5.3 口令同步的前提条件
进行口令同步需要具备以下要素:
5.3.1 支持通用口令
要在不同已连接系统间使用口令同步,Identity Manager 需要通用口令。参见:
5.3.2 驱动程序清单中声明的口令同步功能
驱动程序清单声明已连接系统是否支持以下口令同步功能:
- 向 Identity Manager 发布用户实际口令
- 从 Identity Manager 接受口令
清单中不区分接受初始口令创建还是接受口令修改。
- 令 Identity Manager 检查已连接系统中的口令,以确定用户的口令同步状态
注:驱动程序清单由创建驱动程序配置的驱动程序开发者或 Identity Manager 专家编写, 而不应由网络管理员编辑。 驱动程序清单显示驱动程序 Shim 和配置的真实功能。 仅更改清单并不会改变功能。 要添加功能,则需要增强驱动程序 Shim、已连接系统或驱动程序配置。
Identity Manager 递送的样本驱动程序配置中包含驱动程序清单项。 要将它们添加到现有驱动程序中,请参见部分 5.7, 升级现有驱动程序配置以支持口令同步。
5.3.3 使用全局配置值控制口令同步
可使用全局配置值设置策略中可参照的常量值。 全局配置值有时称为服务器变量,因为这些值所暂挂的特性存在于每个复本中。
进行口令同步时,可使用全局配置值创建流入和流出 Identity Manager 的口令设置。 由于编写驱动程序配置中的 Identity Manager 口令同步策略时就考虑到根据全局配置值中的设置进行不同的行为,因此无需编辑策略就可以轻松更改口令流。
使用全局配置值可以分别控制每个已连接系统的如下设置。
表 5-6 已连接系统的设置
Identity Manager 是否接受已连接系统的口令 |
该设置适用于已连接系统提供的口令,以及可由发布者通道的驱动程序配置中的 Identity Manager 策略创建的口令。 如果禁用该设置,那么这两种口令都会被去除,使其无法到达 Identity Manager。 |
Identity Manager 使用的同步方法: 直接更新通用口令,或直接更新分发口令 |
Identity Manager 控制项点(Identity Manager 更新的口令)。 NMAS 根据 NMAS 口令策略中的设置,控制每种不同口令之间的口令流动。 要查看 NMAS 口令策略:
- 在 iManager 中,选择“口令”>“口令策略”。
- 在“口令策略列表”中选择一项策略。
- 单击“编辑”。
- 从下拉列表或选项卡中选择一个选项(取决于所使用的 iManager 版本)。
有关使用这些方法的方案,请参见第 5.8 节,“实施口令同步”。 |
是否对从已连接系统进入 Identity Manager 的口令实施 NMAS 口令策略 |
如果实施这些策略,将不会把进来的不符合策略的口令写入 Identity Manager 数据储存器。 |
Identity Manager 是否通过重设置不符合策略规则的口令,使用 Identity Manager 口令在已连接系统上实施 NMAS 口令策略。 |
如果已连接系统不支持该选项(已在驱动程序清单中声明),则 NMAS 界面中该选项灰显。 发布者通道上的口令操作失败时,才需重设置口令。 |
已连接系统是否接受口令 |
由 Identity Manager 分发的口令,以及通过订购者通道的驱动程序配置中的 Identity Manager 策略创建的口令,均可应用该设置。 如果禁用该设置,那么这两种口令都会被去除,使其无法到达已连接系统。
如果已连接系统不支持该选项(已在驱动程序清单中声明),则界面中该选项灰显。 |
口令不同步时,是否通过电子邮件通知用户 |
自动给受影响的用户发送电子邮件。 |
Identity Manager 递送的驱动程序配置中包含驱动程序清单项。 要将它们添加到现有驱动程序中,请参见部分 5.7, 升级现有驱动程序配置以支持口令同步。
要编辑全局配置值:
-
在 iManager 中,选择“口令”>“口令同步”。
-
搜索驱动程序。
指定已连接系统驱动程序的搜索位置之后,iManager 将显示找到的所有已连接系统驱动程序的口令流设置概述。
-
要查看设置,请单击驱动程序名称。
“修改驱动程序”页显示口令同步的全局配置值。
如果此页中的某个选项灰显,驱动程序清单中会显示已连接系统不支持该选项。
-
进行更改,然后单击“确定”。
注:可以对每个驱动程序分别设置全局配置值。 驱动程序的全局配置值会覆盖驱动程序集的全局配置值。 对特定的驱动程序设置此值有助于进行更细微的控制。 该页仅显示单个驱动程序上出现的全局配置值。
如果对驱动程序集对象设置全局配置值,而驱动程序集中的某个驱动程序自身没有值,则该驱动程序将继承这些值。 如果驱动程序自身没有设置,而是从驱动程序集继承了全局配置值,则 iManager 不会显示这些值。 尽管 iManager 不会显示继承的全局配置值,口令同步策略仍将采用这些值。
5.3.4 驱动程序配置中所需的策略
每个驱动程序的发布者通道和订购者通道上的 Identity Manager 策略,都会根据上文中所述的全局配置变量中的设置来管理口令流。这些策略包含在 Identity Manager 的驱动程序配置中。
如果要升级现有驱动程序配置,而不是进行替换,则必须向此配置添加某些策略。(请参见部分 5.7, 升级现有驱动程序配置以支持口令同步。) 要使口令同步正常工作,这些策略必须位于驱动程序配置中的正确位置。
发布者命令转换集中所需的策略
“口令同步策略名称”列所列出的策略必须按列出的顺序出现。 同样,它们也必须是发布者命令转换集中最后的策略。
表 5-7 发布者命令转换集中所需的策略
发布者命令转换
|
口令(发布)- 默认口令策略 |
如果“添加”对象中不包含任何口令,则将默认口令添加到“添加”对象中。
只能修改或去除该策略以及 Password(Sub)-Default Password Policy。 要使口令同步功能正常工作,不应更改其它策略。 |
口令(发布)- 检查口令 GCV |
检查 GCV 以确定是否指定了 Identity Manager 从该已连接系统接受口令。 如果未指定,将去除所有口令要素。
GCV 的名称为 enable-password-publish,显示名称为 。 |
口令(发布)- 发布分发口令 |
将 <password> 要素转换为某种形式,允许它更新通用口令。
该策略参照以下 GCV:
- publish-password-to-dp
- enforce-password-policy
|
口令(发布)- 发布 NDS 口令 |
如果指定应更新 NDS 口令,将允许 <password> 要素通过检查。 如果未指定,将去除 <password> 要素。
该策略将参照名为 publish-password-to-nds 的 GCV。 |
口令(发布)- 添加口令有效负载 |
放入引擎中传送的有效负载数据,用于电子邮件通知。 |
|
口令(订购)- 添加口令有效负载 |
放入引擎中传送的有效负载数据,用于电子邮件通知。 |
发布者输入转换策略集中所需的策略
如果输入转换中有多项策略,建议将口令(发布)- 订购电子邮件通知策略列在最后。
表 5-8 发布者输入转换策略集中所需的策略
发布者输入转换
|
口令(发布)- 订购电子邮件通知 |
如果出现口令有效载荷信息,且状态显示出现问题,将向用户发送电子邮件。 它将邮件发送至用户的电子邮件地址,eDirectory 的 Internet EMail Address(因特网电子邮件地址)特性中指明了该地址。
该策略将参照名为 notify-user-on-password-dist-failure 的 GCV,以确定是否发送通知电子邮件。 |
订购者命令转换策略集中所需的策略
“口令同步策略名称”列所列出的策略必须按列出的顺序出现。 同样,它们也必须是订购者命令转换集中最后的策略。
表 5-9 订购者命令转换策略集中所需的策略
订购者命令转换
|
口令(订购)- 转换分发口令 |
将通用口令转换为 <password> 要素。 |
口令(订购)- 默认口令策略 |
如果“添加”对象中不包含任何口令,则将默认口令添加到“添加”对象中。
只能修改或去除该策略以及 Password(Pub)-Default Password Policy。 要使口令同步功能正常工作,不应更改其它策略。 |
口令(订购)- 检查口令 GCV |
检查 GCV 以确定是否指定了已连接系统接受口令。 如果未指定,将去除所有口令要素。
GCV 的名称为 enable-password-subscribe,显示名称为 。 |
口令(订购)- 添加口令有效负载 |
放入引擎中传送的有效负载数据,以用于电子邮件通知。 |
订购者输出转换策略集中所需的策略
如果输出转换中有多项策略,建议将口令(订购)- 发布电子邮件通知策略列在最后。
表 5-10 订购者输出转换策略集中所需的策略
订购者输出转换
|
口令(订购)- 发布电子邮件通知 |
如果出现口令有效载荷信息,且状态显示出现问题,将向用户发送电子邮件。
该策略将参照名为 notify-user-on-password-dist-failure 的 GCV,以确定是否发送通知电子邮件。 |
5.3.5 安装在已连接系统中,用于截获口令的过滤器
对于 AD、NT 域和 NIS,必须安装过滤器以截获用户口令。
请参见部分 5.9, 设置口令过滤器。
5.3.6 为用户创建的 NMAS 口令策略
尽管没有通用口令也可以使用口令同步的某些功能,但要为用户启用通用口令,则必须使用 NMAS 口令策略。 还可使用此口令策略指定高级口令规则,并指定是否检查用户现有的口令是否遵从规则。
要使用 Identity Manager 口令同步,必须了解口令策略。 口令策略在《口令管理管理员指南》的“使用口令策略管理口令”中有说明。