7.5 设置口令同步过滤器
要使驱动程序只在一台 Windows 计算机上运行,需要对该驱动程序进行配置。
但是,安装和配置驱动程序后,请针对其它每个域控制器执行下列操作:
-
安装口令过滤器(pwfilter.dll 文件)。
-
配置注册表以截取口令,以便能够将口令发送到 Identity Manager。
启动域控制器时,将自动启动口令过滤器。 过滤器使用 Windows 客户机截取用户所做的口令更改,再加密更改,然后将这些更改发送到驱动程序,以更新 Identity Manager 数据储存。
NOTE:有关配置口令同步的信息,请参见《Novell Identity Manager 3.0 Administration Guide》(Novell Identity Manager 3.0 管理指南)中的《Implementing Password Synchronization》(实现口令同步)。
为简化口令过滤器的设置和管理,可以在安装驱动程序时,将一个 Identity Manager PassSync 实用程序添加到控制面板。 根据您是否允许对域控制器上的注册表进行远程访问,该实用程序提供用于设置口令过滤器的两个选项:
-
如果允许对注册表进行远程访问: 从计划在其上运行驱动程序的单台计算机上,使用 Identity Manager PassSync 实用程序为所有域控制器配置口令过滤器。
此方法允许您从一个位置配置所有域控制器。
如果从一台计算机配置所有域控制器,在设置期间,Identity Manager PassSync 实用程序可提供下列功能对您进行帮助:
- 允许您指定希望哪个域参与口令同步。
- 自动发现域的所有域控制器。
- 允许您在每个域控制器上远程安装 pwfilter.dll。
- 自动更新运行驱动程序的计算机上的注册表,以及每个域控制器上的注册表。
- 允许您查看每个域控制器上的过滤器的状态。
- 允许您远程重引导域控制器。
由于截取口令更改的过滤器是启动域控制器时将会启动的 DLL 文件,因此,首次添加用于口令同步的域时,该功能是必要的。
-
如果不允许对注册表进行远程访问: 针对每个域控制器单独设置口令过滤器。 要执行此操作,请转至每个域控制器,安装驱动程序文件以获得 Identity Manager PassSync 实用程序,然后在每台计算机上使用该实用程序安装口令过滤器,并更新注册表。
7.5.1 从一台计算机为所有域控制器配置口令过滤器
此过程说明如何针对每个域控制器安装和配置口令过滤器(所有操作在运行驱动程序的同一台计算机上完成)。
如果允许对注册表进行远程访问,请使用该方法。
由于设置过滤器需要重引导域控制器,因此可能需要在数小时之后执行此过程,或者一次只重引导一个域控制器。 如果域具有多个域控制器,那么请记住,要在其上运行口令同步的每个域控制器必须安装了过滤器,并且必须被重引导。
-
确认可以访问域控制器上的端口 135(RPC 终点映射程序),并且可以访问 Identity Manager Driver for Active Directory 在其上进行配置以便能够运行的计算机上的该端口。
如果使用的是 TCP 上的 NetBIOS,则还需要下列端口:
- 137: NetBIOS 名称服务
- 138: NetBIOS 数据报文服务
- 139: NetBIOS 会话服务
防火墙可以防止对端口进行远程访问。
-
在安装了驱动程序的计算机上单击《开始》>《设置》>《控制面板》。
-
双击 。
首次打开该实用程序时,它会询问这是否为安装了 Identity Manager 驱动程序的计算机。
完成配置后,除非从列表中去除该域,否则不会再次显示该提示。
-
单击《是》。
将显示一个标记为《已同步的域》的列表。
-
要添加一个希望其参与口令同步的域,请单击《添加》。
将显示《添加域》对话框。
-
指定或选择要添加的域名。
下拉列表将显示已知的域。
-
(可选操作)指定域中的计算机。
如果将《计算机》编辑框留空,PassSync 将查询本地计算机。 因此,如果在域控制器上运行 PassSync,则不需要输入名称。 PassSync 将查询本地计算机(在此情况下为域控制器),并(从数据库)获取域中所有域控制器的列表。
如果不是在域控制器上执行安装,请输入域中的、并且能够与域控制器通讯的计算机的名称。
如果收到一条错误讯息,指明 PassSync 无法找到域,则请输入另一个名称。
-
确定是否使用域的 DNS 名称。
DNS 名称提供更高级的鉴定和功能,用于以更可靠的方式发现大型安装中的域。 但是,选择取决于环境。
-
使用管理员权限登录。
Identity Manager PassSync 实用程序将发现该域的所有域控制器,并在每个域控制器上安装 pwfilter.dll。 它还将更新运行了驱动程序的计算机上的注册表,以及每个域控制器上的注册表。这可能要花几分钟时间。
在重引导域控制器之前,pwfilter.dll 不截取口令更改。 可使用 Identity Manager PassSync 实用程序查看所有域控制器的列表,以及这些域控制器上的过滤器的状态。 还可以从该实用程序内部重引导域控制器。
-
在列表中单击域名,然后单击《过滤器》。
实用程序将显示所有域控制器的名称,以及每个域控制器上的过滤器的状态。
每个域控制器的状态应指明该域控制器需要重引导。 但是,实用程序可能需要几分钟时间才能完成其自动任务,同时,状态可能会提示《未知》。
-
重引导每个域控制器。
可以选择在对环境有利的时间重引导这些域控制器。 只是请记住,在重引导每个域控制器之前,口令同步不能完全正常地运行。
-
如果所有域控制器的状态都提示《正在运行》,请测试口令同步以确认域控制器是否已运行。
7.5.2 针对每个域控制器单独配置口令过滤器
本节所述的过程说明如何针对每个域控制器一次性安装和配置口令过滤器。
如果不允许对注册表进行远程访问,请使用该方法。
在此过程中,需要安装驱动程序以获得 Identity Manager PassSync 实用程序。 然后将使用该实用程序安装 pwfilter.dll 文件,指定要使用的端口,并指定由哪台主机运行 Identity Manager Driver for Active Directory。
由于设置过滤器需要重引导域控制器,因此可能需要在数小时之后执行此过程,或者一次只重引导一个域控制器。 如果域具有多个域控制器,那么请记住,要在其上运行口令同步的每个域控制器必须安装了过滤器,并且必须被重引导。
-
确认下列端口在域控制器上可用,并且在 Identity Manager Driver for Active Directory 在其上进行配置以能够运行的计算机上可用:
- 135: RPC 终点映射程序
- 137: NetBIOS 名称服务
- 138: NetBIOS 数据报文服务
- 139: NetBIOS 会话服务
-
在域控制器上,使用 Identity Manager 安装来安装 Identity Manager Driver for Active Directory(仅安装此项)。
安装驱动程序即可安装 Identity Manager PassSync 实用程序。
-
单击《开始》>《设置》>《控制面板》,然后找到 Identity Manager PassSync 实用程序。
-
双击 。
首次打开该实用程序时,它会询问这是否为安装了 Identity Manager 驱动程序的计算机。
-
单击《否》。
完成配置后,除非在《口令过滤器属性》对话框中,使用《去除》按钮去除口令过滤器,否则不会再次显示该提示。
单击《否》后,将显示《口令过滤器属性》对话框,其中显示一条状态讯息,指明尚未在该域控制器上设置口令过滤器。
-
单击《设置》按钮安装口令过滤器 pwfilter.dll。
-
对于端口设置,请指定是使用动态端口还是使用静态端口。
仅当已确定以不同于默认方式的方式为域控制器配置远程过程调用 (RPC) 时,才使用静态端口选项。
-
指定 Identity Manager 驱动程序的位置,单击《添加》按钮,指定运行《口令同步过滤器 - 添加主机》对话框中的 Identity Manager 驱动程序的计算机的主机名,然后单击《确定》。
该步骤是必需的,这样口令过滤器就知道将口令更改发送到何处。 口令过滤器将截取口令更改,并且必须将这些更改发送到 Identity Manager 驱动程序,以更新 Identity Manager 数据储存。
-
在《口令过滤器属性》对话框中单击《确定》。
-
重引导域控制器以完成口令过滤器的安装。
可以选择在对环境有利的时间执行重引导。 只是请记住,在每个域控制器上安装口令过滤器且重引导每个域控制器之前,口令同步不能完全正常地运行。
完成安装并且重引导域控制器后,只要启动域控制器,就会自动装载口令过滤器。
-
通过单击《开始》>《设置》>《控制面板》,然后双击 Identity Manager PassSync 实用程序,再次检查口令过滤器的状态。
确认状态是否提示为《正在运行》。
-
如果所有域控制器的状态都提示《正在运行》,请测试口令同步以确认域控制器是否已运行。