5.8 實作密碼同步化

Identity Manager 中提供的「密碼同步化」功能,可讓您實作數個不同的案例。 本節說明基本案例,協助您瞭解「Identity Manager 密碼同步化」中的設定,以及 NMAS 密碼規則如何影響密碼同步化。 您可以使用一或多個案例來滿足環境的需要。

5.8.1 Identity Manager 與 NMAS 之間關係的概觀

公用程式和 NMAS

公用程式 (例如,iManager 和 Novell Client) 與 NMAS 進行通訊,而非直接更新特定的密碼。 NMAS 是決定要更新之密碼的實體。

NMAS 會根據 NMAS 密碼規則中的設定,同步化 Identity Vault 中的密碼。

非啟用之「通用密碼」的舊公用程式,會直接更新 NDS 密碼,而不是與 NMAS 進行通訊,讓 NMAS 決定所更新的密碼。 請留意使用者和 Help Desk 管理員在您的環境中使用舊公用程式的方式。 由於舊公用程式會直接更新 NDS 密碼,而不是透過 NMAS 進行更新,因此如果您在使用「通用密碼」和 NMAS 2.3,則會發生密碼漂移 (「通用密碼」和 NDS 密碼不同步)。

例如,若要確保支援「通用密碼」,請確定使用者升級至 Novell Client,而且 Help Desk 使用者僅與最新的 Novell Client 或 NetWare 版次搭配使用 ConsoleOne。

圖 5-5 使用 NMAS 同步化密碼

公用程式透過 NMAS 更新密碼,直接更新 NDS 密碼的舊公用程式除外

Identity Manager 和 NMAS

Identity Manager 會控制「進入點」(直接更新「通用密碼」或「配送密碼」)。 NMAS 控制 Identity Vault 中同步化密碼的流程。

案例 1 中,Identity Manager Driver for eDirectory 可用於直接更新 NDS 密碼。 此案例基本上與 DirXML 1.x 中提供的案例相同。

案例 2案例 3案例 4 中,Identity Manager 用於更新「通用密碼」或「配送密碼」。 Identity Manager 會透過 NMAS 執行密碼變更。 如此一來,NMAS 便可以更新 NMAS 密碼規則設定所決定的其他 Identity Vault 密碼,也可以強制執行 NMAS 密碼規則的「進階密碼規則」,讓密碼和已連接系統同步化。 在這些案例中,Identity Manager 配送至已連接系統的密碼一律為「配送密碼」。

案例 2、案例 3 與案例 4 之間的差異在於,每個已連接系統驅動程式之 NMAS 密碼規則設定和「Identity Manager 密碼同步化」設定的組合不同。

5.8.2 案例 1: 使用 NDS 密碼將兩個 Identity Vault 同步化

如同「密碼同步化 1.0」,您可以使用 eDirectory 驅動程式,將兩個 Identity Vault 之間的「NDS 密碼」同步化。 此案例不需要實作「通用密碼」,且可以與 eDirectory 8.6.2 或更新版本搭配使用。 用於此類密碼同步化的另一個名稱,正在同步化公用/私密金鑰配對。

此方法只能用來將 Identity Vault 之間的密碼同步化。 由於不是使用 NMAS,因此,無法用來將密碼同步化至已連接的應用程式。

案例 1 的優點和缺點

表 5-11 優點: 使用 NDS 密碼在 eDirectory 之間進行密碼同步化

優點

缺點

簡易組態。 只包含驅動程式過濾器中的正確屬性。

如果是分階段部署 Identity Manager 3 和 eDirectory 8.7.3,此方法可協助您逐步部署。

  • 您不需要將新密碼同步化規則新增至驅動程式組態。
  • 不需要在 Identity Vault 中執行「通用密碼」。
  • 可以與執行 eDirectory 8.6.2 或更新版本的已連接 Vault 搭配使用。
  • 不需要 NMAS 2.3。

強制執行您可以為「NDS 密碼」設定的基本密碼限制。

此方法會將 Identity Vault 之間的密碼同步化。 但無法將密碼同步化至其他已連接系統。

不更新「通用密碼」或「配送密碼」。

由於此方法不使用 NMAS,對於來自另一個 Identity Vault 的密碼,您無法根據密碼規則中的「進階密碼規則」來驗證密碼。

由於此方法不使用 NMAS,如果密碼與 NMAS 密碼規則不符,則無法重設已連接 Identity Vault 上的密碼。

密碼同步化失敗時,不提供電子郵件通知。

不支援 iManager 任務的「檢查密碼狀態」操作 (此功能需要「配送密碼」)。

下圖顯示可使用 Identity Manager Driver for eDirectory,將兩個 Identity Vault 之間的 NDS 密碼同步化 (如同 DirXML 1.x)。 此案例不需要透過 NMAS。

圖 5-6 使用 NDS 密碼將兩個 Identity Vault 同步化

案例 1

設定案例 1

若要設定此類密碼同步化,請設定驅動程式的組態。

通用密碼部署

不需要。

密碼規則組態

無。

密碼同步化設定

無。 「密碼同步化」頁面上驅動程式的設定,對於這個同步化「NDS 密碼」的方法沒有任何影響。

驅動程式組態

移除節 5.3.4, 驅動程式組態中所需的規則中列出的「密碼同步化」規則。 那些規則將支援「通用密碼」和「配送密碼」。 使用「公用金鑰」及「私密金鑰」屬性 (而不是這些規則) 同步化「NDS 密碼」。

請確定兩個 Identity Vault 驅動程式的驅動程式過濾器,正在為應同步化密碼的所有物件類別同步化「公用金鑰」和「私密金鑰」屬性。 範例如下圖所示。

圖 5-7 同步化私密和公用金鑰屬性

過濾器中的私密金鑰和公用金鑰設為同步化

疑難排解案例 1

  • 開啟 DSTrace 選項。
  • 檢查驅動程式「過濾器」,以確定「公用金鑰」和「私密金鑰」屬性正在同步化,而非被忽略。
  • 另請參閱節 5.13, 疑難排解密碼同步化中的祕訣。

5.8.3 案例 2: 使用通用密碼同步化

有了 Identity Manager,就可以將已連接系統密碼與 Identity Vault 中的「通用密碼」同步化。

更新「通用密碼」時,可以視您在 NMAS 密碼規則中的設定,同時更新「NDS 密碼」、「配送密碼」或「簡易密碼」。

雖然不是所有已連接系統都能提供使用者的實際密碼,但是任何已連接系統都可以將密碼發行至 Identity Manager。 例如,Active Directory 可以將使用者的實際密碼發行至 Identity Manager。 雖然 PeopleSoft 不會從 PeopleSoft 系統自行提供密碼,但是它可以提供驅動程式組態之規則中建立的啟始密碼,例如以使用者的員工 ID 或姓氏為主的密碼。不是所有驅動程式都可以訂閱 Identity Manager 的密碼變更。 請參閱節 5.2, 已連接系統支援密碼同步化

案例 2 的優點和缺點

表 5-12 優點: 使用通用密碼同步化

優點

缺點

允許將 Identity Vault 與已連接系統之間的密碼同步化。

允許根據 NMAS 密碼規則驗證密碼。

允許以電子郵件通知密碼操作失敗,例如已連接系統的密碼與「密碼」不一致時。

如果「通用密碼」與「配送密碼」在進行同步化,而且已連接系統支援檢查密碼,則會支援 iManager 中的「檢查密碼狀態」任務。

如果啟用規則 (Rule),則 NMAS 會強制執行密碼規則 (Policy) 中的「進階密碼規則」。 如果已連接系統的密碼不符合規則,則會產生錯誤,而您若指定該選項,便會傳送電子郵件通知。

如果不想強制執行密碼規則,則可以取消選取 NMAS 密碼規則 (Policy) 中的「啟用進階密碼規則」。

根據您在密碼規則中的設定,「配送密碼」與「通用密碼」可能會不同。因此,在設計上,此方法不支援重設已連接系統中的密碼。

本案例中的圖表說明下列流程:

  1. 密碼透過 Identity Manager 引入。
  2. Identity Manager 透過 NMAS 直接更新「通用密碼」。
  3. NMAS 根據 NMAS 密碼規則設定,將「通用密碼」與「配送密碼」及其他密碼同步化。
  4. Identity Manager 取回「配送密碼」,配送至設定為接受密碼的已連接系統。

雖然此圖中顯示有多個已連接系統連接至 Identity Manager,但是請記住,要針對每個已連接系統驅動程式分別建立設定值。

圖 5-8 使用通用密碼同步化密碼

案例 2

設定案例 2

若要設定此類的密碼同步化,請執行下列動作:

通用密碼部署

確定您的環境已可以使用「通用密碼」。 請參閱節 5.4, 準備使用 Identity Manager 密碼同步化和通用密碼

密碼規則組態

確定已將 NMAS 密碼規則指定到要進行此類密碼同步化之部份的 Identity Vault。

  1. 在 iManager 中,選取「密碼」>「密碼規則」。

  2. 選取規則,然後按一下「編輯」。

  3. 瀏覽並選取要進行密碼同步化的物件。

    您可以將規則指定給整個網路樹結構 (藉由瀏覽並選取「安全性」容器中的「登入規則」物件)、分割區根容器、容器或特定的使用者。 為了簡化管理,建議您將密碼規則儘量指定至網路樹中的高層級。

  4. 在密碼規則中,確定已選取下列選項:

    案例 2 的「密碼規則」設定
    • 啟用通用密碼
    • 設定「通用密碼」時同步化 NDS 密碼
    • 設定「通用密碼」時同步化配送密碼

      因為 Identity Manager 會取回「配送密碼」以將密碼配送至已連接系統,所以請務必勾選此選項,以允許雙向密碼同步化。

  5. 視需要完成密碼規則。

    如果已啟用規則 (Rule),則 NMAS 會強制執行密碼規則 (Policy) 中的「進階密碼規則」。 如果不強制執行密碼規則,則取消選取「啟用進階密碼規則」。

    如果您正在使用「進階密碼規則」,請確定這些規則 (Rule) 不會與正在訂閱密碼之任何已連接系統上的密碼規則 (Policy) 產生衝突。

密碼同步化設定

  1. 在 iManager 中,選取「密碼」>「密碼同步化」。

  2. 搜尋已連接系統的驅動程式,然後選取驅動程式。

  3. 建立已連接系統驅動程式的設定。

    確定已選取下列選項:

    • Identity Manager 接受密碼 (發行者通道)

      如果驅動程式資訊清單不包含「密碼發行」功能,則頁面上會顯示訊息。 這是要通知使用者,密碼無法從應用程式中取回,只能藉由使用規則在驅動程式組態中建立密碼來發行密碼。

    • 應用程式接受密碼 (訂閱者通道)

      如果已連接系統不支援接受密碼,則選項會變成灰色。

    如果已連接系統提供支援,則這些設定允許雙向的密碼同步化。

    您可以調整設定,以符合密碼授權來源的業務規則。 例如,如果已連接系統應訂閱密碼,而非發行密碼,則僅選取「應用程式接受密碼 (訂閱者通道)」。

  4. 確定沒有選取「使用配送密碼進行密碼同步化」:

    在此案例中,Identity Manager 會直接更新「通用密碼」。 「配送密碼」仍然用於將密碼配送至已連接系統,但是其會由 NMAS 而非 Identity Manager 從「通用密碼」進行更新。

  5. (選擇性) 如有必要,選取下列選項:

    • 透過電子郵件通知使用者密碼同步化失敗

      請記住,電子郵件通知需要填入 eDirectory「使用者」物件的 Internet EMail Address 屬性。

      電子郵件通知為非侵入式, 不會影響觸發電子郵件的 XML 文件處理。 如果失敗,將不再重試,除非操作本身重試。 然而,電子郵件通知的除錯訊息會寫入追蹤檔案。

驅動程式組態

  1. 確定應該參與密碼同步化之每個驅動程式的驅動程式組態,都包含必要的 Identity Manager 程序檔密碼同步化規則。

    在驅動程式組態中,規則必須在正確的位置及正確的順序。 如需規則的清單,請參閱節 5.3.4, 驅動程式組態中所需的規則

    Identity Manager 範例組態已包含規則。 如果您在升級現有的驅動程式,請利用節 5.7, 升級現有的驅動程式組態以支援密碼同步化中的指示新增規則。

  2. 針對 nspmDistributionPassword 屬性正確設定過濾器:

    • 若為「發行者」通道,針對所有物件類別,將驅動程式過濾器的 nspmDistributionPassword 屬性設為「忽略」。
    • 若為「訂閱者」通道,針對應訂閱密碼變更的所有物件類別,將驅動程式過濾器的 nspmDistributionPassword 屬性設為「通知」。
    nspmDistributionPassword 的過濾器設定

  3. 針對將 nspmDistributionPassword 屬性設為「通知」的所有物件,請將「公用金鑰」和「私密金鑰」屬性同時設為「忽略」。

    過濾器中的「私密金鑰」和「公用金鑰」設為「忽略」

  4. 為了確保密碼安全性,請確定您可以控制誰能擁有 Identity Manager 物件權限。

疑難排解案例 2

另請參閱節 5.13, 疑難排解密碼同步化中的祕訣。

案例 2 的流程圖

下列流程圖說明 NMAS 如何處理從 Identity Manager 接收的密碼。 此案例中會將密碼同步化到「通用密碼」。 NMAS 會決定如何根據下列情況處理密碼:

  • NMAS 密碼規則中是否啟用「通用密碼」。
  • 內送密碼必須符合的「進階密碼規則」是否已啟用。
  • 密碼規則中將「通用密碼」與其他密碼同步化的其他設定為何。

圖 5-9 NMAS 如何處理從 Identity Manager 接收的密碼

案例 2 的流程圖
登入 Identity Vault 時出現問題
  • 開啟 DSTrace 中的 +AUTH+DXML+DVRS 設定。

    圖 5-10 DSTrace 指令

  • 驗證 <password> 或 <modify-password> 元素是否正傳遞至 Identity Manager。 若要驗證是否正在傳遞,請監視已開啟上述選項的追蹤畫面。
  • 根據密碼規則驗證密碼是否有效。
  • 檢查 NMAS 密碼規則組態和指定。 嘗試將規則直接指定給使用者,以確定使用的是正確的規則。
  • 在驅動程式的「密碼同步化」頁面上,確定已選取「DirXML 接受密碼」。
  • 在密碼規則中,確定已選取「設定通用密碼時同步化配送密碼」。
登入訂閱密碼的另一個已連接系統時出現問題

本節內容主要用在解決已連接系統將密碼發行至 Identity Manager 的相關問題,但訂閱密碼的另一個已連接系統並未從這個系統接收到變更的情況。 此關係的另一個名稱是次要已連接系統,表示它會透過 Identity Manager 從第一個已連接系統接收密碼。

  • 開啟 DSTrace 中的 +DXML+DVRS 設定,查看 Identity Manager 規則處理。
  • 將驅動程式的 Identity Manager 追蹤層級設為 3
  • 確定已選取「密碼同步化」的「Identity Manager 接受密碼」選項。
  • 檢查驅動程式過濾器,確定已依步驟 2中的說明,正確設定 nspmDistributionPassword 屬性。
  • 驗證「新增」的 <password>或 <modify-password> 元素是否正傳送至已連接系統。 若要驗證,請監視開啟追蹤選項的 DSTrace 螢幕或檔案,如第一個項目所述。
  • 驗證驅動程式組態是否將 Identity Manager 程序檔密碼規則包含在正確的位置及正確的順序,如節 5.3.4, 驅動程式組態中所需的規則中所述。
  • 比較 Identity Vault 中的 NMAS 密碼規則與已連接系統強制執行的任何密碼規則,以確定它們是相容的。
密碼失敗時未產生電子郵件
  • 開啟 DSTrace 中的 +DXML 設定,查看 Identity Manager 規則處理。
  • 將驅動程式的 Identity Manager 追蹤層級設為 3
  • 驗證是否已選取產生電子郵件的規則。
  • 驗證 Identity Vault 物件的 Internet EMail Address 屬性中是否包含正確的使用者電子郵件地址。
  • 在「通知組態」任務中,確定已正確設定 SMTP 伺服器和電子郵件範本的組態。 請參閱節 5.12, 設定電子郵件通知的組態
使用檢查物件密碼時發生錯誤

iManager 中的「檢查密碼狀態」任務,會使驅動程式檢查物件密碼動作。 如果有問題,請檢視下列各項:

  • 如果「檢查物件密碼」傳回 -603,則 Identity Vault 物件不包含 nspmDistributionPassword 屬性。 檢查驅動程式過濾器的 nspmDistributionPassword 屬性設定是否正確。 同時,確定密碼規則已選取「設定通用密碼時同步化配送密碼」。
  • 如果「檢查物件密碼」傳回「未同步化」,請驗證驅動程式組態是否包含適當的「密碼同步化」規則。
  • 比較 Identity Vault 中的 NMAS 密碼規則與已連接系統強制執行的任何密碼規則,以確定它們是相容的。
  • 「檢查物件密碼」的操作是從「配送密碼」執行的。 如果「配送密碼」不在更新中,則「檢查物件密碼」可能不會回報密碼已同步化。
  • 請記住,「檢查密碼狀態」會檢查「NDS 密碼」而不是「配送密碼」,而這僅限 Identity Manager 驅動程式。
實用的 DSTrace 指令

+DXML: 檢視 Identity Manager 規則處理和潛在錯誤訊息

+DVRS: 檢視 Identity Manager 驅動程式訊息

+AUTH: 檢視 NDS 密碼修改

5.8.4 案例 3: Identity Manager 更新配送密碼後,將 Identity Vault 與已連接系統同步化

在此案例中,Identity Manager 會直接更新「配送密碼」,且可讓 NMAS 決定如何同步化其他 Identity Vault 密碼。

雖然不是所有的已連接系統都能提供使用者的實際密碼,但是任何已連接系統都可以將密碼發行至 Identity Manager。 例如,Active Directory 可以將使用者的實際密碼發行至 Identity Manager。 雖然 PeopleSoft 不會從 PeopleSoft 系統自行提供密碼,但是它可以提供驅動程式組態之規則中建立的啟始密碼,例如以使用者的員工 ID 或姓氏為主的密碼。不是所有驅動程式都可以訂閱 Identity Manager 的密碼變更。 請參閱節 5.2, 已連接系統支援密碼同步化

案例 3 的優點和缺點

表 5-13 優點: 藉由更新配送密碼將 Identity Vault 與已連接系統同步化

優點

缺點

允許將 Identity Manager 與已連接系統之間的密碼同步化。

讓您選擇是否要強制執行來自已連接系統之密碼的密碼規則。

如果密碼同步化失敗,您可以指定傳送通知。

如果強制執行密碼規則,當密碼不符合規則時,可以選擇將已連接系統上的密碼重設為「配送密碼」。

 

本案例中的圖表說明下列流程:

  1. 密碼透過 Identity Manager 引入。
  2. Identity Manager 會透過 NMAS 以直接更新「配送密碼」
  3. Identity Manager 也會使用「配送密碼」,配送至您指定應該接受密碼的已連接系統
  4. NMAS 會根據密碼規則設定,將「通用密碼」與「配送密碼」及其他密碼同步化。

雖然在此圖中多個已連接系統顯示為連接至 Identity Manager,但是請務必針對每個已連接系統驅動程式個別建立設定值。

圖 5-11 藉由更新配送密碼將 Identity Vault 與已連接系統同步化

案例 3

設定案例 3

設定此類密碼同步化:

通用密碼部署

確定您的環境已可以使用「通用密碼」。 請參閱節 5.4, 準備使用 Identity Manager 密碼同步化和通用密碼

密碼規則組態

  1. 在 iManager 中,選取「密碼」>「密碼規則」。

  2. 確定已將密碼規則指定到要進行此類密碼同步化之部份的 Identity Vault 網路樹。 您可以將其指定到整個樹狀結構、分割區根容器、容器或特定使用者。 為了簡化管理,建議您將密碼規則儘量指定至網路樹中的高層級。

  3. 在密碼規則中,確定已選取下列選項:

    案例 3 的密碼規則設定
    • 啟用通用密碼
    • 設定「通用密碼」時同步化 NDS 密碼
    • 設定「通用密碼」時同步化配送密碼

      由於 Identity Manager 會取回「配送密碼」以將密碼配送至已連接系統,所以一定要選取此選項,才能進行雙向的密碼同步化。

  4. 如果您使用「進階密碼規則」,請確定這些規則不會與正在訂閱密碼之任何已連接系統上的密碼規則產生衝突。

密碼同步化設定

  1. 在 iManager 中,選取「密碼」>「密碼同步化」。

  2. 搜尋已連接系統的驅動程式,然後選取驅動程式。

  3. 建立已連接系統驅動程式的設定值。

    確定已選取下列選項:

    • Identity Manager 接受密碼 (發行者通道)
    • 使用「配送密碼」進行密碼同步化

      如果驅動程式資訊清單不包含「密碼發行」功能,則頁面上會顯示訊息。 這是要通知使用者,密碼無法從應用程式中取回,只能藉由使用規則在驅動程式組態中建立密碼來發行密碼。

    • 應用程式接受密碼 (訂閱者通道)

    如果已連接系統有提供支援,則這些設定允許雙向的密碼同步化。

    您可以調整設定,以符合密碼授權來源的業務規則。 例如,如果已連接系統應訂閱密碼,而非發行密碼,則僅選取「應用程式接受密碼 (訂閱者通道)」。

  4. 使用「使用配送密碼進行密碼同步化」下面的選項,指定要強制執行還是忽略 NMAS 密碼規則。

  5. (條件式) 如果您已指定要強制執行密碼規則,也請指定如果密碼不符合規則時,是否要讓 Identity Manager 重設已連接系統密碼。

  6. (選擇性) 如有必要,請選取下列選項:

    • 透過電子郵件通知使用者密碼同步化失敗

      請記住,電子郵件通知需要填入 eDirectory 使用者物件的 Internet EMail Address 屬性。

      電子郵件通知為非侵入式, 不會影響觸發電子郵件的 XML 文件處理。 如果失敗,將不再重試,除非操作本身重試。 然而,電子郵件通知的除錯訊息會寫入追蹤檔案。

驅動程式組態

  1. 確定應該參與密碼同步化之每個驅動程式的驅動程式組態,都包含必要的 Identity Manager 程序檔密碼同步化規則。

    在驅動程式組態中,規則必須在正確的位置及正確的順序。 如需規則的清單,請參閱節 5.3.4, 驅動程式組態中所需的規則

    Identity Manager 範例組態已包含規則。 如果您升級現有的驅動程式,請利用節 5.7, 升級現有的驅動程式組態以支援密碼同步化的指示新增規則。

  2. 針對 nspmDistributionPassword 屬性正確設定過濾器:

    • 若為「發行者」通道,針對所有物件類別,將驅動程式過濾器的 nspmDistributionPassword 屬性設為「忽略」。
    • 若為「訂閱者」通道,針對應該訂閱密碼變更的所有物件類別,將驅動程式過濾器的 nspmDistributionPassword 屬性設為「通知」。
    nspmDistributionPassword 的過濾器設定

  3. 針對將 nspmDistributionPassword 屬性設為「通知」的所有物件,將驅動程式過濾器中的「公用金鑰」和「私密金鑰」屬性同時設為「忽略」。

    過濾器中的「私密金鑰」和「公用金鑰」設為「忽略」

  4. 為了確保密碼安全性,請確定您可以控制誰能擁有 Identity Manager 物件權限。

疑難排解案例 3

另請參閱節 5.13, 疑難排解密碼同步化中的祕訣。

案例 3 的流程圖

下列流程圖說明 NMAS 如何處理從 Identity Manager 接收的密碼。 在此案例中,密碼會同步化到「通用密碼」,且 NMAS 會決定下列內容:

  • 根據是否已指定應該依密碼規則驗證內送密碼,決定該如何處理密碼 (如果已啟用「通用密碼」和「進階密碼規則」)。
  • 密碼規則中將「通用密碼」與其他密碼同步化的其他設定為何。

圖 5-12 將 Identity Manager 的密碼同步化到配送密碼

關於案例 3 中 NMAS 如何處理密碼 (同步化到「配送密碼」) 的流程圖
登入 eDirectory 時出現問題
  • 開啟 DSTrace 中的 +AUTH+DXML+DVRS 設定

    圖 5-13 DSTrace 指令

  • 驗證 <password> 或 <modify-password> 元素是否正傳遞至 Identity Manager。 若要驗證,請監視已開啟追蹤選項的 DSTtrace 螢幕或檔案,如第一個項目所述。
  • 根據 NMAS 密碼規則,驗證密碼是否有效。
  • 檢查 NMAS 密碼規則組態和指定。 嘗試將規則直接指定給使用者,以確定使用的是正確的規則。
  • 在驅動程式的「密碼同步化」頁面上,確定已選取「Identity Manager 接受密碼 (發行者通道)」。
  • 在 NMAS 密碼規則中,確定已選取「設定通用密碼時同步化配送密碼」。
  • 在 NMAS 密碼規則中,確定已選取「設定通用密碼時同步化 NDS 密碼」(視需要而定)。
  • 如果使用者透過 Novell Client 或 ConsoleOne 登入,請檢查其版本。 如果未將「通用密碼」與「NDS 密碼」同步化,則舊的 Novell Client 和 ConsoleOne 可能無法登入 Identity Vault。

    現在 Novell Client 和 ConsoleOne 已有可辨識「通用密碼」的新版本。 請參閱《Novell 模組化驗證服務 (NMAS) 3.0 管理指南》。

  • 如果未將「通用密碼」與「NDS 密碼」同步化,則使用「NDS 密碼」進行驗證的部份舊公用程式同樣無法登入 Identity Vault。 如果您不想要將「NDS 密碼」用於多數使用者,但是管理員或 Help Desk 使用者需要使用舊公用程式進行驗證時,請嘗試針對 Help Desk 使用者使用不同的密碼規則,如此便可以為它們指定不同的「通用密碼」同步化選項。
登入訂閱密碼的其他已連接系統時出現問題

本節內容主要用在解決已連接系統將密碼發行至 Identity Manager 的相關問題,但是訂閱密碼的另一個已連接系統並未從這個系統接收到變更的情況。 此關係的另一個名稱是次要已連接系統,表示它會透過 Identity Manager 從第一個已連接系統接收密碼。

  • 開啟 DSTrace 中的 +DXML+DVRS 設定,查看 Identity Manager 規則處理和潛在錯誤
  • 將驅動程式的 Identity Manager 追蹤層級設為 3
  • 確定已選取「密碼同步化」頁面中的「Identity Manager 接受密碼 (發行者通道)」選項。
  • 在密碼規則中,確定未選取「設定通用密碼時同步化配送密碼」。

    Identity Manager 會使用「配送密碼」,將密碼同步化到已連接系統。 針對此同步化方法,「通用密碼」必須與「配送密碼」同步化。

  • 檢查驅動程式過濾器的 nspmDistributionPassword 屬性。
  • 驗證「新增」的 <password> 元素或 <modify-password> 元素是否已轉換成 nspmDistributionPassword 的「新增」和「修改」屬性操作。 若要驗證,請監視已開啟追蹤選項的 DSTtrace 螢幕或檔案,如第一個項目所述。
  • 驗證驅動程式組態是否將 Identity Manager 程序檔密碼規則包含在正確的位置及正確的順序,如節 5.3.4, 驅動程式組態中所需的規則中所述。
  • 比較 Identity Vault 中的密碼規則與已連接系統強制執行的所有密碼規則,以確定它們是相容的。
密碼失敗時未產生電子郵件
  • 開啟 DSTrace 中的 +DXML 設定,查看 Identity Manager 規則處理
  • 將驅動程式的 Identity Manager 追蹤層級設為 3
  • 驗證是否已選取產生電子郵件的規則。
  • 驗證 Identity Vault 物件的 Internet EMail Address 屬性中是否包含正確的值。
  • 在「通知組態」任務中,確定已設定 SMTP 伺服器和電子郵件範本的組態。 請參閱節 5.12, 設定電子郵件通知的組態

電子郵件通知為非侵入式, 不會影響觸發電子郵件的 XML 文件處理。 如果失敗,將不再重試,除非操作本身重試。 電子郵件通知的除錯訊息會寫入追蹤檔案。

使用檢查密碼狀態時發生錯誤

iManager 中的「檢查密碼狀態」任務,會使驅動程式執行檢查物件密碼動作。

  • 確定已連接系統支援檢查密碼。 請參閱節 5.2, 已連接系統支援密碼同步化

    如果驅動程式資訊清單未指出已連接系統支援密碼檢查功能,則無法透過 iManager 進行此操作。

  • 如果「檢查物件密碼」傳回 -603,則 Identity Vault 物件不包含 nspmDistributionPassword 屬性。 檢查驅動程式過濾器,以及密碼規則中的「將通用密碼同步化為配送密碼」選項。
  • 如果「檢查物件密碼」傳回「未同步化」,請驗證驅動程式組態包含適當的「Identity Manager 密碼同步化」規則。
  • 比較 Identity Vault 中的密碼規則與已連接系統強制執行的任何密碼規則,以確定它們是相容的。
  • 檢查物件密碼」會檢查「配送密碼」。 如果「配送密碼」不在更新中,則「檢查物件密碼」可能不會回報密碼已同步化
  • 請記住,對於 Identity Vault,「檢查密碼狀態」會檢查「NDS 密碼」而不是「通用密碼」。 這表示,如果使用者的密碼規則未指定將「NDS 密碼」與「通用密碼」同步化,則密碼會一直被回告為未同步化。 事實上,「配送密碼」和已連接系統上的密碼可能已同步化,但「檢查密碼狀態」不會是正確的,除非「NDS 密碼」和「配送密碼」都與「通用密碼」同步化。
實用的 DSTrace 指令

+DXML: 檢視 Identity Manager 規則處理和潛在錯誤訊息。

+DVRS: 檢視 Identity Manager 驅動程式訊息

+AUTH: 檢視 NDS 密碼修改

5.8.5 案例 4: Identity Manager 更新「配送密碼」後,會通道封裝—同步化「已連接系統」,而不是 Identity Vault

Identity Manager 可讓您將已連接的系統之間的密碼同步化,同時使用不同的 Identity Vault 密碼。 這就是所謂的「通道封裝」。

在此案例中,Identity Manager 會直接更新「配送密碼」。 此案例與節 5.8.4, 案例 3: Identity Manager 更新配送密碼後,將 Identity Vault 與已連接系統同步化幾乎是相同的。 不同之處在於,要確定「通用密碼」與「配送密碼」之間未進行同步化。 藉由不使用 NMAS 密碼規則,或使用密碼規則但停用「設定通用密碼時同步化配送密碼」選項,即可執行此項操作。

案例 4 的優點和缺點

表 5-14 通道封裝的優點

優點

缺點

允許在同步化已連接系統之間的密碼時,同時使用不同的 Identity Vault 密碼。

不需要密碼規則。

如果使用密碼規則,則規則不需要啟用「通用密碼」。 然而,環境必須支援「通用密碼」。

如果已連接系統提供支援,則會支援 iManager 中的「檢查密碼狀態」任務。

如果密碼同步化失敗,您可以指定傳送通知。

您可以重設與密碼規則不符的已連接系統密碼。

如果啟用「通用密碼」和「進階密碼規則」,當指定應該強制執行時,則會強制執行密碼規則,而且可以重設已連接系統的密碼。

如果未啟用「通用密碼」和「進階密碼規則」,則不會強制執行密碼規則,而且無法重設已連接系統的密碼。

本案例中的圖表說明下列流程:

  1. 密碼透過 Identity Manager 引入。
  2. Identity Manager 會透過 NMAS 直接更新「配送密碼」。
  3. Identity Manager 也會使用「配送密碼」,將密碼配送至您指定應該接受密碼的已連接系統。

此案例的關鍵是,在 NMAS 密碼規則中,「同步化通用密碼與配送密碼」已停用。 由於「配送密碼」未與「通用密碼」同步化,所以 Identity Manager 會將已連接系統之間的密碼同步化,而不影響 Identity Vault 中的密碼。

雖然在此圖中多個已連接系統顯示為連接至 Identity Manager,但是請務必針對每個已連接系統驅動程式個別建立設定值。

圖 5-14 Identity Manager 更新配送密碼後通道封裝

案例 4

設定案例 4

若要設定此類密碼同步化,請設定下列項目的組態:

通用密碼部署

雖然您不需要有啟用「通用密碼」的密碼規則,但是環境仍然必須使用支援「通用密碼」的 eDirectory 8.7.3。 請參閱節 5.4, 準備使用 Identity Manager 密碼同步化和通用密碼

密碼規則組態

針對此方法,Identity Vault 使用者不需要任何密碼規則。

然而,如果您使用密碼規則,則必須執行下列動作:

  1. 確定未選取下列選項:

    • 設定「通用密碼」時同步化配送密碼

      這是通道封裝密碼而不影響 Identity Vault 密碼的關鍵。 不將「通用密碼」與「配送密碼」同步化,會使「配送密碼」區分開來,僅讓 Identity Manager 用在已連接系統上。 Identity Manager 的作用如同管道,在其他已連接系統之間配送密碼,而不會影響 Identity Vault 密碼。

    案例 4 的密碼規則設定

  2. 視需要完成其他密碼規則設定。

    密碼規則中的其他密碼設定是選擇性的。

疑難排解案例 4

如果針對通道封裝設定密碼同步化,則「配送密碼」會與「通用密碼」和「NDS 密碼」不同。

另請參閱節 5.13, 疑難排解密碼同步化中的祕訣。

登入訂閱密碼的另一個已連接系統時出現問題

本節內容主要用在解決已連接系統將密碼發行至 Identity Manager 的相關問題,但是訂閱密碼的另一個已連接系統並未從這個系統接收到變更的情況。 此關係的另一個名稱是次要已連接系統,表示它會透過 Identity Manager 從第一個已連接系統接收密碼。

  • 開啟 DSTrace 中的 +DXML+DVRS 設定,查看 Identity Manager 規則處理和潛在錯誤。
  • 將驅動程式的 Identity Manager 追蹤層級設為 3
  • 確定已選取「密碼同步化」頁面上的「Identity Manager 接受密碼 (發行者通道)」選項。
  • 在密碼規則中,確定未選取「設定通用密碼時同步化配送密碼」。

    Identity Manager 會使用「配送密碼」,將密碼同步化到已連接系統。 針對此同步化方法,「通用密碼」必須與「配送密碼」同步化。

  • 確定驅動程式過濾器的 nspmDistributionPassword 屬性具有正確的設定。
  • 驗證「新增」的 <password> 元素和 <modify-password> 元素是否已轉換成 nspmDistributionPassword 的「新增」和「修改」屬性操作。 若要驗證,請監視已開啟追蹤選項的 DSTtrace 螢幕或檔案,如第一個項目所述。
  • 驗證驅動程式組態是否將 Identity Manager 程序檔密碼規則包含在正確的位置及正確的順序,如節 5.3.4, 驅動程式組態中所需的規則中所述。
  • 比較 Identity Vault 中的密碼規則與已連接系統強制執行的任何密碼規則,以確定它們是相容的。
密碼失敗時未產生電子郵件
  • 開啟 DSTrace 中的 +DXML 設定,查看 Identity Manager 規則處理。
  • 將驅動程式的 Identity Manager 追蹤層級設為 3
  • 驗證是否已選取產生電子郵件的規則。
  • 驗證 Identity Vault 物件的 Internet EMail Address 屬性中是否包含正確的值。
  • 在「通知組態」任務中,檢查 SMTP 伺服器和電子郵件範本。 請參閱節 5.12, 設定電子郵件通知的組態

電子郵件通知為非侵入式, 不會影響觸發電子郵件的 XML 文件處理。 如果失敗,將不再重試,除非操作本身重試。 電子郵件通知的除錯訊息會寫入追蹤檔案。

使用檢查密碼狀態時發生錯誤

iManager 中的「檢查密碼狀態」任務,會使驅動程式執行「檢查物件密碼」動作。

  • 確定已連接系統支援檢查密碼。 請參閱節 5.2, 已連接系統支援密碼同步化

    如果驅動程式資訊清單未指出已連接系統支援密碼檢查功能,則無法透過 iManager 進行此操作。

  • 如果「檢查物件密碼」動作傳回 -603,則 Identity Vault 物件不包含 nspmDistributionPassword 屬性。 檢查 Identity Manager 屬性過濾器,以及密碼規則中的「將通用密碼同步化為配送密碼」選項。
  • 如果「檢查物件密碼」動作傳回「未同步化」,請驗證驅動程式組態是否包含適當的 Identity Manager 密碼同步化規則。
  • 比較 Identity Vault 中的密碼規則與已連接系統強制執行的任何密碼規則,以確定它們是相容的。
  • 「檢查物件密碼」動作會檢查「配送密碼」。 如果「配送密碼」不在更新中,則「檢查物件密碼」可能不會回報化密碼已同步
實用的 DSTrace 指令

+DXML: 檢視 Identity Manager 規則處理和潛在錯誤訊息。

+DVRS: 檢視 Identity Manager 驅動程式訊息

+AUTH: 檢視 NDS 密碼修改

+DCLN: 檢視 NDS DCLient 訊息

5.8.6 案例 5: 將應用程式密碼同步化到簡易密碼

此案例為密碼同步化功能所專用。 使用 Identity Manager 和 NMAS,即可從已連接系統取得密碼,並直接將它同步化到 Identity Vault「簡易密碼」。 如果已連接系統僅提供雜湊密碼,則可以將它們同步化到「簡易密碼」,而無需回復雜湊。 然後,其他應用程式可以透過 LDAP 或 Novell Client,使用相同的純文字或雜湊密碼向 Identity Vault 驗證,且已設定好 NMAS 元件的組態為使用「簡易密碼」做為登入方法。

如果已連接系統中的密碼是純文字格式,便可以從已連接系統發行到 Identity Vault「簡易密碼」儲存區中。

如果已連接系統僅提供雜湊密碼 (支援 MD5、SHA、SHA1 或 UNIX Crypt),則您必須將它們發行至「簡易密碼」,並指出雜湊類型,例如 {MD5}。

如要另一個應用程式以相同密碼進行驗證,您需要自定其他應用程式,以使用 LDAP 取得使用者密碼並向「簡易密碼」驗證。

NMAS 會比較應用程式的密碼值和「簡易密碼」中的值。 如果儲存在「簡易密碼」中的密碼是雜湊值,則 NMAS 會在比較之前,先使用應用程式密碼值來建立正確類型的雜湊值。 如果應用程式的密碼和「簡易密碼」相同,則 NMAS 會驗證使用者。

在此案例中,「通用密碼」無法使用。

同步化到 NDS 密碼的優點

表 5-15 同步化到 NDS 密碼的優點

優點

缺點
  • 可讓您直接更新「簡易密碼」。
  • 可讓您同步化雜湊密碼,並且使用它為一個以上的應用程式進行驗證,而無需回復雜湊。
  • 此案例不允許使用「通用密碼」。
  • 「忘記密碼」和「密碼自助服務」功能仍然受到「NDS 密碼」的支援,但不適用於「簡易密碼」。
  • 由於「設定通用密碼」任務取決於「通用密碼」,所以管理員無法使用該任務,在 Identity Vault 中設定使用者密碼。

圖 5-15 同步化到 NDS 密碼

簡易密碼圖中的雜湊

設定案例 5

密碼規則組態

此案例的使用者不需要任何密碼規則。 「通用密碼」無法使用。

密碼同步化設定

在此案例中,您可使用 Identity Manager 程序檔直接修改 SAS:Login Configuration 屬性。 這表示,使用 iManager 中「密碼同步化」頁面設定的「密碼同步化」全域組態值 (GCV) 無效。

驅動程式組態

  1. 確定過濾器中的 SAS:Login Configuration 屬性具有「發行者」和「訂閱者」通道的「同步化」設定。

    SAS:Login Configuration 的過濾器設定

  2. 設定驅動程式規則的組態,發行已連接系統的密碼。

  3. 針對雜湊密碼,設定驅動程式規則的組態,以預加雜湊類型 (如果應用程式尚未提供):

    • {MD5}hashed_password

      此密碼以 Base 64 編碼。

    • {SHA}hashed_password

      此密碼以 Base 64 編碼。

    • {CRYPT}hashed_password

    純文字密碼和 Unix Crypt 密碼雜湊不是以 Base64 編碼。

  4. 若要將密碼置入「簡易密碼」中,可設定驅動程式規則的組態,以修改 SAS:Login Configuration 屬性。

    下列範例說明了如何在修改操作中使用 modify-attr 元素,將「簡易密碼」變更為 MD5 雜湊密碼:

    <modify-attr attr-name="SAS:Login Configuration> <add-value> <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value> </add-value> </modify-attr>

    針對純文字密碼,請遵循此範例。 

    <modify-attr attr-name="SAS:Login Configuration> <add-value> <value>clearpwd</value> </add-value> </modify-attr>

    對於新增操作,add-attr 元素會包含下列其中一項:

    <add-attr attr-name="SAS:Login Configuration> <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value> </add-attr>


    <add-attr attr-name="SAS:Login Configuration> <value>clearpwd</value> </add-attr>