5.7 Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe

Cette section explique comment ajouter la prise en charge de la synchronisation des mots de passe sous Identity Manager à une configuration de pilote existante, au lieu de remplacer les configurations existantes par les exemples de configuration fournis avec Identity Manager.

Cette prise en charge doit être ajoutée à chaque pilote devant participer à la synchronisation des mots de passe. Pour ce faire, importez un fichier de configuration de type « support pack intégré » pour ajouter à la fois les stratégies, le manifeste de pilote et les valeurs de configuration globale.

Après l'ajout des stratégies, du manifeste du pilote et des valeurs de configuration globale, vous devez également ajouter l'attribut nspmDistributionPassword au filtre du pilote.

IMPORTANT:si vous mettez à niveau un pilote Identity Manager pour AD ou NT Domain, et si ce pilote est utilisé avec la version 1.0 de la synchronisation des mots de passe, suivez les instructions de mise à niveau proposées dans les guides d'implémentation des pilotes Identity Manager pour Active Directory et NT Domain, disponibles à la page Identity Manager Drivers (Pilotes Identity Manager).

Les stratégies ajoutées dans cette procédure sont destinées à la prise en charge de la synchronisation des mots de passe à l'aide du mot de passe universel et du mot de passe de distribution. Si vous utilisez le pilote Identity Manager pour ne synchroniser que le mot de passe NDS, il est recommandé de ne pas utiliser les stratégies de la configuration de pilote Identity Manager. Le mot de passe NDS est synchronisé à l'aide des attributs Clé publique et Clé privée et non à l'aide de ces stratégies, comme cela est décrit à la Section 5.8.2, Scénario 1 : utilisation du mot de passe NDS pour la synchronisation entre deux coffres-forts d'identité.

Conditions préalables

5.7.1 Étape 1 : convertissez le pilote au format Identity Manager 3.

  1. Vérifiez que votre environnement est prêt à utiliser le mot de passe universel.

    Reportez-vous à la Section 5.4, Préparation à l'utilisation de la synchronisation des mots de passe et du mot de passe universel dans Identity Manager.

    Si vous utilisez la version 1.1a de DirXML®, reportez-vous à la Section 2.3, Mise à niveau de la configuration d'un pilote du format DirXML 1.1a au format Identity Manager.

  2. Dans iManager, cliquez sur Utilitaires Identity Manager > Importer des pilotes.

  3. Sélectionnez l'ensemble de pilotes dans lequel se trouve le pilote existant, puis cliquez sur Suivant.

  4. Déroulez la liste des configurations de pilotes jusqu'à Autres stratégies et sélectionnez uniquement Stratégies de synchronisation de mot de passe 2.0.

  5. Cliquez sur Suivant.

  6. Dans la liste déroulante Pilotes existants, sélectionnez le pilote à mettre à jour.

  7. Dans la liste déroulante Système connecté, sélectionnez le type de système connecté.

    Si le nom du pilote ne s'affiche pas dans la liste déroulante, sélectionnez Autres systèmes.

    En fonction du type du pilote, l'assistant d'importation crée des entrées dans le manifeste du pilote pour préciser les capacités de configuration et le système connecté :

    • Le système connecté peut-il fournir des mots de passe à Identity Manager ?

      Cela fait référence au mot de passe de l'utilisateur sur le système connecté, et non à un mot de passe qui peut être créé à l'aide d'une feuille de style. Seuls AD, eDirectory et NIS peuvent le faire.

    • Le système connecté peut-il accepter des mots de passe venant de Identity Manager ?
    • Le système connecté peut-il vérifier si le mot de passe correspond à celui de Identity Manager ?

    Les entrées du manifeste du pilote doivent être correctes pour que les stratégies de synchronisation des mots de passe fonctionnent. Le manifeste du pilote indique la capacité combinée du système connecté, du module d'interface pilote Identity Manager et des stratégies de configuration des pilotes ; il ne doit généralement pas être modifié par l'administrateur réseau.

  8. Cliquez sur Suivant.

  9. Si vous n'avez pas de manifeste de pilote ni de valeurs de configuration globale à enregistrer, sélectionnez Mettre à jour toutes les caractéristiques de ce pilote.

    Cette option fournit le manifeste du pilote, les valeurs de configuration globale et les stratégies Identity Manager nécessaires à la synchronisation des mots de passe.

    Le manifeste et les valeurs de configuration globale remplacent toutes les valeurs existantes. Comme les paramètres de ce type n'existent que depuis Identity Manager 2, les pilotes DirXML 1.x ne devraient comporter aucune valeur existante susceptible d'être remplacée.

    Les stratégies de synchronisation des mots de passe n'écrasent pas les objets Stratégie existants. Elles sont simplement ajoutées à l'objet Pilote.

    REMARQUE:si vous devez enregistrer un manifeste de pilote ou des valeurs de configuration globale, sélectionnez Ne mettre à jour que les stratégies sélectionnées dans ce pilote, puis cochez les cases correspondant à ces stratégies. Cette option importe les stratégies de mot de passe mais ne modifie ni le manifeste de pilote ni les valeurs de configuration globale. Vous devez coller manuellement toute valeur supplémentaire.

  10. Cliquez sur Suivant, puis sur Terminer pour mettre fin à l'utilisation de l'assistant.

    À ce moment de la procédure, les nouvelles stratégies ont été créées en tant qu'objets Stratégie de l'objet Pilote ; cependant, elles ne font pas encore partie de la configuration du pilote. Vous devez pour cela insérer chacune d'entre elles manuellement, au bon endroit dans la configuration du pilote sur les canaux Abonné et Éditeur.

5.7.2 Étape 2 : ajoutez les stratégies à la configuration du pilote

Pour connaître la liste des stratégies à ajouter et l'emplacement recommandé, reportez-vous à la Section 5.3.4, Stratégies requises pour la configuration du pilote.

Insérez chacune des nouvelles stratégies à l'endroit qui convient dans la configuration du pilote existante.

Si l'ensemble comprend plusieurs stratégies, vérifiez que ces stratégies de synchronisation de mot de passe Identity Manager apparaissent au bas de la liste.

Répétez ces étapes pour chaque stratégie.

  1. Sélectionnez Identity Manager > Présentation de Identity Manager, puis recherchez l'ensemble de pilotes contenant le pilote dont vous effectuez la mise à jour.

  2. Cliquez sur le pilote que vous venez de mettre à jour (par exemple, AvayaPBX).

  3. Cliquez sur l'icône correspondant à l'endroit où vous devez ajouter l'une des nouvelles stratégies (par exemple, Stratégies de transformation de la commande sur le canal Éditeur).

  4. Cliquez sur Insérer pour ajouter la nouvelle stratégie.

  5. Cliquez sur Utiliser une stratégie existante, localisez le nouvel objet Stratégie, puis cliquez sur OK.

  6. Si la liste des nouvelles stratégies contient plusieurs stratégies, utilisez les flèchesDescription : icône de flèche montante Description : icône de flèche descendante pour amener les nouvelles stratégies à l'endroit correct dans la liste.

    Vérifiez que les stratégies sont bien dans l'ordre indiqué à la Section 5.3.4, Stratégies requises pour la configuration du pilote.

5.7.3 Étape 3 : changez les paramètres de filtre

  1. Pour les classes d'objets pour lesquelles vous voulez synchroniser les mots de passe (Utilisateur, par exemple), vérifiez que l'attribut nspmDistributionPassword se trouve dans le filtre et qu'il possède les paramètres suivants :

    • Pour le canal Éditeur, définissez le filtre sur Ignorer pour l'attribut nspmDistributionPassword.
    • Pour le canal Abonné, définissez le filtre sur Notifier pour l'attribut nspmDistribution Password.
    Description : paramètres de filtre pour nspmDistributionPassword

    Pour afficher l'attribut, vous devrez peut-être faire défiler les classes et en sélectionner une (par exemple, Utilisateur), puis faire défiler les attributs.

    Si l'attribut nspmDistributionPassword ne figure pas dans la liste :

    1. Vérifiez que la classe est bien sélectionnée, puis cliquez sur Ajouter un attribut.

    2. Recherchez et sélectionnez nspmDistributionPassword, puis cliquez sur OK.

  2. Pour tous les objets pour lesquels l'attribut nspmDistributionPassword est défini sur Notifier, définissez les attributs Clé publique et Clé privée sur Ignorer.

    Description : clé privée et Clé publique définies sur Ignorer dans le filtre

  3. Pour chacun des pilotes à mettre à niveau pour qu'il participe à la synchronisation des mots de passe, recommencez de l'Etape 2 (dans « Convertissez le pilote au format Identity Manager 3 ») à l'Etape 2 de cette section (« Changez les paramètres de filtre »).

    À ce moment de la procédure, le pilote dispose d'un nouveau module d'interface pilote et des autres éléments nécessaires à la prise en charge de la synchronisation des mots de passe dans la configuration du pilote. De plus, il est au format Identity Manager, et il possède le manifeste de pilote, les GCV, les stratégies de synchronisation de mot de passe et les paramètres de filtre.

  4. Vérifiez le guide d'implémentation de chaque pilote concerné pour connaître les éventuelles étapes ou informations complémentaires sur la configuration de la synchronisation des mots de passe dans Identity Manager. Reportez-vous à la page Identity Manager Drivers (Pilotes Identity Manager).

  5. Activez le mot de passe universel pour les utilisateurs en créant les stratégies de mot de passe, l'option Mot de passe universel étant activée.

    Reportez-vous à la section « Creating Password Policies (Création de stratégies de mot de passe) » du Password Management Administration Guide (Guide d'administration pour la gestion des mots de passe). Si vous avez déjà utilisé le mot de passe universel avec NetWare 6.5, des étapes supplémentaires sont décrites à la section « (NetWare 6.5 Only) Re-Creating Universal Password Assignments (Nouvelle création d'assignation de mot de passe universel - NetWare 6.5 uniquement) » du Password Management Administration Guide (Guide d'administration pour la gestion des mots de passe).

    Nous vous recommandons d'assigner des stratégies de mot de passe au niveau le plus élevé possible de l'arborescence.

    La page Options de configuration permet de choisir comment NMAS doit assurer la synchronisation des différents types de mots de passe. Les paramètres par défaut doivent convenir à la plupart des implémentations. Pour plus d'informations, reportez-vous à l'aide en ligne sur cette page.

    Vous trouverez des scénarios sur l'utilisation de la synchronisation des mots de passe et sur le rôle des stratégies de mot de passe à la Section 5.8, Implémentation de la synchronisation des mots de passe.

    Les stratégies de mot de passe NMAS sont assignées dans une perspective centrée sur l'arborescence. La synchronisation des mots de passe, en revanche, est définie pilote par pilote. Les pilotes sont installés pour chaque serveur et ne peuvent gérer que les utilisateurs se trouvant sur une réplique principale ou en lecture/écriture.

    Pour que la synchronisation des mots de passe donne les résultats escomptés, vérifiez que les conteneurs situés dans une réplique principale ou en lecture/écriture sur le serveur sur lequel s'exécutent les pilotes auxquels s'applique la synchronisation correspondent aux conteneurs pour lesquels vous avez assigné des stratégies de mot de passe avec le mot de passe universel activé. L'assignation d'une stratégie de mot de passe au conteneur racine d'une partition garantit que cette stratégie s'applique à tous les utilisateurs de ces conteneurs et sous-conteneurs.

5.7.4 Étape 4 : définissez le flux de synchronisation des mots de passe

Vérifiez que votre flux de mots de passe est défini comme vous le souhaitez pour chaque système connecté.

  1. Dans iManager, sélectionnez Mots de passe > Synchronisation de mot de passe.

  2. Recherchez, dans l'arborescence ou le conteneur, les pilotes correspondant aux systèmes connectés que vous souhaitez gérer.

  3. Sélectionnez un pilote pour afficher les paramètres actuels du flux de mots de passe.

    Cette page répertorie les valeurs de configuration globale (GCV). Vous pouvez les modifier à l'aide des options.

    Identity Manager contrôle le point d'entrée (le mot de passe qu'il met à jour). NMAS contrôle le flux entre chaque type de mot de passe, en fonction des options définies dans les options de configuration (l'Etape 3 permet d'afficher la page Options de configuration). Si vous sélectionnez Utiliser le mot de passe de distribution pour la synchronisation de mots de passe, Identity Manager utilise directement le mot de passe de distribution. Si vous désactivez cette option, il utilise directement le mot de passe universel.

    Pour plus d'informations (et des illustrations) sur ces options, reportez-vous à la Section 5.8, Implémentation de la synchronisation des mots de passe. Reportez-vous également à l'aide en ligne.

  4. Testez la synchronisation des mots de passe.

    Vérifiez que le mot de passe Identity Manager est distribué sur les systèmes spécifiés.

    Vérifiez que les systèmes connectés spécifiés publient les mots de passe vers Identity Manager.

    Afin d'obtenir des astuces de dépannage, reportez-vous à la Section 5.8, Implémentation de la synchronisation des mots de passe.