La fonctionnalité de synchronisation des mots de passe fournie dans Identity Manager permet de mettre en œuvre plusieurs scénarios différents. Cette section décrit des scénarios de base, qui vous aideront à comprendre en quoi les paramètres de synchronisation des mots de passe et les règles de mot de passe affectent la synchronisation des mots de passe. Ces scénarios peuvent être associés pour répondre aux besoins de votre environnement.
Cette section contient les informations suivantes :
Cette section contient les informations suivantes :
Les derniers utilitaires en date, comme iManager et le client Novell, communiquent avec NMAS plutôt que de mettre à jour directement un mot de passe spécifique. NMAS est également l'entité qui détermine les mots de passe à mettre à jour.
NMAS synchronise les mots de passe dans eDirectory, en fonction des paramètres que vous avez configurés dans les règles de mot de passe.
Les utilitaires existants qui ne prennent pas en charge le mot de passe universel mettent directement à jour le mot de passe NDS, au lieu de communiquer avec NMAS pour déterminer les mots de passe mis à jour. Vous devez savoir de quelle manière les utilisateurs et les administrateurs du service d'assistance utilisent les utilitaires de votre environnement. Ils peuvent générer une désynchronisation entre le mot de passe universel et le mot de passe NDS (dérive du mot de passe) si vous utilisez le mot de passe universel et NMAS 2.3, car les utilitaires existants mettent directement à jour le mot de passe NDS au lieu de passer par NMAS. Vous devrez par exemple vérifier que les utilisateurs mettent à jour le client Novell et que les utilisateurs du service d'assistance n'utilisent ConsoleOne qu'avec la dernière version du client Novell ou de NetWare pour assurer la prise en charge du mot de passe universel.
Identity Manager contrôle le point d'entrée (en mettant directement à jour le mot de passe universel ou le mot de passe de distribution). NMAS contrôle le flux de synchronisation des mots de passe dans eDirectory.
Dans le scénario 1, le pilote DirXML pour eDirectory peut mettre directement à jour le mot de passe NDS. Ce scénario est pratiquement le même que celui fourni dans DirXML 1.x.
Dans le scénario 2, le scénario 3 et le scénario 4, décrits plus loin dans cette section, Identity Manager permet de mettre à jour le mot de passe universel ou le mot de passe de distribution ; Identity Manager passe par NMAS pour effectuer ces modifications. Cela permet à NMAS de mettre à jour d'autres mots de passe eDirectory, comme déterminé par les paramètres des règles de mot de passe, et d'appliquer les règles de mot de passe avancées pour ceux qui sont synchronisés avec les systèmes connectés. Dans ces scénarios, le mot de passe distribué par Identity Manager aux systèmes connectés est toujours le mot de passe de distribution. La différence entre les scénarios réside dans les différentes combinaisons de paramètres des règles de mot de passe NMAS et les paramètres de synchronisation de mot de passe Identity Manager pour chaque pilote de système connecté.
Comme dans la version 1.0 de la synchronisation des mots de passe, vous pouvez synchroniser le mot de passe NDS entre deux arborescences eDirectory à l'aide du pilote eDirectory. Ce scénario n'exige pas la mise en œuvre du mot de passe universel et peut être utilisé avec eDirectory 8.6. 2ou une version ultérieure. Ce type de synchronisation de mot de passe est aussi appelé synchronisation de la paire clé privée/clé publique.
Cette méthode ne doit être utilisée que pour synchroniser des mots de passe au sein d'eDirectory. Elle ne fait pas appel à NMAS et ne peut donc pas être utilisée pour synchroniser les mots de passe avec les applications connectées.
Cette section contient les informations suivantes :
Le diagramme montre que, comme dans DirXML 1.x, le pilote DirXML pour eDirectory peut être utilisé pour synchroniser le mot de passe NDS entre deux arborescences eDirectory. Ce scénario ne passe pas par NMAS.
Pour mettre en œuvre ce type de synchronisation des mots de passe :
Inutile.
Aucune.
Aucun. Les paramètres de la page Synchronisation de mot de passe pour un pilote n'ont aucun effet sur cette méthode de synchronisation du mot de passe NDS.
Supprimez les règles de synchronisation des mots de passe répertoriées à la section Règles requises pour la configuration du pilote. Ces règles ont pour objet de prendre en charge le mot de passe universel et le mot de passe de distribution. Le mot de passe NDS est synchronisé à l'aide des attributs Clé publique et Clé privée et non à l'aide de ces règles.
Vérifiez que le filtre des deux pilotes eDirectory synchronise les attributs Clé publique et Clé privée pour toutes les classes d'objet pour lesquelles les mots de passe doivent être synchronisés. La figure suivante en montre un exemple.
Grâce à Identity Manager, vous pouvez synchroniser un mot de passe de système connecté avec le mot de passe universel dans eDirectory.
Lors de la mise à jour du mot de passe universel, il est également possible de mettre à jour le mot de passe NDS, le mot de passe de distribution ou le mot de passe simple, en fonction des paramètres de la règle de mot de passe.
Tout système connecté peut éditer des mots de passe sur Identity Manager, bien que tous les systèmes connectés ne puissent pas fournir le mot de passe de l'utilisateur. Active Directory, par exemple, peut éditer le mot de passe d'un utilisateur vers Identity Manager. Même si PeopleSoft ne fournit pas de mot de passe provenant directement du système PeopleSoft lui-même, il peut fournir un mot de passe initial créé dans une règle lors de la configuration du pilote, par exemple un mot de passe basé sur l'ID de l'employé ou sur son nom. Tous les pilotes ne peuvent pas s'abonner aux modifications de mots de passe depuis Identity Manager. Reportez-vous à la section Prise en charge par les systèmes connectés de la synchronisation des mots de passe.
Cette section contient les informations suivantes :
Le diagramme montre que, dans ce scénario, les mots de passe entrent par Identity Manager, qui passe par NMAS pour mettre directement à jour le mot de passe universel. NMAS synchronise ensuite le mot de passe universel avec le mot de passe de distribution et les autres mots de passe, en fonction des paramètres de la règle de mot de passe. Enfin, Identity Manager récupère le mot de passe de distribution et le communique aux systèmes connectés paramétrés pour accepter les mots de passe.
Même si, dans ce diagramme, il est indiqué que plusieurs systèmes connectés se connectent à Identity Manager, n'oubliez pas que vous créez chaque paramètre individuellement pour chaque pilote du système connecté.
Pour mettre en œuvre ce type de synchronisation des mots de passe :
Vérifiez que votre environnement est prêt à utiliser le mot de passe universel. Reportez-vous à la section Préparation à l'utilisation de la synchronisation des mots de passe et du mot de passe universel dans Identity Manager.
Dans Gestion des mots de passe > Gérer les règles de mots de passe, procédez comme suit :
Vérifiez qu'une règle de mot de passe est assignée aux parties de l'arborescence eDirectory pour lesquelles vous voulez disposer de la synchronisation des mots de passe. Vous pouvez l'assigner à la totalité de l'arborescence (grâce à un objet Règle de login), à un conteneur racine de partition, à un conteneur, voire à un utilisateur particulier. Nous vous recommandons d'assigner des règles de mot de passe au niveau le plus élevé possible de l'arborescence afin de simplifier l'administration.
Vérifiez que les éléments suivants sont sélectionnés dans la règle de mot de passe :
Identity Manager récupérant le mot de passe de distribution pour communiquer les mots de passe aux systèmes connectés, il est important que cette option soit sélectionnée pour autoriser la synchronisation bidirectionnelle des mots de passe.
Terminez votre règle de mot de passe comme vous le souhaitez.
NMAS applique les règles de mot de passe avancées si vous les avez activées. Si vous ne souhaitez pas appliquer les principes des règles de mot de passe, désactivez l'option Activer les règles de mots de passe avancées.
Si vous utilisez les règles de mot de passe avancées, vérifiez qu'elles n'entrent pas en conflit avec les règles de mot de passe de tout système connecté qui s'abonne aux mots de passe.
Dans Gestion des mots de passe > Synchronisation de mot de passe, créez ces paramètres pour le pilote du système connecté :
Vérifiez que les éléments suivants sont sélectionnés :
Un message s'affiche si le manifeste du pilote ne contient pas la capacité password-publish. Les utilisateurs sont ainsi informés que les mots de passe ne peuvent pas être récupérés, mais uniquement édités, par la création d'un mot de passe dans la configuration d'un pilote à l'aide d'une règle.
Si le système connecté ne prend pas en charge l'acceptation des mots de passe, l'option est grisée.
Ces paramètres permettent la synchronisation bidirectionnelle des mots de passe lorsqu'elle est prise en charge par le système connecté.
Vous pouvez adapter les paramètres à vos règles d'activité pour la source experte des mots de passe. Si, par exemple, un système connecté doit s'abonner aux mots de passe, mais ne pas les éditer, ne sélectionnez que l'option L'application accepte les mots de passe (canal Abonné).
Vérifiez que les éléments suivants sont sélectionnés :
Dans ce scénario, Identity Manager met directement à jour le mot de passe universel. Le mot de passe de distribution est toujours utilisé pour distribuer les mots de passe sur les systèmes connectés, mais il est mis à jour à partir du mot de passe universel par NMAS et non par Identity Manager.
(En option) Sélectionnez les éléments suivants si vous le souhaitez :
Gardez en tête que les notifications par message électronique exigent l'attribut Adresse de messagerie Internet sur l'objet utilisateur eDirectory à remplir.
Les notifications par message électronique n'ont pas une présence insistante. Elles n'affectent pas le traitement du document XML qui a déclenché le message électronique ; si elles échouent, elles ne sont pas tentées à nouveau, à moins que l'opération elle-même ne le soit.
Toutefois, les messages de débogage pour les notifications par message électronique sont écrits dans le fichier de trace.
Vérifiez que les règles obligatoires de synchronisation des mots de passe de script Identity Manager sont incluses dans les configurations de pilote pour chaque pilote qui doit participer à la synchronisation des mots de passe. Ces règles doivent se trouver dans la configuration de votre pilote, à l'endroit correct et dans le bon ordre. Pour obtenir la liste des règles, reportez-vous à la section Règles requises pour la configuration du pilote.
Les exemples de configuration Identity Manager contiennent déjà les règles. Si vous effectuez la mise à niveau d'un pilote existant, vous pouvez ajouter les règles à l'aide des instructions de la section Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe sous Identity Manager.
Définissez correctement le filtre pour l'attribut nspmDistributionPassword :
Ignorez les attributs Clé publique et Clé privée dans le filtre du pilote pour tous les objets dont l'attribut nspmDistributionPassword est défini sur Notifier.
Pour assurer la sécurité des mots de passe, contrôlez l'identité des personnes disposant de droits sur les objets Identity Manager.
Cette section contient les informations suivantes :
Consultez également les astuces de la section Dépannage des problèmes de synchronisation des mots de passe.
Le diagramme suivant montre comment NMAS gère le mot de passe qu'il reçoit d'Identity Manager. Dans ce scénario, le mot de passe est synchronisé sur le mot de passe universel ; NMAS décide de la manière de gérer le mot de passe en fonction de son activation dans la règle de mot de passe, de l'activation des règles de mot de passe avancées pour les mots de passe entrants qui doivent s'y conformer, et des autres paramètres de la règle de mot de passe pour la synchronisation du mot de passe universel avec les autres mots de passe.
Cette section permet de corriger les situations dans lesquelles ce système connecté édite des mots de passe sur Identity Manager ; un autre système connecté qui s'abonne aux mots de passe ne semble pas recevoir les modifications de ce système. Cette relation s'appelle aussi un système connecté secondaire, ce qui signifie que le système reçoit des mots de passe du premier système connecté via Identity Manager.
La tâche Vérifier l'état des mots de passe amène le pilote à recevoir une opération de vérification du mot de passe de l'objet. Pour tout problème, revoyez les points suivants :
+DXML : affiche le traitement des règles DirXML et le message d'erreur potentiel.
+DVRS : affiche les messages du pilote DirXML.
+AUTH : affiche les modifications des mots de passe NDS.
+DCLN : affiche les messages NDS Dclient.
Dans cette méthode, Identity Manager met directement à jour le mot de passe de distribution et permet à NMAS de déterminer la manière dont les autres mots de passe eDirectory sont synchronisés.
Tout système connecté peut éditer des mots de passe sur Identity Manager, bien que tous les systèmes connectés ne puissent pas fournir le mot de passe de l'utilisateur. Active Directory, par exemple, peut éditer le mot de passe d'un utilisateur vers Identity Manager. Même si PeopleSoft ne fournit pas de mot de passe provenant directement du système PeopleSoft lui-même, il peut fournir un mot de passe initial créé dans une règle lors de la configuration du pilote, par exemple un mot de passe basé sur l'ID de l'employé ou sur son nom. Tous les pilotes ne peuvent pas s'abonner aux modifications de mots de passe depuis Identity Manager. Reportez-vous à la section Prise en charge par les systèmes connectés de la synchronisation des mots de passe.
Cette section contient les informations suivantes :
Le diagramme montre que, dans ce scénario, les mots de passe entrent par Identity Manager, qui passe par NMAS pour mettre directement à jour le mot de passe de distribution. Identity Manager utilise également le mot de passe de distribution pour effectuer la répartition vers les systèmes connectés, paramétrés pour accepter les mots de passe. NMAS synchronise le mot de passe universel avec le mot de passe de distribution et les autres mots de passe, en fonction des paramètres de la règle de mot de passe.
Même si, dans ce diagramme, il est indiqué que plusieurs systèmes connectés se connectent à Identity Manager, n'oubliez pas que vous créez chaque paramètre individuellement pour chaque pilote du système connecté.
Pour mettre en œuvre ce type de synchronisation des mots de passe :
Vérifiez que votre environnement est prêt à utiliser le mot de passe universel. Reportez-vous à la section Préparation à l'utilisation de la synchronisation des mots de passe et du mot de passe universel dans Identity Manager.
Dans Gestion des mots de passe > Gérer les règles de mots de passe, procédez comme suit :
Vérifiez qu'une règle de mot de passe est assignée aux parties de l'arborescence eDirectory pour lesquelles vous voulez disposer de la synchronisation des mots de passe. Vous pouvez l'assigner à la totalité de l'arborescence, à un conteneur racine de partition, à un conteneur, voire à un utilisateur particulier. Nous vous recommandons d'assigner des règles de mot de passe au niveau le plus élevé possible de l'arborescence afin de simplifier l'administration.
Vérifiez que les éléments suivants sont sélectionnés dans la règle de mot de passe :
Identity Manager récupérant le mot de passe de distribution pour communiquer les mots de passe aux systèmes connectés, il est important que cette option soit sélectionnée pour autoriser la synchronisation bidirectionnelle des mots de passe.
Si vous utilisez les règles de mot de passe avancées, vérifiez qu'elles n'entrent pas en conflit avec les règles de mot de passe de tout système connecté qui s'abonne aux mots de passe.
Dans Gestion des mots de passe > Synchronisation de mot de passe, utilisez les éléments suivants :
Vérifiez que les éléments suivants sont sélectionnés :
Un message s'affiche si le manifeste du pilote ne contient pas la capacité password-publish. Les utilisateurs sont ainsi informés que les mots de passe ne peuvent pas être récupérés, mais uniquement édités, par la création d'un mot de passe dans la configuration d'un pilote à l'aide d'une règle.
Ces paramètres permettent la synchronisation bidirectionnelle des mots de passe lorsqu'elle est prise en charge par le système connecté.
Vous pouvez adapter les paramètres à vos règles d'activité pour la source experte des mots de passe. Si, par exemple, un système connecté doit s'abonner aux mots de passe, mais ne pas les éditer, ne sélectionnez que l'option L'application accepte les mots de passe (canal Abonné).
Indiquez si vous souhaitez que les règles de mot de passe soient appliquées ou ignorées, en vous servant des options de la section Utiliser le mot de passe de distribution pour la synchronisation de mots de passe.
(Conditionnel) Si vous avez indiqué que vous souhaitez appliquer les règles de mot de passe, indiquez également si vous souhaitez qu'Identity Manager réinitialise le mot de passe du système connecté en cas de non-conformité.
(En option) Sélectionnez les éléments suivants si vous le souhaitez :
Gardez en tête que les notifications par message électronique exigent l'attribut Adresse de messagerie Internet sur l'objet utilisateur eDirectory à remplir.
Les notifications par message électronique n'ont pas une présence insistante. Elles n'affectent pas le traitement du document XML qui a déclenché le message électronique ; si elles échouent, elles ne sont pas tentées à nouveau, à moins que l'opération elle-même ne le soit.
Toutefois, les messages de débogage pour les notifications par message électronique sont écrits dans le fichier de trace.
Vérifiez que les règles obligatoires de synchronisation des mots de passe de script DirXML sont incluses dans les configurations de pilote pour chaque pilote qui doit participer à la synchronisation des mots de passe. Ces règles doivent se trouver dans la configuration de votre pilote, à l'endroit correct et dans le bon ordre. Pour obtenir la liste des règles, reportez-vous à la section Règles requises pour la configuration du pilote.
Les exemples de configuration Identity Manager contiennent déjà les règles. Si vous effectuez la mise à niveau d'un pilote existant, vous pouvez ajouter les règles à l'aide des instructions de la section Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe sous Identity Manager.
Définissez correctement le filtre pour l'attribut nspmDistributionPassword :
Ignorez les attributs Clé publique et Clé privée dans le filtre du pilote pour tous les objets dont l'attribut nspmDistributionPassword est défini sur Notifier.
Pour assurer la sécurité des mots de passe, contrôlez l'identité des personnes disposant de droits sur les objets DirXML.
Cette section contient les informations suivantes :
Consultez également les astuces de la section Dépannage des problèmes de synchronisation des mots de passe.
Le diagramme suivant montre comment NMAS gère le mot de passe qu'il reçoit d'Identity Manager. Dans ce scénario, le mot de passe est synchronisé sur le mot de passe de distribution. NMAS décide de la manière de gérer de mot de passe, selon que si vous avez spécifié que les mots de passe entrants doivent être validés par rapport aux règles de mot de passe (si les règles de mot de passe avancées et le mot de passe universel sont activés) et des autres paramètres de la règle de mot de passe pour la synchronisation du mot de passe universel avec les autres mots de passe.
Certaines versions du client Novell et de ConsoleOne connaissent le mot de passe universel. Reportez-vous au manuel NMAS 2.3 Administration Guide (Guide d'administration de NMAS 2.3).
Cette section permet de corriger les situations dans lesquelles ce système connecté édite des mots de passe sur Identity Manager ; un autre système connecté qui s'abonne aux mots de passe ne semble pas recevoir les modifications de ce système. Cette relation s'appelle aussi un système connecté secondaire, ce qui signifie que le système reçoit des mots de passe du premier système connecté via Identity Manager.
Identity Manager utilise le mot de passe de distribution pour synchroniser les mots de passe sur les systèmes connectés. Le mot de passe universel doit être synchronisé avec le mot de passe de distribution pour cette méthode de synchronisation.
Les notifications par message électronique n'ont pas une présence insistante. Elles n'affectent pas le traitement du document XML qui a déclenché le message électronique ; si elles échouent, elles ne sont pas tentées à nouveau, à moins que l'opération elle-même ne le soit.
Toutefois, les messages de débogage pour les notifications par message électronique sont écrits dans le fichier de trace.
La tâche Vérifier l'état des mots de passe amène le pilote à recevoir une opération de vérification du mot de passe de l'objet.
Cette opération n'est pas disponible via iManager si le manifeste du pilote n'indique pas que le système connecté prend en charge la capacité password-check.
+DXML : affiche le traitement des règles DirXML et le message d'erreur potentiel.
+DVRS : affiche les messages du pilote DirXML.
+AUTH : affiche les modifications des mots de passe NDS.
+DCLN : affiche les messages NDS Dclient.
Identity Manager permet de synchroniser les mots de passe entre les systèmes connectés tout en maintenant le mot de passe eDirectory séparé d'eux. Dans cette documentation, l'opération est dénommée tunnellisation.
Dans ce scénario, Identity Manager met directement à jour le mot de passe de distribution. Cette méthode est presque identique à la précédente, décrite à la section Scénario 3 : synchronisation d'eDirectory et des systèmes connectés lors de la mise à jour du mot de passe de distribution dans Identity Manager. Toutefois, ici, vous devez vous assurer que le mot de passe universel et le mot de passe de distribution ne sont pas synchronisés. Vous y parvenez en n'utilisant pas les Règles de mot de passe ou en les utilisant mais en désactivant l'option Synchroniser le mot de passe de distribution lors de la définition du mot de passe universel.
Cette section contient les informations suivantes :
Le diagramme montre que, dans ce scénario, les mots de passe entrent par Identity Manager, qui passe par NMAS pour mettre directement à jour le mot de passe de distribution. Identity Manager utilise également le mot de passe de distribution pour effectuer la répartition vers les systèmes connectés, paramétrés pour accepter les mots de passe.
La clé de ce scénario est que, dans la règle de mot de passe, le paramètre est désactivé pour la synchronisation du mot de passe universel avec le mot de passe de distribution. Le mot de passe de distribution n'étant pas synchronisé avec le mot de passe universel, Identity Manager synchronise les mots de passe sur les systèmes connectés, sans affecter de mot de passe dans eDirectory.
Même si, dans ce diagramme, il est indiqué que plusieurs systèmes connectés se connectent à Identity Manager, n'oubliez pas que vous créez chaque paramètre individuellement pour chaque pilote du système connecté.
Pour mettre en œuvre ce type de synchronisation des mots de passe :
Même s'il n'est pas forcément nécessaire que les règles de mot de passe soient activées avec le mot de passe universel, votre environnement doit malgré tout utiliser eDirectory 8.7.3, qui prend en charge le mot de passe universel. Reportez-vous à la section Préparation à l'utilisation de la synchronisation des mots de passe et du mot de passe universel dans Identity Manager.
Aucune règle de mot de passe n'est obligatoire pour les utilisateurs eDirectory qui font appel à cette méthode.
Toutefois, si vous utilisez une règle de mot de passe :
Vérifiez que les éléments suivants sont sélectionnés :
Cela est essentiel pour tunnelliser les mots de passe sans que le mot de passe eDirectory ne soit affecté. En refusant la synchronisation du mot de passe universel avec le mot de passe de distribution, vous maintenez le mot de passe de distribution séparé, pour qu'Identity Manager ne l'utilise que sur les systèmes connectés. Identity Manager agit à la manière d'une conduite : il distribue les mots de passe de et vers les systèmes connectés, sans affecter le mot de passe eDirectory.
Complétez les autres paramètres de la règle de mot de passe comme vous le souhaitez.
La décision vous revient quant aux autres paramètres de mot de passe dans la règle de mot de passe.
Utilisez les mêmes paramètres que dans la section Paramètres de la synchronisation des mots de passe de la section Scénario 3 : synchronisation d'eDirectory et des systèmes connectés lors de la mise à jour du mot de passe de distribution dans Identity Manager.
Utilisez les mêmes paramètres que dans la section Configuration de pilote de la section Scénario 3 : synchronisation d'eDirectory et des systèmes connectés lors de la mise à jour du mot de passe de distribution dans Identity Manager.
Si la tunnellisation est paramétrée pour la synchronisation des mots de passe, le mot de passe de distribution diffère du mot de passe universel et du mot de passe NDS.
Cette section contient les informations suivantes :
Consultez également les astuces de la section Dépannage des problèmes de synchronisation des mots de passe.
Cette section permet de corriger les situations dans lesquelles ce système connecté édite des mots de passe sur Identity Manager ; un autre système connecté qui s'abonne aux mots de passe ne semble pas recevoir les modifications de ce système. Cette relation s'appelle aussi un système connecté secondaire, ce qui signifie que le système reçoit des mots de passe du premier système connecté via Identity Manager.
Identity Manager utilise le mot de passe de distribution pour synchroniser les mots de passe sur les systèmes connectés. Le mot de passe universel doit être synchronisé avec le mot de passe de distribution pour cette méthode de synchronisation.
Les notifications par message électronique n'ont pas une présence insistante. Elles n'affectent pas le traitement du document XML qui a déclenché le message électronique ; si elles échouent, elles ne sont pas tentées à nouveau, à moins que l'opération elle-même ne le soit.
Toutefois, les messages de débogage pour les notifications par message électronique sont écrits dans le fichier de trace.
La tâche Vérifier l'état des mots de passe amène le pilote à recevoir une opération de vérification du mot de passe de l'objet.
Cette opération n'est pas disponible via iManager si le manifeste du pilote n'indique pas que le système connecté prend en charge la capacité password-check.
+DXML : affiche le traitement des règles DirXML et les messages d'erreur potentiels.
+DVRS : affiche les messages du pilote DirXML.
+AUTH : affiche les modifications des mots de passe NDS.
+DCLN : affiche les messages NDS Dclient.
Ce scénario utilise de façon spécifique les fonctions de synchronisation de mot de passe. Grâce à Identity Manager et NMAS, vous pouvez prendre un mot de passe d'un système connecté et le synchroniser directement avec le mot de passe simple eDirectory. Si le système connecté ne fournit que des mots de passe hachés, vous pouvez les synchroniser sur le mot de passe simple, sans inverser le hachage. D'autres applications peuvent alors s'authentifier sur eDirectory à l'aide du mot de passe en texte clair ou haché via LDAP ou le client Novell, avec des composants NMAS configurés pour utiliser le mot de passe simple comme méthode de connexion.
Si le mot de passe est en texte clair dans le système connecté, il peut être édité tel quel depuis le système connecté dans la zone de mot de passe simple d'eDirectory.
Si le système connecté ne fournit que des mots de passe hachés (les codages MD5, SHA ou UNIX sont pris en charge), vous devez les éditer sur le mot de passe simple avec une indication du type de hachage, comme {MD5}.
Pour qu'une autre application s'authentifie avec le même mot de passe, vous devez la personnaliser pour qu'elle prenne le mot de passe de l'utilisateur et l'authentifie sur le mot de passe simple avec LDAP.
NMAS compare la valeur du mot de passe de l'application avec la valeur contenue dans le mot de passe simple. Si le mot de passe stocké dans le mot de passe simple est une valeur de hachage, NMAS utilise d'abord la valeur de mot de passe de l'application pour créer le bon type de valeur de hachage, avant d'effectuer la comparaison. Si le mot de passe de l'application et le mot de passe simple sont identiques, NMAS authentifie l'utilisateur.
Dans ce scénario, il n'est pas possible d'utiliser le mot de passe universel.
Cette section contient les informations suivantes :
Aucune règle de mot de passe n'est obligatoire pour les utilisateurs qui font appel à ce scénario. Il n'est pas possible d'utiliser le mot de passe universel.
Dans ce scénario, utilisez le script DirXML pour modifier directement l'attribut SAS:Login Configuration. Cela signifie que les valeurs de configuration globales de la synchronisation des mots de passe, définies par la tâche Gestion des mots de passe > Synchronisation de mot de passe dans iManager, n'ont aucun effet.
Vérifiez que le filtre dispose du paramètre de synchronisation pour les canaux Abonné et Éditeur pour l'attribut SAS:Login Configuration.
Configurez les règles du pilote, de manière à éditer le mot de passe à partir du système connecté.
Pour les mots de passe hachés, configurez les règles du pilote, de manière à ajouter, en préfixe, le type du hachage, s'il n'est pas déjà fourni par l'application :
Ce mot de passe est codé en Base64.
Ce mot de passe est codé en Base64.
Les mots de passe en texte clair et les hachages de mots de passe de codage Unix ne sont pas codés en Base64.
Pour placer le mot de passe dans le mot de passe simple, configurez les règles du pilote pour modifier l'attribut SAS:Login Configuration.
C'est par exemple la manière d'utiliser un élément modify-attr dans une opération de modification pour changer le mot de passe simple en mot de passe haché MD5.
<modify-attr attr-name="SAS:Login Configuration>
<add-value>
<value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value>
</add-value>
</modify-attr>
Pour les mots de passe en texte clair, suivez cet exemple.
<modify-attr attr-name="SAS:Login Configuration>
<add-value>
<value>clearpwd</value>
</add-value>
</modify-attr>
Pour les opérations d'ajout, l'élément add-attr contiendrait l'un de ceux-ci :
<add-attr attr-name="SAS:Login Configuration>
<value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value>
</add-attr>
ou
<add-attr attr-name="SAS:Login Configuration>
<value>clearpwd</value>
</add-attr>