Cette section décrit comment déployer et gérer le mot de passe universel.
Suivez les instructions des sections 2.1 à 2.8 pour déployer le mot de passe universel :
Si vous répondez par l'affirmative à toutes les questions suivantes, vous devriez prévoir de déployer et d'utiliser un mot de passe universel :
Avez-vous l'intention de permettre à des utilisateurs internationaux d'accéder aux services Web de NetIQ ou d'utiliser le client Novell pour Windows pour accéder aux services de fichiers et d'impression Novell ?
Avez-vous l'intention d'utiliser NetIQ Identity Manager, avec sa stratégie de mot de passe étendu et ses fonctionnalités de synchronisation des mots de passe ?
NMAS compte stocker les stratégies globales dans l'arborescence eDirectory, qui est le domaine de sécurité effectif. Les règles de sécurité doivent être disponibles sur tous les serveurs de l'arborescence.
NMAS place les stratégies d'authentification et les données de configuration des méthodes de connexion dans le conteneur de sécurité créé au niveau de la partition [Racine]. Ces informations doivent être facilement accessibles à tous les serveurs utilisant NMAS. Le conteneur Sécurité a pour but d'héberger les stratégies globales relatives aux propriétés de sécurité telles que la connexion, l'authentification et la gestion des clés.
eDirectory 9.0 assure le caching du conteneur de sécurité. Cette fonctionnalité met en cache les données du conteneur de sécurité sur des serveurs locaux pour que NMAS ne soit pas obligé d'accéder au conteneur de sécurité à chaque tentative de connexion. Reportez-vous à la Section 24.1.5, Caching des objets Sécurité.
Avec NMAS et eDirectory 8.8.x et versions ultérieures, il est recommandé de créer le conteneur de sécurité en tant que partition distincte et de le répliquer largement. Cette partition doit être répliquée en tant que partition Lecture/écriture uniquement sur les serveurs de votre arborescence qui sont approuvés.
AVERTISSEMENT :étant donné que le conteneur Sécurité contient des règles globales, soyez attentifs à l'emplacement des répliques accessibles en écriture car ces serveurs peuvent modifier les règles de sécurité générales spécifiées dans l'arborescence eDirectory. Pour que les utilisateurs puissent se connecter avec NMAS, les répliques des objets Utilisateur et du conteneur de sécurité doivent se trouver sur le serveur NMAS.
Pour plus d'informations, consultez le document TID3393169.
Vous devez vous assurer que les serveurs de clés de domaine SDI respectent la configuration minimale requise et disposent de clés cohérentes pour la distribution et l'utilisation par d'autres serveurs au sein de l'arborescence. Ces étapes sont cruciales. Si vous ne les respectez pas comme indiqué, de sérieux problèmes de mot de passe risquent de survenir sur votre système lorsque vous activez le mot de passe universel.
À l'invite de commande du serveur Windows, exécutez sdidiag.exe.
Le fichier sdidiag.exe n'est pas fourni avec eDirectory. Une fois installé, exécutez sdidiag.exe. Le fichier est livré avec un correctif de sécurité () associé avec le document TID 2974092.
Connectez-vous en tant qu'administrateur en entrant le serveur (contexte complet), le nom de l'arborescence, le nom d'utilisateur et le mot de passe.
Assurez-vous que tous vos serveurs utilisent des clés 168 bits pour la clé d'arborescence 3DES et des clés 256 bits pour la clé d'arborescence AES 256 bits.
Suivez les instructions fournies dans le document TID 3364214 pour vous assurer que cette condition est satisfaite.
Entrez la commande CHECK -v >> dossier_installation\sdinotes.txt.
Les résultats de la commande CHECK s'affichent à l'écran.
Si aucun problème n'est détecté, accédez à l'Étape 4 : vérifiez la cohérence des clés SDI pour l'arborescence.
ou
Suivez les instructions consignées dans le fichier dossier_installation\sdinotes.txt pour résoudre les éventuels problèmes de configuration et de clé, puis passez à l'Étape 6.
Vérifiez que les serveurs de clés de domaine SDI exécutent NICI 3.0.
Si la version est antérieure, mettez à niveau eDirectory vers la version 9.0, ce qui mettra NICI à niveau vers la version 3.0 :
(Facultatif) Exécutez de nouveau la commande SDIDIAG CHECK. Reportez-vous à l'Étape 4.
Pour plus d'informations sur l'utilisation de la commande SDIDIAG, reportez-vous au document TID 3364214.
Pour supprimer un serveur de clés de domaine SDI, procédez comme suit :
Le fichier sdidiag.exe n'est pas fourni avec eDirectory. Il peut être téléchargé à partir du site de téléchargement Novell. Une fois téléchargé, exécutez le fichier sdidiag.exe.
Connectez-vous en tant qu'administrateur doté de droits de gestion sur le conteneur de sécurité et les objets W0, KAP et Sécurité en indiquant le serveur (contexte complet), le nom de l'arborescence, le nom d'utilisateur et le mot de passe.
Entrez la commande RS -s nom_serveur.
Par exemple, si server1 existe dans le conteneur PRV de l'organisation Novell de l'arborescence Novell_Inc, entrez la valeur .server1.PRV.Novell.Novell_Inc. pour le nom du serveur.
Pour ajouter un serveur de clés de domaine SDI, procédez comme suit :
À partir d'un serveur Windows, ouvrez une fenêtre d'invite de commande et exécutez sdidiag.exe.
Connectez-vous en tant qu'administrateur en entrant le serveur (contexte complet), le nom de l'arborescence, le nom d'utilisateur et le mot de passe.
Entrez la commande AS -s nom_serveur.
Par exemple, si server1 existe dans le conteneur PRV de l'organisation Novell de l'arborescence Novell_Inc, entrez la valeur .server1.PRV.Novell.Novell_Inc. pour le nom du serveur.
Vérifiez que toutes les instances de clés cryptographiques sont cohérentes dans toute l'arborescence. Pour vous assurer que chaque serveur dispose des clés cryptographiques nécessaires pour communiquer en toute sécurité avec les autres serveurs de l'arborescence :
À l'invite de commande du serveur Windows, exécutez sdidiag.exe.
Entrez la commande CHECK -v >> sys:system\sdinotes.txt -n DN_conteneur.
Par exemple, si l'utilisateur Bob existe dans le conteneur USR de l'organisation Acme de l'arborescence Acme_Inc, entrez la valeur .USR.Acme.Acme_Inc. pour le nom distinctif (DN) du conteneur.
Les éventuels problèmes de cohérence de clés entre les différents serveurs et serveurs de domaines de clé sont alors signalés.
Les résultats de la commande CHECK s'affichent à l'écran.
Si aucun problème n'est signalé, vous pouvez activer le mot de passe universel. Allez à l'Étape 5 : activez le mot de passe universel.
ou
Si des problèmes sont signalés, suivez les instructions fournies dans le fichier sdinotes.txt.
Dans la plupart des cas, vous êtes invité à exécuter la commande RESYNC -T. Cette commande peut être répétée chaque fois que NMAS signale des erreurs -1418 ou -1460 au cours de l'authentification par mot de passe universel.
Pour plus d'informations sur les options et opérations SDIDIAG, reportez-vous aux documents suivants :
Démarrez NetIQ iManager.
Cliquez sur Rôles et tâches > Mots de passe > Stratégie de mot de passe.
Démarrez l'assistant de stratégie de mot de passe en cliquant sur Nouveau.
Entrez un nom pour la stratégie et cliquez sur Suivant.
Sélectionnez Oui pour activer le mot de passe universel.
Fermez l'assistant de stratégie de mot de passe.
IMPORTANT :Si vous assignez une règle à un conteneur qui est la racine d'une partition, l'assignation de règle est héritée par tous les utilisateurs de cette partition, y compris ceux présents dans les sous-conteneurs. Pour déterminer si un conteneur est la racine d'une partition, recherchez le conteneur et vérifiez la présence d'une icône de partition à proximité.
Si vous assignez une stratégie à un conteneur qui n'est pas la racine d'une partition, l'assignation de stratégie est héritée uniquement par les utilisateurs de ce conteneur spécifique. Elle n'est pas héritée par les utilisateurs des sous-conteneurs. Si vous souhaitez que la stratégie s'applique à tous les utilisateurs sous un conteneur qui n'est pas une racine de partition, vous devez assigner la stratégie à chaque sous-conteneur individuellement.
Le mot de passe universel est conçu pour assurer une compatibilité avec les versions précédentes des services existants. Par défaut, les mots de passe modifiés grâce à ce service peuvent être synchronisés avec les mots de passe simples et NDS sur l'objet Utilisateur. Vous pouvez choisir les mots de passe à synchroniser à l'aide du plug-in de gestion des mots de passe.
La seule exception est l'utilisation des caractères internationaux dans les mots de passe. Étant donné que les traductions de caractères sont différentes pour les clients plus anciens, les valeurs actuelles ne correspondent plus. Il est recommandé de mettre à niveau tous les logiciels Client Novell pour garantir le bon fonctionnement des mots internationaux à l'échelle du système.
L'infrastructure Novell NetWare Storage Management Services (SMS) est utilisée pour les applications de sauvegarde et de restauration NetIQ et de fabricants tiers. Les mots de passe système utilisés par ces produits NetIQ et de fabricants tiers ne peuvent pas contenir de caractères étendus s'ils doivent fonctionner dans un environnement mixte.
REMARQUE :reportez-vous au document TID 3065822 pour identifier les applications et services compatibles avec le mot de passe universel, ainsi que les applications et services compatibles avec les caractères étendus. De nombreux services et applications peuvent utiliser des caractères étendus sans mot de passe universel.
Vous pouvez utiliser les méthodes suivantes pour administrer le mot de passe universel :
iManager (recommandé) : l'administration des mots de passe à l'aide de NetIQ iManager entraîne automatiquement la synchronisation du mot de passe universel avec les mots de passe simples et NDS pour assurer la compatibilité avec les versions précédentes. La tâche NMAS dans iManager autorise la gestion granulaire des différents mots de passe et méthodes d'authentification installés et configurés sur le système.
Dans iManager avec le plug-in de gestion des mots de passe, vous pouvez utiliser des stratégies de mot de passe pour spécifier comment le mot de passe universel est synchronisé avec les mots de passe NDS, simples et de distribution. En outre, une tâche iManager permet à l'administrateur de définir un mot de passe universel pour un utilisateur.
Applications de fabricants tiers : des applications de fabricants tiers écrites dans les bibliothèques multi plates-formes NetIQ et qui assurent une gestion des mots de passe permettent également de définir le mot de passe universel et de synchroniser les autres mots de passe si les bibliothèques plus récentes sont installées sur le client Novell pour Windows.
Si vous désactivez le mot de passe NDS d'un utilisateur, il prend une valeur arbitraire inconnue de l'utilisateur. La liste suivante décrit comment certaines méthodes de connexion gèrent ce changement :
La méthode de mot de passe simple n'est pas désactivée si le mot de passe NDS est désactivé. La méthode de mot de passe simple utilise le mot de passe universel s'il est activé et disponible. Dans le cas contraire, elle utilise le mot de passe simple. Si le mot de passe universel est activé, mais pas défini, la méthode de mot de passe simple définit le mot de passe universel avec le mot de passe simple.
La méthode de mot de passe étendu n'est pas désactivée si le mot de passe NDS est désactivé. Le mot de passe étendu n'utilise pas le mot de passe universel pour la connexion.
La méthode de mot de passe NDS (mot de passe universel) n'est pas désactivée si le mot de passe NDS est désactivé. La méthode de mot de passe NDS utilise le mot de passe universel s'il est activé et disponible. Dans le cas contraire, elle utilise le mot de passe NDS. Si le mot de passe universel est activé, mais pas défini, la méthode de mot de passe NDS définit le mot de passe universel avec le mot de passe NDS.
Lorsqu'un administrateur modifie le mot de passe universel d'un utilisateur, par exemple lors de la création d'un nouvel utilisateur ou en réponse à un appel du service d'assistance, le mot de passe précédent expire automatiquement pour des raisons de sécurité, si vous avez activé le paramètre d'expiration des mots de passe dans la stratégie de mot de passe. Il s'agit du paramètre Number of days before password expires (0-365 (Nombre de jours avant l'expiration du mot de passe (0-365) dans la stratégie de mot de passe sous Advanced Password Rules (Règles de mot de passe avancées). Dans cette fonction, ce n'est pas le nombre de jours défini qui est important, c'est son activation.
REMARQUE :pour remplacer ce comportement, sélectionnez l'option Do not expire the user's password when the administrator sets the password (Ne pas faire expirer le mot de passe de l'utilisateur lorsque l'administrateur l'a défini) dans la stratégie de mot de passe.
Si vous créez une stratégie de mot de passe, activez le mot de passe universel et activez les règles de mot de passe avancées, ces dernières sont appliquées à la place des éventuels paramètres de mot de passe existants pour le mot de passe NDS. Les anciens paramètres de mot de passe sont ignorés. La fusion ou la copie des anciens paramètres est automatique lorsque vous créez des stratégies de mot de passe.
Par exemple, si vous avez paramétré le nombre de connexions gracieuses que vous utilisez avec le mot de passe NDS, lorsque vous activez le mot de passe universel, vous devez reparamétrer les connexions gracieuses dans les règles de mot de passe avancées de la stratégie de mot de passe.
NMAS remplace le paramètre de mot de passe NDS de l'objet Utilisateur avec les paramètres de stratégie de mot de passe correspondants. Par exemple, si le nombre de connexions gracieuses de l'objet Utilisateur correspond à 4, et à 5 pour la stratégie de mot de passe, lorsque l'utilisateur se connecte ou modifie le mot de passe, le nombre de connexions gracieuses de l'objet Utilisateur devient 5.