5.4 Préparation à l'utilisation de la synchronisation des mots de passe et du mot de passe universel dans Identity Manager

5.4.1 Commutation des utilisateurs du mot de passe NDS au mot de passe universel

Lorsque vous activez le mot de passe universel pour un groupe d'utilisateurs à l'aide d'une stratégie de mot de passe, le mot de passe doit être spécifié.

Si vous avez déjà utilisé la synchronisation des mots de passe pour mettre à jour le mot de passe NDS, vous devez planifier la transition des mots de passe des utilisateurs. Vous pouvez effectuer l'une des opérations suivantes pour que vos utilisateurs créent un mot de passe universel :

  • Si vous utilisez le client Novell, transférez le client Novell prenant en charge le mot de passe universel.

    Le client Novell n'est pas requis pour la synchronisation des mots de passe dans Identity Manager.

    Après ce transfert, à la prochaine connexion des utilisateurs à l'aide du client Novell, le client capture le mot de passe NDS avant qu'il ne soit haché et l'utilise pour renseigner le mot de passe universel. Reportez-vous à la section « Planning Login and Change Password Methods for your Users (Planification des méthodes de login et de modification des mots de passe pour les utilisateurs) » du guide de gestion des mots de passe.

  • Si vous n'utilisez pas le client Novell, demandez aux utilisateurs de se connecter à la console en libre-service de iManager. Cette méthode de connexion renseigne le mot de passe universel. Pour accéder à la console en libre-service de iManager, accédez au répertoire /nps sur votre serveur iManager. Par exemple, https://www.myiManager.com/nps.
  • Demandez aux utilisateurs de se connecter en utilisant tout service qui s'authentifie à l'aide d'un serveur LDAP avec activation du mot de passe universel, le portail d'une société, par exemple.

5.4.2 Comment aider les utilisateurs à changer de mot de passe

Lorsqu'un utilisateur modifie son mot de passe dans iManager, la console en libre-service de iManager ou le client Novell, les stratégies de mot de passe NMAS avancées s'affichent. L'utilisateur peut ainsi créer un mot de passe conforme, sans avoir à deviner les règles.

Selon la configuration du flux de mots de passe, l'utilisateur peut modifier un mot de passe sur un système connecté ; ce mot de passe est alors synchronisé avec Identity Manager et avec les autres systèmes connectés. Toutefois, les systèmes connectés n'affichent pas les règles de mot de passe avancées lorsque l'utilisateur modifie un mot de passe.

Si vous souhaitez appliquer les règles de mot de passe avancées et éviter des mots de passe non conformes, il est recommandé de demander aux utilisateurs de ne modifier le mot de passe que dans la console en libre-service de iManager ou dans le client Novell, ou au moins de s'assurer que les règles de mot de passe avancées sont bien communiquées aux utilisateurs.

Sur un système connecté, l'utilisateur est autorisé à changer le mot de passe sans afficher les stratégies. Il peut donc en avoir un souvenir erroné. Seules les stratégies du système connecté lui-même sont appliquées lorsque l'utilisateur procède à la modification pour la première fois. L'utilisateur risque de rencontrer les problèmes suivants lorsqu'il crée un mot de passe incompatible sur un système connecté, selon les paramètres inscrits dans Identity Manager :

  • Si vous avez activé le paramètre qui applique la stratégie sur les mots de passe entrant dans Identity Manager depuis les systèmes connectés, le nouveau mot de passe de l'utilisateur ne sera pas synchronisé sur le coffre-fort d'identité. Si vous avez défini Identity Manager pour qu'il avertisse les utilisateurs de l'échec, ils recevront un message électronique indiquant que leur mot de passe ne s'est pas synchronisé.
  • Si vous avez également paramétré Identity Manager pour qu'il remplace les mots de passe non conformes sur les systèmes connectés, l'utilisateur ne pourra pas se connecter au système connecté avec le nouveau mot de passe choisi.

    Identity Manager réinitialise le mot de passe sur le système connecté avec le mot de passe de distribution, qui est probablement le dernier mot de passe conforme créé par l'utilisateur.

5.4.3 Préparation à l'utilisation du mot de passe universel

Pour vous préparer à utiliser le mot de passe universel, reportez-vous à la section « Deploying Universal Password (Déploiement du mot de passe universel) » du Password Management Administration Guide (Guide d'administration pour la gestion des mots de passe). Vous y trouverez la plupart des informations nécessaires.

Vous devez en outre vous souvenir que :

  • eDirectory 8.7.1 ou une version supérieure est nécessaire à l'utilisation du mot de passe universel. NetWare® 6.5 n'est pas requis.
  • La synchronisation des mots de passe dans Identity Manager s'appuie à la fois sur le mot de passe universel et sur le mot de passe de distribution. Le mot de passe de distribution est le référentiel à partir duquel Identity Manager distribue les mots de passe aux systèmes connectés. Comme pour le mot de passe universel, les stratégies NMAS peuvent être appliquées au mot de passe de distribution.
  • Les plugs-in iManager fournis avec Identity Manager comprennent les plugs-in de gestion des mots de passe. Ils permettent de créer des stratégies de mot de passe et de déterminer la méthode de synchronisation entre le mot de passe universel et le mot de passe NDS, le mot de passe simple et le mot de passe de distribution.

    Ils remplacent les plugs-in du mot de passe universel qui étaient livrés avec NetWare 6.5. Ils sont décrits à la section « Managing Passwords by Using Password Policies (Gestion des mots de passe à l'aide des stratégies de mot de passe) » du Password Management Administration Guide (Guide d'administration pour la gestion des mots de passe).

  • eDirectory 8.6. 2 ne peut pas être utilisé pour l'arborescence dont se sert Identity Manager. En revanche, eDirectory 8.6.2 est pris en charge pour un sous-ensemble de fonctions de synchronisation des mots de passe. Vous pouvez donc utiliser eDirectory 8.6.2 pour d'autres arborescences si vous n'êtes pas encore prêt à mettre à niveau la totalité de votre environnement.
  • Lors de la mise à niveau du logiciel, l'une des manières de réduire l'impact du déploiement du mot de passe universel consiste à créer une arborescence séparée pour Identity Manager, fonctionnant en tant que coffre-fort d'identité. De nombreux environnements utilisent déjà un coffre-fort d'identité pour Identity Manager et les pilotes.
  • Le mot de passe universel apporte des fonctionnalités qui n'étaient pas prises en charge par les précédents outils de gestion des mots de passe, comme l'application des stratégies de mot de passe et la possibilité d'utiliser des caractères spéciaux.
  • Il est très important de mettre à jour le client Novell et d'autres utilitaires, de manière à éviter une désynchronisation entre le mot de passe NDS et le mot de passe universel, parfois appelée « dérive du mot de passe ». Reportez-vous à la section « Planning Login and Change Password Methods for your Users (Planification des méthodes de login et de modification des mots de passe pour les utilisateurs) » du Password Management Administration Guide (Guide d'administration pour la gestion des mots de passe).
  • La version la plus récente du client Novell prend en charge le mot de passe universel, peut renseigner le champ à la place de l'utilisateur lorsque vous activez le mot de passe universel pour la première fois pour cet utilisateur, et peut afficher et appliquer les stratégies de mot de passe NMAS lorsque les utilisateurs modifient leurs mots de passe.
  • Un système connecté n'affiche pas les règles avancées créés dans une stratégie de mot de passe. Pour l'heure, le client Novell, même s'il les applique, est également concerné.

    Il est préférable de demander aux utilisateurs de ne modifier le mot de passe que dans la console en libre-service de iManager.

    Si vous les autorisez à modifier leurs mots de passe sur un système connecté ou en utilisant la dernière version du client Novell, aidez-les à créer un mot de passe conforme en vérifiant que les règles de la stratégie de mot de passe leur ont bien été communiqués.

  • Assurez-vous que les administrateurs et les techniciens du service d'assistance savent que ConsoleOne® ne prend en charge le mot de passe universel que s'il est utilisé sur un serveur NetWare® 6.5 ou une version ultérieure ou sur une machine disposant de la dernière version du client Novell.
  • Vérifiez que les administrateurs et les utilisateurs du service d'assistance comprennent les implications liées à l'utilisation d'utilitaires ne prenant en charge que le mot de passe NDS. Ces utilitaires peuvent être utilisés pour se connecter, mais pas pour modifier les mots de passe. Cette mesure évite le problème de dérive du mot de passe.

    Le Novell Modular Authentication Services (NMAS) 3.0 Administration Guide (Guide d'administration de Novell Modular Authentication Services (NMAS) 3.0) contient la référence d'un document TID qui répertorie les utilitaires prenant en charge le mot de passe universel.

5.4.4 Mise en correspondance des conteneurs

Les stratégies de mot de passe NMAS sont assignées dans une perspective centrée sur l'arborescence. La synchronisation des mots de passe, en revanche, est définie pilote par pilote. Les pilotes sont installés pour chaque serveur et ne peuvent gérer que les utilisateurs se trouvant sur une réplique principale ou en lecture/écriture.

Pour que la synchronisation des mots de passe donne les résultats escomptés, vérifiez que les conteneurs d'une réplique principale ou en lecture/écriture sur le serveur, exécutant les pilotes et auxquels s'applique la synchronisation, correspondent aux conteneurs pour lesquels vous avez assigné des stratégies de mot de passe en activant le mot de passe universel. L'assignation d'une stratégie de mot de passe au conteneur racine d'une partition garantit que cette stratégie s'applique à tous les utilisateurs de ces conteneurs et sous-conteneurs.

5.4.5 Configuration de la notification par message électronique

Pour utiliser la fonction de notification par message électronique :

  • Utilisez la tâche Configuration de la notification dans iManager pour configurer le serveur de messagerie.
  • Le cas échéant, utilisez la tâche Configuration de la notification dans iManager pour personnaliser les modèles de message électronique.
  • Vérifiez que les utilisateurs du coffre-fort d'identité ont rempli l'attribut Adresse de messagerie Internet.

Suivez les instructions de la Section 5.12, Configuration de la notification par message électronique.