8.4 Verhindern des Zugriffs auf den eDirectory 8.8-Server durch alte Novell-Clients
In eDirectory 8.7.1 und 8.7.3 konnten Sie verhindern, dass alte Novell-Clients das NDS-Passwort festlegen oder ändern. Mit eDirectory 8.8 können Sie außerdem auch verhindern, dass diese sich bei eDirectory 8.8 anmelden und die Passwörter überprüfen.
Um die Verwendung von eDirectory 8.8 durch alte Novell-Clients zuzulassen oder zu verhindern, müssen Sie die NDS-Anmeldung entweder über iManager oder über LDAP konfigurieren.
Dieser Abschnitt enthält folgende Informationen:
8.4.1 Notwendigkeit der Verhinderung des Zugriffs auf den eDirectory 8.8-Server durch alte Novell-Clients
Bei den Passwörtern der alten Novell-Clients wird nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn Sie daher in eDirectory 8.8 und höher die Verwendung von Passwörtern, bei denen zwischen Groß- und Kleinschreibung unterschieden wird, erzwingen möchten, müssen Sie möglicherweise den Zugriff auf das Verzeichnis für alte Clients sperren.
In älteren Versionen als Novell Client 4.9 wurde die Option "Universelles Passwort" nicht unterstützt. Der Grund dafür bestand darin, dass Anmeldungs- und Passwortänderungen direkte Auswirkung auf das NDS-Passwort anstatt auf NMAS hatten. Wenn Sie nun die Option "Universelles Passwort" verwenden, kann die Änderung von Passwörtern durch alte Clients ein Problem verursachen, das als "Passwortabweichung (password drift)" bekannt ist. Dies bedeutet, dass das NDS-Passwort und das universelle Passwort nicht synchronisiert werden. Um dieses Problem zu verhindern, können Sie Passwortänderungen durch Clients älter als Version 4.9 blockieren.
Im nächsten Abschnitt, Verwalten von NDS-Anmeldekonfigurationen, finden Sie weitere Informationen darüber, wie der Zugriff auf den eDirectory 8.8-Server durch alte Clients blockiert wird.
8.4.2 Verwalten von NDS-Anmeldekonfigurationen
Durch Konfigurieren der NDS-Anmeldung können Sie den Zugriff auf den eDirectory 8.8-Server durch alte Novell-Clients zulassen oder verhindern. Sie können die NDS-Anmeldungsverwaltung über iManager 2.6 und über LDAP verwalten.
In eDirectory 8.8 und höher können Sie das Festlegen und Ändern über LDAP und iManager konfigurieren.
Dieser Abschnitt enthält Informationen zu Folgendem:
NDS-Konfigurationen auf unterschiedlichen Ebenen
Sie können NDS-Anmeldungen auf einer oder allen der folgenden Ebenen konfigurieren:
-
Partitionsebene
-
Objektebene
Wenn Sie die Konfiguration auf keiner dieser Ebenen ausdrücklich angeben, wird die NDS-Anmeldekonfiguration auf allen Ebenen aktiviert.
Die Konfiguration auf Objektebene hat immer Vorrang vor der Konfiguration auf Partitionsebene. Dies wird in der folgenden Tabelle beschrieben:
Tabelle 8-1 NDS-Konfiguration
|
Konfiguration auf Objektebene |
Konfiguration auf Partitionsebene |
Konfiguration |
|---|---|---|
|
Nicht angegeben |
Aktiviert |
Aktiviert |
|
Aktiviert |
Nicht angegeben |
Aktiviert |
|
Nicht angegeben |
Deaktiviert |
Deaktiviert |
|
Deaktiviert |
Nicht angegeben |
Deaktiviert |
|
Aktiviert |
Aktiviert |
Aktiviert |
|
Aktiviert |
Deaktiviert |
Aktiviert |
|
Deaktiviert |
Aktiviert |
Deaktiviert |
|
Deaktiviert |
Deaktiviert |
Deaktiviert |
Auf allen Ebenen (Objekt und Partition) können Sie die NDS-Anmeldung für Folgendes konfigurieren:
-
Anmelden im Verzeichnis mit einem NDS-Passwort oder Überprüfen des NDS-Passworts
-
Festlegen eines neuen Passworts und Ändern des vorhandenen Passworts
Anmelden im Verzeichnis oder Überprüfen des NDS-Passworts
Anmeldung/Überprüfung des NDS-Passworts bedeutet:
-
Anmelden im Verzeichnis mit einem NDS-Passwort.
-
Überprüfen des vorhandenen Passworts im Verzeichnis.
Anmeldung/Überprüfung des NDS-Passworts ist standardmäßig aktiviert. Wenn Sie den Schlüssel für Anmeldung/Überprüfung deaktivieren, können Sie sich nicht bei der neuesten Version von eDirectory anmelden oder die Passwörter überprüfen. Sie können die Anmeldung/Überprüfung des NDS-Passworts auf Partitions- und Objektebene aktivieren oder deaktivieren. Wenn Anmeldung/Überprüfung deaktiviert ist, können Sie nicht NDS-Passwörter festlegen oder ändern.
Sie können das NDS-Passwort für die Anmeldung/Überprüfung über iManager und LDAP konfigurieren. Weitere Informationen finden Sie in Verwalten von NDS-Konfigurationen über iManager und Verwalten von NDS-Konfigurationen über LDAP.
Festlegen eines neuen Passworts oder Ändern des NDS-Passworts
NDS-Passwortfestlegung/-änderung bedeutet
-
Festlegen eines neuen Passworts für ein Objekt.
-
Ändern des vorhandenen Passworts für ein Objekt.
Die NDS-Passwortfestlegung/-änderung ist standardmäßig aktiviert. Wenn Sie den Schlüssel für die Festlegung/Änderung deaktivieren, können Sie in eDirectory kein neues Passwort festlegen oder das vorhandene Passwort ändern. Sie können die NDS-Passwortfestlegung/-änderung auf Partitions- und Objektebene aktivieren oder deaktivieren. Wenn Anmeldung/Überprüfung deaktiviert ist, können Sie keine Passwörter festlegen/ändern.
Früher konnten Sie NDS-Passwörter nur über LDAP festlegen/ändern. Nun können Sie dies auch über iManager erledigen. Weitere Informationen finden Sie in Verwalten von NDS-Konfigurationen über iManager und Verwalten von NDS-Konfigurationen über LDAP.
Verwalten von NDS-Konfigurationen über iManager
Dieser Abschnitt enthält folgende Informationen:
Sie können den Schlüssel für die Anmeldung/Überprüfung oder den Schlüssel für die Festlegung/Änderung bei der NDS-Anmeldungskonfiguration aktivieren.
Aktivieren/Deaktivieren der NDS-Konfiguration für eine Partition
So aktivieren Sie die NDS-Anmeldung für eDirectory-Clients vor Version 8.8:
-
Klicken Sie in iManager auf die Schaltfläche
.
-
Wählen Sie > aus.
-
Wählen Sie im Plugin "Erzwingung des universellen Passworts" die Option aus.
-
Befolgen Sie die Anweisungen im Assistenten für die NDS-Konfiguration für eine Partition, um die Anmeldungs- und Passwortsverwaltung auf Partitionsebene zu konfigurieren.
Die Hilfe steht Ihnen im Assistenten jederzeit zur Verfügung.
Aktivieren/Deaktivieren der NDS-Konfiguration für ein Objekt
So aktivieren Sie die NDS-Anmeldung für eDirectory-Clients vor Version 8.8:
-
Klicken Sie in iManager auf die Schaltfläche
.
-
Wählen Sie > aus.
-
Wählen Sie im Assistenten die Option aus.
-
Befolgen Sie die Anweisungen im Assistenten für die NDS-Konfiguration für eine Partition, um die Anmeldungs- und Passwortverwaltung auf Objektebene zu konfigurieren.
Die Hilfe steht Ihnen im Assistenten jederzeit zur Verfügung.
Verwalten von NDS-Konfigurationen über LDAP
WICHTIG:Wir empfehlen Ihnen dringend, iManager für die Verwaltung von NDS-Konfigurationen zu verwenden und nicht LDAP.
Sie können NDS-Konfigurationen über LDAP anhand eines eDirectory-Attributs am Stammcontainer einer Partition oder an einem Objekt verwalten. Die Attribute sind Teil des Schemas in eDirectory 8.7.1 oder höher; sie werden nicht unter eDirectory 8.7 oder einer älteren Version unterstützt.
Die von alten Clients verwendete Methode zum Konfigurieren der NDS-Anmeldungskonfigurationen wird NDAP-Anmeldungsverwaltung genannt und die Methode für NDS-Passwortkonfigurationen wird NDAP-Passwortverwaltung genannt.
In diesem Abschnitt finden Sie Informationen zu folgenden Themen:
Aktivieren/Deaktivieren der NDS-Konfiguration für eine Partition
Verwaltung der Passwort-Anmeldung/Überprüfung
Verwenden Sie das Attribut ndapPartitionLoginMgmt, um die Verwaltung der NDS-Passwort-Anmeldung/Überprüfung für eine Partition zu aktivieren oder zu deaktivieren.
|
Attributwert ndapPartitionLoginMgmt |
Beschreibung |
|---|---|
|
Nicht vorhanden oder nicht angegeben |
NDAP-Anmeldungsverwaltung ist aktiviert. |
|
0 |
Die NDAP-Anmeldungsverwaltung ist deaktiviert. |
|
1 |
NDAP-Anmeldungsverwaltung ist aktiviert. |
NDS-Passwort festlegen und ändern
Verwenden Sie das Attribut ndapPartitionPasswordMgmt, um die Festlegung/Änderung eines NDS-Passworts für eine Partition zu aktivieren oder zu deaktivieren.
|
Attributwert ndapPartitionPasswordMgmt |
Beschreibung |
|---|---|
|
Nicht vorhanden oder nicht angegeben |
NDAP-Anmeldungsverwaltung ist deaktiviert. |
|
0 |
Die NDAP-Passwortverwaltung ist deaktiviert. |
|
1 |
NDAP-Anmeldungsverwaltung ist deaktiviert. |
Aktivieren/Deaktivieren der NDS-Konfigurationen für ein Objekt
NDS-Passwort-Anmeldung/-Überprüfung
Verwenden Sie das Attribut ndapLoginMgmt, um die Verwaltung der NDS-Anmeldung/-Überprüfung für ein Objekt zu aktivieren oder zu deaktivieren.
|
Attributwert ndapLoginMgmt |
Beschreibung |
|---|---|
|
Nicht vorhanden oder nicht angegeben |
Die NDAP-Anmeldungsverwaltung hängt von der Konfiguration auf Partitionsebene ab. |
|
0 |
Die NDAP-Anmeldungsverwaltung ist deaktiviert, wenn Sie auf Partitionsebene deaktiviert wurde. |
|
1 |
Die NDAP-Anmeldungsverwaltung ist aktiviert, unabhängig von der Konfigurationseinstellung auf Partitionsebene. |
NDS-Passwort festlegen und ändern
Verwenden Sie das Attribut ndapPasswordMgmt, um die Festlegung und Änderung eines NDS-Passworts für ein Objekt zu aktivieren oder zu deaktivieren.
|
Attributwert ndapPasswordMgmt |
Beschreibung |
|---|---|
|
Nicht vorhanden oder nicht angegeben |
Die NDAP-Passwortverwaltung hängt von der Konfiguration auf Partitionsebene ab. |
|
0 |
Die NDAP-Passwortverwaltung ist deaktiviert, wenn Sie auf Partitionsebene deaktiviert wurde. |
|
1 |
Die NDAP-Passwortverwaltung ist aktiviert, unabhängig von der Konfigurationseinstellung auf Partitionsebene. |
HINWEIS:Weitere Informationen zur Erstellung und Verwaltung von Prioritätssynchronisierungsrichtlinien finden Sie in den Abschnitten Verwenden von LDAP-Tools unter Linux
und NetIQ-Import/Export-Konversionsprogramm
im NetIQ eDirectory 8.8 SP8-Verwaltungshandbuch.
8.4.3 Partitionsoperationen
Wenn Sie eine Partition teilen, werden die NDS-Konfigurationen von der untergeordneten Partition nicht übernommen. Wenn Sie Partitionen zusammenführen, werden die NDS-Konfigurationen der übergeordneten Partition von der resultierenden Partition beibehalten.
8.4.4 Erzwingen von Passwörtern, bei denen zwischen Groß- und Kleinschreibung unterschieden wird, in einem gemischten Baum
Wenn ein Baum auf einem eDirectory 8.8-Server oder höher und einem eDirectory 8.7-Server oder früher vorhanden ist, und wenn sich die beiden Server eine Partition teilen, dann führt die Deaktivierung der NDS-Anmeldungskonfiguration zu unzuverlässigen Ergebnissen. Der 8.8-Server erzwingt die Einstellung und verhindert, dass alte Clients Zugriff auf das Verzeichnis haben. Der 8.7-Server erzwingt die Einstellungen jedoch nicht, sodass Sie über den 8.7-Server auf das Verzeichnis zugreifen können.