7.2 将 Password Synchronization 1.0 升级为 Identity Manager 提供的口令同步

如果当前使用的是 Password Synchronization 1.0,请遵循本节中的指导完成升级。

IMPORTANT:请在查看这些指导之后才安装 Identity Manager 驱动程序 Shim。

要将 Password Synchronization 1.0 升级为 Identity Manager 提供的口令同步,请执行下列操作:

  1. 确保环境已准备好使用通用口令。

    请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Preparing to Use Identity Manager Password Synchronization and Universal Password》(准备使用 Identity Manager 口令同步和通用口令)。

    启用通用口令不会自动地使两个系统中的口令发生更改。 仅当用户更改了他们的口令后,通用口令同步才开始运行。

    方案:通用口令。 在 DigitalAirlines,网络管理员 Sandy 启用了通用口令。 用户 Markus 登录并更改了其口令。 两个系统均为 Markus 设置了通用口令。 但是,用户 Marie 登录后未更改其口令。 她使用未更改的口令继续登录。 Marie 更改其口令之前,系统不会为其设置通用口令功能。

  2. 安装 Identity Manager 3 驱动程序 Shim 以替换 DirXML® 1.1a 驱动程序 Shim,然后立即完成Step 3

    NOTE:如果运行的是 Identity Manager 2.0,并且使用了通用口令,则不必要升级口令同步。

    使用《Identity Manager 3.0 安装指南》的《安装 Identity Manager》一章中说明的安装程序,并且只选择 Identity Manager Driver for Active Directory。

  3. 通过添加策略创建 Password Synchronization 1.0 的向后兼容性中的说明将新策略添加到驱动程序配置,创建 Password Synchronization 1.0 的向后兼容性。

    DirXML 1.1a 驱动程序 Shim 可更新 nadLoginName 特性,但是 Identity Manager 驱动程序 Shim 不更新该特性。因此,必须将策略添加到驱动程序配置,以更新 nadLoginName。 这样,在安装驱动程序 Shim 时,Password Synchronization 1.0 可照常工作。因此,在完成部署 Identity Manager 口令同步时,不会丢失口令更改。

    IMPORTANT:如果不创建向后兼容性,Password Synchronization 1.0 将继续更新现有的用户,但是,在部署 Identity Manager 口令同步之前,不能同步任何新用户或重命名的用户。

    完成此步骤之后,将会拥有 Identity Manager 3.0 驱动程序 Shim 以及用于实现向后兼容的策略。 因此,驱动程序可支持 Password Synchronization 1.0。

    如果不能立即完成此过程余下的部分,则可以继续使用 Password Synchronization 1.0,直到准备好完成部署 Identity Manager 口令同步。

  4. 将 Identity Manager 口令同步的支持添加到希望其参与口令同步的每个驱动程序。

    升级或替换现有的配置。

    升级现有的配置: 可通过将现有的 DirXML 1.1a 驱动程序配置转换为 Identity Manager 格式,并添加 Identity Manager 口令同步所需的策略,来升级该驱动程序配置:

    将现有配置替换为 Identity Manager 配置,然后再次添加向后兼容性。 Identity Manager 样本驱动程序配置包含支持 Identity Manager 口令同步所需的策略、驱动程序清单、GCV 和过滤器设置。 有关导入新驱动程序配置的信息,请参见本驱动程序指南的Section 4.0, 配置 Active Directory 驱动程序中的指导。

  5. 如果需要已连接系统向 Identity Manager 提供用户口令,请安装新的口令同步过滤器,并对其进行配置。

    请参见Section 7.5, 设置口令同步过滤器

  6. 必要时设置 SSL。

    有关指导,请参见Section 2.3, 解决安全问题

    驱动程序在 Active Directory(《订购者》通道)中设置口令的功能需要下列其中一个条件提供安全的连接:

    • 运行驱动程序的计算机与域控制器是同一台计算机。
    • 运行驱动程序的计算机与域控制器在同一个域中。
    • 对于不在域中的计算机,需要在该计算机与域控制器之间设置《简单》方法和 SSL。 仅当使用《协商》鉴定机制时,双向口令同步才可用。

      有关指导,请参考 Microsoft 文档,例如《在域控制器上配置数字证书》。

  7. 通过创建启用了通用口令的口令策略,为 Identity Vault 用户帐户打开通用口令。

    请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Managing Password Synchronization》(管理口令同步)。

    为简化管理,建议尽量在树的最上层指派口令策略。

  8. 使用驱动程序的口令策略和口令同步设置,设置需要用于口令同步的方案。

    请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Implementing Password Synchronization》(实现口令同步)。

  9. 测试口令同步。

  10. Identity Manager 口令同步运行后,去除 Password Synchronization 1.0。

    1. 使用添加/去除程序,通过去除代理来关闭 Password Synchronization 1.0。

    2. 在驱动程序的过滤器中,将 nadLoginName 特性更改为《忽略》。

    3. 去除从驱动程序配置更新 nadLoginName 的向后兼容性策略。

    4. 如果需要,在 Identity Manager 口令同步运行后,还可以从用户中去除 nadLoginName 特性,因为不再需要该特性。

7.2.1 通过添加策略创建 Password Synchronization 1.0 的向后兼容性

Password Synchronization 1.0 依赖于可更新名称为 nadLoginName 的特性的驱动程序 Shim。 该特性指示是否应同步用户的口令。 如果添加了新用户,或者用户的名称发生更改,则系统会添加或更新 nadLoginName 特性以进行匹配。

因为 Identity Manager 口令同步不需要该特性,所以 Identity Manager 中的驱动程序 Shim 不再更新该特性。 因此,安装新的驱动程序 Shim 之后,nadLoginName 特性将不进行更新。 这意味着,除非将向后兼容性添加到驱动程序配置,否则 Password Synchronization 1.0 不再接收有关新用户或已命名用户的通知。

要从 Password Synchronization 1.0 平稳地转换到 Identity Manager 口令同步,需要与 Password Synchronization 1.0 向后兼容。

要做到与 Password Synchronization 1.0 向后兼容,必须添加更新 nadLoginName 特性的策略。

无论是更新现有的驱动程序配置,还是将这些配置替换为 Identity Manager 附带的新配置,都必须添加这些策略。 默认情况下,Active Directory 的 Identity Manager 样本驱动程序配置不包括策略。

必需三个策略,分别用于订购者输出转换、发布者输入转换和发布者命令转换。 Identity Manager 的一个名称为 Password Synchronization 1.0 Policies for Active Directory 的配置文件中提供了这些策略。 以下过程说明如何导入新策略并将其添加到驱动程序配置。

  1. 在 iManager 中单击《Identity Manager 实用程序》>《导入驱动程序》

    将打开导入驱动程序向导。

  2. 选择现有 Active Directory 驱动程序所驻留的驱动程序集,然后单击《下一步》

  3. 在显示的驱动程序配置列表中,滚动到《其它策略》区域,选择《Legacy Password Synchronization 1.0 Policies:(旧的 Password Synchronization 1.0 策略:) Backwards Compatibility for AD and NT(AD 和 NT 的向后兼容性)》,然后单击《下一步》

  4. 完成导入提示:

    1. 选择现有的 Active Directory 驱动程序。

      可通过选择现有的驱动程序添加三个必需的策略。 导入过程将创建三个新的策略对象,其后,您必须将这些对象插入到驱动程序配置中的相应位置。

    2. 指定驱动程序是否为 Active Directory 驱动程序。

      根据选择的系统,导入的策略存在微小的差异。

    3. 浏览并选择与需要更新的驱动程序相关联的 nadDomain 对象。

      该对象通常在驱动程序对象下面。

    4. (仅限 Active Directory)指定要映射到 Active Directory 特性 sAMAccountName 的 eDirectory™ 特性的名称。

      可以在驱动程序配置的纲要映射策略中找到此信息。

      NOTE:如果不将 sAMAccountName 映射到任何 eDirectory 特性,请将 sAMAccountName 映射到 DirXML-ADAlias name。

  5. 单击《下一步》

    由于选择了一个现有的驱动程序,因此将显示一个页,要求您确定如何更新驱动程序。 在这种情况下,只需更新选定的策略。

  6. 选择《只更新该驱动程序中的选定策略》,然后选中所有三个列出的策略的复选框。

  7. 单击《下一步》,然后单击《完成》以完成向导。

    至此,驱动程序对象下方已创建三个用作策略对象的新策略,但是这些策略还不是驱动程序配置的一部分。 要链接这些策略,必须在《订购者》和《发布者》通道上,将每一个策略手动插入到驱动程序配置中的正确位置。

  8. 将三个新策略中的每一个插入到现有驱动程序配置中的正确位置。

    如果驱动程序配置的这些部分中的任一部分具有多个策略,请确保最后列出这些新策略。

    Table 7-2 策略

    策略对象名

    策略的插入位置

    PassSync(Pub) 命令转换策略

    《发布者》通道上的命令转换策略

    PassSync(Pub) 输入转换策略

    《发布者》通道上的输入转换策略

    PassSync(Sub) 输出转换策略

    《订购者》通道上的输出转换策略

    针对每个策略重复步骤 8a 至 8f。

    1. 单击《Identity Manager》>《Identity Manager 概述》 >

    2. 选择所更新的驱动程序的驱动程序集。

    3. 单击刚刚更新的驱动程序。

      将打开一个页,其中显示驱动程序配置的图形表示形式。

    4. 单击需要将三个新策略之一添加到的位置的图标。

    5. 单击《插入》以添加新策略

      在显示的《插入》页中单击《使用现有策略》,通过浏览找到新策略对象,然后单击《确定》

    6. 在列表中,如果三个新策略中的任何一个具有多个策略,请使用箭头按钮 向上箭头 向下箭头 向下移动新策略,使之位于列表的最后位置。

  9. 针对所有的 Active Directory 驱动程序重复步骤 1 至 9。

如果需要将 sAMAccountName 映射到《发布者》通道纲要映射策略中的 DirXML-ADAliasName,则请遵循该过程。

WARNING:如果 sAMAccountName 已映射到另一个特性,则遵循该过程会使策略失效。 策略将停止同步口令。 确保在Step 4.d中输入正确的特性。

  1. 在 iManager 中选择《Identity Manager》>《Identity Manager 概述》

  2. 浏览并选择包含 Active Directory 驱动程序的驱动程序集对象,然后单击《搜索》

  3. 单击驱动程序图标,然后单击《发布者》通道的《纲要映射策略》图标

  4. 单击《编辑》

  5. 选择《用户》类,然后单击《特性》

  6. 单击《eDirectory 特性》下面的下拉列表,然后浏览并选择《DirXML-ADAliasName》。

  7. 单击《应用程序特性》下面的下拉列表,然后浏览并选择《sAMAccountName》。

  8. 单击《添加》,然后单击《确定》

  9. 选择《组》类,然后单击《特性》。

  10. 针对《组》类重复步骤 6 至 8。

  11. 单击《确定》两次

完成此过程后,Active Directory 驱动程序的驱动程序配置将与 Password Synchronization 1.0 向后兼容。 这意味着口令同步将像往常一样继续工作,使您可以在方便的时候升级到 Identity Manager 口令同步。