Novell Documentation: Novell Identity Manager 3 - 密碼同步化的先決條件

5.3 密碼同步化的先決條件

「密碼同步化」取決於已備妥的下列元素：

5.3.1 支援通用密碼

若要在已連接系統中進行密碼同步化，Identity Manager 需要「通用密碼」。請參閱下列內容：

《密碼管理管理指南》中的「部署通用密碼」
節 5.4.3, 準備使用通用密碼

5.3.2 在驅動程式資訊清單中宣告的密碼同步化功能

驅動程式資訊清單宣告已連接系統是否支援下列密碼同步化功能：

將使用者實際密碼發行至 Identity Manager
接受來自 Identity Manager 的密碼
資訊清單不會區分是接受啟始密碼的建立還是接受密碼的修改。
允許 Identity Manager 檢查已連接系統上的密碼，以決定使用者的密碼同步化狀態。

附註：驅動程式資訊清單由驅動程式開發人員或建立驅動程式組態的 Identity Manager 專家撰寫。它不該由網路管理員進行編輯。驅動程式資訊清單代表驅動程式 Shim 和組態的真正功能。只變更資訊清單不會變更功能。若要新增功能，則需要增強驅動程式 Shim、已連接系統或驅動程式組態。

與 Identity Manager 一併提供的範例驅動程式組態包含驅動程式資訊清單項目。若要將這些項目新增至現有驅動程式，請參閱節 5.7, 升級現有的驅動程式組態以支援密碼同步化。

5.3.3 使用全域組態值控制密碼同步化

全域組態值可讓您設定可在規則中參考的常數值。全域組態值有時稱為伺服器變數，因為它們保留在每個複製本的屬性中。

針對「密碼同步化」，全域組態值可讓您建立在 Identity Manager 中流入和流出的密碼設定。因為驅動程式組態中的 Identity Manager 密碼同步化規則經過撰寫，會隨全域組態值中的設定進行不同的行為，所以無需編輯規則即可輕鬆變更密碼流程。

使用全域組態值，您可以分別控制每個已連接系統的下列設定。

表 5-6 已連接系統的設定

設定	描述
Identity Manager 是否接受來自已連接系統的密碼	此設定適用於由已連接系統提供的密碼，以及「發行者」通道上驅動程式組態中 Identity Manager 規則建立的密碼。如果您停用此設定，則會將這兩種密碼排除在外，以便它們不會到達 Identity Manager。
Identity Manager 使用的同步化方法：直接更新「通用密碼」，或直接更新「配送密碼」	Identity Manager 控制進入點 (Identity Manager 所更新的密碼)。 NMAS 會根據您在 NMAS 密碼規則中的設定，控制每個不同種類密碼之間的密碼流程。若要檢視 NMAS 密碼規則，請執行下列動作：在 iManager 中，選取「密碼」>「密碼規則」。選取「密碼規則清單」中的規則。按一下「編輯」。從下拉式清單或索引標籤選取選項 (視您所使用的 iManager 版本而定)。如需使用這些方法的案例，請參閱 5.8 節「實作密碼同步化」。
是否針對從已連接系統進入 Identity Manager 的密碼強制執行 NMAS 密碼規則	如果強制執行這些規則，則正在進入的不相容密碼不會寫入 Identity Manager 資料儲存。
Identity Manager 是否藉由重設與規則不一致的密碼，在已連接系統上使用 Identity Manager 密碼來強制執行 NMAS 密碼規則。	如果已連接系統不支援此選項 (如在驅動程式資訊清單中宣告的一樣)，則該選項在 NMAS 介面中會變成灰色。只有密碼操作在「發行者」通道上失敗之後，才會重設密碼。
已連接系統是否接受密碼	此設定適用於由 Identity Manager 配送的密碼，以及「訂閱者」通道上驅動程式組態中 Identity Manager 規則建立的密碼。如果您停用此設定，則會將這兩種密碼排除在外，以便它們不會到達已連接系統。如果已連接系統不支援此選項 (如在驅動程式資訊清單中宣告的一樣)，則該選項在介面中會變成灰色。
當密碼未同步化時，是否會以電子郵件通知使用者	自動將電子郵件傳送至受影響的使用者。

與 Identity Manager 一併提供的驅動程式組態包含驅動程式資訊清單項目。若要將這些項目新增至現有驅動程式，請參閱節 5.7, 升級現有的驅動程式組態以支援密碼同步化。

若要編輯全域組態值，請執行下列動作：

在 iManager 中，選取「密碼」>「密碼同步化」。
搜尋驅動程式。

在您指定要搜尋已連接系統驅動程式的位置之後，iManager 會顯示它找到的所有已連接系統驅動程式密碼流程設定之綜覽。
若要檢視設定，請按一下驅動程式名稱。

「修改驅動程式」頁面會顯示「密碼同步化」的全域組態值。

如果此頁面上有選項變成灰色，則驅動程式資訊清單顯示已連接系統不支援該選項。
進行變更，然後按一下「確定」。

附註：您可以分別在每個驅動程式上設定全域組態值。驅動程式上的全域組態值會置換驅動程式集上的那些全域組態值。在特定驅動程式上設定值可為您提供更加具體的控制。此頁面只顯示在個別驅動程式上呈現的全域組態值。

如果您在「驅動程式集」物件上設定全域組態值，則當驅動程式自身沒有值時，在該驅動程式集中的驅動程式會繼承那些值。如果驅動程式沒有其自身的設定，而是繼承驅動程式集的全域組態值，則 iManager 不會顯示它們。雖然 iManager 不顯示繼承的全域組態值，但是它們仍然受密碼同步化規則的限制。

5.3.4 驅動程式組態中所需的規則

每個驅動程式之「發行者」和「訂閱者」通道上的 Identity Manager 規則都會根據上面所述之全域組態變數中的設定，來控制密碼流程。這些規則包含於 Identity Manager 的驅動程式組態中。

如果您要升級現有的驅動程式組態，而不是取代它，則必須將某些規則新增至該組態 (請參閱節 5.7, 升級現有的驅動程式組態以支援密碼同步化)。若要讓密碼同步化運作，這些規則必須位於驅動程式組態中的正確位置。

發行者指令轉換集中所需的規則

「密碼同步化規則名稱」欄中列出的規則必須以列出的順序呈現。同時，它們必須是「發行者指令轉換」規則集中的最終規則。

表 5-7 發行者指令轉換集中所需的規則

驅動程式組態中的位置	密碼同步化規則名稱	規則執行的動作
發行者指令轉換	密碼(發行者)：預設密碼規則	如果「新增」物件尚未包含密碼，則將預設密碼新增至該「新增」物件。此規則和「密碼(發行者)：預設密碼規則」是您可以修改或移除的僅有規則。若要讓密碼同步化功能正常運作，使用其他規則時，不應有任何變更。
	密碼(發行者)：檢查密碼 GCV	檢查全域組態值 (GCV) 以判定您是否已指定 Identity Manager 接受來自此已連接系統的密碼。如果尚未指定，則會將所有的密碼元素排除在外。全域組態值 (GCV) 的名稱是 enable-password-publish，顯示名稱是「Identity Manager 接受來自應用程式的密碼」。
	密碼(發行者)：發行配送密碼	將 <`password`> 元素轉換為允許更新「通用密碼」的格式。此規則參考下列全域組態值 (GCV)： publish-password-to-dp enforce-password-policy
	密碼(發行者)：發行 NDS 密碼	如果您已指定應更新 NDS 密碼，則接受 <`password`> 元素。如果未指定，則會將 <`password`> 元素排除在外。此規則會參考名為 publish-password-to-nds 的全域組態值 (GCV)。
	密碼(發行者)：新增密碼封包內容	放入封包內容資料中，該資料在引擎中傳遞以進行電子郵件通知。
	密碼(訂閱者)：新增密碼封包內容	放入封包內容資料中，該資料在引擎中傳遞以進行電子郵件通知。

發行者輸入轉換規則集中所需的規則

如果「輸入轉換」中有多個規則，建議您將「密碼(發行者)：訂閱電子郵件通知」規則列在最後。

表 5-8 發行者輸入轉換規則集中所需的規則

驅動程式組態中的位置	密碼同步化規則名稱	規則執行的動作
發行者輸入轉換	密碼(發行者)：訂閱電子郵件通知	如果接收到密碼封包內容資訊，且狀態顯示有問題，則會向使用者傳送電子郵件。它會將郵件傳送至 eDirectory 之 Internet EMail Address 屬性中指出的使用者電子郵件地址。此規則參考名為 notify-user-on-password-dist-failure 的全域組態值 (GCV)，以判定是否要傳送通知電子郵件。

驅動程式組態中的位置

密碼同步化規則名稱

規則執行的動作

發行者輸入轉換

密碼(發行者)：訂閱電子郵件通知

如果接收到密碼封包內容資訊，且狀態顯示有問題，則會向使用者傳送電子郵件。它會將郵件傳送至 eDirectory 之 Internet EMail Address 屬性中指出的使用者電子郵件地址。

此規則參考名為 notify-user-on-password-dist-failure 的全域組態值 (GCV)，以判定是否要傳送通知電子郵件。

訂閱者指令轉換規則集中所需的規則

「密碼同步化規則名稱」欄中列出的規則必須以列示的順序呈現。同時，它們必須是「訂閱者指令轉換」規則集中的最終規則。

表 5-9 訂閱者指令轉換規則集中所需的規則

驅動程式組態中的位置	密碼同步化規則名稱	規則執行的動作
訂閱者指令轉換	密碼(訂閱者)：轉換配送密碼	將「通用密碼」轉換為 <`password`> 元素。
	密碼(訂閱者)：預設密碼規則	如果「新增」物件尚未包含密碼，則將預設密碼新增至該「新增」物件。此規則和「密碼(發行者)：預設密碼規則」是您可以修改或移除的僅有規則。若要讓密碼同步化功能正常運作，使用其他規則時，不應有任何變更。
	密碼(訂閱者)：檢查密碼 GCV	檢查全域組態值 (GCV) 以判定您是否已指定已連接的系統接受密碼。如果尚未指定，則會將所有的密碼元素排除在外。全域組態值 (GCV) 的名稱是 enable-password-subscribe，顯示名稱是「應用程式接受來自 Identity Manager 資料儲存的密碼」。
	密碼(訂閱者)：新增密碼封包內容	放入密碼封包內容資料中，該資料在引擎中傳遞以進行電子郵件通知。

訂閱者輸出轉換規則集中所需的規則

如果在「輸出轉換」中有多個規則，建議您將「密碼(訂閱者)：發行者電子郵件通知」規則列在最後。

表 5-10 訂閱者輸出轉換規則集中所需的規則

驅動程式組態中的位置	密碼同步化規則名稱	規則執行的動作
訂閱者輸出轉換	密碼(訂閱者)：發行者電子郵件通知	如果接收到密碼封包內容資訊，且狀態顯示有問題，則會向使用者傳送電子郵件。此規則參考名為 notify-user-on-password-dist-failure 的全域組態值 (GCV)，以判定是否要傳送通知電子郵件。

驅動程式組態中的位置

密碼同步化規則名稱

規則執行的動作

訂閱者輸出轉換

密碼(訂閱者)：發行者電子郵件通知

如果接收到密碼封包內容資訊，且狀態顯示有問題，則會向使用者傳送電子郵件。

此規則參考名為 notify-user-on-password-dist-failure 的全域組態值 (GCV)，以判定是否要傳送通知電子郵件。

5.3.5 安裝在已連接系統上以擷取密碼的過濾器

針對 AD、NT Domain 和 NIS，必須安裝過濾器來擷取使用者的密碼。

請參閱節 5.9, 設定密碼過濾器。

5.3.6 針對使用者建立的 NMAS 密碼規則

雖然您可以在不具有「通用密碼」的情況下使用「密碼同步化」的部份功能，但是必須使用 NMAS 密碼規則為使用者啟用「通用密碼」。密碼規則 (Policy) 也可讓您指定「進階密碼規則 (Rule)」，並指定是否檢查使用者現有密碼與規則 (Rule) 的相符性。

若要使用「Identity Manager 密碼同步化」，您必須瞭解密碼規則。您可以在《密碼管理管理指南》的「使用密碼規則管理密碼」中瞭解密碼規則。

5.3.7 NMAS 登入方法

在某些情況下，您必須具有可用的「NMAS 簡易密碼登入方法」，才能執行密碼功能。例如，LDAP 就需要它。

如需登入方法的相關資訊，請參閱《Novell 模組化驗證服務 (NMAS) 3.0 管理指南》。