5.3 密碼同步化的先決條件
「密碼同步化」取決於已備妥的下列元素:
5.3.1 支援通用密碼
若要在已連接系統中進行密碼同步化,Identity Manager 需要「通用密碼」。 請參閱下列內容:
5.3.2 在驅動程式資訊清單中宣告的密碼同步化功能
驅動程式資訊清單宣告已連接系統是否支援下列密碼同步化功能:
附註:驅動程式資訊清單由驅動程式開發人員或建立驅動程式組態的 Identity Manager 專家撰寫。 它不該由網路管理員進行編輯。 驅動程式資訊清單代表驅動程式 Shim 和組態的真正功能。 只變更資訊清單不會變更功能。 若要新增功能,則需要增強驅動程式 Shim、已連接系統或驅動程式組態。
與 Identity Manager 一併提供的範例驅動程式組態包含驅動程式資訊清單項目。 若要將這些項目新增至現有驅動程式,請參閱節 5.7, 升級現有的驅動程式組態以支援密碼同步化。
5.3.3 使用全域組態值控制密碼同步化
全域組態值可讓您設定可在規則中參考的常數值。 全域組態值有時稱為伺服器變數,因為它們保留在每個複製本的屬性中。
針對「密碼同步化」,全域組態值可讓您建立在 Identity Manager 中流入和流出的密碼設定。 因為驅動程式組態中的 Identity Manager 密碼同步化規則經過撰寫,會隨全域組態值中的設定進行不同的行為,所以無需編輯規則即可輕鬆變更密碼流程。
使用全域組態值,您可以分別控制每個已連接系統的下列設定。
表 5-6 已連接系統的設定
Identity Manager 是否接受來自已連接系統的密碼 |
此設定適用於由已連接系統提供的密碼,以及「發行者」通道上驅動程式組態中 Identity Manager 規則建立的密碼。 如果您停用此設定,則會將這兩種密碼排除在外,以便它們不會到達 Identity Manager。 |
Identity Manager 使用的同步化方法: 直接更新「通用密碼」,或直接更新「配送密碼」 |
Identity Manager 控制進入點 (Identity Manager 所更新的密碼)。 NMAS 會根據您在 NMAS 密碼規則中的設定,控制每個不同種類密碼之間的密碼流程。 若要檢視 NMAS 密碼規則,請執行下列動作:
- 在 iManager 中,選取「」>「」。
- 選取「」中的規則。
- 按一下「」。
- 從下拉式清單或索引標籤選取選項 (視您所使用的 iManager 版本而定)。
如需使用這些方法的案例,請參閱 5.8 節「實作密碼同步化」。 |
是否針對從已連接系統進入 Identity Manager 的密碼強制執行 NMAS 密碼規則 |
如果強制執行這些規則,則正在進入的不相容密碼不會寫入 Identity Manager 資料儲存。 |
Identity Manager 是否藉由重設與規則不一致的密碼,在已連接系統上使用 Identity Manager 密碼來強制執行 NMAS 密碼規則。 |
如果已連接系統不支援此選項 (如在驅動程式資訊清單中宣告的一樣),則該選項在 NMAS 介面中會變成灰色。 只有密碼操作在「發行者」通道上失敗之後,才會重設密碼。 |
已連接系統是否接受密碼 |
此設定適用於由 Identity Manager 配送的密碼,以及「訂閱者」通道上驅動程式組態中 Identity Manager 規則建立的密碼。 如果您停用此設定,則會將這兩種密碼排除在外,以便它們不會到達已連接系統。
如果已連接系統不支援此選項 (如在驅動程式資訊清單中宣告的一樣),則該選項在介面中會變成灰色。 |
當密碼未同步化時,是否會以電子郵件通知使用者 |
自動將電子郵件傳送至受影響的使用者。 |
與 Identity Manager 一併提供的驅動程式組態包含驅動程式資訊清單項目。 若要將這些項目新增至現有驅動程式,請參閱節 5.7, 升級現有的驅動程式組態以支援密碼同步化。
若要編輯全域組態值,請執行下列動作:
-
在 iManager 中,選取「」>「」。
-
搜尋驅動程式。
在您指定要搜尋已連接系統驅動程式的位置之後,iManager 會顯示它找到的所有已連接系統驅動程式密碼流程設定之綜覽。
-
若要檢視設定,請按一下驅動程式名稱。
「修改驅動程式」頁面會顯示「密碼同步化」的全域組態值。
如果此頁面上有選項變成灰色,則驅動程式資訊清單顯示已連接系統不支援該選項。
-
進行變更,然後按一下「」。
附註:您可以分別在每個驅動程式上設定全域組態值。 驅動程式上的全域組態值會置換驅動程式集上的那些全域組態值。 在特定驅動程式上設定值可為您提供更加具體的控制。 此頁面只顯示在個別驅動程式上呈現的全域組態值。
如果您在「驅動程式集」物件上設定全域組態值,則當驅動程式自身沒有值時,在該驅動程式集中的驅動程式會繼承那些值。 如果驅動程式沒有其自身的設定,而是繼承驅動程式集的全域組態值,則 iManager 不會顯示它們。 雖然 iManager 不顯示繼承的全域組態值,但是它們仍然受密碼同步化規則的限制。
5.3.4 驅動程式組態中所需的規則
每個驅動程式之「發行者」和「訂閱者」通道上的 Identity Manager 規則都會根據上面所述之全域組態變數中的設定,來控制密碼流程。這些規則包含於 Identity Manager 的驅動程式組態中。
如果您要升級現有的驅動程式組態,而不是取代它,則必須將某些規則新增至該組態 (請參閱節 5.7, 升級現有的驅動程式組態以支援密碼同步化)。若要讓密碼同步化運作,這些規則必須位於驅動程式組態中的正確位置。
發行者指令轉換集中所需的規則
「密碼同步化規則名稱」欄中列出的規則必須以列出的順序呈現。 同時,它們必須是「發行者指令轉換」規則集中的最終規則。
表 5-7 發行者指令轉換集中所需的規則
發行者指令轉換
|
密碼(發行者):預設密碼規則 |
如果「新增」物件尚未包含密碼,則將預設密碼新增至該「新增」物件。
此規則和「密碼(發行者):預設密碼規則」是您可以修改或移除的僅有規則。 若要讓密碼同步化功能正常運作,使用其他規則時,不應有任何變更。 |
密碼(發行者):檢查密碼 GCV |
檢查全域組態值 (GCV) 以判定您是否已指定 Identity Manager 接受來自此已連接系統的密碼。 如果尚未指定,則會將所有的密碼元素排除在外。
全域組態值 (GCV) 的名稱是 enable-password-publish,顯示名稱是「」。 |
密碼(發行者):發行配送密碼 |
將 <password> 元素轉換為允許更新「通用密碼」的格式。
此規則參考下列全域組態值 (GCV):
- publish-password-to-dp
- enforce-password-policy
|
密碼(發行者):發行 NDS 密碼 |
如果您已指定應更新 NDS 密碼,則接受 <password> 元素。 如果未指定,則會將 <password> 元素排除在外。
此規則會參考名為 publish-password-to-nds 的全域組態值 (GCV)。 |
密碼(發行者):新增密碼封包內容 |
放入封包內容資料中,該資料在引擎中傳遞以進行電子郵件通知。 |
|
密碼(訂閱者):新增密碼封包內容 |
放入封包內容資料中,該資料在引擎中傳遞以進行電子郵件通知。 |
發行者輸入轉換規則集中所需的規則
如果「輸入轉換」中有多個規則,建議您將「密碼(發行者):訂閱電子郵件通知」規則列在最後。
表 5-8 發行者輸入轉換規則集中所需的規則
發行者輸入轉換
|
密碼(發行者):訂閱電子郵件通知 |
如果接收到密碼封包內容資訊,且狀態顯示有問題,則會向使用者傳送電子郵件。 它會將郵件傳送至 eDirectory 之 Internet EMail Address 屬性中指出的使用者電子郵件地址。
此規則參考名為 notify-user-on-password-dist-failure 的全域組態值 (GCV),以判定是否要傳送通知電子郵件。 |
訂閱者指令轉換規則集中所需的規則
「密碼同步化規則名稱」欄中列出的規則必須以列示的順序呈現。 同時,它們必須是「訂閱者指令轉換」規則集中的最終規則。
表 5-9 訂閱者指令轉換規則集中所需的規則
訂閱者指令轉換
|
密碼(訂閱者):轉換配送密碼 |
將「通用密碼」轉換為 <password> 元素。 |
密碼(訂閱者):預設密碼規則 |
如果「新增」物件尚未包含密碼,則將預設密碼新增至該「新增」物件。
此規則和「密碼(發行者):預設密碼規則」是您可以修改或移除的僅有規則。 若要讓密碼同步化功能正常運作,使用其他規則時,不應有任何變更。 |
密碼(訂閱者):檢查密碼 GCV |
檢查全域組態值 (GCV) 以判定您是否已指定已連接的系統接受密碼。 如果尚未指定,則會將所有的密碼元素排除在外。
全域組態值 (GCV) 的名稱是 enable-password-subscribe,顯示名稱是「」。 |
密碼(訂閱者):新增密碼封包內容 |
放入密碼封包內容資料中,該資料在引擎中傳遞以進行電子郵件通知。 |
訂閱者輸出轉換規則集中所需的規則
如果在「輸出轉換」中有多個規則,建議您將「密碼(訂閱者):發行者電子郵件通知」規則列在最後。
表 5-10 訂閱者輸出轉換規則集中所需的規則
訂閱者輸出轉換
|
密碼(訂閱者):發行者電子郵件通知 |
如果接收到密碼封包內容資訊,且狀態顯示有問題,則會向使用者傳送電子郵件。
此規則參考名為 notify-user-on-password-dist-failure 的全域組態值 (GCV),以判定是否要傳送通知電子郵件。 |
5.3.5 安裝在已連接系統上以擷取密碼的過濾器
針對 AD、NT Domain 和 NIS,必須安裝過濾器來擷取使用者的密碼。
請參閱節 5.9, 設定密碼過濾器。
5.3.6 針對使用者建立的 NMAS 密碼規則
雖然您可以在不具有「通用密碼」的情況下使用「密碼同步化」的部份功能,但是必須使用 NMAS 密碼規則為使用者啟用「通用密碼」。 密碼規則 (Policy) 也可讓您指定「進階密碼規則 (Rule)」,並指定是否檢查使用者現有密碼與規則 (Rule) 的相符性。
若要使用「Identity Manager 密碼同步化」,您必須瞭解密碼規則。 您可以在《密碼管理管理指南》的「使用密碼規則管理密碼」中瞭解密碼規則。