5.8 パスワード同期の実装

Identity Managerで提供されているパスワード同期の機能により、いくつかの異なるシナリオを実装できます。このセクションでは、基本シナリオについて説明し、Identity Managerのパスワード同期とNMASパスワードポリシーの設定がパスワード同期の方法にどのように影響を与えるかについて理解するために役立つ情報を提供します。現在の環境のニーズに合わせて、1つまたは複数のシナリオ使用できます。

5.8.1 Identity ManagerとNMASの関係の概要

ユーティリティとNMAS

iManagerなどのユーティリティとNovell Clientは、特定のパスワードを直接更新せずに、NMASと通信します。NMASは、どのパスワードが更新されるのかを決定するエンティティです。

NMASパスワードポリシーの設定に基づいて、NMASが識別\'83\'7bールト内でパスワードを同期します。

ユニバーサルパスワードが有効でないレガシーユーティリティは、NDSパスワードを直接更新します。NMASと通信し、NMASがどのパスワードを更新するかを決定するのではありません。ユーザおよびヘルプデスクの管理者が環境内でレガシーユーティリティをどのように使用するかに留意してください。レガシーユーティリティは、NDSパスワードをNMASと通信せずに直接更新するため、ユニバーサルパスワードとNMAS 2.3を使用している場合、パスワードドリフト(ユニバーサルパスワードとNDSパスワードとの同期がずれる状態)が発生する場合があります。

たとえば、ユニバーサルパスワードのサポートを確認するには、ユーザがNovell Clientをアップグレードしていることを確認し、ヘルプデスクのユーザがConsoleOneを最新のNovell ClientまたはNetWareリリースのみで使用していることを確認します。

図 5-5 NMASを使用したパスワードの同期

NDSパスワードを直接更新するレガシーユーティリティを除き、ユーティリティは、NMASと通信してパスワードを更新します

Identity ManagerとNMAS

Identity Managerは、「エントリポイント」を制御します(ユニバーサルパスワードまたは配布パスワードを直接更新します)。NMASは、識別\'83\'7bールト内のパスワード同期のフローを制御します。

シナリオ 1では、eDirectoryのIdentity Managerドライバを使用して、NDSパスワードを直接更新できます。このシナリオは基本的に、DirXML 1.xで提供されるものと同じです。

シナリオ 2シナリオ 3、およびシナリオ 4では、Identity Managerを使用して、ユニバーサルパスワードまたは配布パスワードを更新します。Identity ManagerはNMASと通信して、パスワードを変更します。これにより、NMASはNMASパスワードポリシーの設定の決定に基づき他の識別ボールトパスワードを更新し、パスワードを接続システムと同期できるように、NMASパスワードポリシーから高度なパスワードルールを適用できます。これらのシナリオでは、接続システムにIdentity Managerが配布するパスワードは、必ず配布パスワードとなります。

シナリオ2、シナリオ3、およびシナリオ4の間での違いは、NMASパスワードポリシーセットとそれぞれの接続システムドライバ用のIdentity Managerのパスワード同期の設定の異なる組み合わせにあります。

5.8.2 シナリオ1: NDSパスワードを使用した、2つの識別ボールト間の同期

Password Synchronization 1.0と同様に、eDirectoryドライバを使用して2つの識別ボールト間でNDSパスワードを同期できます。このシナリオでは、ユニバーサルパスワードの実装は必要なく、eDirectory 8.6.2以降で使用できます。この種類のパスワード同期は、公開鍵と秘密鍵のペアの同期化とも呼ばれます。

この方法は、識別ボールト間でパスワードを同期する場合のみ使用します。この方法はNMASを使用しないので、接続アプリケーションとパスワードを同期する目的では使用できません。

シナリオ1の長所と短所

表 5-11 長所: NDSパスワードを使用したeDirectory間でのパスワード同期

長所

短所

設定が簡単です。ドライバフィルタに正しい属性を含めるだけです。

各ステージでIdentity Manager およびeDirectory 8.7.3を実装する場合、この方法により段階的に実装できます。

  • 新しいパスワード同期のポリシーをドライバ設定に追加する必要がない。

  • ユニバーサルパスワードを識別\'83\'7bールトに実装する必要がない。

  • eDirectory 8.6.2以降を実行している接続された\'83\'7bールトで使用できる。

  • NMAS 2.3は必要ない。

NDSパスワードに設定した基\'96\'7b的なパスワード制限を適用します。

この方法は、識別ボールト間でパスワードを同期します。他の接続システムとパスワードを同期化することはできません。

ユニバーサルパスワードまたは配布パスワードはアップデートされません。

NMASを使用しないので、別の識別\'83\'7bールトからのパスワードに対して設定したパスワードポリシーの高度なパスワードルールとの照合によってパスワードを検証できません。

NMASを使用しないので、パスワードがNMASパスワードポリシーに準拠していない場合でも、接続された識別\'83\'7bールトでパスワードをリセットできません。

パスワード同期化に失敗したパスワードについては、電子メール通知は使用できません。

iManagerのタスクの[パスワードステータスの確認]操作はサポートされていません。(この機\'94\'5cでは配布パスワードが必要です。)

次の図は、DirXML 1.xと同様、eDirectoryのIdentity Managerドライバを使用して2つの識別ボールト間でNDSパスワードを同期できることを示しています。このシナリオでは、NMASと通信しません。

図 5-6 NDSパスワードを使用した、2つの識別\'83\'7bールト間の同期

シナリオ 1

シナリオ1の設定

この種類のパスワード同期を設定するには、ドライバを設定します。

ユニバーサルパスワードの展開

必要ありません。

Password Policy (パスワードポリシー)の設定

なし。

パスワード同期の設定

なし。ドライバの[Password Synchronization]ページの設定は、この方法のNDSパスワード同期には影響しません。

ドライバ設定

セクション 5.3.4, ドライバ設定で必要なポリシーに一覧表示されているパスワード同期のポリシーを削除します。これらのポリシーは、ユニバーサルパスワードおよび配布パスワードをサポートするためのものです。NDSパスワードは、これらのポリシーではなく、Public KeyおよびPrivate Keyの属性を使用して、同期化されます。

両方の識別ボールトドライバのドライバフィルタによって、パスワードを同期するすべてのオブジェクトクラスの公開鍵および秘密鍵の属性が同期されていることを確認します。次の\'90\'7dは、例を示します。

図 5-7 Private属性とPublic Key属性の同期

フィルタの秘密鍵および公開鍵を[同期]に設定

シナリオ1のトラブルシューティング

5.8.3 シナリオ2: ユニバーサルパスワードを使用したパスワードの同期

Identity Managerでは、接続システムのパスワードを識別\'83\'7bールトのユニバーサルパスワードに同期化できます。

ユニバーサルパスワードがアップデートされると、NMASパスワードポリシーの設定により、NDSパスワード、配布パスワード、または通常パスワードもアップデートできます。

接続システムはパスワードをIdentity Managerに発行できますが、すべての接続システムがユーザの実際のパスワードを提供できるわけではありません。たとえば、Active Directoryはユーザの実際のパスワードをIdentity Managerに発行できます。PeopleSoftはPeopleSoftシステム自体からパスワードを提供することはできませんが、ユーザの従業員IDまたは名字に基づくパスワードなど、ドライバ設定のポリシーで作成された初期パスワードは提供できます。すべてのドライバがIdentity Managerからのパスワードの変更を購読できるわけではありません。詳細については、セクション 5.2, パスワード同期をサポートする接続システムを参照してください。

シナリオ2の長所と短所

表 5-12 長所: ユニバーサルパスワードを使用した同期

長所

短所

識別\'83\'7bールトおよび接続システムとのパスワードの同期が可\'94\'5cです。

パスワードをNMASパスワードポリシーと照合して検証できます。

接続システムから受信したパスワードがパスワードポリシーに準拠していない場合など、失敗したパスワード操作を電子メールで通知できます。

ユニバーサルパスワードが配布パスワードと同期化され、接続システムがパスワードの確認をサポートする場合、iManagerの[Check Password Status]タスクをサポートします。

NMASは、ルールが有効にされている場合、パスワードポリシーの高度なパスワードルールを適用します。接続システムから受信したパスワードがルールに準拠していない場合、エラーが生成され、オプションで指定しているときは電子メール通知が送信されます。

パスワードポリシーのルールを適用しない場合は、NMASパスワードポリシーの[高度なパスワードルールを有効にする]チェックボックスをオフにできます。

設計上、接続システムのパスワードのリセットはこの方法ではサポートされません。パスワードポリシーの設定によっては、配布パスワードとユニバーサルパスワードが同一でないことがあるためです。

図 5-8は、このシナリオの以下のフローを示しています。

  1. パスワードが、Identity Managerを通って来る。

  2. Identity ManagerがNMASと通信して、ユニバーサルパスワードを直接アップデートする。

  3. NMASが、ユニバーサルパスワードを、配布パスワードおよびNMASパスワードポリシー設定に従って、その他のパスワードに同期化する。

  4. Identity Managerが配布パスワードを取得し、パスワードを受諾するよう設定されている接続システムに配布する。

この\'90\'7dでは複数の接続システムがIdentity Managerに接続しているように示されていますが、接続システムのドライバごとに設定を作成することに注意してください。

図 5-8 ユニバーサルパスワードを使用したパスワードの同期

シナリオ 2:

シナリオ2の設定

この種類のパスワード同期を設定する

ユニバーサルパスワードの展開

現在の環境でユニバーサルパスワードを使用する準備ができていることを確認します。詳細については、セクション 5.4, Identity Managerパスワード同期およびユニバーサルパスワードを使用するための準備作業を参照してください。

Password Policy (パスワードポリシー)の設定

NMASパスワードポリシーが、この種類のパスワード同期を実行したい識別\'83\'7bールトの一部に割り当てられていることを確認してください。

  1. iManagerで、[Passwords]>[Password Policies]の順に選択します。

  2. ポリシーを選択し、[Edit]をクリックします。

  3. パスワード同期を実行するオブジェクトを参照して選択します。

    ツリー構造全体(セキュリティコンテナのログインポリシーオブジェクトを参照して選択する)、パーティションルートコンテナ、コンテナ、または特定のユーザに、ポリシーを割り当てることができます。管理を簡易化するには、ツリー内のできるだけ高い位置にパスワードポリシーを割り当てることをお勧めします。

  4. [Password Policy]で、次のオプションが選択されていることを確認します。

    シナリオ2のためのパスワードポリシーの設定

    • ユニバーサルパスワードを有効にする

    • ユニバーサルパスワードの設定時にNDSパスワードを同期する

    • ユニバーサルパスワードの設定時に配布パスワードを同期する

      Identity Managerは配布パスワードを取得して接続システムに配布するので、双方向のパスワード同期を可\'94\'5cにするためにこのオプションをオンにすることが重要です。

  5. 必要に応じ、[Password Policy]の他の設定を完了します。

    NMASでは、ルールが有効にされている場合、パスワードポリシーの高度なパスワードルールが適用されます。パスワードポリシーのルールを適用しない場合は、[高度なパスワードルールを有効にする]チェックボックスをオフにします。

    高度なパスワードルールを使用している場合、パスワードを受信している接続システムのパスワードポリシーと競合しないことを確認します。

パスワード同期の設定

  1. iManagerで、[Passwords]>[Password Synchronization]の順に選択します。

  2. 接続システムのドライバを検索し、ドライバを選択します。

  3. 接続システムのドライバの設定を作成します。

    次のオプションが選択されていることを確認します。

    • パスワードを受理するIdentity Manager(発行者チャネル)

      ドライバマニフェストに「password-publish」機能が含まれていない場合、メッセージがページに表示されます。これは、パスワードがアプリケーションから取得できず、パスワードを発行するには、ポリシーを使用してドライバ設定にパスワードを作成するしかないことをユーザに通知するものです。

    • パスワードを受け入れるアプリケーション(購読者チャネル)

      接続システムjがパスワードの受け入れをサポートしない場合、このオプションは淡色\'95\'5c示になります。

    これらの設定により、接続システムでサポートされている場合には、双方向のパスワード同期が可\'94\'5cになります。

    パスワードの信頼されたソースについては、ビジネスポリシーに合わせて設定を調整できます。たとえば、接続システムがパスワードを購読するが発行しないようにする場合は、[Application accepts passwords (Subscriber Channel)]のみを選択します。

  4. パスワード同期に配布パスワードを使用する]がオフになっていることを確認します。

    このシナリオでは、Identity Managerがユニバーサルパスワードを直接更新します。接続システムへのパスワードの配布には引き続き配布パスワードが使用されますが、配布パスワードは、Identity ManagerではなくNMASにより、ユニバーサルパスワードからアップデートされます。

  5. (オプション)必要に応じ、次のオプションを選択します。

    • 電子メール経由でユーザにパスワード同期障害を通知する

      電子メール通知には、eDirectoryユーザオブジェクトのInternet EMail Address属性の入力が必要です。

      電子メール通知は、他に影響を与えません。これらは、電子メールをトリガしたXMLドキュメントの処理には影響しません。失敗した場合、操作自体が再試行されない限り、電子メール通知は再試行されません。ただし、電子メール通知のデバッグメッセージはトレースファイルに書き込まれます。

ドライバ設定

  1. 必要なIdentity Managerスクリプトパスワード同期化ポリシーが、パスワード同期に使用する各ドライバのドライバ設定に含まれていることを確認します。

    ポリシーは、ドライバ設定の正しい位置に正しい順序で記述されている必要があります。ポリシーのリストについては、セクション 5.3.4, ドライバ設定で必要なポリシーを参照してください。

    Identity Manageのサンプル設定には、すでにポリシーが含まれています。既存のドライバをアップデートする場合は、セクション 5.7, パスワード同期をサポートするための、既存のドライバ設定のアップグレードのステップを使用してポリシーを追加できます。

  2. nspmDistributionPassword属性のために、フィルタを正しく設定します。

    • 発行者チャネルについては、ドライバフィルタがすべてのオブジェクトクラスのnspmDistributionPassword属性を無視するよう設定します。

    • 加入者チャネルについては、ドライバフィルタがすべてのオブジェクトクラスのnspmDistributionPassword属性を通知するよう設定します。

    nspmDistributionPasswordのフィルタ設定

  3. [nspmDistributionPassword]属性が[Notify]に設定されているすべてのオブジェクトでは、Public KeyおよびPrivate Key属性の両方を[Ignore]に設定します。

    フィルタの秘密鍵および公開鍵を[無視]に設定

  4. パスワードのセキュリティを確保するには、Identity Managerのオブジェクトへの権利を持つユーザを制御していることを確認します。

シナリオ2のトラブルシューティング

のヒントも参照してください。セクション 5.13, パスワード同期のトラブルシューティング

シナリオ2のフローチャート

図 5-9は、NMASがIdentity Managerから受信するパスワードの処理の方法を示しています。このシナリオでは、パスワードがユニバーサルパスワードに同期されます。NMASでは、次に基づいてパスワードを処理する方法が決定されます。

  • NMASパスワードポリシーで、ユニバーサルパスワードが有効になっているかどうか。

  • 着信パスワードが準拠する必要がある高度なパスワードルールが有効になっているかどうか。

  • ユニバーサルパスワードとその他のパスワードとを同期するためのパスワードポリシーに、どのようなその他の設定があるのか。

図 5-9 NMASがIdentity Managerから受信するパスワードの処理の方法

シナリオ 2のフローチャート
識別\'83\'7bールトへのログインの問題

  • DSTraceで、[+AUTH]、[+DXML]、および[+DVRS]の設定をオンにします。

    図 5-10 DSTraceコ\'83\'7dンド

  • <password>または<modify-password>の要素がIdentity Managerに渡されていることを確認します。渡されていることを確認するには、トレース画面のオプションがオンになっていることを確かめます。

  • パスワードポリシーのルールに従い、パスワードが有効であることを確認します。

  • NMASパスワードポリシーの設定と割り当てを確認します。ポリシーをユーザに直接割り当て、正しいポリシーが使用されるようにします。

  • ドライバの[Password Synchronization]ページで、[DirXML accepts passwords]が選択されていることを確認します。

  • [Password Policy]で、[Synchronize Distribution Password when setting Universal Password]が選択されていることを確認します。

パスワードを購読する別の接続システムへのログインのトラブルシューティング

このセクションでは、この接続システムがIdentity Managerにパスワードを発行しているが、そのパスワードを購読するもう1つの接続システムがこのシステムからの変更を受信していないように思える場合の、トラブルシューティングについて説明します。この関係は、第2の接続システムとも呼ばれ、第1の接続システムからIdentity Managerを通じてパスワードを受信することを意味します。

  • DSTraceの[+DXML]および[+DVRS]の設定をオンにし、Identity Managerのルール処理を確認します。

  • ドライバのIdentity Managerのトレースレベルを[3]に設定します。

  • [Password Synchronization]の[Identity Manager Accepts Passwords]オプションが選択されていることを確認します。

  • ドライバフィルタのnspmDistributionPassword属性が、ステップ 2に説明されているとおりに正しく設定されていることを確認します。

  • <password> (Addの場合)または<modify-password>の要素が接続システムに送信されていることを確認します。確認するには、[DSTrace]画面またはファイルのトレースオプションが、最初の項目で説明したとおり、オンになっていることを確かめます。

  • Identity Managerスクリプトパスワードポリシーが、セクション 5.3.4, ドライバ設定で必要なポリシーで説明されているとおり、ドライバ設定の正しい位置と順序にあることを確認します。

  • 識別\'83\'7bールトのNMASパスワードポリシーと、接続システムにより適用されるパスワードポリシーと比較し、互換性があることを確認します。

パスワードのエラーについての電子メールが生成されない

  • DSTraceの[+DXML]の設定をオンにし、Identity Managerのルール処理を確認します。

  • ドライバのIdentity Managerのトレースレベルを[3]に設定します。

  • 電子メールを生成するルールが選択されていることを確認します。

  • 識別\'83\'7bールトオブジェクトを検証し、ユーザの正しい電子メールアドレスがInternet EMail Address属性に含まれていることを確認します。

  • 通知設定タスクで、SMTPサーバと電子メールテンプレートが正しく設定されていることを確認します。詳細については、セクション 5.12, 電子メール通知の設定を参照してください。

[Check the Object Password]を使用した場合のエラー

iManagerのパスワードステータスの確認タスクにより、ドライバでオブジェクトパスワードの確認アクションが発生します。問題が発生した場合は、次を確認します。

  • [オブジェクトパスワードの確認]から-603が返される場合、識別ボールトブジェクトにnspmDistributionPassword属性が含まれていません。nspmDistributionPassword属性に対してドライバフィルタが正しい設定になっていることを確認します。また、パスワードポリシーで[Synchronize Distribution Password when Setting Universal Password]が選択されていることを確認してください。

  • [Check Object Password]が「Not Synchronized」を返す場合、ドライバ設定に適切なパスワード同期のポリシーが含まれていることを確認します。

  • 識別\'83\'7bールトのNMASのパスワードポリシーと、接続システムにより適用されるパスワードポリシーと比較し、互換性があることを確認します。

  • [オブジェクトパスワードの確認]は、配布パスワードから起動します。配布パスワードがアップデートされていない場合、[Check Object Password]によって、パスワードが同期化されていることがレポートされないことがあります。

  • Identity Managerドライバのみについては、[Check Password Status]は、配布パスワードではなくNDSパスワードを確認することに注意してください。

DSTraceの便利なコ\'83\'7dンド

+DXML: Identity Managerルール処理および可能性のあるエラーメッセージを表示する

+DVRS: Identity Managerドライバのメッセージを表示する

+AUTH: NDSパスワードの変更を表示する

5.8.4 シナリオ3: Identity Managerで配布パスワードを更新することで、識別ボールトと接続システムを同期する

このシナリオでは、Identity Managerは配布パスワードを直接アップデートし、他の識別\'83\'7bールトパスワードをどのように同期化するかはNMASが決定します。

接続システムはパスワードをIdentity Managerに発行できますが、すべての接続システムがユーザの実際のパスワードを提供できるわけではありません。たとえば、Active Directoryはユーザの実際のパスワードをIdentity Managerに発行できます。PeopleSoftはPeopleSoftシステム自体からパスワードを提供することはできませんが、ユーザの従業員IDまたは名字に基づくパスワードなど、ドライバ設定のポリシーで作成された初期パスワードは提供できます。すべてのドライバがIdentity Managerからのパスワードの変更を購読できるわけではありません。詳細については、セクション 5.2, パスワード同期をサポートする接続システムを参照してください。

シナリオ3の長所と短所

表 5-13 長所: 配布パスワードの更新による、識別ボールトと接続システムの同期

長所

短所

識別\'83\'7bールトと接続システム間でパスワードを同期化できます。

接続システムから受信したパスワードに対して、パスワードポリシーを適用するかどうかを選択できます。

パスワード同期が失敗した場合に通知を送信するよう指定できます。

パスワードポリシーを適用する場合、接続システムのパスワードがパスワードポリシーに準拠しないときに配布パスワードにリセットするよう選択できます。

 

このシナリオの\'90\'7dは、次のフローを示します。

  1. パスワードが、Identity Managerを通って来る。

  2. Identity ManagerがNMASと通信して、配布パスワードを直接アップデートする。

  3. Identity Managerは配布パスワードを使用し、パスワードを受け入れるよう指定した接続システムに配布します。

  4. NMASは、ユニバーサルパスワードを、配布パスワード、およびパスワードポリシー設定に基づいてその他のパスワードに同期化します。

図 5-11では複数の接続システムがIdentity Managerに接続しているように示されていますが、接続システムのドライバごとに設定を作成する点に注意してください。

図 5-11 配布パスワードのアップデートによる、識別\'83\'7bールトおよび接続システムの同期化

シナリオ 3

シナリオ3の設定 

この種類のパスワード同期を設定する

ユニバーサルパスワードの展開

現在の環境でユニバーサルパスワードを使用する準備ができていることを確認します。詳細については、セクション 5.4, Identity Managerパスワード同期およびユニバーサルパスワードを使用するための準備作業を参照してください。

Password Policy (パスワードポリシー)の設定

  1. iManagerで、[Passwords]>[Password Policies]の順に選択します。

  2. パスワードポリシーが、この種類のパスワード同期を実行する識別ボールトツリーの一部に割り当てられていることを確認します。パスワードポリシーは、ツリー構造全体、パーティションルートコンテナ、コンテナ、または特定のユーザに割り当てることができます。管理を簡易化するには、ツリー内のできるだけ高い位置にパスワードポリシーを割り当てることをお勧めします。

  3. [Password Policy]で、次のオプションが選択されていることを確認します。

    シナリオ3のためのパスワードポリシーの設定

    • ユニバーサルパスワードを有効にする

    • ユニバーサルパスワードの設定時にNDSパスワードを同期する

    • ユニバーサルパスワードの設定時に配布パスワードを同期する

      Identity Managerは配布パスワードを取得して接続システムに配布するので、双方向のパスワード同期を可\'94\'5cにするためにこのオプションをオンにすることが重要です。

  4. 高度なパスワードルールを使用している場合、パスワードを受信している接続システムのパスワードポリシーと競合しないことを確認します。

パスワード同期の設定

  1. iManagerで、[Passwords]>[Password Synchronization]の順に選択します。

  2. 接続システムのドライバを検索し、ドライバを選択します。

  3. 接続システムのドライバの設定を作成します。

    次のオプションが選択されていることを確認します。

    • パスワードを受理するIdentity Manager (発行者チャネル)

    • パスワード同期に配布パスワードを使用する

      ドライバマニフェストに「password-publish」機能が含まれていない場合、メッセージがページに表示されます。これは、パスワードがアプリケーションから取得できず、パスワードを発行するには、ポリシーを使用してドライバ設定にパスワードを作成するしかないことをユーザに通知するものです。

    • パスワードを受け入れるアプリケーション(購読者チャネル)

    これらの設定により、接続システムでサポートされている場合には、双方向のパスワード同期が可\'94\'5cになります。

    パスワードの信頼されたソースについては、ビジネスポリシーに合わせて設定を調整できます。たとえば、接続システムがパスワードを購読するが発行しないようにする場合は、[Application accepts passwords (Subscriber Channel)]のみを選択します。

  4. Use Distribution Password for password synchronization]のオプションを使用し、パスワード同期のNMASパスワードポリシーを適用させるか無視するかを指定します。

  5. (オプション)パスワードポリシーを適用させるように指定した場合、パスワードがポリシーに準拠しない場合に接続システムのパスワードをIdentity Managerがリセットするかどうかも指定します。

  6. (オプション)必要に応じ、次のオプションを選択します。

    • 電子メール経由でユーザにパスワード同期障害を通知する

      電子メール通知には、eDirectoryユーザオブジェクトのInternet EMail Address属性の入力が必要です。

      電子メール通知は、他に影響を与えません。これらは、電子メールをトリガしたXMLドキュメントの処理には影響しません。失敗した場合、操作自体が再試行されない限り、電子メール通知は再試行されません。ただし、電子メール通知のデバッグメッセージはトレースファイルに書き込まれます。

ドライバ設定

  1. 必要なIdentity Managerスクリプトパスワード同期化ポリシーが、パスワード同期に使用する各ドライバのドライバ設定に含まれていることを確認します。

    ポリシーは、ドライバ設定の正しい位置に正しい順序で記述されている必要があります。ポリシーのリストについては、セクション 5.3.4, ドライバ設定で必要なポリシーを参照してください。

    Identity Manageのサンプル設定には、すでにポリシーが含まれています。既存のドライバをアップデートする場合は、セクション 5.7, パスワード同期をサポートするための、既存のドライバ設定のアップグレードの手順を使用してポリシーを追加できます。

  2. nspmDistributionPassword属性のために、フィルタを正しく設定します。

    • 発行者チャネルについては、ドライバフィルタがすべてのオブジェクトクラスのnspmDistributionPassword属性を無視するよう設定します。

    • 加入者チャネルについては、ドライバフィルタがすべてのオブジェクトクラスのnspmDistributionPassword属性を通知するよう設定します。

    nspmDistributionPasswordのフィルタ設定

  3. [nspmDistributionPassword]属性が[Notify]に設定されているすべてのオブジェクトでは、ドライバフィルタのPublic KeyおよびPrivate Key属性の両方を[Ignore]に設定します。

    フィルタの秘密鍵および公開鍵を[無視]に設定

  4. パスワードのセキュリティを確保するには、Identity Managerのオブジェクトへの権利を持つユーザを制御していることを確認します。

シナリオ3のトラブルシューティング

のヒントも参照してください。セクション 5.13, パスワード同期のトラブルシューティング

シナリオ3のフローチャート

図 5-12は、NMASがIdentity Managerから受信するパスワードの処理の方法を示しています。このシナリオではパスワードが配布パスワードに同期され、NMASでは次が決定されます。

  • パスワードポリシーのルールに対して着信パスワードを検証する必要があることを指定したかどうかに基づいた、パスワードの処理方法(ユニバーサルパスワードおよび高度なパスワードルールが有効になっている場合)。

  • ユニバーサルパスワードとその他のパスワードとを同期するためのパスワードポリシーに、どのようなその他の設定があるのか。

図 5-12 配布パスワードに同期されるIdentity Managerのパスワード

シナリオ 3の配布パスワードへの同期化における、NMASでのパスワードの処理方法に関するフローチャート
eDirectoryへのログインのトラブルシューティング

  • DSTraceで、[+AUTH]、[+DXML]、および[+DVRS]の設定をオンにします。

    図 5-13 DSTraceコ\'83\'7dンド

  • <password>または<modify-password>の要素がIdentity Managerに渡されていることを確認します。確認するには、[DSTtrace]画面またはファイルのトレースオプションが、最初の項目で説明したとおり、オンになっていることを確かめます。

  • NMASパスワードポリシーのルールに従い、パスワードが有効であることを確認します。

  • NMASパスワードポリシーの設定と割り当てを確認します。ポリシーをユーザに直接割り当て、正しいポリシーが使用されるようにします。

  • ドライバの[Password Synchronization]ページで、[Identity Manager accepts passwords (Publisher Channel)]が選択されていることを確認します。

  • [NMAS Password Policy]で、[Synchronize Distribution Password when setting Universal Password]が選択されていることを確認します。

  • [NMAS Password Policy]で、必要に応じて[Synchronize NDS Password when setting Universal Password]が選択されていることを確認します。

  • ユーザがNovell ClientまたはConsoleOneを通じてログインしている場合は、バージョンを確認します。ユニバーサルパスワードがNDSパスワードに同期化されていない場合、レガシーなNovell ClientsおよびConsoleOneからは、識別\'83\'7bールトにログインできないことがあります。

    ユニバーサルパスワードを認識するNovell ClientおよびConsoleOneのバージョンが利用できます。『NMAS 3.0 Administration Guide』を参照してください。

  • 一部のレガシーユーティリティはNDSパスワードを使用して認証され、ユニバーサルパスワードがNDSパスワードと同期されていない場合には、識別ボールトにログインできません。ほとんどのユーザはNDSパスワードを使用せず、管理者またはヘルプデスクのユーザがレガシーユーティリティへの認証を必要とする場合は、ヘルプデスクのユーザには異なるパスワードポリシーを使用し、異なるユニバーサルパスワード同期化のオプションを指定できるようにします。

パスワードを購読する別の接続システムへのログインのトラブルシューティング

このセクションでは、この接続システムがIdentity Managerにパスワードを発行しているが、そのパスワードを購読するもう1つの接続システムがこのシステムからの変更を受信していないように思える場合の、トラブルシューティングについて説明します。この関係は、第2の接続システムとも呼ばれ、第1の接続システムからIdentity Managerを通じてパスワードを受信することを意味します。

  • DSTraceの[+DXML]および[+DVRS]の設定をオンにし、Identity Managerのルール処理および可能性のあるエラーを確認します。

  • ドライバのIdentity Managerのトレースレベルを[3]に設定します。

  • [Password Synchronization]ページの[Identity Manager accepts passwords (Publisher Channel)]オプションが選択されていることを確認します。

  • [Password Policy]で、[Synchronize Distribution Password when Setting Universal Password]が選択されていないことを確認します。

    Identity Managerは、配布パスワードを使用して、パスワードを接続システムに同期します。ユニバーサルパスワードは、この同期化方法の配布パスワードに同期化させる必要があります。

  • ドライバフィルタのnspmDistributionPassword属性を確認します。

  • <password>要素(Addの場合)または<modify-password>要素が、nspmDistributionPassword属性のAdd属性およびModify属性の操作に変換されていることを確認します。確認するには、[DSTrace]画面またはファイルのオプションが、最初の項目で説明したとおり、オンになっていることを確かめます。

  • Identity Managerスクリプトパスワードポリシーが、セクション 5.3.4, ドライバ設定で必要なポリシーで説明されているとおり、ドライバ設定の正しい位置と順序にあることを確認します。

  • 識別\'83\'7bールトのパスワードポリシーと、接続システムにより適用されるパスワードポリシーと比較し、互換性があることを確認します。

パスワードのエラーについての電子メールが生成されない

  • DSTraceの[+DXML]の設定をオンにし、Identity Managerのルール処理を確認します。

  • ドライバのIdentity Managerのトレースレベルを[3]に設定します。

  • 電子メールを生成するルールが選択されていることを確認します。

  • 識別\'83\'7bールトオブジェクトを検証し、Internet EMail Address属性に正しい値が含まれていることを確認します。

  • 通知設定タスクで、SMTPサーバと電子メールテンプレートが正しく設定されていることを確認します。詳細については、セクション 5.12, 電子メール通知の設定を参照してください。

電子メール通知は、他に影響を与えません。これらは、電子メールをトリガしたXMLドキュメントの処理には影響しません。失敗した場合、操作自体が再試行されない限り、電子メール通知は再試行されません。電子メール通知のデバッグメッセージはトレースファイルに書き込まれます。

[Check Password Status]を使用した場合のエラー

iManagerの[Check Password Status]タスクにより、ドライバで[Check Object Password]アクションが実行されます。

  • 接続システムでパスワードのチェックがサポートされていることを確認してください。詳細については、セクション 5.2, パスワード同期をサポートする接続システムを参照してください。

    接続システムがパスワードチェック機\'94\'5cをサポートするようドライバ\'83\'7dニフェストに示されてない場合は、iManagerからこの機\'94\'5cを使用することはできません。

  • [オブジェクトパスワードの確認]から-603が返される場合、識別ボールトブジェクトにnspmDistributionPassword属性が含まれていません。ドライバフィルタ、および[Password Policy]の[Synchronize Universal to Distribution]オプションを確認します。

  • [Check Object Password]が「Not Synchronized」を返す場合、ドライバ設定にIdentity Managerパスワード同期の適切なポリシーが含まれていることを確認します。

  • 識別\'83\'7bールトのパスワードポリシーと、接続システムにより適用されるパスワードポリシーと比較し、互換性があることを確認します。

  • オブジェクトパスワードの確認]は、配布パスワードを確認します。配布パスワードがアップデートされていない場合、[Check Object Password]によって、パスワードが同期化されていることがレポートされないことがあります。

  • 識別ボールトでは、[パスワードステータスの確認]は、ユニバーサルパスワードではなくNDSパスワードを確認することに注意してください。つまり、ユーザのパスワードポリシーでNDSパスワードをユニバーサルパスワードに同期化するよう指定されていない場合は、常に、パスワードが同期化されていないとレポートされます。配布パスワードおよび接続システムのパスワードは同期化されないことがありますが、NDSパスワードおよび配布パスワードの両方がユニバーサルパスワードに同期化されない限り、[Check Password Status]は正確とは限りません。

DSTraceの便利なコ\'83\'7dンド

+DXML: Identity Managerルール処理および可能性のあるエラーメッセージを表示する。

+DVRS: Identity Managerドライバのメッセージを表示する。

+AUTH: NDSパスワードの変更を表示する。

5.8.5 シナリオ4: トンネル

Identity Managerでは、識別ボールトのパスワードはそのままにしながら、接続システム間でパスワードを同期できます。これは「トンネリング」と呼ばれます。

このシナリオでは、Identity Managerが配布パスワードを直接更新します。このシナリオはセクション 5.8.4, シナリオ3: Identity Managerで配布パスワードを更新することで、識別ボールトと接続システムを同期するとほとんど同じです。異なる点は、ユニバーサルパスワードおよび配布パスワードは同期されないことです。これは、NMASのパスワードポリシーを使用しないか、または[Synchronize Distribution Password when setting Universal Password]のオプションを無効にしたパスワードポリシーを使用して実行します。

シナリオ4の長所と短所

表 5-14 トンネリングの長所

長所

短所

識別\'83\'7bールトのパスワードはそのままにしながら、接続システム間でパスワードを同期化できます。

パスワードポリシーでは、ユニバーサルパスワードを有効にしておく必要はありませんが、使用している環境ではユニバーサルパスワードがサポートされている必要があります。

接続システムがiManagerの[Check Password Status]タスクをサポートする場合、このシナリオも[Check Password Status]タスクをサポートします。

パスワード同期が失敗した場合に通知を送信するよう指定できます。

接続システムのパスワードがパスワードポリシーに準拠しない場合、それをリセットできます。

ユニバーサルパスワードおよび高度なパスワードルールが有効になっている場合、パスワードポリシーを適用するよう指定した際はパスワードポリシーが適用され、接続システムのパスワードをリセットできます。

ユニバーサルパスワードおよび高度なパスワードルールが無効になっている場合、パスワードポリシーは適用されず、接続システムのパスワードはリセットできません。

図 5-14は、次のフローを示しています。

  1. パスワードが、Identity Managerを通って来る。

  2. Identity ManagerがNMASと通信して、配布パスワードを直接アップデートする。

  3. Identity Managerは配布パスワードを使用し、パスワードを受諾するよう指定した接続システムに配布します。

このシナリオの重要な点は、NMASパスワードポリシーで、[ユニバーサルパスワードの設定時に配布パスワードを同期する]が無効になっている点です。配布パスワードとユニバーサルパスワードは同期化されないので、Identity Managerは、識別\'83\'7bールトのパスワードはそのままにしながら、接続システム間でパスワードを同期化します。

この\'90\'7dでは複数の接続システムがIdentity Managerに接続しているように示されていますが、接続システムのドライバごとに設定を作成することに注意してください。

図 5-14 Identity Managerでの配布パスワードのアップデートによるトンネリング

シナリオ 4

シナリオ4の設定

この種類のパスワード同期を設定するには、次を設定します。

ユニバーサルパスワードの展開

パスワードポリシーでユニバーサルパスワードを有効にする必要はありませんが、使用している環境では、ユニバーサルパスワードをサポートするeDirectory 8.7.3を使用している必要があります。詳細については、セクション 5.4, Identity Managerパスワード同期およびユニバーサルパスワードを使用するための準備作業を参照してください。

Password Policy (パスワードポリシー)の設定

パスワードポリシーを確認して、以下の内容を確認します。

  • ユニバーサルパスワードの設定時に配布パスワードを同期する]が選択されていないことを確認します。

    識別ボールトのパスワードに影響を与えずにパスワードのトンネリングを実行するには、これが重要です。ユニバーサルパスワードを配布パスワードと同期しないことによって、配布パスワードをそのままにして、接続システムに対するIdentity Managerでのみ使用できます。Identity Managerは、識別\'83\'7bールトのパスワードには影響を与えずに接続システム間でパスワードを配布するルートとして機\'94\'5cします。

    シナリオ4のためのパスワードポリシーの設定

  • 必要に応じてパスワードポリシーのその他の設定を行います。

    パスワードポリシー内のその他のパスワード設定はオプションです。

シナリオ4のトラブルシューティング

パスワード同期がトンネリングのための設定になっている場合、配布パスワードは、ユニバーサルパスワードおよびNDSパスワードと異なるものになります。

のヒントも参照してください。セクション 5.13, パスワード同期のトラブルシューティング

パスワードを購読する別の接続システムへのログインのトラブルシューティング

このセクションでは、この接続システムがIdentity Managerにパスワードを発行しているが、そのパスワードを購読するもう1つの接続システムがこのシステムからの変更を受信していないように思える場合の、トラブルシューティングについて説明します。この関係は、第2の接続システムとも呼ばれ、第1の接続システムからIdentity Managerを通じてパスワードを受信することを意味します。

  • DSTraceの[+DXML]および[+DVRS]の設定をオンにし、Identity Managerのルール処理および可能性のあるエラーを確認します。

  • ドライバのIdentity Managerのトレースレベルを[3]に設定します。

  • [Password Synchronization]ページの[Identity Manager accepts passwords (Publisher Channel)]オプションが選択されていることを確認します。

  • [Password Policy]で、[Synchronize Distribution Password when Setting Universal Password]が選択されていないことを確認します。

    Identity Managerは、配布パスワードを使用して、パスワードを接続システムに同期します。ユニバーサルパスワードは、この同期化方法の配布パスワードに同期化させる必要があります。

  • ドライバフィルタのnspmDistributionPassword属性が正しく設定されていることを確認します。

  • <password>要素(Addの場合)または<modify-password>要素が、nspmDistributionPassword属性のAdd属性およびModify属性の操作に変換されていることを確認します。確認するには、[DSTrace]画面またはファイルのトレースオプションが、最初の項目で説明したとおり、オンになっていることを確かめます。

  • Identity Managerスクリプトパスワードポリシーが、セクション 5.3.4, ドライバ設定で必要なポリシーで説明されているとおり、ドライバ設定の正しい位置と順序にあることを確認します。

  • 識別\'83\'7bールトのパスワードポリシーと、接続システムにより適用されるパスワードポリシーと比較し、互換性があることを確認します。

パスワードのエラーについての電子メールが生成されない

  • DSTraceの[+DXML]の設定をオンにし、Identity Managerのルール処理を確認します。

  • ドライバのIdentity Managerのトレースレベルを[3]に設定します。

  • 電子メールを生成するルールが選択されていることを確認します。

  • 識別\'83\'7bールトオブジェクトを検証し、Internet EMail Address属性に正しい値が含まれていることを確認します。

  • 通知設定タスクで、SMTPサーバと電子メールテンプレートを確認します。詳細については、セクション 5.12, 電子メール通知の設定を参照してください。

電子メール通知は、他に影響を与えません。これらは、電子メールをトリガしたXMLドキュメントの処理には影響しません。失敗した場合、操作自体が再試行されない限り、電子メール通知は再試行されません。電子メール通知のデバッグメッセージはトレースファイルに書き込まれます。

[Check Password Status]を使用した場合のエラー

iManagerの[Check Password Status]タスクにより、ドライバで[Check Object Password]アクションが実行されます。

  • 接続システムでパスワードのチェックがサポートされていることを確認してください。詳細については、セクション 5.2, パスワード同期をサポートする接続システムを参照してください。

    接続システムがパスワードチェック機\'94\'5cをサポートするようドライバ\'83\'7dニフェストに示されてない場合は、iManagerからこの機\'94\'5cを使用することはできません。

  • [オブジェクトパスワードの確認]アクションから-603が返される場合、識別ボールトブジェクトにnspmDistributionPassword属性が含まれていません。Identity Manager属性フィルタ、および[Password Policy]の[Synchronize Universal to Distribution]オプションを確認します。

  • [Check Object Password]アクションが「Not Synchronized」を返す場合、ドライバ設定にIdentity Managerパスワード同期の適切なポリシーが含まれていることを確認します。

  • 識別\'83\'7bールトのパスワードポリシーと、接続システムにより適用されるパスワードポリシーと比較し、互換性があることを確認します。

  • [オブジェクトパスワードの確認]アクションは、配布パスワードを確認します。配布パスワードがアップデートされていない場合、[Check Object Password]によって、パスワードが同期化されていることがレポートされないことがあります。

DSTraceの便利なコ\'83\'7dンド

+DXML: Identity Managerルール処理および可能性のあるエラーメッセージを表示する。

+DVRS: Identity Managerドライバのメッセージを表示する。

+AUTH: NDSパスワードの変更を表示する。

+DCLN: NDS DClientメッセージを表示する。

5.8.6 シナリオ5: アプリケーションパスワードを単純パスワードに同期する

このシナリオは、パスワード同期機能の特別な使用方法です。Identity ManagerおよびNMASを使用し、接続システムからパスワードを取得して、識別ボールトの単純パスワードに直接同期できます。接続システムがハッシュされたパスワードのみを提供する場合、ハッシュを元に戻さずに、単純パスワードに同期できます。他のアプリケーションは、同じクリアテキスト、あるいはLDAPまたはNovell Clientによりハッシュされたパスワードを使用し、識別\'83\'7bールトに対して認証できます。NMASコンポーネントは、通常パスワードをログインメ\'83\'5cッドとして使用するよう設定されます。

接続システムのパスワードがクリアテキストである場合、そのまま接続システムから 識別\'83\'7bールトの通常パスワードの場所に発行できます。

接続システムがハッシュされたパスワード(MD5、SHA、SHA1、またはUNIX Cryptがサポートされています)のみを提供する場合、それらのパスワードは、{MD5}のようにハッシュの種類を指定して単純パスワードに発行する必要があります。

同じパスワードで認証する別のアプリケーションについては、ユーザのパスワードを取得しLDAPを使用して通常パスワードに対して認証するよう、アプリケーションをカスタ\'83\'7dイズする必要があります。

NMASは、アプリケーションから取得したパスワードの値と、単純パスワードの値を比較します。単純パスワードとして保存されているパスワードがハッシュ値である場合、NMASは、アプリケーションのパスワードの値を使用して正しいタイプのハッシュ値を生成してから比較します。アプリケーションから取得したパスワードと通常パスワードが同一である場合、NMASはユーザを認証します。

このシナリオでは、ユニバーサルパスワードは使用できません。

NDSパスワードへの同期の長所

表 5-15 NDSパスワードへの同期の長所

長所

短所

  • 通常パスワードを直接アップデートできます。

  • ハッシュされたパスワードを同期化し、ハッシュを戻さずに、複数のアプリケーションでの認証に使用できます。

  • ユニバーサルパスワードは使用できません。

  • パスワードを忘れた場合の機\'94\'5cおよびパスワードセルフサービス機\'94\'5cは、NDSパスワードをサポートする程度では使用できますが、通常パスワードについては使用できません。

  • Set Universal Passwordタスクはユニバーサルパスワードに依存しているため、管理者はそのタスクを使用して識別\'83\'7bールトのユーザのパスワードを設定することはできません。

図 5-15 NDSパスワードへの同期

単純パスワードのハッシュの図

シナリオ5の設定

Password Policy (パスワードポリシー)の設定

このシナリオでは、ユーザに対するパスワードポリシーは必要ありません。ユニバーサルパスワードは使用できません。

パスワード同期の設定

このシナリオでは、Identity Managerスクリプトを使用して、SAS:Login Configuration属性を直接変更します。つまり、iManagerの[Password Synchronization]ページを使用して設定される、パスワード同期のグローバル設定値(GCV)に効果はありません。

ドライバ設定

  1. フィルタのSAS:Login Configuration属性が、発行者チャネルおよび加入者チャネルの両方に対して[Synchronize]に設定されていることを確認してください。

    SASのフィルタ設定: ログイン環境設定

  2. ドライバポリシーで、接続システムからのパスワードを発行するよう設定します。

  3. ハッシュされたパスワードについては、ドライバポリシーで、(ハッシュのタイプがアプリケーションからまだ提供されていないる場合は)ハッシュのタイプを末尾に付けるよう設定します。

    • {MD5} hashed_password

      このパスワードはBase64でエンコードされています。

    • {SHA} hashed_password

      このパスワードはBase64でエンコードされています。

    • {CRYPT} hashed_password

    クリアテキストパスワードおよびUnix Crypt パスワードハッシュは、Base 64でエンコードされていません。

  4. パスワードを通常パスワードに設定するには、SAS:Login Configuration属性を変更するようドライバポリシーを設定します。

    次の例では、変更操作内でmodify-attr要素を使用して、通常パスワードをMD5でハッシュされたパスワードに変更する方法を示しています。

    <modify-attr attr-name="SAS:Login Configuration>
    <add-value>
        <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value>
    </add-value>
</modify-attr>

    クリアテキストパスワードについては、次の例に従います。 

    <modify-attr attr-name="SAS:Login Configuration>
    <add-value>
        <value>clearpwd</value>
    </add-value>
</modify-attr>

    追加操作については、add-attr要素に次のどちらかを含めます。

    <add-attr attr-name="SAS:Login Configuration>
    <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value>
</add-attr>

    または 

    <add-attr attr-name="SAS:Login Configuration>
    <value>clearpwd</value>
</add-attr>