5.4 準備使用 Identity Manager 密碼同步化和通用密碼

5.4.1 將使用者從 NDS 密碼切換到通用密碼

當您使用密碼規則針對使用者群組開啟「通用密碼」時,使用者需要填入該「通用密碼」。

如果您先前已使用「密碼同步化」來更新 NDS 密碼,則需要規劃使用者密碼的轉換。 若要切換為使用「通用密碼」,您可以執行下列其中一個動作,以讓使用者建立「通用密碼」:

  • 如果您使用 Novell Client,請展示支援「通用密碼」的 Novell Client。

    「Identity Manager 密碼同步化」不需要 Novell Client。

    您推行 Novell Client 之後,下一次使用者使用 Novell Client 登入時,會在雜湊 NDS 密碼之前先擷取該密碼,並使用它來填入「通用密碼」(請參閱「密碼管理」指南中的「為使用者規劃登入和變更密碼的方法」)。

  • 如果您不是在使用 Novell Client,請讓使用者登入 iManager 自助服務主控台。 該登入方法會填入「通用密碼」。 若要存取 iManager 自助服務主控台,請前往 iManager 伺服器上的 /nps。 例如,https://www.myiManager.com/nps。
  • 使用啟用「通用密碼」的 LDAP 伺服器,讓使用者使用任何驗證的服務登入。 例如,透過公司入口網站登入。

5.4.2 協助使用者變更密碼

當使用者在 iManager、iManager 自助服務主控台或 Novell Client 中變更密碼時,會顯示 NMAS 密碼規則 (Policy) 中的「進階密碼規則 (Rule)」。 檢視規則可讓使用者建立相容的密碼,而無需猜測規則。

依據您密碼流程的設定方式,使用者可以在已連接的系統上變更密碼,且會將該密碼同步化至 Identity Manager 和其他已連接系統。 然而,當使用者變更密碼時,已連接系統不會顯示「進階密碼規則」。

如果您要強制執行「進階密碼規則」,並避免不相容的密碼,則最好是要求使用者僅在 iManager 自助服務主控台或 Novell Client 中變更密碼,或至少確定使用者已非常瞭解「進階密碼規則」。

在已連接系統上,允許使用者在不檢視密碼規則的情況下變更密碼。 因此,使用者可能不會正確地記住規則。 當使用者首次進行變更時,僅強制執行已連接系統自身的規則。 當在已連接系統上建立不相容的密碼時,使用者可能遇到下列問題,視 Identity Manager 的設定而定:

  • 如果您已啟用對從已連接系統進入 Identity Manager 的密碼強制執行規則的設定,則使用者的新密碼不會同步化至 Identity Vault。 如果您已設定 Identity Manager 來通知使用者有關失敗的情況,則他們會透過電子郵件瞭解到其密碼未同步化。
  • 如果您還設定 Identity Manager 來取代已連接系統上不相容的密碼,則使用者無法使用其選擇的新密碼來登入至已連接系統。

    Identity Manager 會在已連接系統上將密碼重設為「配送密碼」,其可能為使用者建立的最終相容密碼。

5.4.3 準備使用通用密碼

若要準備使用「通用密碼」,請參閱《密碼管理管理指南》中的「部署通用密碼」。您可以在該章內找到需要的大部份資訊。

此外,請記住下列內容:

  • 需要 eDirectory 8.7.1 或更新版本,才能使用「通用密碼」。 無需 NetWare® 6.5。
  • 「Identity Manager 密碼同步化」依賴「通用密碼」和「配送密碼」兩者。 「配送密碼」是一種儲存機制,Identity Manager 可以從該儲存機制將密碼配送至已連接系統。 與「通用密碼」一樣,也可以對「配送密碼」強制執行 NMAS 規則。
  • Identity Manager 隨附的 Identity Manager iManager 外掛程式,包括「密碼管理」外掛程式。 這些外掛程式可讓您建立密碼規則,並判定您要將「通用密碼」與「NDS 密碼」、「簡易密碼」和「配送密碼」同步化的方式。

    這些外掛程式會取代 NetWare 6.5 隨附的「通用密碼」外掛程式。您可以在《密碼管理管理指南》的「使用密碼規則管理密碼」中瞭解這些外掛程式。

  • 無法將 eDirectory 8.6.2 用於 Identity Manager 所使用的網路樹。 然而,eDirectory 8.6.2 支援密碼同步化功能的子集。 因此,如果您尚未準備升級整個環境,則可以將 eDirectory 8.6.2 用於其他網路樹。
  • 升級軟體以部署「通用密碼」時可降低影響的一種方法是,針對 Identity Manager 建立個別的網路樹做為 Identity Vault。 許多環境已將 Identity Vault 用於 Identity Manager 和驅動程式。
  • 「通用密碼」會為您提供先前密碼管理工具不支援的功能,例如強制執行密碼規則和使用特殊字元的能力。
  • 務必更新 Novell Client 和其他公用程式,以避免「NDS 密碼」與「通用密碼」不同步化 (有時稱為「密碼漂移」)。請參閱《密碼管理管理指南》中的「為使用者規劃登入和變更密碼的方法」。
  • 最新版本的 Novell Client 支援「通用密碼」,可以在您首次為該使用者啟用「通用密碼」時,填入使用者的「通用密碼」,並可以在使用者變更密碼時,顯示並強制執行 NMAS 密碼規則。
  • 已連接系統不會顯示您在密碼規則 (Policy) 中建立的「進階密碼規則 (Rule)」。 此時,雖然 Novell Client 會強制執行這些規則,但也不會進行顯示。

    最好是要求使用者僅在 iManager 自助服務主控台中變更密碼。

    如果您允許使用者在已連接系統上,或藉由使用最新版本的 Novell Client 來變更其密碼,請確定使用者已非常瞭解密碼規則,以協助使用者順利建立相容的密碼。

  • 請確定管理員和 Help Desk 瞭解只有在 NetWare® 6.5 伺服器或更新版本上,或在具有最新 Novell Client 的機器上使用 ConsoleOne® 時,它才會支援「通用密碼」。
  • 請確定管理員和 Help Desk 使用者瞭解使用僅支援「NDS 密碼」之公用程式的含意。 這些公用程式可用於登入,但是不應將它們用於變更密碼。 此方法會避免密碼漂移。

    Novell 模組化驗證服務 (NMAS) 3.0 管理指南》會參考列出公用程式及其對「通用密碼」之支援的技術資訊文件 (Technical Information Document,TID)。

5.4.4 相符容器

NMAS 密碼規則是使用網路樹中心的方式指定的。 相對地,「密碼同步化」是依每個驅動程式設定的。 驅動程式會在每個伺服器上安裝,且僅可以管理主複製本或讀/寫複製本中的那些使用者。

若要取得預期的「密碼同步化」結果,請確定執行「密碼同步化」驅動程式之伺服器上主複製本或讀/寫複製本中的容器,與您指定密碼規則且已啟用「通用密碼」的容器相符。 將密碼規則指定給分割區根容器,可確保將密碼規則指定給該容器和次容器中的所有使用者。

5.4.5 設定電子郵件通知

若要使用電子郵件通知功能,您必須執行下列動作:

  • 使用 iManager 中的「通知組態」任務,來設定電子郵件伺服器。
  • 使用 iManager 中的「通知組態」任務,自定電子郵件範本 (如果需要的話)。
  • 確定 Identity Vault 使用者已填入 Internet EMail Address 屬性。

遵循節 5.12, 設定電子郵件通知的組態中的指示。