Novell Documentation: Novell Identity Manager 3

5.1 綜覽

藉由利用「通用密碼」和已連接系統對發行密碼或訂閱密碼的支援，Identity Manager 會提供雙向密碼同步化。

與使用者帳戶的其他屬性一樣，您可以選擇授權資料來源。

5.1.1 密碼綜覽

Novell 目錄服務 (Novell Directory Services，NDS®) 密碼、簡易密碼、配送密碼和通用密碼用於不同目的。在 eDirectory™ 和 Identity Manager 的先前版本中，已連接系統僅能以單向同步來更新 NDS 密碼。

Identity Manager 會使用「通用密碼」，它是一種可以與其他 Identity Vault 密碼同步化的可回復密碼。「通用密碼」在 eDirectory 8.7.1 中引入，並且由三層加密進行保護。

Novell 模組化驗證服務 (Novell Modular Authentication Service，NMAS™) 控制「通用密碼」與其他 Identity Vault 密碼之間的關係。例如，NMAS 會控制是否保持「通用密碼」與「NDS 密碼」、「簡易密碼」或「配送密碼」之間的同步化。 NMAS 會攔截要變更密碼的內送申請，並根據 NMAS 密碼規則中的設定處理它們。

Identity Manager 會控制 Identity Vault 密碼與已連接系統密碼之間的關係。 Identity Manager 會使用「配送密碼」進行這項控制，該密碼位於 Identity Vault 中，且可以提供給已連接系統。與「通用密碼」類似，「配送密碼」由三層加密保護，並且可以回復。

在 NMAS 密碼規則中，您可以指定「配送密碼」是否應該與「通用密碼」相同 (設定是「設定「通用密碼」時同步化配送密碼」)。如果「配送密碼」與「通用密碼」相同，並且您選擇使用與已連接系統的雙向「密碼同步化」，請記住使用 Identity Manager 從 eDirectory 擷取「通用密碼」，並將其傳送至其他已連接系統。您需要確保密碼輸送和儲存密碼之已連接系統的安全 (請參閱節 7.0, 安全性：最佳作法)。

如果「配送密碼」與「通用密碼」不同 (由於您停用 NMAS 密碼規則中的設定)，您可以「通道封裝」使用「配送密碼」之已連接系統間的密碼，而無需使用或影響「通用密碼」或「NDS 密碼」。請記住，通道封裝僅同步化已連接系統之間的密碼。如果已啟用，則通道封裝不會設定 Identity Vault/通用密碼。

如需各種 eDirectory 密碼的相關資訊，請參閱《Novell 模組化驗證服務 (NMAS) 2.3 管理指南》。如需使用與 Identity Manager 密碼同步化的不同方法範例，請參閱節 5.8, 實作密碼同步化。

5.1.2 雙向密碼同步化是什麼？

雙向密碼同步化是 Identity Manager 從指定的已連接系統接受密碼，以及將密碼配送至指定的已連接系統兩方面的結合。

是否能夠與特定已連接系統進行雙向密碼同步化，是根據已連接系統所支援的功能而定。

部份已連接系統可以從 Identity Manager 接受新的和修改的密碼，並且還可以將使用者的實際密碼提供給 Identity Manager。下列已連接系統就是支援與 Identity Manager 的雙向密碼同步化：

Active Directory
Novell® eDirectory
網路資訊服務 (NIS)
NT Domain

若為這些已連接系統，使用者可以變更一個系統中的密碼，並且透過 Identity Manager 使該密碼與其他系統同步化。然而，如果您使用 NMAS 密碼規則中的「進階密碼規則」，則最好讓使用者在 iManager 自助服務主控台中進行密碼變更。因為它會列出使用者密碼必須符合的所有規則，所以這是密碼變更的最佳位置。

因為其他已連接系統無法提供使用者的實際密碼，所以它們無法支援完整雙向密碼同步。然而，藉由在驅動程式組態中定義規則，已連接系統可提供能夠用於建立密碼的資料，並傳送至 Identity Manager。

數個其他系統可以從 Identity Manager 接受密碼，包括設定新使用者的啟始密碼、修改密碼，或同時執行這兩個動作。請參閱節 5.2, 已連接系統支援密碼同步化。

5.1.3 比較密碼同步化 1.0 與 Identity Manager 密碼同步化

表 5-1 比較：密碼同步化 1.0 與 Identity Manager 密碼同步化

	密碼同步化 1.0	Identity Manager 2 和 3 提供的密碼同步化
產品交付方式	與 Identity Manager 分開的單獨產品。	隨附於 Identity Manager，不單獨出售。
平台	Active Directory NT Domain eDirectory	在下列平台上支援完全雙向密碼同步： Active Directory eDirectory NIS NT Domain 這些已連接系統支援將使用者密碼發行至 Identity Manager。因為「通用密碼」與「配送密碼」是可回復的，所以 Identity Manager 可以將密碼配送至已連接的系統。所有支援「訂閱者」密碼元素的已連接系統都可以從 Identity Manager 訂閱密碼。請參閱節 5.2, 已連接系統支援密碼同步化。
Identity Vault 中使用的密碼	NDS 密碼 (不可回復)	通用密碼 (可回復)，或配送密碼 (也可回復)。如果願意，NDS 密碼還可以保持同步化。如需範例案例，請參閱節 5.8, 實作密碼同步化。
Windows 已連接系統的主要功能	將密碼傳送至 Identity Manager，以便 Identity Vault 密碼與 Windows 密碼保持同步。因為 NDS 密碼是不可回復的，所以這些密碼將不會傳送回 NT 或 AD。	提供雙向密碼同步化。因為「通用密碼」和「配送密碼」是可回復的，所以在兩個方向密碼都可以同步化。
輕量目錄存取協定 (Lightweight Directory Access Protocol，LDAP) 變更	不支援。	支援
Novell® Client™	必要。	非必要。
nadLoginName 屬性	用於保持密碼不斷更新。	未使用。
包含密碼同步化功能的元件	包含更新 nadLoginName 功能的 Identity Manager 驅動程式。	驅動程式組態中的 Identity Manager 規則提供密碼同步化功能。驅動程式只執行由 Metadirectory 引擎提供的任務，這些任務來自規則中的邏輯。驅動程式資訊清單、全域組態值和驅動程式過濾器設定也必須支援密碼同步化。它們包含在範例驅動程式組態中，也可新增至現有的驅動程式。請參閱節 5.7, 升級現有的驅動程式組態以支援密碼同步化。
代辦	單獨的軟體。	未安裝任何代辦；現在該功能是驅動程式的一部份。

5.1.4 Identity Manager 密碼同步化功能

「Identity Manager 密碼同步化」是雙向的。您可以從已連接系統傳送密碼，並由 Identity Manager 接受密碼，也可由 Identity Manager 配送密碼，並由已連接系統來接受。

從已連接系統接受密碼

與在前一版 DirXML® 和 Identity Manager 中一樣，任何已連接系統都可以將密碼發行至 Identity Vault。

您可以指定 Identity Manager 從中接受密碼的已連接系統應用程式。您甚至可以選擇 Identity Manager 是否在與執行 Identity Manager 的相同 Identity Vault 中更新使用者密碼，或者 Identity Manager 是否只做為已連接系統之間同步化密碼的管道或「通道」。這表示可以保持讓 Identity Vault 密碼有別於 Identity Manager 配送至已連接系統的密碼 (如果有需要的話)。

部份已連接系統 (AD、其他 Identity Vault、NT 和 NIS) 可以提供使用者的實際密碼，這表示當使用者在某個已連接系統上變更密碼時，該變更可以同步化至 Identity Manager，並置換其他已連接系統中的密碼。

其他已連接系統不支援提供使用者的實際密碼，但是您可以設定這些已連接系統的組態，以提供給 Identity Manager 一個在樣式表中建立的密碼，如基於姓氏或員工 ID 的啟始密碼。

配送密碼至已連接系統

「Identity Manager 密碼同步化」可以將公用密碼配送至已連接系統。

在前一版 Identity Manager 中，驅動程式可以將密碼從已連接系統上的使用者帳戶傳送至 Identity Manager，且該密碼可用於更新 eDirectory 中對應的使用者。但是因為 eDirectory 中的 NDS 密碼是不可回復的，所以您無法將密碼從集中式 Identity Manager Identity Vault 置入多個已連接系統。您只能在將密碼儲存在 eDirectory 中之前，透過擷取密碼來取得 eDirectory 密碼，如透過 Novell Client。

eDirectory 8.7.3 所提供的「通用密碼」是可回復的。且可以進行配送。

Identity Manager 可以從已連接系統接受密碼。因為「通用密碼」是可回復的，所以 Identity Manager 可以將密碼從 Identity Vault 配送至已連接系統 (這些系統支援設定新帳戶的啟始密碼及修改密碼)。

無論密碼來自哪裡，Identity Manager 都會使用「配送密碼」做為儲存機制，Identity Manager 可以從該儲存機制將密碼配送至已連接系統。與「通用密碼」一樣，「配送密碼」可讓您強制執行密碼規則。

如需同步化密碼時，使用「通用密碼」和「配送密碼」的相關資訊，請參閱實作密碼同步化。

與其他使用者屬性一樣，您可以決定哪個系統做為密碼的授權來源。 Identity Manager 會將密碼從授權來源配送至其他已連接系統。

您可以在支援雙向密碼同步化的已連接系統之間設定該同步化。

在資料儲存和已連接系統上強制執行密碼規則

透過呼叫 NMAS，Identity Manager 可以對收到的密碼強制執行密碼規則。如果從已連接系統發行至 Identity Manager 的密碼不一致，則您可以指定讓該 Identity Manager 不接受將密碼置入 Identity Vault。這還表示與規則不一致的密碼不會配送至其他已連接系統。

此外，Identity Manager 可以在已連接系統上強制執行密碼規則。如果發行至 Identity Manager 的密碼與規則 (Policy) 中的規則 (Rule) 不一致，則您可以指定讓 Identity Manager 不僅不接受配送的密碼，而且還要藉由使用 Identity Vault 中的目前「配送密碼」，在已連接系統上實際重設不相容的密碼。

例如，您需要至少包含一個數值字元的密碼。然而，已連接系統本身沒有能力強制執行這樣的規則 (Policy)。您指定讓 Identity Manager 重設源自已連接系統、但是與規則 (Policy) 中的規則 (Rule) 不一致的密碼。

如果您正在使用「進階密碼規則 (Rule)」和「Identity Manager 密碼同步化」，則建議您研究所有已連接系統的密碼規則 (Policy)，以確定 eDirectory 密碼規則中的「進階密碼規則 (Rule)」是相容的。此研究可協助您確保順利同步化密碼。

請記住，您必須確定被指定 NMAS 密碼規則的使用者與您要參與已連接系統之「密碼同步化」的使用者相符。

NMAS 密碼規則是使用網路樹中心的方式指定的。相對地，「密碼同步化」是依每個驅動程式設定的。同時，驅動程式會在每個伺服器上安裝，且僅可以管理主複製本或讀/寫複製本中的那些使用者。若要取得預期的「密碼同步化」結果，請確定執行「密碼同步化」驅動程式之伺服器上主複製本或讀/寫複製本中的容器，與您指定密碼規則且啟用「通用密碼」的容器相符。將密碼規則指定給分割區根容器，可確保將密碼規則指定給該容器和次容器中的所有使用者。

如需如何將 NMAS 密碼規則指定給使用者的相關資訊，請參閱《密碼管理管理指南》中的「將密碼規則指定給使用者」。

同步化密碼案例

Identity Manager 可讓您指定應做為密碼之授權來源的系統。同時，您還可決定使用的密碼流程。

「Identity Manager 密碼同步化」的許多功能都依賴「通用密碼」(由 Identity Vault 提供的可回復密碼功能)。然而，部份案例不需要部署「通用密碼」。

「Identity Manager 密碼同步化」還依賴「配送密碼」。與「通用密碼」一樣，也可以對「配送密碼」強制執行規則。

如需可用來實作密碼同步化的基本方式，請參閱實作密碼同步化。您可以結合這些案例，以滿足環境需要。

在沒有 Novell Client 的 Windows 上同步化密碼

Active Directory 與 NT Domain 的密碼同步化不再需要 Novell Client。

通知使用者密碼同步化失敗

在資料儲存和已連接系統上強制執行密碼規則一節說明 Identity Manager 可以藉由不接受 (來自已連接系統) 不一致的密碼，來強制執行密碼規則。

您可以使用電子郵件通知功能，指定當使用者未順利變更密碼時，Identity Manager 會通知使用者。

案例。 您已將 Identity Manager 設為從 NT Domain 收到的密碼與您的密碼規則不一致時，不接受該密碼。您已啟用電子郵件通知。 NMAS 密碼規則 (Policy) 中的一個規則 (Rule) 指定公司名稱無法用做密碼。使用者在 NT Domain 已連接系統上將密碼變更為公司名稱。NMAS 不接受該密碼，Identity Manager 會傳送給使用者一則電子郵件訊息，說明未同步化密碼變更。

在您可以使用此功能之前，必須先設定電子郵件伺服器和範本。您可自定下列內容：