上一頁      目錄      下一頁
Sun Java System Identity Manager 2005Q4M3 管理指南

10

PasswordSync

本章說明了 Sun Java™ System Identity Manager PasswordSync 功能，該功能使 Windows 用戶端可以變更其在 Windows Active Directory 和 Windows NT 網域中的密碼，從而使變更與 Identity Manager 同步。

---

什麼是 PasswordSync？

PasswordSync 功能可以使在 Windows Active Directory 和 Windows NT 網域上所做的使用者密碼變更與 Identity Manager 中定義的其他資源保持同步。必須在將與 Identity Manager 同步的網域中的每個網域控制器上安裝 PasswordSync。必須將 PasswordSync 與 Identity Manager 分開安裝。

在網域控制器上安裝 PasswordSync 後，該控制器將與做為 Java Messaging Service (JMS) 用戶端代理伺服器的 Servlet 進行通訊。而該 Servlet 與啟用 JMS 的訊息佇列進行通訊。JMS 偵聽程式資源配接卡將從佇列中移除訊息，並使用工作流程作業處理密碼變更。 密碼將在使用者的所有指定資源中更新，並且 SMTP 伺服器將向使用者傳送電子郵件，以通知使用者密碼變更的狀態。

---

附註  密碼變更必須將要轉寄的變更請求的本機密碼策略傳送至 Identity Manager 伺服器以實現同步化。如果提議的密碼變更不遵循本機密碼策略，則 ADSI 將顯示錯誤對話方塊，並且不向 Identity Manager 傳送任何同步化資料。

---

---

安裝 PasswordSync 之前

只能在 Windows 2000、Windows 2003 和 Windows NT 網域控制器上設定 PasswordSync 功能。您必須在將與 Identity Manager 同步的網域中的每個網域控制器上安裝 PasswordSync。

PasswordSync 需要具有與 JMS 伺服器的連結性。請參閱「Identity Manager 資源參照」中針對 JMS 偵聽程式資源配接卡的文件，以取得有關 JMS 系統需求的資訊。

此外，PasswordSync 還有以下需求

必須在每個網域控制器上安裝 Microsoft .NET 1.1 或更高版本
必須移除所有舊版 PasswordSync

以下各節將詳細討論這些需求。

安裝 Microsoft .NET 1.1

若要使用 PasswordSync，您必須安裝 Microsoft .NET 1.1 或更高版本的 Framework。
如果您使用 Windows 2003 網域控制器，則依預設安裝此 Framework。如果您使用 Windows 2000 或 Windows NT 網域控制器，則可以從 Microsoft 下載中心下載此工具組：

http://www.microsoft.com/downloads

---

備註

---

Microsoft .NET 1.1 Framework 需要 Internet Explorer 5.01 或更高版本。
Internet Explorer 5.0 (隨附於 Windows 2000 SP4) 版本太低。
在 [關鍵字] 搜尋欄位中輸入 NET Framework 1.1 Redistributable 以快速查找架構工具組。
該工具組將安裝 .NET 1.1 Framework。

解除安裝舊版的 PasswordSync

安裝更高版本之前，您必須先移除先前安裝的所有 PasswordSync 實例。

如果先前安裝的 PasswordSync 版本支援 IdmPwSync.msi 安裝程式，您可以使用標準的 Windows [Add/Remove Programs] 公用程式來移除該程式。
如果先前安裝的 PasswordSync 版本不支援 IdmPwSync.msi 安裝程式，則可以使用 InstallAnywhere 解除安裝程式來移除該程式。

---

Installing PasswordSync

以下程序說明了如何安裝 PasswordSync，並提供了安裝、配置和解除安裝 PasswordSync 配置應用程式的說明。

---

附註  您必須在將與 Identity Manager 同步的網域中的每個網域控制器上安裝 PasswordSync。

---

在 Identity Manager 安裝媒體中，按一下 pwsync\IdmPwSync.msi 圖示。將顯示 [Welcome] 視窗

安裝精靈提供了以下瀏覽按鈕：

Cancel:按一下可隨時結束精靈，而不儲存任何變更。
Back:按一下可返回前一個對話方塊。
Next:按一下可進入下一個對話方塊。
請閱讀 [Welcome] 螢幕上顯示的資訊，然後按一下 [Next] 以顯示 [Choose Setup Type PasswordSync Configuration] 視窗。
PasswordSync安裝
按一下 [Typical] 或 [Complete] 以安裝完整的 PasswordSync 套裝軟體，或按一下 [Custom] 以控制要安裝的套裝軟體部分。
按一下 [Install] 以安裝產品。成功安裝 PasswordSync 後，螢幕上將顯示以下視窗。
按一下 [Finish] 以完成安裝程序。確定已選取 [Launch Configuration Application]，以便可以開始配置 Password Sync。請參閱「配置 PasswordSync」，以取得有關該程序的詳細資訊。

---

附註  螢幕上將顯示對話方塊，表明您必須重新啟動系統才能使變更生效。完成配置 PasswordSync 之前不必重新啟動系統，但必須在實作 PasswordSync 之前重新啟動網域控制器。

---

下表可識別安裝在每個網域控制器上的檔案。

安裝的元件	說明
%$INSTALL_DIR$%\configure.exe	PasswordSync 配置程式。
%$INSTALL_DIR$%\ configure.exe.manifest	配置程式的資料檔。
%$INSTALL_DIR$%\DotNetWrapper.dll	處理.NET SOAP 通訊的 DLL
%$INSTALL_DIR$%\passwordsyncmsgs.dll	處理 PasswordSync 訊息的 DLL。
%SYSTEMROOT%\SYSTEM32\lhpwic.dll	密碼通知 DLL。此 DLL 可實作 Windows PasswordChangeNotify () 函數。

---

配置 PasswordSync

如果您從安裝程式執行配置應用程式，則該應用程式會將配置螢幕顯示為精靈。完成精靈後，以後每次執行 PasswordSync 配置應用程式時，都可以透過選取標籤在螢幕之間瀏覽。

使用以下步驟配置 PasswordSync。

如果尚未執行 PasswordSync 配置應用程式，請將其啟動。依預設，此配置應用程式安裝在 [Program Files] —> [Sun Java System Identity Manager PasswordSync] —> [Configuration] 中。

螢幕上將顯示以下對話方塊。





圖 1. 伺服器配置對話方塊

依需要編輯以下欄位。

[Server] 必須用安裝 Identity Manager 應用程式伺服器的完全合格的主機名稱或 IP 位址替代。
[Protocol] 指示是否與 Identity Manager 進行安全連線。如果選取 HTTP，則預設連接埠為 80。如果選取 HTTPS，則預設連接埠為 443。
[Path] 指定應用程式伺服器上 Identity Manager 的路徑。
[URL] 透過將其他欄位鏈結在一起產生。不能在 URL 欄位中編輯值。
按一下 [Next] 以顯示代理伺服器配置頁面。





圖 2. 代理伺服器對話方塊

依需要編輯以下欄位。

如果需要代理伺服器，則按一下 [Enable]。
Server 必須用代理伺服器的完全合格的主機名稱或 IP 位址替代。
Port:指定可用的伺服器連接埠號碼。
(預設代理伺服器連接埠為 8080，預設 HTTPS 連接埠為 443。)
按一下 [Next] 以顯示 JMS 設定對話方塊。





圖 3. JMS 設定對話方塊

依需要編輯以下欄位。

[User] 指定在佇列中置入新訊息的 JMS 使用者名稱。
[Password] 和 [Confirm] 指定 JMS 使用者的密碼。
[Connection Factory] 指定應使用的 JMS 連線工廠的名稱。該工廠必須已存在於 JMS 系統中。
在大多數情況下，應將 [Session Type] 設定為 [LOCAL]，這表示將使用本機階段作業作業事件。系統收到每條訊息後，將提交階段作業。其他可能的值包括 [AUTO]、[CLIENT] 和 [DUPS_OK]。
[Queue Name] 指定密碼同步化事件的目標。
按一下 [Next] 以顯示 JMS 特性對話方塊。





圖 4. JMS 特性對話方塊

JMS 特性對話方塊可讓您定義用於建置初始 JNDI 環境的特性集。必須定義以下
名稱/值對：

java.naming.provider.url ─ 必須將該值設定為執行 JNDI 服務之電腦的 URI。
java.naming.factory.initial ─ 必須將該值設定為 JNDI 服務提供者的初始環境工廠的類別名稱 (包括套裝軟體)。

[Name] 下拉式功能表包含 java.naming 套裝軟體中的類別清單。選取類別或鍵入類型名稱，然後在 [Value] 欄位中輸入其對應的值。

按一下 [Next] 以顯示電子郵件對話方塊。

透過電子郵件對話方塊，您可以配置在使用者的密碼變更未成功同步化 (由於通訊錯誤或 Identity Manager 之外的其他錯誤) 時是否傳送電子郵件通知。





圖 5. 電子郵件對話方塊

依需要編輯以下欄位。

選取 [Enable Email] 以啟用該功能。如果使用者要接收通知，請選取 [Email End User]。否則，將僅通知管理員。
[SMTP Server] 是傳送故障通知時要使用的 SMTP 伺服器的完全合格的名稱或 IP 位址。
[Administrator Email Address] 是用於傳送通知的電子郵件位址。
[Sender’s Name] 是寄件者的「易記名稱」。
[Sender’s Address] 是寄件者的電子郵件位址。
[Message Subject] 指定所有通知的主旨行
[Message Body] 指定通知的文字。

郵件內文可能包含以下變數：

$ (accountId) — 嘗試變更密碼的使用者的帳號 ID。
$ (sourceEndpoint) — 安裝密碼提示程式的網域控制器的主機名稱，有助於找到出現故障的電腦。
$ (errorMessage) — 說明所發生之錯誤的錯誤訊息。
按一下 [Finish] 以儲存變更。

如果再次執行配置應用程式，則螢幕上將顯示一組標籤，而非精靈。如果您要將應用程式顯示為精靈，請從指令行輸入以下指令：

C:\InstallDir\Configure.exe -wizard

---

對 PasswordSync 執行除錯

本節提供了有關尋找診斷 PasswordSync 問題時需要的資訊以及使用配置工具啟用追蹤的詳細資訊。還列出了對 PasswordSync 執行除錯或啟用配置工具無法實作的功能可能需要的登錄機碼。

錯誤記錄

PasswordSync 將所有故障寫入 Windows 事件檢視器。錯誤記錄項目的來源名稱是 PasswordSync。

追蹤記錄

首次執行配置工具時，精靈並不包含用於配置追蹤的面板。然而，以後每次啟動該配置工具時都會顯示 [Trace] 標籤。

圖 6. 追蹤對話方塊

[Trace Level] 欄位指定寫入追蹤記錄時 PasswordSync 將提供的詳細資訊層級。值 0 表示已關閉追蹤，而值 4 表示提供最多詳細資訊。

當追蹤檔案超過 [Max File Size (MB)] 欄位中指定的大小時，PasswordSync 會將檔案移至附加了 .bk 的基準名稱中。例如，如果將追蹤檔案設定為 C:\logs\pwicsvc.log，並將追蹤層級設定為 100 MB，則當追蹤檔案超過 100 MB 時，PasswordSync 會將該檔案重新命名為 C:\logs\pwicsvc.log.bk，並將新資料寫入新的 C:\logs\pwicsvc.log 檔案中。

登錄機碼

可以使用 Windows 登錄編輯器編輯下表中列出的登錄機碼。這些機碼位於 HKEY_LOCAL_MACHINE\SOFTWARE\Waveset\Lighthouse\PasswordSync 的機碼中。此位置也會顯示其他機碼，但這些機碼可使用配置工具進行編輯。

機碼名稱	類型	說明
allowInvalidCerts	REG_DWORD	如果設定為 1，則在.NET 用戶端上設定以下標幟： 功tSECURITY_FLAG_IGNORE_UNKNOWN_CA 功tINTERNET_FLAG_IGNORE_CERT_CN_INVALID 功tINTERNET_FLAG_IGNORE_CERT_DATE_INVALID 結果，用戶端將容許過期或具有無效 CN 或主機名稱的憑證。這僅適用於使用 SSL 的情況。 在測試環境 (大多數憑證從無效的憑證授權單位 (CA) 產生) 中進行除錯時，該設定非常有用。 預設為 0。
clientConnectionFlags	REG_DWORD	將傳送至 .NET SOAP 用戶端的可選連線標幟。 預設為 0。
clientSecurityFlags	REG_DWORD	可傳送至 .NET SOAP 用戶端的可選安全標幟。 預設為 0。
installdir	REG_SZ	安裝 PasswordSync 應用程式的目錄。
soapClientTimeout	REG_DWORD	出現故障之前 SOAP 用戶端與 Identity Manager 伺服器的通訊逾時 (以毫秒為單位)。

---

解除安裝 PasswordSync

若要解除安裝 PasswordSync 應用程式，請至 Windows [Control Panel] 並選取
[新增/移除程式]。然後選取 [Sun Java System Identity Manager PasswordSync] 並按一下 [Remove]。

---

附註  也可以透過載入 Identity Manager 安裝媒體並按一下 pwsync\IdmPwSync.msi 圖示來解除安裝 (或重新安裝) PasswordSync。

---

必須重新啟動系統才能完成該程序。

---

部署 PasswordSync

若要部署 PasswordSync，您必須在 Identity Manager 中執行以下動作：

配置 JMS 偵聽程式配接卡
實作同步化使用者密碼工作流程
設定通知

配置 JMS 偵聽程式配接卡

網域控制器間接將訊息置入佇列中後，必須將資源配接卡配置為接受這些訊息。您必須建立 JMS 偵聽程式資源配接卡並對其進行配置以與佇列通訊。請參閱「Identity Manager 資源參照」，以取得有關設定該配接卡的更多資訊。

必須配置以下資源參數：

Destination Type — 通常將該值設定為 [Queue]。因為有一個訂閱者而有多個潛在發佈者，所以主題通常不相關。

Initial context JNDI properties — 該文字方塊定義用於建置初始 JNDI 環境的特性集。必須定義以下名稱/值對：

java.naming.provider.url — 必須將該值設定為執行 JNDI 服務之電腦的 URI。
java.naming.factory.initial — 必須將該值設定為 JNDI 服務提供者的初始環境工廠的類別名稱 (包括套裝軟體)。

可能需要定義其他特性。特性和值清單應與配置應用程式的 JMS 設定頁面上指定的特性和值相符。

JNDI Name of Connection factory — 在 JMS 伺服器中定義的連線工廠的名稱。

User 與 Password — 從佇列中請求新事件的管理員的帳號名稱和密碼。

Reliable Messaging Support — 選取 [LOCAL] (本機作業事件)。其他選項不適用於密碼同步化。

Message Mapping — 輸入 java:com.waveset.adapter.jms.
PasswordSyncMessageMapper。該類別可將來自 JMS 伺服器的郵件變換為同步化使用者密碼工作流程可以使用的格式。

實作同步化使用者密碼工作流程

預設的同步化使用者密碼工作流程接受來自 JMS 偵聽程式配接卡的每個請求並簽出，然後返回 ChangeUserPassword 檢視器。完成簽入後，工作流程將反覆運算所有資源帳號並選取除資源來源以外的所有資源。Identity Manager 將使用電子郵件通知使用者所有資源上的密碼變更是否成功。

如果您要預設實作同步化使用者密碼工作流程，請將其指定為 JMS 偵聽程式配接卡實例的程序規則。可以在配接卡的 Active Sync 精靈中指定程序規則。

如果您要修改預設的同步化使用者密碼工作流程，請複製 $WSHOME/sample/wfpwsync.xml 檔案並進行修改。然後將修改的工作流程匯入 Identity Manager。

您可能要對預設工作流程執行的可能修改包括：

變更密碼後通知哪些實體。
找不到 Identity Manager 帳號時會發生什麼情況。
在工作流程中選取資源的方式。
是否允許從 Identity Manager 變更密碼。

如需有關使用工作流程的詳細資訊，請參閱「Identity Manager 工作流程、表單與視圖」。

設定通知

Identity Manager 提供了密碼同步化通知和密碼同步化故障通知電子郵件範本。這些範本可通知使用者在多個資源之間變更密碼的嘗試是否成功。

兩個範本均應更新，以便在使用者需要進一步幫助時，為其提供有關下一步操作的公司特定資訊。請參閱名為「配置」一章中的「瞭解電子郵件範本」，以取得更多資訊。

---

有關 PasswordSync 的常見問題

PasswordSync 是否可以與其他用於強制自訂密碼策略的 Windows 密碼篩選器配合使用？

是的，您可以將 PasswordSync 與其他 _WINDOWS_ 密碼篩選器配合使用。然而，必須是 [Notification Package] 登錄值中列出的最後一個密碼篩選器。

您必須使用以下登錄路徑：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages (類型 REG_MULTI_SZ 的值)

依預設，安裝程式將 Identity Manager 密碼截取置於清單結尾。但是，如果您在安裝該軟體後安裝自訂密碼篩選器，則需要將 lhpwic 移至 [Notification Package] 清單的結尾。

您可以將 PasswordSync 與其他 Identity Manager 密碼策略配合使用。在 Identity Manager 伺服器端檢查策略時，必須傳送所有資源密碼策略，以將密碼同步化推出至其他資源。因此，您應使 Windows 本機密碼策略具有與 Identity Manager 中定義的大多數限制性密碼策略同等的限制性。

---

附註  密碼截取 DLL 不會強制執行任何密碼策略。

---

是否可以將 PasswordSync Servlet 安裝在 Identity Manager 以外的其他應用伺服器上？

可以。除了 JMS 應用程式需要的所有 JAR 檔案以外，PasswordSync Servlet 還需要 spml.jar 和 idmcommon.jar JAR 檔案。

PasswordSync 服務是否將密碼以明文傳送至 lh 伺服器？

雖然我們建議透過 SSL 執行 PasswordSync，但是在將敏感資料傳送至 Identity Manager 伺服器之前，所有資料都是加密的。

密碼變更有時是否會導致 com.waveset.exception.ItemNotLocked？

如果啟用 PasswordSync，密碼變更 (即使從使用者介面啟動) 將導致資源的密碼變更，從而導致資源與 Identity Manager 接觸。

如果正確配置 thepasswordSyncThreshold 工作流程變數，Identity Manager 將檢查使用者物件並確定該使用者物件已處理密碼變更。但是，如果使用者或管理員同時對同一使用者進行其他密碼變更，則使用者物件將被鎖定。

上一頁      目錄      下一頁

---

Copyright 2006 Sun Microsystems, Inc. 版權所有。