第 11 章 PasswordSync

PasswordSync 检测起始于 Windows 域上的用户密码更改，并将这些更改转发给 Identity Manager。然后，Identity Manager 将密码更改与 Identity Manager 中定义的其他资源进行同步。

什么是 PasswordSync？

PasswordSync 功能可以使在 Windows Active Directory 域上进行的用户密码更改与 Identity Manager 中定义的其他资源保持同步。PasswordSync 必须安装在将与 Identity Manager 同步的域中的每个域控制器上。PasswordSync 必须与 Identity Manager 分开安装。

PasswordSync 由位于每个域控制器上的 DLL (lhpwic.dll) 组成。此 DLL 从 Windows 接收密码更新通知，对其进行加密，然后通过 HTTPS 将其发送到 PasswordSync Servlet。PasswordSync Servlet 位于运行 Identity Manager 的应用服务器上。

PasswordSync Servlet 将通知转换为 Identity Manager 可以理解的格式。然后，它使用以下方法之一将密码更改（仍处于加密状态）发送到 Identity Manager：


注	Sun 建议使用 HTTPS。不过，也支持 HTTP。

直接方法 - Servlet 使用本机 Identity Manager 类将密码更改直接传送到 Identity Manager。（请参见图 11-1。）

JMS 方法 - Servlet 使用 JMS（Java 消息服务）将密码信息发送到 Identity Manager。借助于 JMS，Servlet 将密码更改提交到 JMS 消息队列。Identity Manager 的 JMS 侦听器资源适配器将单独检查队列中的新消息。如果找到在队列中等待的密码更改消息，JMS 侦听器适配器将从队列中提取该消息，并将其导入到 Identity Manager 中。（请参见图 11-2。）

图 11-2 以图解的形式说明了 JMS 连接。在此配置中，PasswordSync Servlet 将更新消息发送到 JMS 消息队列。Identity Manager 的 JMS 侦听器资源适配器定期检查队列（图中用浅蓝色箭头表示）中的新消息。队列将消息发送到 Identity Manager（用深蓝色箭头表示）以进行响应。

当 Identity Manager 收到密码更改通知时，将对其进行解密，然后使用工作流任务处理该更改。密码将在用户所有的分配资源中得到更新，并且 SMTP 服务器向用户发送电子邮件，通知用户密码更改的状态。


注	只有在成功更改密码时，Windows 才会发出更新通知。如果密码更改请求不符合域的密码策略，Windows 将拒绝该请求，并且不会将同步数据发送到 Identity Manager。

图 11-3 显示了 Identity Manager 在收到密码更新通知后启动工作流并向用户发送电子邮件的过程。


注	PasswordSync 放弃以 $（美元符号）结尾的帐户名称的所有帐户更改通知。名称以 $ 结尾的帐户被视为 Windows 计算机帐户。不会将以美元符号结尾的任何用户帐户名称转发到 Identity Manager。

安装之前

只能在 Windows 2003 和 Windows 2000 域控制器上设置 PasswordSync 功能。（Identity Manager 8.0 版中不再提供 Windows NT 域控制器支持。）必须在与 Identity Manager 同步的域中的每个主域控制器和备份域控制器上安装 PasswordSync。强烈建议将 PasswordSync 配置为使用 HTTPS。


注	在所有域控制器上，应该将早于 PasswordSync 7.1.1 的版本至少更新为 7.1.1 版。 rpcrouter2 servlet 支持在 8.0 版中已过时，将来的发行版中将删除该支持。PasswordSync 7.1.1 版和更高版本支持新协议。

如果使用的是 JMS，PasswordSync 需要与 JMS 服务器连接。有关 JMS 系统要求的详细信息，请参见 Sun Identity Manager 资源参考资料中的 JMS 侦听器资源适配器部分。

在每个域控制器上至少安装 Microsoft .NET 1.1

删除任何以前的 PasswordSync 版本

安装 Microsoft .NET 1.1

要使用 PasswordSync，必须安装 Microsoft .NET 1.1 Framework。如果您使用 Windows 2003 域控制器，则默认安装此 Framework。如果使用的是 Windows 2000 域控制器，则可以从 Microsoft 下载中心下载此工具包：

将 PasswordSync 配置为使用 SSL

虽然在将敏感数据发送到 Identity Manager 服务器之前已对其进行加密，Sun Microsystems 仍建议对 PasswordSync 进行配置以使用安全 SSL 连接（即 HTTPS 连接）。

有关如何安装导入的 SSL 证书的信息，请参见以下 Microsoft 知识库 How-To 文章：


注	在“关键字”搜索字段中输入 NET Framework 1.1 Redistributable 可快速找到框架工具包。该工具包将安装 .NET 1.1 framework。

在安装 PasswordSync 后，可通过在 PasswordSync 配置对话框中指定 HTTPS URL 来测试是否正确配置了 SSL 连接。有关说明，请参见测试配置。

卸载 PasswordSync 的先前版本

安装更高版本之前，必须先删除先前安装的任何 PasswordSync 实例。

如果先前安装的 PasswordSync 版本支持 IdmPwSync.msi 安装程序，可以使用标准的 Windows“添加/删除程序”实用程序来删除此程序。

如果先前安装的 PasswordSync 版本不支持 IdmPwSync.msi 安装程序，则可以使用 InstallAnywhere 卸载程序来删除此程序。

在 Windows 上安装 PasswordSync


注	必须在与 Identity Manager 同步的域中的每个域控制器上安装 PasswordSync。在继续操作之前，请确保卸载以前安装的任何版本的 PasswordSync。

从 Identity Manager 安装介质中，双击 pwsync\IdmPwSync_x86.msi（如果安装到 32 位版本的 Windows）或 pwsync\IdmPwSync_x64.msi（如果安装到 64 位版本的 Windows）。

将显示“欢迎”窗口。

安装向导提供了以下导航按钮：

取消：随时可以单击以退出向导，而不保存任何更改。

退后：单击可以返回上一个对话框。

下一步：单击可以前进到下一个对话框。

阅读“欢迎”屏幕上提供的信息，然后单击下一步可以显示“选择安装类型 PasswordSync 配置”窗口。

单击典型或完全安装完整的 PasswordSync 软件包，或者单击自定义控制安装哪些软件包组件。

单击安装安装该产品。

将显示一则消息，以通知您是否已成功安装 PasswordSync。

单击完成完成安装过程。

请确保选择了启动配置应用程序，以便可以开始配置 PasswordSync。有关该过程的详细信息，请参见配置 PasswordSync。



注	屏幕将显示对话框，提示必须重新启动系统才能使更改生效。在完成 PasswordSync 配置之前不需要重新启动系统，但在实现 PasswordSync 之前必须重新启动域控制器。

表 11-1 域控制器文件
安装的组件	描述
%$INSTALL_DIR$%\configure.exe	PasswordSync 配置程序
%$INSTALL_DIR$%\configure.exe.manifest	用于配置程序的数据文件
%$INSTALL_DIR$%\passwordsyncmsgs.dll	处理 PasswordSync 消息的 DLL
%SYSTEMROOT%\SYSTEM32\lhpwic.dll	密码通知 DLL，该 DLL 实现 Windows PasswordChangeNotify() 功能。

配置 PasswordSync

如果从安装程序运行配置应用程序，则该应用程序会将配置屏幕显示为向导。完成向导后，以后每次运行 PasswordSync 配置应用程序时，都可以通过选择选项卡在屏幕间导航。

如果尚未运行 PasswordSync 配置应用程序，请启动该应用程序。

默认情况下，此配置应用程序安装在 "Program Files" > "Sun Identity Manager PasswordSync" > "Configuration" 中。

如果不打算使用 JMS，请从命令行中启动配置应用程序。确保包含 -direct 标志：

C:\InstallDir\Configure.exe -direct

将显示“PasswordSync 配置”对话框（请参见图 11-4）。

图 11-4 PasswordSync 向导配置对话框
服务器配置对话框

根据需要编辑字段。

服务器必须用安装 Identity Manager 的全限定主机名或 IP 地址替换。

协议指示是否与 Identity Manager 进行安全连接。如果选择了 HTTP，则默认端口为 80；如果选择了 HTTPS，则默认端口为 443。

路径指定到应用程序服务器上 Identity Manager 的路径。

URL 是通过将其他字段连接在一起生成的。不可在 URL 字段编辑该值。

单击“下一步”显示“代理服务器配置”页（图 11-5）。

图 11-5 PasswordSync 向导代理服务器对话框

根据需要编辑字段。

如果必须使用代理服务器，则选择启用。

服务器必须用代理服务器的全限定主机名或 IP 地址替换。

端口：指定服务器的可用端口号。
（默认代理端口为 8080，默认 HTTPS 端口为 443。）

单击“下一步”显示 JMS 设置对话框（图 11-6）。

或者，如果不打算使用 JMS，并且使用 -direct 标志启动配置向导，请单击下一步以显示“用户”对话框。跳到步骤 5。

图 11-6 PasswordSync 向导 JMS 设置对话框

根据需要编辑字段。

用户指定在队列中加入新消息的 JMS 用户名。

密码和确认指定 JMS 用户的密码。

连接工厂指定要使用的 JMS 连接工厂的名称。该工厂必须已存在于 JMS 系统中。

大多数情况下，应将会话类型设置为 LOCAL，这表示将使用本地会话事务。系统收到每条消息后，将提交会话。其他可能的值包括 AUTO、CLIENT 和 DUPS_OK。

队列名称指定密码同步事件的目标查找名称。

单击“下一步”显示 JMS 属性对话框（图 11-7）。

图 11-7 PasswordSync 向导 JMS 属性对话框

JMS 属性对话框允许您定义用于构建初始 JNDI 上下文的属性集。必须定义以下名称/值对：

java.naming.provider.url - 必须将该值设置为运行 JNDI 服务的计算机的 URL。

java.naming.factory.initial - 必须将该值设置为 JNDI 服务提供者的初始上下文工厂的类名（包括软件包）。

“名称”下拉菜单包含 java.naming 软件包中的类的列表。在类名称中选择一个类或类型，然后在“值”字段中输入其相应的值。

如果不打算使用 JMS，并且使用 -direct 标志启动配置向导，请配置“用户”选项卡。否则，跳过此步骤并转到下一步。

要配置“用户”选项卡，请根据需要编辑这些字段。

帐户 ID 指定用于连接到 Identity Manager 的用户名。

密码指定用于连接到 Identity Manager 的密码。

单击“下一步”显示电子邮件对话框（图 11-8）。

图 11-8 PasswordSync 向导电子邮件对话框

通过电子邮件对话框，您可以配置是否在用户的密码更改没有成功同步（由于通信错误或 Identity Manager 之外的其他错误所致）时发送电子邮件通知。

根据需要编辑字段。

选择启用电子邮件启用该功能。如果用户要接收通知，请选择电子邮件最终用户。否则，将仅通知管理员。

SMTP 服务器是发送故障通知时使用的 SMTP 服务器的全限定名或 IP 地址。

管理员电子邮件地址是用于发送通知的电子邮件地址。

发件人名称是发件人的“友好名”。

发件人地址是发件人的电子邮件地址。

邮件主题指定所有通知的主题行。

邮件正文指定通知的文本。

邮件正文可能包含以下变量：

$(accountId) - 尝试更改密码的用户的帐户 ID。

$(sourceEndpoint) - 安装密码通知程序的域控制器的主机名，该主机名有助于找到出现故障的计算机。

$(errorMessage) - 用于描述所出现的错误的错误消息。

单击完成保存更改。

如果再次运行配置应用程序，将显示一组选项卡而不是向导。如果要将应用程序显示为向导，请从命令行中键入以下命令：

在 Windows 上调试 PasswordSync

有关在 Windows 上排除 PasswordSync 的故障的信息，请参见 Identity Manager 调优、故障排除和错误消息手册。

错误日志

PasswordSync 将所有故障写入 Windows 事件查看器。（有关使用事件查看器的帮助，请参见 Windows 帮助。）错误日志条目的源名称是 PasswordSync。

从 Windows 中卸载 PasswordSync

要卸载 PasswordSync 应用程序，请转到 Windows 的“控制面板”并选择添加或删除程序。然后选择 Sun Identity Manager PasswordSync 并单击删除。


注	通过加载 Identity Manager 安装介质并单击 pwsync\IdmPwSync.msi 图标也可以卸载（或重新安装）PasswordSync。

在应用服务器上部署 PasswordSync

在 Windows 域控制器上安装 PasswordSync 后，您需要在运行 Identity Manager 的应用服务器上执行其他步骤。

无需在应用服务器上安装 PasswordSync Servlet。在安装 Identity Manager 时，将自动安装该 Servlet。

不过，要完成 PasswordSync 部署，您需要在 Identity Manager 中执行以下操作：

添加并配置 JMS 侦听器适配器（如果使用的是 JMS）

实现“同步用户密码”工作流

设置通知

添加和配置 JMS 侦听器适配器

如果 PasswordSync Servlet 使用 JMS 将消息发送到 Identity Manager，则需要添加 Identity Manager 的 JMS 侦听器资源适配器。JMS 侦听器资源适配器定期检查 PasswordSync Servlet 放在 JMS 消息队列中的消息。如果队列中包含新消息，则会将其发送到 Identity Manager 以进行处理。

登录到 Identity Manager 管理员界面（更多...）。

单击资源。

单击次级菜单中的配置类型。

将打开“配置受管理的资源”页。

确保为 JMS 侦听器选中受管理？列中的复选框。（请参见图 11-9。）

如果未选中该复选框，则将其选中，然后单击保存。否则，转到下一步。

图 11-9 将显示“配置受管理的资源”页。确保选中 JMS 侦听器。

单击次级菜单中的列出资源。

找到资源类型操作下拉菜单，然后选择新建资源。

将打开“新建资源”页。

从下拉菜单中选择 JMS 侦听器，然后单击新建。（请参见图 11-10。）

将打开“创建 JMS 侦听器资源向导”欢迎页。单击下一步以启动配置向导。

图 11-10 将显示新建资源向导。要添加 JMS 侦听器适配器，请从列表中选择 JMS 侦听器。

填写“资源参数”向导页中的表单。在完成后，单击下一步。

目标类型 - 通常将该值设置为队列。（因为有一个订阅服务器而可能有多个发布服务器，所以各主题通常不相关。）

初始上下文 JNDI 属性 - 该文本框定义用于构建初始 JNDI 上下文的属性集。必须定义以下名称/值对：

java.naming.factory.initial - 必须将该值设置为 JNDI 服务提供者的初始上下文工厂的类名（包括软件包）。

java.naming.provider.url - 必须将该值设置为运行 JNDI 服务的计算机的 URI。

可能需要定义其他属性。属性和值的列表应该与 JMS 服务器上的 JMS 设置页中指定的属性和值相匹配。

例如，要提供证书和绑定方法，您可能需要指定以下样例属性：

java.naming.security.principal：绑定 DN（例如，cn=Directory manager）

java.naming.security.authentication：绑定方法（例如，简单绑定）

java.naming.security.credentials：密码

连接工厂的 JNDI 名称 - 在 JMS 服务器中定义的连接工厂名称。

目标的 JNDI 名称 - 在 JMS 服务器中定义的目标名称。

用户和密码 - 从队列中请求新事件的管理员的帐户名称和密码。

可靠的邮件传送支持 - 选择 LOCAL（本地事务）。其他选项不适用于密码同步。

邮件映射 - 输入 java:com.waveset.adapter.jms.PasswordSyncMessageMapper。该类将来自 JMS 服务器的消息转换为同步用户密码工作流可以使用的格式。

图 11-11 JMS 侦听器资源向导“资源参数”页

在“帐户属性”向导页上，单击添加属性。

图 11-12 “创建 JMS 侦听器资源向导”的“帐户属性”页

映射以下属性（由 PasswordSyncMessageMapper 提供给 JMS 侦听器适配器）。请参阅图 11-12。在完成后，单击下一步。

IDMAccountId：该属性由 PasswordSyncMessageMapper 根据在 JMS 消息中传递的 resourceAccountId 和 resourceAccountGUID 属性解析。

password：在 JMS 消息中转发的加密密码。

单击下一步。

将打开“身份模板”向导页。

请注意，在上一步中添加的属性显示在资源向导的“属性映射”部分中（图 11-13）。

单击下一步。

图 11-13 JMS 侦听器资源向导属性映射
活动同步属性映射

将打开“Identity System 参数”向导页。

根据需要，配置此页中的选项。

有关设置 JMS 侦听器资源适配器的详细信息，请参见 Sun Identity Manager 资源参考资料。

实现同步用户密码工作流

当 Identity Manager 收到密码更改通知时，它将启动“同步用户密码”工作流。默认“同步用户密码”工作流将签出 ChangeUserPassword 查看器，然后再次将其签入。接下来，工作流将处理所有资源帐户（发送最初密码更改通知的 Windows 资源除外）。最后，Identity Manager 将向用户发送电子邮件，指示所有资源上的密码更改是否成功。

如果要默认实现“同步用户密码”工作流，则将其作为 JMS 侦听器适配器实例的进程规则进行分配。可以在配置 JMS 侦听器以进行同步时分配进程规则（请参见配置活动同步）。

如果要修改工作流，请复制 $WSHOME/sample/wfpwsync.xml 文件并进行修改。然后将修改后的工作流导入 Identity Manager。

更改密码后通知哪些实体。

无法找到 Identity Manager 帐户时会出现什么情况。

如何在工作流中选择资源。

是否允许从 Identity Manager 进行密码更改。

有关使用工作流的详细信息，请参见 Sun Identity Manager 工作流、表单和视图。

设置通知

Identity Manager 提供了两个电子邮件模板，它们可以通知用户所有资源上的密码更改是否成功。这两个模板为：

密码同步通知

密码同步失败通知

两个模板均应该更新，以便在用户需要进一步帮助时，为其提供有关下一步操作的公司特定信息。有关详细信息，请参见自定义电子邮件模板。

使用 Sun JMS Server 配置 PasswordSync

Identity Manager 可以使用 Java 消息服务 (Java Message Service, JMS) 从 PasswordSync Servlet 中接收密码更改通知。除了确保传送消息外，JMS 还可以将消息传送到多个系统。

本节通过使用示例方案来提供有关使用 Sun JMS 服务器配置 PasswordSync 的说明。信息通过以下方式进行组织：


注	有关该适配器的详细信息，请参见 Sun Identity Manager 资源参考资料。

概述

本节介绍了示例方案、Windows PasswordSync 解决方案以及 JMS 解决方案。

示例方案

使用 JMS 服务器配置 PasswordSync 的典型（简单）使用案例是使用户在 Windows 上更改其密码，然后令 Identity Manager 获取新密码，最后在 Sun Directory Server 上使用新密码更新用户帐户。

Windows Server 2003 Enterprise Edition ?Active Directory

Sun Identity Manager 6.0 2005Q4M3

在 Suse Linux 10.0 上运行的 MySQL

在 Suse Linux 10.0 上运行的 Tomcat 5.0.28

在 Suse Linux 10.0 上运行的 Sun Message Queue 3.6 SP3 2005Q4

在 Suse Linux 10.0 上运行的 Sun Directory Server 5.2 SP4

Java 1.5 (Java 5.0)

jms.jar（来自 Sun Message Queue）

fscontext.jar（来自 Sun Message Queue）

imq.jar（来自 Sun Message Queue）

jndi.jar（来自 Java JDK）

创建和存储受管理对象

本节介绍了用于创建和存储以下受管理对象的指令，这些指令是示例方案正常工作所必需的：

连接工厂对象

目标对象

可以将受管理对象存储在 LDAP 目录或文件中。如果使用的是文件，该文件的所有实例必须相同。

首先，介绍了有关在 LDAP 目录中存储受管理对象的信息。有关在文件中存储受管理对象的说明，请转到更多...。

在 LDAP 目录中存储受管理对象


注	本节的指令假设您已安装 Sun Message Queue。（所需工具位于安装 Message Queue 的 bin/ 目录中。）您可以使用 Message Queue 管理 GUI (imqadmin) 或命令行工具 (imqobjmgr) 来创建这些受管理对象。以下指令使用命令行工具。

可以将 PasswordSync 和 JMS 侦听器配置为使用 LDAP 目录中存储的受管理对象。图 11-14 说明了该过程。PasswordSync Servlet 和 JMS 侦听器适配器必须从 LDAP 目录中检索连接工厂和目标设置才能发送和接收消息。

本节介绍了如何使用消息队列命令行工具 (imqobjmgr) 将受管理对象存储到 LDAP 目录中。

存储连接工厂对象

打开消息队列命令行工具 (imqobjmgr)，然后键入编码样例 11-1 中的命令以存储连接工厂对象。

编码样例 11-1 存储连接工厂对象


#> ./imqobjmgr add -l "cn=mytestFactory"
-j "java.naming.factory.initial=com.sun.jndi.ldap.LdapCtxFactory"
-j "java.naming.provider.url=ldap://gwenig.coopsrc.com:389/ou=sunmq,dc=coopsrc,dc=com"
-j "java.naming.security.principal=cn=directory manager"
-j "java.naming.security.credentials=password"
-j "java.naming.security.authentication=simple"
-t qf
-o "imqAddressList=mq://gwenig.coopsrc.com:7676/jms"
Adding a Queue Connection Factory object with the following attributes:
imqAckOnAcknowledge [Message Service Acknowledgement of Client Acknowledgements]
...
imqSetJMSXUserID [Enable JMSXUserID Message Property] false

Using the following lookup name:
cn=mytestFactory
The object's read-only state:false
To the object store specified by:
java.naming.factory.initial com.sun.jndi.ldap.LdapCtxFactory
java.naming.provider.url ldap://gwenig.coopsrc.com:389/ou=sunmq,dc=coopsrc,dc=com
java.naming.security.authentication simple
java.naming.security.credentials netscape
java.naming.security.principal cn=directory manager
Object successfully added.

在编码样例 11-1 中，imqAddressList 定义了 JMS 服务器/代理主机名 (gwenig.coopsrc.com)、端口 (7676) 以及访问方法 (jms)。

存储目标对象

在消息队列命令行工具 (imqobjmgr) 中，键入编码样例 11-2 中的命令以存储目标对象。

编码样例 11-2 存储目标对象


#> ./imqobjmgr add -l "cn=mytestDestination"
-j "java.naming.factory.initial=com.sun.jndi.ldap.LdapCtxFactory"
-j "java.naming.provider.url=ldap://gwenig.coopsrc.com:389/ou=sunmq,dc=coopsrc,dc=com"
-j "java.naming.security.principal=cn=directory manager"
-j "java.naming.security.credentials=password"
-j "java.naming.security.authentication=simple"
-t q
-o "imqDestinationName=mytestDestination"
Adding a Queue object with the following attributes:
imqDestinationDescription [Destination Description] A Description for the Destination Object imqDestinationName [Destination Name] mytestDestination
Using the following lookup name:
cn=mytestDestination
The object's read-only state:false
To the object store specified by:
java.naming.factory.initial com.sun.jndi.ldap.LdapCtxFactory
java.naming.provider.url ldap://gwenig.coopsrc.com:389/
ou=sunmq,dc=coopsrc,dc=com
java.naming.security.authentication simple
java.naming.security.credentials netscape java.naming.security.principal cn=directory manager
Object successfully added.


注	您可以使用 ldapsearch 或 LDAP 浏览器来查看新创建的对象。

有关在 LDAP 服务器上存储受管理对象的一节到此结束。请跳过下一节（介绍如何在文件中存储受管理对象），并转到为该方案配置 JMS 侦听器适配器上的一节。

在文件中存储受管理对象

可以将 PasswordSync 和 JMS 侦听器配置为使用文件中存储的受管理对象。如果未在 LDAP 服务器上存储受管理对象（更多...），请按照本节中的说明进行操作。

存储连接工厂对象

打开消息队列命令行工具 (imqobjmgr)，然后键入编码样例 11-3 中的命令以存储连接工厂对象并指定查找名。

编码样例 11-3 存储连接工厂对象并指定查找名称


#> ./imqobjmgr add -l "mytestFactory" -j "java.naming.factory.initial= com.sun.jndi.fscontext.RefFSContextFactory"
-j "java.naming.provider.url=file:///home/gael/tmp" -t qf -o "imqAddressList=mq://gwenig.coopsrc.com:7676/jms"
Adding a Queue Connection Factory object with the following attributes:
imqAckOnAcknowledge [Message Service Acknowledgement of Client Acknowledgements]
...
imqSetJMSXUserID [Enable JMSXUserID Message Property] false
Using the following lookup name:
mytestFactory
The object's read-only state:false To the object store specified by:
java.naming.factory.initial com.sun.jndi.fscontext.RefFSContextFactory java.naming.provider.url file:///home/gael/tmp
Object successfully added.
To specify a destination:
#> ./imqobjmgr add -l "mytestQueue" -j "java.naming.factory.initial=com.sun.jndi.fscontext.RefFSContextFactory"
-j "java.naming.provider.url=file:///home/gael/tmp" -t q -o "imqDestinationName=myTestQueue"
Adding a Queue object with the following attributes:
imqDestinationDescription [Destination Description] A Description for the Destination Object imqDestinationName [Destination Name] myTestQueue
Using the following lookup name:
mytestQueue
The object's read-only state:false
To the object store specified by:
java.naming.factory.initial com.sun.jndi.fscontext.RefFSContextFactory java.naming.provider.url file:///home/gael/tmp
Object successfully added.

在代理上创建目标

默认情况下，Sun Message Queue 代理允许自动创建队列目标（请参见 config.properties，其中 imq.autocreate.queue 的默认值为 true）。

如果没有自动创建队列目标，则必须使用编码样例 11-4（其中 myTestQueue 为目标）中所示的命令在代理上创建目标对象：

编码样例 11-4 在代理上创建目标对象


name (Queue name):
#> cd /opt/sun/mq/bin
#>./imqcmd create dst -t q -n mytestQueue
Username:<admin>
Password:<admin>
Creating a destination with the following attributes:
Destination Name mytestQueue
Destination Type Queue
On the broker specified by:
-------------------------
Host Primary Port
-------------------------
localhost 7676
Successfully created the destination.

存储到目录：使用目录是一种集中存储连接工厂和目标对象的方法。


注	如果 Identity Manager PasswordSync Servlet 和 Identity Manager 服务器不在同一台计算机上，则它们都必须能够访问 .bindings 文件。您可以在每台计算机上将受管理对象的创建过程重复两次，或者将 .bindings 文件复制到每台计算机上的正确位置。

存储到文件：如果 Identity Manager PasswordSync Servlet 和 Identity Manager 服务器在同一台服务器上运行（或者没有可用目录），则可以将管理对象存储到文件中。

为该方案配置 JMS 侦听器适配器

配置活动同步

然后，配置 JMS 侦听器以进行同步。如果使用的是 JMS，则需要活动同步，但不会将其用于直接连接。

在管理员界面中，单击菜单中的资源。

在资源列表中，选中 JMS 侦听器复选框。

在资源操作列表中，选择编辑同步策略。

将打开 JMS 侦听器资源的“编辑同步”页（图 11-15）。

图 11-15 为 JMS 侦听器配置活动同步
“同步模式”屏幕

在普通设置下，找到代理管理员，然后选择 pwsyncadmin。（此管理员与空表单相关联。）

在普通设置下，找到进程规则，然后从列表中选择同步用户密码。默认的同步用户密码工作流接受来自 JMS 侦听器适配器的每个请求并签出 ChangeUserPassword 查看器，然后再签回 ChangeUserPassword 查看器。

在日志文件路径框中，指定创建活动和归档日志文件时所在的目录路径。

出于调试目的，请将日志级别设置为 4 以生成详细日志。

单击保存。

测试配置

您可以使用 Windows PasswordSync 配置应用程序来调试 Windows 端的配置。

如果还没有运行 PasswordSync 配置应用程序，请开始运行。

默认情况下，此配置应用程序安装在 "Program Files" > "Sun Identity Manager PasswordSync" > "Configuration" 中。

在显示“PasswordSync 配置”对话框时，单击测试按钮。

如果使用的是 JMS，将显示“测试连接”对话框（图 11-16），并出现一则消息，指出是否已成功完成测试连接。

图 11-16 “测试连接”对话框

单击关闭以关闭“测试连接”对话框。

单击确定以关闭“PasswordSync 配置”对话框。

之后，JMS 侦听器适配器将在调试模式下运行，并生成包含调试信息的文件（类似于图 11-17 中的文件）。

图 11-17 调试信息文件

有关 PasswordSync 的常见问题 PasswordSync

在不使用 Java Messaging Service 的情况下能否实现 PasswordSync？

要在不使用 JMS 的情况下实现 PasswordSync，请使用以下标志启动配置应用程序：

如果在不使用 JMS 的情况下实现 PasswordSync，则不必创建 JMS 侦听器适配器。因此，您应该忽略在应用服务器上部署 PasswordSync中列出的过程。如果要设置通知，您可能需要改变“更改用户密码”工作流。

PasswordSync 是否可以与用于强制执行自定义密码策略的其他 Windows 密码过滤器一起使用？

是，可以将 PasswordSync 与其他 _WINDOWS_ 密码过滤器一起使用。然而，必须是通知软件包注册表值中列出的最后一个密码过滤器。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages（类型 REG_MULTI_SZ 的值）


注	如果您随后运行配置应用程序而不指定 -direct 标志，则必须配置 JMS 才能实现 PasswordSync。请使用 -direct 标志重新启动应用程序，以便再次绕过 JMS。

默认情况下，安装程序将 Identity Manager 密码拦截设置在列表末尾处。但是，如果您在安装该软件后安装了自定义密码过滤器，则需要将 lhpwic 移到通知软件包列表的结尾处。

可以将 PasswordSync 与其他 Identity Manager 密码策略一起使用。如果在 Identity Manager 服务器端选择了策略，必须传递所有资源密码策略以将密码同步推出至其他资源。因此，您应该使 Windows 本机密码策略的严格程度与 Identity Manager 中定义的最严格的密码策略相同。

是否可以将 PasswordSync Servlet 安装在 Identity Manager 以外的其他应用服务器上？


注	密码拦截 DLL 并不强制执行任何密码策略。

是。除了 JMS 应用程序需要的任何 JAR 文件以外，PasswordSync Servlet 还需要 spml.jar 和 idmcommon.jar JAR 文件。

PasswordSync 服务是否将密码以明文发送到 lh 服务器？

虽然我们建议通过 SSL 运行 PasswordSync，但是在将敏感数据发送到 Identity Manager 服务器之前，所有数据都是加密的。

密码更改有时是否会导致 com.waveset.exception.ItemNotLocked？

如果启用 PasswordSync，密码更改（即使从用户界面启动）将导致资源的密码更改，从而致使资源与 Identity Manager 进行通信。

如果正确配置了 passwordSyncThreshold 工作流变量，则 Identity Manager 将检查用户对象并确定该用户对象是否已经处理了密码更改。但是，如果用户或管理员同时对同一个用户进行了其他密码更改，则用户对象将被锁定。

上一页目录索引下一页
Sun[TM] Identity Manager 8.0 管理