Une règle de mot de passe est un ensemble de principes définis par l'administrateur et régissant les critères de création et de remplacement des mots de passe par les utilisateurs finals. NsureTM Identity Manager tire parti du service NMASTM pour appliquer les règles de mot de passe que vous assignez aux utilisateurs dans Novell® eDirectoryTM. Grâce à la synchronisation des mots de passe, vous pouvez également appliquer les règles de mot de passe à tous les systèmes connectés, comme expliqué au Synchronisation de mot de passe sur des systèmes connectés.
Les règles de mot de passe incluent également les options en libre-service Mot de passe oublié, qui permettent de réduire les appels d'assistance liés à l'oubli des mots de passe. Une autre option proposée en libre-service, Réinitialiser le mot de passe, permet aux utilisateurs de modifier leur mot de passe tout en affichant les principes définis par l'administrateur dans la règle. Les utilisateurs peuvent accéder à ces options par l'intermédiaire de la console iManager en libre-service.
La plupart des fonctions de gestion des mots de passe nécessitent que l'option Mot de passe universel soit activée. Idéalement, la console iManager en libre-service doit être intégrée au portail de votre société, si elle en possède un, afin que les utilisateurs accède facilement aux options en libre-service Mot de passe oublié et Réinitialiser le mot de passe.
Les mots de passe sont créés par l'intermédiaire d'un assistant dans iManager, Gestion des mots de passe > Gérer les règles de mot de passe > Nouveau.
Les nouvelles fonctions de gestion des mots de passe permettent d'effectuer les opérations suivantes :
Le mot de passe universel est la nouvelle fonctionnalité d'eDirectory 8.7.1. Vous devez activer cette fonction si vous souhaitez que vos utilisateurs se servent des options Règles de mots de passe avancées, Synchronisation de mot de passe et Mot de passe oublié.
Une règle de mot de passe permet de spécifier si le mot de passe universel est activé. Vous pouvez alors assigner cette règle aux utilisateurs (à l'arborescence, à un conteneur ou à une partition, ou à un utilisateur particulier). Le mot de passe universel n'a pas besoin d'être activé pour toute l'arborescence. En utilisant plusieurs règles de mot de passe, vous pouvez personnaliser votre utilisation du mot de passe universel en fonction de vos besoins. Nous vous recommandons d'assigner des règles de mot de passe au niveau le plus élevé possible de l'arborescence afin de simplifier l'administration.
Il est nécessaire de réaliser une planification supplémentaire afin de préparer votre environnement à l'utilisation des mots de passe universels, en mettant à niveau Novell ClientTM (le cas échéant) ou eDirectory.
Vous pouvez également modifier les autres paramètres de mot de passe universel et NMAS dans une règle de mot de passe, pour indiquer par exemple si NDS ou un mot de passe simple sont synchronisés avec le mot de passe universel.
L'illustration suivante propose un exemple de la page de propriétés dans laquelle vous spécifiez les options de configuration du mot de passe universel pour une règle de mot de passe.
Les règles de mots de passe avancées permettent de définir les critères d'acceptation des mots de passe, par exemple :
IMPORTANT: N'oubliez pas qu'il peut être utile d'exclure les mots de passe que vous considérez comme susceptibles de mettre en péril la sécurité de votre système. Cette liste d'exclusion n'est toutefois pas destinée à contenir un très grand nombre de mots, contrairement à un dictionnaire. Les longues listes de mots à exclure peuvent affecter les performances du serveur. Plutôt que d'utiliser une longue liste de mots à exclure pour vous protéger contre les attaques de dictionnaire, nous vous conseillons d'utiliser les règles de mots de passe avancées pour obliger les utilisateurs à inclure au moins un chiffre dans leur mot de passe.
Pour utiliser les règles de mots de passe avancées dans une règle de mot de passe, vous devez activer le mot de passe universel. Si ce n'est pas le cas, les restrictions de mots de passe définies pour le mot de passe NDS s'appliquent.
NOTE: lorsque vous créez une règle de mot de passe et que vous activez le mot de passe universel, les règles de mots de passe avancées s'appliquent à la place des paramètres de mots de passe définis pour les mots de passe NDS. Les paramètres de mot de passe hérités sont ignorés. Aucune fusion ni copie des paramètres précédents ne s'effectue automatiquement lorsque vous créez des règles de mot de passe.
Par exemple, si vous avez défini un nombre de login bonus pour le mot de passe NDS, lorsque vous activez le mot de passe universel, vous devez recréer le paramètre de login bonus dans les règles de mots de passe avancées de la règle de mot de passe.
Si, par la suite, vous désactivez l'option Mot de passe universel dans la règle de mot de passe, les paramètres de mot de passe existants ne seront plus ignorés. Ils s'appliquent alors pour le mot de passe NDS.
L'illustration suivante propose un exemple de la page de propriétés dans laquelle vous spécifiez les règles de mots de passe avancées d'une règle de mot de passe.
Reportez-vous à la section Ajout de votre propre message de modification du mot de passe aux règles de mot de passe.
Reportez-vous à la section Comment fournir aux utilisateurs le libre-service Mot de passe oublié.
Reportez-vous à la section Comment fournir aux utilisateurs le libre-service Réinitialiser le mot de passe.
Dans eDirectory, vous pouvez assigner une règle de mot de passe aux utilisateurs à l'arborescence (en utilisant l'objet Règle de login), à un conteneur ou à une partition, ou à des utilisateurs particuliers.
Nous vous conseillons d'assigner une règle par défaut à toute l'arborescence, et d'assigner les éventuelles autres règles de mot de passe au niveau le plus élevé possible de l'arborescence afin de simplifier l'administration.
NMAS détermine quelle règle de mot de passe est en vigueur pour chaque utilisateur. Pour plus d'informations sur l'assignation des règles de mot de passe aux utilisateurs, reportez-vous à la section Assignation de règles de mot de passe aux utilisateurs.
Si vous utilisez la synchronisation des mots de passe, n'oubliez pas de vérifier que tous les utilisateurs à qui vous avez assigné des règles de mot de passe correspondent aux utilisateurs que vous souhaitez voir participer à la synchronisation des mots de passe entre les systèmes connectés. Les règles de mot de passe sont assignées dans une perspective centrée sur l'arborescence. Par opposition, la synchronisation des mots de passe est définie par pilote et par serveur. Pour que la synchronisation des mots de passe donne les résultats escomptés, vérifiez que les utilisateurs d'une réplique principale ou en lecture/écriture sur le serveur, exécutant les pilotes et auxquels s'applique la synchronisation, correspondent aux conteneurs pour lesquels vous avez assigné des règles de mot de passe en activant le mot de passe universel. L'assignation d'une règle de mot de passe au conteneur racine d'une partition garantit que cette règle s'applique à tous les utilisateurs de ces conteneurs et sous-conteneurs.
L'illustration suivante propose un exemple de la page de propriétés dans laquelle vous spécifiez à quel objet assigner la règle de mot de passe.
Lorsque vous assignez une règle de mot de passe à des utilisateurs de l'arborescence, toute modification ultérieure d'un mot de passe doit être conforme aux règles de mots de passe avancées de cette règle. Dans le navigateur, les règles de mot de passe s'affichent sur la page dans laquelle l'utilisateur modifie le mot de passe. Dans Novell Client 4.9 SP2 ou une version ultérieure, les règles s'affichent également. Dans les deux méthodes, tout mot de passe non conforme est refusé. NMAS est l'application permettant de mettre en œuvre ces règles.
Vous pouvez demander de contrôler la conformité de tous les mots de passe existants. En cas de non-conformité, les utilisateurs sont alors invités à modifier leur mot de passe.
Vous pouvez également demander que, au moment de leur authentification via iManager ou la console iManager en libre-service, les utilisateurs soient invités à configurer les fonctions Mot de passe oublié que vous avez activées. Ces services sont appelés les services de post-authentification. Par exemple, si vous souhaitez que les utilisateurs créent un indice de votre mot de passe qui peut leur être envoyé par courrier électronique en cas d'oubli de leur mot de passe, vous pouvez utiliser les services de post-authentification pour les inviter à créer un indice de mot de passe au moment de leur login.
Les paramètres de post-authentification constituent la dernière option de la page de propriétés Mot de passe oublié, comme le montre l'illustration suivante.
Si vous utilisez la synchronisation des mots de passe, des paramètres sont proposés pour chaque pilote afin d'appliquer les règles de mots de passe avancées d'une règle de mot de passe.
Procédez comme suit :
Si vous utilisez les règles de mots de passe avancées et la synchronisation des mots de passe via Identity Manager, nous vous conseillons de rechercher les règles de mot de passe de tous les systèmes connectés afin de vérifier que les règles de mots de passe avancées définies dans la règle de mot de passe eDirectory sont compatibles ; les mots de passe peuvent ainsi être synchronisés sans problème.
N'oubliez pas de vérifier que tous les utilisateurs à qui vous avez assigné des règles de mot de passe correspondent aux utilisateurs que vous souhaitez voir participer à la synchronisation des mots de passe entre les systèmes connectés.
Les règles de mot de passe sont assignées dans une perspective centrée sur l'arborescence. Par opposition, la synchronisation des mots de passe est définie par pilote ; ceux-ci sont installés sur les serveurs et ne peuvent gérer que les utilisateurs existants d'une réplique principale ou d'une réplique en lecture/écriture. Pour que la synchronisation des mots de passe donne les résultats escomptés, vérifiez que les utilisateurs d'une réplique principale ou en lecture/écriture sur le serveur, exécutant les pilotes et auxquels s'applique la synchronisation, correspondent aux conteneurs pour lesquels vous avez assigné des règles de mot de passe en activant le mot de passe universel. L'assignation d'une règle de mot de passe au conteneur racine d'une partition garantit que cette règle s'applique à tous les utilisateurs de ces conteneurs et sous-conteneurs.
Pour plus d'informations sur la manière de définir les flux de mots de passe, reportez-vous à la section Paramètres de synchronisation des mots de passe à créer à l'aide des valeurs de configuration globales.
Dans iManager, vous pouvez vérifier quelle la règle s'applique à un utilisateur donné. Reportez-vous à la section Détermination de la règle s'appliquant à un utilisateur.
Pour permettre aux administrateurs ou au service d'assistance d'attribuer un mot de passe universel à un utilisateur, iManager est fourni avec un nouveau plug-in. Ce plug-in affiche les règles de mots de passe avancées depuis la règle de mot de passe des utilisateurs afin d'aider les administrateurs ou le service d'assistance à créer un mot de passe universel conforme à ces règles. La tâche Définir le mot de passe universel est située dans le rôle Gestion des mots de passe.