Identity Manager 支持应用程序、目录和数据库共享信息。有关特定于驱动程序的配置说明,请参见 Identity Manager 驱动程序文档。
驱动程序集是一个可容纳多个 Identity Manager 驱动程序的容器。在任何时候,一台服务器上只能有一个驱动程序集处于活动状态。您可以使用 Designer 工具来创建驱动程序集。
要支持将口令同步到身份库的功能,Identity Manager 需要驱动程序集具有口令策略。您可以使用 Identity Manager 中的默认通用口令策略包,也可以根据现有的组织要求创建口令策略。不过,口令策略必须包括 DirMXL-PasswordPolicy 对象。如果身份库中不存在该策略对象,您可以创建该对象。
Designer for Identity Manager 提供了许多设置供您创建和配置驱动程序集。这些设置可让您指定全局配置值、驱动程序集包、驱动程序集已命名口令、日志级别、跟踪级别和 Java 环境参数。有关详细信息,请参见《NetIQ Designer for Identity Manager Administration Guide》(NetIQ Designer for Identity Manager 管理指南)中的Configuring Driver Sets
(配置驱动程序集)。
必须将 DirMXL-PasswordPolicy 对象指派给身份库中的每个驱动程序集。Identity Manager 默认通用口令策略包包括此策略对象。默认策略会安装并指派通用口令策略,以控制 Identity Manager 引擎自动为驱动程序生成随机口令的方式。
或者,若要使用自定义口令策略,您必须创建口令策略对象和策略。有关详细信息,请参见在身份库中创建口令策略对象和创建自定义口令策略。
在 Designer 中打开您的项目。
在“概要”窗格中,展开您的项目。
展开包编目 > 通用以校验默认通用口令策略包是否存在。
(视情况而定)如果口令策略包尚未在 Designer 中列出,请完成以下步骤:
右键单击包编目。
选择导入包。
选择 Identity Manager 默认通用口令策略,然后单击确定。
为了确保表格中显示所有可用的包,您可能需要取消选择只显示基础包。
选择每个驱动程序集并指派口令策略。
如果身份库中不存在 DirMXL-PasswordPolicy 对象,您可以使用 Designer 或 ldapmodify 实用程序创建该对象。有关如何在 Designer 中创建此对象的详细信息,请参见《NetIQ Designer for Identity Manager Administration Guide》(NetIQ Designer for Identity Manager 管理指南)中的Configuring Driver Sets
(配置驱动程序集)。要使用 ldapmodify 实用程序,请执行以下过程:
在文本编辑器中创建具有以下属性的 LDAP 数据交换格式 (LDIF) 文件:
dn: cn=DirXML-PasswordPolicy,cn=Password Policies,cn=Security changetype: add nsimPwdRuleEnforcement: FALSE nspmSpecialAsLastCharacter: TRUE nspmSpecialAsFirstCharacter: TRUE nspmSpecialCharactersAllowed: TRUE nspmNumericAsLastCharacter: TRUE nspmNumericAsFirstCharacter: TRUE nspmNumericCharactersAllowed: TRUE nspmMaximumLength: 64 nspmConfigurationOptions: 596 passwordUniqueRequired: FALSE passwordMinimumLength: 1 passwordAllowChange: TRUE objectClass: nspmPasswordPolicy
dn: cn=DirXML-PasswordPolicy,cn=Password Policies,cn=Security changetype: modify add: nsimAssignments nsimAssignments: <driverset LDAP dn>
注:按原样复制该内容可能会在该文件中插入隐藏的特殊字符。如果在将这些属性添加到身份库时收到 ldif_record() = 17 错误讯息,请在两个 DN 之间额外插入一个空格。
要在身份库中添加 DirMXL-PasswordPolicy 对象,请执行以下操作从文件导入属性:
从包含 ldapmodify 实用程序的目录中,输入以下命令:
ldapmodify -x -c -h hostname_or_IP_address -p 389 -D "cn=admin,ou=sa,o=system" -w password -f path_to_ldif_file
例如:
ldapmodify -x -ZZ -c -h server1.test.com -p 389 -D "cn=admin,ou=sa,o=system" -w test123 -f /root/dirxmlpasswordpolicy.ldif
默认情况下,ldapmodify 实用程序位于 /opt/novell/eDirectory/bin 目录中。
您可以不使用 Identity Manager 中的默认口令策略,而是根据您组织的需要创建新的策略。口令策略可以指派给整个树结构、分区根容器、容器或特定的用户。为简化管理,NetIQ 建议在树中尽可能高的位置指派口令策略。有关详细信息,请参见《Password Management 3.3.2 Administration Guide》(Password Management 3.3.2 管理指南)中的“Creating Password Policies”(创建口令策略)。
注:您还必须将 DirXML-PasswordPolicy 对象指派给驱动程序集。有关详细信息,请参见在身份库中创建口令策略对象。
默认通知集合是一个身份库对象,它包含一套电子邮件通知模板,以及一个用于发送基于模板生成的电子邮件的 SMTP 服务器。如果身份库中不存在默认通知集合对象,请使用 Designer 创建该对象。
在 Designer 中打开您的项目。
在“概要”窗格中,展开您的项目。
右键单击身份库,然后单击身份库属性。
单击包,然后单击添加包图标。
选择所有通知模板包,然后单击确定。
单击应用以通过安装操作来安装包。
将通知模板部署到身份库。
要创建驱动程序,请使用 Designer 中提供的包管理功能。对于您打算使用的每个 Identity Manager 驱动程序,创建一个驱动程序对象,并导入驱动程序配置。驱动程序对象中包含该驱动程序的配置参数和策略。在创建驱动程序对象的过程中,安装驱动程序包,然后根据您环境的需求修改驱动程序配置。
驱动程序包包含默认策略集。在实施数据共享模型时,这些策略可以帮您顺利开始工作。在大多数时候,需要使用附带的默认配置文件设置驱动程序,然后根据环境要求修改驱动程序配置文件。创建并配置驱动程序后将其部署到身份库并加以启动。通常情况下,驱动程序创建过程涉及以下操作:
导入驱动程序包
安装驱动程序包
配置驱动程序对象
部署驱动程序对象
启动驱动程序对象
有关其他信息和特定于驱动程序的信息,请参见 Identity Manager 驱动程序网站上的相关驱动程序实施指南。
可以使用策略在特定环境中自定义流入、流出 Identity Vault 的信息流。例如,某个公司可能使用 inetorgperson 作为主用户类,而另一个公司则可能使用 User。为了处理这种情况,系统会创建策略以告知 Identity Manager 引擎一个用户在各个系统中的名称。只要在已连接系统间传递对用户产生影响的操作,Identity Manager 都将应用策略以进行上述更改。
也可利用策略创建新对象、更新特性值、执行纲要转换、定义匹配准则、维护 Identity Manager 关联以及执行其他许多操作。
NetIQ 建议使用 Designer 定义驱动程序策略,以满足您的业务需求。有关详细的策略指南,请参见《NetIQ Identity Manager - Using Designer to Create Policies》(NetIQ Identity Manager - 使用 Designer 创建策略)指南和《NetIQ Identity Manager Understanding Policies Guide》(NetIQ Identity Manager 了解策略指南)。有关 Identity Manager 使用的文档类型定义 (DTD) 的信息,请参见《Identity Manager DTD Reference》(Identity Manager DTD 参考手册)。这些资源包含:
每种可用策略的详细说明。
关于策略构建器全面详尽的用户指南和参照,包括每个条件、操作、名词和动词的示例和语法。
讨论如何使用 XSLT 样式表创建策略。