我們建議您在同步化密碼時使用安全連接。 以下兩者間的連接比較容易遭受攻擊:
僅限從所連接的領域控制器遠端執行「遠端載入器」的情況。
僅限領域控制器不在本地機器的情況。
您可以執行下列其中一或多項來建立安全連接:
如果是在所連接的領域控制器上執行驅動程式,則不適用。
如果不在領域控制器上執行驅動程式 Shim,則必須先設定保全插槽層 (SSL) 組態才能使密碼同步。
如果在最初建立使用者時,系統顯示密碼不符合規則的錯誤,則需要檢查您的密碼規則。
例如,您希望 Active Directory 驅動程式在 Identity Vault 中建立「使用者」物件時,能為使用者提供啟始密碼。 建立使用者後,驅動程式 Shim 會建立此使用者並設定密碼。
因為新增使用者與設定密碼是分別進行的,所以在此情況下,新使用者會收到預設密碼,即使只是暫時性的。 因為 Active Directory 驅動程式會在新增使用者之後立即傳送密碼,所以密碼會很快更新。
如果預設密碼與使用者的 eDirectory 密碼規則不一致,則會顯示錯誤。 例如,如果根據使用者的姓所建立的預設密碼太短,不符合密碼規則,您可能就會看到表示密碼太短的 -216 錯誤。 然而,如果 Active Directory 驅動程式隨後傳送一致的啟始密碼,則會很快更正此情況。
無論您使用的驅動程式為何,如果想讓建立「使用者」物件的已連接系統提供啟始密碼,請考量進行下列其中一項操作:
此選項較為可取。 為了維護系統內的高層次安全性,我們建議使用預設密碼規則。
如果啟始密碼不是源自新增事件,而是源自後續事件,這些方法尤為重要。