwortstatus überprüfen“ in iManager bewirkt, dass der Treiber die Aktion „Objektpasswort überprüfen“ ausführt.

  • Stellen Sie sicher, dass das verbundene System das Überprüfen von Passwörtern unterstützt. Weitere Informationen hierzu finden Sie in Schnitt 5.2, Unterstützung von verbundenen Systemen bei der Passwortsynchronisierung.

    Wenn das Treibermanifest nicht anzeigt, dass das verbundene System das Überprüfen von Passwörtern unterstützt, kann diese Operation über iManager nicht ausgeführt werden.

  • Wenn die Task „Objektpasswort überprüfen“ den Code „-603“ zurückgibt, fehlt im Identitätsdepot-Objekt das Attribut „nspmDistributionPassword“. Überprüfen Sie den Treiberfilter und die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren innerhalb der Passwortrichtlinie.
  • Wenn die Task „Objektpasswort überprüfen“ die Meldung Nicht synchronisiert zurückgibt, vergewissern Sie sich, dass die Treiberkonfiguration die entsprechenden Identity Manager-Passwortsynchronisierungsrichtlinien enthält.
  • Vergleichen Sie die Passwortrichtlinie im Identitätsdepot mit etwaigen Passwortrichtlinien, die von dem verbundenen System durchgesetzt werden, um sicherzustellen, dass die Richtlinien kompatibel sind.
  • Die Task Objektpasswort überprüfen überprüft das Verteilungspasswort. Wenn das Verteilungspasswort nicht aktualisiert wird, meldet die Aktion Objektpasswort überprüfen eventuell nicht, dass die Passwörter synchronisiert wurden.
  • Denken Sie daran, dass die Task Passwortstatus überprüfen für das Identitätsdepot das NDS-Passwort anstelle des universellen Passworts überprüft. Wenn also in der Passwortrichtlinie des Benutzers keine Synchronisierung des NDS-Passworts mit dem universellen Passwort festgelegt ist, wird immer gemeldet, dass die Passwörter nicht synchronisiert wurden. Das Verteilungspasswort und das Passwort auf dem verbundenen System können durchaus synchronisiert sein, die Task „Passwortstatus überprüfen“ liefert jedoch erst dann ein korrektes Ergebnis, wenn das NDS-Passwort und das Verteilungspasswort mit dem universellen Passwort synchronisiert wurden.
Hilfreiche DSTrace-Befehle

+DXML: Zum Anzeigen der Regelverarbeitung durch Identity Manager und möglicher Fehlermeldungen.

+DVRS: Zum Anzeigen der Meldungen des Identity Manager-Treibers

+AUTH:Zum Anzeigen der Änderungen am NDS-Passwort

5.8.5 Szenario 4: Tunneling – Synchronisieren verbundener Systeme (aber nicht eines Identitätsdepots) mit Aktualisierung des Verteilungspassworts durch Identity Manager

Identity Manager bietet die Möglichkeit, Passwörter zwischen verbundenen Systemen zu synchronisieren und das Identitätsdepot-Passwort separat zu behandeln. Diese Verfahrensweise wird als „Tunneling“ bezeichnet.

In diesem Szenario aktualisiert Identity Manager das Verteilungspasswort direkt. Dieses Szenario entspricht weitgehend Schnitt 5.8.4, Szenario 3: Synchronisieren des Identitätsdepots und der verbundenen Systeme mit Aktualisierung des Verteilungspassworts durch Identity Manager. Der einzige Unterschied besteht darin, dass Sie dafür sorgen, dass das universelle Passwort und das Verteilungspasswort nicht synchronisiert werden. Dazu verzichten Sie entweder auf die Verwendung von NMAS-Passwortrichtlinien oder Sie verwenden Passwortrichtlinien, bei denen die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren deaktiviert ist.

Vor- und Nachteile von Szenario 4

Tabelle 5-14 Vorteile durch Tunneling

Vorteile

Nachteile

Ermöglicht die Synchronisierung von Passwörtern zwischen verbundenen Systemen bei separater Behandlung des Identitätsdepot-Passworts.

Passwortrichtlinien sind nicht erforderlich.

Wenn Sie eine Passwortrichtlinie verwenden, muss darin das universelle Passwort nicht aktiviert sein. Die Umgebung muss jedoch das universelle Passwort unterstützen.

Unterstützt die Aufgabe „Passwortstatus überprüfen“ in iManager, wenn diese vom verbundenen System unterstützt wird.

Sie können festlegen, dass eine Benachrichtigung gesendet wird, falls bei der Passwortsynchronisierung ein Fehler auftritt.

Sie können das Passwort eines verbundenen Systems zurücksetzen, wenn dieses nicht der Passwortrichtlinie entspricht.

Wenn das universelle Passwort und erweiterte Passwortregeln aktiviert sind, werden Passwortrichtlinien erzwungen, wenn Sie dies festlegen, und Passwörter auf verbundenen Systemen können zurückgesetzt werden.

Wenn das universelle Passwort oder die erweiterten Passwortregeln nicht aktiviert sind, werden keine Passwortrichtlinien erzwungen und Passwörter auf verbundenen Systemen können nicht zurückgesetzt werden.

Das Diagramm zu diesem Szenario zeigt folgenden Verlauf:

  1. Passwörter treffen über Identity Manager ein.
  2. Identity Manager geht über NMAS, um das Verteilungspasswort direkt zu aktualisieren.
  3. Identity Manager verwendet das Verteilungspasswort auch, um Passwörter an verbundene Systeme zu übergeben, die Sie für das Akzeptieren von Passwörtern konfiguriert haben.

Entscheidend bei diesem Szenario ist, dass in der NMAS-Passwortrichtlinie die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren deaktiviert ist. Da das Verteilungspasswort nicht mit dem universellen Passwort synchronisiert wird, synchronisiert Identity Manager Passwörter zwischen verbundenen Systemen, ohne dass dies Auswirkungen auf Passwörter im Identitätsdepot hat.

Obwohl in diesem Diagramm gleich mehrere Systeme mit Identity Manager verbunden sind, gilt es zu beachten, dass die Einstellungen für die Treiber jedes verbundenen Systems einzeln festgelegt werden müssen.

Abbildung 5-14 Tunneling mit Aktualisierung des Verteilungspassworts durch Identity Manager

Beschreibung: Szenario 4

Einrichten von Szenario 4

Damit Sie diese Art der Passwortsynchronisierung einrichten können, müssen Sie Folgendes konfigurieren:

Implementierung des universellen Passworts

Obwohl in den Passwortrichtlinien das universelle Passwort nicht aktiviert sein muss, muss Ihre Umgebung dennoch eDirectory 8.7.3 (mit Unterstützung für das universelle Passwort) verwenden. Weitere Informationen hierzu finden Sie in Schnitt 5.4, Vorbereitungen zur Nutzung der Identity Manager-Passwortsynchronisierung und des universellen Passworts.

Konfiguration der Passwortrichtlinie

Bei dieser Methode wird für Identitätsdepot-Benutzer keine Passwortrichtlinie benötigt.

Wenn Sie dennoch eine Passwortrichtlinie verwenden möchten, müssen Sie Folgendes tun:

  1. Stellen Sie sicher, dass die folgenden Optionen nicht ausgewählt sind:

    • Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren

      Dieser Punkt ist entscheidend für das Tunneling von Passwörtern unter Ausschluss des Identitätsdepot-Passworts. Da das Verteilungspasswort nicht mit dem universellen Passwort synchronisiert wird, wird das Verteilungspasswort separat behandelt und nur von Identity Manager nur für verbundene Systeme verwendet. Identity Manager tritt dabei als „Tunnel“ auf, der Passwörter unter Ausschluss des Identitätsdepot-Passworts mit anderen verbundenen Systemen austauscht.

    Beschreibung: Einstellungen in der Passwortrichtlinie für Szenario 4

  2. Vervollständigen Sie die anderen Einstellungen der Passwortrichtlinie nach Bedarf.

    Die anderen Passworteinstellungen in der Passwortrichtlinie sind optional.

Fehlersuche bei Szenario 4

Wenn beim Tunneling eine Passwortsynchronisierung eingerichtet ist, unterscheidet sich das Verteilungspasswort vom universellen Passwort und vom NDS-Passwort.

Beachten Sie auch die Tipps in Schnitt 5.13, Fehlersuche bei der Passwortsynchronisierung.

Probleme bei der Anmeldung an einem anderen verbundenen System, das Passwörter abonniert

Dieser Abschnitt befasst sich mit der Fehlersuche in Situationen, in denen ein verbundenes System Passwörter gegenüber Identity Manager veröffentlicht, ein anderes verbundenes System, das ebenfalls Passwörter veröffentlicht, jedoch anscheinend keine Änderungen von dem anderen System mitgeteilt bekommt. Bei dieser Konstellation spricht man auch von einem „sekundären verbundenen System“, weil das zweite verbundene System die Passwörter über Identity Manager vom ersten verbundenen System erhält.

  • Aktivieren Sie in DSTrace die Einstellungen +DXML und +DVRS, um sich die Regelverarbeitung durch Identity Manager und mögliche Fehlermeldungen ansehen zu können.
  • Stellen Sie die Identity Manager LDAP Trace-Stufe für den Treiber auf 3 ein.
  • Stellen Sie sicher, dass auf der Seite „Passwortsynchronisierung“ die Option Identity Manager akzeptiert Passwörter (Herausgeberkanal) ausgewählt ist.
  • Stellen Sie sicher, dass in der Passwortrichtlinie die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren nicht ausgewählt ist.

    Identity Manager verwendet das Verteilungspasswort, um Passwörter mit verbundenen Systemen zu synchronisieren. Das universelle Passwort muss mit dem Verteilungspasswort synchronisiert sein, damit diese Synchronisierungsmethode funktioniert.

  • Stellen Sie sicher, dass der Treiberfilter die richtigen Einstellungen für das Attribut „nspmDistributionPassword“ enthält.
  • Überzeugen Sie sich davon, dass das <password>-Element für ein Add- und ein <modify-password>-Element für das Attribut „nspmDistributionPassword“ in die Attributoperationen „Add“ bzw. „Modify“ umgeändert wurden. Beobachten Sie zur Kontrolle den DSTrace-Bildschirm oder die Trace-Datei bei aktivierten Trace-Optionen, wie im ersten Arbeitsschritt erläutert.
  • Überzeugen Sie sich davon, dass die Treiberkonfiguration die Passwortrichtlinien für das Identity Manager-Skript an der richtigen Stelle und in der richtigen Reihenfolge enthält, wie in Schnitt 5.3.4, In der Treiberkonfiguration benötigte Richtlinien beschrieben.
  • Vergleichen Sie die Passwortrichtlinie im Identitätsdepot mit etwaigen Passwortrichtlinien, die von dem verbundenen System durchgesetzt werden, um sicherzustellen, dass die Richtlinien kompatibel sind.
Ausbleiben der Email bei Passwortfehlern
  • Aktivieren Sie in DSTrace die Einstellung +DXML, um sich die Regelverarbeitung durch Identity Manager ansehen zu können.
  • Stellen Sie die Identity Manager LDAP Trace-Stufe für den Treiber auf 3 ein.
  • Überzeugen Sie sich davon, dass die Regel für das Erzeugen einer Email-Benachrichtigung ausgewählt ist.
  • Überzeugen Sie sich davon, dass das Identitätsdepot-Objekt im Attribut „Internet EMail Address“ den richtigen Wert für den Benutzer enthält.
  • Kontrollieren Sie den SMTP-Server und die Email-Schablone in der Aufgabe „Benachrichtigungskonfiguration“. Weitere Informationen hierzu finden Sie in Schnitt 5.12, Konfigurieren der Email-Benachrichtigung.

Email-Benachrichtigungen sind nicht-invasiv, d. h., sie haben keinerlei Auswirkungen auf die Verarbeitung des XML-Dokuments, das das Versenden der Email ausgelöst hat. Tritt beim Versand der Email-Benachrichtigung ein Fehler auf, wird der Vorgang nur dann wiederholt, wenn die Operation selbst wiederholt wird. Debug-Meldungen zu Email-Benachrichtigungen werden in die Trace-Datei geschrieben.

Fehler beim Ausführen der Task „Passwortstatus überprüfen“

Die Task „Passwortstatus überprüfen“ in iManager bewirkt, dass der Treiber die Aktion „Objektpasswort überprüfen“ ausführt.

  • Stellen Sie sicher, dass das verbundene System das Überprüfen von Passwörtern unterstützt. Weitere Informationen hierzu finden Sie in Schnitt 5.2, Unterstützung von verbundenen Systemen bei der Passwortsynchronisierung.

    Wenn das Treibermanifest nicht anzeigt, dass das verbundene System das Überprüfen von Passwörtern unterstützt, kann diese Operation über iManager nicht ausgeführt werden.

  • Wenn die Task „Objektpasswort überprüfen“ den Code „-603“ zurückgibt, fehlt im Identitätsdepot-Objekt das Attribut „nspmDistributionPassword“. Überprüfen Sie den Filter für das Identity Manager-Attribut und die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren innerhalb der Passwortrichtlinie.
  • Wenn die Aktion „Objektpasswort überprüfen“ die Meldung Nicht synchronisiert zurückgibt, vergewissern Sie sich, dass die Treiberkonfiguration die entsprechenden Identity Manager-Passwortsynchronisierungsrichtlinien enthält.
  • Vergleichen Sie die Passwortrichtlinie im Identitätsdepot mit etwaigen Passwortrichtlinien, die von dem verbundenen System durchgesetzt werden, um sicherzustellen, dass die Richtlinien kompatibel sind.
  • Die Aktion „Objektpasswort überprüfen“ überprüft das Verteilungspasswort. Wenn das Verteilungspasswort nicht aktualisiert wird, meldet die Aktion „Objektpasswort überprüfen“ eventuell nicht, dass die Passwörter synchronisiert wurden.
Hilfreiche DSTrace-Befehle

+DXML: Zum Anzeigen der Regelverarbeitung durch Identity Manager und möglicher Fehlermeldungen.

+DVRS: Zum Anzeigen der Meldungen des Identity Manager-Treibers

+AUTH: Zum Anzeigen der Änderungen am NDS-Passwort

+DCLN: Zum Anzeigen von Meldungen des NDS DClient

5.8.6 Szenario 5: Synchronisieren von Anwendungspasswörtern mit dem einfachen Passwort

Dieses Szenario stellt eine Spezialverwendung der Funktionen für die Passwortsynchronisierung dar. Mit Identity Manager und NMAS können Sie ein Passwort aus einem verbundenen System direkt mit dem einfachen Passwort des Identitätsdepots synchronisieren. Wenn das verbundene System nur Hash-kodierte Passwörter liefert, können Sie diese mit dem einfachen Passwort synchronisieren, ohne die Hash-Kodierung umkehren zu müssen. Danach können sich andere Anwendungen gegenüber dem Identitätsdepot unter Verwendung dieses Passworts (im Klartext oder Hash-kodiert) über LDAP oder den Novell Client authentifizieren, wobei die NMAS-Komponenten so konfiguriert sind, dass sie das einfache Passwort als Anmeldemethode verwenden.

Wenn das Passwort auf dem verbundenen System im Klartext vorliegt, kann es in dieser Form vom verbundenen System aus im Speicherbereich des Identitätsdepots für einfache Passwörter veröffentlicht werden.

Wenn das verbundene System nur Hash-kodierte Passwörter bereitstellt (unterstützt werden die Algorithmen MD5, SHA, SHA1 und UNIX Crypt), müssen Sie diese unter Angabe der verwendeten Hash-Kodierung (z. B. {MD5}) gegenüber dem einfachen Passwort veröffentlichen.

Soll eine andere Anwendung mit dem gleichen Passwort eine Authentifizierung durchführen, müssen Sie die andere Anwendung so anpassen, dass diese sich unter Verwendung des Benutzerpassworts über LDAP gegenüber dem einfachen Passwort authentifiziert.

NMAS vergleicht den Passwortwert, den es von der Anwendung erhält, mit dem Wert im einfachen Passwort. Wenn es sich bei dem im einfachen Passwort gespeicherten Passwort um einen Hash-Wert handelt, erstellt NMAS zunächst aus dem Wert des von der Anwendung übergebenen Passworts den korrekten Hash-Wert und führt dann den Vergleich durch. Wenn das Passwort aus der Anwendung und das einfache Passwort identisch sind, authentifiziert NMAS den Benutzer.

In diesem Szenario kann das universelle Passwort nicht verwendet werden.

Vorteile beim Synchronisieren mit dem NDS-Passwort

Tabelle 5-15 Vorteile beim Synchronisieren mit dem NDS-Passwort

Vorteile

Nachteile
  • Ermöglicht die direkte Aktualisierung des einfachen Passworts.
  • Ermöglicht das Synchronisieren eines Hash-kodierten Passworts und dessen Verwendung für mehr als eine Anwendung, ohne die Hash-Kodierung umkehren zu müssen.
  • In diesem Szenario ist die Verwendung des universellen Passworts nicht möglich.
  • Die Funktionen „Passwort vergessen“ und „Passwortselbstbedienung“ können weiterhin in dem Maße verwendet werden, wie sie für das NDS-Passwort unterstützt werden, nicht jedoch in Verbindung mit dem einfachen Passwort.
  • Da die Aufgabe „Universelles Passwort festlegen“ vom universellen Passwort abhängig ist, kann der Administrator mit dieser Aufgabe kein Benutzerpasswort im Identitätsdepot festlegen.

Abbildung 5-15 Synchronisieren mit dem NDS-Passwort

Beschreibung: Diagramm: Hash-Kodierung beim einfachen Passwort

Szenario 5 einrichten

Konfiguration der Passwortrichtlinie

Bei dieser Methode wird für Benutzer keine Passwortrichtlinie benötigt. Das universelle Passwort kann nicht verwendet werden.

Einstellungen für die Passwortsynchronisierung

Bei diesem Szenario verwenden Sie Identity Manager Script, um das Attribut „SAS:Login Configuration“ direkt zu bearbeiten. Das bedeutet, dass die auf der Seite „Passwortsynchronisierung“ in iManager festgelegten Globalkonfigurationswerte (GCVs) für die Passwortsynchronisierung unwirksam sind.

Treiberkonfiguration

  1. Stellen Sie sicher, dass das Attribut „SAS:Login Configuration“ im Filter sowohl für den Herausgeberkanal als auch für den Abonnentenkanal auf Synchronisieren eingestellt ist.

    Beschreibung: Filtereinstellungen für „SAS:Login Configuration“

  2. Konfigurieren Sie die Treiberrichtlinien so, dass das Passwort aus dem verbundenen System veröffentlicht wird.

  3. Konfigurieren Sie die Treiberrichtlinien für Hash-kodierte Passwörter so, dass der Hash-Typ dem Passwort vorangestellt wird (falls dieser nicht schon von der Anwendung geliefert wird).

    • {MD5}hashed_password

      Dieses Passwort ist Base 64-kodiert.

    • {SHA}hashed_password

      Dieses Passwort ist Base 64-kodiert.

    • {CRYPT}hashed_password

    Klartextpasswörter und mit Unix Crypt Hash-kodierte Passwörter sind nicht Base64-kodiert.

  4. Um das Passwort an das einfache Passwort zu übergeben, konfigurieren Sie die Treiberrichtlinien so, dass das Attribut „SAS:Login Configuration“ verändert wird.

    Das folgende Beispiel zeigt, wie das Element „modify-attr“ innerhalb einer modify-Operation verwendet wird, um das einfache Passwort in ein mit MD5 Hash-kodiertes Passwort umzuändern:

    <modify-attr attr-name="SAS:Login Configuration>
    <add-value>
        <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value>
    </add-value>
</modify-attr>

    Richten Sie sich bei Klartextpasswörtern nach folgendem Beispiel: 

    <modify-attr attr-name="SAS:Login Configuration>
    <add-value>
        <value>clearpwd</value>
    </add-value>
</modify-attr>

    Bei add-Operationen enthält das Element „add-attr“ eine der folgenden Werte:

    <add-attr attr-name="SAS:Login Configuration>
    <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value>
</add-attr>

    oder: 

    <add-attr attr-name="SAS:Login Configuration>
    <value>clearpwd</value>
</add-attr>