Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe sous Identity Manager

Cette section explique comment ajouter la prise en charge de la synchronisation des mots de passe sous Identity Manager à une configuration de pilote existante, au lieu de remplacer vos configurations de pilote existantes par des exemples de configuration sous Identity Manager.

IMPORTANT:  Si vous mettez à niveau un pilote DirXML pour AD ou NT Domain, et s'il est utilisé avec la version 1.0 de la synchronisation des mots de passe, suivez les instructions de mise à niveau proposées dans les guides de mise en œuvre des pilotes DirXML pour Active Directory et NT Domain, disponible sur le site de documentation sur les pilotes DirXML.

NOTE:  Les règles ajoutées dans cette procédure sont destinées à la prise en charge de la synchronisation des mots de passe à l'aide du mot de passe universel et du mot de passe de distribution. Si vous utilisez le pilote eDirectory pour ne synchroniser que le mot de passe NDS, il est recommandé de ne pas utiliser ces règles dans la configuration de pilote eDirectory. Le mot de passe NDS est synchronisé à l'aide des attributs Clé publique et Clé privée et non à l'aide de ces règles, comme cela est décrit à la section Scénario 1 : synchronisation des mots de passe dans eDirectory à l'aide du mot de passe NDS.

Voici les tâches que vous devrez accomplir en suivant les procédures de cette section :

• Convertissez le pilote au format Identity Manager 2.
• Ajoutez le manifeste de pilote, les valeurs de configuration globales et les règles de synchronisation des mots de passe à la configuration du pilote. Pour obtenir une liste des règles que vous ajoutez, reportez-vous à la section Règles requises pour la configuration du pilote.
• Modifiez les paramètres de filtre pour l'attribut nspmDistributionPassword.
• Configurez le flux de synchronisation des mots de passe.

Conditions préalables

• Créez un enregistrement du pilote existant à l'aide de l'assistant d'exportation des pilotes.
• Vérifiez que vous avez bien installé le nouveau module d'interface pilote. Certaines fonctionnalités de synchronisation des mots de passe ne fonctionnent pas sans le nouveau module d'interface pilote Identity Manager, comme la fonction Vérifier l'état des mots de passe par exemple.

  IMPORTANT:  Si vous mettez à niveau un pilote DirXML pour AD ou NT Domain, et s'il est utilisé avec la version 1.0 de la synchronisation des mots de passe, n'installez pas le module d'interface pilote tant que vous n'avez pas consulté les instructions de mise à niveau. Suivez les instructions de mise à niveau des guides de mise en œuvre de chaque pilote DirXML pour Active Directory, disponible sur le site de documentation sur les pilotes DirXML.

Procédure

1. Vérifiez que votre environnement est prêt à utiliser le mot de passe universel. Reportez-vous à la section Préparation à l'utilisation de la synchronisation des mots de passe et du mot de passe universel dans Identity Manager.

2. Convertissez le pilote au format Identity Manager à l'aide d'un assistant. Reportez-vous à la section Mise à niveau de la configuration d'un pilote de DirXML 1.x au format Identity Manager.

3. Dans iManager, cliquez sur Utilitaires DirXML > Importer des pilotes.

   Vous pouvez ajouter la prise en charge de la synchronisation des mots de passe sous Identity Manager à chaque pilote devant participer à la synchronisation des mots de passe, en important un fichier de configuration de type support pack intégré, de manière à ajouter en une seule fois les règles, le manifeste du pilote et les GCV.

   Après cela, ajoutez également l'attribut nspmDistributionPassword au filtre.

   Ces tâches sont décrites dans les étapes suivantes.

4. Sélectionnez l'ensemble de pilotes dans lequel se trouve le pilote existant.

5. Dans la liste des configurations de pilote, ne sélectionnez que l'élément intitulé Règles de synchronisation de mot de passe 2.0. Ce choix est répertorié sous Autres règles. Cliquez sur Suivant.

   Une liste des invites d'importation s'affiche.

6. Sélectionnez le pilote existant que vous souhaitez mettre à jour.

7. Sélectionnez le type de pilote dans la liste déroulante.

   En fonction du type du pilote, l'assistant d'importation crée des entrées dans le manifeste du pilote pour préciser les capacités de configuration et le système connecté :

   • Le système connecté peut-il fournir des mots de passe à Identity Manager ? Cela fait référence au mot de passe de l'utilisateur sur le système connecté, et non à un mot de passe qui peut être créé à l'aide d'une feuille de style. Seuls AD, eDirectory et NIS peuvent le faire.
   • Le système connecté peut-il accepter des mots de passe venant d'Identity Manager ?
   • Le système connecté peut-il vérifier si le mot de passe correspond à celui d'Identity Manager ?

   Les entrées du manifeste du pilote doivent être correctes pour que les règles de synchronisation des mots de passe fonctionnent. Le manifeste du pilote indique la capacité combinée du système connecté, du module d'interface pilote Identity Manager DirXML et des règles de configuration des pilotes ; il ne doit généralement pas être modifié par l'administrateur réseau.

8. Cliquez sur Suivant. Choisissez de mettre à jour tout ce qui concerne le pilote.

   Cette option fournit le manifeste du pilote, les valeurs de configuration globales et les règles nécessaires à la synchronisation des mots de passe.

   Le manifeste du pilote et les valeurs de configuration globales remplacent toute valeur existante. Il ne devrait toutefois pas y avoir de valeur à remplacer pour DirXML 1.x ; en effet, ces types de paramètres constituent une nouvelle fonctionnalité d'Identity Manager 2.

   Les règles de synchronisation des mots de passe n'écrasent pas les objets de règles existants. Elles sont simplement ajoutées à l'objet Pilote.

   NOTE:  Si, malgré tout, vous devez enregistrer un manifeste de pilote ou des valeurs de configuration globales, choisissez l'option Ne mettre à jour que les règles sélectionnées dans ce pilote, puis cochez les cases correspondant à toutes ces règles. Cette option importe les règles de mot de passe mais ne modifie ni le manifeste de pilote ni les valeurs de configuration globales. Vous devez coller manuellement toute valeur supplémentaire.

9. Cliquez sur Suivant, puis sur Terminer pour mettre fin à l'utilisation de l'assistant.

   À ce moment de la procédure, les nouvelles règles ont été créées en tant qu'objets Règle de l'objet pilote ; cependant, elles ne font pas encore partie de la configuration du pilote. Vous devez pour cela insérer chacune d'entre elles manuellement, au bon endroit dans la configuration du pilote sur les canaux Abonné et Éditeur.

10. Insérez chacune des nouvelles règles à l'endroit qui convient dans la configuration du pilote existante. Si l'ensemble de règles comprend plusieurs règles, vérifiez que ces règles de synchronisation de mot de passe apparaissent au bas de la liste.

    La liste des règles et l'endroit auquel les insérer se trouvent à la section Règles requises pour la configuration du pilote.

    Répétez ces étapes pour chaque règle.

    1. Cliquez sur Gestion DirXML > Présentation. Sélectionnez l'ensemble de pilotes pour le pilote que vous êtes en train de mettre à jour.

    2. Cliquez sur le pilote que vous venez de mettre à jour. Une page montrant une représentation graphique de la configuration de pilote s'affiche.

    3. Cliquez sur l'icône pour savoir à quel endroit ajouter l'une des nouvelles règles.

    4. Cliquez sur Insérer pour ajouter la nouvelle règle. Dans la page qui s'affiche, cliquez sur Utiliser une règle existante et recherchez le nouvel objet Règle. Cliquez sur OK.

    5. Si la liste contient plusieurs règles pour chacune des trois nouvelles règles, utilisez les flèches pour déplacer les nouvelles règles vers le bon emplacement dans la liste. Vérifiez que les règles soient bien dans l'ordre indiqué à la section Règles requises pour la configuration du pilote.

11. Pour les classes d'objets pour lesquelles vous voulez synchroniser les mots de passe (Utilisateur, par exemple), vérifiez que l'attribut nspmDistributionPassword se trouve dans le filtre et qu'il possède les paramètres suivants :

    • Pour le canal Éditeur, définissez le filtre sur Ignorer pour l'attribut nspmDistributionPassword.
    • Pour le canal Abonné, définissez le filtre sur Notifier pour l'attribut nspmDistributionPassword.

    
    

12. Ignorez les attributs Clé publique et Clé privée dans le filtre du pilote pour tous les objets dont l'attribut nspmDistributionPassword est défini sur Notifier.

    
    

13. Répétez cette procédure de l'Step 2 à l'Step 12 pour tous les pilotes que vous souhaitez mettre à niveau pour les voir participer à la synchronisation des mots de passe.

    À ce moment de la procédure, le pilote dispose d'un nouveau module d'interface pilote et des autres éléments nécessaires à la prise en charge de la synchronisation des mots de passe dans la configuration du pilote. De plus, il est au format Identity Manager, et il possède le manifeste de pilote, les GCV, les règles de synchronisation de mot de passe et les paramètres de filtre.

14. Reportez-vous aux guides de mise en œuvre de chaque pilote pour voir si des étapes ou des informations complémentaires sont nécessaires pour la configuration de la synchronisation des mots de passe dans Identity Manager, disponible sur le site de documentation sur les pilotes DirXML.

15. Activez le mot de passe universel pour les utilisateurs en créant les règles de mot de passe, l'option Mot de passe universel étant activée.

    Reportez-vous à la section Création de règles de mot de passe. Si vous avez déjà utilisé le mot de passe universel avec NetWare 6.5, des étapes complémentaires sont décrites à la section (NetWare 6.5 uniquement) Nouvelle création des assignations du mot de passe universel.

    Nous vous recommandons d'assigner des règles de mot de passe au niveau le plus élevé possible de l'arborescence.

    Dans une règle de mot de passe, Mot de passe universel > Options de configuration, des options permettent de définir les méthodes de synchronisation des différents mots de passe par NMAS. Les paramètres par défaut doivent convenir à la plupart des mises en œuvre. Pour plus d'informations, consultez l'aide en ligne de cette page.

    Pour obtenir des exemples de scénarios utilisant la synchronisation des mots de passe et savoir comment intégrer les règles de mot de passe, reportez-vous à la section Mise en œuvre de la synchronisation des mots de passe.

    Les règles de mot de passe sont assignées dans une perspective centrée sur l'arborescence. Par opposition, la synchronisation des mots de passe est définie par pilote ; ceux-ci sont installés sur les serveurs et ne peuvent gérer que les utilisateurs existants d'une réplique principale ou d'une réplique en lecture/écriture. Pour que la synchronisation des mots de passe donne les résultats escomptés, vérifiez que les conteneurs d'une réplique principale ou en lecture/écriture sur le serveur, exécutant les pilotes et auxquels s'applique la synchronisation, correspondent aux conteneurs pour lesquels vous avez assigné des règles de mot de passe en activant le mot de passe universel. L'assignation d'une règle de mot de passe au conteneur racine d'une partition garantit que cette règle s'applique à tous les utilisateurs de ces conteneurs et sous-conteneurs.

16. Vérifiez que votre flux de mots de passe est défini comme vous le souhaitez pour chaque système connecté.

    1. Dans iManager, cliquez sur Gestion des mots de passe > Synchronisation de mot de passe, puis recherchez les pilotes pour les systèmes connectés à gérer.

    2. Consultez les paramètres actuels pour le flux de mots de passe. Il s'agit d'une interface graphique permettant de définir les valeurs de configuration globales (GCV). Modifiez-les en cliquant sur le nom d'un pilote.

       Vous pouvez modifier les paramètres pour indiquer

       • si Identity Manager accepte les mots de passe de ce système
       • le mot de passe que Identity Manager doit mettre à jour : directement le mot de passe universel ou directement le mot de passe de distribution. Identity Manager contrôle le point d'entrée, et donc l'identité du mot de passe qu'il met à jour. NMAS contrôle le flux entre chaque type de mot de passe, en fonction de ce que vous avez défini dans la règle de mot de passe, sous Mot de passe universel > Options de configuration.
       • si la règle de mot de passe pour l'utilisateur est appliquée aux modifications de mots de passe entrants dans Identity Manager
       • si la règle de mot de passe pour l'utilisateur est appliquée sur le système connecté, en réinitialisant les mots de passe non-conformes
       • si les mots de passe sont acceptés par ce système connecté
       • si les notifications par message électronique sont envoyées en cas d'échec de la synchronisation des mots de passe

    Pour plus d'informations et pour consulter des captures d'écran de ces options, reportez-vous à la section Mise en œuvre de la synchronisation des mots de passe. Consultez également l'aide en ligne.

17. Testez la synchronisation des mots de passe :

    • vérifiez que le mot de passe Identity Manager est distribué sur les systèmes spécifiés,
    • vérifiez que les systèmes connectés spécifiés éditent les mots de passe vers Identity Manager.

    Pour obtenir des astuces de dépannage, reportez-vous à la section Mise en œuvre de la synchronisation des mots de passe.