5.4 准备使用 Identity Manager 口令同步和通用口令

5.4.1 将用户从 NDS 口令切换到通用口令

使用口令策略对一组用户开启通用口令时,用户需要通用口令被填充。

如果之前一直使用口令同步更新 NDS 口令,则需要进行用户口令转换。 要切换到使用通用口令,可进行以下操作之一,使用户创建通用口令:

  • 如果使用 Novell Client,请使用支持通用口令的 Novell Client。

    Identity Manager 口令同步不需要使用 Novell Client。

    如果使用 Novell Client,用户下次使用 Novell Client 登录时,Novell Client 将在对 NDS 口令进行哈希处理之前先截获它,并用它填充通用口令。 (请参见《口令管理指南》中的“计划用户的登录和口令更改方法”。)

  • 如果未使用 Novell Client,用户可以登录 iManager 自助服务控制台。 这种登录方法会填充通用口令。 要访问 iManager 自助服务控制台,请转至 iManager 服务器上的 /nps。 例如,https://www.myiManager.com/nps。
  • 通过使用任意服务令用户登录,该服务由启用通用口令的 LDAP 服务器进行鉴定。 例如,通过公司入口登录。

5.4.2 帮助用户更改口令

用户在 iManager 中更改口令时,将显示 iManager 自助服务控制台、Novell Client 或 NMAS 口令策略的高级口令规则。 查看规则后,用户无需猜测规则即可创建遵从口令。

根据口令流的设置,用户可更改已连接系统的口令,并且该口令会与 Identity Manager 和其它已连接系统同步。 但是,用户更改口令时,已连接系统不会显示高级口令规则。

如果要实施高级口令规则并避免出现不符合规则的口令,最好要求用户只在 iManager 自助服务控制台或 Novell Client 中更改口令,或至少确保用户已充分了解高级口令规则。

在已连接系统中,允许用户不查看口令策略规则即更改口令。 因此,用户可能无法正确记住这些规则。 用户首次进行更改时,仅实施已连接系统本身的策略。 在已连接系统上创建不符合规则的口令时,可能会出现以下问题,这取决于 Identity Manager 设置:

  • 如果已启用对口令(从已连接系统至 Identity Manager)实施策略的设置,用户的新口令也不会与 Identity Vault 同步。 如果已设置 Identity Manager 向用户通知所发生的故障,用户可以通过电子邮件获知口令未同步。
  • 如果还设置了令 Identity Manager 替换已连接系统中不符合规则的口令,用户使用所选的新口令将无法登录到已连接系统。

    Identity Manager 将已连接系统中的口令重设置为分发口令,这可能是该用户创建的最后一个遵从口令。

5.4.3 准备使用通用口令

要准备使用通用口令,请参考《口令管理管理员指南》中的“部署通用口令”。 您所需的大多数信息都可在该章中找到。

另外,请记住以下几点要求:

  • 使用通用口令需要 eDirectory 8.7.1 或更高版本。 不需要 NetWare® 6.5。
  • Identity Manager 口令同步需使用通用口令和分发口令。 分发口令是 Identity Manager 向已连接系统分发口令的储存库。 和通用口令一样,也可对分发口令实施 NMAS 策略。
  • Identity Manager 附带的 Identity Manager iManager 插件中包含口令管理插件。 利用这些插件可以创建口令策略,并确定通用口令与 NDS 口令、简单口令和分发口令的同步方式。

    这些插件替换了 NetWare 6.5 中附带的通用口令插件。 在《口令管理管理员指南》中的“使用口令策略管理口令”中进行了说明。

  • Identity Manager 正在使用的树不能使用 eDirectory 8.6.2。 但是,口令同步功能的子集支持 eDirectory 8.6.2。 因此,如果不准备升级整个环境,可将 eDirectory 8.6.2 用于其它树。
  • 为了部署通用口令而升级软件时,降低影响的一种方法是,为 Identity Manager 创建一个单独的树作为 Identity Vault。 许多环境已对 Identity Manager 和驱动程序使用了 Identity Vault。
  • 通用口令可提供原来的口令管理工具所不支持的功能,例如实施口令策略和使用特殊字符功能。
  • 升级 Novell Client 和其它实用程序很重要,这样可避免 NDS 口令与通用口令不同步(有时称为“口令偏移”)。 请参见《口令管理管理员指南》中的“计划用户登录和更改口令方法”。
  • Novell Client 的最新版本支持通用口令,首次对用户启用通用口令时可填充该用户的通用口令,并且用户在更改口令时可显示和实施 NMAS 口令策略。
  • 已连接系统不显示口令策略中创建的高级口令规则。 在这种情况下,尽管 Novell Client 会实施这些规则,但也不会显示它们。

    最好要求用户只在 iManager 自助服务控制台中更改口令。

    如果允许用户在已连接系统中或使用 Novell Client 的最新版本更改口令,应确保用户充分了解口令策略规则,以帮助用户成功创建遵从口令。

  • 确保管理员和服务台了解,只有在 NetWare® 6.5 服务器或更高版本上使用 ConsoleOne ® 时,或在具有最新 Novell Client 的计算机上使用 ConsoleOne ® 时,才支持通用口令。
  • 确保管理员和服务台用户了解,使用仅支持 NDS 口令的实用程序的含意。 这些实用程序可用于登录,但不能用于更改口令。 该样可避免口令偏移。

    Novell Modular Authentication Services (NMAS) 3.0 管理指南 参照 TID,其中列出了实用程序及其对通用口令的支持。

5.4.4 匹配树枝

NMAS 口令策略是以树为中心指派的。 与此相反,口令同步是在每个驱动程序上分别设置的。 驱动程序安装在每台服务器上,且只能管理主复本或读/写复本中的用户。

要获得预期的口令同步结果,请确保运行口令同步驱动程序的服务器上的主复本或读/写复本中的树枝与已指派口令策略(该策略启用通用口令)的树枝相匹配。 将口令策略指派给分区根树枝可确保将此口令策略指派给树枝和子树枝中的所有用户。

5.4.5 设置电子邮件通知

要使用电子邮件通知功能,必须执行以下操作:

  • 使用 iManager 中的通知配置任务设置电子邮件服务器。
  • 如果需要,使用 iManager 中的通知配置任务自定义电子邮件模板。
  • 确保 Identity Vault 用户的因特网电子邮件地址特性已填充。

请按照部分 5.12, 配置电子邮件通知中的指导操作。