Mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la version fournie avec Identity Manager

Si vous utilisez la version 1.0 de la synchronisation des mots de passe, procédez à la mise à niveau en suivant les instructions de cette section.

IMPORTANT:  n'installez pas le module d'interface pilote d'Identity Manager avant d'avoir lu ces instructions.

L'ensemble de ces instructions concernent NT et AD à l'exception d'une seule étape ; les deux pilotes sont donc mentionnés tout au long de la procédure.

Pour mettre à niveau de la version 1.0 de la synchronisation des mots de passe vers la version fournie avec Identity Manager :

1. Vérifiez que l'environnement que vous utilisez est compatible avec le mot de passe universel, y compris la mise à niveau de Novell Client si vous l'utilisez dans cet environnement. Reportez-vous à Preparing to Use Identity Manager Password Synchronization and Universal Password (Préparation pour l'utilisation de la synchronisation des mots de passe sous Identity Manager et des mots de passe universels), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d'administration de Novell Nsure Identity Manager 2).

   La synchronisation des mots de passe sous Identity Manager ne nécessite pas l'installation de Novell Client sur les ordinateurs Windows.

2. Installez le module d'interface pilote Identity Manager pour remplacer celui de DirXML 1.x, puis passez à l'Step 3.

   Utilisez le programme d'installation décrit dans Installation , dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d'administration de Novell Nsure Identity Manager 2) et ne sélectionnez que le pilote DirXML pour domaine NT.

3. Créez la compatibilité amont avec la version 1.0 de la synchronisation des mots de passe, en ajoutant une nouvelle règle à la configuration du pilote tel que décrit dans Création de la compatibilité amont avec la version 1.0 de la synchronisation des mots de passe par l'ajout de règles.

   Un module d'interface pilote DirXML 1.x met à jour l'attribut nadLoginName. Le module d'interface pilote DirXML d'Identity Manager ne le fait pas ; vous devez donc ajouter des règles à la configuration du pilote pour mettre nadLoginName à jour. Cela permet à la version 1.0 de la synchronisation des mots de passe de fonctionner comme d'habitude lorsque vous installez le module d'interface pilote. Aucune modification des mots de passe ne vous échappe donc alors que vous terminez le déploiement de la synchronisation des mots de passe sous Identity Manager.

   IMPORTANT:  si vous ne suivez pas cette étape, la version 1.0 de la synchronisation des mots de passe continue à mettre à jour les utilisateurs existants ; toutefois, aucun utilisateur nouveau ou renommé n'est synchronisé tant que la synchronisation des mots de passe sous Identity Manager n'est pas déployée.

   Une fois cette étape franchie, vous disposez d'un nouveau module d'interface pilote et de règles régissant la compatibilité amont. Votre pilote peut donc prendre en charge la version 1.0 de la synchronisation des mots de passe.

   Si vous ne pouvez pas terminer le reste de cette procédure dès à présent, vous pouvez continuer à utiliser la version 1.0 de la synchronisation des mots de passe jusqu'à ce que vous soyez prêt à terminer le déploiement de la synchronisation des mots de passe sous Identity Manager.

4. Si vous voulez que des pilotes participent à la synchronisation des mots de passe, ajoutez-leur l'option de prise en charge de la synchronisation des mots de passe sous Identity Manager, en mettant à niveau une configuration existante ou en la remplaçant.

   Mise à niveau d'une configuration existante : mettez la configuration de votre pilote DirXML 1.x à niveau en le convertissant au format Identity Manager et en ajoutant les règles dont la synchronisation des mots de passe sous Identity Manager a besoin.

   • Convertissez le pilote au format Identity Manager à l'aide d'un assistant. Reportez-vous à Upgrading a Driver Configuration from DirXML 1.x to Identity Manager Format (Mise à niveau d'une configuration du pilote, de DirXML 1.x vers le format d'Identity Manager), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d'administration de Novell Nsure Identity Manager 2).
   • Ajoutez des règles pour prendre en charge la synchronisation des mots de passe sous Identity Manager. Vous pouvez utilisez un fichier de configuration de type " support pack intégré " pour ajouter les règles, le manifeste de pilote et les valeurs de configuration globales. Vous devez également ajouter un attribut au filtre. Pour plus d'informations, reportez-vous à Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe sous Identity Manager.

   Remplacez la configuration existante par la configuration Identity Manager et ajoutez de nouveau la compatibilité amont : l'exemple de configuration du pilote Identity Manager comprend les règles, le manifeste de pilote, les valeurs de configuration globales et les paramètres de filtre prenant en charge la synchronisation des mots de passe sous Identity Manager. Vous trouverez des informations concernant l'importation de la nouvelle configuration du pilote dans le présent guide.

   • Si vous décidez de remplacer la configuration existante, vérifiez que vous ajoutez la compatibilité amont, selon la procédure décrite dans Création de la compatibilité amont avec la version 1.0 de la synchronisation des mots de passe par l'ajout de règles. L'exemple de configuration du pilote Identity Manager ne contient pas ces règles.
   • Vérifiez que l'attribut nadLoginName est défini sur Publier et S'abonner dans le filtre (pour NT), et sur Publier (pour AD), comme c'était le cas dans la configuration du pilote précédente.

5. Installez les nouveaux filtres de synchronisation des mots de passe et configurez-les si vous voulez que le système connecté fournisse des mots de passe utilisateur à Identity Manager. Reportez-vous à Définition des filtres de synchronisation des mots de passe.

6. Activez le mot de passe universel pour les comptes utilisateur eDirectory en créant les règles de mot de passe, l'option Mot de passe universel étant activée.

   Reportez-vous à Managing Passwords Using Password Policies (Gestion des mots de passe avec règles de mot de passe), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d'administration de Novell Nsure Identity Manager 2).

   Nous vous recommandons d'affecter des règles de mot de passe au niveau le plus élevé possible de l'arborescence afin de simplifier l'administration.

7. Définissez le scénario de synchronisation de mot de passe que vous souhaitez utiliser à l'aide des règles de mot de passe et des paramètres de synchronisation de mot de passe du pilote.

   Reportez-vous à Implementing Password Synchronization (Implémentation de la synchronisation des mots de passe), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d'administration de Novell Nsure Identity Manager 2).

8. Testez la synchronisation.

9. Dès que la synchronisation des mots de passe fonctionne correctement sous Identity Manager, vous pouvez supprimer la version 1.0 de la synchronisation des mots de passe.

   1. Désactivez la version 1.0 de la synchronisation des mots de passe en supprimant l'agent dans Ajout/Suppression de programmes.

   2. Dans le filtre du pilote, définissez l'attribut nadLoginName sur Ignorer.

   3. Dans la configuration du pilote, supprimez les règles de compatibilité amont qui mettent nadLoginName à jour.

   4. Si vous le souhaitez, vous pouvez également supprimez l'attribut nadLoginName des utilisateurs, devenu inutile dès lors que la synchronisation des mots de passe fonctionne sous Identity Manager.

Création de la compatibilité amont avec la version 1.0 de la synchronisation des mots de passe par l'ajout de règles

La version 1.0 de la synchronisation des mots de passe dépend de la mise à jour de l'attribut nadLoginName par les modules d'interface pilote. Cet attribut indique si un mot de passe utilisateur doit être synchronisé. Il est ajouté ou mis à jour chaque fois qu'un nouvel utilisateur est ajouté ou qu'un nom d'utilisateur est modifié.

Les modules d'interface pilote Identity Manager ne mettent plus cet attribut à jour car la synchronisation des mots de passe sous Identity Manager n'en a pas besoin. Dès lors que vous avez installé un nouveau module d'interface pilote, l'attribut nadLoginName n'est donc pas mis à jour. Cela signifie que la version 1.0 de la synchronisation des mots de passe ne reçoit plus d'avis concernant l'arrivée de nouveaux utilisateurs ou le fait qu'ils ont été renommés, à moins que vous n'ajoutiez la compatibilité amont à la configuration de votre pilote.

La compatibilité amont avec la version 1.0 de la synchronisation des mots de passe est nécessaire pour que la transition de la version 1.0 de la synchronisation des mots de passe vers la synchronisation des mots de passe sous Identity Manager se fasse en douceur.

Pour créer une compatibilité amont avec la version 1.0 de la synchronisation des mots de passe, vous devez ajouter des règles mettant l'attribut nadLoginName à jour.

Ces règles doivent être ajoutées aux pilotes AD et aux pilotes NT , que vous mettiez la configuration des pilotes à niveau ou que vous les remplaciez par les nouvelles configurations livrées avec Identity Manager. Les exemples de configuration du pilote Identity Manager pour AD et NT ne les incluent pas par défaut.

Trois règles sont nécessaires : une pour la transformation des sorties de l'abonné, une pour la transformation des entrées de l'éditeur et une pour la transformation des commandes de l'éditeur. Ces règles sont fournies avec Identity Manager dans un fichier de configuration nommé Règles de la version 1.0 de la synchronisation des mots de passe pour AD et NT. La procédure suivante explique comment importer les nouvelles règles et les ajouter à la configuration d'un pilote.

1. Dans iManager, cliquez sur Utilitaires DirXML > Importer des pilotes.

   L'assistant d'importation des pilotes s'ouvre.

2. Sélectionnez l'ensemble de pilotes dans lequel se trouve le pilote AD ou NT existant.

3. Dans le bas de la liste des configurations, sélectionnez Règles 1.0 hérités relatives à synchronisation des mots de passe : compatibilité avec les versions précédentes pour AD et NT.

   Ce choix est décrit sous le titre Autres règles.

4. Répondez aux invites d'importation :

   1. Sélectionnez votre pilote AD ou NT existant.

      Le fait de sélectionner le pilote existant permet d'ajouter les trois règles nécessaires. Le processus d'importation crée trois nouveaux objets Règles, que vous devez insérer au bon endroit de la configuration du pilote.

   2. Spécifiez si le pilote est un pilote AD ou NT.

      Il existe des différences mineures entre les règles importées, en fonction du système choisi.

   3. Sélectionnez l'objet nadDomain associé au pilote que vous souhaitez mettre à jour.

      Il se trouve généralement sous l'objet Pilote.

   4. (AD uniquement) Saisissez le nom de l'attribut NDS assigné à l'attribut AD sAMAccountName.

      Cette information se trouve dans la règle d'assignation de schéma de la configuration du pilote.

5. Cliquez sur Suivant.

   Vous avez choisi un pilote existant ; une page s'affiche alors, vous demandant comment vous souhaitez que votre pilote soit mis à jour. Dans ce cas, il s'agit seulement de mettre à jour les règles choisies.

6. Sélectionnez l'option Ne mettre à jour que les règles sélectionnées dans ce pilote, puis cochez les cases correspondant aux trois règles énumérées.

7. Cliquez sur Suivant puis sur Terminer pour achever la procédure demandée par l'assistant.

   À ce moment de la procédure, les trois nouvelles règles ont été créées en tant qu'objets Règle de l'objet pilote ; cependant, elles ne font pas encore partie de la configuration du pilote. Vous devez pour cela insérer chacune d'entre elles manuellement, au bon endroit dans la configuration du pilote sur les canaux Abonné et Éditeur.

8. Insérez chacune des trois nouvelles règles à l'endroit qui convient dans la configuration du pilote existant. S'il existe plusieurs règles pour une partie de la configuration du pilote, vérifiez que vous avez répertorié ces nouvelles règles en dernier.

   Nom de l'objet règle	Endroit où l'insérer
   Pour le pilote NT :
   PassSync(Pub)-Règles de transformation de la commande	Règles de transformation de la commande sur le canal Éditeur
   PassSync(Pub)-Règles de transformation de l'entrée	Règles de transformation de l'entrée sur le canal Éditeur
   PassSync(Pub)-Règles de transformation de la commande	Règles de transformation de la commande sur le canal Abonné
   Pour le pilote Active Directory :
   PassSync(Pub)-Règles de transformation de la commande	Règles de transformation de la commande sur le canal Éditeur
   PassSync(Pub)-Règles de transformation de l'entrée	Règles de transformation de l'entrée sur le canal Éditeur
   PassSync(Pub)-Règles de transformation de la sortie	Règles de transformation de l'entrée sur le canal Éditeur

   Voici comment faire. Répétez ces étapes pour chaque règle.

   1. Cliquez sur Gestion DirXML > Présentation. Sélectionnez l'ensemble de pilotes pour le pilote que vous êtes en train de mettre à jour.

   2. Cliquez sur le pilote que vous venez de mettre à jour.

      Une page montrant une représentation graphique de la configuration de pilote s'affiche.

   3. Cliquez sur l'icône pour savoir où ajouter l'une des trois nouvelles règles.

   4. Cliquez sur Insérer pour ajouter la nouvelle règle. Dans la page qui s'affiche, cliquez sur Utiliser une règle existante et recherchez le nouvel objet Règle. Cliquez sur OK.

   5. Si la liste contient plusieurs règles pour chacune des trois nouvelles règles, utilisez les flèches pour déplacer la nouvelle règle vers le bas de la liste.

9. Répétez cette procédure pour tous les pilotes des domaines AD et NT.

Une fois cette procédure terminée, la configuration des pilotes des domaines AD et NT sont compatibles en amont avec la version 1.0 de la synchronisation des mots de passe. Cela signifie que la synchronisation des mots de passe continue de fonctionner comme précédemment, permettant la mise à niveau vers la synchronisation des mots de passe sous Identity Manager quand vous le souhaitez.