8.7 口令同步的提示

建议在同步口令时使用安全的连接。 下列两者之间的连接很容易受到攻击:

通过执行下列其中一项或多项操作来创建一个安全的连接:

驱动程序 Shim 不在域控制器上运行时,要使口令同步运行,必须配置 SSL。

8.7.1 提供初始口令

最初创建用户时,如果看到有关口令不符合要求的错误,则需要检查口令策略。

例如,Active Directory 驱动程序在 Identity Vault 中创建用户对象时,您可能需要 Active Directory 驱动程序提供某个用户的初始口令。 创建用户后,驱动程序 Shim 将创建用户,然后设置口令。

由于添加用户与设置口令是分开执行的,因此,此示例中的新用户将会接收默认口令,即使只是暂时使用默认口令。 Active Directory 驱动程序在添加用户后会立即发送口令,因此口令很快就会更新。

如果默认口令不符合用户的 eDirectory 口令策略,则会显示错误。 例如,如果使用用户姓氏创建的默认口令太短,以致于不符合口令策略,则会显示指明口令太短的 -216 错误。 但是,如果 Active Directory 驱动程序随即发送了一个符合策略的初始口令,则此情况很快就会得到矫正。

如果希望创建用户对象的已连接系统提供初始口令,则无论使用哪个驱动程序,都请考虑执行下列操作之一:

  • 在《发布者》通道上更改创建默认口令的策略,以便默认口令符合在 Identity Vault 中为组织定义的口令策略(这些策略是在口令管理中使用《管理口令策略》选项创建的)。 如果初始口令来自授权应用程序,则该口令将替换默认口令。

    最好使用该选项。 建议保留默认口令的策略,以保持系统中较高的安全级别。

  • 在《发布者》通道上去除创建默认口令的策略。 在样本配置中,此策略在命令转换策略集中提供。 允许在 eDirectory 中添加不带口令的用户。 此选项的假定条件是,新建的用户对象的口令最终将会通过《发布者》通道,因此这个不带口令的用户对象只是短时间存在。

如果初始口令不是由添加事件产生的,而是由后续事件产生的,则这些措施尤其重要。