Mit der Funktion für die Passwortsynchronisierung in Identity Manager können Sie verschiedene Szenarios implementieren. In diesem Abschnitt werden einfache Szenarios beschrieben, um zu verdeutlichen, wie sich die Einstellungen der Identity Manager-Passwortsynchronisierung und die NMAS-Passwortrichtlinien auf die Synchronisierung von Passwörtern auswirken. Sie können ein oder mehrere dieser Szenarios verwenden, um den Erfordernissen Ihrer Umgebung gerecht zu werden.
Dienstprogramme wie iManager und der Novell Client kommunizieren mit NMAS, anstatt ein bestimmtes Passwort direkt zu aktualisieren. NMAS ist die Instanz, die entscheidet, welche Passwörter aktualisiert werden.
NMAS synchronisiert Passwörter innerhalb eines Identitätsdepots und verwendet dazu die Einstellungen aus den NMAS-Passwortrichtlinien.
Ältere Dienstprogramme, die das universelle Passwort noch nicht unterstützen, aktualisieren das NDS-Passwort direkt, anstatt mit NMAS zu kommunizieren und NMAS die Entscheidung zu überlassen, welche Passwörter aktualisiert werden müssen. Beachten Sie, wie Benutzer und Helpdesk-Administratoren in Ihrer Umgebung ältere Dienstprogrammen nutzen. Da ältere Dienstprogramme das NDS-Passwort nicht über NMAS, sondern direkt aktualisieren, kann es zu einer Passwortdivergenz (d. h. zu fehlender Synchronisierung zwischen dem universellen Passwort und dem NDS-Passwort) kommen, wenn Sie das universelle Passwort und NMAS 2.3 verwenden.
Damit das universelle Passwort unterstützt wird, müssen Sie sicherstellen, dass die Benutzer auf den Novell Client aufrüsten und die Helpdesk-Benutzer ConsoleOne nur in Verbindung mit der neuesten Version des Novell Client oder von NetWare einsetzen.
Abbildung 5-5 Passwortsynchronisierung über NMAS
Identity Manager steuert den “Einstiegspunkt” (für die direkte Aktualisierung des universellen Passworts oder des Verteilungspassworts). NMAS steuert den Transfer bei der Passwortsynchronisierung innerhalb des Identitätsdepots.
In Szenario 1 kann der Identity Manager-Treiber für eDirectory verwendet werden, um das NDS-Passwort direkt zu aktualisieren. Dieses Szenario entspricht im Wesentlichen dem in DirXML 1.x angegebenen Szenario.
In Szenario 2, Szenario 3 und Szenario 4 wird Identity Manager zur Aktualisierung des universellen Passworts oder des Verteilungspassworts verwendet. Identity Manager nimmt über NMAS Passwortänderungen vor. Auf diese Weise kann NMAS andere Passwörter im Identitätsdepot gemäß den Einstellungen der NMAS-Passwortrichtlinie aktualisieren und erweiterte Passwortregeln aus NMAS-Passwortrichtlinien bei Passwörtern durchsetzen, die mit verbundenen Systemen synchronisiert werden. In diesen Szenarios verteilt Identity Manager stets das Verteilungspasswort an die verbundenen Systeme.
Szenario 2, Szenario 3 und Szenario 4 unterscheiden sich durch die unterschiedlichen Kombinationen der Einstellungen für die NMAS-Passwortrichtlinien und die Identity Manager-Passwortsynchronisierung für jeden verbundenen Systemtreiber.
Wie bereits in Version 1.0 der Passwortsynchronisierung können Sie das NDS-Passwort unter Verwendung des eDirectory-Treibers zwischen zwei Identitätsdepots synchronisieren. Für dieses Szenario muss das universelle Passwort nicht implementiert sein; das Verfahren kann mit eDirectory 8.6.2 oder höher durchgeführt werden. Diese Art der Passwortsynchronisierung wird als Synchronisierung des öffentlichen/privaten Schlüsselpaars bezeichnet.
Diese Methode sollte nur zum Synchronisieren von Passwörtern zwischen zwei Identitätsdepots angewandt werden. Da NMAS hierbei nicht zur Verwendung kommt, können mit dieser Methode keine Passwörter für verbundene Anwendungen synchronisiert werden.
Tabelle 5-11 Vorteile: Passwortsynchronisierung zwischen eDirectory und eDirectory mittels NDS-Passwort
Das folgende Diagramm zeigt, dass der Identity Manager-Treiber für eDirectory wie in DirXML 1.x verwendet werden kann, um das NDS-Passwort zwischen zwei Identitätsdepots zu synchronisieren. In diesem Szenario wird NMAS nicht verwendet.
Abbildung 5-6 Synchronisierung zwischen zwei Identitätsdepots über das NDS-Passwort
Damit Sie diese Art der Passwortsynchronisierung einrichten können, müssen Sie zunächst den Treiber konfigurieren.
Nicht erforderlich.
Keine.
Keine. Die Einstellungen auf der Seite „Passwortsynchronisierung“ für einen Treiber haben bei dieser Methode der Synchronisierung eines NDS-Passworts keine Auswirkungen.
Entfernen Sie die in Schnitt 5.3.4, In der Treiberkonfiguration benötigte Richtlinien aufgeführten Passwortsynchronisierungsrichtlinien. Diese Richtlinien zielen auf die Unterstützung des universellen Passworts und des Verteilungspassworts ab. Das NDS-Passwort wird nicht über diese Richtlinien, sondern über die Attribute für den privaten und öffentlichen Schlüssel synchronisiert.
Stellen Sie sicher, dass der Treiberfilter für die Treiber beider Identitätsdepots die Attribute des öffentlichen und des privaten Schlüssels für alle Objektklassen synchronisiert, für die Passwörter synchronisiert werden sollten. Die folgende Abbildung zeigt hierfür ein Beispiel.
Abbildung 5-7 Synchronisieren der Attribute für den privaten und den öffentlichen Schlüssel
Mit Identity Manager können Sie ein Passwort aus einem verbundenen System mit dem universellen Passwort im Identitätsdepot synchronisieren.
Wenn das universelle Passwort aktualisiert wird, kann auch das NDS-Passwort, das Verteilungspasswort oder das einfache Passwort aktualisiert werden (in Abhängigkeit von den Einstellungen in der NMAS-Passwortrichtlinie).
Jedes verbundene System kann Passwörter an Identity Manager veröffentlichen, wenn auch nicht alle Systeme das tatsächliche Passwort des Benutzers bereitstellen können. So kann beispielsweise Active Directory das tatsächliche Passwort eines Benutzers an Identity Manager veröffentlichen. Obwohl PeopleSoft kein Passwort aus dem System bereitstellt, kann es ein Ausgangspasswort bereitstellen, das in einer Richtlinie in der Treiberkonfiguration erstellt wurde (z. B. unter Verwendung der Mitarbeiter-ID oder des Nachnamens). Nicht alle Treiber können Passwortänderungen von Identity Manager abonnieren. Weitere Informationen hierzu finden Sie in Schnitt 5.2, Unterstützung von verbundenen Systemen bei der Passwortsynchronisierung.
Tabelle 5-12 Vorteile: Synchronisieren unter Verwendung des universellen Passworts
Das Diagramm zu diesem Szenario zeigt folgenden Verlauf:
Obwohl in diesem Diagramm gleich mehrere Systeme mit Identity Manager verbunden sind, gilt es zu beachten, dass die Einstellungen für die Treiber jedes verbundenen Systems einzeln festgelegt werden müssen.
Abbildung 5-8 Passwortsynchronisierung über das universelle Passwort
So richten Sie diese Art der Passwortsynchronisierung ein:
Überzeugen Sie sich davon, dass die Verwendung des universellen Passworts in Ihrer Umgebung möglich ist. Weitere Informationen hierzu finden Sie in Schnitt 5.4, Vorbereitungen zur Nutzung der Identity Manager-Passwortsynchronisierung und des universellen Passworts.
Stellen Sie sicher, dass den Teilen des Identitätsdepots, für die Sie diese Art der Passwortsynchronisierung einrichten möchten, eine NMAS-Passwortrichtlinie zugewiesen ist.
Klicken Sie in iManager auf
> .Wählen Sie eine Richtlinie aus und klicken Sie anschließend auf
.Suchen Sie das Objekt, in dem die Passwortsynchronisierung stattfinden soll, und wählen Sie es aus.
Sie können die Richtlinie der gesamten Baumstruktur (durch Auswahl des Objekts „Login Policy“ [Anmelderichtlinie] im Sicherheitscontainer), einem Partitionsstammcontainer, einem Container oder einem bestimmten Benutzer zuweisen. Es empfiehlt sich, Passwortrichtlinien einer möglichst hohen Ebene im Baum zuzuweisen, um die Verwaltung zu vereinfachen.
In der Passwortrichtlinie müssen folgende Optionen ausgewählt sein:
Da Identity Manager das Verteilungspasswort abruft, um Passwörter an verbundene Systeme zu verteilen, ist eine Passwortsynchronisierung in beide Richtungen nur möglich, wenn diese Option aktiviert ist.
Vervollständigen Sie die Passwortrichtlinie nach Bedarf.
NMAS erzwingt die erweiterten Passwortregeln in den Passwortrichtlinien, wenn die Regeln aktiviert sind. Wenn Sie nicht möchten, dass die Regeln der Passwortrichtlinie erzwungen werden, können Sie die Option
deaktivieren.Bei der Verwendung von erweiterten Passwortregeln müssen Sie sicherstellen, dass diese nicht im Widerspruch zu den Passwortrichtlinien auf den verbundenen Systemen stehen, die Passwörter abonnieren.
Klicken Sie in iManager auf
> .Suchen Sie nach Treibern für die verbundenen Systeme und wählen Sie dann einen Treiber aus.
Nehmen Sie Einstellungen für den Treiber für das verbundene System vor.
Stellen Sie sicher, dass die folgenden Optionen ausgewählt sind:
Wenn das Treibermanifest die Funktion „password-publish“ nicht enthält, wird auf der Seite eine entsprechende Meldung angezeigt. Auf diese Weise wird dem Benutzer mitgeteilt, dass keine Passwörter aus der Anwendung abgerufen werden können und diese nur durch Erstellen eines Passworts mittels einer Richtlinie in der Treiberkonfiguration veröffentlicht werden können.
Wenn das verbundene System Passwörter nicht akzeptiert, wird die Option grau angezeigt.
Diese Einstellungen ermöglichen die Passwortsynchronisierung in beide Richtungen, wenn diese vom verbundenen System unterstützt wird.
Sie können die Einstellungen an Ihre Geschäftsrichtlinien für die autorisierte Quelle für Passwörter anpassen. Wenn ein verbundenes System Passwörter z. B. nur abonnieren, jedoch nicht veröffentlichen soll, wählen Sie nur die Option
.Stellen Sie sicher, dass die Option
nicht aktiviert ist:In diesem Szenario aktualisiert Identity Manager das universelle Passwort direkt. Das Verteilungspasswort wird weiterhin für die Verteilung von Passwörtern an verbundene Systeme verwendet, es wird jedoch anstelle von Identity Manager von NMAS über das universelle Passwort aktualisiert.
(Optional) Wählen Sie gegebenenfalls Folgendes aus:
Denken Sie daran, dass das Attribut „Internet-Email-Adresse“ des eDirectory-Benutzerobjekts in mit einem Wert belegt sein muss, damit Email-Benachrichtigungen gesendet werden können.
Email-Benachrichtigungen sind nicht-invasiv, d. h., sie haben keinerlei Auswirkungen auf die Verarbeitung des XML-Dokuments, das das Versenden der Email ausgelöst hat. Tritt beim Versand der Email-Benachrichtigung ein Fehler auf, wird der Vorgang nur dann wiederholt, wenn die Operation selbst wiederholt wird. Debug-Meldungen zu Email-Benachrichtigungen werden trotzdem in die Trace-Datei geschrieben.
Stellen Sie sicher, dass die erforderlichen Passwortsynchronisierungsrichtlinien für das Identity Manager-Skript in den Treiberkonfigurationen aller Treiber enthalten sind, die an der Passwortsynchronisierung teilnehmen sollen.
Die Richtlinien müssen sich in der Treiberkonfiguration an der richtigen Stelle und in der richtigen Reihenfolge befinden. Eine Aufstellung der Richtlinien finden Sie in Schnitt 5.3.4, In der Treiberkonfiguration benötigte Richtlinien.
Die Identity Manager-Beispielkonfigurationen enthalten die Richtlinien bereits. Wenn Sie einen vorhandenen Treiber upgraden, können Sie die Richtlinien wie in Schnitt 5.7, Upgrade bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung beschrieben hinzufügen.
Stellen Sie den Filter für das Attribut „nspmDistributionPassword“ richtig ein:
Setzen Sie für alle Objekte, bei denen der Wert
für das Attribut „nspmDistributionPassword“ eingestellt ist, die Attribute „Public Key“ und „Private Key“ auf .Damit die Passwortsicherheit gewährleistet ist, müssen Sie die Kontrolle darüber behalten, wer Zugriffsrechte auf Identity Manager-Objekte haben soll.
Beachten Sie auch die Tipps in Schnitt 5.13, Fehlersuche bei der Passwortsynchronisierung.
Das folgende Flussdiagramm zeigt, wie NMAS mit dem von Identity Manager empfangenen Passwort verfährt. In diesem Szenario wird das Passwort mit dem universellen Passwort synchronisiert. NMAS entscheidet nach den folgenden Kriterien, wie das Passwort zu behandeln ist:
Abbildung 5-9 Wie NMAS mit dem von Identity Manager empfangenen Passwort verfährt
Abbildung 5-10 DSTrace-Befehle
Dieser Abschnitt befasst sich mit der Fehlersuche in Fällen, in denen ein verbundenes System Passwörter gegenüber Identity Manager veröffentlicht, aber ein anderes verbundenes System, das Passwörter veröffentlicht, keine Änderungen von dem anderen System mitgeteilt bekommt. Bei dieser Konstellation spricht man auch von einem „sekundären verbundenen System“, weil das zweite verbundene System die Passwörter über Identity Manager vom ersten verbundenen System erhält.
Die Task „Passwortstatus überprüfen“ in iManager bewirkt, dass der Treiber die Aktion „Objektpasswort überprüfen“ ausführt. Wenn dabei Probleme auftreten, sollten Sie Folgendes überprüfen:
: Zum Anzeigen der Regelverarbeitung durch Identity Manager und möglicher Fehlermeldungen
: Zum Anzeigen der Meldungen des Identity Manager-Treibers
: Zum Anzeigen der Änderungen am NDS-Passwort
In diesem Szenario aktualisiert Identity Manager das Verteilungspasswort direkt und lässt NMAS entscheiden, wie die anderen Passwörter des Identitätsdepots synchronisiert werden sollen.
Jedes verbundene System kann Passwörter an Identity Manager veröffentlichen, wenn auch nicht alle Systeme das tatsächliche Passwort des Benutzers bereitstellen können. So kann beispielsweise Active Directory das tatsächliche Passwort eines Benutzers an Identity Manager veröffentlichen. Obwohl PeopleSoft kein Passwort aus dem System bereitstellt, kann es ein Ausgangspasswort bereitstellen, das in einer Richtlinie in der Treiberkonfiguration erstellt wurde (z. B. unter Verwendung der Mitarbeiter-ID oder des Nachnamens). Nicht alle Treiber können Passwortänderungen von Identity Manager abonnieren. Weitere Informationen hierzu finden Sie in Schnitt 5.2, Unterstützung von verbundenen Systemen bei der Passwortsynchronisierung.
Tabelle 5-13 Vorteile: Synchronisieren des Identitätsdepots und der verbundenen Systeme durch Aktualisierung des Verteilungspassworts
Das Diagramm zu diesem Szenario zeigt folgenden Verlauf:
Obwohl in diesem Diagramm gleich mehrere Systeme mit Identity Manager verbunden sind, gilt es zu beachten, dass die Einstellungen für die Treiber jedes verbundenen Systems einzeln festgelegt werden müssen.
Abbildung 5-11 Synchronisieren des Identitätsdepots und der verbundenen Systeme durch Aktualisierung des Verteilungspassworts
So richten Sie diese Art der Passwortsynchronisierung ein:
Überzeugen Sie sich davon, dass die Verwendung des universellen Passworts in Ihrer Umgebung problemlos möglich ist. Weitere Informationen hierzu finden Sie in Schnitt 5.4, Vorbereitungen zur Nutzung der Identity Manager-Passwortsynchronisierung und des universellen Passworts.
Klicken Sie in iManager auf
> .Stellen Sie sicher, dass den Teilen des Identitätsdepot-Baums, für die Sie diese Art der Passwortsynchronisierung einrichten möchten, eine Passwortrichtlinie zugewiesen ist. Sie können diese Richtlinie der gesamten Baumstruktur, einem Partitionsstammcontainer, einem Container oder einem bestimmten Benutzer zuweisen. Es empfiehlt sich, Passwortrichtlinien einer möglichst hohen Ebene im Baum zuzuweisen, um die Verwaltung zu vereinfachen.
In der Passwortrichtlinie müssen folgende Optionen ausgewählt sein:
Da Identity Manager das Verteilungspasswort abruft, um Passwörter an verbundene Systeme zu verteilen, ist eine Passwortsynchronisierung in beide Richtungen nur möglich, wenn diese Option ausgewählt ist.
Bei der Verwendung von erweiterten Passwortregeln müssen Sie sicherstellen, dass diese nicht im Widerspruch zu den Passwortrichtlinien auf den verbundenen Systemen stehen, die Passwörter abonnieren.
Klicken Sie in iManager auf
> .Suchen Sie nach Treibern für die verbundenen Systeme und wählen Sie dann einen Treiber aus.
Nehmen Sie Einstellungen für den Treiber für das verbundene System vor.
Stellen Sie sicher, dass die folgenden Optionen ausgewählt sind:
Wenn das Treibermanifest die Funktion “password-publish” nicht enthält, wird auf der Seite eine entsprechende Meldung angezeigt. Auf diese Weise wird dem Benutzer mitgeteilt, dass keine Passwörter aus der Anwendung abgerufen werden können und diese nur durch Erstellen eines Passworts mittels einer Richtlinie in der Treiberkonfiguration veröffentlicht werden können.
Diese Einstellungen ermöglichen die Passwortsynchronisierung in beide Richtungen, wenn diese vom verbundenen System unterstützt wird.
Sie können die Einstellungen an Ihre Geschäftsrichtlinien für die autorisierte Quelle für Passwörter anpassen. Wenn ein verbundenes System Passwörter z. B. nur abonnieren, jedoch nicht veröffentlichen soll, wählen Sie nur die Option
.Legen Sie mit den Optionen unter
fest, ob NMAS-Passwortrichtlinien erzwungen oder ignoriert werden sollen.(Sofern zutreffend) Wenn Sie festgelegt haben, dass Passwortrichtlinien erzwungen werden sollen, müssen Sie auch angeben, ob Identity Manager das Passwort des verbundenen Systems zurücksetzen soll, wenn es nicht regelkonform ist.
(Optional) Wählen Sie gegebenenfalls Folgendes aus:
Denken Sie daran, dass das Attribut „Internet-Email-Adresse“ im Benutzerobjekt in eDirectory mit einem Wert belegt sein muss, damit Email-Benachrichtigungen gesendet werden können.
Email-Benachrichtigungen sind nicht-invasiv, d. h., sie haben keinerlei Auswirkungen auf die Verarbeitung des XML-Dokuments, das die Email ausgelöst hat. Tritt beim Versand der Email-Benachrichtigung ein Fehler auf, wird der Vorgang nur dann wiederholt, wenn die Operation selbst wiederholt wird. Debug-Meldungen zu Email-Benachrichtigungen werden trotzdem in die Trace-Datei geschrieben.
Stellen Sie sicher, dass die erforderlichen Passwortsynchronisierungsrichtlinien für das Identity Manager-Skript in den Treiberkonfigurationen aller Treiber enthalten sind, die an der Passwortsynchronisierung teilnehmen sollen.
Die Richtlinien müssen sich in der Treiberkonfiguration an der richtigen Stelle und in der richtigen Reihenfolge befinden. Eine Aufstellung der Richtlinien finden Sie in Schnitt 5.3.4, In der Treiberkonfiguration benötigte Richtlinien.
Die Identity Manager-Beispielkonfigurationen enthalten die Richtlinien bereits. Wenn Sie einen vorhandenen Treiber upgraden möchten, können Sie die Richtlinien wie in Schnitt 5.7, Upgrade bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung beschrieben hinzufügen.
Stellen Sie den Filter für das Attribut „nspmDistributionPassword“ richtig ein:
Setzen Sie für alle Objekte, bei denen der Wert
für das Attribut „nspmDistributionPassword“ eingestellt wurde, die Attribute „Öffentlicher Schlüssel“ und „Privater Schlüssel“ im Treiberfilter auf .Damit die Passwortsicherheit gewährleistet ist, müssen Sie die Kontrolle darüber behalten, wer Zugriffsrechte auf Identity Manager-Objekte haben soll.
Beachten Sie auch die Tipps in Schnitt 5.13, Fehlersuche bei der Passwortsynchronisierung.
Das folgende Flussdiagramm zeigt, wie NMAS mit dem von Identity Manager empfangenen Passwort verfährt. In diesem Szenario wird das Passwort mit dem Verteilungspasswort synchronisiert; dabei trifft NMAS folgende Entscheidungen:
Abbildung 5-12 Das Passwort aus Identity Manager wird mit dem Verteilungspasswort synchronisiert
Abbildung 5-13 DSTrace-Befehle
Es sind Versionen des Novell Client und von ConsoleOne verfügbar, die das universelle Passwort erkennen. Weitere Informationen hierzu finden Sie im NMAS 3.0 Administration Guide (MAS 3.0 Administrationshandbuch).
Dieser Abschnitt befasst sich mit der Fehlersuche in Situationen, in denen ein verbundenes System Passwörter gegenüber Identity Manager veröffentlicht, ein anderes verbundenes System, das ebenfalls Passwörter veröffentlicht, jedoch anscheinend keine Änderungen von dem anderen System mitgeteilt bekommt. Bei dieser Konstellation spricht man auch von einem „sekundären verbundenen System“, weil das zweite verbundene System die Passwörter über Identity Manager vom ersten verbundenen System erhält.
Identity Manager verwendet das Verteilungspasswort, um Passwörter mit verbundenen Systemen zu synchronisieren. Das universelle Passwort muss mit dem Verteilungspasswort synchronisiert sein, damit diese Synchronisierungsmethode funktioniert.
Email-Benachrichtigungen sind nicht-invasiv, d. h., sie haben keinerlei Auswirkungen auf die Verarbeitung des XML-Dokuments, das das Versenden der Email ausgelöst hat. Tritt beim Versand der Email-Benachrichtigung ein Fehler auf, wird der Vorgang nur dann wiederholt, wenn die Operation selbst wiederholt wird. Debug-Meldungen zu Email-Benachrichtigungen werden in die Trace-Datei geschrieben.
Die Task „Passwortstatus überprüfen“ in iManager bewirkt, dass der Treiber die Aktion „Objektpasswort überprüfen“ ausführt.
Wenn das Treibermanifest nicht anzeigt, dass das verbundene System das Überprüfen von Passwörtern unterstützt, kann diese Operation über iManager nicht ausgeführt werden.
: Zum Anzeigen der Regelverarbeitung durch Identity Manager und möglicher Fehlermeldungen.
: Zum Anzeigen der Meldungen des Identity Manager-Treibers
Zum Anzeigen der Änderungen am NDS-Passwort
Identity Manager bietet die Möglichkeit, Passwörter zwischen verbundenen Systemen zu synchronisieren und das Identitätsdepot-Passwort separat zu behandeln. Diese Verfahrensweise wird als „Tunneling“ bezeichnet.
In diesem Szenario aktualisiert Identity Manager das Verteilungspasswort direkt. Dieses Szenario entspricht weitgehend Schnitt 5.8.4, Szenario 3: Synchronisieren des Identitätsdepots und der verbundenen Systeme mit Aktualisierung des Verteilungspassworts durch Identity Manager. Der einzige Unterschied besteht darin, dass Sie dafür sorgen, dass das universelle Passwort und das Verteilungspasswort nicht synchronisiert werden. Dazu verzichten Sie entweder auf die Verwendung von NMAS-Passwortrichtlinien oder Sie verwenden Passwortrichtlinien, bei denen die Option deaktiviert ist.
Tabelle 5-14 Vorteile durch Tunneling
Das Diagramm zu diesem Szenario zeigt folgenden Verlauf:
Entscheidend bei diesem Szenario ist, dass in der NMAS-Passwortrichtlinie die Option
deaktiviert ist. Da das Verteilungspasswort nicht mit dem universellen Passwort synchronisiert wird, synchronisiert Identity Manager Passwörter zwischen verbundenen Systemen, ohne dass dies Auswirkungen auf Passwörter im Identitätsdepot hat.Obwohl in diesem Diagramm gleich mehrere Systeme mit Identity Manager verbunden sind, gilt es zu beachten, dass die Einstellungen für die Treiber jedes verbundenen Systems einzeln festgelegt werden müssen.
Abbildung 5-14 Tunneling mit Aktualisierung des Verteilungspassworts durch Identity Manager
Damit Sie diese Art der Passwortsynchronisierung einrichten können, müssen Sie Folgendes konfigurieren:
Obwohl in den Passwortrichtlinien das universelle Passwort nicht aktiviert sein muss, muss Ihre Umgebung dennoch eDirectory 8.7.3 (mit Unterstützung für das universelle Passwort) verwenden. Weitere Informationen hierzu finden Sie in Schnitt 5.4, Vorbereitungen zur Nutzung der Identity Manager-Passwortsynchronisierung und des universellen Passworts.
Bei dieser Methode wird für Identitätsdepot-Benutzer keine Passwortrichtlinie benötigt.
Wenn Sie dennoch eine Passwortrichtlinie verwenden möchten, müssen Sie Folgendes tun:
Stellen Sie sicher, dass die folgenden Optionen nicht ausgewählt sind:
Dieser Punkt ist entscheidend für das Tunneling von Passwörtern unter Ausschluss des Identitätsdepot-Passworts. Da das Verteilungspasswort nicht mit dem universellen Passwort synchronisiert wird, wird das Verteilungspasswort separat behandelt und nur von Identity Manager nur für verbundene Systeme verwendet. Identity Manager tritt dabei als „Tunnel“ auf, der Passwörter unter Ausschluss des Identitätsdepot-Passworts mit anderen verbundenen Systemen austauscht.
Vervollständigen Sie die anderen Einstellungen der Passwortrichtlinie nach Bedarf.
Die anderen Passworteinstellungen in der Passwortrichtlinie sind optional.
Verwenden Sie die gleichen Einstellungen wie unter Einstellungen für die Passwortsynchronisierung in Schnitt 5.8.4, Szenario 3: Synchronisieren des Identitätsdepots und der verbundenen Systeme mit Aktualisierung des Verteilungspassworts durch Identity Manager.
Verwenden Sie die gleichen Einstellungen wie unter Treiberkonfiguration in Schnitt 5.8.4, Szenario 3: Synchronisieren des Identitätsdepots und der verbundenen Systeme mit Aktualisierung des Verteilungspassworts durch Identity Manager.
Wenn beim Tunneling eine Passwortsynchronisierung eingerichtet ist, unterscheidet sich das Verteilungspasswort vom universellen Passwort und vom NDS-Passwort.
Beachten Sie auch die Tipps in Schnitt 5.13, Fehlersuche bei der Passwortsynchronisierung.
Dieser Abschnitt befasst sich mit der Fehlersuche in Situationen, in denen ein verbundenes System Passwörter gegenüber Identity Manager veröffentlicht, ein anderes verbundenes System, das ebenfalls Passwörter veröffentlicht, jedoch anscheinend keine Änderungen von dem anderen System mitgeteilt bekommt. Bei dieser Konstellation spricht man auch von einem „sekundären verbundenen System“, weil das zweite verbundene System die Passwörter über Identity Manager vom ersten verbundenen System erhält.
Identity Manager verwendet das Verteilungspasswort, um Passwörter mit verbundenen Systemen zu synchronisieren. Das universelle Passwort muss mit dem Verteilungspasswort synchronisiert sein, damit diese Synchronisierungsmethode funktioniert.
Email-Benachrichtigungen sind nicht-invasiv, d. h., sie haben keinerlei Auswirkungen auf die Verarbeitung des XML-Dokuments, das das Versenden der Email ausgelöst hat. Tritt beim Versand der Email-Benachrichtigung ein Fehler auf, wird der Vorgang nur dann wiederholt, wenn die Operation selbst wiederholt wird. Debug-Meldungen zu Email-Benachrichtigungen werden in die Trace-Datei geschrieben.
Die Task „Passwortstatus überprüfen“ in iManager bewirkt, dass der Treiber die Aktion „Objektpasswort überprüfen“ ausführt.
Wenn das Treibermanifest nicht anzeigt, dass das verbundene System das Überprüfen von Passwörtern unterstützt, kann diese Operation über iManager nicht ausgeführt werden.
: Zum Anzeigen der Regelverarbeitung durch Identity Manager und möglicher Fehlermeldungen.
: Zum Anzeigen der Meldungen des Identity Manager-Treibers
: Zum Anzeigen der Änderungen am NDS-Passwort
: Zum Anzeigen von Meldungen des NDS DClient
Dieses Szenario stellt eine Spezialverwendung der Funktionen für die Passwortsynchronisierung dar. Mit Identity Manager und NMAS können Sie ein Passwort aus einem verbundenen System direkt mit dem einfachen Passwort des Identitätsdepots synchronisieren. Wenn das verbundene System nur Hash-kodierte Passwörter liefert, können Sie diese mit dem einfachen Passwort synchronisieren, ohne die Hash-Kodierung umkehren zu müssen. Danach können sich andere Anwendungen gegenüber dem Identitätsdepot unter Verwendung dieses Passworts (im Klartext oder Hash-kodiert) über LDAP oder den Novell Client authentifizieren, wobei die NMAS-Komponenten so konfiguriert sind, dass sie das einfache Passwort als Anmeldemethode verwenden.
Wenn das Passwort auf dem verbundenen System im Klartext vorliegt, kann es in dieser Form vom verbundenen System aus im Speicherbereich des Identitätsdepots für einfache Passwörter veröffentlicht werden.
Wenn das verbundene System nur Hash-kodierte Passwörter bereitstellt (unterstützt werden die Algorithmen MD5, SHA, SHA1 und UNIX Crypt), müssen Sie diese unter Angabe der verwendeten Hash-Kodierung (z. B. {MD5}) gegenüber dem einfachen Passwort veröffentlichen.
Soll eine andere Anwendung mit dem gleichen Passwort eine Authentifizierung durchführen, müssen Sie die andere Anwendung so anpassen, dass diese sich unter Verwendung des Benutzerpassworts über LDAP gegenüber dem einfachen Passwort authentifiziert.
NMAS vergleicht den Passwortwert, den es von der Anwendung erhält, mit dem Wert im einfachen Passwort. Wenn es sich bei dem im einfachen Passwort gespeicherten Passwort um einen Hash-Wert handelt, erstellt NMAS zunächst aus dem Wert des von der Anwendung übergebenen Passworts den korrekten Hash-Wert und führt dann den Vergleich durch. Wenn das Passwort aus der Anwendung und das einfache Passwort identisch sind, authentifiziert NMAS den Benutzer.
In diesem Szenario kann das universelle Passwort nicht verwendet werden.
Tabelle 5-15 Vorteile beim Synchronisieren mit dem NDS-Passwort
Abbildung 5-15 Synchronisieren mit dem NDS-Passwort
Bei dieser Methode wird für Benutzer keine Passwortrichtlinie benötigt. Das universelle Passwort kann nicht verwendet werden.
Bei diesem Szenario verwenden Sie Identity Manager Script, um das Attribut „SAS:Login Configuration“ direkt zu bearbeiten. Das bedeutet, dass die auf der Seite „Passwortsynchronisierung“ in iManager festgelegten Globalkonfigurationswerte (GCVs) für die Passwortsynchronisierung unwirksam sind.
Stellen Sie sicher, dass das Attribut „SAS:Login Configuration“ im Filter sowohl für den Herausgeberkanal als auch für den Abonnentenkanal auf
eingestellt ist.Konfigurieren Sie die Treiberrichtlinien so, dass das Passwort aus dem verbundenen System veröffentlicht wird.
Konfigurieren Sie die Treiberrichtlinien für Hash-kodierte Passwörter so, dass der Hash-Typ dem Passwort vorangestellt wird (falls dieser nicht schon von der Anwendung geliefert wird).
Dieses Passwort ist Base 64-kodiert.
Dieses Passwort ist Base 64-kodiert.
Klartextpasswörter und mit Unix Crypt Hash-kodierte Passwörter sind nicht Base64-kodiert.
Um das Passwort an das einfache Passwort zu übergeben, konfigurieren Sie die Treiberrichtlinien so, dass das Attribut „SAS:Login Configuration“ verändert wird.
Das folgende Beispiel zeigt, wie das Element „modify-attr“ innerhalb einer modify-Operation verwendet wird, um das einfache Passwort in ein mit MD5 Hash-kodiertes Passwort umzuändern:
<modify-attr attr-name="SAS:Login Configuration> <add-value> <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value> </add-value> </modify-attr>
Richten Sie sich bei Klartextpasswörtern nach folgendem Beispiel:
<modify-attr attr-name="SAS:Login Configuration> <add-value> <value>clearpwd</value> </add-value> </modify-attr>
Bei add-Operationen enthält das Element „add-attr“ eine der folgenden Werte:
<add-attr attr-name="SAS:Login Configuration> <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value> </add-attr>
oder:
<add-attr attr-name="SAS:Login Configuration> <value>clearpwd</value> </add-attr>