第 11 章 PasswordSync

PasswordSync 可偵測 Windows 網域上啟動的使用者密碼變更，並將這些變更轉寄至 Identity Manager。Identity Manager 接著會使這些密碼變更與 Identity Manager 中定義的其他資源同步化。

什麼是 PasswordSync？

PasswordSync 功能可以使在 Windows Active Directory 網域上所做的使用者密碼變更，與 Identity Manager 中定義的其他資源保持同步。您必須在要與 Identity Manager 同步化之網域中的每個網域控制器上安裝 PasswordSync。您必須將 PasswordSync 與 Identity Manager 分開安裝。

PasswordSync 包含位於每個網域控制器上的 DLL (lhpwic.dll)。此 DLL 會收到 Windows 傳送的密碼更新通知、將其加密，並透過 HTTPS 將通知傳送至 PasswordSync Servlet。PasswordSync Servlet 位在執行 Identity Manager 的應用程式伺服器上。

PasswordSync Servlet 會將通知轉譯為 Identity Manager 可瞭解的格式。然後再使用下列方法之一，將密碼變更 (仍處於加密情況) 傳送至 Identity Manager：


備註	Sun 建議使用 HTTPS，但也支援 HTTP。

直接方法 - Servlet 使用本機 Identity Manager 類別，直接將密碼變更傳送至 Identity Manager (請參閱圖 11-1)。

JMS 方法 - Servlet 使用 JMS (Java Message Service)，將密碼資訊傳送至 Identity Manager。Servlet 使用 JMS 提交密碼變更給 JMS Message Queue。另一方面，Identity Manager 的 JMS 偵聽程式資源配接卡會檢查佇列是否有新訊息。若佇列中發現有等候的密碼變更訊息，JMS 偵聽程式介面會從佇列中取出訊息，並匯入至 Identity Manager (請參閱圖 11-2)。

圖 11-2 圖示 JMS 連線。在此配置中，PasswordSync Servlet 會將更新訊息傳送至 JMS Message Queue。Identity Manager 的 JMS 偵聽程式資源配接卡會定期檢查佇列 (在圖表中以淺藍色的箭頭表示) 中是否有新訊息。而佇列的回應是將訊息傳送至 Identity Manager (以深藍色箭頭表示)。

Identity Manager 收到密碼變更通知之後，會將其解密，並使用工作流程作業處理該變更。密碼將在使用者的所有指定資源中更新，同時 SMTP 伺服器會向使用者傳送電子郵件，以通知使用者密碼變更的狀態。


備註	Windows 僅會在密碼變更成功時，傳送更新通知。若密碼變更請求不符合網域的密碼策略，Windows 即會拒絕，而且不會向 Identity Manager 傳送任何同步化資料。

圖 11-3 顯示 Identity Manager 啟動工作流程，並在收到密碼更新通知之後，傳送電子郵件給使用者。


備註	PasswordSync 會捨棄帳號名稱結尾為 $ (美元符號) 的所有帳號變更通知。結尾為 $ 的帳號名稱會假設為 Windows 電腦帳號。所有結尾是美元符號的使用者帳號，均不會轉寄至 Identity Manager。

安裝前注意事項

PasswordSync 功能只能設定在 Windows 2003 和 Windows 2000 網域控制器上 (Identity Manager 8.0 版起已停止支援 Windows NT 網域控制器)。您必須在會與 Identity Manager 同步化的網域中之每個主要與備份網域控制器上，安裝 PasswordSync。強烈建議配置 PasswordSync 使用 HTTPS。


備註	所有網域控制器上 7.1.1 版以前的 PasswordSync，都至少應更新為 7.1.1 版。 8.0 版已不再支援 rpcrouter2 Servlet，且會自後續發行版本中移除。PasswordSync 7.1.1 版及更新版本支援新的協定。

若使用 JMS，PasswordSync 需要與 JMS 伺服器的連結。如需有關 JMS 系統需求的更多資訊，請參閱「Sun Identity Manager Resources Reference」中的「JMS 偵聽程式資源配接卡」一節。

在每個網域控制器上至少要安裝 Microsoft .NET 1.1

移除所有舊版的 PasswordSync

安裝 Microsoft .NET 1.1

若要使用 PasswordSync，則必須安裝 Microsoft .NET 1.1 Framework。如果您使用 Windows 2003 網域控制器，則依預設安裝此 Framework。若使用 Windows 2000 網域控制器，則可以從 Microsoft 下載中心下載此工具組，網址為：

配置 PasswordSync 使用 SSL

雖然機密資料在傳送至 Identity Manager 伺服器之前會經過加密，但是 Sun Microsystems 還是建議您配置 PasswordSync 使用安全的 SSL 連線 (亦即 HTTPS 連線)。

如需有關如何安裝匯入的 SSL 憑證的資訊，請參閱以下 Microsoft 知識庫 How-To 文章：


備註	在 [關鍵字] 搜尋欄位中輸入 NET Framework 1.1 Redistributable，以快速尋找架構工具組。該工具組將安裝 .NET 1.1 Framework。

安裝 PasswordSync 之後，可在 [PasswordSync 配置] 對話方塊中指定 HTTPS URL，以測試 SSL 連線是否配置正確。請參閱測試您的配置，以取得說明。

解除安裝舊版的 PasswordSync

安裝更高版本之前，您必須先移除先前安裝的所有 PasswordSync 實例。

如果先前安裝的 PasswordSync 版本支援 IdmPwSync.msi 安裝程式，您可以使用標準的 Windows [新增/移除程式] 公用程式來移除該程式。

如果先前安裝的 PasswordSync 版本不支援 IdmPwSync.msi 安裝程式，則可以使用 InstallAnywhere 解除安裝程式來移除該程式。

在 Windows 上安裝 PasswordSync


備註	您必須在會與 Identity Manager 同步化的網域中之每個網域控制器上安裝 PasswordSync。請務必先解除安裝所有之前安裝的 PasswordSync 版本，再繼續安裝。

若安裝至 32 位元版本的 Windows，請從 Identity Manager 安裝媒體連按兩下 pwsync\IdmPwSync_x86.msi，而若安裝至 64 位元版本的 Windows，請連按兩下 pwsync\IdmPwSync_x64.msi。

將顯示歡迎視窗。

安裝精靈提供了以下瀏覽按鈕：

[取消]：按一下可隨時結束精靈，而不儲存任何變更。

[上一步]：按一下可返回前一個對話方塊。

[下一頁]：按一下可進入下一個對話方塊。

請閱讀 [歡迎] 螢幕上顯示的資訊，然後按 [下一步] 以顯示 [選擇安裝類型 PasswordSync 配置] 視窗。

按一下 [一般] 或 [完成] 以安裝完整的 PasswordSync 套裝軟體，或按一下 [自訂] 以控制要安裝的套裝軟體部分。

按一下 [安裝] 以安裝產品。

成功安裝 PasswordSync 後，螢幕上將顯示訊息告知您安裝成功。

按一下 [完成] 以完成安裝程序。

請務必選取 [啟動配置應用程式]，以開始配置 Password Sync。請參閱「配置 PasswordSync」，以取得有關該程序的詳細資訊。



備註	螢幕上將顯示對話方塊，表明您必須重新啟動系統才能使變更生效。完成配置 PasswordSync 之前不必重新啟動系統，但必須在實作 PasswordSync 之前重新啟動網域控制器。

表 11-1 網域控制器檔案
安裝的元件	說明
%$INSTALL_DIR$%\configure.exe	PasswordSync 配置程式
%$INSTALL_DIR$%\configure.exe.manifest	配置程式的資料檔
%$INSTALL_DIR$%\passwordsyncmsgs.dll	處理 PasswordSync 訊息的 DLL
%SYSTEMROOT%\SYSTEM32\lhpwic.dll	實作 Windows PasswordChangeNotify () 函數的密碼通知 DLL

配置 PasswordSync

如果您從安裝程式執行配置應用程式，則該應用程式會將配置螢幕顯示為精靈。完成精靈後，以後每次執行 PasswordSync 配置應用程式時，都可以透過選取標籤在螢幕之間瀏覽。

請啟動 PasswordSync 配置應用程式 (若尚未執行)。

依預設，此配置應用程式安裝在 [Program Files] > Sun Identity Manager PasswordSync > [配置] 中。

若不打算使用 JMS，請從指令行啟動配置應用程式。請務必要包含 -direct 旗標：

C:\InstallDir\Configure.exe -direct

螢幕上將顯示 [PasswordSync 配置] 對話方塊 (請參閱圖 11-4)。

圖 11-4 PasswordSync 精靈配置對話方塊
伺服器配置對話方塊

依需要編輯以下欄位。

[伺服器] 必須用安裝 Identity Manager 的完全合格的主機名稱或 IP 位址替代。

[協定] 指示是否與 Identity Manager 進行安全連線。如果選取 HTTP，則預設連接埠為 80。如果選取 HTTPS，則預設連接埠為 443。

[路徑] 指定應用程式伺服器上 Identity Manager 的路徑。

[URL] 透過將其他欄位鏈結在一起產生。不能在 URL 欄位中編輯值。

按 [下一頁] 以顯示代理伺服器配置頁面 (圖 11-5)。

圖 11-5 PasswordSync 精靈代理伺服器對話方塊

依需要編輯以下欄位。

若需要代理伺服器，請選取 [啟用]。

[伺服器] 必須以代理伺服器的完全合格主機名稱或 IP 位址替代。

Port：指定可用的伺服器連接埠號碼 (預設代理伺服器連接埠為 8080，預設 HTTPS 連接埠為 443)。

按 [下一頁] 以顯示 JMS 設定對話方塊 (圖 11-6)。

或者，若不打算使用 JMS，且已使用 -direct 旗標啟動配置精靈，則請按 [下一步] 以顯示 [使用者] 對話方塊。跳至步驟 5。

圖 11-6 PasswordSync 精靈 JMS 設定對話方塊

依需要編輯以下欄位。

[使用者] 指定在佇列中置入新訊息的 JMS 使用者名稱。

[密碼] 和 [確認] 指定 JMS 使用者的密碼。

[連線工廠] 指定要使用之 JMS 連線工廠的名稱。該工廠必須已存在於 JMS 系統中。

在大多數情況下，應將 [階段作業類型] 設定為 [LOCAL]，這表示將使用本機階段作業作業事件。系統收到每條訊息後，將提交階段作業。其他可能的值包括 [AUTO]、[CLIENT] 和 [DUPS_OK]。

[佇列名稱] 指定密碼同步化事件的目標查詢名稱。

按 [下一頁] 以顯示 JMS 特性對話方塊 (圖 11-7)。

圖 11-7 PasswordSync 精靈 JMS 特性對話方塊

JMS 特性對話方塊可讓您定義用於建立初始 JNDI 環境的特性集。必須定義以下名稱/值對：

java.naming.provider.url - 必須將該值設定為執行 JNDI 服務之機器的 URL。

java.naming.factory.initial - 必須將該值設定為 JNDI 服務提供者的初始環境工廠之類別名稱 (包括套裝模組)。

[名稱] 下拉式功能表包含 java.naming 套裝模組中的類別清單。選取類別或鍵入類型名稱，然後在 [值] 欄位中輸入其對應的值。

若不打算使用 JMS，且已使用 -direct 旗標啟動配置精靈，則請配置 [使用者] 標籤。否則，請略過此步驟並進入下一個步驟。

若要配置 [使用者] 標籤，請視需要編輯欄位。

[帳號 ID] 可指定連線至 Identity Manager 所使用的使用者名稱。

[密碼] 可指定連線至 Identity Manager 所使用的密碼。

按 [下一頁] 以顯示電子郵件對話方塊 (圖 11-8)。

圖 11-8 PasswordSync 精靈電子郵件對話方塊

透過 [電子郵件] 對話方塊，您可以配置當使用者的密碼變更未成功同步化 (由於通訊錯誤或 Identity Manager 之外的其他錯誤) 時，是否傳送電子郵件通知。

依需要編輯以下欄位。

選取 [啟用電子郵件] 以啟用該功能。如果使用者要接收通知，請選取 [電子郵件一般使用者]。否則，將僅通知管理員。

[SMTP 伺服器] 是傳送故障通知時要使用之 SMTP 伺服器的完全合格名稱或 IP 位址。

[管理員電子郵件地址] 是用於傳送通知的電子郵件位址。

[寄件者名稱] 是方便易用的寄件者名稱。

[寄件者地址] 是寄件者的電子郵件地址。

[訊息主旨] 指定所有通知的主旨行

[訊息內文] 指定通知的文字。

郵件內文可能包含以下變數。

$(accountId) - 嘗試變更密碼的使用者之帳號 ID。

$(sourceEndpoint) - 安裝密碼提示程式的網域控制器之主機名稱，有助於找到發生問題的機器。

$(errorMessage) - 對所發生的錯誤進行說明的錯誤訊息。

按一下 [完成] 以儲存變更。

若再次執行配置應用程式，則螢幕上將會顯示一組標籤，而非精靈。若希望將應用程式顯示為精靈，請從指令行鍵入以下指令：

在 Windows 上對 PasswordSync 執行除錯

請參閱「Identity Manager Tuning, Troubleshooting, and Error Messages」一書，以取得有關在 Windows 上對 PasswordSync 進行疑難排解的資訊。

錯誤記錄

PasswordSync 會將所有故障寫入 Windows 事件檢視器 (如需使用事件檢視器的說明，請參閱 Windows 說明)。錯誤記錄項目的來源名稱是 PasswordSync。

解除安裝 Windows 上的 PasswordSync

若要解除安裝 PasswordSync 應用程式，請至 Windows [控制面板] 並選取[新增/移除程式]。然後選取 [Sun Identity Manager PasswordSync] 並按一下 [移除]。


備註	您也可以放入 Identity Manager 安裝媒體並按一下 pwsync\IdmPwSync.msi 圖示，以解除安裝 (或重新安裝) PasswordSync。

在應用程式伺服器上部署 PasswordSync

在 Windows 網域控制器上安裝 PasswordSync 之後，必須在執行 Identity Manager 的應用程式伺服器上進行額外的步驟。

您不需要在應用程式伺服器上安裝 PasswordSync Servlet。它會隨著 Identity Manager 安裝時自動安裝。

但是，若要完成部署 PasswordSync，則必須在 Identity Manager 中執行以下動作：

增加及配置 JMS 偵聽程式介面 (若使用 JMS)

實作「同步化使用者密碼」工作流程

設定通知

增加及配置 JMS 偵聽程式介面

若 PasswordSync Servlet 使用 JMS 將訊息傳送至 Identity Manager，則必須增加 Identity Manager 的 JMS 偵聽程式資源配接卡。JMS 偵聽程式資源配接卡會定期檢查 JMS Message Queue 中是否有 PasswordSync Servlet 放置的訊息。若佇列包含新訊息，則會將之傳送至 Identity Manager 進行處理。

登入 Identity Manager 管理員介面 (更多... )。

按一下 [資源]。

按一下輔助功能表的 [配置類型]。

[配置受管資源] 頁面會隨即開啟。

確認已為 [JMS 偵聽程式] 選取了 [受管理？] 欄中的核取方塊 (請參閱圖 11-9)。

若未選取，請選取核取方塊，然後按一下 [儲存]。否則，請前往下一個步驟。

圖 11-9 顯示 [配置受管資源] 頁面。確認已選取了 [JMS 偵聽程式]。

按一下輔助功能表的 [列出資源]。

找到 [資源類型動作] 下拉式功能表，然後選取 [新資源]。

[新資源] 頁面會隨即開啟。

從下拉式功能表選取 [JMS 偵聽程式]，然後按一下 [新增] (請參閱圖 11-10)。

[建立 JMS 偵聽程式資源精靈] 的 [歡迎] 頁面會隨即開啟。按 [下一步] 啟動配置精靈。

圖 11-10 顯示 [新增資源精靈]。若要增加 JMS 偵聽程式介面，請從清單中選取 [JMS 偵聽程式]。

完成 [資源參數] 精靈頁面上的表單。完成時按 [下一步]。

目標類型 - 通常會將該值設定為 [佇列] (因為有一個訂閱者以及多個可能的發佈程式，所以主題通常不相關)。

初始環境 JNDI 特性 - 該文字方塊定義用於建立初始 JNDI 環境的特性集。必須定義以下名稱/值對：

java.naming.factory.initial - 必須將該值設定為 JNDI 服務提供者的初始環境工廠之類別名稱 (包括套裝模組)。

java.naming.provider.url - 必須將該值設定為執行 JNDI 服務之機器的 URL。

可能需要定義其他特性。特性和值清單應與 JMS 伺服器的 JMS 設定頁上指定的特性和值相符。

例如，若要提供憑證和連結方法，您必須指定以下特性範例：

java.naming.security.principal：連結 DN (例如，cn=Directory manager)

java.naming.security.authentication：連結方法 (例如，簡單)

java.naming.security.credentials：密碼

連線工廠的 JNDI 名稱 - 在 JMS 伺服器中定義的連線工廠名稱。

目標的 JNDI 名稱 - 在 JMS 伺服器中定義的目標名稱。

使用者與密碼 - 從佇列中請求新事件的管理員之帳號名稱和密碼。

可靠的訊息傳送支援 - 選取 LOCAL (本機作業事件)。其他選項不適用於密碼同步化。

訊息對映 - 輸入 java:com.waveset.adapter.jms.PasswordSyncMessageMapper。該類別可將來自 JMS 伺服器的郵件變換為同步化使用者密碼工作流程可以使用的格式。

圖 11-11 JMS 偵聽程式資源精靈的資源參數頁面

在 [帳號屬性] 精靈頁面上，按一下 [增加屬性]。

圖 11-12 [建立 JMS 偵聽程式資源精靈] 的 [帳號屬性] 頁面

對映以下屬性，JMS 偵聽程式介面可透過 PasswordSyncMessageMapper 使用這些屬性。請參閱圖 11-12。完成時按 [下一步]。

IDMAccountId：此屬性由 PasswordSyncMessageMapper 根據 JMS 訊息中傳送的 resourceAccountId 和 resourceAccountGUID 屬性進行解析。

password：在 JMS 訊息中轉寄的已加密密碼。

按 [下一步]。

[身份識別範本] 精靈頁面會隨即開啟。

請注意，您在前一個步驟中增加的屬性，會出現在 [資源精靈] 的 [屬性對映] 區段中 (圖 11-13)。

按 [下一步]。

圖 11-13 JMS 偵聽程式資源精靈屬性對映
Active Sync 屬性對映

[身份識別系統參數] 精靈頁面會隨即開啟。

請視需要配置此頁面上的選項。

請參閱「Sun Identity Manager Resources Reference」，以取得有關設定 JMS 偵聽程式資源配接卡的更多資訊。

實作同步化使用者密碼工作流程

Identity Manager 收到密碼變更通知之後，會啟動「同步化使用者密碼」工作流程。預設的「同步化使用者密碼」工作流程會簽出 ChangeUserPassword 檢視器，然後再重新簽入。接著，工作流程會處理所有資源帳號 (傳送初始密碼變更通知的 Windows 資源除外)。最後，Identity Manager 會傳送使用者電子郵件，指出所有資源上的密碼變更是否成功。

若要使用預設實作「同步化使用者密碼」工作流程，請將其指定為 JMS 偵聽程式介面實例的處理規則。處理規則可在配置 JMS 偵聽程式進行同步化時指定 (請參閱配置 Active Sync)。

若要修改工作流程，請複製 $WSHOME/sample/wfpwsync.xml 檔案並進行修改。然後將修改的工作流程匯入 Identity Manager。

變更密碼後通知哪些實體。

找不到 Identity Manager 帳號時會發生什麼情況。

在工作流程中選取資源的方式。

是否允許從 Identity Manager 變更密碼。

如需有關使用工作流程的詳細資訊，請參閱「Sun Identity Manager Workflows, Forms, and Views」。

設定通知

Identity Manager 提供兩種電子郵件範本，可通知使用者所有資源上的密碼變更是否成功。這些範本如下：

密碼同步通知

密碼同步失敗通知

兩個範本均應更新，以便在使用者需要進一步幫助時，為其提供有關下一步操作的公司特定資訊。如需更多資訊，請參閱自訂電子郵件範本。

使用 Sun JMS 伺服器配置 PasswordSync

Identity Manager 可使用 Java Message Service (JMS) 從 PasswordSync Servlet 接收密碼變更通知。除了擔保傳送之外，JMS 還可將訊息傳送至多部系統。

本小節透過方案範例提供了使用 Sun JMS 伺服器配置 PasswordSync 的說明。相關資訊編排如下：


備註	請參閱「Sun Identity Manager Resources Reference」以取得有關此介面的更多資訊。

簡介

本小節說明了方案範例、Windows PasswordSync 解決方案以及 JMS 解決方案。

方案範例

使用 JMS 伺服器配置 PasswordSync 的典型 (簡單) 用途是，可讓使用者變更其在 Windows 上的密碼，使 Identity Manager 取得新密碼，然後在 Sun Directory Server 上使用新密碼更新使用者帳號。

Windows Server 2003 Enterprise Edition - Active Directory

Sun Identity Manager 6.0 2005Q4M3

在 Suse Linux 10.0 上執行的 MySQL

Tomcat 5.0.28 running on Suse Linux 10.0

在 Suse Linux 10.0 上執行的 Sun Message Queue 3.6 SP3 2005Q4

在 Suse Linux 10.0 上執行的 Sun Directory Server 5.2 SP4

Java 1.5 (Java 5.0)

jms.jar (自 Sun Message Queue)

fscontext.jar (自 Sun Message Queue)

imq.jar (自 Sun Message Queue)

jndi.jar (自 Java JDK)

建立與儲存受管理物件

本小節提供了建立與儲存以下管理物件的說明，這些物件是使方案範例順利工作所必需的：

連線工廠物件

目標物件

受管理物件可儲存在 LDAP 目錄或檔案中。若使用檔案，則檔案的所有實例必須相同。

首先會介紹如何將受管理物件儲存在 LDAP 目錄中。如需有關將受管理物件儲存在檔案中的說明，請參閱更多... 。

將受管理物件儲存在 LDAP 目錄中


備註	本小節中的說明假設您已安裝 Sun Message Queue (必要的工具位於 Message Queue 安裝目錄的 bin/ 中)。您可以使用 Message Queue 管理 GUI (imqadmin) 或指令行工具 (imqobjmgr) 建立這些受管理物件。以下說明使用指令行工具。

PasswordSync 與 JMS 偵聽程式可配置為使用 LDAP 目錄中所儲存的受管理物件。圖 11-14 說明此程序。PasswordSync Servlet 和 JMS 偵聽程式介面都必須從 LDAP 目錄擷取連線工廠和目標設定，以便傳送及接收訊息。

本節說明如何使用 Message Queue 指令行工具 (imqobjmgr) 將受管理物件儲存在 LDAP 目錄中。

儲存連線工廠物件

開啟 Message Queue 指令行工具 (imqobjmgr)，並鍵入編碼樣例 11-1 中的指令以儲存連線工廠物件。

編碼樣例 11-1 儲存連線工廠物件


#> ./imqobjmgr add -l "cn=mytestFactory"
-j "java.naming.factory.initial=com.sun.jndi.ldap.LdapCtxFactory"
-j "java.naming.provider.url=ldap://gwenig.coopsrc.com:389/ou=sunmq,dc=coopsrc,dc=com"
-j "java.naming.security.principal=cn=directory manager"
-j "java.naming.security.credentials=password"
-j "java.naming.security.authentication=simple"
-t qf
-o "imqAddressList=mq://gwenig.coopsrc.com:7676/jms"
Adding a Queue Connection Factory object with the following attributes:
imqAckOnAcknowledge [Message Service Acknowledgement of Client Acknowledgements]
...
imqSetJMSXUserID [Enable JMSXUserID Message Property] false

Using the following lookup name:
cn=mytestFactory
The object's read-only state:false
To the object store specified by:
java.naming.factory.initial com.sun.jndi.ldap.LdapCtxFactory
java.naming.provider.url ldap://gwenig.coopsrc.com:389/ou=sunmq,dc=coopsrc,dc=com
java.naming.security.authentication simple
java.naming.security.credentials netscape
java.naming.security.principal cn=directory manager
Object successfully added.

在編碼樣例 11-1 中，imqAddressList 會定義 JMS 伺服器/代理程式主機名稱 (gwenig.coopsrc.com)、連接埠 (7676) 以及存取方法 (jms)。

儲存目標物件

在 Message Queue 指令行工具 (imqobjmgr) 中，鍵入編碼樣例 11-2 中的指令以儲存目標物件。

編碼樣例 11-2 儲存目標物件


#> ./imqobjmgr add -l "cn=mytestDestination"
-j "java.naming.factory.initial=com.sun.jndi.ldap.LdapCtxFactory"
-j "java.naming.provider.url=ldap://gwenig.coopsrc.com:389/ou=sunmq,dc=coopsrc,dc=com"
-j "java.naming.security.principal=cn=directory manager"
-j "java.naming.security.credentials=password"
-j "java.naming.security.authentication=simple"
-t q
-o "imqDestinationName=mytestDestination"
Adding a Queue object with the following attributes:
imqDestinationDescription [Destination Description] A Description for the Destination Object imqDestinationName [Destination Name] mytestDestination
Using the following lookup name:
cn=mytestDestination
The object's read-only state:false
To the object store specified by:
java.naming.factory.initial com.sun.jndi.ldap.LdapCtxFactory
java.naming.provider.url ldap://gwenig.coopsrc.com:389/
ou=sunmq,dc=coopsrc,dc=com
java.naming.security.authentication simple
java.naming.security.credentials netscape java.naming.security.principal cn=directory manager
Object successfully added.


備註	您可以使用 ldapsearch 或 LDAP 瀏覽器，檢查新建立的物件。

將受管理物件儲存在 LDAP 伺服器上的小節到此結束。請略過下一節有關將受管理物件儲存在檔案中的說明，並前往為此方案配置 JMS 偵聽程式介面小節。

將受管理物件儲存在檔案中

PasswordSync 與 JMS 偵聽程式可配置為使用檔案中所儲存的受管理物件。若不是在 LDAP 伺服器上儲存受管理物件 (更多... )，請遵循本小節的指示進行。

儲存連線工廠物件

開啟 Message Queue 指令行工具 (imqobjmgr)，並鍵入編碼樣例 11-3 中的指令以儲存連線工廠物件，並指定查找名稱。

編碼樣例 11-3 儲存連線工廠物件和指定查詢名稱


#> ./imqobjmgr add -l "mytestFactory" -j "java.naming.factory.initial= com.sun.jndi.fscontext.RefFSContextFactory"
-j "java.naming.provider.url=file:///home/gael/tmp" -t qf -o "imqAddressList=mq://gwenig.coopsrc.com:7676/jms"
Adding a Queue Connection Factory object with the following attributes:
imqAckOnAcknowledge [Message Service Acknowledgement of Client Acknowledgements]
...
imqSetJMSXUserID [Enable JMSXUserID Message Property] false
Using the following lookup name:
mytestFactory
The object's read-only state:false To the object store specified by:
java.naming.factory.initial com.sun.jndi.fscontext.RefFSContextFactory java.naming.provider.url file:///home/gael/tmp
Object successfully added.
To specify a destination:
#> ./imqobjmgr add -l "mytestQueue" -j "java.naming.factory.initial=com.sun.jndi.fscontext.RefFSContextFactory"
-j "java.naming.provider.url=file:///home/gael/tmp" -t q -o "imqDestinationName=myTestQueue"
Adding a Queue object with the following attributes:
imqDestinationDescription [Destination Description] A Description for the Destination Object imqDestinationName [Destination Name] myTestQueue
Using the following lookup name:
mytestQueue
The object's read-only state:false
To the object store specified by:
java.naming.factory.initial com.sun.jndi.fscontext.RefFSContextFactory java.naming.provider.url file:///home/gael/tmp
Object successfully added.

在代理程式上建立目標

依預設，Sun Message Queue 代理程式允許自動建立佇列目標 (請參閱 config.properties，其中 imq.autocreate.queue 的預設值為 true)。

如果未自動建立佇列目標，則您必須使用編碼樣例 11-4 (其中 myTestQueue 為目標) 中顯示的指令在代理程式上建立目標物件：

編碼樣例 11-4 在代理程式上建立目標物件


name (Queue name):
#> cd /opt/sun/mq/bin
#>./imqcmd create dst -t q -n mytestQueue
Username:<admin>
Password:<admin>
Creating a destination with the following attributes:
Destination Name mytestQueue
Destination Type Queue
On the broker specified by:
-------------------------
Host Primary Port
-------------------------
localhost 7676
Successfully created the destination.

在目錄中：使用目錄是儲存連線工廠和目標物件的集中方式。


備註	若 Identity Manager PasswordSync Servlet 和 Identity Manager 伺服器不在同一台機器上，則二者都必須可以存取 .bindings 檔案。您可以重複建立兩次受管理物件 (在每台機器上)，或將 .bindings 檔案複製到每台機器上的適當位置。

在檔案中： 若 Identity Manager PasswordSync Servlet 和 Identity Manager 伺服器均在相同的伺服器上執行 (或是如果沒有可用的目錄)，則可以將管理物件儲存在檔案中。

為此方案配置 JMS 偵聽程式介面

配置 Active Sync

接著配置 JMS 偵聽程式進行同步化。使用 JMS 時需要 Active Sync，但直接連線則不會用到。

在管理員介面中，按一下功能表的 [資源]。

在 [資源清單] 中，選取 [JMS 偵聽程式] 核取方塊。

在 [資源動作] 清單中，選取 [編輯同步化策略]。

JMS 偵聽程式資源的 [編輯同步化] 頁面會隨即開啟 (圖 11-15)。

圖 11-15 為 JMS 偵聽程式配置 Active Sync
[Synchronization Mode] 螢幕

在 [共用設定] 下，找到 [代理管理員]，然後選取 [pwsyncadmin] (此管理員與空白表單相關聯)。

在 [共用設定] 下，找到 [處理規則]，然後從清單中選取 [同步化使用者密碼]。預設的同步化使用者密碼工作流程接受來自 JMS 偵聽程式介面的每個請求，出庫使用 ChangeUserPassword 檢視器，然後再將 ChangeUserPassword 檢視器入庫納管。

在 [記錄檔路徑] 方塊中，指定要在其中建立使用中與已歸檔記錄檔的目錄路徑。

若為除錯目的，請將 [記錄層級] 設定為 [4] 以產生詳細的記錄。

按一下 [儲存]。

測試您的配置

您可以使用 Windows PasswordSync 配置應用程式來對 Windows 端的配置執行除錯。

如果尚未執行 PasswordSync 配置應用程式，請將其啟動。

依預設，此配置應用程式安裝在 [Program Files] >
Sun Identity Manager PasswordSync > [配置] 中。

顯示 [PasswordSync 配置] 對話方塊時，按一下 [測試] 按鈕。

若使用 JMS，將會顯示 [測試連線] 對話方塊 (圖 11-16)，其中包含一條訊息表明測試連線是否成功完成。

圖 11-16 [測試連線] 對話方塊

按一下 [關閉] 以關閉 [測試連線] 對話方塊。

按一下 [確定] 以關閉 [PasswordSync 配置] 對話方塊。

然後 JMS 偵聽程式介面將會以除錯模式執行，並在檔案中產生除錯資訊，與圖 11-17 所示相似。

圖 11-17 除錯資訊檔案

相關常見問題 PasswordSync

是否可以不使用 Java Messaging Service 而實作 PasswordSync？

可以，但這種做法會犧牲使用 JMS 追蹤密碼變更事件的好處。

若要不使用 JMS 而實作 PasswordSync，請以下列旗標啟動配置應用程式：

若指定 -direct 旗標，配置應用程式會隨即顯示 [使用者] 標籤。

若您不使用 JMS 而實作 PasswordSync，則無需建立 JMS 偵聽程式介面。因此，請略過在應用程式伺服器上部署 PasswordSync中所列的程序。若要設定通知，可能必須改變 [變更使用者密碼] 工作流程。

PasswordSync 是否可以與其他用於強制自訂密碼策略的 Windows 密碼篩選器配合使用？

是的，您可以將 PasswordSync 與其他 _WINDOWS_ 密碼篩選器配合使用。然而，必須是 [通知套裝軟體] 登錄值中列出的最後一個密碼篩選器。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages (類型 REG_MULTI_SZ 的值)


備註	如果您隨後在未指定 -direct 旗標的情況下執行配置應用程式，則必須在配置 JMS 後方可執行 PasswordSync。請使用 -direct 旗標重新啟動應用程式，以便再次略過 JMS。

依預設，安裝程式將 Identity Manager 密碼截取置於清單結尾。但是，如果您在安裝該軟體後安裝自訂密碼篩選器，則需要將 lhpwic 移至 [通知套裝軟體] 清單的結尾。

您可以將 PasswordSync 與其他 Identity Manager 密碼策略配合使用。在 Identity Manager 伺服器端檢查策略時，必須傳送所有資源密碼策略，才可以將密碼同步化推出至其他資源。因此，您應使 Windows 本機密碼策略具有與 Identity Manager 中定義的大多數限制性密碼策略同等的限制性。

是否可以將 PasswordSync Servlet 安裝在 Identity Manager 以外的其他應用伺服器上？


備註	密碼截取 DLL 不會強制執行任何密碼策略。

可以。除了 JMS 應用程式需要的所有 JAR 檔案之外，PasswordSync Servlet 還需要 JAR 檔案 spml.jar 和 idmcommon.jar。

PasswordSync 服務是否將密碼以明文傳送至 lh 伺服器？

雖然我們建議透過 SSL 執行 PasswordSync，但是在傳送至 Identity Manager 伺服器之前，所有敏感資料都是加密的。

有時密碼變更會導致 com.waveset.exception.ItemNotLocked？

如果啟用 PasswordSync，密碼變更 (即使從使用者介面啟動) 會使資源的密碼發生變更，而這會導致資源與 Identity Manager 連絡。

如果正確配置 passwordSyncThreshold 工作流程變數，則 Identity Manager 將檢查使用者物件並確定該使用者物件已處理密碼變更。但是，如果使用者或管理員同時對同一使用者進行其他密碼變更，則使用者物件將被鎖定。

上一頁目錄索引下一頁
Sun[TM] Identity Manager 8.0 管理