7.2 將密碼同步化 1.0 升級至 Identity Manager 提供的密碼同步化

如果您目前正在使用「密碼同步化 1.0」,請先完成本節中的指示再進行升級。

IMPORTANT:請先檢視這些指示,再安裝 Identity Manager 驅動程式 Shim。

若要從「密碼同步化 1.0」升級至 Identity Manager 提供的「密碼同步化」:

  1. 確定您的環境已做好使用「通用密碼」的準備。

    請參閱《Novell Identity Manager 3.0 管理指南》中的「準備使用 Identity Manager 密碼同步化和通用密碼」。

    啟用「通用密碼」不會自動變更兩個系統中的密碼。 只有在使用者變更其密碼後,「通用密碼」同步化才會開始運作。

    案例: 通用密碼。 在 DigitalAirlines 處,網路管理員 Sandy 啟用了「通用密碼」。 使用者 Markus 登入並變更他的密碼。 於是兩個系統都設定了 Markus 的「通用密碼」。 然而,使用者 Marie 登入後,並沒有變更她的密碼。 她繼續使用未變更的密碼進行登入。 在她變更密碼之前,系統不會為她設定「通用密碼」功能。

  2. 安裝 Identity Manager 3 驅動程式 Shim,以取代 DirXML® 1.1a 驅動程式 Shim,並立即完成Step 3

    NOTE:如果您正在執行 Identity Manager 2.0,並且使用「通用密碼」,則不必升級「密碼同步化」。

    根據《Identity Manager 3.0 安裝指南》之「安裝 Identity Manager」這一章中的描述使用安裝程式,並且只選取「Identity Manager Driver for Active Directory」。

  3. 根據透過新增規則建立與密碼同步化 1.0 的反向相容性中的描述新增新的規則至驅動程式組態,以建立「密碼同步化 1.0」的反向相容性。

    DirXML 1.1a 驅動程式 Shim 會更新 nadLoginName 屬性,而 Identity Manager 驅動程式 Shim 則不會。 因此,您必須新增規則至驅動程式組態,以更新 nadLoginName。 這能讓「密碼同步化 1.0」在您安裝驅動程式 Shim 時正常運作,以便在完成「Identity Manager 密碼同步化」的部署後,不會遺失任何密碼變更。

    IMPORTANT:如果不建立反向相容性,「密碼同步化 1.0」會繼續更新現有的使用者,但只有在您部署了「Identity Manager 密碼同步化」後,才會對新增或重新命名的使用者進行同步化。

    完成此步驟後,您就有了 Identity Manager 3.0 驅動程式 Shim 和反向相容性的規則。. 因此,驅動程式支援「密碼同步化 1.0」。

    如果您無法立即完成此程序的剩餘部份,在準備完成「Identity Manager 密碼同步化」的部署前,仍然可以繼續使用「密碼同步化 1.0」。

  4. 向每個您想讓其參與密碼同步化的驅動程式,新增對「Identity Manager 密碼同步化」的支援。

    升級現有的組態,或取代現有的組態。

    升級現有的組態 將現有的 DirXML 1.1a 驅動程式組態轉換成 Identity Manager 格式,並新增「Identity Manager 密碼同步化」所需的規則,即可升級該組態。

    以 Identity Manager 組態取代現有的組態,並再次新增反向相容性: Identity Manager 範例驅動程式組態包含規則、驅動程式資訊清單、GCV 及過濾器設定,以支援「Identity Manager 密碼同步化」。 如需輸入新驅動程式組態的相關資訊,請參閱此驅動程式指南之Section 4.0, 設定 Active Directory 驅動程式中的指示。

    • 如果您選擇取代現有的組態,請確定遵照透過新增規則建立與密碼同步化 1.0 的反向相容性中的描述,再次新增反向相容性。 Identity Manager 範例驅動程式組態不包含那些規則。
    • 確定 nadLoginName 屬性是設定為「發行者」,因為它是在先前的驅動程式組態中。

  5. 如果您要讓已連接系統提供 Identity Manager 的使用者密碼,請安裝新的「密碼同步化」過濾器並對它們進行設定。

    請參閱Section 7.5, 設定密碼同步化過濾器

  6. 必要時,設定 SSL。

    如需指示,請參閱Section 2.3, 解決安全性事宜

    驅動程式要能夠設定 Active Directory (「訂閱者」通道) 中的密碼,需要由下列其中一個條件提供安全連接:

    • 執行驅動程式的機器也就是領域控制器。
    • 執行驅動程式的機器與領域控制器在同一個領域中。
    • 在領域外的機器需要使用「簡易」方法和 SSL 設定來連接領域控制器。 只有在使用「交涉」驗證機制時,才可以使用雙向密碼同步化。

      請參閱 Microsoft 文件以獲取相關指示,例如在領域控制器上設定數位證書

  7. 建立已啟用「通用密碼」的「密碼規則」來開啟 Identity Vault 使用者帳戶的「通用密碼」。

    請參閱《Novell Identity Manager 3.0 管理指南》中的「管理密碼同步化」。

    為了簡化管理,建議您將「密碼規則」儘量指定至網路樹中的高層級。

  8. 使用驅動程式的「密碼規則」和「密碼同步化」設定來設定要用於「密碼同步化」的案例。

    請參閱《Novell Identity Manager 3.0 管理指南》中的「實作密碼同步化」。

  9. 測試密碼同步化。

  10. 「Identity Manager 密碼同步化」運作後,移除「密碼同步化 1.0」。

    1. 使用「新增/移除程式」時,可以透過移除代辦來關閉「密碼同步化 1.0」。

    2. 在驅動程式的過濾器中,將 nadLoginName 屬性變更為「忽略」。

    3. 從驅動程式組態移除會更新 nadLoginName 的反向相容性規則。

    4. 如有需要,您還可以在運作「Identity Manager 密碼同步化」後,從使用者移除 nadLoginName 屬性,因為該屬性已經不再需要。

7.2.1 透過新增規則建立與密碼同步化 1.0 的反向相容性

「密碼同步化 1.0」依賴於更新名為 nadLoginName 之屬性的驅動程式 Shim。 該屬性會指出使用者的密碼是否需要同步化。 如果新增新的使用者或變更使用者的密碼,系統就會新增或更新 nadLoginName 屬性以與之相符。

由於「Identity Manager 密碼同步化」中不需要此屬性,因此 Identity Manager 中的驅動程式 Shim 不再對其進行更新。 因此,一旦安裝了新的驅動程式 Shim,就不會更新 nadLoginName 屬性。 這說明「密碼同步化 1.0」將不再接收已新增或重新命名之使用者的通知,除非您為驅動程式組態新增反向相容性。

為了從「密碼同步化 1.0」順利地轉換到「Identity Manager 密碼同步化」,您需要有「密碼同步化 1.0」的反向相容性。

如需「密碼同步化 1.0」的反向相容性,您必須新增會更新 nadLoginName 屬性的規則。

無論是更新現有的驅動程式組態,還是以 Identity Manager 提供的新組態來取代,都必須新增這些規則。 依預設,Active Directory 的 Identity Manager 範例驅動程式組態不包含這些規則。

有三個規則是必要的,它們分別用於「訂閱者輸出轉換」、「發行者輸入轉換」和「發行者指令轉換」。 這些規則會在 Identity Manager 之名為「Active Directory 的密碼同步化 1.0 規則」的組態檔案中提供。. 下列程序說明輸入新規則並將其新增至驅動程式組態的方法。

  1. 在 iManager 中,按一下「Identity Manager 公用程式」>「輸入驅動程式」。

    「輸入驅動程式精靈」隨即開啟。

  2. 選取現有 Active Directory 驅動程式所在的驅動程式集,然後按「下一步」。

  3. 在出現的驅動程式組態清單中,捲動至「其他規則」區段,並選取「舊密碼同步化 1.0 規則:AD 和 NT 的反向相容性」,然後按「下一步」。

  4. 完成輸入提示:

    1. 選取現有的 Active Directory 驅動程式。

      選取現有的驅動程式可讓您新增必要的三個規則。 輸入程序會建立三個新規則物件,之後您必須將這些物件插入到驅動程式組態的適當位置。

    2. 指定驅動程式是否為 Active Directory 驅動程式。

      根據所選擇的系統,輸入的規則會略有不同。

    3. 瀏覽並選取與所要更新之驅動程式相關聯的 nadDomain 物件。

      此物件一般可以在「驅動程式」物件下找到。

    4. (僅限 Active Directory) 指定映射到 Active Directory 屬性 AMAccountNam 之 eDirectory™ 屬性的名稱。

      您可以在驅動程式組態的「網要映射」規則中找到此資訊。

      NOTE:如果 sAMAccountName 沒有映射到任何 eDirectory 屬性,則將 sAMAccountName 映射到 DirXML-ADAlias 名稱。

  5. 按「下一步」。

    由於您選擇了現有的驅動程式,會出現一個網頁要您決定驅動程式的更新方式。 在此情況下,您只需更新選定的規則即可。

  6. 選取「僅更新驅動程式中選定的規則」,並選取所列之三個規則的核取方塊。

  7. 按「下一步」,然後按一下「完成」,以完成精靈。

    此時,已在「驅動程式」物件下建立三個新的規則做為「規則」物件,但它們還不是驅動程式組態的一部份。 若要連結它們,您必須在「訂閱者」和「發行者」通道上之驅動程式組態中的正確位置,手動插入每個規則。

  8. 將這三個新規則一一插入現有驅動程式組態上的正確位置中。

    如果驅動程式組態的任一部份都有多個規則,請確定這些新的規則是列在最後。

    Table 7-2 規則

    規則物件名稱

    插入規則的位置

    PassSync(Pub) 指令轉換規則

    發行者通道上的指令轉換規則

    PassSync(Pub) 輸入轉換規則

    發行者通道上的輸入轉換規則

    PassSync(Sub) 輸出轉換規則

    訂閱者通道上的輸出轉換規則

    針對每個規則重複步驟 8a 至 8f。

    1. 按一下「Identity Manager」>「Identity Manager 概觀」。

    2. 選取正在更新之驅動程式的驅動程式集。

    3. 按一下您剛剛更新的驅動程式。

      即會開啟一個頁面,顯示驅動程式組態的圖形化表示。

    4. 在要新增三個新規則之一的位置上按一下圖示。

    5. 按一下「插入」,以新增新的規則。

      在所顯示的「插入」頁面中,按一下「使用現有規則」,瀏覽新的規則物件,然後按一下「確定」。

    6. 如果這三個新規則中的任何一個在清單中都有多個規則,則使用箭頭按鈕 向上箭頭 向下箭頭,將新的規則向下移至清單結尾。

  9. 針對所有 Active Directory 驅動程式重複步驟 1 至 9。

如果需要在「發行者」通道的「網要映射」規則中,將 sAMAccountName 映射至 DirXML-ADAliasName,則遵循此程序。

WARNING:如果 sAMAccountName 映射至另一個屬性,遵循此程序會使規則失效。 此規則會停止同步化密碼。 確定您在Step 4.d中輸入的是正確的屬性。

  1. 在 iManager 中,選取「Identity Manager > Identity Manager 概觀」。

  2. 瀏覽至包含 Active Director 驅動程式的「驅動程式集」物件,並將其選取,然後按「下一步」。

  3. 按一下驅動程式圖示,然後按一下「發行者」通道的「網要映射規則」圖示。

  4. 按一下「編輯」。

  5. 選取「使用者」類別,然後按一下「屬性」。

  6. 按一下「eDirectory 屬性」下方的下拉式清單,然後瀏覽至「DirXML-ADAliasName」並將其選取。

  7. 按一下「應用程式屬性」下方的下拉式清單,然後瀏覽至「sAMAccountName」並將其選取。

  8. 按一下「新增」,然後按一下「確定」。

  9. 選取「群組」類別,然後按一下「屬性」。

  10. 針對「群組」類別重複步驟 6 至 8。

  11. 按兩次「確定」。

在完成此程序後,Active Directory 驅動程式的驅動程式組態會與「密碼同步化 1.0」反向相容。這表示「密碼同步化」會繼續如往常一樣運作,可以讓您在方便的時候升級至「Identity Manager 密碼同步化」。