5.7 升級現有的驅動程式組態以支援密碼同步化

本節說明如何將「Identity Manager 密碼同步化」的支援新增至現有的驅動程式組態,而不是以 Identity Manager 範例組態取代現有的驅動程式組態。

針對要參與密碼同步化的每個驅動程式新增支援。 執行此動作的方式為,匯入「重疊」組態檔案,以一次新增規則、驅動程式資訊清單和全域組態值 (GCV)。

新增規則、驅動程式資訊清單和全域組態值 (GCV) 之後,還必須將 nspmDistributionPassword 屬性新增至驅動程式過濾器。

重要:如果您要升級 AD 或 NT Domain 的「Identity Manager 驅動程式」,且該驅動程式與「密碼同步化 1.0」搭配使用,請遵循 Active Directory 和 NT Domain 之「Identity Manager 驅動程式」的驅動程式實作指南,其位於 Identity Manager 驅動程式

此程序中新增的規則適用於支援「通用密碼」和「配送密碼」,方法是使用「密碼同步化」功能。 如果使用 Identity Manager 驅動程式時只同步化「NDS 密碼」,則不應使用 Identity Manager 驅動程式組態的規則。 同步化「NDS 密碼」的方式是使用「公用金鑰」和「私密金鑰」屬性,而不是這些規則,如節 5.8.2, 案例 1: 使用 NDS 密碼將兩個 Identity Vault 同步化中所述。

先決條件

5.7.1 步驟 1: 將驅動程式轉換為 Identity Manager 3 格式

  1. 確定您的環境已可以使用「通用密碼」。

    請參閱節 5.4, 準備使用 Identity Manager 密碼同步化和通用密碼

    如果您在使用 DirXML® 1.1a,請參閱節 2.3, 將驅動程式組態從 DirXML 1.1a 升級至 Identity Manager 格式

  2. 在 iManager 中,按一下「Identity Manager 公用程式」>「輸入驅動程式」。

  3. 選取現有驅動程式所在的驅動程式集,然後按「下一步」。

  4. 在出現的驅動程式組態清單中,捲動至「其他規則」,然後只選取「密碼同步化 2.0 規則」。

  5. 按「下一步」。

  6. 在「現有的驅動程式」下拉式清單中,選取要更新的現有驅動程式。

  7. 在「已連接系統」下拉式清單中,選取已連接系統類型。

    如果下拉式清單中沒有該驅動程式名稱,請選取「其他系統」。

    根據驅動程式類型,「輸入驅動程式精靈」會在驅動程式資訊清單中輸入項目,指出驅動程式組態和已連接系統的功能:

    • 已連接系統是否可以提供密碼給 Identity Manager。

      這是指已連接系統上使用者的實際密碼,而不是指使用樣式表建立的密碼。 只有 AD、eDirectory 和 NIS 可以這樣做。

    • 已連接系統是否可以接受 Identity Manager 的密碼
    • 已連接系統是否可以檢查密碼,查看它是否與 Identity Manager 中的密碼相符。

    驅動程式資訊清單中需要正確的項目,「密碼同步化」規則才能運作。 驅動程式資訊清單指出已連接系統、Identity Manager 驅動程式 Shim 和驅動程式組態規則的結合能力,其通常不該由網路管理員進行編輯。

  8. 按「下一步」。

  9. 如果您沒有要儲存的驅動程式資訊清單或全域組態值 (GCV) 值,請選取「更新驅動程式的所有項目」。

    此選項會提供給您密碼同步化所需的驅動程式資訊清單、全域組態值 (GCV) 和 Identity Manager 規則。

    驅動程式資訊清單和全域組態值 (GCV) 會覆寫已經存在的任何值。 因為這些是 Identity Manager 2 中的新驅動程式參數類型,所以 DirXML 1.x 驅動程式不應有任何要覆寫的現有值。

    密碼同步化規則不會覆寫任何現有的規則物件。 只是單純地新增至「驅動程式」物件。

    附註:如果您有想要儲存的驅動程式資訊清單或全域組態值 (GCV) 值,請選取「僅更新驅動程式中選定的規則」,並針對所有規則選取該核取方塊。 此選項會輸入密碼規則,但不會變更驅動程式資訊清單或全域組態值 (GCV)。 您需要手動貼入任何其他值。

  10. 按「下一步」,然後按一下「完成」,即可完成精靈。

    此時,「驅動程式」物件下已建立新的規則做為規則物件,但還不是驅動程式組態的一部份。 若要連結它們,您必須在「訂閱者」和「發行者」通道上驅動程式組態中的正確位置以手動方式將每個規則插入。

5.7.2 步驟 2: 新增至驅動程式組態

如需新增的規則清單及其插入位置,請參閱節 5.3.4, 驅動程式組態中所需的規則

將每個新規則插入現有驅動程式組態的正確位置。

如果規則集有多個規則,請確定這些 Identity Manager 密碼同步化規則列在最後。

針對每個規則重複下列步驟。

  1. 選取「Identity Manager」>「Identity Manager 概觀」,然後搜尋包含所更新之驅動程式的驅動程式集。

  2. 按一下您剛剛更新的驅動程式 (例如,AvayaPBX)。

  3. 在需要新增其中一個新規則的位置按一下圖示 (例如,「發行者」通道上的「指令轉換規則」)。

  4. 按一下「插入」,即可新增規則。

  5. 按一下「使用現有規則」,瀏覽新的規則物件,然後按一下「確定」。

  6. 如果任何新規則在清單中都有一個以上的規則,請使用箭頭按鈕向上箭頭圖示 向下箭頭圖示,將新規則移至清單中的正確位置。

    請確定規則以節 5.3.4, 驅動程式組態中所需的規則中的順序列出。

5.7.3 步驟 3: 變更過濾器設定

  1. 針對您想要同步化密碼的物件類別 (例如,「使用者」),確定 nspmDistributionPassword 屬性位於過濾器中,並具有下列設定:

    • 若為「發行者」通道,將過濾器的「nspmDistributionPassword」屬性設為「忽略」。
    • 若為「訂閱者」通道,將過濾器的「nspmDistributionPassword」屬性設為「通知」。
    nspmDistributionPassword 的過濾器設定

    若要檢視屬性,您可能需要捲動到該類別並選取它 (例如,「使用者」),然後在屬性中捲動。

    如果 nspmDistributionPassword 未列出,請執行下列動作:

    1. 確定已選取類別,然後按一下「新增屬性」。

    2. 捲動至 nspmDistributionPassword 並選取它,然後按一下「確定」。

  2. 針對將「nspmDistributionPassword」屬性設為「通知」的所有物件,將「公用金鑰」和「私密金鑰」屬性都設為「忽略」。

    過濾器中的「私密金鑰」和「公用金鑰」設為「忽略」

  3. 針對您要升級以參與密碼同步化的每個驅動程式,重複步驟 2 (在「將驅動程式轉換為 Identity Manager 3 格式」中) 一直到本節 (「變更過濾器設定」) 中的步驟 2

    此時,驅動程式具有新的驅動程式 Shim、Identity Manager 格式,以及驅動程式組態中支援密碼同步化所需的其他元素: 驅動程式資訊清單、全域組態值 (GCV)、密碼同步化規則和過濾器設定。

  4. 檢查個別驅動程式實作指南,以取得設定「Identity Manager 密碼同步化」的任何其他步驟或資訊。 請參閱 Identity Manager 驅動程式

  5. 以啟用之「通用密碼」建立密碼規則,開啟使用者的「通用密碼」。

    請參閱《密碼管理管理指南》中的「建立密碼規則」。如果您先前將「通用密碼」與 NetWare 6.5 搭配使用,則可以在《密碼管理管理指南》的「(僅限 NetWare 6.5) 重新建立通用密碼指定」中找到部份額外的步驟。

    建議您將密碼規則儘量指定為網路樹中的高層級。

    「組態選項」頁面具有如何讓 NMAS 將不同密碼同步化的選項。 預設值應可運用於大部份實作。 如需相關資訊,請參閱該網頁的線上說明。

    如需使用「密碼同步化」的案例以及如何套用密碼規則的相關資訊,請參閱節 5.8, 實作密碼同步化

    NMAS 密碼規則是使用網路樹中心的方式指定的。 相對地,「密碼同步化」是依每個驅動程式設定的。 驅動程式會在每個伺服器上安裝,且僅可管理主複製本或讀/寫複製本中的那些使用者。

    若要取得預期的「密碼同步化」結果,請確定執行「密碼同步化」驅動程式之伺服器上主複製本或讀/寫複製本中的容器,與您指定密碼規則且啟用「通用密碼」的容器相符。 將密碼規則指定給分割區根容器,可確保將密碼規則指定給該容器和次容器中的所有使用者。

5.7.4 步驟 4: 設定密碼同步化流程

確定每個已連接系統都已按照您要的方式設定密碼流程。

  1. 在 iManager 中,選取「密碼」>「密碼同步化」。

  2. 在網路樹或容器中搜尋要管理之已連接系統的驅動程式。

  3. 藉由選取驅動程式檢視密碼流程的目前設定

    此頁面列出全域組態值 (GCV)。 您可以選取選項以進行變更。

    Identity Manager 會控制進入點 (Identity Manager 所更新的密碼)。 NMAS 會根據您在「組態選項」中設定的選項,控制每一種不同密碼之間的密碼流程 (步驟 3 顯示「組態選項」頁面)。如果您選取「使用「配送密碼」進行密碼同步化」,則 Identity Manager 會直接使用「配送密碼」。 如果取消選取此選項,則 Identity Manager 會直接使用「通用密碼」。

    如需這些選項的相關資訊 (包含說明),請參閱節 5.8, 實作密碼同步化。 另請參閱線上說明。

  4. 測試密碼同步化。

    確認將 Identity Manager 密碼配送至指定的系統。

    確認指定的已連接系統將密碼發行至 Identity Manager。

    如需疑難排解祕訣,請參閱節 5.8, 實作密碼同步化