9.2 创建和配置驱动程序集

驱动程序集是一个可容纳多个 Identity Manager 驱动程序的容器。每次只能将一个驱动程序集关联到任一服务器。您可以使用 Designer 工具来创建驱动程序集。如果已将某个服务器关联到某个驱动程序集,然后将该服务器指派到新的驱动程序集,则会从原始驱动程序集中去除该服务器。

要支持将口令同步到身份库的功能,Identity Manager 需要驱动程序集具有口令策略。您可以使用 Identity Manager 中的默认通用口令策略包,也可以根据现有的组织要求创建口令策略。不过,口令策略必须包括 DirMXL-PasswordPolicy 对象。如果身份库中不存在该策略对象,您可以创建该对象。

9.2.1 创建驱动程序集

Designer for Identity Manager 提供了许多设置供您创建和配置驱动程序集。这些设置可让您指定全局配置值、驱动程序集包、驱动程序集已命名口令、日志级别、跟踪级别和 Java 环境参数。有关详细信息,请参见《NetIQ Designer for Identity Manager Administration Guide》(NetIQ Designer for Identity Manager 管理指南)中的Configuring Driver Sets(配置驱动程序集)。

9.2.2 将默认口令策略指派给驱动程序集

必须将 DirMXL-PasswordPolicy 对象指派给身份库中的每个驱动程序集。Identity Manager 默认通用口令策略包包括此策略对象。默认策略会安装并指派通用口令策略,以控制 Identity Manager 引擎自动为驱动程序生成随机口令的方式。

或者,若要使用自定义口令策略,您必须创建口令策略对象和策略。有关详细信息,请参见在身份库中创建口令策略对象创建自定义口令策略

  1. 在 Designer 中打开您的项目。

  2. 在“概要”窗格中,展开您的项目。

  3. 展开包编目 > 通用以校验默认通用口令策略包是否存在。

  4. (视情况而定)如果口令策略包尚未在 Designer 中列出,请完成以下步骤:

    1. 右键单击包编目

    2. 选择导入包

    3. 选择 Identity Manager 默认通用口令策略,然后单击确定

      为了确保表格中显示所有可用的包,您可能需要取消选择只显示基础包

  5. 选择每个驱动程序集并指派口令策略。

9.2.3 在身份库中创建口令策略对象

如果身份库中不存在 DirMXL-PasswordPolicy 对象,您可以使用 Designer 或 ldapmodify 实用程序创建该对象。有关如何在 Designer 中创建此对象的详细信息,请参见《NetIQ Designer for Identity Manager Administration Guide》(NetIQ Designer for Identity Manager 管理指南)中的Configuring Driver Sets(配置驱动程序集)。要使用 ldapmodify 实用程序,请执行以下过程:

  1. 在文本编辑器中创建具有以下属性的 LDAP 数据交换格式 (LDIF) 文件:

    dn: cn=DirXML-PasswordPolicy,cn=Password Policies,cn=Security 
    changetype: add 
    nsimPwdRuleEnforcement: FALSE 
    nspmSpecialAsLastCharacter: TRUE 
    nspmSpecialAsFirstCharacter: TRUE 
    nspmSpecialCharactersAllowed: TRUE 
    nspmNumericAsLastCharacter: TRUE 
    nspmNumericAsFirstCharacter: TRUE 
    nspmNumericCharactersAllowed: TRUE 
    nspmMaximumLength: 64 
    nspmConfigurationOptions: 596 
    passwordUniqueRequired: FALSE 
    passwordMinimumLength: 1 
    passwordAllowChange: TRUE 
    objectClass: nspmPasswordPolicy 
    dn: cn=DirXML-PasswordPolicy,cn=Password Policies,cn=Security 
    changetype: modify 
    add: nsimAssignments 
    nsimAssignments: <driverset LDAP dn>

    注:按原样复制该内容可能会在该文件中插入隐藏的特殊字符。如果在将这些属性添加到身份库时收到 ldif_record() = 17 错误讯息,请在两个 DN 之间额外插入一个空格。

  2. 要在身份库中添加 DirMXL-PasswordPolicy 对象,请从 Identity Manager 安装包的 install/utilities 目录运行 ldapmodify.exe,从文件中导入属性。

9.2.4 创建自定义口令策略

您可以不使用 Identity Manager 中的默认口令策略,而是根据您组织的需要创建新的策略。口令策略可以指派给整个树结构、分区根容器、容器或特定的用户。为简化管理,NetIQ 建议在树中尽可能高的位置指派口令策略。有关详细信息,请参见《Password Management 3.3.2 Administration Guide》(Password Management 3.3.2 管理指南)中的“Creating Password Policies”(创建口令策略)。

注:您还必须将 DirXML-PasswordPolicy 对象指派给驱动程序集。有关详细信息,请参见在身份库中创建口令策略对象

9.2.5 在身份库中创建默认通知集合对象

默认通知集合是一个身份库对象,它包含一套电子邮件通知模板,以及一个用于发送基于模板生成的电子邮件的 SMTP 服务器。如果身份库中不存在默认通知集合对象,请使用 Designer 创建该对象。

  1. 在 Designer 中打开您的项目。

  2. 在“概要”窗格中,展开您的项目。

  3. 右键单击身份库,然后单击身份库属性

  4. 单击,然后单击添加包图标。

  5. 选择所有通知模板包,然后单击确定

  6. 单击应用以通过安装操作来安装包。

  7. 将通知模板部署到身份库。