5.8 Implémentation de la synchronisation des mots de passe

La fonctionnalité de synchronisation des mots de passe fournie dans Identity Manager permet d'implémenter plusieurs scénarios différents. Cette section décrit des scénarios de base, qui vous aideront à comprendre en quoi les paramètres de synchronisation des mots de passe Identity Manager et les stratégies de mot de passe NMAS affectent la synchronisation des mots de passe. Ces scénarios peuvent être associés pour répondre aux besoins de votre environnement.

5.8.1 Présentation de la relation entre Identity Manager et NMAS

Utilitaires et NMAS

Certains utilitaires tels que iManager et le client Novell communiquent avec NMAS à la place de mettre à jour directement le mot de passe. NMAS est l'entité chargée de déterminer quels mots de passe seront mis à jour.

NMAS synchronise les mots de passe dans un coffre-fort d'identité, en fonction des paramètres configurés dans les stratégies de mot de passe NMAS.

Les utilitaires existants qui ne prennent pas en charge le mot de passe universel mettent directement à jour le mot de passe NDS, au lieu de communiquer avec NMAS pour déterminer les mots de passe mis à jour. Vous devez savoir comment les utilisateurs et les administrateurs du service d'assistance se servent des utilitaires hérités dans votre environnement. Ces utilitaires hérités mettent à jour directement le mot de passe NDS sans passer par NMAS. Il y a donc un risque de dérive du mot de passe (désynchronisation du mot de passe universel et du mot de passe NDS) si vous utilisez le mot de passe universel avec NMAS 2.3.

Vous devrez par exemple, pour assurer la prise en charge du mot de passe universel, vérifier que les utilisateurs mettent à jour le client Novell et que les utilisateurs du service d'assistance n'utilisent ConsoleOne qu'avec la dernière version du client Novell ou de NetWare.

Figure 5-5 Synchronisation des mots de passe avec NMAS

Description : les utilitaires passent par NMAS pour mettre à jour les mots de passe, à l'exception des utilitaires hérités qui mettent directement à jour le mot de passe NDS

Identity Manager et NMAS

Identity Manager contrôle le point d'entrée (en mettant directement à jour le mot de passe universel ou le mot de passe de distribution). NMAS contrôle le flux de synchronisation des mots de passe dans le coffre-fort d'identité.

Dans le scénario 1, le pilote Identity Manager pour eDirectory peut mettre directement à jour le mot de passe NDS. Ce scénario est pratiquement le même que celui fourni dans DirXML 1.x.

Dans le scénario 2, le scénario 3 et le scénario 4, Identity Manager met à jour soit le mot de passe universel, soit le mot de passe de distribution. Identity Manager effectue les modifications par le biais de NMAS. Cela permet à NMAS de mettre à jour d'autres mots de passe du coffre-fort d'identité, en fonction des paramètres des stratégies de mot de passe NMAS, et d'appliquer les stratégies de mot de passe NMAS avancées pour les mots de passe synchronisés avec les systèmes connectés. Dans ces scénarios, le mot de passe distribué par Identity Manager aux systèmes connectés est toujours le mot de passe de distribution.

La différence entre les scénarios 2, 3 et 4 réside dans les différentes combinaisons de paramètres des stratégies de mot de passe NMAS et de paramètres de synchronisation de mot de passe Identity Manager pour chaque pilote de système connecté.

5.8.2 Scénario 1 : utilisation du mot de passe NDS pour la synchronisation entre deux coffres-forts d'identité

Comme dans la version 1.0 de la synchronisation des mots de passe, vous pouvez synchroniser le mot de passe NDS entre deux coffres-forts d'identité à l'aide du pilote eDirectory. Ce scénario n'exige pas l'implémentation du mot de passe universel et peut être utilisé avec eDirectory 8.6. 2ou une version ultérieure. Ce type de synchronisation de mot de passe est aussi appelé synchronisation de la paire clé privée/clé publique.

Cette méthode ne doit être utilisée que pour la synchronisation de mots de passe entre deux coffres-forts d'identité. Elle ne fait pas appel à NMAS et ne peut donc pas être utilisée pour synchroniser les mots de passe avec les applications connectées.

Avantages et inconvénients du scénario 1

Tableau 5-11 Avantages : synchronisation des mots de passe dans eDirectory à l'aide du mot de passe NDS

Avantages

Inconvénients

Simplicité de la configuration. N'inclut que les attributs adéquats dans le filtre de pilote.

Si vous déployez Identity Manager 3 et eDirectory 8.7.3 par étapes, cette méthode peut vous aider à effectuer un déploiement graduel.

  • Il n'est pas nécessaire d'ajouter les nouvelles stratégies de synchronisation des mots de passe aux configurations de pilote.
  • N'exige pas que le mot de passe universel soit implémenté dans le coffre-fort d'identité.
  • Peut être utilisé avec les coffres-forts connectés exécutant eDirectory version 8.6.2 ou ultérieure.
  • N'exige pas NMAS 2.3.

Applique les restrictions de base sur les mots de passe que vous définissez pour le mot de passe NDS.

Cette méthode permet de synchroniser les mots de passe entre deux coffres-forts d'identité. Ils ne peuvent pas être synchronisés vers d'autres systèmes connectés.

N'actualise ni le mot de passe universel ni le mot de passe de distribution.

Cette méthode n'utilisant pas NMAS, vous ne pouvez pas valider les mots de passe provenant d'un autre coffre-fort d'identité en fonction des règles de mot de passe avancées.

Cette méthode n'utilisant pas NMAS, vous ne pouvez pas réinitialiser les mots de passe sur le coffre-fort d'identité connecté s'ils ne se conforment pas à la stratégie de mot de passe NMAS.

Aucune notification par message électronique n'est fournie en cas d'échec de synchronisation des mots de passe

Les opérations Vérifier l'état du mot de passe depuis iManager ne sont pas prises en charge (pour cette fonction, le mot de passe de distribution est exigé).

Le diagramme suivant montre que, comme dans DirXML 1.x, le pilote Identity Manager pour eDirectory peut être utilisé pour synchroniser le mot de passe NDS entre deux coffres-forts d'identité. Ce scénario ne passe pas par NMAS.

Figure 5-6 Utilisation du mot de passe NDS pour la synchronisation entre deux coffres-forts d'identité

Description : scénario 1

Implémentation du scénario 1

Pour implémenter ce type de synchronisation des mots de passe, configurez le pilote.

Déploiement du mot de passe universel

Inutile.

Configuration de la stratégie de mot de passe

Aucun.

Paramètres de la synchronisation des mots de passe

Aucun. Les paramètres de la page Synchronisation de mot de passe pour un pilote n'ont aucun effet sur cette méthode de synchronisation du mot de passe NDS.

Configuration de pilote

Supprimez les stratégies de synchronisation des mots de passe répertoriées à la Section 5.3.4, Stratégies requises pour la configuration du pilote. Ces stratégies ont pour objet de prendre en charge le mot de passe universel et le mot de passe de distribution. Le mot de passe NDS est synchronisé à l'aide des attributs Clé publique et Clé privée et non à l'aide de ces stratégies.

Vérifiez que le filtre des deux pilotes du coffre-fort d'identité synchronise les attributs Clé publique et Clé privée pour toutes les classes d'objet nécessitant la synchronisation des mots de passe. La figure suivante en montre un exemple.

Figure 5-7 Synchronisation des attributs Clé publique et Clé privée

Description : Clé privée et Clé publique définies sur Synchroniser dans le filtre

Dépannage du scénario 1

5.8.3 Scénario 2 : synchronisation avec le mot de passe universel

Grâce à Identity Manager, vous pouvez synchroniser un mot de passe de système connecté avec le mot de passe universel dans le coffre-fort d'identité.

Lors de la mise à jour du mot de passe universel, il est également possible de mettre à jour le mot de passe NDS, le mot de passe de distribution ou le mot de passe simple, en fonction des paramètres de la stratégie de mot de passe NMAS.

Tout système connecté peut publier des mots de passe vers Identity Manager, bien que tous les systèmes connectés ne puissent pas fournir le mot de passe de l'utilisateur. Active Directory, par exemple, peut publier le mot de passe d'un utilisateur vers Identity Manager. Même si PeopleSoft ne fournit pas de mot de passe provenant directement du système PeopleSoft lui-même, il peut fournir un mot de passe initial créé dans une stratégie lors de la configuration du pilote, par exemple un mot de passe basé sur l'ID de l'employé ou sur son nom. Tous les pilotes ne peuvent pas s'abonner aux modifications de mots de passe depuis Identity Manager. Reportez-vous à la Section 5.2, Prise en charge par les systèmes connectés de la synchronisation des mots de passe.

Avantages et inconvénients du scénario 2

Tableau 5-12 Avantages : synchronisation avec le mot de passe universel

Avantages

Inconvénients

Permet la synchronisation bidirectionnelle des mots de passe entre le coffre-fort d'identité et le système connecté.

Permet la validation des mots de passe par rapport à la stratégie de mot de passe NMAS.

Permet l'envoi de notifications par message électronique en cas d'échec des opérations de mot de passe, par exemple lorsqu'un mot de passe provenant d'un système connecté ne se conforme pas au mot de passe.

Prend en charge la tâche Vérifier l'état des mots de passe dans iManager, si le mot de passe universel est synchronisé avec le mot de passe de distribution et si le système connecté prend en charge la vérification des mots de passe.

NMAS applique les règles de mot de passe avancées si vous les avez activées. Lorsqu'un mot de passe provenant d'un système connecté n'est pas conforme, une erreur est générée et une notification par message électronique est envoyée si vous avez spécifié cette option.

Si vous ne souhaitez pas appliquer de stratégies de mot de passe, vous pouvez désactiver l'option Activer les règles de mots de passe avancées dans la stratégie NMAS.

Pour des raisons de conception, cette méthode ne permet pas la réinitialisation des mots de passe dans le système connecté ; en effet, le mot de passe de distribution et le mot de passe universel pourraient ne pas être identiques, selon les paramètres définis dans les stratégies de mot de passe.

Ce scénario est illustré dans la figure suivante.

  1. Les mots de passe arrivent par le biais de Identity Manager.
  2. Identity Manager met directement à jour le mot de passe universel par le biais de NMAS.
  3. NMAS synchronise le mot de passe universel avec le mot de passe de distribution et les autres mots de passe, en fonction des paramètres de la stratégie de mot de passe NMAS.
  4. Identity Manager récupère le mot de passe de distribution et le communique aux systèmes connectés paramétrés pour accepter les mots de passe.

Même si, dans ce diagramme, il est indiqué que plusieurs systèmes connectés se connectent à Identity Manager, n'oubliez pas que vous créez chaque paramètre individuellement pour chaque pilote du système connecté.

Figure 5-8 Synchronisation des mots de passe avec le mot de passe universel

Description : scénario 2

Implémentation du scénario 2

Pour implémenter ce type de synchronisation des mots de passe :

Déploiement du mot de passe universel

Vérifiez que votre environnement est prêt à utiliser le mot de passe universel. Reportez-vous à la Section 5.4, Préparation à l'utilisation de la synchronisation des mots de passe et du mot de passe universel dans Identity Manager.

Configuration de la stratégie de mot de passe

Vérifiez qu'une stratégie de mot de passe NMAS est assignée aux parties du coffre-fort d'identité pour lesquelles vous voulez disposer de la synchronisation des mots de passe.

  1. Dans iManager, sélectionnez Mots de passe > Stratégies de mots de passe.

  2. Sélectionnez une stratégie, puis cliquez sur Éditer.

  3. Localisez et sélectionnez l'objet dans lequel vous souhaitez que la synchronisation se fasse.

    Vous pouvez affecter la stratégie à la totalité de l'arborescence (en localisant et en sélectionnant l'objet Stratégie de login dans le conteneur Sécurité), à un conteneur racine de partition, à un conteneur, voire à un utilisateur particulier. Pour simplifier la gestion, nous vous recommandons d'assigner des stratégies de mot de passe au niveau le plus élevé possible de l'arborescence.

  4. Vérifiez que les éléments suivants sont sélectionnés dans la stratégie de mot de passe :

    Description : paramètres de la stratégie de mot de passe pour le scénario 2
    • Activer le mot de passe universel
    • Synchroniser le mot de passe NDS lors de la définition du mot de passe universel
    • Supprimer le mot de passe NDS lors de la définition du mot de passe universel

      Comme Identity Manager récupère le mot de passe de distribution pour communiquer les mots de passe aux systèmes connectés, il est important que cette option soit sélectionnée pour autoriser la synchronisation bidirectionnelle des mots de passe.

  5. Terminez votre stratégie de mot de passe comme vous le souhaitez.

    NMAS applique les règles de mot de passe avancées si vous les avez activées. Si vous ne souhaitez pas appliquer les règles des stratégies de mot de passe, désactivez l'option Activer les règles de mots de passe avancées.

    Si vous utilisez les règles de mot de passe avancées, vérifiez qu'elles n'entrent pas en conflit avec les stratégies de mot de passe des systèmes connectés abonnés aux mots de passe.

Paramètres de la synchronisation des mots de passe

  1. Dans iManager, sélectionnez Mots de passe > Synchronisation de mot de passe.

  2. Recherchez les pilotes des systèmes connectés, puis sélectionnez-en un.

  3. Créer les paramètres du pilote pour le système connecté.

    Vérifiez que les éléments suivants sont sélectionnés :

    • Identity Manager accepte les mots de passe (canal Éditeur)

      Un message s'affiche si le manifeste du pilote ne contient pas la capacité password-publish. Il informe les utilisateurs que les mots de passe ne peuvent pas être récupérés depuis l'application, mais uniquement publiés en créant un mot de passe dans la configuration d'un pilote à l'aide d'une stratégie.

    • L'application accepte les mots de passe (canal Abonné)

      Si le système connecté ne prend pas en charge l'acceptation des mots de passe, l'option est grisée.

    Ces paramètres permettent la synchronisation bidirectionnelle des mots de passe lorsqu'elle est prise en charge par le système connecté.

    Vous pouvez adapter les paramètres à vos stratégies d'activité pour la source experte des mots de passe. Si, par exemple, un système connecté doit s'abonner aux mots de passe, mais ne pas les publier, ne sélectionnez que l'option L'application accepte les mots de passe (canal Abonné).

  4. Assurez-vous que la case Utiliser le mot de passe de distribution pour la synchronisation de mots de passe n'est pas cochée.

    Dans ce scénario, Identity Manager met directement à jour le mot de passe universel. Le mot de passe de distribution est toujours utilisé pour distribuer les mots de passe sur les systèmes connectés, mais il est mis à jour à partir du mot de passe universel par NMAS et non par Identity Manager.

  5. (En option) Sélectionnez les éléments suivants si vous le souhaitez :

    • Informer l'utilisateur de l'échec de la synchronisation des mots de passe par message électronique

      N'oubliez pas que, pour les notifications par message électronique, l'attribut Adresse de messagerie Internet doit être indiqué pour l'objet Utilisateur eDirectory.

      Les notifications par message électronique n'ont pas une présence insistante. Elles n'ont aucune incidence sur le traitement du document XML qui a déclenché la notification. En cas d'échec, elles ne font pas l'objet d'une nouvelle tentative, sauf si l'opération elle-même est recommencée. Toutefois, les messages de débogage pour les notifications par message électronique sont écrits dans le fichier de trace.

Configuration de pilote

  1. Vérifiez que les stratégies obligatoires de synchronisation des mots de passe de script Identity Manager sont incluses dans les configurations de pilote pour chaque pilote qui doit participer à la synchronisation des mots de passe.

    Ces stratégies doivent se trouver dans la configuration de votre pilote, à l'endroit correct et dans le bon ordre. Afin d'obtenir la liste des stratégies, reportez-vous à la Section 5.3.4, Stratégies requises pour la configuration du pilote.

    Les exemples de configuration Identity Manager contiennent déjà les stratégies. Si vous effectuez la mise à niveau d'un pilote existant, vous pouvez ajouter les stratégies à l'aide des instructions de la Section 5.7, Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe.

  2. Définissez correctement le filtre pour l'attribut nspmDistributionPassword :

    • Pour le canal Éditeur, définissez le filtre du pilote sur Ignorer pour l'attribut nspmDistributionPassword, pour toutes les classes d'objet.
    • Pour le canal Abonné, définissez le filtre du pilote sur Notifier pour l'attribut nspmDistributionPassword, pour toutes les classes d'objet qui doivent s'abonner aux modifications de mot de passe.
    Description : paramètres de filtre pour nspmDistributionPassword

  3. Pour tous les objets pour lesquels l'attribut nspmDistributionPassword est défini sur Notifier, définissez les attributs Clé publique et Clé privée sur Ignorer.

    Description : Clé privée et Clé publique définies sur Ignorer dans le filtre

  4. Pour assurer la sécurité des mots de passe, contrôlez l'identité des personnes disposant de droits sur les objets Identity Manager.

Dépannage du scénario 2

Reportez-vous également aux astuces de la Section 5.13, Dépannage des problèmes de synchronisation des mots de passe.

Diagramme du scénario 2

Le diagramme suivant montre comment NMAS gère le mot de passe qu'il reçoit de Identity Manager. Ici, le mot de passe est synchronisé avec le mot de passe universel. NMAS décide comment gérer le mot de passe, en fonction des éléments suivants :

  • Le mot de passe universel est-il activé ou non dans la stratégie de mot de passe NMAS.
  • Les règles de mot de passe avancées que doivent respecter les mots de passe entrants sont-elles activées ou non.
  • Quels sont les autres paramètres de la stratégie de mot de passe pour la synchronisation du mot de passe universel avec les autres mots de passe.

Figure 5-9 Gestion par NMAS du mot de passe reçu de Identity Manager

Description : diagramme du scénario 2
Problème de connexion au coffre-fort d'identité
  • Activez les paramètres +AUTH, +DXML et +DVRS dans DSTrace.

    Figure 5-10 Commandes DSTrace

  • Vérifiez que les éléments <password ou <modify-password sont transférés à Identity Manager. Pour ce faire, reportez-vous à l'écran de trace avec ces options activées.
  • Vérifiez que le mot de passe est valide, en vous référant aux règles de la stratégie de mot de passe.
  • Vérifiez la configuration et l'assignation de la stratégie de mot de passe NMAS. Essayez d'assigner directement la stratégie à l'utilisateur, en vérifiant que vous utilisez la bonne stratégie.
  • Sur la page Synchronisation de mot de passe du pilote, vérifiez que l'option DirXML accepte les mots de passe est sélectionnée.
  • Dans la stratégie de mot de passe, vérifiez que l'option Synchroniser le mot de passe de distribution lors de la définition du mot de passe universel est sélectionnée.
Problème pour se loguer à un autre système connecté qui s'abonne aux mots de passe

Cette section permet de corriger le problème suivant : le système connecté publie des mots de passe sur Identity Manager, mais un autre système connecté abonné aux mots de passe ne semble pas recevoir les modifications envoyées par ce système. Cette relation s'appelle aussi un système connecté secondaire, ce qui signifie que le système reçoit des mots de passe du premier système connecté via Identity Manager.

  • Activez les paramètres +DXML et +DVRS dans DSTrace pour voir comment sont traitées les stratégies Identity Manager.
  • Définissez le niveau de trace Identity Manager pour le pilote sur 3.
  • Dans la page Synchronisation de mot de passe, vérifiez que l'option Identity Manager accepte les mots de passe est sélectionnée.
  • Vérifiez que, dans le filtre du pilote, l'attribut nspmDistributionPassword est correctement défini, comme expliqué à l'Etape 2.
  • Vérifiez que le <mot de passe>, pour un élément ajout ou <modify-password>, est transféré au système connecté. Pour cela, reportez-vous à l'écran DSTrace ou le fichier contenant les options de trace actives indiquées dans les premiers points.
  • Vérifiez que la configuration du pilote inclut les stratégies de mot de passe de script Identity Manager dans le site correct et dans le bon ordre, tel que décrit à la Section 5.3.4, Stratégies requises pour la configuration du pilote.
  • Comparez la stratégie de mot de passe NMAS dans le coffre-fort d'identité avec toute stratégie de mot de passe appliquée par le système connecté, pour vérifier leur compatibilité.
Le message électronique n'est pas généré en cas d'échec du mot de passe
  • Activez les paramètres +DXML dans DSTrace pour savoir comment sont traitées les règles Identity Manager.
  • Définissez le niveau de trace Identity Manager pour le pilote sur 3.
  • Vérifiez que la règle de génération des messages électroniques est sélectionnée.
  • Vérifiez que l'objet Coffre-fort d'identité contient l'adresse de messagerie électronique correcte de l'utilisateur, indiquée dans l'attribut Adresse de messagerie Internet.
  • Dans la tâche Configuration de la notification, vérifiez que le serveur SMTP et le modèle de messagerie sont correctement configurés. Reportez-vous à la Section 5.12, Configuration de la notification par message électronique.
Erreur lors de l'utilisation de la vérification du mot de passe de l'objet

La tâche iManager Vérifier l'état du mot de passe amène le pilote à vérifier le mot de passe de l'objet. Pour tout problème, revoyez les points suivants :

  • Si la vérification du mot de passe de l'objet renvoie -603, cela signifie que l'objet de coffre-fort d'identité ne contient pas d'attribut nspmDistributionPassword. Dans le filtre du pilote, vérifiez les paramètres corrects pour les attributs nspmDistributionPassword. Dans la stratégie de mot de passe, vérifiez également que l'option Synchroniser le mot de passe de distribution lors de la définition du mot de passe universel est sélectionnée.
  • Si la vérification du mot de passe de l'objet renvoie Non synchronisé, vérifiez que la configuration du pilote contient les stratégies de synchronisation des mots de passe appropriées.
  • Comparez la stratégie de mot de passe NMAS dans le coffre-fort d'identité avec toute stratégie de mot de passe appliquée par le système connecté, pour vérifier leur compatibilité.
  • La vérification du mot de passe de l'objet fonctionne à partir du mot de passe de distribution. Si le mot de passe de distribution n'est pas mis à jour, la vérification du mot de passe de l'objet pourrait ne pas signaler que les mots de passe sont synchronisés.
  • Sachez que pour le pilote Identity Manager uniquement, l'option Vérifier l'état du mot de passe vérifie le mot de passe NDS, et non le mot de passe de distribution.
Commandes DSTrace utiles

+DXML : affiche le traitement des règles Identity Manager et les messages d'erreur potentiels.

+DVRS : affiche les messages du pilote Identity Manager.

+AUTH : affiche les modifications des mots de passe NDS.

5.8.4 Scénario 3 : synchronisation d'un coffre-fort d'identité et des systèmes connectés avec mise à jour du mot de passe de distribution dans Identity Manager

Dans ce scénario, Identity Manager met directement à jour le mot de passe de distribution et permet à NMAS de déterminer la manière dont les autres mots de passe du coffre-fort d'identité sont synchronisés.

Tout système connecté peut publier des mots de passe vers Identity Manager, bien que tous les systèmes connectés ne puissent pas fournir le mot de passe de l'utilisateur. Active Directory, par exemple, peut publier le mot de passe d'un utilisateur vers Identity Manager. Même si PeopleSoft ne fournit pas de mot de passe provenant directement du système PeopleSoft lui-même, il peut fournir un mot de passe initial créé dans une stratégie lors de la configuration du pilote, par exemple un mot de passe basé sur l'ID de l'employé ou sur son nom. Tous les pilotes ne peuvent pas s'abonner aux modifications de mots de passe depuis Identity Manager. Reportez-vous à la Section 5.2, Prise en charge par les systèmes connectés de la synchronisation des mots de passe.

Avantages et inconvénients du scénario 3

Tableau 5-13 Avantages : synchronisation d'un coffre-fort d'identité et des systèmes connectés par la mise à jour du mot de passe de distribution

Avantages

Inconvénients

Permet la synchronisation des mots de passe entre le coffre-fort d'identité et les systèmes connectés.

Permet de choisir s'il convient ou non d'appliquer les stratégies aux mots de passe provenant des systèmes connectés.

Vous pouvez demander à ce qu'une notification soit envoyée en cas d'échec de la synchronisation des mots de passe.

Si vous appliquez les stratégies de mot de passe et si un mot de passe n'est pas conforme, vous pouvez choisir de le réinitialiser sur le système connecté au mot de passe de distribution.

 

Ce scénario est illustré dans la figure suivante.

  1. Les mots de passe arrivent par le biais de Identity Manager.
  2. Identity Manager met directement à jour le mot de passe de distribution par le biais de NMAS.
  3. Identity Manager utilise également le mot de passe de distribution pour effectuer la répartition vers les systèmes connectés paramétrés pour accepter les mots de passe.
  4. NMAS synchronise le mot de passe universel avec le mot de passe de distribution et les autres mots de passe, en fonction des paramètres de la stratégie de mot de passe.

Même si, dans ce diagramme, il est indiqué que plusieurs systèmes connectés se connectent à Identity Manager, n'oubliez pas que vous créez chaque paramètre individuellement pour chaque pilote du système connecté.

Figure 5-11 synchronisation d'un coffre-fort d'identité et des systèmes connectés par la mise à jour du mot de passe de distribution

Description : scénario 3

Implémentation du scénario 3

Pour implémenter ce type de synchronisation des mots de passe :

Déploiement du mot de passe universel

Vérifiez que votre environnement est prêt à utiliser le mot de passe universel. Reportez-vous à la Section 5.4, Préparation à l'utilisation de la synchronisation des mots de passe et du mot de passe universel dans Identity Manager.

Configuration de la stratégie de mot de passe

  1. Dans iManager, sélectionnez Mots de passe > Stratégies de mots de passe.

  2. Vérifiez qu'une stratégie de mot de passe est assignée aux parties de l'arborescence du coffre-fort d'identité auxquelles vous souhaitez que la synchronisation des mots de passe soit applicable. Vous pouvez l'assigner à la totalité de l'arborescence, à un conteneur racine de partition, à un conteneur, voire à un utilisateur particulier. Pour simplifier la gestion, nous vous recommandons d'assigner des stratégies de mot de passe au niveau le plus élevé possible de l'arborescence.

  3. Vérifiez que les éléments suivants sont sélectionnés dans la stratégie de mot de passe :

    Description : paramètres de la stratégie de mot de passe pour le scénario 3
    • Activer le mot de passe universel
    • Synchroniser le mot de passe NDS lors de la définition du mot de passe universel
    • Supprimer le mot de passe NDS lors de la définition du mot de passe universel

      Comme Identity Manager récupère le mot de passe de distribution pour communiquer les mots de passe aux systèmes connectés, il est important que cette option soit sélectionnée pour autoriser la synchronisation bidirectionnelle des mots de passe.

  4. Si vous utilisez les règles de mot de passe avancées, vérifiez qu'elles n'entrent pas en conflit avec les stratégies de mot de passe des systèmes connectés qui s'abonnent aux mots de passe.

Paramètres de la synchronisation des mots de passe

  1. Dans iManager, sélectionnez Mots de passe > Synchronisation de mot de passe.

  2. Recherchez les pilotes des systèmes connectés, puis sélectionnez-en un.

  3. Créer les paramètres du pilote pour le système connecté.

    Vérifiez que les éléments suivants sont sélectionnés :

    • Identity Manager accepte les mots de passe (canal Éditeur)
    • Utiliser le mot de passe de distribution pour la synchronisation de mot de passe

      Un message s'affiche si le manifeste du pilote ne contient pas la capacité password-publish. Les utilisateurs sont ainsi informés que les mots de passe ne peuvent pas être récupérés, mais uniquement publiés, par la création d'un mot de passe dans la configuration d'un pilote à l'aide d'une stratégie.

    • L'application accepte les mots de passe (canal Abonné)

    Ces paramètres permettent la synchronisation bidirectionnelle des mots de passe lorsqu'elle est prise en charge par le système connecté.

    Vous pouvez adapter les paramètres à vos stratégies d'activité pour la source experte des mots de passe. Si, par exemple, un système connecté doit s'abonner aux mots de passe, mais ne pas les publier, ne sélectionnez que l'option L'application accepte les mots de passe (canal Abonné).

  4. Indiquez si vous souhaitez que les stratégies de mot de passe NMAS soient appliquées ou ignorées, en vous servant des options de la section Utiliser le mot de passe de distribution pour la synchronisation de mots de passe.

  5. (Conditionnel) Si vous avez indiqué que vous souhaitez appliquer les stratégies de mot de passe, indiquez également si vous souhaitez que Identity Manager réinitialise le mot de passe du système connecté en cas de non-conformité.

  6. (En option) Sélectionnez les éléments suivants si vous le souhaitez :

    • Informer l'utilisateur de l'échec de la synchronisation des mots de passe par message électronique

      Gardez en tête que les notifications par message électronique exigent l'attribut Adresse de messagerie Internet sur l'objet utilisateur eDirectory à remplir.

      Les notifications par message électronique n'ont pas une présence insistante. Elles n'ont aucune incidence sur le traitement du document XML qui a déclenché la notification. En cas d'échec, elles ne font pas l'objet d'une nouvelle tentative, sauf si l'opération elle-même est recommencée. Toutefois, les messages de débogage pour les notifications par message électronique sont écrits dans le fichier de trace.

Configuration de pilote

  1. Vérifiez que les stratégies obligatoires de synchronisation des mots de passe de script Identity Manager sont incluses dans les configurations de pilote pour chaque pilote qui doit participer à la synchronisation des mots de passe.

    Ces stratégies doivent se trouver dans la configuration de votre pilote, à l'endroit correct et dans le bon ordre. Afin d'obtenir la liste des stratégies, reportez-vous à la Section 5.3.4, Stratégies requises pour la configuration du pilote.

    Les exemples de configuration Identity Manager contiennent déjà les stratégies. Si vous effectuez la mise à niveau d'un pilote existant, vous pouvez ajouter les stratégies à l'aide des instructions de la Section 5.7, Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe.

  2. Définissez correctement le filtre pour l'attribut nspmDistributionPassword :

    • Pour le canal Éditeur, définissez le filtre du pilote sur Ignorer pour l'attribut nspmDistributionPassword, pour toutes les classes d'objet.
    • Pour le canal Abonné, définissez le filtre du pilote sur Notifier pour l'attribut nspmDistributionPassword, pour toutes les classes d'objet qui doivent s'abonner aux modifications de mot de passe.
    Description : paramètres de filtre pour nspmDistributionPassword

  3. Pour tous les objets pour lesquels l'attribut nspmDistributionPassword est défini sur Notifier, définissez les attributs Clé publique et Clé privée sur Ignorer dans le filtre du pilote.

    Description : Clé privée et Clé publique définies sur Ignorer dans le filtre

  4. Pour assurer la sécurité des mots de passe, contrôlez l'identité des personnes disposant de droits sur les objets Identity Manager.

Dépannage du scénario 3

Reportez-vous également aux astuces de la Section 5.13, Dépannage des problèmes de synchronisation des mots de passe.

Diagramme du scénario 3

Le diagramme suivant montre comment NMAS gère le mot de passe qu'il reçoit de Identity Manager. Dans ce scénario, le mot de passe est synchronisé sur le mot de passe de distribution et NMAS détermine :

  • Comment gérer le mot de passe, selon que vous avez spécifié ou non que les mots de passe entrants doivent être validés par rapport aux stratégies de mots de passe (si le mot de passe universel et les règles de mots de passe avancées sont activés).
  • Quels sont les autres paramètres de la stratégie de mot de passe pour la synchronisation du mot de passe universel avec les autres mots de passe.

Figure 5-12 Synchronisation du mot de passe Identity Manager avec le mot de passe de distribution

Description : diagramme montrant la gestion des mots de passe par NMAS dans le scénario 3, avec synchronisation avec le mot de passe de distribution
Problème de connexion à eDirectory
  • Activez les paramètres +AUTH, +DXML et +DVRS dans DSTrace.

    Figure 5-13 Commandes DSTrace

  • Vérifiez que les éléments <password ou <modify-password sont transférés à Identity Manager. Pour cela, reportez-vous à l'écran DSTtrace ou au fichier contenant les options de trace actives, indiquées dans le premier point.
  • Vérifiez que le mot de passe est conforme aux règles de la stratégie de mot de passe NMAS.
  • Vérifiez la configuration et l'assignation de la stratégie de mot de passe NMAS. Essayez d'assigner directement la stratégie à l'utilisateur, en vérifiant que vous utilisez la bonne stratégie.
  • Sur la page Synchronisation de mot de passe pour le pilote, vérifiez que l'option Identity Manager accepte les mots de passe (canal Éditeur) est sélectionnée.
  • Dans la stratégie de mot de passe NMAS, vérifiez que l'option Synchroniser le mot de passe de distribution lors de la définition du mot de passe universel est sélectionnée.
  • Dans la stratégie de mot de passe NMAS, vérifiez que l'option Synchroniser le mot de passe NDS lors de la définition du mot de passe universel est sélectionnée, si vous le souhaitez.
  • Si les utilisateurs se connectent via le client Novell ou ConsoleOne, vérifiez la version. Les clients Novell et ConsoleOne hérités risquent de ne pas pouvoir se connecter au coffre-fort d'identité si le mot de passe universel n'est pas synchronisé avec le mot de passe NDS.

    Certaines versions du client Novell et de ConsoleOne connaissent le mot de passe universel. Reportez-vous au NMAS 3.0 Administration Guide (Guide d'administration de NMAS 3.0).

  • Certains utilitaires hérités s'authentifient à l'aide du mot de passe NDS mais ne peuvent pas se connecter au coffre-fort d'identité si le mot de passe universel n'est pas synchronisé avec le mot de passe NDS. Si vous ne souhaitez pas utiliser le mot de passe NDS pour la plupart des utilisateurs, mais si certains administrateurs ou utilisateurs du service d'assistance doivent s'authentifier sur les utilitaires hérités, essayez d'utiliser une autre stratégie de mot de passe pour les utilisateurs du service d'assistance afin de spécifier pour eux des options de synchronisation différentes pour les mots de passe universels.
Problème pour se loguer à un autre système connecté qui s'abonne aux mots de passe

Cette section permet de corriger les situations dans lesquelles ce système connecté publie des mots de passe vers Identity Manager ; par contre, un autre système connecté qui s'abonne aux mots de passe ne semble pas recevoir les modifications de ce système. Cette relation s'appelle aussi un système connecté secondaire, ce qui signifie que le système reçoit des mots de passe du premier système connecté via Identity Manager.

  • Activez les paramètres +DXML et +DVRS dans DSTrace pour voir comment sont traitées les stratégies Identity Manager, ainsi que les erreurs potentielles.
  • Définissez le niveau de trace Identity Manager pour le pilote sur 3.
  • Sur la page Synchronisation de mot de passe, vérifiez que l'option Identity Manager accepte les mots de passe (canal Éditeur) est sélectionnée.
  • Dans la stratégie de mot de passe, vérifiez que l'option Synchroniser le mot de passe de distribution lors de la définition du mot de passe universel n'est pas sélectionnée.

    Identity Manager utilise le mot de passe de distribution pour synchroniser les mots de passe sur les systèmes connectés. Le mot de passe universel doit être synchronisé avec le mot de passe de distribution pour cette méthode de synchronisation.

  • Vérifiez le filtre du pilote pour l'attribut nspmDistributionPassword.
  • Vérifiez que l'élément <password> d'un élément Add ou <modify-password> a été converti pour les opérations Ajouter et Modifier l'attribut de nspmDistributionPassword. Pour cela, reportez-vous à l'écran DSTrace ou au fichier contenant les options actives, indiquées dans les premiers points.
  • Vérifiez que la configuration du pilote inclut les stratégies de mot de passe de script Identity Manager dans le site correct et dans le bon ordre, tel que décrit à la Section 5.3.4, Stratégies requises pour la configuration du pilote.
  • Comparez la stratégie de mot passe dans le coffre-fort d'identité avec toute stratégie de mot de passe appliquée par le système connecté, pour vérifier leur compatibilité.
Le message électronique n'est pas généré en cas d'échec du mot de passe
  • Activez les paramètres +DXML dans DSTrace pour savoir comment sont traités les règles Identity Manager.
  • Définissez le niveau de trace Identity Manager pour le pilote sur 3.
  • Vérifiez que la règle de génération des messages électroniques est sélectionnée.
  • Vérifiez que l'objet Coffre-fort d'identité contient la valeur correcte de l'utilisateur, indiquée dans l'attribut Adresse de messagerie Internet.
  • Dans la tâche Configuration de la notification, vérifiez que le serveur SMTP et le modèle de messagerie sont configurés. Reportez-vous à la Section 5.12, Configuration de la notification par message électronique.

Les notifications par message électronique n'ont pas une présence insistante. Elles n'ont aucune incidence sur le traitement du document XML qui a déclenché la notification. En cas d'échec, elles ne font pas l'objet d'une nouvelle tentative, sauf si l'opération elle-même est recommencée. Les messages de débogage pour les notifications par message électronique sont écrits dans le fichier de trace.

Erreur lors de l'utilisation de la vérification de l'état du mot de passe

Avec la tâche iManager Vérifier l'état du mot de passe, le pilote vérifie le mot de passe de l'objet.

  • Vérifiez que le système connecté accepte la vérification des mots de passe. Reportez-vous à la Section 5.2, Prise en charge par les systèmes connectés de la synchronisation des mots de passe.

    Cette opération n'est pas disponible via iManager si le manifeste du pilote n'indique pas que le système connecté prend en charge la fonction password-check.

  • Si la vérification du mot de passe de l'objet renvoie -603, cela signifie que l'objet de coffre-fort d'identité ne contient pas d'attribut nspmDistributionPassword. Vérifiez le filtre du pilote et l'option Synchroniser le mot de passe universel et le mot de passe de distribution dans la stratégie de mot de passe.
  • Si la vérification du mot de passe de l'objet renvoie Non synchronisé, vérifiez que la configuration du pilote contient les stratégies appropriées de synchronisation des mots de passe pour Identity Manager.
  • Comparez la stratégie de mot passe dans le coffre-fort d'identité avec toute stratégie de mot de passe appliquée par le système connecté, pour vérifier leur compatibilité.
  • L'option Vérifier le mot de passe de l'objet traite le mot de passe de distribution. Si le mot de passe de distribution n'est pas mis à jour, la vérification du mot de passe de l'objet risque de ne pas signaler que les mots de passe sont synchronisés.
  • Sachez que pour le coffre-fort d'identité, l'option Vérifier l'état du mot de passe vérifie le mot de passe NDS et non le mot de passe universel. Cela signifie que si la stratégie de mot de passe de l'utilisateur ne spécifie que le mot de passe NDS doit être synchronisé avec le mot de passe universel, les mots de passe sont toujours signalés comme n'étant pas synchronisés. En fait, le mot de passe de distribution et le mot de passe sur le système connecté pourraient être synchronisés, mais l'option Vérifier l'état des mots de passe ne sera pas exacte, à moins que le mot de passe NDS et le mot de passe de distribution ne soient synchronisés avec le mot de passe universel.
Commandes DSTrace utiles

+DXML : affiche le traitement des règles Identity Manager et les messages d'erreur potentiels.

+DVRS : affiche les messages du pilote Identity Manager.

+AUTH : affiche les modifications des mots de passe NDS.

5.8.5 Scénario 4 : passage en tunnel—synchronisation des systèmes connectés (mais pas du coffre-fort d'identité) avec mise à jour du mot de passe de distribution par Identity Manager

Identity Manager permet de synchroniser les mots de passe entre les systèmes connectés tout en maintenant le mot de passe du coffre-fort d'identité séparé d'eux. On parle de « tunnellisation ».

Dans ce scénario, Identity Manager met directement à jour le mot de passe de distribution. Ce scénario est presque identique au scénario décrit à la Section 5.8.4, Scénario 3 : synchronisation d'un coffre-fort d'identité et des systèmes connectés avec mise à jour du mot de passe de distribution dans Identity Manager. Toutefois, ici, vous devez vous assurer que le mot de passe universel et le mot de passe de distribution ne sont pas synchronisés. Pour ce faire, n'utilisez pas les stratégies de mot de passe NMAS, ou utilisez-les mais désactivez l'option Synchroniser le mot de passe de distribution lors de la définition du mot de passe universel.

Avantages et inconvénients du scénario 4

Tableau 5-14 Avantages de la tunnellisation

Avantages

Inconvénients

Permet de synchroniser les mots de passe entre les systèmes connectés, tout en maintenant le mot de passe du coffre-fort d'identité séparé.

Les stratégies de mot de passe ne sont pas obligatoires.

Si vous utilisez une stratégie de mot de passe, il n'est pas nécessaire que le mot de passe universel y soit activé. Toutefois, l'environnement doit prendre en charge le mot de passe universel.

Prend en charge la tâche Vérifier l'état des mots de passe dans iManager, si le système connecté la prend en charge.

Vous pouvez demander à ce qu'une notification soit envoyée en cas d'échec de la synchronisation des mots de passe.

Vous pouvez réinitialiser un mot de passe du système connecté qui ne se conforme pas à la stratégie de mot de passe.

Si le mot de passe universel et les règles de mot de passe avancées sont activés, les stratégies de mot de passe s'appliquent à condition que vous l'ayez spécifié ; les mots de passe des systèmes connectés peuvent être réinitialisés.

Si le mot de passe universel ou les règles de mot de passe avancées ne sont pas activés, les stratégies de mot de passe ne sont pas appliquées et les mots de passe des systèmes connectés ne peuvent pas être réinitialisés.

Ce scénario est illustré dans la figure suivante.

  1. Les mots de passe arrivent par le biais de Identity Manager.
  2. Identity Manager met directement à jour le mot de passe de distribution par le biais de NMAS.
  3. Identity Manager utilise également le mot de passe de distribution pour effectuer la répartition vers les systèmes connectés paramétrés pour accepter les mots de passe.

La clé de ce scénario est que, dans la règle de mot de passe NMAS, l'option Synchroniser le mot de passe universel avec le mot de passe de distribution est désactivée. Le mot de passe de distribution n'étant pas synchronisé avec le mot de passe universel, Identity Manager synchronise les mots de passe sur les systèmes connectés, sans modifier les mots de passe du coffre-fort d'identité.

Même si, dans ce diagramme, il est indiqué que plusieurs systèmes connectés se connectent à Identity Manager, n'oubliez pas que vous créez chaque paramètre individuellement pour chaque pilote du système connecté.

Figure 5-14 Tunnellisation, avec mise à jour du mot de passe de distribution par Identity Manager

Description : scénario 4

Implémentation du scénario 4

Pour implémenter ce type de synchronisation des mots de passe, configurez les éléments suivants :

Déploiement du mot de passe universel

Même s'il n'est pas obligatoire que le mot de passe universel soit activé dans les stratégies de mot de passe, votre environnement doit malgré tout utiliser eDirectory 8.7.3, qui prend en charge ce mot de passe. Reportez-vous à la Section 5.4, Préparation à l'utilisation de la synchronisation des mots de passe et du mot de passe universel dans Identity Manager.

Configuration de la stratégie de mot de passe

Aucune stratégie de mot de passe n'est obligatoire pour les utilisateurs du coffre-fort d'identité qui font appel à cette méthode.

Toutefois, si vous utilisez une stratégie de mot de passe :

  1. Vérifiez que les éléments suivants ne sont pas sélectionnés :

    • Supprimer le mot de passe NDS lors de la définition du mot de passe universel

      Cela est essentiel pour tunnelliser les mots de passe sans que le mot de passe du coffre-fort d'identité ne soit affecté. En refusant la synchronisation du mot de passe universel avec le mot de passe de distribution, vous maintenez le mot de passe de distribution séparé, pour que Identity Manager ne l'utilise que sur les systèmes connectés. Identity Manager agit à la manière d'une conduite : il distribue les mots de passe de et vers les systèmes connectés, sans affecter le mot de passe du coffre-fort d'identité.

    Description : paramètres de la stratégie de mot de passe pour le scénario 4

  2. Définissez les autres paramètres de la stratégie de mot de passe comme vous le souhaitez.

    Les autres paramètres de la stratégie de mot de passe sont facultatifs.

Dépannage du scénario 4

Si la tunnellisation est paramétrée pour la synchronisation des mots de passe, le mot de passe de distribution diffère du mot de passe universel et du mot de passe NDS.

Reportez-vous également aux astuces de la Section 5.13, Dépannage des problèmes de synchronisation des mots de passe.

Problème pour se loguer à un autre système connecté qui s'abonne aux mots de passe

Cette section permet de corriger les situations dans lesquelles ce système connecté publie des mots de passe vers Identity Manager ; par contre, un autre système connecté qui s'abonne aux mots de passe ne semble pas recevoir les modifications de ce système. Cette relation s'appelle aussi un système connecté secondaire, ce qui signifie que le système reçoit des mots de passe du premier système connecté via Identity Manager.

  • Activez les paramètres +DXML et +DVRS dans DSTrace pour voir comment sont traitées les stratégies Identity Manager, ainsi que les erreurs potentielles.
  • Définissez le niveau de trace Identity Manager pour le pilote sur 3.
  • Sur la page Synchronisation de mot de passe, vérifiez que l'option Identity Manager accepte les mots de passe (canal Éditeur) est sélectionnée.
  • Dans la stratégie de mot de passe, vérifiez que l'option Synchroniser le mot de passe de distribution lors de la définition du mot de passe universel n'est pas sélectionnée.

    Identity Manager utilise le mot de passe de distribution pour synchroniser les mots de passe sur les systèmes connectés. Le mot de passe universel doit être synchronisé avec le mot de passe de distribution pour cette méthode de synchronisation.

  • Vérifiez que le filtre du pilote possède les paramètres corrects pour l'attribut nspmDistributionPassword.
  • Vérifiez que l'élément <password> d'un élément Add et <modify-password> a été converti pour les opérations Ajouter et Modifier l'attribut de nspmDistributionPassword. Pour cela, reportez-vous à l'écran DSTrace ou au fichier contenant les options de trace actives, indiquées dans les premiers points.
  • Vérifiez que la configuration du pilote inclut les stratégies de mot de passe de script Identity Manager dans le site correct et dans le bon ordre, tel que décrit à la Section 5.3.4, Stratégies requises pour la configuration du pilote.
  • Comparez la stratégie de mot passe dans le coffre-fort d'identité avec toute stratégie de mot de passe appliquée par le système connecté, pour vérifier leur compatibilité.
Les messages électroniques ne sont pas générés en cas d'échec du mot de passe
  • Activez les paramètres +DXML dans DSTrace pour savoir comment sont traitées les règles Identity Manager.
  • Définissez le niveau de trace Identity Manager pour le pilote sur 3.
  • Vérifiez que la règle de génération des messages électroniques est sélectionnée.
  • Vérifiez que l'objet Coffre-fort d'identité contient la valeur correcte de l'utilisateur, indiquée dans l'attribut Adresse de messagerie Internet.
  • Dans la tâche Configuration de la notification, vérifiez le serveur SMTP et le modèle de message. Reportez-vous à la Section 5.12, Configuration de la notification par message électronique.

Les notifications par message électronique n'ont pas une présence insistante. Elles n'ont aucune incidence sur le traitement du document XML qui a déclenché la notification. En cas d'échec, elles ne font pas l'objet d'une nouvelle tentative, sauf si l'opération elle-même est recommencée. Les messages de débogage pour les notifications par message électronique sont écrits dans le fichier de trace.

Erreur lors de l'utilisation de la vérification de l'état du mot de passe

La tâche Vérifier l'état des mots de passe dans iManager amène le pilote à procéder à une vérification du mot de passe de l'objet.

  • Vérifiez que le système connecté accepte la vérification des mots de passe. Reportez-vous à la Section 5.2, Prise en charge par les systèmes connectés de la synchronisation des mots de passe.

    Cette opération n'est pas disponible via iManager si le manifeste du pilote n'indique pas que le système connecté prend en charge la capacité password-check.

  • Si la vérification du mot de passe de l'objet renvoie -603, cela signifie que l'objet de coffre-fort d'identité ne contient pas d'attribut nspmDistributionPassword. Vérifiez le filtre de l'attribut Identity Manager et l'option Synchroniser le mot de passe universel et le mot de passe de distribution dans la stratégie de mot de passe.
  • Si la vérification du mot de passe de l'objet renvoie Non synchronisé, vérifiez que la configuration du pilote contient les stratégies appropriées de synchronisation des mots de passe pour Identity Manager.
  • Comparez la stratégie de mot passe dans le coffre-fort d'identité avec toute stratégie de mot de passe appliquée par le système connecté, pour vérifier leur compatibilité.
  • La vérification du mot de passe de l'objet traite le mot de passe de distribution. Si le mot de passe de distribution n'est pas mis à jour, la vérification du mot de passe de l'objet pourrait ne pas signaler que les mots de passe sont synchronisés.
Commandes DSTrace utiles

+DXML : pour afficher le traitement des règles Identity Manager et les messages d'erreur potentiels.

+DVRS : affiche les messages du pilote Identity Manager.

+AUTH : affiche les modifications des mots de passe NDS.

+DCLN : affiche les messages NDS Dclient.

5.8.6 Scénario 5 : synchronisation des mots de passe de l'application avec le mot de passe simple

Ce scénario utilise de façon spécifique les fonctions de synchronisation de mot de passe. Grâce à Identity Manager et NMAS, vous pouvez prendre un mot de passe d'un système connecté et le synchroniser directement avec le mot de passe simple du coffre-fort d'identité. Si le système connecté ne fournit que des mots de passe hachés, vous pouvez les synchroniser sur le mot de passe simple, sans inverser le hachage. D'autres applications peuvent alors s'authentifier sur le coffre-fort d'identité à l'aide du mot de passe en texte clair ou haché via LDAP ou le client Novell, les composants NMAS étant configurés pour utiliser le mot de passe simple comme méthode de connexion.

Si le mot de passe est en texte clair dans le système connecté, il peut être publié tel quel depuis le système connecté dans la zone de mot de passe simple du coffre-fort d'identité.

Si le système connecté ne fournit que des mots de passe hachés (les codages MD5, SHA, SHA1 et UNIX Crypt sont pris en charge), vous devez les publier vers le mot de passe simple avec une indication du type de hachage, par exemple {MD5}.

Pour qu'une autre application s'authentifie avec le même mot de passe, vous devez la personnaliser pour qu'elle prenne le mot de passe de l'utilisateur et l'authentifie sur le mot de passe simple avec LDAP.

NMAS compare la valeur du mot de passe de l'application avec la valeur contenue dans le mot de passe simple. Si le mot de passe stocké dans le mot de passe simple est une valeur de hachage, NMAS utilise d'abord la valeur de mot de passe de l'application pour créer le bon type de valeur de hachage, avant d'effectuer la comparaison. Si le mot de passe de l'application et le mot de passe simple sont identiques, NMAS authentifie l'utilisateur.

Dans ce scénario, il n'est pas possible d'utiliser le mot de passe universel.

Avantages de la synchronisation avec le mot de passe NDS

Tableau 5-15 Avantages de la synchronisation avec le mot de passe NDS

Avantages

Inconvénients
  • Permet de mettre directement à jour le mot de passe simple.
  • Permet de synchroniser un mot de passe haché et de l'utiliser pour s'authentifier sur plusieurs applications, sans inverser le hachage.
  • Ce scénario n'autorise pas l'utilisation du mot de passe universel.
  • Les fonctionnalités en libre-service Mot de passe oublié et Mot de passe peuvent toujours être utilisées. Elles sont en effet prises en charge pour le mot de passe NDS, mais elles ne fonctionnent pas pour le mot de passe simple.
  • Comme la tâche Définir le mot de passe universel dépend du mot de passe universel, l'administrateur ne peut pas l'utiliser pour définir le mot de passe d'un utilisateur dans le coffre-fort d'identité.

Figure 5-15 Synchronisation avec le mot de passe NDS

Description : diagramme du hachage en mot de passe simple

Implémentation du scénario 5

Configuration de la stratégie de mot de passe

Aucune stratégie de mot de passe n'est obligatoire pour les utilisateurs qui font appel à ce scénario. Il n'est pas possible d'utiliser le mot de passe universel.

Paramètres de la synchronisation des mots de passe

Dans ce scénario, utilisez le script Identity Manager pour modifier directement l'attribut SAS:Login Configuration. Cela signifie que les valeurs de configuration globale de la synchronisation des mots de passe, définies sur la page Synchronisation de mot de passe dans iManager, n'ont aucun effet.

Configuration de pilote

  1. Vérifiez que le paramètre Synchroniser est défini dans l'attribut SAS:Login Configuration du filtre, pour les canaux Abonné et Éditeur.

    Description : paramètres des filtres pour SAS:Login Configuration

  2. Configurez les stratégies du pilote, de manière à publier le mot de passe à partir du système connecté.

  3. Pour les mots de passe hachés, configurez les stratégies du pilote, de manière à ajouter, en préfixe, le type du hachage, s'il n'est pas déjà fourni par l'application :

    • {MD5}hashed_password

      Ce mot de passe est codé en Base64.

    • {SHA}hashed_password

      Ce mot de passe est codé en Base64.

    • {CRYPT}hashed_password

    Les mots de passe en texte clair et les hachages de mots de passe de codage Unix ne sont pas codés en Base64.

  4. Pour placer le mot de passe dans le mot de passe simple, configurez les stratégies du pilote pour modifier l'attribut SAS:Login Configuration.

    L'exemple suivant montre comment utiliser un élément modify-attr dans une opération de modification pour changer le mot de passe simple en mot de passe haché MD5 :

    <modify-attr attr-name="SAS:Login Configuration>
    <add-value>
        <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value>
    </add-value>
</modify-attr>

    Pour les mots de passe en texte clair, suivez cet exemple. 

    <modify-attr attr-name="SAS:Login Configuration>
    <add-value>
        <value>clearpwd</value>
    </add-value>
</modify-attr>

    Pour les opérations d'ajout, l'élément add-attr contiendrait l'un de ceux-ci :

    <add-attr attr-name="SAS:Login Configuration>
    <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value>
</add-attr>

    ou 

    <add-attr attr-name="SAS:Login Configuration>
    <value>clearpwd</value>
</add-attr>