Identity Manager 中提供的口令同步功能允许实施多种不同的方案。 本节概述了一些基本方案,以帮助您了解 Identity Manager 口令同步和 NMAS 口令策略中的设置是如何影响口令同步的。 可以使用其中的一个或多个方案,以满足环境的要求。
实用程序(如 iManager 和 Novell Client)与 NMAS 进行通讯,而不是直接更新特定的口令。 NMAS 是决定要更新的口令的实体。
NMAS 根据 NMAS 口令策略中的设置在 Identity Vault 中同步口令。
未启用通用口令的旧式实用程序直接更新 NDS 口令,而不是与 NMAS 进行通讯来让 NMAS 决定更新哪些口令。 请注意用户和服务台管理员是如何在环境中使用旧式实用程序的。 由于旧式实用程序不通过 NMAS 而直接更新 NDS 口令,因此,如果使用通用口令和 NMAS 2.3,则会出现口令偏移(通用口令和 NDS 口令不同步)。
例如,要保证支持通用口令,请确保将用户升级为 Novell Client,并且服务台用户仅在最新的 Novell Client 或 NetWare 发行版上使用 ConsoleOne。
图 5-5 使用 NMAS 同步口令
Identity Manager 控制“项点”(直接更新通用口令或分发口令)。 NMAS 控制 Identity Vault 内部的同步口令流。
在方案 1 中,Identity Manager Driver for eDirectory 可用于直接更新 NDS 口令。 此方案与 DirXML 1.x 中提供的方案基本相同。
在方案 2、方案 3 和方案 4 中,Identity Manager 用于更新通用口令或分发口令。 Identity Manager 通过 NMAS 更改口令。 这允许 NMAS 根据 NMAS 口令策略设置更新其它 Identity Vault 口令,还允许 NMAS 对与已连接系统进行同步的口令实施 NMAS 口令策略中的高级口令规则。 在这些方案中,Identity Manager 分发给已连接系统的口令始终是分发口令。
方案 2、方案 3 和方案 4 的不同之处在于,它们对每个已连接系统驱动程序使用不同的 NMAS 口令策略设置和 Identity Manager 口令同步设置组合。
同 Password Synchronization 1.0 一样,可以通过使用 eDirectory 驱动程序在两个 Identity Vault 间同步 NDS 口令。 此方案不需要实施通用口令,可用于 eDirectory 8.6.2 或更高版本。 此类型口令同步的另一名称是同步公共/私用密钥对。
此方法仅适用于在 Identity Vault 之间同步口令。 它不使用 NMAS,因此无法用于同步已连接应用程序的口令。
表 5-11 优点: 使用 NDS 口令实施 eDirectory 到 eDirectory 口令同步
下图表明,与 DirXML 1.x 一样,Identity Manager Driver for eDirectory 也可用于同步两个 Identity Vault 间的 NDS 口令。 此方案不通过 NMAS 操作。
图 5-6 使用 NDS 口令在两个 Identity Vault 间进行同步
若要设置此类型的口令同步,需配置驱动程序。
非必需。
无。
无。 驱动程序“口令同步”页中的设置对此 NDS 口令同步方法没有影响。
去除部分 5.3.4, 驱动程序配置中所需的策略中列出的口令同步策略。 这些策略旨在支持通用口令和分发口令。 同步 NDS 口令时,将使用公共密钥和私用密钥特性,而不使用这些策略。
请确保,对于应同步口令的所有对象类,两个 Identity Vault 驱动程序的驱动程序过滤器正在同步其公共密钥和私用密钥特性。 下图是一个示例。
图 5-7 同步私用密钥和公共密钥特性
使用 Identity Manager,可将已连接系统的口令与 Identity Vault 中的通用口令同步。
更新通用口令时,也会根据 NMAS 口令策略中的设置更新 NDS 口令、分发口令或简单口令。
任何已连接系统都可以向 Identity Manager 发布口令,但并非所有已连接系统都可以提供用户的实际口令。 例如,Active Directory 可以向 Identity Manager 发布用户的实际口令。 虽然 PeopleSoft 不从 PeopleSoft 系统自身提供口令,但它可以提供驱动程序配置策略中创建的初始口令,如基于用户的员工 ID 或姓的口令。 并非所有驱动程序都可以订购 Identity Manager 中的口令更改。请参见部分 5.2, 已连接系统支持口令同步。
表 5-12 优点: 使用通用口令同步
此方案的流程图如下:
在此图中,虽然多个已连接系统显示为同时与 Identity Manager 相连,但请记住,应单独为每个已连接系统的驱动程序创建设置。
图 5-8 使用通用口令同步口令
设置此类型的口令同步:
请确保环境已就绪,可使用通用口令。请参见部分 5.4, 准备使用 Identity Manager 口令同步和通用口令。
请确保已向要进行此种口令同步的 Identity Vault 部分指派了 NMAS 口令策略。
在 iManager 中,选择“口令”>“口令策略”。
选择一个策略,然后单击“编辑”。
浏览并选择您希望发生口令同步的对象。
可以将策略指派给整个树结构(方法是浏览并选择“安全性”树枝中的“登录策略”对象)、分区根树枝、树枝或特定用户。 为简化管理,建议在树中尽可能高的位置指派口令策略。
在口令策略中,确保已选中以下选项:
由于 Identity Manager 检索分发口令以向已连接系统分发口令,因此必须选中此选项,才能允许口令双向同步。
根据需要完成口令策略。
如果已启用口令策略中的高级口令规则,则 NMAS 将实施这些规则。 如果不希望实施口令策略规则,请取消选择“启用高级口令规则”。
如果使用高级口令规则,请确保它们不与任何要订购口令的已连接系统中的口令策略冲突。
在 iManager 中,选择“口令”>“口令同步”。
搜索已连接系统的驱动程序,然后选择驱动程序。
为已连接系统的驱动程序创建设置。
请确保已选中以下选项:
如果驱动程序清单不包含“口令发布”功能,则页面中将显示一条讯息。 这是在通知用户:无法从应用程序检索口令,并且仅能通过使用策略在驱动程序配置中创建口令来发布口令。
如果已连接系统不支持接受口令,则此选项将被禁用。
如果已连接系统支持口令双向同步,则这些设置将允许执行口令双向同步。
可以调整设置,使之与口令的权威来源的业务策略相匹配。 例如,如果已连接系统订购口令但不发布口令,则应只选择“应用程序接受口令(订购者通道)”。
请确保未选中“为口令同步使用分发口令”:
在此方案中,Identity Manager 直接更新通用口令。 分发口令仍用于向已连接系统分发口令,但将由 NMAS 而不是 Identity Manager 从通用口令更新分发口令。
(可选)根据需要选择以下选项:
请记住,电子邮件通知需要填充 eDirectory 用户对象的因特网电子邮件地址特性。
电子邮件通知是非侵害性的。 它们并不影响触发电子邮件的 XML 文档的处理。 如果电子邮件通知失败,则除非重试操作本身,否则不会重试发送通知。 但是,电子邮件通知的调试讯息会写入跟踪文件。
对于要加入口令同步的每个驱动程序,请确保其驱动程序配置中包括了所需的 Identity Manager 底稿口令同步策略。
这些策略在驱动程序配置中的位置和顺序必须正确。 有关策略列表,请参见部分 5.3.4, 驱动程序配置中所需的策略。
Identity Manager 样本配置已包含这些策略。 如果要升级现有的驱动程序,则可以按照部分 5.7, 升级现有驱动程序配置以支持口令同步中的指导来添加策略。
正确设置 nspmDistributionPassword 特性的过滤器:
对于 nspmDistributionPassword 特性设置为“通知”的所有对象,请将其公共密钥和私用密钥特性设置为“忽略”。
为保证口令安全性,请确保您可以控制谁具有 Identity Manager 对象的权限。
另请参见部分 5.13, 查错口令同步中的提示。
以下流程图阐释 NMAS 如何处理它从 Identity Manager 接收到的口令。 在此方案中,此口令与通用口令同步。 NMAS 根据以下设置来决定如何处理此口令:
图 5-9 NMAS 如何处理它从 Identity Manager 接收到的口令
图 5-10 DSTrace 命令
本节旨在对案例查错,在这些案例中,该已连接系统正在向 Identity Manager 发布口令,但要订购口令的另一已连接系统似乎没有接收到该系统的更改。 这一关系又称为次已连接系统,意思是它通过 Identity Manager 接收来自第一个已连接系统的口令。
iManager 中的检查口令状态任务会引起驱动程序执行检查对象口令的操作。 如果出现问题,请审阅以下内容:
: 用于查看 Identity Manager 规则处理和潜在的错误讯息
: 用于查看 Identity Manager 驱动程序讯息
: 用于查看 NDS 口令修改
在此方案中,Identity Manager 直接更新分发口令,并且允许 NMAS 决定如何同步其它 Identity Vault 口令。
任何已连接系统都可以向 Identity Manager 发布口令,但并非所有已连接系统都可以提供用户的实际口令。 例如,Active Directory 可以向 Identity Manager 发布用户的实际口令。 虽然 PeopleSoft 不从 PeopleSoft 系统自身提供口令,但它可以提供驱动程序配置策略中创建的初始口令,如基于用户的员工 ID 或姓的口令。 并非所有驱动程序都可以订购 Identity Manager 中的口令更改。请参见部分 5.2, 已连接系统支持口令同步。
表 5-13 优点: 通过更新分发口令同步 Identity Vault 和已连接系统
优点 |
缺点 |
---|---|
允许在 Identity Vault 和已连接系统间同步口令。 允许选择是否对来自已连接系统的口令实施口令策略。 可以指定在口令同步失败时发送通知。 如果要实施口令策略,但口令不符合策略规则,则可以选择将已连接系统的口令重设置为分发口令。 |
|
此方案的流程图如下:
在此图中,虽然多个已连接系统显示为同时与 Identity Manager 相连,但请记住,应单独为每个已连接系统的驱动程序创建设置。
图 5-11 通过更新分发口令同步 Identity Vault 和已连接系统
设置此类型的口令同步:
请确保环境已就绪,可使用通用口令。请参见部分 5.4, 准备使用 Identity Manager 口令同步和通用口令。
在 iManager 中,选择“口令”>“口令策略”。
请确保已向要进行此种口令同步的 Identity Vault 树部分指派了口令策略。 该策略可以指派给整个树结构、分区根树枝、树枝或特定的用户。 为简化管理,建议在树中尽可能高的位置指派口令策略。
在口令策略中,请确保已选中以下选项:
由于 Identity Manager 检索分发口令以向已连接系统分发口令,因此必须选中此选项,才能允许口令双向同步。
如果使用高级口令规则,请确保它们不与要订购口令的任何已连接系统上的口令策略冲突。
在 iManager 中,选择“口令”>“口令同步”。
搜索已连接系统的驱动程序,然后选择驱动程序。
为已连接系统的驱动程序创建设置。
请确保已选中以下选项:
如果驱动程序清单不包含“口令发布”功能,则页面中将显示一条讯息。 这是在通知用户无法从应用程序检索口令,并且只能通过使用策略在驱动程序配置中创建口令来发布口令。
如果已连接系统支持口令双向同步,则这些设置将允许执行口令双向同步。
可以调整设置,使之与口令的权威来源的业务策略相匹配。 例如,如果已连接系统订购口令但不发布口令,则应只选择“应用程序接受口令(订购者通道)”。
使用“为口令同步使用分发口令”下的选项,指定是要实施还是要忽略 NMAS 口令策略。
(条件)如果已指定要实施的口令策略,则还应指定当已连接系统口令不符合这些策略时,是否希望 Identity Manager 重设置该口令。
(可选)根据需要选择以下选项:
请记住,电子邮件通知需要填充 eDirectory 用户对象的因特网电子邮件地址特性。
电子邮件通知是非侵害性的。 它们并不影响触发电子邮件的 XML 文档的处理。 如果电子邮件通知失败,则除非重试操作本身,否则不会重试发送通知。 但是,电子邮件通知的调试讯息会写入跟踪文件。
对于要加入口令同步的每个驱动程序,请确保其驱动程序配置中包括了所需的 Identity Manager 底稿口令同步策略。
这些策略在驱动程序配置中的位置和顺序必须正确。 有关策略列表,请参见部分 5.3.4, 驱动程序配置中所需的策略。
Identity Manager 样本配置已包含这些策略。 如果要升级现有的驱动程序,则可以按照部分 5.7, 升级现有驱动程序配置以支持口令同步中的指导来添加策略。
正确设置 nspmDistributionPassword 特性的过滤器:
对于 nspmDistributionPassword 特性设置为“通知”的所有对象,请将驱动程序过滤器中的公共密钥和私用密钥特性设置为“忽略”。
为保证口令安全性,请确保您可以控制谁具有 Identity Manager 对象的权限。
另请参见部分 5.13, 查错口令同步中的提示。
以下流程图阐释 NMAS 如何处理它从 Identity Manager 接收到的口令。 在此方案中,此口令将与分发口令同步,并由 NMAS 决定以下内容:
图 5-12 将 Identity Manager 中的口令与分发口令同步
图 5-13 DSTrace 命令
兼容通用口令的 Novell Client 和 ConsoleOne 的版本可用。 请参见《NMAS 3.0 管理指南》。
本节旨在对以下情况进行查错:该已连接系统正在向 Identity Manager 发布口令,但要订购口令的另一已连接系统似乎没有接收该系统的更改。 这一关系又称为次已连接系统,意思是它通过 Identity Manager 接收来自第一个已连接系统的口令。
Identity Manager 使用分发口令同步已连接系统的口令。 使用此同步方法时,通用口令必须与分发口令同步。
电子邮件通知是非侵害性的。 它们并不影响触发电子邮件的 XML 文档的处理。 如果电子邮件通知失败,则除非重试操作本身,否则不会重试发送通知。 电子邮件通知的调试讯息将写入跟踪文件。
iManager 中的检查口令状态任务可导致驱动程序执行检查对象口令的操作。
如果驱动程序清单未指示已连接系统是否支持口令检查功能,则无法通过 iManager 执行此操作。
: 用于查看 Identity Manager 规则处理情况和潜在的错误讯息。
: 用于查看 Identity Manager 驱动程序讯息
:用于查看 NDS 口令修改
Identity Manager 允许您同步已连接系统间的口令,同时将 Identity Vault 口令保持独立。 这称为“隧道通讯进程”。
在此方案中,Identity Manager 直接更新分发口令。 此方案几乎与部分 5.8.4, 方案 3: 通过 Identity Manager 更新分发口令同步 Identity Vault 和已连接系统描述的内容相同。 差别是您需要确保不同步通用口令与分发口令。 若要实现此目的,可以不使用 NMAS 口令策略,或在使用这些口令策略的同时禁用“在设置通用口令时同步分发口令”选项。
表 5-14 隧道通讯进程的优点
此方案的流程图如下:
此方案的关键在于,在 NMAS 口令策略中应禁用“将通用口令与分发口令同步”。 由于分发口令不与通用口令同步,因而 Identity Manager 可同步已连接系统间的口令而不影响 Identity Vault 中的口令。
在此图中,虽然多个已连接系统显示为同时与 Identity Manager 相连,但请记住,应单独为每个已连接系统的驱动程序创建设置。
图 5-14 Identity Manager 更新分发口令时的隧道通讯进程
若要设置此类口令同步,请配置以下内容:
虽然您不必启用通用口令的口令策略,但环境仍必须使用支持通用口令的 eDirectory 8.7.3。请参见部分 5.4, 准备使用 Identity Manager 口令同步和通用口令。
此方法中,Identity Vault 用户不需要口令策略。
但是,如果使用口令策略,则必须执行以下操作:
请确保未选中以下选项:
这是通过隧道通讯口令而不影响 Identity Vault 口令的关键。 通过不同步通用口令和分发口令,可将分发口令保持独立,使其仅供已连接系统的 Identity Manager 使用。 Identity Manager 充当一种管道,它在其它已连接系统间分发口令,而不影响 Identity Vault 口令。
根据需要完成其它口令策略设置。
口令策略中的其它口令设置可选。
使用的设置与部分 5.8.4, 方案 3: 通过 Identity Manager 更新分发口令同步 Identity Vault 和已连接系统中的口令同步设置相同。
使用的设置与部分 5.8.4, 方案 3: 通过 Identity Manager 更新分发口令同步 Identity Vault 和已连接系统中的驱动程序配置相同。
如果设置隧道通讯进程口令同步,则分发口令将不同于通用口令和 NDS 口令。
另请参见部分 5.13, 查错口令同步中的提示。
本节旨在对以下情况进行查错:该已连接系统正在向 Identity Manager 发布口令,但要订购口令的另一已连接系统似乎没有接收该系统的更改。 这一关系又称为次已连接系统,意思是它通过 Identity Manager 接收来自第一个已连接系统的口令。
Identity Manager 使用分发口令同步已连接系统的口令。 使用此同步方法时,必须将通用口令与分发口令同步。
电子邮件通知是非侵害性的。 它们并不影响触发电子邮件的 XML 文档的处理。 如果电子邮件通知失败,则除非重试操作本身,否则不会重试发送通知。 电子邮件通知的调试讯息将写入跟踪文件。
iManager 中的检查口令状态任务可导致驱动程序执行检查对象口令的操作。
如果驱动程序清单未指示已连接系统是否支持口令检查功能,则无法通过 iManager 执行此操作。
: 用于查看 Identity Manager 规则处理和潜在的错误讯息。
: 用于查看 Identity Manager 驱动程序讯息
: 用于查看 NDS 口令修改
: 用于查看 NDS DCLient 讯息
此方案是口令同步功能的一种特殊用法。 使用 Identity Manager 和 NMAS,可以从已连接系统获得口令,并将其直接与 Identity Vault 简单口令同步。 如果已连接系统仅提供散列口令,则可以在不反转散列的情况下将这些口令与简单口令同步。 然后,其它应用程序便可以通过 LDAP 或 Novell Client 使用同一明文或散列口令,并将 NMAS 部件配置为使用简单口令作为登录方法,以此鉴定到 Identity Vault。
如果已连接系统中的口令为明文口令,则当其从已连接系统进入 Identity Vault 简单口令储存中时,可以发布该口令。
如果已连接系统仅提供散列口令(支持 MD5、SHA、SHA1、或 UNIX Crypt),则必须将它们发布到带有这种散列指示的简单口令(如 {MD5})中。
对于要使用同一口令进行鉴定的其它应用程序,需要将另一个应用程序自定义为接受用户口令并鉴定到使用 LDAP 的简单口令。
NMAS 将应用程序中的口令值与简单口令中的值进行比较。 如果储存在简单口令中的口令为散列值,则在比较之前,NMAS 将首先使用应用程序中的口令值来创建正确类型的散列值。 如果应用程序中的口令与简单口令相同,则 NMAS 将对用户进行鉴定。
在此方案中,不能使用通用口令。
表 5-15 与 NDS 口令同步的优点
优点 |
缺点 |
---|---|
|
|
图 5-15 与 NDS 口令同步
在此方案中,用户无需使用口令策略, 也无法使用通用口令。
在此方案中,使用 Identity Manager 底稿直接修改 SAS:Login Configuration 特性。 这意味着,通过使用 iManager 中的“口令同步”页设置的口令同步全局配置值 (GCV) 无效。
请确保过滤器中的 SAS:Login Configuration 特性对于发布者通道和订购者通道均具有“同步”设置。
将驱动程序策略配置为发布来自已连接系统的口令。
对于散列口令,将驱动程序策略配置为在前面追加此类散列(如果应用程序尚未提供):
此口令以 Base 64 编码。
此口令以 Base 64 编码。
明文口令和 Unix Crypt 口令散列不是 Base64 编码。
若要将该口令放入简单口令中,请将驱动程序策略配置为修改 SAS:Login Configuration 特性。
以下示例说明了如何在修改操作中使用 modify-attr 要素将简单口令更改为 MD5 散列口令:
<modify-attr attr-name="SAS:Login Configuration> <add-value> <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value> </add-value> </modify-attr>
对于明文口令,请参照以下示例。
<modify-attr attr-name="SAS:Login Configuration> <add-value> <value>clearpwd</value> </add-value> </modify-attr>
对于添加操作,add-attr 要素将包含下列内容之一:
<add-attr attr-name="SAS:Login Configuration> <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value> </add-attr>
或者
<add-attr attr-name="SAS:Login Configuration> <value>clearpwd</value> </add-attr>