Définition des filtres de synchronisation des mots de passe

Le pilote doit être configuré de façon à ne fonctionner que sur un seul ordinateur Windows.

Cependant, une fois le pilote installé, chacun des autres contrôleurs de domaine nécessite l'installation d'un filtre de mot de passe (fichier pwfilter.dll) ; le registre doit être configuré pour capturer les mots de passe, afin que ces derniers soient envoyés à Identity Manager.

Le filtre de mot de passe démarre automatiquement lorsque le contrôleur de domaine est lancé. Le filtre capture les modifications apportées aux mots de passe par les utilisateurs via des clients Windows ; ensuite, il les code et les envoie au pilote afin que la banque de données d'Identity Manager soit mise à jour.

NOTE:  pour plus d'informations sur la configuration de la synchronisation des mots de passe, reportez-vous à Implementing Password Synchronization (Implémentation de la synchronisation des mots de passe), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d'administration de Novell Nsure Identity Manager 2).

L'utilitaire DirXML PassSync est ajouté au Panneau de configuration lorsque le pilote est installé, afin de simplifier la configuration et l'administration des filtres de mots de passe. Cet utilitaire donne deux possibilités de configuration des filtres de mots de passe, selon que vous souhaitez autoriser l'accès distant à votre registre sur vos contrôleurs de domaine.

• Si vous ne voulez pas autoriser l'accès distant au registre : vous pouvez configurer les filtres de mots de passe séparément sur chaque contrôleur de domaine. Pour cela, dans chaque contrôleur de domaine, installez les fichiers du pilote afin de disposer de l'utilitaire DirXML PassSync ; utilisez ce dernier sur chaque ordinateur pour installer le filtre de mot de passe et mettre le registre à jour.

  Reportez-vous à Configuration séparée des filtres de mots de passe sur chaque contrôleur de domaine.

• Si vous autorisez l'accès distant au registre : depuis l'ordinateur sur lequel vous comptez exécuter le pilote, vous pouvez configurer le filtre de mot de passe pour tous les contrôleurs de domaine à l'aide de l'utilitaire DirXML PassSync.

  Cette méthode permet de configurer tous les contrôleurs de domaine depuis un seul ordinateur.

  Si vous configurez l'ensemble des contrôleurs de domaine depuis une seule machine, l'utilitaire DirXML PassSync vous accompagne lors de l'installation, grâce aux fonctionnalités suivantes :

  • spécification du domaine dans lequel vous souhaitez voir participer à la synchronisation des mots de passe,
  • recherche automatique de l'ensemble des contrôleurs de domaine pour le domaine,
  • installation à distance du fichier pwfilter.dll sur chaque contrôleur de domaine,
  • mise à jour automatique du registre sur l'ordinateur sur lequel le pilote s'exécute et sur chaque contrôleur de domaine,
  • affichage de l'état du filtre sur chaque contrôleur de domaine,
  • redémarrage à distance du contrôleur de domaine. Nécessaire lorsque vous ajoutez pour la première fois un domaine pour la synchronisation des mots de passe ; en effet, le filtre qui capture les modifications apportées aux mots de passe est un fichier .dll lancé en même temps que le contrôleur de domaine.

  Reportez-vous à Configuration des filtres de mot de passe pour tous les contrôleurs de domaine à partir d'un ordinateur unique.

Configuration séparée des filtres de mots de passe sur chaque contrôleur de domaine

Cette procédure explique comment installer et configurer le filtre de mot de passe sur chaque contrôleur de domaine, l'un après l'autre.

Utilisez cette méthode si vous ne voulez pas autoriser l'accès distant au registre.

Dans cette procédure, installez le pilote de façon à disposer de l'utilitaire DirXML PassSync, que vous utilisez ensuite pour installer le fichier pwfilter.dll et spécifier le port à utiliser ainsi que l'ordinateur hôte sur lequel le pilote DirXML pour NT s'exécute.

Comme la configuration du filtre nécessite le redémarrage du contrôleur de domaine, il vaut mieux effectuer cette procédure en dehors des heures de travail de vos collègues ou ne redémarrer qu'un seul contrôleur de domaine à la fois. S'il y a plusieurs contrôleurs de domaine dans le domaine, n'oubliez pas que le filtre doit être installé sur chaque contrôleur de domaine incluant l'option de synchronisation des mots de passe, lequel devra être redémarré.

1. Vérifiez que ces ports sont disponibles sur le contrôleur de domaine et sur l'ordinateur sur lequel le pilote DirXML pour Windows doit s'exécuter.

   • 135 : Programme d'assignation d'extrémité RPC
   • 137 : Service de dénomination NetBIOS
   • 138 : Service de datagramme NetBIOS
   • 139 : Service de session NetBIOS

2. Sur le contrôleur de domaine, utilisez le programme d'installation d'Identity Manager pour n'installer que le pilote DirXML pour NT.

   L'utilitaire DirXML PassSync est installé en même temps que le pilote.

3. Cliquez sur Démarrer > Paramètres > Panneau de configuration, puis cherchez l'utilitaire DirXML PassSync.

   
   

4. Double-cliquez sur DirXML PassSync.

   La première fois que vous le démarrez, cet utilitaire vous demande si le pilote DirXML est installé sur l'ordinateur sur lequel DirXML PassSync est installé.

   
   

5. Cliquez sur OK.

   Une fois l'installation terminée, cette invite ne s'affiche plus, à moins que vous ne supprimiez le filtre de mot de passe en cliquant sur le bouton Supprimer dans la boîte de dialogue Propriétés de filtrage de mot de passe.

   Lorsque vous cliquez sur OK, la boîte de dialogue Propriétés de filtrage de mot de passe apparaît, affichant un message d'état indiquant que le filtrage des mots de passe n'est pas encore configuré sur ce contrôleur de domaine.

   
   

6. Cliquez sur le bouton Configuration pour installer le filtre de mot de passe, pwfilter.dll.

7. Dans les paramètres Port, spécifiez si vous souhaitez utiliser un port statique ou dynamique.

   Ne choisissez l'option Utiliser un port statique que si vous souhaitez configurer le RPC du contrôleur de domaine autrement que par défaut.

8. Spécifiez l'emplacement du pilote DirXML, cliquez sur Ajouter puis spécifiez le nom d'hôte de l'ordinateur exécutant le pilote DirXML dans la boîte de dialogue Filtre pour la synchronisation de mot de passe - Ajout d'un hôte. Cliquez sur OK.

   
   

   Cette étape est indispensable et permet au filtre de mot de passe de savoir où envoyer les modifications apportées aux mots de passe. Le filtre de mot de passe capture les modifications apportées aux mots de passe, qu'il doit envoyer au pilote DirXML pour mettre à jour la banque de données d'Identity Manager.

9. Cliquez sur OK dans la boîte de dialogue Propriétés de filtrage de mot de passe.

10. Redémarrez le contrôleur de domaine pour terminer l'installation du filtre de mot de passe.

    Vous pouvez décider de redémarrer au moment le mieux adapté en fonction de votre environnement. Cependant, il ne faut pas oublier que la synchronisation des mots de passe ne sera totalement opérationnelle que lorsque le filtre de mot de passe aura été installé sur chaque contrôleur de domaine et lorsque ces derniers auront été redémarrés.

    Lorsque l'installation est terminée et que le contrôleur de domaine a été redémarré, le filtre de mot de passe est automatiquement lancé à chaque démarrage du contrôleur de domaine.

11. Vérifiez l'état du filtre de mot de passe en cliquant sur Démarrer > Paramètres > Panneau de configuration, puis en double-cliquant sur l'utilitaire DirXML PassSync. Confirmez que l'état de l'utilitaire est En cours d'exécution.

12. Répétez la procédure de l'Step 2 à l'Step 11 pour chaque contrôleur de domaine que vous souhaitez voir participer à la synchronisation des mots de passe.

13. Si l'état de chacun des contrôleurs de domaine est En cours d'exécution, testez la synchronisation des mots de passe pour vérifier qu'elle fonctionne.

Configuration des filtres de mot de passe pour tous les contrôleurs de domaine à partir d'un ordinateur unique

Cette procédure explique comment installer et configurer le filtre de mot de passe sur chaque contrôleur de domaine à partir de l'ordinateur sur lequel s'exécute le pilote.

Utilisez cette méthode si vous voulez autoriser l'accès distant au registre.

Comme la configuration du filtre nécessite le redémarrage du contrôleur de domaine, il vaut mieux effectuer cette procédure en dehors des heures de travail de vos collègues ou ne redémarrer qu'un seul contrôleur de domaine à la fois. S'il y a plusieurs contrôleurs de domaine dans le domaine, n'oubliez pas que le filtre doit être installé sur chaque contrôleur de domaine incluant l'option de synchronisation des mots de passe, lequel devra être redémarré.

1. Vérifiez que ces ports sont disponibles sur les contrôleurs de domaine et sur l'ordinateur sur lequel le pilote DirXML pour Windows doit s'exécuter.

   • 135 : Programme d'assignation d'extrémité RPC
   • 137 : Service de dénomination NetBIOS
   • 138 : Service de datagramme NetBIOS
   • 139 : Service de session NetBIOS

2. Sur le système sur lequel le pilote est installé, cliquez sur Démarrer > Paramètres > Panneau de configuration.

   
   

3. Double-cliquez sur DirXML PassSync.

   La première fois que vous le démarrez, cet utilitaire vous demande si le pilote DirXML est installé sur l'ordinateur sur lequel DirXML PassSync est installé.

   
   

   Lorsque vous avez terminé la configuration, cette invite n'apparaît plus, sauf si vous souhaitez supprimer le domaine de la liste.

4. Cliquez sur OK.

   Une liste apparaît, sous le titre Domaines synchronisés.

   
   

5. Pour ajouter un domaine devant participer à la synchronisation des mots de passe, cliquez sur Ajouter et spécifiez le nom du domaine.

   
   

6. Connectez-vous avec des droits d'administrateur.

   L'utilitaire DirXML PassSync recherche tous les contrôleurs de domaine pour ce domaine et installe pwfilter.dll sur chaque contrôleur de domaine. Il met également à jour le registre de l'ordinateur sur lesquels s'exécutent les pilotes et sur chaque contrôleur de domaine. Cela peut prendre quelques minutes.

   Le fichier pwfilter.dll ne capture pas les modifications apportées aux mots de passe tant que le contrôleur de domaine n'a pas été redémarré. L'utilitaire DirXML PassSync permet d'afficher la liste de tous les contrôleurs de domaine ainsi que l'état du filtre leur correspondant. Vous pouvez également redémarrer le contrôleur de domaine depuis l'utilitaire lui-même.

7. Dans la liste, cliquez sur le nom du domaine puis sur Filtres.

   L'utilitaire affiche les noms de tous les contrôleurs de domaine ainsi que l'état du filtre leur correspondant.

   L'état du filtre doit indiquer s'il faut redémarrer le contrôleur de domaine. Cependant, l'exécution par l'utilitaire des tâches automatiques qui lui sont confiées peut prendre quelques minutes : pendant cet intervalle, le statut Inconnu peut apparaître.

   
   

8. Redémarrez chaque contrôleur de domaine.

   Vous pouvez décider de redémarrer au moment le mieux adapté en fonction de votre environnement. Cependant, il ne faut pas oublier que la synchronisation des mots de passe ne sera totalement opérationnelle que lorsque chaque contrôleur de domaine aura été redémarré.

9. Si l'état des contrôleurs de domaine est En cours d'exécution, testez la synchronisation des mots de passe pour vérifier qu'elle fonctionne.

10. Pour ajouter d'autres domaines, cliquez sur OK et revenez à la liste des domaines, puis répétez la procédure de l'Step 5 à l'Step 9.