パスワード同期の前提条件

パスワード同期は、次の要素に依存します。


ユニバーサルパスワードのサポート

ユニバーサルパスワードを使用するための準備作業を参照してください。


ドライバマニフェストで宣言されているパスワード同期機能

ドライバマニフェストは、接続システムが次のパスワード同期機能をサポートするかどうかを宣言します。

注:  ドライバマニフェストは、ドライバの開発者、またはドライバ設定を作成するIdentity Managerのエキスパートによって記述されます。ネットワーク管理者が編集するためのものではありません。これは、ドライバシムと設定の真の機能を表すものであるため、マニフェストだけを変更しても機能は変更されません。機能を追加するには、ドライバシム、接続システム、またはドライバ設定を強化する必要があります。

Identity Managerに付属するドライバ設定はドライバマニフェストエントリを含みます。既存のドライバにこれらを追加するには、Identity Managerパスワード同期をサポートするための、既存のドライバ設定のアップグレードを参照してください。


グローバル設定値を使用して作成するパスワード同期設定

グローバル設定値はIdentity Managerの新機能で、これにより、ポリシー内で参照できる定数値を設定できます(これらは、サーバ変数と呼ばれることもあります。レプリカごとの属性に保持されるためです)。

パスワード同期では、これらの設定値を使用して、Identity Managerに対するパスワードフローの設定を作成できます。

ドライバ設定内のパスワード同期ポリシーはグローバル設定値の設定に基づいて動作するように記述されるため、ポリシーを編集せずにパスワードのフローを簡単に変更できます。

グローバル設定値を使用して、各接続システムの次の設定を制御できます。インタフェースでは、Identity ManagerはDirXMLと呼ばれます。

Identity Managerに付属するドライバ設定はドライバマニフェストエントリを含みます。既存のドライバにこれらを追加するには、Identity Managerパスワード同期をサポートするための、既存のドライバ設定のアップグレードを参照してください。

これらのGCVは、iManagerの[Password Synchronization]タスク([Password Management]> [Password Synchronization])で編集します。このグラフィカルインタフェースを使用して、接続システムとIdentity Managerの間のパスワードフローを指定できます。

接続システムドライバを検索する場所を指定すると、インタフェースによって検索されたすべての接続システムに対するパスワードフロー設定の概要が表示されます。概要ページの一例を次に示します。


DirXMLおよび接続システムに対してパスワードフローを有効にするかどうかを示す接続システムのリスト

このページでは、ドライバ名をクリックすると、制御するすべての設定をドリルダウンして表示できます。

次の図は、表示されるページを示します。これは、パスワード同期のグローバル設定値を設定するためのグラフィカルインタフェースです。


パスワード同期のグローバル設定値リスト

このページのオプションが淡色表示されている場合は、ドライバマニフェストによって、接続システムがそのオプションをサポートしていないことが示されています。

注:  このインタフェースによって、各ドライバのグローバル設定値を設定できます。ドライバのグローバル設定値は、ドライバセットの値よりも優先され、特定のドライバにグローバル設定値を設定することで、より細分化された制御が可能です。このページは、個々のドライバに存在するグローバル設定値だけを表示できます。

グローバル設定値は、ドライバ設定オブジェクトに設定でき、ドライバセット内のドライバが自身の値を持たない場合はそのドライバがグローバル設定値を継承します。ドライバが自身の設定を持たず、ドライバセットからのグローバル設定値を継承する場合、このインタフェースは表示されません。このインタフェースには継承されているグローバル設定値は表示されませんが、グローバル設定値はパスワード同期ポリシーによって適用されます。


ドライバ設定で必要なポリシー

各ドライバの発行者チャネルと加入者チャネルのポリシーは、前述のグローバル設定値内の設定に基づいてパスワードフローを制御します。

これらのポリシーはIdentity Managerのドライバ設定に含まれます。

既存のドライバ設定を置き換えるのではなく更新する場合は、これらのポリシーを設定に追加する必要があります(Identity Managerパスワード同期をサポートするための、既存のドライバ設定のアップグレードを参照)。

パスワード同期を機能させるには、これらのポリシーをドライバ設定の正しい場所に指定する必要があります。

ドライバ設定内の場所 パスワード同期ポリシー名 ポリシーの実行内容

Publisher Command Transformation (発行者コマンド変換)

これらのポリシーはこの順番で表示され、Publisher Command Transformation (発行者コマンド変換)ポリシーセット内の最後のポリシーである必要があります。

Password(Pub)-Default Password Policy (パスワード(発行者)-デフォルトパスワードポリシー)

addオブジェクトにまだパスワードが含まれていない場合は、デフォルトのパスワードをaddオブジェクトに追加します。

このポリシーとPassword(Sub)-Default Password Policy (パスワード(加入者)-デフォルトパスワードポリシー)は、変更または削除できる唯一のポリシーです。パスワード同期機能を適切に動作させるには、その他のポリシーを変更せずに使用する必要があります。

Password(Pub)-Check Password GCV (パスワード(発行者)-パスワードGCVのチェック)

GCVを確認し、Identity Managerがこの接続システムからパスワードを受け取るよう指定しているかどうかを判断します。指定していない場合は、すべてのパスワード要素を除去します。

GCVの名前はenable-password-publishで、表示名は[DirXML accepts passwords from application]です。

Password(Pub)-Publish Distribution Password (パスワード(発行者)-配布パスワードの発行)

<password>要素を、ユニバーサルパスワードを更新できる形式に変換します。

このポリシーが参照するGCVは、publish-password-to-dp、およびenforce-password-policyです。

Password(Pub)-Publish NDS Password (パスワード(発行者)-NDSパスワードの発行)

NDSパスワードを更新するように指定している場合に、<password>要素が通過できるようにします。指定していない場合は、パスワード要素を除去します。

このポリシーは、publish-password-to-ndsというGCVを参照します。

Password(Pub)-Add Password Payload (パスワード(発行者)-パスワードペイロードの追加)

電子メール通知のために、エンジン内で回覧されるペイロードデータを挿入します。

Publisher Input Transformation (発行者入力変換)

入力変換に複数のポリシーがある場合、このポリシーは最後に記述することをお勧めします。

Password(Pub)-Sub Email Notifications (パスワード(発行者)-加入者の電子メール通知)

ペイロード情報が送られてきて、ステータスが問題を示す場合、ユーザに電子メールを送信します。電子メールは、eDirectory内のInternet EMail Address属性に示されているユーザの電子メールアドレスに送信されます。

このポリシーは、notify-user-on-password-dist-failureというGCVを参照して、通知電子メールを送信するかどうかを決定します。

Subscriber Command Transformation (加入者コマンド変換)

これらのポリシーはこの順番で表示され、Subscriber Command Transformation (加入者コマンド変換)ポリシーセット内の最後のポリシーである必要があります。

Password(Sub)-Transform Distribution Password (パスワード(加入者)-配布パスワードの変換)

ユニバーサルパスワードを<password>要素に変換します。

Password(Sub)-Default Password Policy (パスワード(加入者)-デフォルトパスワードポリシー)

addオブジェクトにまだパスワードが含まれていない場合は、デフォルトのパスワードをaddオブジェクトに追加します。

このポリシーとPassword(Pub)-Default Password Policy (パスワード(発行者)-デフォルトパスワード)は、変更または削除できる唯一のポリシーです。パスワード同期機能を適切に動作させるには、その他のポリシーを変更せずに使用する必要があります。

Password(Sub)-Check Password GCV (パスワード(加入者)-パスワードGCVのチェック)

GCVを確認し、接続システムがパスワードを受け取るよう指定しているかどうかを判断します。指定していない場合は、すべてのパスワード要素を除去します。

GCVの名前はenable-password-subscribeで、表示名は[Application accepts passwords from DirXML data store]です。

Password(Sub)-Add Password Payload (パスワード(加入者)-パスワードペイロードの追加)

電子メール通知のために、エンジン内で回覧されるペイロードデータを挿入します。

Subscriber Output Transformation (加入者出力変換)

出力変換に複数のポリシーがある場合、このポリシーは最後にリストすることをお勧めします。

Password(Sub)-Pub Email Notifications (パスワード(加入者)-発行者の電子メール通知)

ペイロード情報が送られてきて、ステータスが問題を示す場合、ユーザに電子メールを送信します。

このポリシーは、notify-user-on-password-dist-failureというGCVを参照して、通知電子メールを送信するかどうかを決定します。


パスワード取得のために接続システムにインストールするフィルタ

AD、NTドメイン、およびNISでは、ユーザのパスワードを取得するためにフィルタをインストールする必要があります。

パスワードフィルタの設定を参照してください。


ユーザ用に作成するPassword Policy (パスワードポリシー)

Password Policy (パスワードポリシー)を使用してユーザ用のユニバーサルパスワードを有効にする必要があります(ただし、ユニバーサルパスワードなしでもパスワード同期の一部の機能は使用できます)。また、Password Policy (パスワードポリシー)によって、Advanced Password Rule (詳細パスワードルール)を指定し、ユーザの既存のパスワードがルールに準拠しているかどうか確認するように指定できます。

Identity Managerパスワード同期を使用するには、Password Policy (パスワードポリシー)を理解する必要があります。

Password Policy (パスワードポリシー)については、Password Policy (パスワードポリシー)を使用したパスワードの管理で説明しています。


NMASログインメソッド

状況によっては、NMAS Simple Password Login Methodを用意して、パスワード機能を実行できるようにする必要があります。たとえば、LDAPではこのメソッドが必要です。

ログインメソッドについては、『 Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Novell Modular Authentication Services (NMAS) 2.3管理ガイド)』を参照してください。