8.4 Interdiction aux anciens clients Novell d'accéder au serveur eDirectory 8.8
Dans eDirectory 8.7.1 et 8.7.3, vous pouviez empêcher les anciens clients Novell de définir ou modifier le mot de passe NDS. Avec eDirectory 8.8, vous pouvez également les empêcher de se connecter à eDirectory 8.8 et de vérifier les mots de passe.
Pour autoriser ou interdire l'utilisation de eDirectory 8.8 aux anciens clients Novell, vous devez configurer le login aux NDS via iManager ou LDAP.
Cette section présente les informations suivantes :
8.4.1 Nécessité d'interdire aux anciens clients Novell l'accès au serveur eDirectory 8.8
Les mots de passe des anciens clients Novell ne sont pas sensibles à la casse. Par conséquent, dans eDirectory 8.8 (ou version ultérieure), si vous souhaitez imposer l'utilisation de mots de passe respectant la casse, vous devrez peut-être bloquer l'accès des anciens clients à l'annuaire.
Les versions antérieures à Novell Client 4.9 ne prenaient pas en charge la fonction du mot de passe universel. En effet, les modifications au niveau du login et du mot de passe étaient envoyées directement aux NDS plutôt qu'à NMAS. Désormais, si vous utilisez la fonction du mot de passe universel, la modification des mots de passe via d'anciens clients peut engendrer un problème de type « password drift », ce qui signifie que le mot de passe NDS et le mot de passe universel ne sont pas synchronisés. Une solution à ce problème consiste à bloquer les modifications de mot de passe à partir des clients antérieurs à la version 4.9.
Reportez-vous à la section suivante, Gestion des configurations de login aux NDS, pour plus d'informations sur le blocage des clients existants afin qu'ils n'accèdent pas au serveur eDirectory 8.8.
8.4.2 Gestion des configurations de login aux NDS
En configurant le login aux NDS, vous pouvez autoriser ou interdire l'accès des anciens clients Novell au serveur eDirectory 8.8. Vous pouvez gérer les configurations de login aux NDS via iManager 2.6 et LDAP.
Dans eDirectory 8.8 (ou version ultérieure), vous pouvez configurer la définition et la modification des mots de passe via LDAP et iManager.
Cette section fournit les informations suivantes :
Configurations des NDS à différents niveaux
Vous pouvez configurer le login aux NDS à un des niveaux suivants, voire tous :
-
Niveau partition ;
-
Niveau objet.
Si vous ne spécifiez pas le niveau, la configuration de login aux NDS est activée à tous les niveaux.
La configuration au niveau de l'objet est toujours prioritaire sur celle au niveau de la partition, comme décrit dans le tableau suivant :
Tableau 8-1 Configuration des NDS
|
Configuration au niveau de l'objet |
Configuration au niveau de la partition |
Configuration |
|---|---|---|
|
Non spécifiée |
Activé |
Activé |
|
Activé |
Non spécifiée |
Activé |
|
Non spécifiée |
Désactivé |
Désactivé |
|
Désactivé |
Non spécifiée |
Désactivé |
|
Activé |
Activé |
Activé |
|
Activé |
Désactivé |
Activé |
|
Désactivé |
Activé |
Désactivé |
|
Désactivé |
Désactivé |
Désactivé |
À tous les niveaux (objet et partition), vous pouvez configurer le login aux NDS pour les opérations suivantes :
-
Login à l'annuaire à l'aide d'un mot de passe NDS ou vérification du mot de passe NDS ;
-
Définition d'un nouveau mot de passe et modification du mot de passe existant.
Login à l'annuaire ou vérification du mot de passe NDS
Connexion/vérification du mot de passe NDS signifie :
-
Login à l'annuaire en utilisant un mot de passe NDS ;
-
Vérification du mot de passe existant dans l'annuaire.
L'option de connexion/vérification du mot de passe NDS est activée par défaut. Si vous désactivez cette option, vous ne pourrez plus vous connecter à la dernière version d'eDirectory ni vérifier les mots de passe. Vous pouvez activer ou désactiver l'option de connexion/vérification du mot de passe NDS au niveau de la partition et de l'objet. Si elle est désactivée, vous ne pourrez pas définir ni modifier de mot de passe NDS.
Vous pouvez configurer l'option de connexion/vérification du mot de passe NDS via iManager et LDAP. Pour plus d'informations, reportez-vous aux sections Gestion des configurations des NDS via iManager et Gestion des configurations des NDS via LDAP.
Définition d'un nouveau mot de passe ou modification du mot de passe NDS
Définition/modification d'un mot de passe NDS signifie :
-
Définition d'un nouveau mot de passe pour un objet ;
-
Modification du mot de passe existant pour un objet.
L'option Définition/modification du mot de passe NDS est activée par défaut. Si vous désactivez la clé de définition/modification, vous ne pourrez plus définir un nouveau mot de passe ou modifier le mot de passe existant dans eDirectory. Vous pouvez activer ou désactiver l'option Définition/modification du mot de passe NDS au niveau de la partition et de l'objet. Si l'option de connexion/vérification est désactivée, vous ne pourrez pas définir/modifier de mot de passe.
Précédemment, vous pouviez définir/modifier les mots de passe NDS via LDAP uniquement. Désormais, vous pouvez également le faire via iManager. Pour plus d'informations, reportez-vous aux sections Gestion des configurations des NDS via iManager et Gestion des configurations des NDS via LDAP.
Gestion des configurations des NDS via iManager
Cette section présente les informations suivantes :
Vous pouvez activer la cléde login/vérification ou la cléde définition/modification dans la configuration de login aux NDS.
Activation/désactivation de la configuration des NDS pour une partition
Pour activer la connexion à NDS pour les clients utilisant une version antérieure à eDirectory 8.8 :
-
Dans iManager, cliquez sur le bouton
.
-
Sélectionnez > .
-
Dans le plug-in Application du mot de passe universel, sélectionnez .
-
Suivez les instructions de l'Assistant Configuration des NDS pour une partition afin de configurer la gestion de mot de passe et de login au niveau d'une partition.
L'Assistant fournit l'aide nécessaire tout au long de la procédure.
Activation/désactivation de la configuration des NDS pour un objet
Pour activer la connexion à NDS pour les clients utilisant une version antérieure à eDirectory 8.8 :
-
Dans iManager, cliquez sur le bouton
.
-
Sélectionnez > .
-
Dans l'Assistant, sélectionnez .
-
Suivez les instructions de l'Assistant Configuration des NDS pour un objet afin de configurer la gestion de mot de passe et de login au niveau d'un objet.
L'Assistant fournit l'aide nécessaire tout au long de la procédure.
Gestion des configurations des NDS via LDAP
IMPORTANT :il est vivement recommandé d'utiliser iManager plutôt que LDAP pour gérer les configurations des NDS.
Vous pouvez gérer les configurations des NDS via LDAP à l'aide d'un attribut eDirectory sur un conteneur racine de partition ou d'objet. Les attributs font partie du schéma dans eDirectory 8.7.1 ou versions ultérieures, mais ne sont pas pris en charge dans eDirectory 8.7 ou versions antérieures.
La méthode utilisée par les anciens clients pour définir les configurations de la connexion NDS est appelée « gestion de la connexion NDAP », et celle utilisée pour les configurations de mot de passe NDS, « gestion des mots de passe NDAP ».
Cette section comprend les informations suivantes :
Activation/désactivation de la configuration des NDS pour une partition
Gestion de la connexion/vérification du mot de passe
Utilisez l'attribut ndapPartitionLoginMgmt pour activer ou désactiver la gestion de connexion NDS et de vérification du mot de passe pour une partition.
|
Valeur de l'attribut ndapPartitionLoginMgmt |
Description |
|---|---|
|
Absente ou non spécifiée |
La gestion de la connexion NDAP est activée. |
|
0 |
La gestion de la connexion NDAP est désactivée. |
|
1 |
La gestion de la connexion NDAP est activée. |
Définition et modification du mot de passe NDS
Utilisez l'attribut ndapPartitionPasswordMgmt pour activer ou désactiver la définition et la modification d'un mot de passe NDS pour une partition.
|
Valeur de l'attribut ndapPartitionPasswordMgmt |
Description |
|---|---|
|
Absente ou non spécifiée |
La gestion de mot de passe NDAP est activée. |
|
0 |
La gestion de mot de passe NDAP est désactivée. |
|
1 |
La gestion de mot de passe NDAP est activée. |
Activation/désactivation des configurations des NDS pour un objet
Login et vérification du mot de passe NDS
Utilisez l'attribut ndapLoginMgmt pour activer ou désactiver la gestion de connexion NDS et de vérification d'un objet.
|
Valeur de l'attribut ndapLoginMgmt |
Description |
|---|---|
|
Absente ou non spécifiée |
La gestion de la connexion NDAP dépend de la configuration au niveau de la partition. |
|
0 |
La gestion de la partition NDAP est désactivée si elle l'est également au niveau de la partition. |
|
1 |
La gestion de la connexion NDAP est activée quel que soit le paramètrage défini au niveau de la partition. |
Définition et modification du mot de passe NDS
Utilisez l'attribut ndapPasswordMgmt pour activer ou désactiver la définition et la modification d'un mot de passe NDS pour un objet.
|
Valeur de l'attribut ndapPasswordMgmt |
Description |
|---|---|
|
Absente ou non spécifiée |
La gestion de mot de passe NDAP dépend de la configuration au niveau de la partition. |
|
0 |
La gestion de mot de passe NDAP est désactivée si elle l'est également au niveau de la partition. |
|
1 |
La gestion de mot de passe NDAP est activée quel que soit le paramètre de configuration au niveau de la partition. |
REMARQUE :Pour plus d'informations sur la création et la gestion des stratégies de synchronisation de priorité, reportez-vous aux sections Using LDAP Tools on Linux
(Utilisation des outils LDAP sur Linux) et NetIQ Import Conversion Export Utility
(Utilitaire NetIQ Import Conversion Export) du manuel NetIQ eDirectory 8.8 SP8 Administration Guide (Guide d'administration de NetIQ eDirectory 8.8 SP8).
8.4.3 Opérations de partition
Lorsque vous divisez une partition, la partition enfant n'hérite pas des configurations des NDS. Lorsque vous fusionnez des partitions, les configurations des NDS du parent sont conservées par la partition résultante.
8.4.4 Application de mots de passe respectant la casse dans une arborescence mixte
Si une arborescence contient un serveur eDirectory 8.8 (ou version ultérieure) et un serveur eDirectory 8.7 (ou version antérieure), et que les deux serveurs partagent une partition, la désactivation de la configuration de login aux NDS sur cette partition entraînera des résultats non fiables. Le serveur 8.8 appliquera le paramètre, empêchant ainsi les clients d'accéder à l'annuaire. Quant au serveur 8.7, il n'appliquera pas le paramètre et vous pourrez donc accéder à l'annuaire via ce serveur.