Novell Documentation: Novell Identity Manager 3 - Dépannage des problèmes de synchronisation des mots de passe

5.13 Dépannage des problèmes de synchronisation des mots de passe

Pour plus d'informations sur les astuces, reportez-vous à la Section 5.8, Implémentation de la synchronisation des mots de passe.
Vérifiez que la méthode de login par mot de passe simple NMAS est installée.
Vérifiez que vous disposez d'une copie de la racine de l'arborescence sur les serveurs sur lesquels NMAS doit appliquer les stratégies de mot de passe sur les méthodes de login de eDirectory ou sur les mots de passe des systèmes connectés synchronisés par Identity Manager.
Vérifiez que tous les utilisateurs nécessitant une synchronisation des mots de passe sont répliqués sur le même serveur que le pilote chargé de la synchronisation des mots de passe. Comme pour ses autres fonctions, le pilote ne peut gérer que les utilisateurs se trouvant sur une réplique principale ou en lecture/écriture du même serveur.
Vérifiez que SSL est correctement configuré entre le serveur Web et le coffre-fort d'identité.
Si un message d'erreur indique qu'un mot de passe correctement configuré dans le coffre-fort d'identité n'est pas conforme lorsqu'un utilisateur est créé, le mot de passe par défaut de la stratégie du pilote n'est peut-être pas conforme à la stratégie de mots de passe qui s'applique à cet utilisateur.
Le scénario suivant utilise le pilote Active Directory. Ce problème peut toutefois se produire avec un autre pilote.

Spécification d'un mot de passe initial : vous souhaitez que le pilote Active Directory fournisse le mot de passe initial d'un utilisateur lorsqu'il crée dans le coffre-fort d'identité un nouvel objet Utilisateur correspondant à un utilisateur Active Directory. L'exemple de configuration du pilote Active Directory envoie le mot de passe initial et ajoute un utilisateur de manière séparée ; l'exemple de configuration comprend également une stratégie fournissant un mot de passe par défaut à l'utilisateur, si Active Directory ne fournit aucun mot de passe.

Comme l'ajout de l'utilisateur et la définition du mot de passe se font séparément, tout nouvel utilisateur se voit systématiquement attribuer le mot de passe par défaut, ne serait-ce que provisoirement. Très vite, ce mot de passe par défaut est mis à jour puisque le pilote Active Directory l'envoie immédiatement après avoir ajouté l'utilisateur. Si le mot de passe par défaut ne répond pas aux exigences de la stratégie de mots de passe du coffre-fort d'identité pour l'utilisateur, un message d'erreur apparaît.

Par exemple, si le mot de passe par défaut créé à partir du nom de l'utilisateur est trop court, un message d'erreur –216 apparaît, indiquant que le mot de passe est trop court. Cependant, ce problème se résout de lui-même dès que le pilote Active Directory envoie un mot de passe initial respectant la stratégie.

Si vous souhaitez avoir un système connecté qui crée des objets Utilisateur pour fournir le mot de passe initial, quel que soit le pilote que vous utilisez, choisissez l'une des options suivantes. Ces mesures sont particulièrement importantes si le mot de passe initial n'accompagne pas l'événement d'ajout mais qu'il vient plus tard.
- Sur le canal Éditeur, modifiez la stratégie qui crée le mot de passe par défaut afin que ce dernier soit conforme aux stratégies définies pour votre société dans le coffre-fort d'identité. Sélectionnez pour cela Mots de passe, puis Stratégies de mots de passe.
  Lorsque le mot de passe provient de l'application experte, il remplace le mot de passe par défaut.
  
  Il vaut mieux choisir cette option : en effet, Novell recommande la création d'une stratégie de mots de passe par défaut, afin que le niveau de sécurité du système soit aussi élevé que possible.
- Sur le canal Éditeur, supprimez la stratégie qui crée le mot de passe par défaut. Dans l'exemple de configuration, cette stratégie est fournie par l'ensemble de stratégies de transformation de la commande. Dans le coffre-fort d'identité, l'ajout d'un utilisateur sans mot de passe est autorisé. En effet, dans ce cas, l'objet Utilisateur nouvellement créé passe par le canal Éditeur ; l'absence de mot de passe n'est que temporaire.
Les stratégies de mot de passe sont assignées dans une perspective centrée sur l'arborescence. La synchronisation des mots de passe, en revanche, est définie pilote par pilote. Les pilotes sont installés pour chaque serveur et ne peuvent gérer que les utilisateurs se trouvant sur une réplique principale ou en lecture/écriture.
Pour que la synchronisation des mots de passe donne les résultats escomptés, vérifiez que les conteneurs d'une réplique principale ou en lecture/écriture sur le serveur, exécutant les pilotes et auxquels s'applique la synchronisation, correspondent aux conteneurs pour lesquels vous avez assigné des stratégies de mot de passe en activant le mot de passe universel. L'assignation d'une stratégie de mot de passe au conteneur racine d'une partition garantit que cette stratégie s'applique à tous les utilisateurs de ces conteneurs et sous-conteneurs.
Commandes DSTrace utiles :
- +DXML : pour afficher le traitement des règles Identity Manager et les messages d'erreur potentiels.
- +DVRS : affiche les messages du pilote Identity Manager.
- +AUTH : affiche les modifications des mots de passe NDS.
- +DCLN : affiche les messages NDS Dclient.