Novell Documentation: Identity Manager Drivers - 設定密碼同步化過濾器

7.5 設定密碼同步化過濾器

驅動程式需要設定為僅能在一台 Windows 機器上執行。

但是，安裝並設定好驅動程式後，還需要在其他每個領域控制器上執行下列操作：

安裝密碼過濾器 (pwfilter.dll 檔案)。
設定登錄以擷取密碼，這樣才能將獲取的密碼傳送至 Identity Manager。

密碼過濾器會隨著領域控制器的啟動而自動開啟。過濾器會擷取使用者使用 Windows 用戶端進行的密碼變更，對其加密，然後將它們傳送到驅動程式以更新 Identity Manager 資料儲存。

NOTE:如需設定「密碼同步化」的相關資訊，請參閱《Novell Identity Manager 3.0 管理指南》中的「實作密碼同步化」。

為了簡化密碼過濾器的設定和管理，安裝驅動程式時，Identity Manager PassSync 公用程式會新增到「控制台」。依據您是否允許遠端存取領域控制器上的登錄，此公用程式會提供兩種設定密碼過濾器的選項：

如果您允許遠端存取登錄： 請使用 Identity Manager PassSync 公用程式，從要執行驅動程式的單一機器，設定所有領域控制器的密碼過濾器組態。

此方法可讓您從同一位置設定所有領域控制器的組態。

如果從同一機器設定所有領域控制器的組態，則 Identity Manager PassSync 公用程式會提供下列功能，協助您進行設定：
- 可讓您指定要參與密碼同步化的領域。
- 自動探查此領域的所有領域控制器。
- 可讓您在每個領域控制器上從遠端安裝 pwfilter.dll。
- 可在驅動程式執行的機器上，以及每個領域控制器上，自動更新登錄。
- 可讓您檢視每個領域控制器上的過濾器狀態。
- 可讓您從遠端將領域控制器重新開機。
  在您第一次新增密碼同步化的領域時，有必要將領域控制器重新開機，因為擷取密碼變更的過濾器是一個 DLL 檔，而此 DLL 檔會在領域控制器啟動時隨之啟動。
請參閱Section 7.5.1, 從同一台機器設定所有領域控制器的密碼過濾器組態。
如果您不允許遠端存取登錄： 請分別設定每個領域控制器上的密碼過濾器。若要執行此動作，請在每個領域控制器上安裝驅動程式檔案，以取得 Identity Manager PassSync 公用程式，然後在每台機器上使用此公用程式來安裝密碼過濾器並更新登錄。

請參閱Section 7.5.2, 請分別設定每個領域控制器上的密碼過濾器。

7.5.1 從同一台機器設定所有領域控制器的密碼過濾器組態

此程序會說明如何從執行驅動程式的機器上安裝，以及如何設定所有領域控制器各自的密碼過濾器組態。

如果您允許遠端存取登錄，請使用此方法。

因為設定過濾器需要重新開機領域控制器，您應該要在數小時之後再執行此程序，或一次只重新開機一個領域控制器。如果領域中有一個以上的領域控制器，請記住，需要執行「密碼同步化」的每個領域控制器，都必須安裝過濾器，且需要重新開機。

請確認在 135 (RPC 端點映射器) 在領域控制器以及設定要執行 Identity Manager Driver for Active Directory 的機器上，均可存取連接埠。

如果是透過 TCP 使用 NetBIOS，則還需要下列連接埠：
- 137: NetBIOS 名稱服務
- 138: NetBIOS 資料包服務
- 139: NetBIOS 會期服務
防火牆可以防止對連接埠的遠端存取。
在安裝驅動程式的電腦上，按一下「開始 > 設定 > 控制台」。
連按兩下 Identity Manager PassSync。

第一次開啟此公用程式時，系統會詢問這是否是安裝 Identity Manager 驅動程式的機器。

完成組態設定之後，除非從清單中移除此領域，否則系統不會再顯示此提示。
按一下「是」。

標示「已同步領域」的清單會隨即顯示。
若要新增想要參與密碼同步化的領域，請按一下「新增」。

「新增領域」對話方塊會隨即顯示。
指定或選取您想新增的領域名稱。

下拉式清單會顯示已知的領域。
(選擇性) 指定領域中的電腦。

如果「電腦」編輯方塊保留空白，PassSync 會查詢本地機器。因此，如果是在領域控制器上執行 PassSync，就不需要輸入名稱。PassSync 會查詢本地機器 (此案例中指領域控制器)，並從資料庫內取得此領域中所有領域控制器的清單。

如果不是在領域控制器上進行安裝，則需要輸入領域內可以取得領域控制器的電腦名稱。

如果收到一條錯誤訊息指出 PassSync 無法找到領域，請輸入其他名稱。
決定是否使用領域的 DNS 名稱。

DNS 名稱提供了更多的進階驗證，可以在更大的安裝範圍內更可靠地尋找領域。不過，所能做出的選擇會由您的環境決定。
以管理員身份登入。

Identity Manager PassSync 公用程式會找到此領域內的所有領域控制器，並在每個領域控制器上安裝 pwfilter.dll。同時會在執行驅動程式的電腦以及每個領域控制器上更新登錄。這可能需費時數分鐘。

在重新開機領域控制器之後，pwfilter.dll 才會擷取密碼變更。 Identity Manager PassSync 公用程式可讓您查看所有領域控制器的清單，以及領域控制器上過濾器的狀態。這也可以讓您從公用程式內部重新開機領域控制器。
按一下清單中的領域名稱，然後按一下「過濾器」。

公用程式會顯示所有領域控制器的名稱，以及每個領域控制器上過濾器的狀態。

每個領域控制器的狀態都會表示為需要重新開機。但是，公用程式可能需要費時數分鐘來完成自動執行的任務，此時其狀態可能顯示為「不明」。
重新開機每個領域控制器。

您可以根據自己的環境，選擇合適的時間執行重新開機。但是請記住，只有重新開機所有領域控制器之後，密碼同步化功能才會起作用。
當所有領域控制器的狀態都顯示為「執行中」時，請測試密碼同步化功能確認其是否有效。
若要新增更多領域，請按一下「確定」回到領域清單，然後重複Step 6至Step 12。

7.5.2 請分別設定每個領域控制器上的密碼過濾器

本節中描述的程序會說明如何分別安裝並設定 (一次一個) 每個領域控制器上的密碼過濾器。

如果您不允許遠端存取登錄，請使用此方法。

在此程序中，您會安裝此驅動程式，以取得 Identity Manager PassSync 公用程式。然後，您就可以使用此公用程式安裝 pwfilter.dll 檔案，指定要使用的連接埠，並指定執行 Identity Manager Driver for Active Directory 的主機機器。

請確認下列連接埠可供領域控制器以及設定要執行 Identity Manager Driver for Active Directory 的機器使用。
- 135: RPC 端點映射器
- 137: NetBIOS 名稱服務
- 138: NetBIOS 資料包服務
- 139: NetBIOS 會期服務
在領域控制器上，可以使用「Identity Manager 安裝」只安裝 Identity Manager Driver for Active Directory。

安裝此驅動程式時，會安裝 Identity Manager PassSync 公用程式。
按一下「開始 > 設定 > 控制台」，然後找到 Identity Manager PassSync 公用程式。
連按兩下 Identity Manager PassSync。

第一次開啟此公用程式時，系統會詢問這是否是安裝 Identity Manager 驅動程式的機器。
按一下「否」。

完成組態設定之後，除非使用「密碼過濾器內容」對話方塊中的「移除」按鈕移除密碼過濾器，否則系統不會再顯示此提示。

按一下「否」，會隨即顯示「密碼過濾器內容」對話方塊，其中的狀態訊息會指出此領域控制器上尚未設定密碼過濾器。
按一下「設定」按鈕，安裝密碼過濾器 (pwfilter.dll)。
在「連接埠」設定中，指定是否使用動態連接埠或靜態連接埠。

只有在決定設定自己的領域控制器遠端程序呼叫 (RPC) 組態而不使用預設值之後，您才可以選擇使用靜態連接埠。
指定 Identity Manager 驅動程式的位置，按一下「新增」按鈕，在「密碼同步化過濾器 - 新增主機」對話方塊中，指定執行 Identity Manager 驅動程式的機器「主機名稱」，然後按一下「確定」。

此步驟必須執行，密碼過濾器才會知道要將密碼變更傳送至何處。密碼過濾器會擷取密碼變更，然後必須將它們傳送到 Identity Manager 驅動程式，這樣才能更新 Identity Manager 資料儲存。
在「密碼過濾器內容」對話方塊中，按一下「確定」。
重新開機領域控制器，以完成密碼過濾器的安裝。

您可以根據自己的環境，選擇合適的時間執行重新開機。但是，請記住，只有所有領域控制器都安裝密碼過濾器且執行了重新開機之後，密碼同步化功能才會完全發生作用。

完成安裝並重新開機領域控制器之後，無論何時開啟領域控制器，都會自動載入密碼過濾器。
按一下「開始 > 設定 > 控制台」，然後連按兩下 Identity Manager PassSync 公用程式，再次查看密碼過濾器的狀態。

請確認狀態顯示為「執行中」。
對於要參與「密碼同步化」的每個領域控制器，重複Step 2至Step 11。
當所有領域控制器的狀態都顯示為「執行中」時，請測試「密碼同步化」功能，以確認是否有效。