のヒントを参照してください。セクション 5.8, パスワード同期の実装
NMASに通常パスワードログインメ\'83\'5cッドがインストールされていることを確認します。
eDirectoryログインメ\'83\'5cッド、またはIdentity Managerにより同期化する接続システムのパスワードにNMASでパスワードポリシーを適用するサーバに、ツリーのルートのコピーがあることを確認します。
パスワード同期を必要とするユーザが、パスワードを同期するドライバのある同じサーバに複製されていることを確認します。他のドライバの機\'94\'5cと同様に、ドライバは、同じサーバの、\'83\'7dスタレプリカまたは読み書き可\'94\'5cレプリカに存在するユーザのみを管理できます。
Webサーバと識別\'83\'7bールトとの間でSSLが適切に設定されていることを確認します。
ユーザを最初に作成したときにパスワードが準拠していないというエラーが\'95\'5c示されたにもかかわらず、パスワードが識別\'83\'7bールトに正しく設定されている場合は、ドライバポリシーのデフォルトのパスワードが、ユーザに適用されるパスワードポリシーに準拠していない可\'94\'5c性があります。
次のシナリオでは、Active Directoryドライバが使用されています。しかし、他のドライバでも同じ問題が発生する場合があります。
初期パスワードの提供。 Active Directory内のユーザに一致させるために、ドライバにより識別ボールトに新しいユーザオブジェクトが作成されるときに、Active Directoryドライバにユーザの初期パスワードを提供させたいとします。Active Directoryドライバのサンプル環境設定は、初期パスワードをユーザの追加とは別の操作として送信します。さらに、Active Directoryからパスワードが提供されない場合はユーザのデフォルトパスワードを提供するポリシーも含んでいます。
ユーザの追加とパスワードの設定は別々に実行されるため、一時的ではあっても、新しいユーザはデフォルトのパスワードを常に受信します。ユーザを追加後すぐにActive Directoryドライバがパスワードを送信するため、デフォルトのパスワードはすぐに更新されます。デフォルトパスワードがユーザの識別\'83\'7bールトのパスワードポリシーに準拠しない場合、エラーが\'95\'5c示されます。
たとえば、ユーザの名字を使用して作成されたパスワードがパスワードポリシーに対して短すぎる場合は、パスワードが短すぎることを示す-216エラーが表示されます。ただし、その後Active Directoryがポリシーに準拠する初期パスワードを送信した場合には、状況はすぐに解決されます。
使用しているドライバにかかわらず、ユーザオブジェクトを作成する接続システムが初期パスワードを提供するようにするには、次のいずれかのアクションを実行することを検討します。これらの方法は、初期パスワードがAddイベントに付属しないけれども、それ以降のイベントとして提供される場合には、特に重要です。
組織のために識別ボールトで定義されたパスワードポリシーにデフォルトのパスワードが準拠するように、デフォルトのパスワードを作成する発行者チャネルのポリシーを変更します。([
Password Policies]を選択します。)初期パスワードが認証されたアプリケーションから提供されると、デフォルトパスワードを上書きします。
このオプションを使用することをお勧めします。これは、システム内で高レベルのセキュリティを維持するために、デフォルトのパスワードポリシーを用意することが推奨されているためです。
発行者チャネルで、デフォルトのパスワードを作成するポリシーを削除します。サンプルの環境設定では、このポリシーはコマンド変換ポリシーセットにより提供されます。識別ボールトでは、パスワードのないユーザも追加できます。このオプションは、新しく作成されたユーザオブジェクトについてのパスワードが最終的に加入者チャネルから提供されることを想定しており、ユーザオブジェクトは一時的にはパスワードなしで存在できます。
パスワードポリシーはツリー中心で割り当てられます。一方、パスワード同期はドライバごとに設定されます。ドライバはサーバごとにインストールされ、マスタレプリカまたは読み書き可能レプリカのユーザのみ管理できます。
パスワード同期により期待される結果を取得するには、パスワード同期を実行するサーバにあるマスタレプリカまたは読み書き可能レプリカのコンテナが、ユニバーサルパスワードが有効なパスワードポリシーを割り当てたコンテナと一致するようにします。パーティションルートコンテナにパスワードポリシーを割り当てることによって、そのコンテナとサブコンテナ内のすべてのユーザに確実にパスワードポリシーが割り当てられます。
DSTraceの便利なコ\'83\'7dンド