Préparation à l'utilisation de la synchronisation des mots de passe et du mot de passe universel dans Identity Manager

Cette section contient les informations suivantes :

• Commutation des utilisateurs du mot de passe NDS au mot de passe universel
• Modification des mots de passe à l'aide de la console en libre-service d'iManager ou du client Novell
• Préparation à l'utilisation du mot de passe universel
• Planification des répliques et des règles de mot de passe
• Configuration de la notification par message électronique

Commutation des utilisateurs du mot de passe NDS au mot de passe universel

Lorsque vous activez le mot de passe universel pour un groupe d'utilisateurs à l'aide d'une règle de mot de passe, l'utilisateur doit renseigner le mot de passe.

Si vous avez déjà utilisé la synchronisation des mots de passe pour mettre à jour le mot de passe NDS, vous devez planifier la transition des mots de passe des utilisateurs. Vous pouvez effectuer l'une des opérations suivantes pour que vos utilisateurs créent un mot de passe universel :

• Si vous utilisez le client Novell (il n'est pas obligatoire pour la synchronisation des mots de passe dans Identity Manager), déployez le nouveau client Novell qui prend en charge le mot de passe universel. À la prochaine connexion des utilisateurs à l'aide du nouveau client Novell, le client capture le mot de passe NDS avant qu'il ne soit haché et l'utilise pour renseigner le mot de passe universel. Pour plus d'informations, reportez-vous à la section Planification des méthodes de login et de modification des mots de passe de vos utilisateurs.
• Si vous n'utilisez pas le client Novell, demandez aux utilisateurs de se connecter à la console en libre-service d'iManager. Cette méthode de connexion renseigne le mot de passe universel. Pour accéder à la console en libre-service d'iManager, accédez à /nps sur votre serveur iManager. Par exemple, https://www.myiManager.com/nps.
• Demandez aux utilisateurs de se connecter en utilisant tout service qui s'authentifie à l'aide d'un serveur LDAP avec activation du mot de passe universel, le portail d'une société, par exemple.

Modification des mots de passe à l'aide de la console en libre-service d'iManager ou du client Novell

Lorsqu'un utilisateur modifie son mot de passe dans iManager, la console en libre-service d'iManager et le client Novell, les règles de mot de passe avancées s'affichent. L'utilisateur peut ainsi créer un mot de passe compatible, sans avoir à deviner les règles.

Selon la configuration du flux de mots de passe, un utilisateur pourrait modifier un mot de passe sur un système connecté ; il serait alors synchronisé avec Identity Manager et les autres systèmes connectés. Toutefois, les systèmes connectés n'affichent pas les règles de mot de passe avancées lorsque l'utilisateur modifie un mot de passe.

Si vous souhaitez appliquer les règles de mot de passe avancées et éviter des mots de passe incompatibles, il est recommandé de demander aux utilisateurs de ne modifier le mot de passe que dans la console en libre-service d'iManager ou le client Novell, ou au moins de s'assurer que les règles de mot de passe avancées sont bien communiquées aux utilisateurs.

Dans un système connecté, l'utilisateur est autorisé à modifier le mot de passe sans consulter les principes de la règle de mot de passe ; il est alors possible qu'il en oublie certains. Seules les règles du système connecté lui-même seront appliquées lorsque l'utilisateur procède à la modification pour la première fois. L'utilisateur risque de rencontrer les problèmes suivants lorsqu'il crée un mot de passe incompatible sur un système connecté, selon les paramètres inscrits dans Identity Manager :

• Si vous avez activé le paramètre qui applique la règle sur les mots de passe entrant dans Identity Manager depuis les systèmes connectés, le nouveau mot de passe de l'utilisateur ne sera pas synchronisé sur eDirectory. Si vous avez défini Identity Manager pour qu'il avertisse les utilisateurs de l'échec, ils recevront un message électronique indiquant que leur mot de passe ne s'est pas synchronisé.
• Si vous avez également paramétré Identity Manager pour qu'il remplace les mots de passe incompatibles sur les systèmes connectés, l'utilisateur ne pourra pas se connecter avec le nouveau mot de passe choisi sur le système connecté.

  Identity Manager réinitialise le mot de passe sur le système connecté avec le mot de passe de distribution, qui est probablement le dernier mot de passe compatible que l'utilisateur a créé.

Préparation à l'utilisation du mot de passe universel

La plupart des informations dont vous avez besoin se trouvent à la section Deploying Universal Password (Déploiement du Mot de passe universel) du manuel Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Guide d'administration de NMAS (Novell Modular Authentication Services) 2.3).

Vous devez en outre vous souvenir que :

• eDirectory version 8.7.1 ou supérieure est nécessaire à l'utilisation du mot de passe universel. NetWare 6.5 n'est pas obligatoire et la documentation NetWare a été mise à jour pour traduire cet état de fait.
• La synchronisation des mots de passe dans Identity Manager repose sur le mot de passe universel et sur un nouveau type de mot de passe, le mot de passe de distribution, c'est-à-dire sur le référentiel à partir duquel Identity Manager distribue les mots de passe vers les systèmes connectés. Comme pour le mot de passe universel, les règles peuvent être appliquées au mot de passe de distribution.
• Les plugs-in DirXML iManager, livrés avec Identity Manager, incluent les nouveaux plugs-in de gestion des mots de passe, qui permettent de créer des Règles de mot de passe. Ces plugs-in permettent de déterminer la méthode de synchronisation entre le mot de passe universel et le mot de passe NDS, le mot de passe simple et le mot de passe de distribution.

  Ils remplacent ceux du mot de passe universel qui étaient livrés avec NetWare 6.5. Ils sont décrits au Gestion des mots de passe à l'aide des règles de mot de passe.

• eDirectory 8.6. 2 ne peut pas être utilisé pour l'arborescence qu'Identity Manager utilise. Toutefois, eDirectory 8.6. 2 est pris en charge pour un sous-ensemble de fonctions de synchronisation des mots de passe, de sorte qu'il puisse être utilisé avec d'autres arborescences si vous n'êtes pas prêt à mettre votre environnement à niveau.
• Lors de la mise à niveau du logiciel, l'une des manières de réduire l'impact du déploiement du mot de passe universel consiste à créer une arborescence séparée pour Identity Manager fonctionnant en tant que système de protection des identités. De nombreux environnements utilisent déjà un système de protection des identités pour DirXML et les pilotes.
• Le mot de passe universel vous apporte de nouvelles fonctionnalités qui n'étaient pas prises en charge par les précédents outils de gestion des mots de passe, comme l'application des règles de mot de passe et la possibilité d'utiliser des caractères spéciaux.
• Il est très important de mettre à jour le client Novell et d'autres utilitaires, de manière à éviter une désynchronisation entre le mot de passe NDS et le mot de passe universel, parfois appelée dérive du mot de passe. Reportez-vous à la section Planification des méthodes de login et de modification des mots de passe de vos utilisateurs.
• La version la plus récente du client Novell prend en charge le mot de passe universel, peut le compléter pour un utilisateur lorsque vous activez le mot de passe universel pour la première fois pour cet utilisateur, et peut afficher et appliquer les règles de mot de passe lorsque les utilisateurs modifient leurs mots de passe.
• Un système connecté n'affiche pas les règles de mot de passe avancées que vous créez dans une règle de mot de passe. Pour l'heure, c'est également le cas du client Novell, même s'il les applique.

  Il vaut mieux demander aux utilisateurs de ne modifier le mot de passe que dans la console en libre-service d'iManager.

  Si vous autorisez les utilisateurs à modifier leurs mots de passe sur un système connecté ou en utilisant la dernière version du client Novell, aidez-les à créer un mot de passe compatible et à garantir que les principes de la règle de mot de passe ont été communiqués aux utilisateurs.

• Avertissez les administrateurs et les utilisateurs du service d'assistance que ConsoleOne^® ne prend en charge le mot de passe universel que s'il est utilisé sur un serveur NetWare^® 6.5 ou une version ultérieure ou sur une machine disposant de la dernière version du client Novell.
• Vérifiez que les administrateurs et les utilisateurs du service d'assistance comprennent les implications liées à l'utilisation d'utilitaires ne prenant en charge que le mot de passe NDS. Ces utilitaires peuvent être utilisés pour se connecter, mais pas pour modifier les mots de passe. Cette mesure évite la dérive des mots de passe, c'est-à-dire la désynchronisation entre le mot de passe NDS et le mot de passe universel.

  Le manuel Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Guide d'administration de NMAS (Novell Modular Authentication Services) 2.3) référence un TID qui répertorie les utilitaires et la façon dont ils prennent en charge le mot de passe universel.

Planification des répliques et des règles de mot de passe

Les règles de mot de passe sont assignées dans une perspective centrée sur l'arborescence. Par opposition, la synchronisation des mots de passe est définie par pilote ; ceux-ci sont installés sur les serveurs et ne peuvent gérer que les utilisateurs existants d'une réplique principale ou d'une réplique en lecture/écriture. Pour que la synchronisation des mots de passe donne les résultats escomptés, vérifiez que les conteneurs d'une réplique principale ou en lecture/écriture sur le serveur, exécutant les pilotes et auxquels s'applique la synchronisation, correspondent aux conteneurs pour lesquels vous avez assigné des règles de mot de passe en activant le mot de passe universel. L'assignation d'une règle de mot de passe au conteneur racine d'une partition garantit que cette règle s'applique à tous les utilisateurs de ces conteneurs et sous-conteneurs.

Configuration de la notification par message électronique

Pour utiliser la fonction de notification par message électronique :

• Utilisez la tâche Configuration de la notification dans iManager pour configurer le serveur de messagerie.
• Le cas échéant, utilisez la tâche Configuration de la notification dans iManager pour personnaliser les modèles de message électronique.
• Vérifiez que les utilisateurs eDirectory ont rempli l'attribut Adresse de messagerie Internet.

Suivez les instructions de la section Configuration de la notification par message électronique.