Mise en œuvre de la synchronisation des mots de passe
La fonctionnalité de synchronisation des mots de passe fournie dans Identity Manager permet de mettre en œuvre plusieurs scénarios différents. Cette section décrit des scénarios de base, qui vous aideront à comprendre en quoi les paramètres de synchronisation des mots de passe et les règles de mot de passe affectent la synchronisation des mots de passe. Ces scénarios peuvent être associés pour répondre aux besoins de votre environnement.
Cette section contient les informations suivantes :
Présentation de la relation entre Identity Manager et NMAS
Cette section contient les informations suivantes :
Utilitaires et NMAS
Les derniers utilitaires en date, comme iManager et le client Novell, communiquent avec NMAS plutôt que de mettre à jour directement un mot de passe spécifique. NMAS est également l'entité qui détermine les mots de passe à mettre à jour.
NMAS synchronise les mots de passe dans eDirectory, en fonction des paramètres que vous avez configurés dans les règles de mot de passe.
Les utilitaires existants qui ne prennent pas en charge le mot de passe universel mettent directement à jour le mot de passe NDS, au lieu de communiquer avec NMAS pour déterminer les mots de passe mis à jour. Vous devez savoir de quelle manière les utilisateurs et les administrateurs du service d'assistance utilisent les utilitaires de votre environnement. Ils peuvent générer une désynchronisation entre le mot de passe universel et le mot de passe NDS (dérive du mot de passe) si vous utilisez le mot de passe universel et NMAS 2.3, car les utilitaires existants mettent directement à jour le mot de passe NDS au lieu de passer par NMAS. Vous devrez par exemple vérifier que les utilisateurs mettent à jour le client Novell et que les utilisateurs du service d'assistance n'utilisent ConsoleOne qu'avec la dernière version du client Novell ou de NetWare pour assurer la prise en charge du mot de passe universel.
Identity Manager et NMAS
Identity Manager contrôle le point d'entrée (en mettant directement à jour le mot de passe universel ou le mot de passe de distribution). NMAS contrôle le flux de synchronisation des mots de passe dans eDirectory.
Dans le scénario 1, le pilote DirXML pour eDirectory peut mettre directement à jour le mot de passe NDS. Ce scénario est pratiquement le même que celui fourni dans DirXML 1.x.
Dans le scénario 2, le scénario 3 et le scénario 4, décrits plus loin dans cette section, Identity Manager permet de mettre à jour le mot de passe universel ou le mot de passe de distribution ; Identity Manager passe par NMAS pour effectuer ces modifications. Cela permet à NMAS de mettre à jour d'autres mots de passe eDirectory, comme déterminé par les paramètres des règles de mot de passe, et d'appliquer les règles de mot de passe avancées pour ceux qui sont synchronisés avec les systèmes connectés. Dans ces scénarios, le mot de passe distribué par Identity Manager aux systèmes connectés est toujours le mot de passe de distribution. La différence entre les scénarios réside dans les différentes combinaisons de paramètres des règles de mot de passe NMAS et les paramètres de synchronisation de mot de passe Identity Manager pour chaque pilote de système connecté.
Scénario 1 : synchronisation des mots de passe dans eDirectory à l'aide du mot de passe NDS
Comme dans la version 1.0 de la synchronisation des mots de passe, vous pouvez synchroniser le mot de passe NDS entre deux arborescences eDirectory à l'aide du pilote eDirectory. Ce scénario n'exige pas la mise en œuvre du mot de passe universel et peut être utilisé avec eDirectory 8.6. 2ou une version ultérieure. Ce type de synchronisation de mot de passe est aussi appelé synchronisation de la paire clé privée/clé publique.
Cette méthode ne doit être utilisée que pour synchroniser des mots de passe au sein d'eDirectory. Elle ne fait pas appel à NMAS et ne peut donc pas être utilisée pour synchroniser les mots de passe avec les applications connectées.
Cette section contient les informations suivantes :
Avantages et inconvénients du scénario 1
Simplicité de la configuration. N'inclut que les attributs adéquats dans le filtre de pilote. Si vous déployez Identity Manager 2et eDirectory 8.7.3 par étapes, cette méthode peut vous aider à effectuer un déploiement graduel. - Il n'est pas nécessaire d'ajouter les nouvelles règles de synchronisation des mots de passe aux configurations de pilote.
- N'exige pas que le mot de passe universel soit mis en œuvre dans l'arborescence Identity Manager 2.
- Peut être utilisé avec les arborescences connectées exécutant eDirectory version 8.6. 2ou ultérieure.
- N'exige pas NMAS 2.3.
Applique les restrictions de base sur les mots de passe que vous définissez pour le mot de passe NDS. |
Cette méthode synchronise les mots de passe entre les arborescences eDirectory. Ils ne peuvent pas être synchronisés vers d'autres systèmes connectés. N'actualise ni le mot de passe universel ni le mot de passe de distribution. Cette méthode n'utilisant pas NMAS, vous ne pouvez pas valider les mots de passe provenant d'une autre arborescence en fonction des règles de mot de passe avancées. Cette méthode n'utilisant pas NMAS, vous ne pouvez pas réinitialiser les mots de passe sur l'arborescence eDirectory connectée s'ils ne se conforment pas à la règle de mot de passe. Aucune notification par message électronique n'est fournie en cas d'échec de synchronisation des mots de passe Les opérations Vérifier l'état des mots de passe, dans la tâche iManager, ne sont pas prises en charge (le mot de passe de distribution est obligatoire pour cette fonction). |
Diagramme du scénario 1
Le diagramme montre que, comme dans DirXML 1.x, le pilote DirXML pour eDirectory peut être utilisé pour synchroniser le mot de passe NDS entre deux arborescences eDirectory. Ce scénario ne passe pas par NMAS.
Mise en œuvre du scénario 1
Pour mettre en œuvre ce type de synchronisation des mots de passe :
Déploiement du mot de passe universel
Inutile.
Configuration de la règle de mot de passe
Aucune.
Paramètres de la synchronisation des mots de passe
Aucun. Les paramètres de la page Synchronisation de mot de passe pour un pilote n'ont aucun effet sur cette méthode de synchronisation du mot de passe NDS.
Configuration de pilote
Supprimez les règles de synchronisation des mots de passe répertoriées à la section Règles requises pour la configuration du pilote. Ces règles ont pour objet de prendre en charge le mot de passe universel et le mot de passe de distribution. Le mot de passe NDS est synchronisé à l'aide des attributs Clé publique et Clé privée et non à l'aide de ces règles.
Vérifiez que le filtre des deux pilotes eDirectory synchronise les attributs Clé publique et Clé privée pour toutes les classes d'objet pour lesquelles les mots de passe doivent être synchronisés. La figure suivante en montre un exemple.
Dépannage du scénario 1
Scénario 2 : synchronisation du mot de passe universel
Grâce à Identity Manager, vous pouvez synchroniser un mot de passe de système connecté avec le mot de passe universel dans eDirectory.
Lors de la mise à jour du mot de passe universel, il est également possible de mettre à jour le mot de passe NDS, le mot de passe de distribution ou le mot de passe simple, en fonction des paramètres de la règle de mot de passe.
Tout système connecté peut éditer des mots de passe sur Identity Manager, bien que tous les systèmes connectés ne puissent pas fournir le mot de passe de l'utilisateur. Active Directory, par exemple, peut éditer le mot de passe d'un utilisateur vers Identity Manager. Même si PeopleSoft ne fournit pas de mot de passe provenant directement du système PeopleSoft lui-même, il peut fournir un mot de passe initial créé dans une règle lors de la configuration du pilote, par exemple un mot de passe basé sur l'ID de l'employé ou sur son nom. Tous les pilotes ne peuvent pas s'abonner aux modifications de mots de passe depuis Identity Manager. Reportez-vous à la section Prise en charge par les systèmes connectés de la synchronisation des mots de passe.
Cette section contient les informations suivantes :
Avantages et inconvénients du scénario 2
Permet la synchronisation des mots de passe de et vers eDirectory et le système connecté. Permet la validation des mots de passe par rapport à la règle de mot de passe NMAS. Permet l'envoi de notifications par message électronique en cas d'échec des opérations de mot de passe, par exemple lorsqu'un mot de passe provenant d'un système connecté ne se conforme pas à la règle de mot de passe. Prend en charge la tâche Vérifier l'état des mots de passe dans iManager, si le mot de passe universel est synchronisé avec le mot de passe de distribution et si le système connecté prend en charge la vérification des mots de passe. NMAS applique les règles de mot de passe avancées si vous les avez activées. Lorsqu'un mot de passe provenant d'un système connecté n'est pas conforme, une erreur est générée et une notification par message électronique est envoyée si vous avez spécifié cette option. Si vous ne souhaitez pas appliquer règles de mot de passe, vous pouvez désactiver l'option Activer les règles de mots de passe avancées. |
Pour des raisons de conception, cette méthode ne permet pas la réinitialisation des mots de passe dans le système connecté ; en effet, le mot de passe de distribution et le mot de passe universel pourraient ne pas être identiques selon les paramètres établis dans les règles de mot de passe. |
Diagramme du scénario 2
Le diagramme montre que, dans ce scénario, les mots de passe entrent par Identity Manager, qui passe par NMAS pour mettre directement à jour le mot de passe universel. NMAS synchronise ensuite le mot de passe universel avec le mot de passe de distribution et les autres mots de passe, en fonction des paramètres de la règle de mot de passe. Enfin, Identity Manager récupère le mot de passe de distribution et le communique aux systèmes connectés paramétrés pour accepter les mots de passe.
Même si, dans ce diagramme, il est indiqué que plusieurs systèmes connectés se connectent à Identity Manager, n'oubliez pas que vous créez chaque paramètre individuellement pour chaque pilote du système connecté.
Mise en œuvre du scénario 2
Pour mettre en œuvre ce type de synchronisation des mots de passe :
Déploiement du mot de passe universel
Vérifiez que votre environnement est prêt à utiliser le mot de passe universel. Reportez-vous à la section Préparation à l'utilisation de la synchronisation des mots de passe et du mot de passe universel dans Identity Manager.
Configuration de la règle de mot de passe
Dans Gestion des mots de passe > Gérer les règles de mots de passe, procédez comme suit :
-
Vérifiez qu'une règle de mot de passe est assignée aux parties de l'arborescence eDirectory pour lesquelles vous voulez disposer de la synchronisation des mots de passe. Vous pouvez l'assigner à la totalité de l'arborescence (grâce à un objet Règle de login), à un conteneur racine de partition, à un conteneur, voire à un utilisateur particulier. Nous vous recommandons d'assigner des règles de mot de passe au niveau le plus élevé possible de l'arborescence afin de simplifier l'administration.
-
Vérifiez que les éléments suivants sont sélectionnés dans la règle de mot de passe :
-
Terminez votre règle de mot de passe comme vous le souhaitez.
NMAS applique les règles de mot de passe avancées si vous les avez activées. Si vous ne souhaitez pas appliquer les principes des règles de mot de passe, désactivez l'option Activer les règles de mots de passe avancées.
-
Si vous utilisez les règles de mot de passe avancées, vérifiez qu'elles n'entrent pas en conflit avec les règles de mot de passe de tout système connecté qui s'abonne aux mots de passe.
Paramètres de la synchronisation des mots de passe
Dans Gestion des mots de passe > Synchronisation de mot de passe, créez ces paramètres pour le pilote du système connecté :
-
Vérifiez que les éléments suivants sont sélectionnés :
- DirXML accepte les mots de passe (canal Éditeur)
Un message s'affiche si le manifeste du pilote ne contient pas la capacité password-publish. Les utilisateurs sont ainsi informés que les mots de passe ne peuvent pas être récupérés, mais uniquement édités, par la création d'un mot de passe dans la configuration d'un pilote à l'aide d'une règle.
- L'application accepte les mots de passe (canal Abonné)
Si le système connecté ne prend pas en charge l'acceptation des mots de passe, l'option est grisée.
Ces paramètres permettent la synchronisation bidirectionnelle des mots de passe lorsqu'elle est prise en charge par le système connecté.
Vous pouvez adapter les paramètres à vos règles d'activité pour la source experte des mots de passe. Si, par exemple, un système connecté doit s'abonner aux mots de passe, mais ne pas les éditer, ne sélectionnez que l'option L'application accepte les mots de passe (canal Abonné).
-
Vérifiez que les éléments suivants sont sélectionnés :
- Utiliser le mot de passe de distribution pour la synchronisation de mots de passe
Dans ce scénario, Identity Manager met directement à jour le mot de passe universel. Le mot de passe de distribution est toujours utilisé pour distribuer les mots de passe sur les systèmes connectés, mais il est mis à jour à partir du mot de passe universel par NMAS et non par Identity Manager.
-
(En option) Sélectionnez les éléments suivants si vous le souhaitez :
- Informer l'utilisateur de l'échec de la synchronisation des mots de passe par message électronique
Gardez en tête que les notifications par message électronique exigent l'attribut Adresse de messagerie Internet sur l'objet utilisateur eDirectory à remplir.
Les notifications par message électronique n'ont pas une présence insistante. Elles n'affectent pas le traitement du document XML qui a déclenché le message électronique ; si elles échouent, elles ne sont pas tentées à nouveau, à moins que l'opération elle-même ne le soit.
Toutefois, les messages de débogage pour les notifications par message électronique sont écrits dans le fichier de trace.
Configuration de pilote
-
Vérifiez que les règles obligatoires de synchronisation des mots de passe de script Identity Manager sont incluses dans les configurations de pilote pour chaque pilote qui doit participer à la synchronisation des mots de passe. Ces règles doivent se trouver dans la configuration de votre pilote, à l'endroit correct et dans le bon ordre. Pour obtenir la liste des règles, reportez-vous à la section Règles requises pour la configuration du pilote.
Les exemples de configuration Identity Manager contiennent déjà les règles. Si vous effectuez la mise à niveau d'un pilote existant, vous pouvez ajouter les règles à l'aide des instructions de la section Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe sous Identity Manager.
-
Définissez correctement le filtre pour l'attribut nspmDistributionPassword :
- Pour le canal Éditeur, définissez le filtre sur Ignorer pour l'attribut nspmDistributionPassword, pour toutes les classes d'objet.
- Pour le canal Abonné, définissez le filtre sur Notifier pour l'attribut nspmDistributionPassword, pour toutes les classes d'objet qui doivent s'abonner aux modifications de mot de passe.
-
Ignorez les attributs Clé publique et Clé privée dans le filtre du pilote pour tous les objets dont l'attribut nspmDistributionPassword est défini sur Notifier.
-
Pour assurer la sécurité des mots de passe, contrôlez l'identité des personnes disposant de droits sur les objets Identity Manager.
Dépannage du scénario 2
Cette section contient les informations suivantes :
Consultez également les astuces de la section Dépannage des problèmes de synchronisation des mots de passe.
Diagramme du scénario 2
Le diagramme suivant montre comment NMAS gère le mot de passe qu'il reçoit d'Identity Manager. Dans ce scénario, le mot de passe est synchronisé sur le mot de passe universel ; NMAS décide de la manière de gérer le mot de passe en fonction de son activation dans la règle de mot de passe, de l'activation des règles de mot de passe avancées pour les mots de passe entrants qui doivent s'y conformer, et des autres paramètres de la règle de mot de passe pour la synchronisation du mot de passe universel avec les autres mots de passe.
Problème de connexion à eDirectory
- Activez les paramètres +AUTH, +DCLN, +DXML et +DVRS dans DSTrace.
- Vérifiez que les éléments <password> ou <modify-password> sont transférés à Identity Manager. Pour ce faire, consultez l'écran de trace avec ces options activées.
- Vérifiez que le mot de passe est valide, en fonction des principes de la règle de mot de passe.
- Vérifiez la configuration et l'assignation de la règle de mot de passe NMAS. Essayez d'assigner directement la règle à l'utilisateur, en vérifiant que vous utilisez la bonne règle.
- Sur la page Synchronisation de mot de passe pour le pilote, vérifiez que l'option DirXML accepte les mots de passe est sélectionnée.
- Dans la règle de mot de passe, vérifiez que l'option Synchroniser le mot de passe de distribution lors de la définition du mot de passe universel est sélectionnée.
Problème pour se loguer à un autre système connecté qui s'abonne aux mots de passe
Cette section permet de corriger les situations dans lesquelles ce système connecté édite des mots de passe sur Identity Manager ; un autre système connecté qui s'abonne aux mots de passe ne semble pas recevoir les modifications de ce système. Cette relation s'appelle aussi un système connecté secondaire, ce qui signifie que le système reçoit des mots de passe du premier système connecté via Identity Manager.
- Activez les paramètres +DXML et +DVRS dans DSTrace pour voir comment sont traités les règles Identity Manager.
- Définissez le niveau de trace DirXML pour le pilote sur 3.
- Dans la page Synchronisation de mot de passe, vérifiez que l'option DirXML accepte les mots de passe est sélectionnée.
- Vérifiez que, dans le filtre du pilote, l'attribut nspmDistributionPassword est correctement défini, comme expliqué à l'Step 2.
- Vérifiez que les éléments <password> pour un ajout ou <modify-password> sont transférés au système connecté. Pour cela, consultez l'écran DSTRACE ou le fichier contenant les options de trace actives, comme indiqué dans les premiers points.
- Vérifiez que la configuration du pilote inclut les règles de mot de passe de script DirXML dans le site correct et dans le bon ordre, tel que décrit à la section Règles requises pour la configuration du pilote.
- Comparez la règle de mot de passe dans eDirectory avec toute règle de mot de passe appliquée par le système connecté, pour vérifier leur compatibilité.
Le message électronique n'est pas généré en cas d'échec du mot de passe
- Activez le paramètre +DXML dans DSTrace pour voir le traitement des principes DirXML.
- Définissez le niveau de trace DirXML pour le pilote sur 3.
- Vérifiez que le principe de génération des messages électroniques est sélectionné.
- Vérifiez que l'objet eDirectory contient l'adresse de messagerie électronique correcte de l'utilisateur, indiquée dans l'attribut Adresse de messagerie Internet.
- Dans la tâche Configuration de la notification, vérifiez que le serveur SMTP et le modèle de messagerie sont correctement configurés. Reportez-vous à la section Configuration de la notification par message électronique.
Erreur lors de l'utilisation de la vérification du mot de passe de l'objet
La tâche Vérifier l'état des mots de passe amène le pilote à recevoir une opération de vérification du mot de passe de l'objet. Pour tout problème, revoyez les points suivants :
- Si la vérification du mot de passe de l'objet renvoie -603, cela signifie que l'objet eDirectory ne contient pas d'attribut nspmDistributionPassword. Vérifiez que les paramètres de l'attribut nspmDistributionPassword sont corrects dans le filtre du pilote et que Synchroniser le mot de passe de distribution lors de la définition du mot de passe universel est sélectionné dans la règle de mot de passe.
- Si la vérification du mot de passe de l'objet renvoie Non synchronisé, vérifiez que la configuration du pilote contient les règles appropriées de synchronisation de mot de passe.
- Comparez la règle de mot de passe dans eDirectory avec toute règle de mot de passe appliquée par le système connecté, pour vérifier leur compatibilité.
- La vérification du mot de passe de l'objet fonctionne à partir du mot de passe de distribution. Si le mot de passe de distribution n'est pas mis à jour, la vérification du mot de passe de l'objet pourrait ne pas signaler que les mots de passe sont synchronisés.
- Sachez que pour le pilote eDirectory uniquement, l'option Vérifier l'état des mots de passe vérifie le mot de passe NDS, et non le mot de passe de distribution.
Commandes DSTrace utiles
+DXML : affiche le traitement des règles DirXML et le message d'erreur potentiel.
+DVRS : affiche les messages du pilote DirXML.
+AUTH : affiche les modifications des mots de passe NDS.
+DCLN : affiche les messages NDS Dclient.
Scénario 3 : synchronisation d'eDirectory et des systèmes connectés lors de la mise à jour du mot de passe de distribution dans Identity Manager
Dans cette méthode, Identity Manager met directement à jour le mot de passe de distribution et permet à NMAS de déterminer la manière dont les autres mots de passe eDirectory sont synchronisés.
Tout système connecté peut éditer des mots de passe sur Identity Manager, bien que tous les systèmes connectés ne puissent pas fournir le mot de passe de l'utilisateur. Active Directory, par exemple, peut éditer le mot de passe d'un utilisateur vers Identity Manager. Même si PeopleSoft ne fournit pas de mot de passe provenant directement du système PeopleSoft lui-même, il peut fournir un mot de passe initial créé dans une règle lors de la configuration du pilote, par exemple un mot de passe basé sur l'ID de l'employé ou sur son nom. Tous les pilotes ne peuvent pas s'abonner aux modifications de mots de passe depuis Identity Manager. Reportez-vous à la section Prise en charge par les systèmes connectés de la synchronisation des mots de passe.
Cette section contient les informations suivantes :
Avantages et inconvénients du scénario 3
Permet la synchronisation des mots de passe entre eDirectory et les systèmes connectés. Permet de choisir s'il convient ou non d'appliquer les règles de mot de passe provenant des systèmes connectés. Vous pouvez demander à ce qu'une notification soit envoyée en cas d'échec de la synchronisation des mots de passe. Si vous appliquez les règles de mot de passe, vous pouvez choisir de réinitialiser un mot de passe sur le système connecté au mot de passe de distribution si le mot de passe n'est pas conforme. |
|
Diagramme du scénario 3
Le diagramme montre que, dans ce scénario, les mots de passe entrent par Identity Manager, qui passe par NMAS pour mettre directement à jour le mot de passe de distribution. Identity Manager utilise également le mot de passe de distribution pour effectuer la répartition vers les systèmes connectés, paramétrés pour accepter les mots de passe. NMAS synchronise le mot de passe universel avec le mot de passe de distribution et les autres mots de passe, en fonction des paramètres de la règle de mot de passe.
Même si, dans ce diagramme, il est indiqué que plusieurs systèmes connectés se connectent à Identity Manager, n'oubliez pas que vous créez chaque paramètre individuellement pour chaque pilote du système connecté.
Mise en œuvre du scénario 3
Pour mettre en œuvre ce type de synchronisation des mots de passe :
Déploiement du mot de passe universel
Vérifiez que votre environnement est prêt à utiliser le mot de passe universel. Reportez-vous à la section Préparation à l'utilisation de la synchronisation des mots de passe et du mot de passe universel dans Identity Manager.
Configuration de la règle de mot de passe
Dans Gestion des mots de passe > Gérer les règles de mots de passe, procédez comme suit :
-
Vérifiez qu'une règle de mot de passe est assignée aux parties de l'arborescence eDirectory pour lesquelles vous voulez disposer de la synchronisation des mots de passe. Vous pouvez l'assigner à la totalité de l'arborescence, à un conteneur racine de partition, à un conteneur, voire à un utilisateur particulier. Nous vous recommandons d'assigner des règles de mot de passe au niveau le plus élevé possible de l'arborescence afin de simplifier l'administration.
-
Vérifiez que les éléments suivants sont sélectionnés dans la règle de mot de passe :
-
Si vous utilisez les règles de mot de passe avancées, vérifiez qu'elles n'entrent pas en conflit avec les règles de mot de passe de tout système connecté qui s'abonne aux mots de passe.
Paramètres de la synchronisation des mots de passe
Dans Gestion des mots de passe > Synchronisation de mot de passe, utilisez les éléments suivants :
-
Vérifiez que les éléments suivants sont sélectionnés :
- DirXML accepte les mots de passe (canal Éditeur)
- Utiliser le mot de passe de distribution pour la synchronisation de mots de passe
Un message s'affiche si le manifeste du pilote ne contient pas la capacité password-publish. Les utilisateurs sont ainsi informés que les mots de passe ne peuvent pas être récupérés, mais uniquement édités, par la création d'un mot de passe dans la configuration d'un pilote à l'aide d'une règle.
- L'application accepte les mots de passe (canal Abonné)
Ces paramètres permettent la synchronisation bidirectionnelle des mots de passe lorsqu'elle est prise en charge par le système connecté.
Vous pouvez adapter les paramètres à vos règles d'activité pour la source experte des mots de passe. Si, par exemple, un système connecté doit s'abonner aux mots de passe, mais ne pas les éditer, ne sélectionnez que l'option L'application accepte les mots de passe (canal Abonné).
-
Indiquez si vous souhaitez que les règles de mot de passe soient appliquées ou ignorées, en vous servant des options de la section Utiliser le mot de passe de distribution pour la synchronisation de mots de passe.
-
(Conditionnel) Si vous avez indiqué que vous souhaitez appliquer les règles de mot de passe, indiquez également si vous souhaitez qu'Identity Manager réinitialise le mot de passe du système connecté en cas de non-conformité.
-
(En option) Sélectionnez les éléments suivants si vous le souhaitez :
- Informer l'utilisateur de l'échec de la synchronisation des mots de passe par message électronique
Gardez en tête que les notifications par message électronique exigent l'attribut Adresse de messagerie Internet sur l'objet utilisateur eDirectory à remplir.
Les notifications par message électronique n'ont pas une présence insistante. Elles n'affectent pas le traitement du document XML qui a déclenché le message électronique ; si elles échouent, elles ne sont pas tentées à nouveau, à moins que l'opération elle-même ne le soit.
Toutefois, les messages de débogage pour les notifications par message électronique sont écrits dans le fichier de trace.
Configuration de pilote
-
Vérifiez que les règles obligatoires de synchronisation des mots de passe de script DirXML sont incluses dans les configurations de pilote pour chaque pilote qui doit participer à la synchronisation des mots de passe. Ces règles doivent se trouver dans la configuration de votre pilote, à l'endroit correct et dans le bon ordre. Pour obtenir la liste des règles, reportez-vous à la section Règles requises pour la configuration du pilote.
Les exemples de configuration Identity Manager contiennent déjà les règles. Si vous effectuez la mise à niveau d'un pilote existant, vous pouvez ajouter les règles à l'aide des instructions de la section Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe sous Identity Manager.
-
Définissez correctement le filtre pour l'attribut nspmDistributionPassword :
- Pour le canal Éditeur, définissez le filtre du pilote sur Ignorer pour l'attribut nspmDistributionPassword, pour toutes les classes d'objet.
- Pour le canal Abonné, définissez le filtre du pilote sur Notifier pour l'attribut nspmDistributionPassword, pour toutes les classes d'objet qui doivent s'abonner aux modifications de mot de passe.
-
Ignorez les attributs Clé publique et Clé privée dans le filtre du pilote pour tous les objets dont l'attribut nspmDistributionPassword est défini sur Notifier.
-
Pour assurer la sécurité des mots de passe, contrôlez l'identité des personnes disposant de droits sur les objets DirXML.
Dépannage du scénario 3
Cette section contient les informations suivantes :
Consultez également les astuces de la section Dépannage des problèmes de synchronisation des mots de passe.
Diagramme du scénario 3
Le diagramme suivant montre comment NMAS gère le mot de passe qu'il reçoit d'Identity Manager. Dans ce scénario, le mot de passe est synchronisé sur le mot de passe de distribution. NMAS décide de la manière de gérer de mot de passe, selon que si vous avez spécifié que les mots de passe entrants doivent être validés par rapport aux règles de mot de passe (si les règles de mot de passe avancées et le mot de passe universel sont activés) et des autres paramètres de la règle de mot de passe pour la synchronisation du mot de passe universel avec les autres mots de passe.
Problème de connexion à eDirectory
Problème pour se loguer à un autre système connecté qui s'abonne aux mots de passe
Cette section permet de corriger les situations dans lesquelles ce système connecté édite des mots de passe sur Identity Manager ; un autre système connecté qui s'abonne aux mots de passe ne semble pas recevoir les modifications de ce système. Cette relation s'appelle aussi un système connecté secondaire, ce qui signifie que le système reçoit des mots de passe du premier système connecté via Identity Manager.
Le message électronique n'est pas généré en cas d'échec du mot de passe
- Activez le paramètre +DXML dans DSTrace pour voir le traitement des principes DirXML.
- Définissez le niveau de trace DirXML pour le pilote sur 3.
- Vérifiez que le principe de génération des messages électroniques est sélectionné.
- Vérifiez que l'objet eDirectory contient la valeur correcte de l'utilisateur, indiquée dans l'attribut Adresse de messagerie Internet.
- Dans la tâche Configuration de la notification, vérifiez que le serveur SMTP et le modèle de messagerie sont configurés. Reportez-vous à la section Configuration de la notification par message électronique.
Les notifications par message électronique n'ont pas une présence insistante. Elles n'affectent pas le traitement du document XML qui a déclenché le message électronique ; si elles échouent, elles ne sont pas tentées à nouveau, à moins que l'opération elle-même ne le soit.
Toutefois, les messages de débogage pour les notifications par message électronique sont écrits dans le fichier de trace.
Erreur lors de l'utilisation de la vérification de l'état du mot de passe
La tâche Vérifier l'état des mots de passe amène le pilote à recevoir une opération de vérification du mot de passe de l'objet.
Commandes DSTrace utiles
+DXML : affiche le traitement des règles DirXML et le message d'erreur potentiel.
+DVRS : affiche les messages du pilote DirXML.
+AUTH : affiche les modifications des mots de passe NDS.
+DCLN : affiche les messages NDS Dclient.
Scénario 4 : passage en tunnel --- synchronisation des systèmes connectés mais pas d'eDirectory avec Identity Manager Mise à jour du mot de passe de distribution
Identity Manager permet de synchroniser les mots de passe entre les systèmes connectés tout en maintenant le mot de passe eDirectory séparé d'eux. Dans cette documentation, l'opération est dénommée tunnellisation.
Dans ce scénario, Identity Manager met directement à jour le mot de passe de distribution. Cette méthode est presque identique à la précédente, décrite à la section Scénario 3 : synchronisation d'eDirectory et des systèmes connectés lors de la mise à jour du mot de passe de distribution dans Identity Manager. Toutefois, ici, vous devez vous assurer que le mot de passe universel et le mot de passe de distribution ne sont pas synchronisés. Vous y parvenez en n'utilisant pas les Règles de mot de passe ou en les utilisant mais en désactivant l'option Synchroniser le mot de passe de distribution lors de la définition du mot de passe universel.
Cette section contient les informations suivantes :
Avantages et inconvénients du scénario 4
Permet de synchroniser les mots de passe entre les systèmes connectés, tout en maintenant le mot de passe eDirectory séparé. Les règles de mot de passe ne sont pas obligatoires. Si vous utilisez une règle de mot de passe, il n'est pas nécessaire que le mot de passe universel y soit activé. Toutefois, l'environnement doit prendre en charge le mot de passe universel. Prend en charge la tâche Vérifier l'état des mots de passe dans iManager, si le système connecté la prend en charge. Vous pouvez demander à ce qu'une notification soit envoyée en cas d'échec de la synchronisation des mots de passe. Vous pouvez réinitialiser un mot de passe du système connecté qui ne se conforme pas à la règle de mot de passe. Si le mot de passe universel et les règles de mot de passe avancées sont activés, les règles de mot de passe s'appliquent à condition que vous l'ayez spécifié ; les mots de passe des systèmes connectés peuvent être réinitialisés. |
Si le mot de passe universel ou les règles de mot de passe avancées ne sont pas activés, les règles de mot de passe ne sont pas appliquées ; les mots de passe des systèmes connectés ne peuvent pas être réinitialisés. |
Diagramme du scénario 4
Le diagramme montre que, dans ce scénario, les mots de passe entrent par Identity Manager, qui passe par NMAS pour mettre directement à jour le mot de passe de distribution. Identity Manager utilise également le mot de passe de distribution pour effectuer la répartition vers les systèmes connectés, paramétrés pour accepter les mots de passe.
La clé de ce scénario est que, dans la règle de mot de passe, le paramètre est désactivé pour la synchronisation du mot de passe universel avec le mot de passe de distribution. Le mot de passe de distribution n'étant pas synchronisé avec le mot de passe universel, Identity Manager synchronise les mots de passe sur les systèmes connectés, sans affecter de mot de passe dans eDirectory.
Même si, dans ce diagramme, il est indiqué que plusieurs systèmes connectés se connectent à Identity Manager, n'oubliez pas que vous créez chaque paramètre individuellement pour chaque pilote du système connecté.
Mise en œuvre du scénario 4
Pour mettre en œuvre ce type de synchronisation des mots de passe :
Déploiement du mot de passe universel
Même s'il n'est pas forcément nécessaire que les règles de mot de passe soient activées avec le mot de passe universel, votre environnement doit malgré tout utiliser eDirectory 8.7.3, qui prend en charge le mot de passe universel. Reportez-vous à la section Préparation à l'utilisation de la synchronisation des mots de passe et du mot de passe universel dans Identity Manager.
Configuration de la règle de mot de passe
Aucune règle de mot de passe n'est obligatoire pour les utilisateurs eDirectory qui font appel à cette méthode.
Toutefois, si vous utilisez une règle de mot de passe :
-
Vérifiez que les éléments suivants sont sélectionnés :
- Synchroniser le mot de passe de distribution lors de la définition du mot de passe universel
Cela est essentiel pour tunnelliser les mots de passe sans que le mot de passe eDirectory ne soit affecté. En refusant la synchronisation du mot de passe universel avec le mot de passe de distribution, vous maintenez le mot de passe de distribution séparé, pour qu'Identity Manager ne l'utilise que sur les systèmes connectés. Identity Manager agit à la manière d'une conduite : il distribue les mots de passe de et vers les systèmes connectés, sans affecter le mot de passe eDirectory.
-
Complétez les autres paramètres de la règle de mot de passe comme vous le souhaitez.
La décision vous revient quant aux autres paramètres de mot de passe dans la règle de mot de passe.
Paramètres de la synchronisation des mots de passe
Utilisez les mêmes paramètres que dans la section Paramètres de la synchronisation des mots de passe de la section Scénario 3 : synchronisation d'eDirectory et des systèmes connectés lors de la mise à jour du mot de passe de distribution dans Identity Manager.
Configuration de pilote
Utilisez les mêmes paramètres que dans la section Configuration de pilote de la section Scénario 3 : synchronisation d'eDirectory et des systèmes connectés lors de la mise à jour du mot de passe de distribution dans Identity Manager.
Dépannage du scénario 4
Si la tunnellisation est paramétrée pour la synchronisation des mots de passe, le mot de passe de distribution diffère du mot de passe universel et du mot de passe NDS.
Cette section contient les informations suivantes :
Consultez également les astuces de la section Dépannage des problèmes de synchronisation des mots de passe.
Problème pour se loguer à un autre système connecté qui s'abonne aux mots de passe
Cette section permet de corriger les situations dans lesquelles ce système connecté édite des mots de passe sur Identity Manager ; un autre système connecté qui s'abonne aux mots de passe ne semble pas recevoir les modifications de ce système. Cette relation s'appelle aussi un système connecté secondaire, ce qui signifie que le système reçoit des mots de passe du premier système connecté via Identity Manager.
Les messages électroniques ne sont pas générés en cas d'échec du mot de passe
- Activez le paramètre +DXML dans DSTrace pour voir le traitement des principes DirXML.
- Définissez le niveau de trace DirXML pour le pilote sur 3.
- Vérifiez que le principe de génération des messages électroniques est sélectionné.
- Vérifiez que l'objet eDirectory contient la valeur correcte de l'utilisateur, indiquée dans l'attribut Adresse de messagerie Internet.
- Dans la tâche Configuration de la notification, vérifiez le serveur SMTP et le modèle de message. Reportez-vous à la section Configuration de la notification par message électronique.
Les notifications par message électronique n'ont pas une présence insistante. Elles n'affectent pas le traitement du document XML qui a déclenché le message électronique ; si elles échouent, elles ne sont pas tentées à nouveau, à moins que l'opération elle-même ne le soit.
Toutefois, les messages de débogage pour les notifications par message électronique sont écrits dans le fichier de trace.
Erreur lors de l'utilisation de la vérification de l'état du mot de passe
La tâche Vérifier l'état des mots de passe amène le pilote à recevoir une opération de vérification du mot de passe de l'objet.
Commandes DSTrace utiles
+DXML : affiche le traitement des règles DirXML et les messages d'erreur potentiels.
+DVRS : affiche les messages du pilote DirXML.
+AUTH : affiche les modifications des mots de passe NDS.
+DCLN : affiche les messages NDS Dclient.
Scénario 5 : synchronisation des mots de passe de l'application avec le mot de passe simple
Ce scénario utilise de façon spécifique les fonctions de synchronisation de mot de passe. Grâce à Identity Manager et NMAS, vous pouvez prendre un mot de passe d'un système connecté et le synchroniser directement avec le mot de passe simple eDirectory. Si le système connecté ne fournit que des mots de passe hachés, vous pouvez les synchroniser sur le mot de passe simple, sans inverser le hachage. D'autres applications peuvent alors s'authentifier sur eDirectory à l'aide du mot de passe en texte clair ou haché via LDAP ou le client Novell, avec des composants NMAS configurés pour utiliser le mot de passe simple comme méthode de connexion.
Si le mot de passe est en texte clair dans le système connecté, il peut être édité tel quel depuis le système connecté dans la zone de mot de passe simple d'eDirectory.
Si le système connecté ne fournit que des mots de passe hachés (les codages MD5, SHA ou UNIX sont pris en charge), vous devez les éditer sur le mot de passe simple avec une indication du type de hachage, comme {MD5}.
Pour qu'une autre application s'authentifie avec le même mot de passe, vous devez la personnaliser pour qu'elle prenne le mot de passe de l'utilisateur et l'authentifie sur le mot de passe simple avec LDAP.
NMAS compare la valeur du mot de passe de l'application avec la valeur contenue dans le mot de passe simple. Si le mot de passe stocké dans le mot de passe simple est une valeur de hachage, NMAS utilise d'abord la valeur de mot de passe de l'application pour créer le bon type de valeur de hachage, avant d'effectuer la comparaison. Si le mot de passe de l'application et le mot de passe simple sont identiques, NMAS authentifie l'utilisateur.
Dans ce scénario, il n'est pas possible d'utiliser le mot de passe universel.
Cette section contient les informations suivantes :
Avantages et inconvénients
- Permet de mettre directement à jour le mot de passe simple.
- Permet de synchroniser un mot de passe haché et de l'utiliser pour s'authentifier sur plusieurs applications, sans inverser le hachage.
|
- Ce scénario n'autorise pas l'utilisation du mot de passe universel.
- Les fonctionnalités en libre-service Mot de passe oublié et Mot de passe peuvent toujours être utilisées, dans la mesure où elles sont prises en charge pour le mot de passe NDS, mais elles ne fonctionnent pas pour le mot de passe simple.
- Étant donné que la tâche Gestion des mots de passe > Définir le mot de passe universel dépend du mot de passe universel, l'administrateur ne peut pas définir un mot de passe utilisateur dans eDirectory à l'aide de cette tâche.
|
Diagramme du scénario 5
Mise en œuvre du scénario 5
Configuration de la règle de mot de passe
Aucune règle de mot de passe n'est obligatoire pour les utilisateurs qui font appel à ce scénario. Il n'est pas possible d'utiliser le mot de passe universel.
Paramètres de la synchronisation des mots de passe
Dans ce scénario, utilisez le script DirXML pour modifier directement l'attribut SAS:Login Configuration. Cela signifie que les valeurs de configuration globales de la synchronisation des mots de passe, définies par la tâche Gestion des mots de passe > Synchronisation de mot de passe dans iManager, n'ont aucun effet.
Configuration de pilote
-
Vérifiez que le filtre dispose du paramètre de synchronisation pour les canaux Abonné et Éditeur pour l'attribut SAS:Login Configuration.
-
Configurez les règles du pilote, de manière à éditer le mot de passe à partir du système connecté.
-
Pour les mots de passe hachés, configurez les règles du pilote, de manière à ajouter, en préfixe, le type du hachage, s'il n'est pas déjà fourni par l'application :
Les mots de passe en texte clair et les hachages de mots de passe de codage Unix ne sont pas codés en Base64.
-
Pour placer le mot de passe dans le mot de passe simple, configurez les règles du pilote pour modifier l'attribut SAS:Login Configuration.
C'est par exemple la manière d'utiliser un élément modify-attr dans une opération de modification pour changer le mot de passe simple en mot de passe haché MD5.
<modify-attr attr-name="SAS:Login Configuration>
<add-value>
<value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value>
</add-value>
</modify-attr>
Pour les mots de passe en texte clair, suivez cet exemple.
<modify-attr attr-name="SAS:Login Configuration>
<add-value>
<value>clearpwd</value>
</add-value>
</modify-attr>
Pour les opérations d'ajout, l'élément add-attr contiendrait l'un de ceux-ci :
<add-attr attr-name="SAS:Login Configuration>
<value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value>
</add-attr>
ou
<add-attr attr-name="SAS:Login Configuration>
<value>clearpwd</value>
</add-attr>