パスワード同期の実装
Identity Managerで提供されているパスワード同期の機能により、いくつかの異なるシナリオを実装できます。この節では、いくつかの基本シナリオについて説明し、パスワード同期とPassword Policy (パスワードポリシー)の設定がパスワード同期の方法にどのように影響を与えるかについて理解するために役立つ情報を提供します。現在の環境のニーズに合わせて、1つまたは複数のシナリオ使用できます。
この節では、次の項目について説明します。
- Identity ManagerとNMASの関係の概要
- シナリオ1 - NDSパスワードを使用したeDirectory間でのパスワード同期化
- シナリオ2 - ユニバーサルパスワードの同期
- シナリオ3 - Identity Manager での配布パスワードのアップデートによる、eDirectoryおよび接続システムの同期化
- シナリオ4 - トンネリング --- Identity Manager での配布パスワードのアップデートによる、eDirectoryではなく接続システムの同期化
- シナリオ5 - アプリケーションのパスワードの通常パスワードへの同期化
Identity ManagerとNMASの関係の概要
この節では、次の項目について説明します。
ユーティリティとNMAS
iManager、Novell Clientなどの最新のユーティリティは、特定のパスワードを直接アップデートするのではなく、NMASと通信し、NMASがどのパスワードをアップデートするかを決定するエンティティになります。
NMASはPassword Policy (パスワードポリシー)の設定に基づき、パスワードをeDirectory内で同期化します。
ユニバーサルパスワードが有効でないレガシーユーティリティは、NDSパスワードを直接アップデートします。NMASと通信し、NMASがどのパスワードをアップデートするかを決定するのではありません。現在の環境で、ユーザおよびヘルプデスクがどのようにレガシーユーティリティを使用しているかに注意してください。レガシーユーティリティはNMASと通信するのではなくNDSパスワードを直接アップデートするため、ユニバーサルパスワードおよびNMAS2.3を使用している場合、「パスワードドリフト」(ユニバーサルパスワードとNDSパスワードの同期がずれる問題)が発生することがあります。たとえば、ユニバーサルパスワードのサポートを確認するには、ユーザがNovell Clientをアップグレードしていることを確認し、ヘルプデスクのユーザがConsoleOneを最新のNovell ClientまたはNetWareリリースのみで使用していることを確認します。
Identity ManagerとNMAS
Identity Managerは、「エントリポイント」を制御します(ユニバーサルパスワードまたは配布パスワードのどちらかを直接アップデートします)。NMASは、eDirectory内のパスワード同期のフローを制御します。
シナリオ1では、eDirectoryのDirXMLドライバを使用して、NDSパスワードを直接アップデートできます。このシナリオは基本的に、DirXML 1.xで提供されるものと同じです。
この節の後の方で説明する、シナリオ2、シナリオ3、およびシナリオ4では、Identity Managerを使用してユニバーサルパスワードまたは配布パスワードのどちらかがアップデートされ、Identity ManagerはNMASと通信してパスワードの変更を行います。これにより、NMASはPassword Policy (パスワードポリシー)の設定の決定に基づき他のeDirectoryパスワードをアップデートし、パスワードが接続システムと同期化できるように、Password Policy (パスワードポリシー)からAdvanced Password Rule (詳細パスワードルール)を適用できます。これらのシナリオでは、接続システムにIdentity Managerが配布するパスワードは、必ず配布パスワードとなります。各シナリオ間の相違は、NMASのPassword Policy (パスワードポリシー)の設定、および接続システムの各ドライバについてのIdentity Managerパスワード同期の設定の組み合わせです。
シナリオ1 - NDSパスワードを使用したeDirectory間でのパスワード同期化
Password Synchronization 1.0と同様に、eDirectoryドライバを使用して2つのeDirectoryツリー間でNDSパスワードを同期化できます。このシナリオでは、ユニバーサルパスワードの実装は必要なく、eDirectory 8.6.2以降で使用できます。この種類のパスワード同期は、公開鍵と秘密鍵のペアの同期化とも呼ばれます。
この方法は、eDirectory間でパスワードを同期化する場合にのみ使用してください。この方法はNMASを使用しないので、接続アプリケーションとパスワードを同期する目的では使用できません。
この節では、次の項目について説明します。
シナリオ1の長所と短所
シナリオ1の図
次の図は、DirXML 1.xと同様、eDirectoryの DirXMLドライバを使用して2つのeDirectoryツリー間でNDSパスワードを同期化できることを示します。このシナリオでは、NMASと通信しません。
シナリオ1の設定
この種類のパスワード同期を設定する
ドライバ設定
ドライバ設定で必要なポリシーのリストに記載されているパスワード同期のポリシーを削除します。これらのポリシーは、ユニバーサルパスワードおよび配布パスワードをサポートするためのものです。NDSパスワードは、これらのポリシーではなく、Public KeyおよびPrivate Keyの属性を使用して、同期化されます。
両方のeDirectoryドライバのフィルタによって、パスワードを同期化するすべてのオブジェクトクラスのPublic KeyおよびPrivate Keyの属性が同期化されていることを確認します。次の図は、例を示します。
![フィルタで[Private Key]および[Public Key]を[Synchronize]に設定する](../graphics/psync_scen1_nds_synckeypair_a.gif)
シナリオ1のトラブルシューティング
- [DXML Dstrace]オプションをオンにします。
- ドライバフィルタについて、Public KeyとPrivate Keyの属性が同期化されており、無視されていないことを確認します。
- パスワード同期のトラブルシューティングのヒントも参照してください。
シナリオ2 - ユニバーサルパスワードの同期
Identity Managerでは、接続システムのパスワードをeDirectoryのユニバーサルパスワードに同期化できます。
ユニバーサルパスワードがアップデートされると、Password Policy (パスワードポリシー)の設定により、NDSパスワード、配布パスワード、または通常パスワードもアップデートできます。
接続システムはパスワードをIdentity Managerに発行できますが、すべての接続システムがユーザの実際のパスワードを提供できるわけではありません。たとえば、Active Directoryはユーザの実際のパスワードをIdentity Managerに発行できます。PeopleSoftはPeopleSoftシステム自体からパスワードを提供することはできませんが、ユーザの従業員IDまたは名字に基づくパスワードなど、ドライバ設定のポリシーで作成された初期パスワードは提供できます。すべてのドライバがIdentity Managerからのパスワードの変更を購読できるわけではありません。パスワード同期をサポートする接続システムを参照してください。
この節では、次の項目について説明します。
シナリオ2の長所と短所
シナリオ2の図
次の図は、Identity Managerを通じてパスワードが送られ、Identity Manager がユニバーサルパスワードを直接アップデートするためにNMASと通信することを示します。NMASは、ユニバーサルパスワードを、配布パスワードおよびPassword Policy (パスワードポリシー)設定に従って、その他のパスワードに同期化します。最後に、Identity Managerは配布パスワードを取得し、パスワードを受け入れるよう設定されている接続システムに配布します。
この図では、複数の接続システムがIdentity Managerに接続しているように示されていますが、設定は接続システムのドライバごとに作成することに注意してください。
シナリオ2の設定
この種類のパスワード同期を設定する
ユニバーサルパスワードの展開
現在の環境でユニバーサルパスワードを使用する準備ができていることを確認します。Identity Managerパスワード同期およびユニバーサルパスワードを使用するための準備作業を参照してください。
Password Policy (パスワードポリシー)の設定
[Password Management]>[Manage Password Policies]の順に選択して、次を実行します。
-
この種類のパスワード同期を行うeDirectoryツリーの一部にPassword Policy (パスワードポリシー)が割り当てられていることを確認します。Password Policy (パスワードポリシー)は、ツリー全体(ログインポリシーオブジェクトを使用)、パーティションルートコンテナ、コンテナ、または特定のユーザに割り当てることができます。管理を簡素化するために、Password Policy (パスワードポリシー)は、ツリーのできるだけ上位のレベルに割り当てることをお勧めします。
-
[Password Policy]で、次のオプションが選択されていることを確認します。
- Enable Universal Password
- Synchronize NDS Password when Setting Universal Password
- Synchronize Distribution Password when Setting Universal Password
Identity Managerは配布パスワードを取得して接続システムに配布するので、双方向のパスワード同期を可能にするためにこのオプションをオンにすることが重要です。
![シナリオ2のための[Password Policy]の設定](../graphics/psync_scen2_3_up_passpol_a.gif)
-
必要に応じ、[Password Policy]の他の設定を完了します。
NMASは、ルールが有効にされている場合、Password Policy (パスワードポリシー)のAdvanced Password Rule (詳細パスワードルール)を適用します。Password Policy (パスワードポリシー)のルールを適用しない場合は、[Enable Advanced Password Rules]チェックボックスをオフにします。
-
Advanced Password Rule (詳細パスワードルール)を使用している場合、パスワードを購読している接続システムのPassword Policy (パスワードポリシー)と競合しないことを確認します。
パスワード同期の設定
[Password Management]>[ Password Synchronization]の順に選択し、接続システムのドライバの設定を行います。
-
次のオプションが選択されていることを確認します。
- DirXML accepts passwords (Publisher Channel)
ドライバマニフェストに「password-publish」機能が含まれていない場合、メッセージがページに表示されます。これは、パスワードがアプリケーションから取得できず、パスワードを発行するには、ポリシーを使用してドライバ設定にパスワードを作成するしかないことをユーザに通知するものです。
- Application accepts passwords (Subscriber Channel)
接続システムjがパスワードの受け入れをサポートしない場合、このオプションは淡色表示になります。
これらの設定により、接続システムでサポートされている場合には、双方向のパスワード同期が可能になります。
パスワードの承認されたソースについては、ビジネスポリシーに合わせて設定を調整できます。たとえば、接続システムがパスワードを購読するが発行しないようにする場合は、[Application accepts passwords (Subscriber Channel)]のみを選択します。
- DirXML accepts passwords (Publisher Channel)
-
次のオプションがオフになっていることを確認します。
- Use Distribution Password for Password Synchronization
このシナリオでは、Identity Managerがユニバーサルパスワードを直接アップデートします。接続システムへのパスワードの配布には引き続き配布パスワードが使用されますが、配布パスワードは、Identity ManagerではなくNMASにより、ユニバーサルパスワードからアップデートされます。
-
(オプション)必要に応じ、次のオプションを選択します。
- Notify the User of Password Synchronization Failure via E-mail
電子メール通知には、eDirectoryユーザオブジェクトのInternet EMail Address属性の入力が必要です。
電子メール通知は、他に影響を与えません。電子メール通知は、電子メールをトリガしたXMLドキュメントの処理には影響を与えず、失敗した場合でも、操作自体が再試行されない限り、電子メール通知が再試行されることはありません。
ただし、電子メール通知のデバッグメッセージはトレースファイルに書き込まれます。
- Notify the User of Password Synchronization Failure via E-mail
ドライバ設定
-
必要なIdentity Managerスクリプトパスワード同期化ポリシーが、パスワード同期に使用する各ドライバのドライバ設定に含まれていることを確認します。ポリシーは、ドライバ設定の正しい位置に正しい順序で記述されている必要があります。ポリシーのリストについては、ドライバ設定で必要なポリシーを参照してください。
Identity Manageのサンプル設定には、すでにポリシーが含まれています。既存のドライバをアップデートする場合は、Identity Managerパスワード同期をサポートするための、既存のドライバ設定のアップグレードの手順を使用してポリシーを追加できます。
-
nspmDistributionPassword属性のために、フィルタを正しく設定します。
- 発行者チャネルについては、フィルタがすべてのオブジェクトクラスのnspmDistributionPassword属性を無視するよう設定します。
- 加入者チャネルについては、フィルタがすべてのオブジェクトクラスのnspmDistributionPassword属性を通知するよう設定します。
-
nspmDistributionPassword属性について[Notify]と設定したすべてのオブジェクトの、ドライバフィルタのPublic KeyおよびPrivate Keyの属性は無視します。
![フィルタのPrivate KeyおよびPublic Keyの[Ignore]の設定](../graphics/psync_scen_univ_edir_ignorekeypair_a.gif)
-
パスワードのセキュリティを確保するには、Identity Managerのオブジェクトへの権利を持つユーザを制御していることを確認します。
シナリオ2のトラブルシューティング
この節では、次の項目について説明します。
- シナリオ2のフローチャート
- eDirectoryへのログインのトラブルシューティング
- パスワードを購読する別の接続システムへのログインに関するトラブルシューティング
- パスワードのエラーについての電子メールが生成されない
- [Check the Object Password]を使用した場合のエラー
- DSTraceの便利なコマンド
パスワード同期のトラブルシューティングのヒントも参照してください。
シナリオ2のフローチャート
次のフローチャートは、NMASがIdentity Managerから受信するパスワードの処理の方法を示します。このシナリオでは、パスワードはユニバーサルパスワードに同期化されます。ユニバーサルパスワードがPassword Policy (パスワードポリシー)で有効になっているか、送られるパスワードがAdvanced Password Rule (詳細パスワードルール)に準拠することが有効になっているか、およびPassword Policy (パスワードポリシー)にユニバーサルパスワードと他のパスワード同期のためのその他の設定があるかに基づき、パスワードの処理の方法をNMASが決定します。
eDirectoryへのログインのトラブルシューティング
- [DSTrace]の[+AUTH]、[+DCLN]、[+DXML]、および[+DVRS]の設定をオンにします。
- <password>または<modify-password>の要素がIdentity Managerに渡されていることを確認します。渡されていることを確認するには、トレース画面のオプションがオンになっていることを確かめます。
- Password Policy (パスワードポリシー)のルールに従い、パスワードが有効であることを確認します。
- NMAS Password Policy (パスワードポリシー)の設定と割り当てを確認します。ポリシーをユーザに直接割り当て、正しいポリシーが使用されるようにします。
- ドライバの[Password Synchronization]ページで、[DirXML accepts passwords]が選択されていることを確認します。
- [Password Policy]で、[Synchronize Distribution Password when Setting Universal Password]が選択されていることを確認します。
パスワードを購読する別の接続システムへのログインに関するトラブルシューティング
この節では、接続システムがIdentity Managerにパスワードを発行し、そのパスワードを購読するもう1つの接続システムが発行するシステムからの変更を購読していないように思われる場合の、トラブルシューティングについて説明します。この関係は、第2の接続システムとも呼ばれ、第1の接続システムからIdentity Managerを通じてパスワードを受信することを意味します。
- [DSTrace]の[+DXML]および[+DVRS]の設定をオンにし、Identity Managerのルール処理を確認します。
- ドライバのDirXMLのトレースレベルを3に設定します。
- [Password Synchronization]の[DirXML accepts passwords]オプションが選択されていることを確認します。
- ドライバフィルタのnspmDistributionPassword属性が、ステップ 2に説明されているとおりに正しく設定されていることを確認します。
- <password> (追加の場合)または<modify-password>の要素が接続システムに送信されていることを確認します。確認するには、[DSTRACE]画面またはファイルのトレースオプションが、最初の項目で説明したとおり、オンになっていることを確かめます。
- DirXML ScriptのPassword Policy (パスワードポリシー)が、ドライバ設定で必要なポリシーで説明されているとおり、ドライバ設定の正しい位置と順序にあることを確認します。
- eDirectoryのPassword Policy (パスワードポリシー)と、接続システムにより適用されるPassword Policy (パスワードポリシー)と比較し、互換性があることを確認します。
パスワードのエラーについての電子メールが生成されない
- [DSTrace]の[+DXML]の設定をオンにし、DirXMLのルール処理を確認します。
- ドライバのDirXMLのトレースレベルを3に設定します。
- 電子メールを生成するルールが選択されていることを確認します。
- eDirectoryオブジェクトを検証し、ユーザの正しい電子メールアドレスがInternet EMail Address属性に含まれていることを確認します。
- [Notification Configuration]作業で、SMTPサーバと電子メールテンプレートが正しく設定されていることを確認します。電子メール通知の設定を参照してください。
[Check the Object Password]を使用した場合のエラー
iManagerの[Check Password Status]タスクにより、実行する[Check Object Password]アクションがドライバに与えられます。問題が発生した場合は、次を確認します。
- [Check Object Password]が-603を返す場合、eDirectoryオブジェクトにnspmDistributionPassword属性が含まれていません。ドライバフィルタのnspmDistributionPassword属性が正しく設定されていることを確認し、[Password Policy has Synchronize Distribution Password when Setting Universal Password]が選択されていることを確認します。
- [Check Object Password]が「Not Synchronized」を返す場合、ドライバ設定に適切なパスワード同期のポリシーが含まれていることを確認します。
- eDirectoryのPassword Policy (パスワードポリシー)と、接続システムにより適用されるPassword Policy (パスワードポリシー)と比較し、互換性があることを確認します。
- [Check Object Password]は、配布パスワードから操作します。配布パスワードがアップデートされていない場合、[Check Object Password]によって、パスワードが同期化されていることがレポートされないことがあります。
- eDirectoryドライバのみについては、[Check Password Status]は、配布パスワードではなくNDSパスワードをチェックすることに注意してください。
シナリオ3 - Identity Manager での配布パスワードのアップデートによる、eDirectoryおよび接続システムの同期化
この方法では、Identity Managerは配布パスワードを直接アップデートし、他のeDirectoryパスワードをどのように同期化するかはNMASが決定します。
接続システムはパスワードをIdentity Managerに発行できますが、すべての接続システムがユーザの実際のパスワードを提供できるわけではありません。たとえば、Active Directoryはユーザの実際のパスワードをIdentity Managerに発行できます。PeopleSoftはPeopleSoftシステム自体からパスワードを提供することはできませんが、ユーザの従業員IDまたは名字に基づくパスワードなど、ドライバ設定のポリシーで作成された初期パスワードは提供できます。すべてのドライバがIdentity Managerからのパスワードの変更を購読できるわけではありません。パスワード同期をサポートする接続システムを参照してください。
この節では、次の項目について説明します。
シナリオ3の長所と短所
シナリオ3の図
次の図は、Identity Managerを通じてパスワードが送られ、Identity Managerが配布パスワードを直接アップデートするためにNMASと通信することを示します。Identity Managerは配布パスワードを使用し、パスワードを受け入れるよう指定した接続システムに配布します。NMASは、ユニバーサルパスワードを、配布パスワード、およびPassword Policy (パスワードポリシー)設定に基づいてその他のパスワードに同期化します。
この図では複数の接続システムがIdentity Managerに接続しているように示されていますが、設定は接続システムのドライバごとに作成することに注意してください。
シナリオ3の設定
この種類のパスワード同期を設定する
ユニバーサルパスワードの展開
現在の環境でユニバーサルパスワードを使用する準備ができていることを確認します。Identity Managerパスワード同期およびユニバーサルパスワードを使用するための準備作業を参照してください。
Password Policy (パスワードポリシー)の設定
[Password Management]>[Manage Password Policies]で、次を実行します。
-
この種類のパスワード同期を行うeDirectoryツリーの一部にPassword Policy (パスワードポリシー)が割り当てられていることを確認します。Password Policy (パスワードポリシー)は、ツリー全体、パーティションルートコンテナ、コンテナ、または特定のユーザに割り当てることができます。管理を簡素化するために、Password Policy (パスワードポリシー)は、ツリーのできるだけ上位のレベルに割り当てることをお勧めします。
-
[Password Policy]で、次のオプションが選択されていることを確認します。
- Enable Universal Password
- Synchronize NDS Password When Setting Universal Password
- Synchronize Distribution Password When Setting Universal Password
Identity Managerは配布パスワードを取得して接続システムに配布するので、双方向のパスワード同期を可能にするためにこのオプションをオンにすることが重要です。
-
Advanced Password Rule (詳細パスワードルール)を使用している場合、パスワードを受信している接続システムのPassword Policy (パスワードポリシー)と競合しないことを確認します。
パスワード同期の設定
[Password Management]>[Password Synchronization]で、次の設定を使用します。
-
次のオプションが選択されていることを確認します。
- DirXML accepts Passwords (Publisher Channel)
- Use Distribution Password for Password Synchronization
ドライバマニフェストに「password-publish」機能が含まれていない場合、メッセージがページに表示されます。これは、パスワードがアプリケーションから取得できず、パスワードを発行するには、ポリシーを使用してドライバ設定にパスワードを作成するしかないことをユーザに通知するものです。
- Application accepts passwords (Subscriber Channel)
これらの設定により、接続システムでサポートされている場合には、双方向のパスワード同期が可能になります。
パスワードの承認されたソースについては、ビジネスポリシーに合わせて設定を調整できます。たとえば、接続システムがパスワードを購読するが発行しないようにする場合は、[Application accepts passwords (Subscriber Channel)]のみを選択します。
- DirXML accepts Passwords (Publisher Channel)
-
[Use Distribution Password for password synchronization]のオプションを使用し、パスワード同期のPassword Policy (パスワードポリシー)を適用させるか無視するかを指定します。
-
(オプション) Password Policy (パスワードポリシー)を適用させるように指定した場合、パスワードがポリシーに準拠しない場合に接続システムのパスワードをIdentity Managerがリセットするかどうかも指定します。
-
(オプション)必要に応じ、次のオプションを選択します。
- Notify the User of Password Synchronization Failure via E-mail
電子メール通知には、eDirectoryユーザオブジェクトのInternet EMail Address属性の入力が必要です。
電子メール通知は、他に影響を与えません。電子メール通知は、電子メールをトリガしたXMLドキュメントの処理には影響を与えず、失敗した場合でも、操作自体が再試行されない限り、電子メール通知が再試行されることはありません。
ただし、電子メール通知のデバッグメッセージはトレースファイルに書き込まれます。
- Notify the User of Password Synchronization Failure via E-mail
ドライバ設定
-
必要なDirXMLスクリプトパスワード同期化ポリシーが、パスワード同期に使用する各ドライバのドライバ設定に含まれていることを確認します。ポリシーは、ドライバ設定の正しい位置に正しい順序で記述されている必要があります。ポリシーのリストについては、ドライバ設定で必要なポリシーを参照してください。
Identity Manageのサンプル設定には、すでにポリシーが含まれています。既存のドライバをアップデートする場合は、Identity Managerパスワード同期をサポートするための、既存のドライバ設定のアップグレードの手順を使用してポリシーを追加できます。
-
nspmDistributionPassword属性のために、フィルタを正しく設定します。
- 発行者チャネルについては、ドライバフィルタがすべてのオブジェクトクラスのnspmDistributionPassword属性を無視するよう設定します。
- 加入者チャネルについては、ドライバフィルタがすべてのオブジェクトクラスのnspmDistributionPassword属性を通知するよう設定します。
-
nspmDistributionPassword属性について[Notify]と設定したすべてのオブジェクトの、ドライバフィルタのPublic KeyおよびPrivate Keyの属性は無視します。
-
パスワードのセキュリティを確保するには、DirXMLのオブジェクトへの権利を持つユーザを制御していることを確認します。
シナリオ3のトラブルシューティング
この節では、次の項目について説明します。
- シナリオ3のフローチャート
- eDirectoryへのログインのトラブルシューティング
- パスワードを購読する別の接続システムへのログインに関するトラブルシューティング
- パスワードのエラーについての電子メールが生成されない
- [Check Password Status]を使用した場合のエラー
- DSTraceの便利なコマンド
パスワード同期のトラブルシューティングのヒントも参照してください。
シナリオ3のフローチャート
次のフローチャートは、NMASがIdentity Managerから受信するパスワードの処理の方法を示します。このシナリオでは、パスワードは配布パスワードに同期化されます。送られるパスワードをPassword Policy (パスワードポリシー)ルールと照合して検証するよう指定したかどうか(ユニバーサルパスワードおよびAdvanced Password Rule (詳細パスワードルール)が有効になっている場合)、およびPassword Policy (パスワードポリシー)にユニバーサルパスワードと他のパスワード同期のためのその他の設定があるかに基づき、パスワードの処理の方法をNMASが決定します。
eDirectoryへのログインのトラブルシューティング
- [DSTrace]の[+AUTH]、[+DCLN]、[+DXML]、および[+DVRS]の設定をオンにします。
- <password>または<modify-password>の要素がIdentity Managerに渡されていることを確認します。確認するには、[DSTRACE]画面またはファイルのトレースオプションが、最初の項目で説明したとおり、オンになっていることを確かめます。
- Password Policy (パスワードポリシー)のルールに従い、パスワードが有効であることを確認します。
- Password Policy (パスワードポリシー)の設定と割り当てを確認します。ポリシーをユーザに直接割り当て、正しいポリシーが使用されるようにします。
- ドライバの[Password Synchronization]ページで、[DirXML accepts passwords (Publisher Channel)]が選択されていることを確認します。
- [Password Policy]で、[Synchronize Distribution Password when Setting Universal Password]が選択されていることを確認します。
- [Password Policy]で、必要に応じ、[Synchronize NDS Password when Setting Universal Password]が選択されていることを確認します。
- ユーザがNovell ClientまたはConsoleOneを通じてログインしている場合は、バージョンを確認します。ユニバーサルパスワードがNDSパスワードに同期化されていない場合、レガシーなNovell ClientsおよびConsoleOneからは、eDirectoryにログインできないことがあります。
ユニバーサルパスワードを認識するNovell ClientおよびConsoleOneのバージョンが利用可能です。『MAS 2.3 Administration Guide (MAS 2.3管理ガイド)』を参照してください。
- レガシーユーティリティの中にはNDSパスワードを使用して認証するものがありますが、ユニバーサルパスワードがNDSパスワードに同期化されていない場合には、それらもeDirectoryにはログインできません。ほとんどのユーザはNDSパスワードを使用せず、管理者またはヘルプデスクのユーザがレガシーユーティリティへの認証を必要とする場合は、ヘルプデスクのユーザには異なるPassword Policy (パスワードポリシー)を使用し、異なるユニバーサルパスワード同期化のオプションを指定できるようにします。
パスワードを購読する別の接続システムへのログインに関するトラブルシューティング
この節では、接続システムがIdentity Managerにパスワードを発行し、そのパスワードを購読するもう1つの接続システムが発行するシステムからの変更を購読していないように思われる場合の、トラブルシューティングについて説明します。この関係は、第2の接続システムとも呼ばれ、第1の接続システムからIdentity Managerを通じてパスワードを受信することを意味します。
- [+DXML]および[+DVRS]の設定をオンにし、DirXMLのルール処理および可能性のあるエラーを確認します。
- ドライバのDirXMLのトレースレベルを3に設定します。
- [Password Synchronization]ページの[DirXML accepts passwords (Publisher Channel)]オプションが選択されていることを確認します。
- [Password Policy]で、[Synchronize Distribution Password when Setting Universal Password]が選択されていることを確認します。
Identity Managerは、配布パスワードを使用し、パスワードを接続システムに同期化します。ユニバーサルパスワードは、この同期化方法の配布パスワードに同期化させる必要があります。
- ドライバフィルタのnspmDistributionPassword属性を確認します。
- <password>要素(追加の場合)または<modify-password>要素が、nspmDistributionPassword属性の追加または変更の操作に変換されていることを確認します。確認するには、[DSTRACE]画面またはファイルのオプションが、最初の項目で説明したとおり、オンになっていることを確かめます。
- Identity ManagerスクリプトPassword Policy (パスワードポリシー)が、ドライバ設定で必要なポリシーで説明されているとおり、ドライバ設定の正しい位置と順序にあることを確認します。
- eDirectoryのPassword Policy (パスワードポリシー)と、接続システムにより適用されるPassword Policy (パスワードポリシー)と比較し、互換性があることを確認します。
パスワードのエラーについての電子メールが生成されない
- [DSTrace]の[+DXML]の設定をオンにし、DirXMLのルール処理を確認します。
- ドライバのDirXMLのトレースレベルを3に設定します。
- 電子メールを生成するルールが選択されていることを確認します。
- eDirectoryオブジェクトを検証し、Internet EMail Address属性に正しい値が含まれていることを確認します。
- [Notification Configuration]タスクで、SMTPサーバと電子メールテンプレートが設定されていることを確認します。電子メール通知の設定を参照してください。
電子メール通知は、他に影響を与えません。電子メール通知は、電子メールをトリガしたXMLドキュメントの処理には影響を与えず、失敗した場合でも、操作自体が再試行されない限り、電子メール通知が再試行されることはありません。
ただし、電子メール通知のデバッグメッセージはトレースファイルに書き込まれます。
[Check Password Status]を使用した場合のエラー
iManagerの[Check Password Status]タスクにより、実行する[Check Object Password]アクションがドライバに与えられます。
- 接続システムがパスワードのチェック機能をサポートすることを確認してください。パスワード同期をサポートする接続システムを参照してください。
接続システムがパスワードチェック機能をサポートするようドライバマニフェストに示されてない場合は、iManagerからこの機能を使用することはできません。
- [Check Object Password]が-603を返す場合、eDirectoryオブジェクトにnspmDistributionPassword属性が含まれていません。ドライバフィルタ、および[Password Policy]の[Synchronize Universal to Distribution]オプションを確認します。
- [Check Object Password]が「Not Synchronized」を返す場合、ドライバ設定にIdentity Managerパスワード同期の適切なポリシーが含まれていることを確認します。
- eDirectoryのPassword Policy (パスワードポリシー)と、接続システムにより適用されるPassword Policy (パスワードポリシー)と比較し、互換性があることを確認します。
- [Check Object Password]は、配布パスワードをチェックします。配布パスワードがアップデートされていない場合、[Check Object Password]によって、パスワードが同期化されていることがレポートされないことがあります。
- eDirectoryドライバについては、[Check Password Status]は、ユニバーサルパスワードではなくNDSパスワードをチェックすることに注意してください。つまり、ユーザのPassword Policy (パスワードポリシー)でNDSパスワードをユニバーサルパスワードに同期化するよう指定されていない場合は、必ず、パスワードが同期化されていないとレポートされます。配布パスワードおよび接続システムのパスワードは同期化されないことがありますが、NDSパスワードおよび配布パスワードの両方がユニバーサルパスワードに同期化されない限り、[Check Password Status]は正確とは限りません。
シナリオ4 - トンネリング --- Identity Manager での配布パスワードのアップデートによる、eDirectoryではなく接続システムの同期化
Identity Managerでは、eDirectoryのパスワードはそのままにしながら、接続システム間でパスワードを同期化できます。このマニュアルでは、これを「トンネリング」と呼びます。
この方法では、Identity Managerが配布パスワードを直接アップデートします。この方法は、前のシナリオ3 - Identity Manager での配布パスワードのアップデートによる、eDirectoryおよび接続システムの同期化とほぼ同じです。相違点は、ユニバーサルパスワードおよび配布パスワードは同期化されないことです。これは、Password Policy (パスワードポリシー)を使用しないか、[Synchronize Distribution Password When Setting Universal Password]のオプションを無効にしたPassword Policy (パスワードポリシー)を使用するかのどちらかで行います。
この節では、次の項目について説明します。
シナリオ4の長所と短所
シナリオ4の図
次の図は、Identity Managerを通じてパスワードが送られ、Identity Manager が配布パスワードを直接アップデートするためにNMASと通信することを示します。Identity Managerは配布パスワードを使用し、パスワードを受け入れるよう指定した接続システムに配布します。
このシナリオの重要な点は、Password Policy (パスワードポリシー)で、ユニバーサルパスワードと配布パスワードとの同期化が無効に設定されていることです。配布パスワードとユニバーサルパスワードは同期化されないので、Identity Managerは、eDirectoryのパスワードはそのままにしながら、接続システム間でパスワードを同期化します。
この図では複数の接続システムがIdentity Managerに接続しているように示されていますが、接続システムのドライバごとに設定を作成することに注意してください。
シナリオ4の設定
この種類のパスワード同期を設定する
ユニバーサルパスワードの展開
Password Policy (パスワードポリシー)でユニバーサルパスワードを有効にする必要はありません。ただし、現在の環境で、ユニバーサルパスワードをサポートするeDirectory 8.7.3を使用していることが必要です。Identity Managerパスワード同期およびユニバーサルパスワードを使用するための準備作業を参照してください。
Password Policy (パスワードポリシー)の設定
この方法では、eDirectoryユーザに対するPassword Policy (パスワードポリシー)の設定は必要ありません。
ただし、Password Policy (パスワードポリシー)を使用する場合は、次の作業を実行する必要があります。
-
次のオプションがオフになっていることを確認します。
- Synchronize Distribution Password when Setting Universal Password
eDirectoryのパスワードに影響を与えずにパスワードのトンネリングを実行するには、これが重要です。ユニバーサルパスワードを配布パスワードと同期化しないことによって、接続システムに対してIdentity Managerが使用する場合にのみ、配布パスワードをそのままにできます。Identity Managerは、eDirectoryのパスワードには影響を与えずに接続システム間でパスワードを配布するルートとして機能します。
- Synchronize Distribution Password when Setting Universal Password
-
必要に応じてPassword Policy (パスワードポリシー)のその他の設定を行います。
Password Policy (パスワードポリシー)のその他のパスワードの設定は、任意です。
パスワード同期の設定
シナリオ3 - Identity Manager での配布パスワードのアップデートによる、eDirectoryおよび接続システムの同期化の「パスワード同期の設定」と同じ設定を使用します。
シナリオ4のトラブルシューティング
パスワード同期がトンネリングのための設定になっている場合、配布パスワードは、ユニバーサルパスワードおよびNDSパスワードと異なるものになります。
この節では、次の項目について説明します。
- パスワードを購読する別の接続システムへのログインのトラブルシューティング
- パスワードのエラーについての電子メールが生成されない
- [Check Password Status]を使用した場合のエラー
- DSTraceの便利なコマンド
パスワード同期のトラブルシューティングのヒントも参照してください。
パスワードを購読する別の接続システムへのログインのトラブルシューティング
この節では、接続システムがIdentity Managerにパスワードを発行し、そのパスワードを購読するもう1つの接続システムが発行するシステムからの変更を購読していないように思われる場合の、トラブルシューティングについて説明します。この関係は、第2の接続システムとも呼ばれ、第1の接続システムからIdentity Managerを通じてパスワードを受信することを意味します。
- [DSTrace]の[+DXML]および[+DVRS]の設定をオンにし、DirXMLのルール処理および可能性のあるエラーを確認します。
- ドライバのDirXMLのトレースレベルを3に設定します。
- [Password Synchronization]ページの[DirXML accepts passwords (Publisher Channel)]オプションが選択されていることを確認します。
- [Password Policy]で、[Synchronize Distribution Password when Setting Universal Password]が選択されていることを確認します。
Identity Managerは、配布パスワードを使用し、パスワードを接続システムに同期化します。ユニバーサルパスワードは、この同期化方法の配布パスワードに同期化させる必要があります。
- ドライバフィルタのnspmDistributionPassword属性が正しく設定されていることを確認します。
- <password>要素(追加の場合)または<modify-password>要素が、nspmDistributionPassword属性の追加または変更の操作に変換されていることを確認します。確認するには、[DSTRACE]画面またはファイルのトレースオプションが、最初の項目で説明したとおり、オンになっていることを確かめます。
- DirXML ScriptのPassword Policy (パスワードポリシー)が、ドライバ設定で必要なポリシーで説明されているとおり、ドライバ設定の正しい位置と順序にあることを確認します。
- eDirectoryのPassword Policy (パスワードポリシー)と、接続システムにより適用されるPassword Policy (パスワードポリシー)と比較し、互換性があることを確認します。
パスワードのエラーについての電子メールが生成されない
- [DSTrace]の[+DXML]の設定をオンにし、DirXMLのルール処理を確認します。
- ドライバのDirXMLのトレースレベルを3に設定します。
- 電子メールを生成するルールが選択されていることを確認します。
- eDirectoryオブジェクトを検証し、Internet EMail Address属性に正しい値が含まれていることを確認します。
- [Notification Configuration]で、SMTPサーバと電子メールテンプレートを確認します。電子メール通知の設定を参照してください。
電子メール通知は、他に影響を与えません。電子メール通知は、電子メールをトリガしたXMLドキュメントの処理には影響を与えず、失敗した場合でも、操作自体が再試行されない限り、電子メール通知が再試行されることはありません。
ただし、電子メール通知のデバッグメッセージはトレースファイルに書き込まれます。
[Check Password Status]を使用した場合のエラー
iManagerの[Check Password Status]タスクにより、実行する[Check Object Password]アクションがドライバに与えられます。
- 接続システムがパスワードのチェック機能をサポートすることを確認してください。パスワード同期をサポートする接続システムを参照してください。
接続システムがパスワードチェック機能をサポートするようドライバマニフェストに示されてない場合は、iManagerからこの機能を使用することはできません。
- [Check Object Password]が-603を返す場合、eDirectoryオブジェクトにnspmDistributionPassword属性が含まれていません。DirXML属性フィルタ、および[Password Policy]の[Synchronize Universal to Distribution]オプションを確認します。
- [Check Object Password]が「Not Synchronized」を返す場合、ドライバ設定に適切なDirXMLパスワード同期のポリシーが含まれていることを確認します。
- eDirectoryのPassword Policy (パスワードポリシー)と、接続システムにより適用されるPassword Policy (パスワードポリシー)と比較し、互換性があることを確認します。
- [Check Object Password]は、配布パスワードをチェックします。配布パスワードがアップデートされていない場合、[Check Object Password]によって、パスワードが同期化されていることがレポートされないことがあります。
シナリオ5 - アプリケーションのパスワードの通常パスワードへの同期化
このシナリオは、パスワード同期化機能の特別な使用方法です。Identity ManagerおよびNMASを使用し、接続システムからパスワードを取得し、直接、eDirectoryの通常パスワードに同期化できます。接続システムがハッシュされたパスワードのみを提供する場合、ハッシュを元に戻さずに、通常パスワードに同期化できます。他のアプリケーションは、同じクリアテキスト、あるいはLDAPまたはNovell Clientによりハッシュされたパスワードを使用し、eDirectoryに対して認証できます。NMASコンポーネントは、通常パスワードをログインメソッドとして使用するよう設定されます。
接続システムのパスワードがクリアテキストである場合、そのまま接続システムから eDirectoryの通常パスワードの場所に発行できます。
接続システムがハッシュされたパスワード(MD5、SHA、またはUNIX Cryptがサポートされています)のみを提供する場合、それらのパスワードは、{MD5}のようにハッシュの種類を指定して通常パスワードに発行する必要があります。
同じパスワードで認証する別のアプリケーションについては、ユーザのパスワードを取得しLDAPを使用して通常パスワードに対して認証するよう、アプリケーションをカスタマイズする必要があります。
NMASは、アプリケーションから取得したパスワードの値と、通常パスワードの値を比較します。通常パスワードとして保存されているパスワードがハッシュ値である場合、NMASは、アプリケーションのパスワードの値を使用して正しいタイプのハッシュ値を生成してから比較します。アプリケーションから取得したパスワードと通常パスワードが同一である場合、NMASはユーザを認証します。
このシナリオでは、ユニバーサルパスワードは使用できません。
この節では、次の項目について説明します。
シナリオ5の長所と短所
シナリオ5の設定
Password Policy (パスワードポリシー)の設定
このシナリオでは、ユーザに対するPassword Policy (パスワードポリシー)の設定は必要ありません。ユニバーサルパスワードは使用できません。
パスワード同期の設定
このシナリオでは、DirXMLスクリプトを使用して、SAS:Login Configuration属性を直接変更します。つまり、iManagerの[Password Management]>[Password Synchronization]タスクを使用して設定される、パスワード同期のグローバル設定値(GCV)に効果はありません。
ドライバ設定
-
フィルタの、発行者および加入者の両方のチャネルのSAS:Login Configuration属性について、同期化するよう設定されていることを確認します。
-
ドライバポリシーで、接続システムからのパスワードを発行するよう設定します。
-
ハッシュされたパスワードについては、ドライバポリシーで、(ハッシュのタイプがアプリケーションからまだ提供されていないる場合は)ハッシュのタイプを末尾に付けるよう設定します。
- {MD5}hashed_password
このパスワードはBase 64でエンコードされています。
- {SHA}hashed_password
このパスワードはBase 64でエンコードされています。
- {CRYPT}hashed_password
クリアテキストパスワードおよびUnix Crypt パスワードハッシュは、Base 64でエンコードされていません。
- {MD5}hashed_password
-
パスワードを通常パスワードに設定するには、SAS:Login Configuration属性を変更するようドライバポリシーを設定します。
たとえば、変更操作内でmodify-attr要素を使用して、通常パスワードをMD5でハッシュされたパスワードに変更する方法を次に示します。
<modify-attr attr-name="SAS:Login Configuration>
<add-value>
<value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value>
</add-value>
</modify-attr>クリアテキストパスワードについては、次の例に従います。
<modify-attr attr-name="SAS:Login Configuration>
<add-value>
<value>clearpwd</value>
</add-value>
</modify-attr>追加操作については、add-attr要素に次のどちらかを含めます。
<add-attr attr-name="SAS:Login Configuration>
<value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value>
</add-attr>または、
<add-attr attr-name="SAS:Login Configuration>
<value>clearpwd</value>
</add-attr>