5.7 升级现有驱动程序配置以支持口令同步

本节解释如何将 Identity Manager 口令同步的支持添加到现有的驱动程序配置中,而不使用 Identity Manager 样本配置替换现有的驱动程序配置。

对每个将加入口令同步的驱动程序添加支持。 要实现此目的,需导入“overlay”配置文件,一次性添加策略、驱动程序清单和 GCV。

添加策略、驱动程序清单和 GCV 后,还必须将 nspmDistributionPassword 特性添加到驱动程序过滤器中。

重要说明:如果要升级 AD 或 NT 域的 Identity Manager 驱动程序,并且 Password Synchronization 1.0 正在使用该驱动程序,请遵循 Active Directory 和 NT 域的 Identity Manager 驱动程序升级指导,该指导位于 Identity Manager 驱动程序 的驱动程序实施指南中。

此步骤中添加的策略使用通用口令和分发口令来支持口令同步。 如果仅使用 Identity Manager 驱动程序同步 NDS 口令,则不需使用 Identity Manager 驱动程序配置中的策略。 使用 Public Key(公共密钥)和 Private Key(私用密钥)特性就可同步 NDS 口令,而无需使用这些策略,详情请见部分 5.8.2, 方案 1: 使用 NDS 口令在两个 Identity Vault 间进行同步

前提条件

5.7.1 第 1 步: 将驱动程序转换为 Identity Manager 3 格式

  1. 请确保环境已就绪,可使用通用口令。

    请参见部分 5.4, 准备使用 Identity Manager 口令同步和通用口令

    如果使用 DirXML® 1.1a,请参见部分 2.3, 将驱动程序配置从 DirXML 1.1a 格式升级至 Identity Manager 格式

  2. 在 iManager 中,单击“Identity Manager 实用程序”>“导入驱动程序”。

  3. 选择现有的驱动程序所在的驱动程序集,然后单击“下一步”。

  4. 在出现的驱动程序配置列表中,滚动到 Additional Policies(附加策略),然后仅选择 Password Synchronization 2.0 Policies“Password Synchronization 2.0 策略”。

  5. 单击“下一步”。

  6. “现有驱动程序”下拉列表中,选择要更新的现有驱动程序。

  7. “已连接系统”下拉列表中,选择已连接系统的类型。

    如果驱动程序名称未出现在下拉列表中,则选择“其它系统”。

    根据驱动程序的类型,“导入驱动程序向导”会将驱动程序清单中的项设置为指示驱动程序配置和已连接系统的功能:

    • 已连接系统能否向 Identity Manager 提供口令。

      此口令是指已连接系统上的用户实际口令,而不是使用样式表就可以创建的口令。 只有 AD、eDirectory 和 NIS 可以创建实际口令。

    • 已连接系统能否接受来自 Identity Manager 的口令
    • 已连接系统能否对口令进行检查,以确定它是否与 Identity Manager 中的口令相匹配。

    驱动程序清单中的项必须正确,才能使口令同步策略正常工作。 驱动程序清单指示已连接系统、Identity Manager 驱动程序 Shim 和驱动程序配置策略的综合性能。通常情况下,网络管理员不应编辑这些内容。

  8. 单击“下一步”。

  9. 如果没有要保存的驱动程序清单或 GCV 值,则选择“更新有关该驱动程序的所有方面”。

    此选项可提供口令同步所必需的驱动程序清单、全局配置值 (GCV) 以及 Identity Manager 策略。

    驱动程序清单和 GCV 会重写已有的任何值。 由于这些类型的驱动程序参数是 Identity Manager 2 中新增的,因此 DirXML 1.x 驱动程序应没有要被重写的现有值。

    口令同步策略不重写任何现有策略对象。 它们只是附加到驱动程序对象上。

    注:如果确实有要保存的驱动程序清单或 GCV 值,则选择“只更新该驱动程序中的选定策略”,然后选中所有策略的复选框。 此选项导入口令策略,但不更改驱动程序清单或 GCV。 对于任何附加值,则需要手工粘贴。

  10. 单击“下一步”,然后单击“完成”结束向导。

    至此,新策略已创建为驱动程序对象下的策略对象,但它们仍不是驱动程序配置的一部分。 若要将新策略链接到配置中,必须在订购者和发布者通道上,手工将每个新策略插入到驱动程序配置中的正确位置。

5.7.2 第 2 步: 添加至驱动程序配置

有关要添加的策略列表以及这些策略的插入位置,请参见部分 5.3.4, 驱动程序配置中所需的策略

将每个新策略插入到现有驱动程序配置中的正确位置。

如果策略集包含多个策略,请确保最后列出 Identity Manager 口令同步策略。

对每个策略重复以下步骤。

  1. 选择 Identity Manager >“Identity Manager 概述”,然后搜索更新的驱动程序所在的驱动程序集。

  2. 单击刚刚更新的驱动程序(例如,AvayaPBX)。

  3. 对需要添加一个新策略的位置,单击相应的图标(例如,发布者通道上的命令转换策略)。

  4. 单击“插入”添加新策略。

  5. 单击“使用现有策略”,浏览新策略对象,然后单击“确定”。

  6. 如果对于任何新策略,列表中都有多个策略,请使用箭头按钮 向上箭头图标 向下箭头图标 将新策略移到列表中的正确位置。

    请确保策略的顺序与部分 5.3.4, 驱动程序配置中所需的策略中列出的顺序相同。

5.7.3 第 3 步: 更改过滤器设置

  1. 对于要同步口令的对象类(如 User),请确保过滤器中包含 nspmDistributionPassword 特性,并且具有以下设置:

    • 对于发布者通道,将过滤器的 nspmDistributionPassword 特性设置为“忽略”。
    • 对于订购者通道,将过滤器的 nspmDistributionPassword 特性设置为“通知”。
    nspmDistributionPassword 的过滤器设置

    若要查看特性,必须滚动并选择类(例如,User),然后通过滚动浏览特性。

    如果未列出 nspmDistributionPassword,请执行以下操作:

    1. 确保已选择类,然后单击“添加特性”。

    2. 滚动至 nspmDistributionPassword 并选择它,然后单击“确定”。

  2. 对于 nspmDistributionPassword 特性设置为“通知”的所有对象,请将公共密钥和私用密钥特性设置为“忽略”。

    在过滤器中将“私用密钥”和“公共密钥”设置为“忽略”

  3. 对于要升级以加入口令同步的每个驱动程序,请重复步骤 2(在“将驱动程序转换为 Identity Manager 3 格式”中)到本节中的步骤 2(“更改过滤器设置”)。

    至此,驱动程序已具有新驱动程序 Shim、Identity Manager 格式以及驱动程序配置支持口令同步所必需的其它要素: 驱动程序清单、GCV、口令同步策略和过滤器设置。

  4. 检查各个驱动程序实施指南中否有关于设置 Identity Manager 口令同步的其它步骤或信息。 请参见 Identity Manager 驱动程序

  5. 通过创建启用了通用口令的口令策略,为用户启用通用口令。

    请参见《口令管理管理员指南》中的“创建口令策略”。 如果之前在 NetWare 6.5 中使用过通用口令,则《口令管理管理员指南》的“(仅限 NetWare 6.5)重新创建通用口令指派”中还描述了一些额外的步骤。

    建议在树中尽可能高的位置指派口令策略。

    “配置选项”页中提供了一些选项,可供您选择 NMAS 保持不同类型口令同步的方式。 默认设置应适用于大多数实施。 有关更多信息,请参见该页的联机帮助。

    有关使用口令同步以及如何适应口令策略的方案,请参见部分 5.8, 实施口令同步

    NMAS 口令策略是以树为中心指派的。 与此相反,口令同步是在每个驱动程序上分别设置的。 驱动程序安装在每台服务器上,且只能管理主复本或读/写复本中的用户。

    要获得预期的口令同步结果,请确保在要运行口令同步的驱动程序的服务器上,主复本或读/写复本中的树枝与已指派启用了通用口令的口令策略的树枝相匹配。 将口令策略指派给分区根树枝可确保将此口令策略指派给树枝和子树枝中的所有用户。

5.7.4 第 4 步: 设置口令同步流

请确保按照所需的方式为每个已连接系统设置口令流。

  1. 在 iManager 中,选择“口令”>“口令同步”。

  2. 在树或树枝中搜索要管理的已连接系统的驱动程序。

  3. 通过选择驱动程序来查看口令流的当前设置

    此页列出了全局配置值 (GCV)。 可通过选择适当的选项更改它们。

    Identity Manager 控制项点(Identity Manager 更新其口令)。 NMAS 根据“配置选项”中设置的选项控制不同类型口令间的口令流 (步骤 3显示了“配置选项”页)。 如果选择“为口令同步使用分发口令”,则 Identity Manager 直接使用分发口令。 如果取消选择此选项,则 Identity Manager 直接使用通用口令。

    有关这些选项的信息(包括插图),请参见部分 5.8, 实施口令同步。 另请参见联机帮助。

  4. 测试口令同步。

    确认 Identity Manager 口令已分发到所指定的系统。

    确认指定的已连接系统是否正在向 Identity Manager 发布口令。

    有关查错提示,请参见部分 5.8, 实施口令同步