5.8 实施口令同步

Identity Manager 中提供的口令同步功能允许实施多种不同的方案。 本节概述了一些基本方案,以帮助您了解 Identity Manager 口令同步和 NMAS 口令策略中的设置是如何影响口令同步的。 可以使用其中的一个或多个方案,以满足环境的要求。

5.8.1 Identity Manager 与 NMAS 的关系概述

实用程序和 NMAS

实用程序(如 iManager 和 Novell Client)与 NMAS 进行通讯,而不是直接更新特定的口令。 NMAS 是决定要更新的口令的实体。

NMAS 根据 NMAS 口令策略中的设置在 Identity Vault 中同步口令。

未启用通用口令的旧式实用程序直接更新 NDS 口令,而不是与 NMAS 进行通讯来让 NMAS 决定更新哪些口令。 请注意用户和服务台管理员是如何在环境中使用旧式实用程序的。 由于旧式实用程序不通过 NMAS 而直接更新 NDS 口令,因此,如果使用通用口令和 NMAS 2.3,则会出现口令偏移(通用口令和 NDS 口令不同步)。

例如,要保证支持通用口令,请确保将用户升级为 Novell Client,并且服务台用户仅在最新的 Novell Client 或 NetWare 发行版上使用 ConsoleOne。

图 5-5 使用 NMAS 同步口令

除旧式实用程序直接更新 NDS 口令外,其它实用程序通过 NMAS 更新口令

Identity Manager 和 NMAS

Identity Manager 控制“项点”(直接更新通用口令或分发口令)。 NMAS 控制 Identity Vault 内部的同步口令流。

方案 1 中,Identity Manager Driver for eDirectory 可用于直接更新 NDS 口令。 此方案与 DirXML 1.x 中提供的方案基本相同。

方案 2方案 3方案 4 中,Identity Manager 用于更新通用口令或分发口令。 Identity Manager 通过 NMAS 更改口令。 这允许 NMAS 根据 NMAS 口令策略设置更新其它 Identity Vault 口令,还允许 NMAS 对与已连接系统进行同步的口令实施 NMAS 口令策略中的高级口令规则。 在这些方案中,Identity Manager 分发给已连接系统的口令始终是分发口令。

方案 2、方案 3 和方案 4 的不同之处在于,它们对每个已连接系统驱动程序使用不同的 NMAS 口令策略设置和 Identity Manager 口令同步设置组合。

5.8.2 方案 1: 使用 NDS 口令在两个 Identity Vault 间进行同步

同 Password Synchronization 1.0 一样,可以通过使用 eDirectory 驱动程序在两个 Identity Vault 间同步 NDS 口令。 此方案不需要实施通用口令,可用于 eDirectory 8.6.2 或更高版本。 此类型口令同步的另一名称是同步公共/私用密钥对。

此方法仅适用于在 Identity Vault 之间同步口令。 它不使用 NMAS,因此无法用于同步已连接应用程序的口令。

方案 1 的优点和缺点

表 5-11 优点: 使用 NDS 口令实施 eDirectory 到 eDirectory 口令同步

优点

缺点

配置简单。 只需在驱动程序过滤器中包含正确的特性。

如果要分阶段部署 Identity Manager 3 和 eDirectory 8.7.3,则此方法可帮助您循序部署。

  • 无需向驱动程序配置中添加新口令同步策略。
  • 无需在 Identity Vault 中实施通用口令。
  • 可用于运行 eDirectory 8.6.2 或更高版本的已连接 Identity Vault。
  • 无需使用 NMAS 2.3。

实施可为 NDS 口令设置的基本口令限制。

此方法可在 Identity Vault 之间同步口令。 但不能同步其它已连接系统的口令。

不更新通用口令或分发口令。

由于此方法不使用 NMAS,因此无法验证来自另一 Identity Vault 的口令是否违反了口令策略中的高级口令规则。

由于此方法不使用 NMAS,因此如果口令与 NMAS 口令策略不符,则无法重设置已连接 Identity Vault 中的口令。

口令同步失败时,不提供电子邮件通知。

不支持在 iManager 任务中的检查口令状态操作 (此功能需要使用分发口令)。

下图表明,与 DirXML 1.x 一样,Identity Manager Driver for eDirectory 也可用于同步两个 Identity Vault 间的 NDS 口令。 此方案不通过 NMAS 操作。

图 5-6 使用 NDS 口令在两个 Identity Vault 间进行同步

方案 1

设置方案 1

若要设置此类型的口令同步,需配置驱动程序。

通用口令部署

非必需。

口令策略配置

无。

口令同步设置

无。 驱动程序“口令同步”页中的设置对此 NDS 口令同步方法没有影响。

驱动程序配置

去除部分 5.3.4, 驱动程序配置中所需的策略中列出的口令同步策略。 这些策略旨在支持通用口令和分发口令。 同步 NDS 口令时,将使用公共密钥和私用密钥特性,而不使用这些策略。

请确保,对于应同步口令的所有对象类,两个 Identity Vault 驱动程序的驱动程序过滤器正在同步其公共密钥和私用密钥特性。 下图是一个示例。

图 5-7 同步私用密钥和公共密钥特性

过滤器中设置为“同步”的“私用密钥”和“公共密钥”

对方案 1 查错

  • 启用 DSTrace 选项。
  • 检查驱动程序过滤器,确保公共密钥和私用密钥特性已同步,未被忽略。
  • 另请参见部分 5.13, 查错口令同步中的提示。

5.8.3 方案 2: 使用通用口令同步

使用 Identity Manager,可将已连接系统的口令与 Identity Vault 中的通用口令同步。

更新通用口令时,也会根据 NMAS 口令策略中的设置更新 NDS 口令、分发口令或简单口令。

任何已连接系统都可以向 Identity Manager 发布口令,但并非所有已连接系统都可以提供用户的实际口令。 例如,Active Directory 可以向 Identity Manager 发布用户的实际口令。 虽然 PeopleSoft 不从 PeopleSoft 系统自身提供口令,但它可以提供驱动程序配置策略中创建的初始口令,如基于用户的员工 ID 或姓的口令。 并非所有驱动程序都可以订购 Identity Manager 中的口令更改。请参见部分 5.2, 已连接系统支持口令同步

方案 2 的优点和缺点

表 5-12 优点: 使用通用口令同步

优点

缺点

允许在 Identity Vault 和已连接系统间同步口令。

允许验证口令是否违反了 NMAS 口令策略。

允许在口令操作失败(例如,来自已连接系统的口令与“口令”不符)时发送电子邮件通知。

如果要同步通用口令和分发口令,并且已连接系统支持口令检查,则此方案支持在 iManager 中执行检查口令状态任务。

如果已启用口令策略中的高级口令规则,则 NMAS 将实施这些规则。 如果来自已连接系统的口令不符合这些规则,则会生成错误并发送电子邮件通知(前提是已指定此选项)。

如果不希望实施口令策略,则可以取消选择 NMAS 口令策略中的“启用高级口令规则”。

从设计上讲,此方案不支持重设置已连接系统中的口令,原因是根据口令策略中的设置,分发口令和通用口令可能并不相同。

此方案的流程图如下:

  1. 口令经 Identity Manager 进入。
  2. Identity Manager 通过 NMAS 直接更新通用口令。
  3. NMAS 根据 NMAS 口令策略设置,使用分发口令和其它口令同步通用口令。
  4. Identity Manager 检索分发口令以向设置为接受口令的已连接系统分发口令。

在此图中,虽然多个已连接系统显示为同时与 Identity Manager 相连,但请记住,应单独为每个已连接系统的驱动程序创建设置。

图 5-8 使用通用口令同步口令

方案 2

设置方案 2

设置此类型的口令同步:

通用口令部署

请确保环境已就绪,可使用通用口令。请参见部分 5.4, 准备使用 Identity Manager 口令同步和通用口令

口令策略配置

请确保已向要进行此种口令同步的 Identity Vault 部分指派了 NMAS 口令策略。

  1. 在 iManager 中,选择“口令”>“口令策略”。

  2. 选择一个策略,然后单击“编辑”。

  3. 浏览并选择您希望发生口令同步的对象。

    可以将策略指派给整个树结构(方法是浏览并选择“安全性”树枝中的“登录策略”对象)、分区根树枝、树枝或特定用户。 为简化管理,建议在树中尽可能高的位置指派口令策略。

  4. 在口令策略中,确保已选中以下选项:

    方案 2 的口令策略设置
    • 启用通用口令
    • 设置通用口令时,同步 NDS 口令
    • 在设置通用口令时同步分发口令

      由于 Identity Manager 检索分发口令以向已连接系统分发口令,因此必须选中此选项,才能允许口令双向同步。

  5. 根据需要完成口令策略。

    如果已启用口令策略中的高级口令规则,则 NMAS 将实施这些规则。 如果不希望实施口令策略规则,请取消选择“启用高级口令规则”。

    如果使用高级口令规则,请确保它们不与任何要订购口令的已连接系统中的口令策略冲突。

口令同步设置

  1. 在 iManager 中,选择“口令”>“口令同步”。

  2. 搜索已连接系统的驱动程序,然后选择驱动程序。

  3. 为已连接系统的驱动程序创建设置。

    请确保已选中以下选项:

    • Identity Manager 接受口令(发布者通道)

      如果驱动程序清单不包含“口令发布”功能,则页面中将显示一条讯息。 这是在通知用户:无法从应用程序检索口令,并且仅能通过使用策略在驱动程序配置中创建口令来发布口令。

    • 应用程序接受口令(订购者通道)

      如果已连接系统不支持接受口令,则此选项将被禁用。

    如果已连接系统支持口令双向同步,则这些设置将允许执行口令双向同步。

    可以调整设置,使之与口令的权威来源的业务策略相匹配。 例如,如果已连接系统订购口令但不发布口令,则应只选择“应用程序接受口令(订购者通道)”。

  4. 请确保未选中“为口令同步使用分发口令”:

    在此方案中,Identity Manager 直接更新通用口令。 分发口令仍用于向已连接系统分发口令,但将由 NMAS 而不是 Identity Manager 从通用口令更新分发口令。

  5. (可选)根据需要选择以下选项:

    • 通过电子邮件将口令同步失败通知给用户

      请记住,电子邮件通知需要填充 eDirectory 用户对象的因特网电子邮件地址特性。

      电子邮件通知是非侵害性的。 它们并不影响触发电子邮件的 XML 文档的处理。 如果电子邮件通知失败,则除非重试操作本身,否则不会重试发送通知。 但是,电子邮件通知的调试讯息会写入跟踪文件。

驱动程序配置

  1. 对于要加入口令同步的每个驱动程序,请确保其驱动程序配置中包括了所需的 Identity Manager 底稿口令同步策略。

    这些策略在驱动程序配置中的位置和顺序必须正确。 有关策略列表,请参见部分 5.3.4, 驱动程序配置中所需的策略

    Identity Manager 样本配置已包含这些策略。 如果要升级现有的驱动程序,则可以按照部分 5.7, 升级现有驱动程序配置以支持口令同步中的指导来添加策略。

  2. 正确设置 nspmDistributionPassword 特性的过滤器:

    • 在发布者通道中,对于所有对象类的 nspmDistributionPassword 特性,将驱动程序过滤器设置为“忽略”。
    • 在订购者通道中,对于要订购口令更改的所有对象类的 nspmDistributionPassword 特性,将驱动程序过滤器设置为“通知”。
    nspmDistributionPassword 的过滤器设置

  3. 对于 nspmDistributionPassword 特性设置为“通知”的所有对象,请将其公共密钥和私用密钥特性设置为“忽略”。

    在过滤器中将“私用密钥”和“公共密钥”设置为“忽略”

  4. 为保证口令安全性,请确保您可以控制谁具有 Identity Manager 对象的权限。

对方案 2 查错

另请参见部分 5.13, 查错口令同步中的提示。

方案 2 的流程图

以下流程图阐释 NMAS 如何处理它从 Identity Manager 接收到的口令。 在此方案中,此口令与通用口令同步。 NMAS 根据以下设置来决定如何处理此口令:

  • NMAS 口令策略中是否已启用通用口令。
  • 是否已启用进来的口令必须符合的高级口令规则。
  • 用于同步通用口令与其它口令的口令策略中还有哪些其它设置。

图 5-9 NMAS 如何处理它从 Identity Manager 接收到的口令

方案 2 的流程图
登录到 Identity Vault 时出现问题
  • 启用 DSTrace 中的 +AUTH+DXML+DVRS 设置。

    图 5-10 DSTrace 命令

  • 校验是否正在向 Identity Manager 传递 <password> 或 <modify-password> 要素。 若要校验是否正在传递它们,请观察已启用这些选项的跟踪屏幕。
  • 根据口令策略的规则校验口令是否有效。
  • 检查 NMAS 口令策略配置和指派。 尝试将策略直接指派给某一用户,以确保使用了正确的策略。
  • 在驱动程序的“口令同步”页中,请确保已选中“DirXML 接受口令”。
  • 在口令策略中,请确保已选中“在设置通用口令时同步分发口令”。
登录到另一个用于订购口令的已连接系统时出现问题

本节旨在对案例查错,在这些案例中,该已连接系统正在向 Identity Manager 发布口令,但要订购口令的另一已连接系统似乎没有接收到该系统的更改。 这一关系又称为次已连接系统,意思是它通过 Identity Manager 接收来自第一个已连接系统的口令。

  • 启用 DSTrace 中的 +DXML+DVRS 设置以查看 Identity Manager 规则处理
  • 将驱动程序的 Identity Manager 跟踪级别设置为 3
  • 请确保已选中口令同步的“Identity Manager 接受口令”选项。
  • 检查驱动程序过滤器,确保已按步骤 2中所述正确设置了 nspmDistributionPassword 特性。
  • 校验用于添加操作的 <口令> 或 <modify-password> 要素是否正发送至已连接系统。 若要进行校验,请观察已启用跟踪选项(如第一批项目中所述)的 DSTrace 屏幕或文件。
  • 校验驱动程序配置中包括的 Identity Manager 底稿口令策略是否处于正确的位置和顺序,详情请见部分 5.3.4, 驱动程序配置中所需的策略
  • 将 Identity Vault 中的 NMAS 口令策略与已连接系统实施的任何口令策略进行比较,确保它们相互兼容。
口令失败时不生成电子邮件
  • 启用 DSTrace 中的 +DXML 设置,以查看 Identity Manager 规则处理。
  • 将驱动程序的 Identity Manager 跟踪级别设置为 3
  • 校验是否已选择生成电子邮件的规则。
  • 校验 Identity Vault 对象在因特网电子邮件地址特性中是否包含正确的用户电子邮件地址。
  • 在通知配置任务中,请确保已正确配置 SMTP 服务器和电子邮件模板。请参见部分 5.12, 配置电子邮件通知
使用检查对象口令时出现错误

iManager 中的检查口令状态任务会引起驱动程序执行检查对象口令的操作。 如果出现问题,请审阅以下内容:

  • 如果“检查对象口令”返回 -603,则说明 Identity Vault 对象不包含 nspmDistributionPassword 特性。 检查驱动程序过滤器的 nspmDistributionPassword 特性的设置是否正确。 另外,请确保已选中“在设置通用口令时同步分发口令”口令策略。
  • 如果“检查对象口令”返回 Not Synchronized,请校验驱动程序配置是否包含适当的口令同步策略。
  • 将 Identity Vault 中的 NMAS 口令策略与已连接系统实施的任何口令策略进行比较,确保它们相互兼容。
  • 从分发口令执行检查对象口令操作。 如果分发口令未进行更新,则“检查对象口令”可能不会报告口令已同步。
  • 请记住,仅对于 Identity Manager 驱动程序,“检查口令状态”才会检查 NDS 口令,而不是检查分发口令。
有用的 DSTrace 命令

+DXML: 用于查看 Identity Manager 规则处理和潜在的错误讯息

+DVRS: 用于查看 Identity Manager 驱动程序讯息

+AUTH: 用于查看 NDS 口令修改

5.8.4 方案 3: 通过 Identity Manager 更新分发口令同步 Identity Vault 和已连接系统

在此方案中,Identity Manager 直接更新分发口令,并且允许 NMAS 决定如何同步其它 Identity Vault 口令。

任何已连接系统都可以向 Identity Manager 发布口令,但并非所有已连接系统都可以提供用户的实际口令。 例如,Active Directory 可以向 Identity Manager 发布用户的实际口令。 虽然 PeopleSoft 不从 PeopleSoft 系统自身提供口令,但它可以提供驱动程序配置策略中创建的初始口令,如基于用户的员工 ID 或姓的口令。 并非所有驱动程序都可以订购 Identity Manager 中的口令更改。请参见部分 5.2, 已连接系统支持口令同步

方案 3 的优点和缺点

表 5-13 优点: 通过更新分发口令同步 Identity Vault 和已连接系统

优点

缺点

允许在 Identity Vault 和已连接系统间同步口令。

允许选择是否对来自已连接系统的口令实施口令策略。

可以指定在口令同步失败时发送通知。

如果要实施口令策略,但口令不符合策略规则,则可以选择将已连接系统的口令重设置为分发口令。

 

此方案的流程图如下:

  1. 口令经 Identity Manager 进入。
  2. Identity Manager 通过 NMAS 直接更新分发口令
  3. Identity Manager 还使用分发口令向已指定为接受口令的已连接系统分发
  4. NMAS 根据口令策略设置,使用分发口令和其它口令同步通用口令。

在此图中,虽然多个已连接系统显示为同时与 Identity Manager 相连,但请记住,应单独为每个已连接系统的驱动程序创建设置。

图 5-11 通过更新分发口令同步 Identity Vault 和已连接系统

方案 3

设置方案 3

设置此类型的口令同步:

通用口令部署

请确保环境已就绪,可使用通用口令。请参见部分 5.4, 准备使用 Identity Manager 口令同步和通用口令

口令策略配置

  1. 在 iManager 中,选择“口令”>“口令策略”。

  2. 请确保已向要进行此种口令同步的 Identity Vault 树部分指派了口令策略。 该策略可以指派给整个树结构、分区根树枝、树枝或特定的用户。 为简化管理,建议在树中尽可能高的位置指派口令策略。

  3. 在口令策略中,请确保已选中以下选项:

    方案 3 的口令策略设置
    • 启用通用口令
    • 设置通用口令时,同步 NDS 口令
    • 在设置通用口令时同步分发口令

      由于 Identity Manager 检索分发口令以向已连接系统分发口令,因此必须选中此选项,才能允许口令双向同步。

  4. 如果使用高级口令规则,请确保它们不与要订购口令的任何已连接系统上的口令策略冲突。

口令同步设置

  1. 在 iManager 中,选择“口令”>“口令同步”。

  2. 搜索已连接系统的驱动程序,然后选择驱动程序。

  3. 为已连接系统的驱动程序创建设置。

    请确保已选中以下选项:

    • Identity Manager 接受口令(发布者通道)
    • 为口令同步使用分发口令

      如果驱动程序清单不包含“口令发布”功能,则页面中将显示一条讯息。 这是在通知用户无法从应用程序检索口令,并且只能通过使用策略在驱动程序配置中创建口令来发布口令。

    • 应用程序接受口令(订购者通道)

    如果已连接系统支持口令双向同步,则这些设置将允许执行口令双向同步。

    可以调整设置,使之与口令的权威来源的业务策略相匹配。 例如,如果已连接系统订购口令但不发布口令,则应只选择“应用程序接受口令(订购者通道)”。

  4. 使用“为口令同步使用分发口令”下的选项,指定是要实施还是要忽略 NMAS 口令策略。

  5. (条件)如果已指定要实施的口令策略,则还应指定当已连接系统口令不符合这些策略时,是否希望 Identity Manager 重设置该口令。

  6. (可选)根据需要选择以下选项:

    • 通过电子邮件将口令同步失败通知给用户

      请记住,电子邮件通知需要填充 eDirectory 用户对象的因特网电子邮件地址特性。

      电子邮件通知是非侵害性的。 它们并不影响触发电子邮件的 XML 文档的处理。 如果电子邮件通知失败,则除非重试操作本身,否则不会重试发送通知。 但是,电子邮件通知的调试讯息会写入跟踪文件。

驱动程序配置

  1. 对于要加入口令同步的每个驱动程序,请确保其驱动程序配置中包括了所需的 Identity Manager 底稿口令同步策略。

    这些策略在驱动程序配置中的位置和顺序必须正确。 有关策略列表,请参见部分 5.3.4, 驱动程序配置中所需的策略

    Identity Manager 样本配置已包含这些策略。 如果要升级现有的驱动程序,则可以按照部分 5.7, 升级现有驱动程序配置以支持口令同步中的指导来添加策略。

  2. 正确设置 nspmDistributionPassword 特性的过滤器:

    • 在发布者通道中,对于所有对象类的 nspmDistributionPassword 特性,将驱动程序过滤器设置为“忽略”。
    • 在订购者通道中,对于要订购口令更改的所有对象类的 nspmDistributionPassword 特性,将驱动程序过滤器设置为“通知”。
    nspmDistributionPassword 的过滤器设置

  3. 对于 nspmDistributionPassword 特性设置为“通知”的所有对象,请将驱动程序过滤器中的公共密钥和私用密钥特性设置为“忽略”。

    在过滤器中将“私用密钥”和“公共密钥”设置为“忽略”

  4. 为保证口令安全性,请确保您可以控制谁具有 Identity Manager 对象的权限。

对方案 3 查错

另请参见部分 5.13, 查错口令同步中的提示。

方案 3 的流程图

以下流程图阐释 NMAS 如何处理它从 Identity Manager 接收到的口令。 在此方案中,此口令将与分发口令同步,并由 NMAS 决定以下内容:

  • 如何处理口令,这将基于您是否已指定根据口令策略规则来验证进来的口令(如果已启用通用口令和高级口令规则)。
  • 用于同步通用口令与其它口令的口令策略中还有哪些其它设置。

图 5-12 将 Identity Manager 中的口令与分发口令同步

有关方案 3 中 NMAS 如何将口令与分发口令同步的流程图
登录到 eDirectory 中时发生问题
  • 启用 DSTrace 中的 +AUTH+DXML+DVRS 设置

    图 5-13 DSTrace 命令

  • 校验是否正在向 Identity Manager 传递 <password> 或 <modify-password> 要素。 为此,请使用上述第一项设置启用跟踪选项,然后观察 DSTrace 屏幕或文件。
  • 根据 NMAS 口令策略规则校验口令是否有效。
  • 检查 NMAS 口令策略配置和指派。 尝试将策略直接指派给用户,以确保使用了正确的策略。
  • 在驱动程序的“口令同步”页上,请确保已选中“Identity Manager 接受口令(发布者通道)”。
  • 在 NMAS 口令策略中,请确保已选中“在设置通用口令时同步分发口令”。
  • 在 NMAS 口令策略中,请确保已选中“设置通用口令时同步 NDS 口令”(如果需要)。
  • 如果用户通过 Novell Client 或 ConsoleOne 登录,请检查其版本。 如果通用口令未与 NDS 口令同步,则遗留的 Novell Client 和 ConsoleOne 可能无法登录到 Identity Vault 中。

    兼容通用口令的 Novell Client 和 ConsoleOne 的版本可用。 请参见《NMAS 3.0 管理指南》

  • 某些遗留的实用程序使用 NDS 口令进行鉴定,如果通用口令未与 NDS 口令同步,则它们也无法登录到 Identity Vault 中。 如果您不希望对大多数用户使用 NDS 口令,但有些管理员和服务台用户需要用遗留实用程序进行鉴定,请尝试为服务台用户使用不同的口令策略,以便为他们指定不同的通用口令同步选项。
登录到订购口令的其它已连接系统时出现问题

本节旨在对以下情况进行查错:该已连接系统正在向 Identity Manager 发布口令,但要订购口令的另一已连接系统似乎没有接收该系统的更改。 这一关系又称为次已连接系统,意思是它通过 Identity Manager 接收来自第一个已连接系统的口令。

  • 启用 DSTrace 中的 +DXML+DVRS 设置以查看 Identity Manager 规则处理和潜在错误
  • 将驱动程序的 Identity Manager 跟踪级别设置为 3
  • 请确保已选中“口令同步”页上的“Identity Manager 接受口令(发布者通道)”选项。
  • 在口令策略中,请确保未选中“在设置通用口令时同步分发口令”。

    Identity Manager 使用分发口令同步已连接系统的口令。 使用此同步方法时,通用口令必须与分发口令同步。

  • 检查驱动程序过滤器的 nspmDistributionPassword 特性。
  • 校验添加或 <modify-password> 要素的 <password> 要素是否已转换为 nspmDistributionPassword 的添加或修改特性操作。 为此,请使用上述第一项设置启用相应选项,然后观察 DSTrace 屏幕或文件。
  • 校验驱动程序配置中包括的 Identity Manager 底稿口令策略是否处于正确的位置和顺序,详情请见部分 5.3.4, 驱动程序配置中所需的策略
  • 将 Identity Vault 中的口令策略与已连接系统实施的任何口令策略进行比较,确保它们相互兼容。
口令失败时不生成电子邮件
  • 启用 DSTrace 中的 +DXML 设置以查看 Identity Manager 规则处理
  • 将驱动程序的 Identity Manager 跟踪级别设置为 3
  • 校验是否已选择生成电子邮件的规则。
  • 校验 Identity Vault 对象的因特网电子邮件地址特性中是否包含正确的值。
  • 在通知配置任务中,请确保已配置 SMTP 服务器和电子邮件模板。请参见部分 5.12, 配置电子邮件通知

电子邮件通知是非侵害性的。 它们并不影响触发电子邮件的 XML 文档的处理。 如果电子邮件通知失败,则除非重试操作本身,否则不会重试发送通知。 电子邮件通知的调试讯息将写入跟踪文件。

使用“检查口令状态”时出错

iManager 中的检查口令状态任务可导致驱动程序执行检查对象口令的操作。

  • 请确保已连接系统支持口令检查。请参见部分 5.2, 已连接系统支持口令同步

    如果驱动程序清单未指示已连接系统是否支持口令检查功能,则无法通过 iManager 执行此操作。

  • 如果“检查对象口令”返回 -603,则说明 Identity Vault 对象不包含 nspmDistributionPassword 特性。 检查驱动程序过滤器以及口令策略中的 Synchronize Universal to Distribution(将通用与分发同步)选项。
  • 如果检查对象口令操作返回 Not Synchronized,请校验驱动程序配置是否包含适当的 Identity Manager 口令同步策略。
  • 将 Identity Vault 中的口令策略与已连接系统实施的任何口令策略进行比较,确保它们相互兼容。
  • “检查对象口令”检查分发口令。 如果未更新分发口令,则“检查对象口令”可能会不报告口令已同步
  • 请记住,对于 Identity Vault,“检查口令状态”检查的是 NDS 口令而不是通用口令。 这意味着,如果用户的口令策略未指定将 NDS 口令与通用口令同步,则始终报告未同步口令。 而实际上,分发口令和已连接系统上的口令可能是同步的,但如果 NDS 口令和分发口令与通用口令不同步,则“检查口令状态”将不会报告准确的结果。
有用的 DSTrace 命令

+DXML: 用于查看 Identity Manager 规则处理情况和潜在的错误讯息。

+DVRS: 用于查看 Identity Manager 驱动程序讯息

+AUTH::用于查看 NDS 口令修改

5.8.5 方案 4: 隧道通讯进程同步已连接系统而不是 Identity Vault,同时由 Identity Manager 更新分发口令

Identity Manager 允许您同步已连接系统间的口令,同时将 Identity Vault 口令保持独立。 这称为“隧道通讯进程”。

在此方案中,Identity Manager 直接更新分发口令。 此方案几乎与部分 5.8.4, 方案 3: 通过 Identity Manager 更新分发口令同步 Identity Vault 和已连接系统描述的内容相同。 差别是您需要确保不同步通用口令与分发口令。 若要实现此目的,可以不使用 NMAS 口令策略,或在使用这些口令策略的同时禁用“在设置通用口令时同步分发口令”选项。

方案 4 的优点和缺点

表 5-14 隧道通讯进程的优点

优点

缺点

允许同步已连接系统间的口令,同时将 Identity Vault 口令保持独立。

无需使用口令策略。

如果要使用口令策略,则无需对该策略启用通用口令。 但是,环境必须支持通用口令。

支持 iManager 中的“检查口令状态”任务,条件是已连接系统也支持该任务。

可以指定在口令同步失败时发送通知。

可以重设置不符合口令策略的已连接系统口令。

如果启用了通用口令和高级口令规则,则可以实施口令策略(如果指定),并且可以重设置已连接系统上的口令。

如果未启用通用口令和高级口令规则,则将不实施口令策略,并且无法重设置已连接系统上的口令。

此方案的流程图如下:

  1. 口令经 Identity Manager 进入。
  2. Identity Manager 通过 NMAS 直接更新分发口令。
  3. Identity Manager 还使用分发口令向已指定为接受口令的已连接系统分发口令。

此方案的关键在于,在 NMAS 口令策略中应禁用“将通用口令与分发口令同步”。 由于分发口令不与通用口令同步,因而 Identity Manager 可同步已连接系统间的口令而不影响 Identity Vault 中的口令。

在此图中,虽然多个已连接系统显示为同时与 Identity Manager 相连,但请记住,应单独为每个已连接系统的驱动程序创建设置。

图 5-14 Identity Manager 更新分发口令时的隧道通讯进程

方案 4

设置方案 4

若要设置此类口令同步,请配置以下内容:

通用口令部署

虽然您不必启用通用口令的口令策略,但环境仍必须使用支持通用口令的 eDirectory 8.7.3。请参见部分 5.4, 准备使用 Identity Manager 口令同步和通用口令

口令策略配置

此方法中,Identity Vault 用户不需要口令策略。

但是,如果使用口令策略,则必须执行以下操作:

  1. 请确保未选中以下选项:

    • 在设置通用口令时同步分发口令

      这是通过隧道通讯口令而不影响 Identity Vault 口令的关键。 通过不同步通用口令和分发口令,可将分发口令保持独立,使其仅供已连接系统的 Identity Manager 使用。 Identity Manager 充当一种管道,它在其它已连接系统间分发口令,而不影响 Identity Vault 口令。

    方案 4 的口令策略设置

  2. 根据需要完成其它口令策略设置。

    口令策略中的其它口令设置可选。

对方案 4 查错

如果设置隧道通讯进程口令同步,则分发口令将不同于通用口令和 NDS 口令。

另请参见部分 5.13, 查错口令同步中的提示。

登录到订购口令的其它已连接系统时出现问题

本节旨在对以下情况进行查错:该已连接系统正在向 Identity Manager 发布口令,但要订购口令的另一已连接系统似乎没有接收该系统的更改。 这一关系又称为次已连接系统,意思是它通过 Identity Manager 接收来自第一个已连接系统的口令。

  • 启用 DSTrace 中的 +DXML 和 +DVRS 设置以查看 Identity Manager 规则处理和潜在错误。
  • 将驱动程序的 Identity Manager 跟踪级别设置为 3
  • 请确保已选中“口令同步”页上的“Identity Manager 接受口令(发布者通道)”选项。
  • 在口令策略中,请确保未选中“在设置通用口令时同步分发口令”。

    Identity Manager 使用分发口令同步已连接系统的口令。 使用此同步方法时,必须将通用口令与分发口令同步。

  • 请确保驱动程序过滤器的 nspmDistributionPassword 特性具有正确的设置。
  • 校验添加特性或 <modify-password> 要素的 <password> 要素是否已转换为 nspmDistributionPassword 的添加或修改特性操作。 为此,请使用上述第一项启用跟踪选项,然后观察 DSTrace 屏幕或文件。
  • 校验驱动程序配置中包括的 Identity Manager 底稿口令策略是否处于正确的位置和顺序,详情请见部分 5.3.4, 驱动程序配置中所需的策略
  • 将 Identity Vault 中的口令策略与已连接系统实施的任何口令策略进行比较,确保它们相互兼容。
口令发生故障时不生成电子邮件
  • 启用 DSTrace 中的 +DXML 设置,以查看 Identity Manager 规则处理。
  • 将驱动程序的 Identity Manager 跟踪级别设置为 3
  • 校验是否已选择生成电子邮件的规则。
  • 校验 Identity Vault 对象的因特网电子邮件地址特性中是否包含正确的值。
  • 在通知配置任务中,检查 SMTP 服务器和电子邮件模板。请参见部分 5.12, 配置电子邮件通知

电子邮件通知是非侵害性的。 它们并不影响触发电子邮件的 XML 文档的处理。 如果电子邮件通知失败,则除非重试操作本身,否则不会重试发送通知。 电子邮件通知的调试讯息将写入跟踪文件。

使用“检查口令状态”时出错

iManager 中的检查口令状态任务可导致驱动程序执行检查对象口令的操作。

  • 请确保已连接系统支持口令检查。请参见部分 5.2, 已连接系统支持口令同步

    如果驱动程序清单未指示已连接系统是否支持口令检查功能,则无法通过 iManager 执行此操作。

  • 如果检查对象口令操作返回 -603,则表明 Identity Vault 对象不包含 nspmDistributionPassword 特性。 检查 Identity Manager 特性过滤器以及口令策略中的“将通用与分发同步”选项。
  • 如果检查对象口令操作返回 Not Synchronized,请校验驱动程序配置是否包含适当的 Identity Manager 口令同步策略。
  • 将 Identity Vault 中的口令策略与已连接系统实施的任何口令策略进行比较,确保它们相互兼容。
  • 检查对象口令操作将检查分发口令。 如果未更新分发口令,则“检查对象口令”可能会不报告口令已同步
有用的 DSTrace 命令

+DXML: 用于查看 Identity Manager 规则处理和潜在的错误讯息。

+DVRS: 用于查看 Identity Manager 驱动程序讯息

+AUTH: 用于查看 NDS 口令修改

+DCLN: 用于查看 NDS DCLient 讯息

5.8.6 方案 5: 将应用程序口令与简单口令同步

此方案是口令同步功能的一种特殊用法。 使用 Identity Manager 和 NMAS,可以从已连接系统获得口令,并将其直接与 Identity Vault 简单口令同步。 如果已连接系统仅提供散列口令,则可以在不反转散列的情况下将这些口令与简单口令同步。 然后,其它应用程序便可以通过 LDAP 或 Novell Client 使用同一明文或散列口令,并将 NMAS 部件配置为使用简单口令作为登录方法,以此鉴定到 Identity Vault。

如果已连接系统中的口令为明文口令,则当其从已连接系统进入 Identity Vault 简单口令储存中时,可以发布该口令。

如果已连接系统仅提供散列口令(支持 MD5、SHA、SHA1、或 UNIX Crypt),则必须将它们发布到带有这种散列指示的简单口令(如 {MD5})中。

对于要使用同一口令进行鉴定的其它应用程序,需要将另一个应用程序自定义为接受用户口令并鉴定到使用 LDAP 的简单口令。

NMAS 将应用程序中的口令值与简单口令中的值进行比较。 如果储存在简单口令中的口令为散列值,则在比较之前,NMAS 将首先使用应用程序中的口令值来创建正确类型的散列值。 如果应用程序中的口令与简单口令相同,则 NMAS 将对用户进行鉴定。

在此方案中,不能使用通用口令。

与 NDS 口令同步的优点

表 5-15 与 NDS 口令同步的优点

优点

缺点
  • 允许直接更新简单口令。
  • 允许同步散列口令,且无需反转散列便可将其用于鉴定多个应用程序。
  • 此方案不允许使用通用口令。
  • 忘记口令和口令自助服务功能仍然可以用于 NDS 口令支持的范围,但不能用于简单口令。
  • 因为设置通用口令任务依赖于通用口令,所以管理员无法通过使用此任务在 Identity Vault 中设置用户口令。

图 5-15 与 NDS 口令同步

简单口令中的散列图表

设置方案 5

口令策略配置

在此方案中,用户无需使用口令策略, 也无法使用通用口令。

口令同步设置

在此方案中,使用 Identity Manager 底稿直接修改 SAS:Login Configuration 特性。 这意味着,通过使用 iManager 中的“口令同步”页设置的口令同步全局配置值 (GCV) 无效。

驱动程序配置

  1. 请确保过滤器中的 SAS:Login Configuration 特性对于发布者通道和订购者通道均具有“同步”设置。

    SAS:Login Configuration 的过滤器设置

  2. 将驱动程序策略配置为发布来自已连接系统的口令。

  3. 对于散列口令,将驱动程序策略配置为在前面追加此类散列(如果应用程序尚未提供):

    • {MD5}散列口令

      此口令以 Base 64 编码。

    • {SHA}散列口令

      此口令以 Base 64 编码。

    • {CRYPT}散列口令

    明文口令和 Unix Crypt 口令散列不是 Base64 编码。

  4. 若要将该口令放入简单口令中,请将驱动程序策略配置为修改 SAS:Login Configuration 特性。

    以下示例说明了如何在修改操作中使用 modify-attr 要素将简单口令更改为 MD5 散列口令:

    <modify-attr attr-name="SAS:Login Configuration> <add-value> <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value> </add-value> </modify-attr>

    对于明文口令,请参照以下示例。 

    <modify-attr attr-name="SAS:Login Configuration> <add-value> <value>clearpwd</value> </add-value> </modify-attr>

    对于添加操作,add-attr 要素将包含下列内容之一:

    <add-attr attr-name="SAS:Login Configuration> <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value> </add-attr>

    或者 

    <add-attr attr-name="SAS:Login Configuration> <value>clearpwd</value> </add-attr>