Identity Manager 中提供的「密碼同步化」功能,可讓您實作數個不同的案例。 本節說明基本案例,協助您瞭解「Identity Manager 密碼同步化」中的設定,以及 NMAS 密碼規則如何影響密碼同步化。 您可以使用一或多個案例來滿足環境的需要。
公用程式 (例如,iManager 和 Novell Client) 與 NMAS 進行通訊,而非直接更新特定的密碼。 NMAS 是決定要更新之密碼的實體。
NMAS 會根據 NMAS 密碼規則中的設定,同步化 Identity Vault 中的密碼。
非啟用之「通用密碼」的舊公用程式,會直接更新 NDS 密碼,而不是與 NMAS 進行通訊,讓 NMAS 決定所更新的密碼。 請留意使用者和 Help Desk 管理員在您的環境中使用舊公用程式的方式。 由於舊公用程式會直接更新 NDS 密碼,而不是透過 NMAS 進行更新,因此如果您在使用「通用密碼」和 NMAS 2.3,則會發生密碼漂移 (「通用密碼」和 NDS 密碼不同步)。
例如,若要確保支援「通用密碼」,請確定使用者升級至 Novell Client,而且 Help Desk 使用者僅與最新的 Novell Client 或 NetWare 版次搭配使用 ConsoleOne。
圖 5-5 使用 NMAS 同步化密碼
Identity Manager 會控制「進入點」(直接更新「通用密碼」或「配送密碼」)。 NMAS 控制 Identity Vault 中同步化密碼的流程。
在案例 1 中,Identity Manager Driver for eDirectory 可用於直接更新 NDS 密碼。 此案例基本上與 DirXML 1.x 中提供的案例相同。
在 案例 2、案例 3 和案例 4 中,Identity Manager 用於更新「通用密碼」或「配送密碼」。 Identity Manager 會透過 NMAS 執行密碼變更。 如此一來,NMAS 便可以更新 NMAS 密碼規則設定所決定的其他 Identity Vault 密碼,也可以強制執行 NMAS 密碼規則的「進階密碼規則」,讓密碼和已連接系統同步化。 在這些案例中,Identity Manager 配送至已連接系統的密碼一律為「配送密碼」。
案例 2、案例 3 與案例 4 之間的差異在於,每個已連接系統驅動程式之 NMAS 密碼規則設定和「Identity Manager 密碼同步化」設定的組合不同。
如同「密碼同步化 1.0」,您可以使用 eDirectory 驅動程式,將兩個 Identity Vault 之間的「NDS 密碼」同步化。 此案例不需要實作「通用密碼」,且可以與 eDirectory 8.6.2 或更新版本搭配使用。 用於此類密碼同步化的另一個名稱,正在同步化公用/私密金鑰配對。
此方法只能用來將 Identity Vault 之間的密碼同步化。 由於不是使用 NMAS,因此,無法用來將密碼同步化至已連接的應用程式。
表 5-11 優點: 使用 NDS 密碼在 eDirectory 之間進行密碼同步化
下圖顯示可使用 Identity Manager Driver for eDirectory,將兩個 Identity Vault 之間的 NDS 密碼同步化 (如同 DirXML 1.x)。 此案例不需要透過 NMAS。
圖 5-6 使用 NDS 密碼將兩個 Identity Vault 同步化
若要設定此類密碼同步化,請設定驅動程式的組態。
不需要。
無。
無。 「密碼同步化」頁面上驅動程式的設定,對於這個同步化「NDS 密碼」的方法沒有任何影響。
移除節 5.3.4, 驅動程式組態中所需的規則中列出的「密碼同步化」規則。 那些規則將支援「通用密碼」和「配送密碼」。 使用「公用金鑰」及「私密金鑰」屬性 (而不是這些規則) 同步化「NDS 密碼」。
請確定兩個 Identity Vault 驅動程式的驅動程式過濾器,正在為應同步化密碼的所有物件類別同步化「公用金鑰」和「私密金鑰」屬性。 範例如下圖所示。
圖 5-7 同步化私密和公用金鑰屬性
有了 Identity Manager,就可以將已連接系統密碼與 Identity Vault 中的「通用密碼」同步化。
更新「通用密碼」時,可以視您在 NMAS 密碼規則中的設定,同時更新「NDS 密碼」、「配送密碼」或「簡易密碼」。
雖然不是所有已連接系統都能提供使用者的實際密碼,但是任何已連接系統都可以將密碼發行至 Identity Manager。 例如,Active Directory 可以將使用者的實際密碼發行至 Identity Manager。 雖然 PeopleSoft 不會從 PeopleSoft 系統自行提供密碼,但是它可以提供驅動程式組態之規則中建立的啟始密碼,例如以使用者的員工 ID 或姓氏為主的密碼。不是所有驅動程式都可以訂閱 Identity Manager 的密碼變更。 請參閱節 5.2, 已連接系統支援密碼同步化。
表 5-12 優點: 使用通用密碼同步化
本案例中的圖表說明下列流程:
雖然此圖中顯示有多個已連接系統連接至 Identity Manager,但是請記住,要針對每個已連接系統驅動程式分別建立設定值。
圖 5-8 使用通用密碼同步化密碼
若要設定此類的密碼同步化,請執行下列動作:
確定您的環境已可以使用「通用密碼」。 請參閱節 5.4, 準備使用 Identity Manager 密碼同步化和通用密碼。
確定已將 NMAS 密碼規則指定到要進行此類密碼同步化之部份的 Identity Vault。
在 iManager 中,選取「
」>「 」。選取規則,然後按一下「
」。瀏覽並選取要進行密碼同步化的物件。
您可以將規則指定給整個網路樹結構 (藉由瀏覽並選取「安全性」容器中的「登入規則」物件)、分割區根容器、容器或特定的使用者。 為了簡化管理,建議您將密碼規則儘量指定至網路樹中的高層級。
在密碼規則中,確定已選取下列選項:
因為 Identity Manager 會取回「配送密碼」以將密碼配送至已連接系統,所以請務必勾選此選項,以允許雙向密碼同步化。
視需要完成密碼規則。
如果已啟用規則 (Rule),則 NMAS 會強制執行密碼規則 (Policy) 中的「進階密碼規則」。 如果不強制執行密碼規則,則取消選取「
」。如果您正在使用「進階密碼規則」,請確定這些規則 (Rule) 不會與正在訂閱密碼之任何已連接系統上的密碼規則 (Policy) 產生衝突。
在 iManager 中,選取「
」>「 」。搜尋已連接系統的驅動程式,然後選取驅動程式。
建立已連接系統驅動程式的設定。
確定已選取下列選項:
如果驅動程式資訊清單不包含「密碼發行」功能,則頁面上會顯示訊息。 這是要通知使用者,密碼無法從應用程式中取回,只能藉由使用規則在驅動程式組態中建立密碼來發行密碼。
如果已連接系統不支援接受密碼,則選項會變成灰色。
如果已連接系統提供支援,則這些設定允許雙向的密碼同步化。
您可以調整設定,以符合密碼授權來源的業務規則。 例如,如果已連接系統應訂閱密碼,而非發行密碼,則僅選取「
」。確定沒有選取「
」:在此案例中,Identity Manager 會直接更新「通用密碼」。 「配送密碼」仍然用於將密碼配送至已連接系統,但是其會由 NMAS 而非 Identity Manager 從「通用密碼」進行更新。
(選擇性) 如有必要,選取下列選項:
請記住,電子郵件通知需要填入 eDirectory「使用者」物件的 Internet EMail Address 屬性。
電子郵件通知為非侵入式, 不會影響觸發電子郵件的 XML 文件處理。 如果失敗,將不再重試,除非操作本身重試。 然而,電子郵件通知的除錯訊息會寫入追蹤檔案。
確定應該參與密碼同步化之每個驅動程式的驅動程式組態,都包含必要的 Identity Manager 程序檔密碼同步化規則。
在驅動程式組態中,規則必須在正確的位置及正確的順序。 如需規則的清單,請參閱節 5.3.4, 驅動程式組態中所需的規則。
Identity Manager 範例組態已包含規則。 如果您在升級現有的驅動程式,請利用節 5.7, 升級現有的驅動程式組態以支援密碼同步化中的指示新增規則。
針對 nspmDistributionPassword 屬性正確設定過濾器:
針對將 nspmDistributionPassword 屬性設為「
」的所有物件,請將「公用金鑰」和「私密金鑰」屬性同時設為「 」。為了確保密碼安全性,請確定您可以控制誰能擁有 Identity Manager 物件權限。
另請參閱節 5.13, 疑難排解密碼同步化中的祕訣。
下列流程圖說明 NMAS 如何處理從 Identity Manager 接收的密碼。 此案例中會將密碼同步化到「通用密碼」。 NMAS 會決定如何根據下列情況處理密碼:
圖 5-9 NMAS 如何處理從 Identity Manager 接收的密碼
圖 5-10 DSTrace 指令
本節內容主要用在解決已連接系統將密碼發行至 Identity Manager 的相關問題,但訂閱密碼的另一個已連接系統並未從這個系統接收到變更的情況。 此關係的另一個名稱是次要已連接系統,表示它會透過 Identity Manager 從第一個已連接系統接收密碼。
iManager 中的「檢查密碼狀態」任務,會使驅動程式檢查物件密碼動作。 如果有問題,請檢視下列各項:
: 檢視 Identity Manager 規則處理和潛在錯誤訊息
: 檢視 Identity Manager 驅動程式訊息
: 檢視 NDS 密碼修改
在此案例中,Identity Manager 會直接更新「配送密碼」,且可讓 NMAS 決定如何同步化其他 Identity Vault 密碼。
雖然不是所有的已連接系統都能提供使用者的實際密碼,但是任何已連接系統都可以將密碼發行至 Identity Manager。 例如,Active Directory 可以將使用者的實際密碼發行至 Identity Manager。 雖然 PeopleSoft 不會從 PeopleSoft 系統自行提供密碼,但是它可以提供驅動程式組態之規則中建立的啟始密碼,例如以使用者的員工 ID 或姓氏為主的密碼。不是所有驅動程式都可以訂閱 Identity Manager 的密碼變更。 請參閱節 5.2, 已連接系統支援密碼同步化。
表 5-13 優點: 藉由更新配送密碼將 Identity Vault 與已連接系統同步化
優點 |
缺點 |
---|---|
允許將 Identity Manager 與已連接系統之間的密碼同步化。 讓您選擇是否要強制執行來自已連接系統之密碼的密碼規則。 如果密碼同步化失敗,您可以指定傳送通知。 如果強制執行密碼規則,當密碼不符合規則時,可以選擇將已連接系統上的密碼重設為「配送密碼」。 |
|
本案例中的圖表說明下列流程:
雖然在此圖中多個已連接系統顯示為連接至 Identity Manager,但是請務必針對每個已連接系統驅動程式個別建立設定值。
圖 5-11 藉由更新配送密碼將 Identity Vault 與已連接系統同步化
設定此類密碼同步化:
確定您的環境已可以使用「通用密碼」。 請參閱節 5.4, 準備使用 Identity Manager 密碼同步化和通用密碼。
在 iManager 中,選取「
」>「 」。確定已將密碼規則指定到要進行此類密碼同步化之部份的 Identity Vault 網路樹。 您可以將其指定到整個樹狀結構、分割區根容器、容器或特定使用者。 為了簡化管理,建議您將密碼規則儘量指定至網路樹中的高層級。
在密碼規則中,確定已選取下列選項:
由於 Identity Manager 會取回「配送密碼」以將密碼配送至已連接系統,所以一定要選取此選項,才能進行雙向的密碼同步化。
如果您使用「進階密碼規則」,請確定這些規則不會與正在訂閱密碼之任何已連接系統上的密碼規則產生衝突。
在 iManager 中,選取「
」>「 」。搜尋已連接系統的驅動程式,然後選取驅動程式。
建立已連接系統驅動程式的設定值。
確定已選取下列選項:
如果驅動程式資訊清單不包含「密碼發行」功能,則頁面上會顯示訊息。 這是要通知使用者,密碼無法從應用程式中取回,只能藉由使用規則在驅動程式組態中建立密碼來發行密碼。
如果已連接系統有提供支援,則這些設定允許雙向的密碼同步化。
您可以調整設定,以符合密碼授權來源的業務規則。 例如,如果已連接系統應訂閱密碼,而非發行密碼,則僅選取「
」。使用「
」下面的選項,指定要強制執行還是忽略 NMAS 密碼規則。(條件式) 如果您已指定要強制執行密碼規則,也請指定如果密碼不符合規則時,是否要讓 Identity Manager 重設已連接系統密碼。
(選擇性) 如有必要,請選取下列選項:
請記住,電子郵件通知需要填入 eDirectory 使用者物件的 Internet EMail Address 屬性。
電子郵件通知為非侵入式, 不會影響觸發電子郵件的 XML 文件處理。 如果失敗,將不再重試,除非操作本身重試。 然而,電子郵件通知的除錯訊息會寫入追蹤檔案。
確定應該參與密碼同步化之每個驅動程式的驅動程式組態,都包含必要的 Identity Manager 程序檔密碼同步化規則。
在驅動程式組態中,規則必須在正確的位置及正確的順序。 如需規則的清單,請參閱節 5.3.4, 驅動程式組態中所需的規則。
Identity Manager 範例組態已包含規則。 如果您升級現有的驅動程式,請利用節 5.7, 升級現有的驅動程式組態以支援密碼同步化的指示新增規則。
針對 nspmDistributionPassword 屬性正確設定過濾器:
針對將 nspmDistributionPassword 屬性設為「
」的所有物件,將驅動程式過濾器中的「公用金鑰」和「私密金鑰」屬性同時設為「 」。為了確保密碼安全性,請確定您可以控制誰能擁有 Identity Manager 物件權限。
另請參閱節 5.13, 疑難排解密碼同步化中的祕訣。
下列流程圖說明 NMAS 如何處理從 Identity Manager 接收的密碼。 在此案例中,密碼會同步化到「通用密碼」,且 NMAS 會決定下列內容:
圖 5-12 將 Identity Manager 的密碼同步化到配送密碼
圖 5-13 DSTrace 指令
現在 Novell Client 和 ConsoleOne 已有可辨識「通用密碼」的新版本。 請參閱《Novell 模組化驗證服務 (NMAS) 3.0 管理指南》。
本節內容主要用在解決已連接系統將密碼發行至 Identity Manager 的相關問題,但是訂閱密碼的另一個已連接系統並未從這個系統接收到變更的情況。 此關係的另一個名稱是次要已連接系統,表示它會透過 Identity Manager 從第一個已連接系統接收密碼。
Identity Manager 會使用「配送密碼」,將密碼同步化到已連接系統。 針對此同步化方法,「通用密碼」必須與「配送密碼」同步化。
電子郵件通知為非侵入式, 不會影響觸發電子郵件的 XML 文件處理。 如果失敗,將不再重試,除非操作本身重試。 電子郵件通知的除錯訊息會寫入追蹤檔案。
iManager 中的「檢查密碼狀態」任務,會使驅動程式執行檢查物件密碼動作。
如果驅動程式資訊清單未指出已連接系統支援密碼檢查功能,則無法透過 iManager 進行此操作。
: 檢視 Identity Manager 規則處理和潛在錯誤訊息。
: 檢視 Identity Manager 驅動程式訊息
檢視 NDS 密碼修改
Identity Manager 可讓您將已連接的系統之間的密碼同步化,同時使用不同的 Identity Vault 密碼。 這就是所謂的「通道封裝」。
在此案例中,Identity Manager 會直接更新「配送密碼」。 此案例與節 5.8.4, 案例 3: Identity Manager 更新配送密碼後,將 Identity Vault 與已連接系統同步化幾乎是相同的。 不同之處在於,要確定「通用密碼」與「配送密碼」之間未進行同步化。 藉由不使用 NMAS 密碼規則,或使用密碼規則但停用「 」選項,即可執行此項操作。
表 5-14 通道封裝的優點
本案例中的圖表說明下列流程:
此案例的關鍵是,在 NMAS 密碼規則中,「
」已停用。 由於「配送密碼」未與「通用密碼」同步化,所以 Identity Manager 會將已連接系統之間的密碼同步化,而不影響 Identity Vault 中的密碼。雖然在此圖中多個已連接系統顯示為連接至 Identity Manager,但是請務必針對每個已連接系統驅動程式個別建立設定值。
圖 5-14 Identity Manager 更新配送密碼後通道封裝
若要設定此類密碼同步化,請設定下列項目的組態:
雖然您不需要有啟用「通用密碼」的密碼規則,但是環境仍然必須使用支援「通用密碼」的 eDirectory 8.7.3。 請參閱節 5.4, 準備使用 Identity Manager 密碼同步化和通用密碼。
針對此方法,Identity Vault 使用者不需要任何密碼規則。
然而,如果您使用密碼規則,則必須執行下列動作:
確定未選取下列選項:
這是通道封裝密碼而不影響 Identity Vault 密碼的關鍵。 不將「通用密碼」與「配送密碼」同步化,會使「配送密碼」區分開來,僅讓 Identity Manager 用在已連接系統上。 Identity Manager 的作用如同管道,在其他已連接系統之間配送密碼,而不會影響 Identity Vault 密碼。
視需要完成其他密碼規則設定。
密碼規則中的其他密碼設定是選擇性的。
如果針對通道封裝設定密碼同步化,則「配送密碼」會與「通用密碼」和「NDS 密碼」不同。
另請參閱節 5.13, 疑難排解密碼同步化中的祕訣。
本節內容主要用在解決已連接系統將密碼發行至 Identity Manager 的相關問題,但是訂閱密碼的另一個已連接系統並未從這個系統接收到變更的情況。 此關係的另一個名稱是次要已連接系統,表示它會透過 Identity Manager 從第一個已連接系統接收密碼。
Identity Manager 會使用「配送密碼」,將密碼同步化到已連接系統。 針對此同步化方法,「通用密碼」必須與「配送密碼」同步化。
電子郵件通知為非侵入式, 不會影響觸發電子郵件的 XML 文件處理。 如果失敗,將不再重試,除非操作本身重試。 電子郵件通知的除錯訊息會寫入追蹤檔案。
iManager 中的「檢查密碼狀態」任務,會使驅動程式執行「檢查物件密碼」動作。
如果驅動程式資訊清單未指出已連接系統支援密碼檢查功能,則無法透過 iManager 進行此操作。
: 檢視 Identity Manager 規則處理和潛在錯誤訊息。
: 檢視 Identity Manager 驅動程式訊息
: 檢視 NDS 密碼修改
: 檢視 NDS DCLient 訊息
此案例為密碼同步化功能所專用。 使用 Identity Manager 和 NMAS,即可從已連接系統取得密碼,並直接將它同步化到 Identity Vault「簡易密碼」。 如果已連接系統僅提供雜湊密碼,則可以將它們同步化到「簡易密碼」,而無需回復雜湊。 然後,其他應用程式可以透過 LDAP 或 Novell Client,使用相同的純文字或雜湊密碼向 Identity Vault 驗證,且已設定好 NMAS 元件的組態為使用「簡易密碼」做為登入方法。
如果已連接系統中的密碼是純文字格式,便可以從已連接系統發行到 Identity Vault「簡易密碼」儲存區中。
如果已連接系統僅提供雜湊密碼 (支援 MD5、SHA、SHA1 或 UNIX Crypt),則您必須將它們發行至「簡易密碼」,並指出雜湊類型,例如 {MD5}。
如要另一個應用程式以相同密碼進行驗證,您需要自定其他應用程式,以使用 LDAP 取得使用者密碼並向「簡易密碼」驗證。
NMAS 會比較應用程式的密碼值和「簡易密碼」中的值。 如果儲存在「簡易密碼」中的密碼是雜湊值,則 NMAS 會在比較之前,先使用應用程式密碼值來建立正確類型的雜湊值。 如果應用程式的密碼和「簡易密碼」相同,則 NMAS 會驗證使用者。
在此案例中,「通用密碼」無法使用。
表 5-15 同步化到 NDS 密碼的優點
優點 |
缺點 |
---|---|
|
|
圖 5-15 同步化到 NDS 密碼
此案例的使用者不需要任何密碼規則。 「通用密碼」無法使用。
在此案例中,您可使用 Identity Manager 程序檔直接修改 SAS:Login Configuration 屬性。 這表示,使用 iManager 中「密碼同步化」頁面設定的「密碼同步化」全域組態值 (GCV) 無效。
確定過濾器中的 SAS:Login Configuration 屬性具有「發行者」和「訂閱者」通道的「
」設定。設定驅動程式規則的組態,發行已連接系統的密碼。
針對雜湊密碼,設定驅動程式規則的組態,以預加雜湊類型 (如果應用程式尚未提供):
此密碼以 Base 64 編碼。
此密碼以 Base 64 編碼。
純文字密碼和 Unix Crypt 密碼雜湊不是以 Base64 編碼。
若要將密碼置入「簡易密碼」中,可設定驅動程式規則的組態,以修改 SAS:Login Configuration 屬性。
下列範例說明了如何在修改操作中使用 modify-attr 元素,將「簡易密碼」變更為 MD5 雜湊密碼:
<modify-attr attr-name="SAS:Login Configuration> <add-value> <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value> </add-value> </modify-attr>
針對純文字密碼,請遵循此範例。
<modify-attr attr-name="SAS:Login Configuration> <add-value> <value>clearpwd</value> </add-value> </modify-attr>
對於新增操作,add-attr 元素會包含下列其中一項:
<add-attr attr-name="SAS:Login Configuration> <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value> </add-attr>
或
<add-attr attr-name="SAS:Login Configuration> <value>clearpwd</value> </add-attr>