PasswordSync についてのよくある質問
この節では、PasswordSync についてのよくある質問に対する回答を示します。
質問:Java Messaging Service なしで PasswordSync を実装することはできますか。
回答:はい。 ただし、この場合、JMS を使用したパスワード変更イベントの追跡を行えなくなります。
JMS なしで PasswordSync を実装するには、次のフラグを指定して設定アプリケーションを実行します。
Configure.exe -direct
-direct フラグを指定すると、設定アプリケーションは「User」タブを表示します。
JMS なしで PasswordSync を実装する場合、JMS リスナーアダプタを作成する必要はありません。したがって、「アプリケーションサーバーへの PasswordSync の配備」に示した手順は省略してください。通知を設定したい場合、ユーザーパスワード変更ワークフローを変更する必要がある場合があります。
注 –
これ以降、-direct フラグを指定せずに設定アプリケーションを実行する場合は、JMS が設定されている必要があります。-direct フラグを指定してアプリケーションを再実行すると、再度 JMS を使わずに PasswordSync を使用できます。
質問:
PasswordSync は、カスタムパスワードポリシーを施行するために使われるほかの Windows パスワードフィルタと組み合わせて使用できますか。
回答:はい。PasswordSync はほかの _WINDOWS_ パスワードフィルタと組み合わせて使用できます。ただし PasswordSync は、レジストリの「Notification Package」エントリの値で列挙されるパスワードフィルタのうち最後のフィルタである必要があります。
次のレジストリパスを使用する必要があります。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages (value of type REG_MULTI_SZ)
デフォルトでは、インストーラは Identity Manager のパスワードインターセプトをリストの最後に置きますが、インストール後にカスタムのパスワードフィルタをインストールした場合、lhpwic を「Notification Packages」リストの最後に移動する必要があります。
PasswordSync は、ほかの Identity Manager パスワードポリシーと組み合わせて使用できます。Identity Manager サーバーの側でポリシーがチェックされるとき、パスワード同期をほかのリソースにプッシュするために、すべてのリソースのパスワードポリシーが基準を満たす必要があります。結果として、Windows のネイティブパスワードポリシーの制約度を、Identity Manager で定義されるもっとも制約的なパスワードポリシーと同等にすることが推奨されます。
注 –
パスワードインターセプト DLL はパスワードポリシーを一切施行しません。
質問:
PasswordSync サーブレットを、Identity Manager と異なるアプリケーションサーバー上にインストールできますか。
回答:はい。PasswordSync サーブレットは、JMS アプリケーションが必要とするすべての jar ファイルに加えて、spml.jar および idmcommon.jar の jar ファイルを必要とします。
質問:PasswordSync サービスは、lh サーバーにクリアテキストでパスワードを送信しますか。
回答:ベストプラクティスは PasswordSync を SSL 上で実行することですが、機密データはすべて、Identity Manager サーバーに送信する前に暗号化されます。
詳細については、「SSL に関する PasswordSync の設定」を参照してください。
質問:パスワード変更によって、com.waveset.exception.ItemNotLocked が発生する場合があるのはなぜですか。
回答:PasswordSync を有効にすると、(ユーザーインタフェースから開始されたものも含めた) パスワード変更の結果としてリソース上でパスワード変更が発生し、それによってリソースが Identity Manager と通信するためです。
passwordSyncThreshold ワークフロー変数が正しく設定されている場合、Identity Manager はユーザーオブジェクトを検証し、パスワード変更が処理済みかどうかを判定します。しかしながら、ユーザーまたは管理者が同じユーザーに対して同時に別のパスワード変更を行う場合、ユーザーオブジェクトがロックされている可能性があります。
- © 2010, Oracle Corporation and/or its affiliates