Cette section contient les informations suivantes :
Nous vous conseillons d'assigner une règle par défaut à toute l'arborescence, et d'assigner les éventuelles autres règles de mot de passe au niveau le plus élevé possible de l'arborescence afin de simplifier l'administration.
NMAS détermine quelle règle de mot de passe est en vigueur pour chaque utilisateur. Pour plus d'informations sur l'assignation des règles de mot de passe aux utilisateurs, reportez-vous à la section Assignation de règles de mot de passe aux utilisateurs.
Dans une règle de mot de passe, vous pouvez utiliser les règles de mots de passe avancées pour appliquer les règles de votre société en matière de mots de passe.
N'oubliez pas que seuls Novell Client (4.9 SP2) et la console iManager en libre-service affichent les règles de mot de passe. Si vos utilisateurs peuvent modifier leur mot de passe via le serveur LDAP ou un système connecté, vous devez rendre les règles de mot de passe accessibles aux utilisateurs afin qu'ils les respectent.
Si vous utilisez la synchronisation des mots de passe, n'oubliez pas de vérifier que tous les utilisateurs à qui vous avez assigné des règles de mot de passe correspondent aux utilisateurs que vous souhaitez voir participer à la synchronisation des mots de passe entre les systèmes connectés. Les règles de mot de passe sont assignées dans une perspective centrée sur l'arborescence. Par opposition, la synchronisation des mots de passe est définie par pilote et par serveur. Pour que la synchronisation des mots de passe donne les résultats escomptés, vérifiez que les utilisateurs d'une réplique principale ou en lecture/écriture sur le serveur, exécutant les pilotes et auxquels s'applique la synchronisation, correspondent aux conteneurs pour lesquels vous avez assigné des règles de mot de passe en activant le mot de passe universel. L'assignation d'une règle de mot de passe au conteneur racine d'une partition garantit que cette règle s'applique à tous les utilisateurs de ces conteneurs et sous-conteneurs.
Un utilisateur peut se loguer ou modifier un mot de passe de plusieurs façons différentes.
Dans tous les cas, vous devez mettre à niveau votre environnement vers eDirectory 8.7.1 ou une version ultérieure, avec le serveur LDAP associé, NMAS 2.3 ou une version ultérieure et iManager 2.0.2 ou une version ultérieure. Pour plus d'informations sur la mise à niveau nécessaire pour la prise en charge du mot de passe universel, reportez-vous à la section Deploying Universal Password (Déploiement du mot de passe universel) du Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Guide d'administration de NMAS (Novell Modular Authentication Services) 2.3).
Cette section explique les exigences supplémentaires nécessaires à la prise en charge du mot de passe universel dans chaque cas.
Si vous utilisez Novell Client, mettez-le à niveau vers la version 4.9 SP2 ou ultérieure.
N'oubliez pas qu'il n'est pas nécessaire d'utiliser Novell Client ; en effet, en fonction de votre environnement, les utilisateurs peuvent se loguer via la console iManager en libre-service ou par l'intermédiaire d'autres portails de sociétés. En outre, Novell Client n'est plus nécessaire pour synchroniser les mots de passe sur AD ou NT.
Le tableau suivant décrit les différences entre les versions de Novell Client en ce qui concerne le mot de passe universel, et donne des suggestions relatives à la gestion des clients Novell hérités.
| Version de Novell Client | Login | Modification du mot de passe |
|---|---|---|
antérieure à 4.9 |
Ne passe pas par NMAS, et ne prend donc pas en charge le mot de passe universel. Se logue directement en utilisant le mot de passe NDS. |
Modifie directement le mot de passe NDS, sans passer par NMAS. Si vous utilisez le mot de passe universel, cela peut générer un problème appelé dérive du mot de passe, qui fait que le mot de passe NDS et le mot de passe universel ne sont pas synchronisés. Pour éviter ce problème, vous avez trois possibilités :
|
4.9 |
Prend en charge le mot de passe universel. |
Applique les règles de mot de passe au mot de passe universel. Si un utilisateur tente de créer un mot de passe non conforme, cette modification est rejetée. Toutefois, la liste des règles n'apparaît pas à l'utilisateur. |
4.9 SP2 |
Prend en charge le mot de passe universel. |
Applique les règles de mot de passe au mot de passe universel. De plus, dans cette version, les règles s'affichent afin d'aider l'utilisateur à créer un mot de passe conforme. |
La console iManager en libre-service propose des options de mot de passe en libre-service permettant aux utilisateurs de réinitialiser leur mot de passe et de configurer l'option en libre-service Mot de passe oublié si la règle de mot de passe l'autorise. La console iManager en libre-service est accessible aux utilisateurs de votre serveur iManager via une URL telle que https://www.nom_du_serveur.com/nps. Par exemple, https://www.myiManager.com/nps.
Comme indiqué plus haut, vérifiez que eDirectory, le serveur LDAP, NMAS et iManager sont mis à niveau pour prendre en charge le mot de passe universel.
Pour plus d'informations sur l'utilisation d'AFP, de CIFS et des autres protocoles avec le mot de passe universel, reportez-vous à la section Deploying Universal Password (Déploiement du mot de passe universel) dans le Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Guide d'administration de NMAS (Novell Modular Authentication Services) 2.3).
Si vous utilisez la synchronisation des mots de passe sous Identity Manager, vérifiez que les exigences suivantes sont satisfaites afin que les utilisateurs puissent modifier leur mot de passe sans problème.
Pour plus d'informations, reportez-vous au Synchronisation de mot de passe sur des systèmes connectés.
Dans les versions de Novell Client antérieures à 4.9, le login et les modifications de mots de passe sont directement transmis au mot de passe NDS et non pas à NMAS. Le mot de passe universel n'est donc pas pris en charge.
Si vous utilisez le mot de passe universel, la modification des mots de passe des clients hérités peut générer un problème appelé dérive du mot de passe, qui fait que le mot de passe NDS et le mot de passe universel ne sont pas synchronisés.
Pour éviter cela, vous devez empêcher les clients des versions antérieures à 4.9 de changer leur mot de passe. Vous devez alors utiliser un attribut eDirectory sur le conteneur racine d'une partition, sur une classe ou sur un objet. Ces attributs font partie du schéma d'eDirectory 8.7.1 ou d'une version ultérieure, et ne sont pas pris en charge par eDirectory 8.7.0 ou une version antérieure.
La méthode utilisée par les clients hérités pour modifier le mot de passe NDS est appelée gestion des mots de passe NDAP. La liste suivante explique comment utiliser un attribut pour désactiver la gestion des mots de passe NDAP au niveau de la partition. Si nécessaire, vous pouvez toujours l'activer par classe ou par objet, en utilisant d'autres attributs.
ndapPartitionPasswordMgmt : pour les conteneurs au niveau de la partition. Si cet attribut est absent ou si sa valeur n'est pas définie au niveau de la partition, la gestion des mots de passe NDAP est activée.
Pour désactiver la gestion des mots de passe NDAP, ajoutez cet attribut à la partition et définissez-le sur 0. Pour la réactiver, définissez l'attribut sur 1.
Vous pouvez utiliser les autres attributs listés ci-dessous pour laisser les classes ou les objets utiliser la gestion des mots de passe NDAP même si elle est désactivée au niveau de la partition. Toutefois, si la gestion des mots de passe NDAP est activée au niveau de la partition, elle l'est également pour tous les objets de cette partition, quelles que soient leur classe et les règles de niveau d'entrée.
ndapClassPasswordMgmt :pour une classe. Si vous ajoutez cet attribut à la définition d'une classe, cette classe peut utiliser la gestion des mots de passe NDAP même si la règle au niveau de la partition spécifie que cette gestion est désactivée. La présence de cet attribut active la gestion des mots de passe NDAP. Sa valeur n'a aucune importance.
ndapPasswordMgmt :pour un objet spécifique. Si vous ajoutez cet attribut à un objet spécifique et si vous définissez sa valeur sur 1, l'objet peut utiliser la gestion des mots de passe NDAP même si la partition ou la classe spécifie que cette gestion est désactivée.
Si vous définissez la valeur sur 0, la gestion des mots de passe NDAP est désactivée, mais uniquement si elle l'est également au niveau de la partition.
IMPORTANT: Rappelez-vous que eDirectory 8.7.0 ou une version antérieure ne prend pas en charge cette fonction. Si un serveur eDirectory 8.7.1 ou une version ultérieure et un serveur eDirectory 8.7.0 ou une version antérieure co-existent dans une arborescence, et si les deux serveurs partagent la même partition, la désactivation de la gestion des mots de passe NDAP risque d'engendrer des problèmes de fiabilité. Le serveur 8.7.1 applique les paramètres définis et empêche les clients hérités de modifier le mot de passe NDS. Toutefois, le serveur 8.7.0 n'applique pas les paramètres définis. Si un utilisateur tente de modifier le mot de passe NDS depuis le serveur 8.7.0, la modification reste donc possible.