5.3 Conditions préalables à la synchronisation des mots de passe

La synchronisation des mots de passe dépend de l'implémentation des éléments suivants :

5.3.1 Prise en charge du mot de passe universel

Pour permettre la synchronisation des mots de passe entre les systèmes connectés, Identity Manager nécessite un mot de passe universel. Reportez-vous aux rubriques suivantes :

5.3.2 Capacités de synchronisation des mots de passe déclarées dans le manifeste du pilote

Le manifeste du pilote déclare si un système connecté prend en charge les fonctions suivantes pour la synchronisation des mots de passe :

  • Publication du mot de passe de l'utilisateur vers Identity Manager
  • Acceptation d'un mot de passe Identity Manager

    Le manifeste ne distingue pas l'acceptation de la création d'un mot de passe initial de l'acceptation de modifications.

  • Autorisation donnée à Identity Manager de vérifier le mot de passe sur le système connecté, pour déterminer l'état de la synchronisation des mots de passe d'un utilisateur

REMARQUE:le manifeste du pilote est rédigé par le développeur du pilote ou par l'expert Identity Manager qui en crée la configuration. Il n'a pas pour objet d'être modifié par un administrateur réseau. Le manifeste du pilote représente les véritables fonctionnalités du module d'interface pilote et sa configuration. Il ne suffit pas de modifier le manifeste pour changer les fonctionnalités. Pour ajouter des fonctionnalités, il faut améliorer le module d'interface pilote, le système connecté ou la configuration du pilote.

Les exemples de configurations de pilote fournies avec Identity Manager contiennent des entrées de manifeste de pilote. Pour les ajouter à un pilote existant, reportez-vous à la Section 5.7, Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe.

5.3.3 Contrôle de la synchronisation des mots de passe à l'aide des valeurs de configuration globale

Les valeurs de configuration globale permettent de définir une valeur constante qui peut figurer dans une stratégie. On les appelle parfois variables de serveurs, car elles sont contenues dans un attribut défini pour chaque réplique.

Pour la synchronisation des mots de passe, ces valeurs permettent de créer les paramètres du flux de mots de passe de et vers Identity Manager. Dans la configuration du pilote, les stratégies de synchronisation des mots de passe Identity Manager étant écrites de manière à se comporter différemment selon vos paramètres de valeur de configuration globale, il est facile de changer le flux des mots de passe sans modifier les stratégies.

Grâce aux valeurs de configuration globale, vous contrôlez les paramètres suivants séparément pour chaque système connecté.

Tableau 5-6 Paramètres des systèmes connectés

Paramètre

Description

Acceptation ou non par Identity Manager des mots de passe en provenance du système connecté

Ce paramètre s'applique à un mot de passe fourni par le système connecté, ainsi qu'à un mot de passe qui pourrait être créé par les stratégies Identity Manager lors de la configuration de pilotes sur le canal Éditeur. Si vous le désactivez, les deux types de mots de passe sont effacés, et ils n'atteignent pas Identity Manager.

Méthode de synchronisation utilisée par Identity Manager : mise à jour directe du mot de passe universel ou du mot de passe de distribution

Identity Manager contrôle le point d'entrée (le mot de passe qu'il met à jour). NMAS contrôle le flux entre chaque type de mot de passe, en fonction des paramètres définis dans la stratégie de mot de passe NMAS. Pour afficher une stratégie de mot de passe NMAS :

  1. Dans iManager, sélectionnez Mots de passe > Stratégies de mots de passe.
  2. Dans la Liste des stratégies de mots de passe, sélectionnez une stratégie.
  3. Cliquez sur Éditer.
  4. Sélectionnez une option dans la liste déroulante ou un onglet (selon la version de iManager utilisée).

À la section 5.8, « Implémentation de la synchronisation des mots de passe », vous trouverez des scénarios utilisant ces méthodes.

Application ou non des stratégies de mot de passe NMAS sur les mots de passe entrant dans Identity Manager depuis un système connecté

Si ces stratégies sont appliquées, les mots de passe entrants qui ne les respectent pas ne sont pas copiés dans la zone de stockage Identity Manager.

Utilisation ou non par Identity Manager du mot de passe Identity Manager pour appliquer les stratégies de mot de passe NMAS sur un système connecté, par la réinitialisation des mots de passe qui ne respectent pas ces stratégies

Cette option est grisée dans l'interface NMAS si le système connecté ne la prend pas en charge (comme indiqué dans le manifeste du pilote). Le mot de passe n'est réinitialisé que si une opération le concernant échoue sur le canal Éditeur.

Acceptation ou non des mots de passe par le système connecté

Ce paramètre s'applique aussi bien aux mots de passe distribués par Identity Manager qu'aux mots de passe susceptibles d'être créés par les stratégies Identity Manager dans la configuration de pilotes sur le canal Éditeur. Si vous désactivez ce paramètre, les deux types de mots de passe sont effacés, de sorte qu'ils n'atteignent pas le système connecté.

Cette option est grisée dans l'interface si le système connecté ne la prend pas en charge (comme indiqué dans le manifeste du pilote).

Si les utilisateurs sont avertis par message électronique lorsqu'un mot de passe n'est pas synchronisé.

Envoie automatiquement des messages électroniques aux utilisateurs concernés.

Les configurations de pilote fournies avec Identity Manager contiennent des entrées de manifeste de pilote. Pour les ajouter à un pilote existant, reportez-vous à la Section 5.7, Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe.

Pour modifier les valeurs de configuration globale :

  1. Dans iManager, sélectionnez Mots de passe > Synchronisation de mot de passe.

  2. Recherchez un pilote.

    Une fois que vous avez spécifié l'emplacement dans lequel vous souhaitez rechercher les pilotes des systèmes connectés, iManager affiche une présentation des paramètres de flux de mot de passe pour tous les pilotes de systèmes connectés qu'il trouve.

    Description : liste des systèmes connectés montrant si le flux des mots de passe est activé sur Identity Manager et sur les systèmes connectés

  3. Pour afficher les paramètres, cliquez sur le nom d'un pilote.

    La page Modifier le pilote affiche les valeurs de configuration globale pour la synchronisation des mots de passe.

    Description : liste des valeurs de configuration globale pour la synchronisation des mots de passe

    Lorsqu'une option de cette page est grisée, le manifeste du pilote indique que le système connecté ne la prend pas en charge.

  4. Apportez vos modifications puis cliquez sur OK.

REMARQUE:vous pouvez définir les valeurs de configuration globale séparément sur chaque pilote. Les valeurs de configuration globale définies pour un pilote remplacent les valeurs définies pour l'ensemble de pilotes. En définissant les valeurs pour un pilote particulier, vous bénéficiez d'un contrôle plus précis. Cette page n'affiche que les valeurs de configuration globale présentes sur le pilote concerné.

Si vous définissez les valeurs de configuration globale pour un objet Ensemble de pilotes, elles s'appliquent aux pilotes de cet ensemble qui ne disposent pas de valeurs propres. Si un pilote ne possède pas de paramètres propres et s'il hérite des valeurs de configuration globale de l'ensemble de pilotes, iManager ne les affiche pas. Les valeurs héritées seront malgré tout honorées par les stratégies de synchronisation des mots de passe.

5.3.4 Stratégies requises pour la configuration du pilote

Ce sont les stratégies Identity Manager, sur les canaux Éditeur et Abonné de chaque pilote, qui gèrent le flux de mots de passe en fonction des valeurs de configuration globale décrites plus haut. Ces stratégies sont intégrées aux configurations de pilotes, dans Identity Manager.

Si, au lieu de la remplacer, vous mettez à niveau la configuration de pilote existante, vous devrez y ajouter certaines stratégies. Reportez-vous à la Section 5.7, Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe. Pour que la synchronisation des mots de passe fonctionne, ces stratégies doivent se trouver dans la configuration de votre pilote, au bon emplacement.

Stratégies requises dans l'ensemble de stratégies de transformation de la commande du canal Éditeur

Les stratégies répertoriées dans la colonne Nom de la stratégie de synchronisation des mots de passe doivent figurer dans le même ordre. Par ailleurs, elles doivent apparaître en dernier dans l'ensemble de stratégies de transformation de la commande du canal Éditeur.

Tableau 5-7 Stratégies requises dans l'ensemble de stratégies de transformation de la commande du canal Éditeur

Emplacement dans la configuration de pilote

Nom de la stratégie de synchronisation des mots de passe

Action de la stratégie

Stratégie de transformation de commande du canal Éditeur

Password(Pub)-Default Password Policy

Ajoute un mot de passe par défaut à un objet d'ajout si cet objet n'en contient pas encore.

Cette stratégie et la stratégie Password(Sub)-Default Password Policy sont les seules que vous pouvez modifier ou supprimer. Pour que la fonction de synchronisation des mots de passe fonctionne correctement, les autres stratégies ne doivent pas être modifiées.

Password(Pub)-Check Password GCV

Vérifie les GCV pour savoir si vous avez demandé à Identity Manager d'accepter les mots de passe de ce système connecté. Si ce n'est pas le cas, elle efface tous les éléments de mot de passe.

La GCV a pour nom enable-password-publish ; le nom affiché est Identity Manager accepte les mots de passe de l'application.

Password(Pub)-Publish Distribution Password

Transforme l'élément <password> pour permettre la mise à jour du mot de passe universel.

Cette stratégie référence les GCV suivantes :

  • publish-password-to-dp
  • enforce-password-policy

Password(Pub)-Publish NDS Password

Autorise l'élément <password> à traverser si vous avez spécifié que le mot de passe NDS doit être mis à jour. Dans le cas contraire, elle efface l'élément <password>.

Cette stratégie référence la GCV nommée publish-password-to-nds.

Password(Pub)-Add Password Payload

Intègre des données de charge transférées dans le moteur, à des fins de notification par message électronique.

 

Password(Sub)-Add Password Payload

Intègre des données de charge transférées dans le moteur, à des fins de notification par message électronique.

Stratégies requises dans l'ensemble de stratégies de transformation de l'entrée du canal Éditeur

Nous vous recommandons de répertorier la stratégie Password(Pub)-Sub Email Notifications en dernier s'il existe plusieurs stratégies dans la transformation de l'entrée.

Tableau 5-8 Stratégies requises dans l'ensemble de stratégies de transformation de l'entrée du canal Éditeur

Emplacement dans la configuration de pilote

Nom de la stratégie de synchronisation des mots de passe

Action de la stratégie

Stratégie de transformation de l'entrée du canal Éditeur

Password(Pub)-Sub Email Notifications

Si les informations de charge de mot de passe sont traitées et si l'état indique un problème, il envoie un message électronique à l'utilisateur. à l'adresse électronique indiquée dans l'attribut Adresse de messagerie Internet, dans eDirectory.

Cette stratégie référence la GCV nommée notify-user-on-password-dist-failure pour déterminer s'il faut envoyer les messages électroniques de notification.

Stratégies requises dans l'ensemble de stratégies de transformation de la commande du canal Abonné

Les stratégies répertoriées dans la colonne Nom de la stratégie de synchronisation des mots de passe doivent figurer dans le même ordre. Par ailleurs, elles doivent apparaître en dernier dans l'ensemble de stratégies de transformation de la commande du canal Abonné.

Tableau 5-9 Stratégies requises dans l'ensemble de stratégies de transformation de la commande du canal Abonné

Emplacement dans la configuration de pilote

Nom de la stratégie de synchronisation des mots de passe

Action de la stratégie

Transformation de commande du canal Abonné

Password(Sub)-Transform Distribution Password

Transforme le mot de passe universel en élément <password>.

Password(Sub)-Default Password Policy

Ajoute un mot de passe par défaut à un objet d'ajout si cet objet n'en contient pas encore.

Cette stratégie et la stratégie Password(Pub)-Default Password Policy sont les seules que vous pouvez modifier ou supprimer. Pour que la fonction de synchronisation des mots de passe fonctionne correctement, les autres stratégies ne doivent pas être modifiées.

Password(Sub)-Check Password GCV

Vérifie les GCV pour savoir si vous avez demandé au système connecté d'accepter les mots de passe. Si ce n'est pas le cas, elle efface tous les éléments de mot de passe.

La GCV a pour nom enable-password-subscribe ; le nom affiché est L'application accepte les mots de passe de la zone de stockage Identity Manager.

Password(Sub)-Add Password Payload

Intègre des données de charge de mot de passe transférées dans le moteur, à des fins de notification par message électronique.

Stratégies requises dans l'ensemble de stratégies de transformation de la sortie du canal Abonné

Nous vous recommandons de répertorier la stratégie Password(Sub)-Pub Email Notifications en dernier s'il existe plusieurs stratégies dans la transformation de la sortie.

Tableau 5-10 Stratégies requises dans l'ensemble de stratégies de transformation de la sortie du canal Abonné

Emplacement dans la configuration de pilote

Nom de la stratégie de synchronisation des mots de passe

Action de la stratégie

Transformation de la sortie du canal Abonné

Password(Sub)-Pub Email Notifications

Si les informations de charge de mot de passe sont traitées et si l'état indique un problème, il envoie un message électronique à l'utilisateur.

Cette stratégie référence la GCV nommée notify-user-on-password-dist-failure pour déterminer s'il faut envoyer les messages électroniques de notification.

5.3.5 Filtres que vous installez sur le système connecté pour capturer les mots de passe

Pour AD, NT Domain et NIS, des filtres doivent être installés pour capturer le mot de passe de l'utilisateur.

Reportez-vous à la Section 5.9, Définition des filtres de mots de passe.

5.3.6 Stratégies de mots de passe NMAS créées pour les utilisateurs

Même si certaines fonctions de la synchronisation des mots de passe sont utilisables en l'absence de mot de passe universel, les stratégies de mots de passe NMAS sont nécessaires pour activer le mot de passe universel pour vos utilisateurs. La stratégie de mot de passe permet également de spécifier des règles de mot de passe avancées et d'indiquer si la conformité des mots de passe existants des utilisateurs avec les règles est vérifiée.

Pour utiliser la synchronisation des mots de passe dans Identity Manager, vous devez bien comprendre les stratégies de mot de passe. Ces stratégies sont décrites à la section « Managing Passwords by Using Password Policies (Gestion des mots de passe à l'aide des stratégies de mot de passe) » du Password Management Administration Guide (Guide d'administration pour la gestion des mots de passe).

5.3.7 Méthodes de login NMAS

Dans certains cas, vous devez avoir installé la méthode de login à mot de passe simple pour profiter des fonctions de mots de passe. LDAP l'exige, par exemple.

Pour plus d'informations sur les méthodes de login, reportez-vous au Novell Modular Authentication Services ( NMAS) 3.0 Administration Guide (Guide d'administration de Novell Modular Authentication Services (NMAS) 3.0).