Identity Managerでは、パスワードの発行と加入に対するユニバーサルパスワードと接続システムのサポートを利用することによって、双方向パスワード同期が提供されています。
ユーザアカウントのその他の属性と同様に、承認されたデータ\'83\'5cースを選択できます。
NDS®パスワード、単純パスワード、配布パスワード、およびユニバーサルパスワードは、異なる目的のために使用されます。eDirectoryとIdentity Managerの以前のバージョンでは、接続システムで更新できるのはNDSパスワードのみで、これは一方向の同期でした。
Identity Managerではユニバーサルパスワードが使用されています。これは、他の識別ボールトのパスワードと同期できる、逆方向の同期が可能なパスワードです。ユニバーサルパスワードはeDirectory 8.7.1で導入され、3つの層の暗号化によって保護されています。
NMAS™は、ユニバーサルパスワードと他の識別ボールトのパスワードの関係を制御します。たとえば、NMASは、ユニバーサルパスワードとNDSパスワード、単純パスワード、または配布パスワードの同期を保つかどうかを制御します。NMASは、パスワードを変更しようとする着信要求を受信し、NMASのパスワードポリシーの設定に従って処理します。
Identity Managerでは、配布パスワードを使用して識別ボールトと接続システム間のパスワード同期が制御されます。Identity Managerでは、識別ボールトと接続システム間の双方向パスワード同期ポリシー、パスワードトンネル、および接続システムのパスワード確認ステータスを含む、配布パスワードを使用する特定のパスワード同期機能が実装されます。
ユニバーサルパスワードのように、配布パスワードも3つの暗号化層で保護されていて、逆方向で同期化できます。
NMASのパスワードポリシーでは、配布パスワードをユニバーサルパスワードと同じにするかどうかを指定できます。(設定は、[セクション 9.0, セキュリティ: ベストプラクティスを参照してください。)
]です)。配布パスワードがユニバーサルパスワードと同じで、接続システムの双方向パスワード同期を使用するよう選択する場合は、Identity Managerを使用してeDirectoryからユニバーサルパスワードを抽出して、その他の接続システムに送信できます。パスワードの転送、およびパスワードを保存する接続システムをセキュリティで保護する必要があります。(配布パスワードがユニバーサルパスワードと同じではない場合(NMASパスワードポリシーで設定を無効にしているため)、ユニバーサルパスワードまたはNDSパスワードを使用せずに、またはこれらに影響せずに、配布パスワードを使用した接続システム間でパスワードを「トンネル」することができます。トンネルは、接続システム間のみでパスワードを同期します。有効になっている場合、トンネルでは識別ボールト/ユニバーサルパスワードは設定されません。
さまざまなeDirectoryパスワードの詳細については、『Novell Modular Authentication Services (NMAS) 2.3 Administration Guide』を参照してください。Identity Managerでパスワード同期を使用する方法については、セクション 5.8, パスワード同期の実装を参照してください。
双方向パスワード同期は、指定した接続システムからパスワードを受け取るIdentity Managerと、指定した接続にパスワードを配布するIdentity Managerの組み合わせです。
特定の接続システムと双方向でパスワードを同期できるかどうかは、接続システムが何をサポートしているかによって決まります。
接続システムの中には、Identity Managerから修正された新しいパスワードを受け入れ、ユーザの実際のパスワードをIdentity Managerに提供できるものもあります。これらの接続システムは、Identity Managerとの双方向パスワード同期をサポートしているシステムです。
Active Directory
Novell® eDirectory™
Network Information Services (NIS)
NTドメイン
これらの接続システムでは、ユーザは、いずれかのシステムでパスワードを変更して、Identity Managerを介してそのパスワードを他のシステムと同期化できます。ただし、NMASパスワードポリシーで高度なパスワードルールを使用している場合、ユーザがユーザアプリケーションrセルフサービスコンソールでパスワードを変更できるようにすることをお勧めします。このコン\'83\'5cールにはユーザのパスワードが準拠しなければならないすべてのルールが\'95\'5c示されるため、パスワード変更には最適な場所です。
その他の接続システムはユーザの実際のパスワードを提供できないため、完全な双方向パスワード同期をサポートできません。ただし、ドライバ設定内にポリシーを定義することによって、これらのシステムは、パスワードを作成するために使用できるデータを提供し、Identity Managerに送信できます。
他のシステムの中には、新しいユーザの初期パスワードの設定またはパスワードの変更、あるいはその両方を含め、Identity Managerからパスワードを受け入れることができるものもあります。詳細については、セクション 5.2, パスワード同期をサポートする接続システムを参照してください。
表 5-1 Password Synchronization 1.0とIdentity Managerパスワード同期
Password Synchronization 1.0 |
Identity Manager 2および3のパスワード同期 |
|
---|---|---|
製品の提供 |
Identity Managerとは別の製品です。 |
Identity Managerに含まれており、別個には販売されていません。 |
プラットフォーム |
|
次のプラットフォームでは完全な双方向パスワード同期がサポートされています。
これらの接続システムは、Identity Managerへのユーザパスワードの発行をサポートしています。ユニバーサルパスワード(および配布パスワード)は逆方向に同期できるため、Identity Managerはパスワードを接続システムに配布できます。 加入者パスワード要素をサポートする接続システムは、パスワードをIdentity Managerから受信できます。 詳細については、セクション 5.2, パスワード同期をサポートする接続システムを参照してください。 |
識別\'83\'7bールトで使用されているパスワード |
NDSパスワード(逆方向は不可\'94\'5c) |
ユニバーサルパスワード(逆方向の同期が可能)、または配布パスワード(同様に逆方向の同期が可能)。また、必要に応じてNDSパスワードの同期を維持することもできます。シナリオの例については、セクション 5.8, パスワード同期の実装を参照してください。 |
Windows接続システムの主な機\'94\'5c |
識別ボールトパスワードがWindowsパスワードと同期されるようにパスワードをIdentity Managerに送信する場合。NDSパスワードは逆方向に同期化できないため、パスワードはNTまたはADに戻されていませんでした。 |
双方向パスワード同期を提供する場合。ユニバーサルパスワード(および配布パスワード)は逆方向に同期化できるため、パスワードは両方のディレクトリで同期化できます。 |
LDAP変更 |
サポートされていません。 |
サポートあり |
Novell Client™ |
必須。 |
不要 |
nadLoginName属性 |
パスワードの更新を保つために使用されます。 |
未使用。 |
パスワード同期機\'94\'5cを含むコンポーネント |
nadLoginNameを更新するための機\'94\'5cはIdentity Managerドライバに含まれていました。 |
ドライバ環境設定のIdentity Managerポリシーがパスワード同期機能を提供します。ドライバは単に、ポリシー内のロジックから発生する、メタディレクトリエンジンによって与えられるタスクを実行します。ドライバマニフェスト、グローバル構成値、およびドライバフィルタ設定もパスワード同期をサポートする必要があります。これは、サンプルドライバ環境設定に含まれており、既存のドライバに追加できます。詳細については、セクション 5.7, パスワード同期をサポートするための、既存のドライバ設定のアップグレードを参照してください。 |
エージェント |
別個の\'83\'5cフトウェア。 |
エージェントはインストールされます。この機\'94\'5cはドライバの一部になりました。 |
Identity Managerパスワード同期は双方向です。パスワードは、接続システムから送信されてIdentity Managerで受信したり、Identity Managerから配布されて接続システムで受信したりできます。
DirXML®およびIdentity Managerの以前のバージョンと同様に、接続システムは識別\'83\'7bールトにパスワードを発行できます。
Identity Managerがパスワードを受け入れる元の接続システムアプリケーションを指定できます。さらに、Identity Managerが実行されている同じ識別ボールト内でユーザのパスワードを更新するか、またはIdentity Managerが接続システム間のみでパスワードを同期する単なるルートまたは「トンネル」として動作するかどうかも選択できます。つまり、識別\'83\'7bールトパスワードを、Identity Managerが接続システムに配布するパスワードと別にすることができます。
一部の接続システム(AD、その他の識別\'83\'7bールト、NT、およびNIS)は、ユーザの実際のパスワードを提供できます。つまり、ユーザが接続システムでパスワードを変更した場合に、その変更をIdentity Managerと同期化して、その他の接続システムに戻すことができます。
その他の接続システムはユーザの実際のパスワードの提供をサポートしていませんが、名字または従業員IDに基づいた初期パスワードなど、スタイルシートで生成したパスワードをIdentity Managerに提供するように設定できます。
Identity Managerのパスワード同期は、共通のパスワードを各接続システムに配布できます。
Identity Managerの以前のバージョンでは、ドライバは接続システム上のユーザアカウントからIdentity Managerにパスワードを送信でき、パスワードを使用してeDirectory内の対応するユーザを更新できました。しかし、eDirectory内のNDSパスワードは、逆方向に同期化できないため、中央のIdentity Manager識別ボールトから複数の接続システムにパスワードを送ることはできませんでした。eDirectoryパスワードを取得するには、パスワードがeDirectoryに保存される前に、Novell Clientなどを介して取得する以外にありませんでした。
eDirectory 8.7.3によって提供されるユニバーサルパスワードは、逆方向の同期が可能です。このため、Identity Managerでは接続システムからのパスワードを受け入れ、識別ボールトから新しいアカウントの初期パスワードの設定およびパスワードの変更をサポートする接続システムにそのパスワードを配布できます。
パスワードの発行元に関係なく、Identity Managerは、接続システムにパスワードを配布する場所であるリポジトリとして配布パスワードを使用します。ユニバーサルパスワードと同様に、配布パスワードでも、パスワードポリシーを適用できます。
パスワードの同期時にユニバーサルパスワードと配布パスワードを使用する方法については、パスワード同期の実装を参照してください。
ユーザの他の属性と同様に、どのシステムが信頼されたパスワードのソ-スなのかを決定できます。Identity Managerは、認証された\'83\'5c-スから他の接続システムにパスワードを配布します。
双方向パスワード同期は、これをサポートする接続システム間に設定できます。
Identity Managerでは、NMASを呼び出すことによって、着信パスワードにパスワードポリシーを適用できます。接続システムからIdentity Managerに発行されるパスワードがポリシーに準拠していない場合は、Identity Managerがその識別ボールトへのパスワードを受け入れないように指定できます。つまり、ポリシーに準拠しないパスワードはその他の接続システムに配布されません。
さらに、Identity Managerでは、接続システムにパスワードポリシーを適用することもできます。Identity Managerに対して発行されたパスワードがポリシーのルールに準拠していない場合、Identity Managerはパスワードを受け入れて配布しないだけでなく、識別\'83\'7bールト名の現在の配布パスワードを使用して接続システム上の準拠しないパスワードをリセットするように指定できます。
たとえば、パスワードに少なくとも1つの数字を含める必要があるとします。しかし、接続システム自体にはそのようなポリシーを適用する機能がありません。接続システムから送られてきて、ポリシーのルールに準拠していないパスワードをIdentity Managerでリセットするように指定します。
高度なパスワードルールとIdentity Managerのパスワード同期を使用している場合、すべての接続システムのパスワードポリシーを調査して、eDirectoryパスワードポリシーの高度なパスワードルールと互換性があることを確認することをお勧めします。この調査は、パスワードを正常に同期するために役立ちます。
NMASパスワードポリシーが割り当てられているユーザが、接続システムのパスワード同期に参加させるユーザと一致していることを確認する必要があります。
NMASパスワードポリシーはツリー中心で割り当てられます。一方、パスワード同期はドライバごとに設定されます。また、ドライバは各サーバにインストールされ、マスタレプリカまたは読み書き可能レプリカ内のユーザのみが管理できます。パスワード同期により期待される結果を取得するには、パスワード同期のドライバを実行するサーバにあるマスタレプリカまたは読み書き可能レプリカのコンテナが、ユニバーサルパスワードが有効なパスワードポリシーを割り当てたコンテナと一致するようにします。パーティションルートコンテナにパスワードポリシーを割り当てることによって、そのコンテナとサブコンテナ内のすべてのユーザに確実にパスワードポリシーが割り当てられます。
NMASのパスワードポリシーをユーザに割り当てる方法の詳細については、『パスワード管理ガイド』の「Assigning Password Policies to Users」を参照してください。
Identity Managerを使用すると、どのシステムが信頼されたパスワードのソ-スであるかを指定できます。また、管理者はパスワード受諾の流れも決定します。
Identity Managerのパスワード同期機能のほとんどは、識別ボールトが提供する、逆方向に同期できるパスワード機能であるユニバーサルパスワードに依存します。しかし、いくつかのシナリオでは、ユニバーサルパスワードを展開する必要はありません。
Identity Managerのパスワード同期は、配布パスワードにも依存します。ユニバーサルパスワードと同様に、ポリシーを配布パスワードに適用できます。
パスワード同期を実装する基本的な方法については、パスワード同期の実装を参照してください。これらのシナリオを組み合わせて、各環境のニーズを満たすことができます。
Active DirectoryとNTドメインとのパスワード同期に、Novell Clientは必要なくなりました。
データストアおよび接続システムでのパスワードポリシーの適用では、Identity Managerは準拠しないパスワードを(接続システムから)受諾しないことによってパスワードポリシーを適用できることを説明しています。
電子メール通知機\'94\'5cを使用すると、ユーザが行ったパスワード変更が成功しなかった場合に、Identity Managerから通知するように指定できます。
シナリオ。 NTドメインからの着信パスワードがパスワードポリシーに準拠しない場合、受け入れないようにIdentity Managerを設定しました。電子メール通知機能を有効にしました。NMASのパスワードポリシーの1つのルールで、会社名をパスワードとして使用できないよう指定されています。ユーザは、NTドメインの接続システム上でパスワードを会社名に変更します。NMASはパスワードを受け入れず、Identity Managerからユーザに、パスワードの変更が同期化されなかったことを知らせる電子メールメッセージが送信されます。
この機能を使用するには、電子メールサーバとテンプレートを設定する必要があります。次をカスタ\'83\'7dイズできます。
Identity Managerが送信するメッセージのテキスト
コピーを管理者に送信する通知
詳細については、電子メール通知の設定を参照してください。
Identity Managerを使用すると、接続システムに問い合わせて、ユーザのパスワード同期のステータスを確認できます。接続システムがパスワードの確認機\'94\'5cをサポートしている場合、パスワードが正常に同期化されているかどうかを確認できます。
パスワードを確認する方法の詳細については、ユーザのパスワード同期ステータスの確認を参照してください。
パスワードの確認をサポートしているシステムのリストについては、パスワード同期をサポートする接続システムを参照してください。
次の\'90\'7dは、接続システムがIdentity Managerにパスワードを発行する方法を示しています。
図 5-1 接続システムがIdentity Managerにパスワードを発行する方法
次の\'90\'7dは、Identity Managerが接続システムにパスワードを配布する方法を示しています。
図 5-2 Identity Managerが接続システムにパスワードを配布する方法
このドキュメントでは、iManagerでのオプションを説明するために、手順で頻繁に図を使用します。オプションが実際にデスクトップ上にどのように\'95\'5c示されるかは、ブラウザに依存します。
たとえば、Internet Explorerでは、タブを使用したiManagerのオプションが\'95\'5c示されます。
図 5-3 iManagerのタブ
しかし、Firefoxブラウザでは、iManagerのオプションはドロップダウンリストを使用して\'95\'5c示されます。
図 5-4 iManagerのドロップダウンリスト
このドキュメントでは、Firefoxブラウザでの\'95\'5c示に従って\'90\'7dを\'95\'5c示しています。