5.1 概述
Identity Manager 利用通用口令和已连接系统对发布或订购口令的支持,提供了双向口令同步。
可以选择授权数据源,就像选择用户帐户的其它特性一样。
5.1.1 口令概述
NDS® 口令、简单口令、分发口令和通用口令分别用于不同的目的。 在 eDirectory™ 和 Identity Manager 以前的版本中,已连接系统只能以单向同步的方法更新 NDS 口令。
Identity Manager 使用通用口令,该口令是可与其它 Identity Vault 口令同步的可逆口令。 在 eDirectory 8.7.1 中开始引入通用口令,该口令受三层加密保护。
NMAS™ 用于控制通用口令和其它 Identity Vault 口令之间的关系。 例如,NMAS 可控制通用口令是否与 NDS 口令、简单口令或分发口令保持同步。 NMAS 截获进来的请求以更改口令,并根据 NMAS 口令策略中的设置处理这些请求。
Identity Manager 控制 Identity Vault 口令和已连接系统口令之间的关系。 为此,它使用分发口令,该口令位于 Identity Vault 中,可以提供给已连接系统。 与通用口令相同,分发口令也是受三层加密保护的可逆口令。
可以使用 NMAS 口令策略指定分发口令是否应与通用口令相同。 (此设置为“在设置通用口令时同步分发口令”)。 如果分发口令与通用口令相同,且选择与已连接系统进行双向口令同步,请记住,此操作将使用 Identity Manager 从 eDirectory 中抽取通用口令并将该口令发送到其它已连接系统。 需要确保口令的传输安全和储存该口令的已连接系统的安全。(请参见部分 7.0, 安全性: 最佳实践。)
如果分发口令与通用口令不同(由于在 NMAS 口令策略中禁用此设置),则可以在使用分发口令的已连接系统间对口令执行“隧道通讯进程”,而不必使用或影响通用口令或 NDS 口令。 请记住,隧道通讯进程仅在已连接系统间同步口令。 如果启用隧道通讯进程,也不会设置 Identity Vault/通用口令。
有关不同 eDirectory 口令的更多信息,请参见《Novell Modular Authentication Services (NMAS) 2.3 管理指南》。 有关使用口令与 Identity Manager 同步的不同方法示例,请参见部分 5.8, 实施口令同步。
5.1.2 什么是双向口令同步?
双向口令同步包括 Identity Manager 从指定的已连接系统接受口令,以及将口令分发到指定的已连接系统。
是否能够与特定的已连接系统进行双向口令同步取决于此已连接系统支持的内容。
一些已连接系统可接受来自 Identity Manager 的新的和修改过的口令,也可向 Identity Manager 提供用户的实际口令。 这些已连接系统就是支持与 Identity Manager 之间的双向口令同步的系统:
- Active Directory
- Novell® eDirectory
- 网络信息服务 (NIS)
- NT 域
对于这些已连接系统,用户可以在其中一个系统中更改口令,并通过 Identity Manager 将此口令同步到其它系统。 但如果在 NMAS 口令策略中使用高级口令规则,那么最好在 iManager 自助控制台中进行口令更改。 由于这里列出了该用户口令必须遵守的所有规则,因此这是更改口令的最佳位置。
由于其它已连接系统不能提供用户的实际口令,因此它们不能支持完全双向口令同步。 但它们可以在驱动程序配置中定义策略,从而提供用于创建口令的数据,并将它们发送到 Identity Manager。
其它一些系统可以接受 Identity Manager 的口令,包括为新用户设置初始口令、修改口令或进行这两种操作。请参见部分 5.2, 已连接系统支持口令同步。
5.1.3 比较 Password Synchronization 1.0 和 Identity Manager 口令同步
表 5-1 比较: Password Synchronization 1.0 和 Identity Manager 口令同步
|
Password Synchronization 1.0 |
Identity Manager 2 和 3 的口令同步 |
|---|---|---|
|
产品递送 |
独立于 Identity Manager 的产品。 |
包括在 Identity Manager 中,不单独销售的产品。 |
|
平台 |
|
以下平台支持完全双向口令同步:
这些已连接系统支持向 Identity Manager 发布用户口令。 由于通用口令和分发口令是可逆的,因此 Identity Manager 可以将口令分发到已连接系统。 任何支持订购者口令要素的已连接系统都可以从 Identity Manager 订购口令。 |
|
Identity Vault 中使用的口令 |
NDS 口令(不可逆) |
通用口令(可逆)或分发口令(可逆)。 如果需要,也可以使 NDS 口令保持同步。 有关示例方案,请参见部分 5.8, 实施口令同步。 |
|
Windows 已连接系统的主要功能 |
向 Identity Manager 发送口令,使 Identity Vault 口令与 Windows 口令同步。 因为 NDS 口令不可逆,所以不会将该口令发送回 NT 或 AD。 |
提供双向口令同步。 因为通用口令和分发口令均为可逆口令,所以可以双向同步这些口令。 |
|
LDAP 更改 |
不支持。 |
支持 |
|
Novell® Client™ |
需要。 |
不需要。 |
|
nadLoginName 特性 |
用于保持口令更新。 |
不使用。 |
|
包含口令同步功能的部件 |
包含更新 nadLoginName 功能的 Identity Manager 驱动程序。 |
驱动程序配置中的 Identity Manager 策略提供口令同步功能。 驱动程序仅需执行 Metadirectory 引擎根据策略逻辑安排的任务。 驱动程序清单、全局配置值和驱动程序过滤器设置也必须支持口令同步。 这些都包括在样本驱动程序配置中,也可以添加到现有的驱动程序中。请参见部分 5.7, 升级现有驱动程序配置以支持口令同步。 |
|
代理 |
独立的软件。 |
未安装代理;现在驱动程序中即包含此功能。 |
5.1.4 Identity Manager 口令同步的功能
Identity Manager 口令同步是双向的。 口令可以从已连接系统发出,由 Identity Manager 接受;也可以从 Identity Manager 分发,由已连接系统接受。
接受来自已连接系统的口令
如同 DirXML® 和 Identity Manager 的之前版本一样,任何已连接系统都可以向 Identity Vault 发布口令。
可以指定 Identity Manager 从哪个已连接系统应用程序接受口令。 甚至可以选择 Identity Manager 要对运行 Identity Manager 的同一 Identity Vault 中的用户更新口令,还是仅充当管道或“隧道”在已连接系统间同步口令。 这意味着如果需要,可以将 Identity Vault 口令和 Identity Manager 分发给已连接系统的口令分开。
一些已连接系统(AD、其它 Identity Vault、NT 和 NIS)可以提供用户的实际口令,这意味着当用户在一个已连接系统中更改口令时,所做的更改可以被同步到 Identity Manager,并由其它已连接系统收回。
其它已连接系统则不支持提供用户的实际口令,但可以将它们配置为向 Identity Manager 提供在样式表中生成的口令,例如,根据姓或员工 ID 生成的初始口令。
向已连接系统分发口令
Identity Manager 口令同步可以将通用口令分发到已连接系统。
在 Identity Manager 之前的版本中,驱动程序可以从已连接系统的用户帐户向 Identity Manager 发送口令,还可以使用此口令在 eDirectory 中更新相应的用户。 但由于 eDirectory 中的 NDS 口令是不可逆的,因此无法从中央 Identity Manager Identity Vault 向多个已连接系统送出口令。 只有在 eDirectory 口令储存于 eDirectory 前将其捕获,才能获取此口令(例如,可通过 Novell Client)。
eDirectory 8.7.3 提供的通用口令为可逆口令, 可以分发。
Identity Manager 可以从已连接系统接受口令。 由于通用口令是可逆的,因此 Identity Manager 可以将口令从 Identity Vault 分发到已连接系统,该系统须支持为新帐户设置初始口令和修改口令。
不管口令从哪里发出,Identity Manager 都使用分发口令作为储存库,从中将口令分发到已连接系统。 可以对分发口令和通用口令实施口令策略。
有关在同步口令时使用通用口令和分发口令的信息,请参见实施口令同步。
如同用户的其它特性一样,可以决定哪个系统为口令授权源。 Identity Manager 将口令从授权源分发到其它已连接系统。
可以在支持双向口令同步的已连接系统中设置双向口令同步。
在数据储存器和已连接系统上实施口令策略
通过调用 NMAS,Identity Manager 可以对进来的口令实施口令策略。 如果已连接系统向 Identity Manager 发布的口令不符合策略,可以指定 Identity Manager 不允许口令进入 Identity Vault。 这也意味着不符合策略的口令将不能被分发到其它已连接系统。
另外,Identity Manager 还可以对已连接系统实施口令策略。 如果向 Identity Manager 发布的口令不符合策略中的规则,可以指定 Identity Manager 不接受口令进行分发,还可以使用 Identity Vault 中当前的分发口令重设置已连接系统中不符合规则的口令。
例如,口令中需要至少包括一个数字字符。 但已连接系统本身没有能力实施此策略。 则可以指定 Identity Manager 重设置从已连接系统流出的但不符合策略中规则的口令。
如果要使用高级口令规则和 Identity Manager 口令同步,建议调查所有已连接系统的口令策略,确保 eDirectory 口令策略中的高级口令规则相互兼容。 此调查有助于使口令同步成功。
请记住,必须确保被指派 NMAS 口令策略的用户与应当加入已连接系统口令同步的用户相匹配。
NMAS 口令策略是以树为中心指派的。 与此相反,口令同步是在每个驱动程序上分别设置的。 同样,驱动程序安装在每台服务器上,且只能管理主复本或读/写复本中的用户。 要获得预期的口令同步结果,请确保运行口令同步驱动程序的服务器上的主复本或读/写复本中的树枝与已指派口令策略(该策略启用通用口令)的树枝相匹配。 将口令策略指派给分区根树枝可确保将此口令策略指派给树枝和子树枝中的所有用户。
有关如何将 NMAS 口令策略指派给用户的信息,请参见《口令管理管理员指南》中的“为用户指派口令策略”。
口令同步方案
可以使用 Identity Manager 指定口令权威来源系统, 还可以决定口令流动方式。
Identity Manager 口令同步的许多功能取决于通用口令,该口令是由 Identity Vault 提供的可逆口令功能。 但某些方案不需要部署通用口令。
Identity Manager 口令同步还取决于分发口令。 可以对分发口令实施策略,如同对通用口令实施策略一样。
有关实施口令同步的基本方法,请参见实施口令同步。 可以将这些方案结合起来,以满足环境的需要。
在未安装 Novell Client 的 Windows 中同步口令
在 Active Directory 和 NT 域中,不再需要 Novell Client 进行口令同步。
通知用户口令同步失败
在数据储存器和已连接系统上实施口令策略一节介绍了 Identity Manager 可以不接受来自已连接系统的不符合策略的口令,从而实施口令策略。
使用电子邮件通知功能,可以指定 Identity Manager 在用户进行口令更改失败时通知用户。
方案。 已将 Identity Manager 设置为当从 NT 域进来的口令不符合口令策略时,不接受此口令。 已启用电子邮件通知功能。 NMAS 口令策略中的一个规则指定,不能将公司名称用作口令。 某个用户将 NT 域已连接系统的口令更改为公司名称。 NMAS 不接受此口令,则 Identity Manager 向用户发送电子邮件讯息,声明未同步口令更改。
在使用此功能前,必须先设置电子邮件服务器和模板。可自定义以下内容:
- Identity Manager 发送的讯息文本
- 通知,并将复本发送给管理员
有关更多信息,请参见配置电子邮件通知。
检查用户的口令同步状态
可以使用 Identity Manager 查询已连接系统,以检查用户的口令同步状态。 如果已连接系统支持检查口令功能,则可以检查口令是否成功同步。
有关如何检查口令的信息,请参见检查用户的口令同步状态。
有关支持检查口令的系统列表,请参见已连接系统支持口令同步。
5.1.5 口令同步流程概述图
下图说明了已连接系统如何向 Identity Manager 发布口令。
图 5-1 已连接系统如何向 Identity Manager 发布口令。
下图说明了 Identity Manager 如何向已连接系统分发口令。
图 5-2 Identity Manager 如何向已连接系统分发口令
5.1.6 图的显示方式
此文档中经常使用图来说明 iManager 中的选项。 这些选项在桌面上的实际显示方式取决于所使用的浏览器。
例如,Internet Explorer 使用选项卡显示 iManager 选项。
图 5-3 iManager 中的选项卡
但 Firefox 浏览器通过下拉列表显示 iManager 选项。
图 5-4 iManager 中的下拉列表
在此文档中图的显示方式与 Firefox 浏览器中相同。