PasswordSync

本章介绍 Sun Java™ System Identity Manager PasswordSync 的功能，该功能使 Windows 客户机能够更改 Windows Active Directory 和 Windows NT 域中的密码，从而使更改与 Identity Manager 同步。

什么是 PasswordSync？

通过 PasswordSync 功能，可以使在 Windows Active Directory 和 Windows NT 域上更改的用户密码与 Identity Manager 中定义的其他资源保持同步。必须在与 Identity Manager 同步的域中每个域控制器上安装 PasswordSync。必须将 PasswordSync 与 Identity Manager 分开安装。

在域控制器上安装 PasswordSync 之后，该控制器将与作为 Java 通讯服务 (Java Messaging Service, JMS) 客户机代理的 Servlet 进行通信。该 Servlet 接着与启用 JMS 的信息队列通信。JMS 侦听器资源适配器从队列中删除消息并使用工作流任务处理密码更改。密码将在用户所有的分配资源中得到更新，并且 SMTP 服务器发送电子邮件通知用户密码更改的状态。

安装 PasswordSync 之前

只能在 Windows 2000、Windows 2003 和 Windows NT 域控制器上设置 PasswordSync 功能。必须在与 Identity Manager 同步的域中每个域控制器上安装 PasswordSync。

PasswordSync 需要具有与 JMS 服务器的连通性。有关 JMS 系统要求的信息，请参见《Identity Manager 资源参考资料》中针对 JMS 侦听器资源适配器的文档。

必须在每个域控制器上安装 Microsoft .NET 1.1 或更高版本

必须删除 PasswordSync 的任何先前版本

安装 Microsoft .NET 1.1

要使用 PasswordSync，必须安装 Microsoft .NET 1.1 或更高版本的 Framework。
如果您使用 Windows 2003 域控制器，则默认安装此 Framework。如果您使用 Windows 2000 或 Windows NT 域控制器，则可以从 Microsoft 下载中心下载此
工具包：

Microsoft .NET 1.1 Framework 需要 Internet Explorer 5.01 或更高版本。
Internet Explorer 5.0（与 Windows 2000 SP4 捆绑）版本太低。

在关键字搜索字段中输入 NET Framework 1.1 Redistributable 可快速找到框架工具包。

该工具包将安装 .NET 1.1 Framework。

卸载 PasswordSync 的先前版本

安装更高版本之前，必须先删除先前安装的任何 PasswordSync 实例。

如果先前安装的 PasswordSync 版本支持 IdmPwSync.msi 安装程序，可以使用标准的 Windows“添加/删除程序”实用程序来删除此程序。

如果先前安装的 PasswordSync 版本不支持 IdmPwSync.msi 安装程序，则可以使用 InstallAnywhere 卸载程序来删除此程序。

安装 PasswordSync

从 Identity Manager 安装介质中，单击 pwsync\IdmPwSync.msi 图标。将显示 "Welcome" 窗口

安装向导提供了以下导航按钮：

Cancel：随时可以单击以退出向导，而不保存任何更改。

Back：单击以返回上一个对话框。

Next：单击以前进到下一个对话框。

阅读 "Welcome" 屏幕上的信息，然后单击 "Next" 显示 "Choose Setup Type PasswordSync Configuration" 窗口。
PasswordSync 安装

单击 Typical 或 Complete 安装完整的 PasswordSync 软件包，或者单击 Custom 控制安装哪些软件包组件。

单击 Install 安装该产品。PasswordSync 安装成功后，将显示以下窗口。

单击 Finish 完成安装过程。确保选择了 Launch Configuration Application，以便可以开始配置 PasswordSync。有关该过程的详细信息，请参见“配置 PasswordSync”。


安装的组件	描述
%$INSTALL_DIR$%\configure.exe	PasswordSync 配置程序。
%$INSTALL_DIR$%\configure.exe.manifest	用于配置程序的数据文件。
%$INSTALL_DIR$%\DotNetWrapper.dll	处理 .NET SOAP 通信的 DLL。
%$INSTALL_DIR$%\passwordsyncmsgs.dll	处理 PasswordSync 消息的 DLL。
%SYSTEMROOT%\SYSTEM32\lhpwic.dll	密码通知 DLL。该 DLL 实现 Windows PasswordChangeNotify() 功能。

配置 PasswordSync

如果从安装程序运行配置应用程序，则该应用程序会将配置屏幕显示为向导。完成向导后，以后每次运行 PasswordSync 配置应用程序时，都可以通过选择选项卡在屏幕间导航。

如果还没有运行 PasswordSync 配置应用程序，请开始运行。默认情况下，此配置应用程序安装在 "Program Files" —> "Sun Java System Identity Manager PasswordSync" —> "Configuration" 中。

屏幕上将显示以下对话框。

服务器配置对话框

图 1. 服务器配置对话框

根据需要编辑字段。

Server 必须用安装 Identity Manager 的应用服务器的全限定主机名或 IP 地址
替换。

Protocol 指示是否与 Identity Manager 进行安全连接。如果选择了 HTTP，则默认端口为 80；如果选择了 HTTPS，则默认端口为 443。

Path 指定到应用服务器上 Identity Manager 的路径。

URL 是通过将其他字段连接在一起生成的。不可在 URL 字段编辑该值。

单击 Next 显示代理服务器配置页。

代理服务器对话框

图 2. 代理服务器对话框

根据需要编辑字段。

如果必须使用代理服务器，则单击 Enable。

Server 必须用代理服务器的全限定主机名或 IP 地址替换。

Port：指定服务器的可用端口号。
（默认代理端口为 8080，默认 HTTPS 端口为 443。）

单击 Next 显示 JMS 设置对话框。

JMS 设置对话框

图 3. JMS 设置对话框

根据需要编辑字段。

User 指定在队列中加入新消息的 JMS 用户名称。

Password 和 Confirm 指定 JMS 用户的密码。

Connection Factory 指定应该使用的 JMS 连接工厂的名称。该工厂必须已存在于 JMS 系统中。

大多数情况下，应该将 Session Type 设置为 "LOCAL"，这表示将使用本地会话事务。系统收到每条消息后，将提交会话。其他可能的值包括 "AUTO"、"CLIENT" 和 "DUPS_OK"。

Queue Name 指定密码同步事件的目标。

单击 Next 显示 JMS 属性对话框。

JMS 属性对话框

图 4. JMS 属性对话框

JMS 属性对话框允许您定义用于构建初始 JNDI 上下文的属性集。必须定义以下名称/值对：

java.naming.provider.url――必须将该值设置为运行 JNDI 服务的计算机的 URI。

java.naming.factory.initial――必须将该值设置为 JNDI 服务提供商的初始上下文工厂的类名（包括软件包）。

Name 下拉菜单包含 java.naming 软件包的类列表。在类名称中选择一个类或类型，然后在 "Value" 字段中输入其相应的值。

单击 Next 显示电子邮件对话框。

通过电子邮件对话框，您可以配置是否在用户的密码更改没有成功同步（由于通信错误或 Identity Manager 之外的其他错误）时发送电子邮件通知。

电子邮件对话框

图 5. 电子邮件对话框

根据需要编辑字段。

选择 Enable Email 以启用该功能。如果用户要接收通知，请选择 Email End User。否则，将仅通知管理员。

SMTP Server 是发送故障通知时使用的 SMTP 服务器的全限定名称或 IP 地址。

Administrator Email Address 是用于发送通知的电子邮件地址。

Sender’s Name 是发件人的“友好名”。

Sender’s Address 是发件人的电子邮件地址。

Message Subject 指定所有通知的主题行。

Message Body 指定通知的文本。

邮件正文可能包含以下变量：

$(accountId)――尝试更改密码的用户的帐户 ID。

$(sourceEndpoint)――安装密码通知程序的域控制器的主机名，该主机名有助于找到出现故障的计算机。

$(errorMessage)――描述出现的错误的错误消息。

单击 Finish 保存更改。

如果再次运行配置应用程序，将显示一组选项卡而不是向导。如果要将应用程序显示为向导，请从命令行输入以下命令：

调试 PasswordSync

本节提供了有关如何查找进行 PasswordSync 故障诊断时需要的信息以及如何使用配置工具启用跟踪的详细信息。本节还列出了调试 PasswordSync 或启用配置工具无法实现的功能时可能需要的注册表主键。

错误日志

PasswordSync 将所有故障写入 Windows 事件查看器。错误日志条目的源名是 PasswordSync。

跟踪日志

首次运行配置工具时，向导并不包括用于配置跟踪的面板。然而，以后每次启动该配置工具时都会显示 Trace 选项卡。

Trace Level 字段指定写入跟踪日志时 PasswordSync 提供的详细级别。值 0 表示已关闭跟踪；值 4 为提供最多详情。

当跟踪文件超过 Max File Size (MB) 字段中指定的大小时，PasswordSync 将文件移到附加了 .bk 的基本名。例如，如果将跟踪文件设置为 C:\logs\pwicsvc.log 并且将跟踪级别设置为 100 MB，则当跟踪文件超过 100 MB 时，PasswordSync 将该文件重命名为 C:\logs\pwicsvc.log.bk 并将新数据写入新的 C:\logs\pwicsvc.log 文件。

注册表主键

下表中列出的注册表主键可以使用 Windows 注册表编辑器进行编辑。这些主键位于 HKEY_LOCAL_MACHINE\SOFTWARE\Waveset\Lighthouse\PasswordSync 主键中。此位置也存在其他主键，但这些主键可能使用配置工具进行编辑。


主键名称	类型	描述
allowInvalidCerts	REG_DWORD	如果设置为 1，则在 .NET 客户机上设置以下标志： SECURITY_FLAG_IGNORE_UNKNOWN_CA INTERNET_FLAG_IGNORE_CERT_CN_INVALID INTERNET_FLAG_IGNORE_CERT_DATE_INVALID 结果，客户机将容许证书到期或具有无效的 CN 或主机名。这仅适用于使用 SSL 的情况。在测试环境中（大多数证书从无效的证书授权机构 [CA] 产生）进行调试时，该设置非常有用。默认值为 0。
clientConnectionFlags	REG_DWORD	将会传递给 .NET SOAP 客户机的可选连接标志。默认值为 0。
clientSecurityFlags	REG_DWORD	可以传递到 .NET SOAP 客户机的可选安全标志。默认值为 0。
installdir	REG_SZ	安装 PasswordSync 应用程序的目录。
soapClientTimeout	REG_DWORD	出现故障之前 SOAP 客户机与 Identity Manager 服务器的通信超时（以毫秒为单位）。

卸载 PasswordSync

要卸载 PasswordSync 应用程序，请转到 Windows 的“控制面板”并选择添加或删除程序。然后选择 Sun Java System Identity Manager PasswordSync 并单击删除。

部署 PasswordSync

配置 JMS 侦听器适配器

实现同步用户密码工作流

设置通知

配置 JMS 侦听器适配器

一旦域控制器间接将消息置于队列中，就必须将资源适配器配置为接受这些消息。必须创建 JMS 侦听器资源适配器并将其配置为与队列通信。有关设置该适配器的更多信息，请参见《Identity Manager 资源参考资料》。

Destination Type――通常将该值设置为 "Queue"。因为有一个订阅服务器而可能有多个发布服务器，所以各主题通常不相关。

Initial context JNDI properties――该文本框定义用于构建初始 JNDI 上下文的属性集。必须定义以下名称/值对：

java.naming.provider.url――必须将该值设置为运行 JNDI 服务的计算机的 URI。

java.naming.factory.initial――必须将该值设置为 JNDI 服务提供商的初始上下文工厂的类名（包括软件包）。

可能需要定义其他属性。属性和值的列表应该与配置应用程序的 JMS 设置页上指定的属性和值相匹配。

JNDI Name of Connection factory――在 JMS 服务器中定义的连接工厂的名称。

User 和 Password――从队列中请求新事件的管理员的帐户名称和密码。

Reliable Messaging Support――选择 LOCAL（本地事务）。其他选项不适用于密码同步。

Message Mapping――输入 java:com.waveset.adapter.jms.
PasswordSyncMessageMapper。该类将来自 JMS 服务器的消息转换为同步用户密码工作流可以使用的格式。

实现同步用户密码工作流

默认的同步用户密码工作流接受来自 JMS 侦听器适配器的每个请求并签出，然后返回 ChangeUserPassword 查看器。完成签入后，工作流迭代所有资源帐户并选择除源资源以外的所有资源。Identity Manager 使用电子邮件通知用户所有资源上的密码更改是否成功。

如果要默认实现同步用户密码工作流，则将其作为 JMS 侦听器适配器实例的进程规则进行分配。可以在适配器的活动同步向导中分配进程规则。

如果要修改默认的同步用户密码工作流，请复制 $WSHOME/sample/wfpwsync.xml 文件并进行修改。然后将修改后的工作流导入 Identity Manager。

更改密码后通知哪些实体。

无法找到 Identity Manager 帐户时会出现什么情况。

如何在工作流中选择资源。

是否允许从 Identity Manager 进行密码更改。

有关使用工作流的详细信息，请参见《Identity Manager 工作流、表单和视图》。

设置通知

Identity Manager 提供密码同步通知和密码同步故障通知的电子邮件模板。这些模板可通知用户在多个资源间更改密码的尝试是否成功。

两个模板均应该更新，以便在用户需要进一步帮助时，为其提供有关下一步操作的公司特定信息。有关更多信息，请参见“配置”一章中的“了解电子邮件模板”。

有关 PasswordSync 的常见问题

PasswordSync 是否可以与用于强制执行自定义密码策略的其他 Windows 密码过滤器一起使用？

是，可以将 PasswordSync 与其他 _WINDOWS_ 密码过滤器一起使用。然而，必须是通知软件包注册表值中列出的最后一个密码过滤器。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages（类型 REG_MULTI_SZ 的值）

默认情况下，安装程序将 Identity Manager 密码拦截设置在列表末尾处。但是，如果您在安装该软件后安装了自定义密码过滤器，则需要将 lhpwic 移到通知软件包列表的结尾处。

可以将 PasswordSync 与其他 Identity Manager 密码策略一起使用。如果在 Identity Manager 服务器端选择了策略，必须传递所有资源密码策略以将密码同步推出至其他资源。因此，您应该使 Windows 本机密码策略的严格程度与 Identity Manager 中定义的最严格的密码策略相同。

是否可以将 PasswordSync Servlet 安装在 Identity Manager 以外的其他应用服务器上？

是。除了 JMS 应用程序需要的任何 JAR 文件以外，PasswordSync Servlet 还需要 spml.jar 和 idmcommon.jar JAR 文件。

PasswordSync 服务是否将密码以明文发送到 lh 服务器？

虽然我们建议通过 SSL 运行 PasswordSync，但是在将敏感数据发送到 Identity Manager 服务器之前，所有数据都是加密的。

密码更改有时是否会导致 com.waveset.exception.ItemNotLocked？

如果启用 PasswordSync，密码更改（即使从用户界面启动）将导致资源的密码更改，从而致使资源与 Identity Manager 进行通信。

如果正确配置了 passwordSyncThreshold 工作流变量，则 Identity Manager 将检查用户对象并确定该用户对象是否已经处理了密码更改。但是，如果用户或管理员同时对同一个用户进行了其他密码更改，则用户对象将被锁定。

上一页目录下一页
Sun Java System Identity Manager 6.0 2005Q4M3 管理指南