Capítulo 11 PasswordSync

PasswordSync detecta los cambios de contraseña de usuario iniciados en los dominios de Windows y reenvía esos cambios a Identity Manager. A continuación, Identity Manager sincroniza los cambios de contraseña con los demás recursos definidos en Identity Manager.

El capítulo se ha organizado como sigue:

• ¿Qué es PasswordSync?

• Antes de la instalación

• Instalación y configuración de PasswordSync en Windows

• Implementación de PasswordSync en el servidor de aplicaciones

• Configuración de PasswordSync con un servidor Sun JMS

• Verificación de la configuración

• Depuración de PasswordSync en Windows

• Desinstalación de PasswordSync en Windows

• Preguntas frecuentes sobre PasswordSync

¿Qué es PasswordSync?

La funcionalidad PasswordSync mantiene sincronizados los cambios de contraseñas de usuario realizados en dominios de Windows Active Directory con otros recursos definidos en Identity Manager. PasswordSync debe instalarse en cada controlador de dominio dentro de los dominios que vayan a sincronizarse con Identity Manager. PasswordSync debe instalarse por separado de Identity Manager.

PasswordSync consta de una DLL (lhpwic.dll) que reside en cada controlador de dominio. Esta DLL recibe las notificaciones de actualización de contraseña procedentes de Windows, las cifra y las envía por HTTPS al servlet de PasswordSync. El servlet de PasswordSync se halla en el servidor de aplicaciones donde se ejecuta Identity Manager.

Aunque es preferible utilizar HTTPS, también se admite HTTP.

El servlet de PasswordSync convierte la notificación a un formato comprensible para Identity Manager. A continuación, el servlet envía el cambio de contraseña (aún cifrado) a Identity Manager con uno de los siguientes métodos:

• Método directo. El servlet comunica el cambio de contraseña directamente a Identity Manager utilizando clases nativas de Identity Manager. (Consulte ¿Qué es PasswordSync?.)

  El método de conexión directa sólo se recomienda para los pequeños entornos poco complejos que únicamente precisan entregar mensajes a un sistema, sin necesidad de garantía de entrega. (Si por algún motivo falla la entrega del mensaje, éste se perderá. No es posible entregar una copia de seguridad.)

• Método JMS. El servlet envía la información de contraseña a Identity Manager utilizando JMS (Java Message Service). Con JMS, el servlet envía los cambios de contraseña a la cola de mensajes de JMS. Por su parte, el adaptador de recursos del receptor de JMS de Identity Manager comprueba si hay nuevos mensajes en la cola. Si en la cola aguarda un mensaje de cambio de contraseña, el adaptador del receptor de JMS lo quita de la cola y lo importa a Identity Manager. (Consulte la Figura 11–2.)

  El método JMS se recomienda para entornos más complejos con grandes exigencias de volumen, necesidad de entregar mensajes a diversos sistemas y garantía de entrega de los mensajes. Puede asignarse ata disponibilidad a la cola de mensajes de JMS. En tanto que un mensaje llegue a la cola, si falla la entrega a Identity Manager, la cola conservará el cambio hasta que sea posible entregar el mensaje a Identity Manager.

  JMS se debe instalar y configurar por separado.

En la Figura 11–1 se representa una conexión directa. En esta configuración, el servlet de PasswordSync envía los mensajes de actualización directamente a Identity Manager

Figura 11–1 Diagrama lógico de PasswordSync (conexión directa)

En la Figura 11–2 se representa una conexión JMS. En esta configuración, el servlet de PasswordSync envía los mensajes de actualización a la cola de mensajes de JMS. El adaptador de recursos del receptor de JMS de Identity Manager comprueba periódicamente si hay nuevos mensajes en la cola (flecha azul claro en el diagrama). La cola responde enviando los mensajes a Identity Manager (flecha azul más oscura).

Figura 11–2 Diagrama lógico de PasswordSync (conexión JMS)

Cuando Identity Manager recibe una notificación de cambio de contraseña, la descifra y procesa el cambio mediante una tarea de flujo de trabajo. La contraseña se actualiza en todos los recursos asignados al usuario, y un servidor SMTP le notifica por correo electrónico el estado del cambio de contraseña.

Windows sólo envía una notificación de actualización si el cambio de contraseña es satisfactorio. Si una solicitud de cambio de contraseña no cumple la directiva de contraseñas del dominio, Windows la rechaza y no se envían datos de sincronización a Identity Manager.

En la Figura 11–3 se muestra cómo Identity Manager inicia un flujo de trabajo y envía correo electrónico al usuario tras recibir una notificación de actualización de contraseña.

Figura 11–3 PasswordSync activa un flujo de trabajo

PasswordSync descarta todas las notificaciones de cambio de contraseña para los nombres de cuenta terminados en $ (símbolo de dólar). Los nombres de cuenta terminados en $ se consideran cuentas físicas de Windows. Todos los nombres de cuenta de usuario terminados en símbolo de dólar quedan sin reenviar a Identity Manager.

Antes de la instalación

La funcionalidad PasswordSync puede configurarse sólo en controladores de dominio de Windows 2008, Windows 2003 y Windows 2000. (La compatibilidad con los controladores de dominio de Windows NT cesó en la versión 8.0 de Identity Manager.) PasswordSync debe instalarse en cada controlador de dominio principal y de copia de seguridad dentro de los dominios que vayan a sincronizarse con Identity Manager. Se recomienda encarecidamente configurar PasswordSync para HTTPS.

Las versiones de PasswordSync anteriores a la 7.1.1 deben actualizarse al menos a la versión 7.1.1 en todos los controladores de dominio.

La compatibilidad del servlet rpcrouter2 se ha desaprobado en la versión 8.0 y se eliminará en una versión futura. PasswordSync admite el nuevo protocolo desde la versión 7.1.1

Si se utiliza JMS, PasswordSync requiere conectividad con un servidor de JMS. Consulte la sección que trata sobre el adaptador de recursos del Receptor de JMS en la guía Sun Identity Manager 8.1 Resources Reference para obtener más información sobre los requisitos del sistema JMS.

Además, PasswordSync requiere:

• Instalar al menos Microsoft .NET 1.1 en cada controlador de dominio.

• Suprimir todas las versiones anteriores de PasswordSync;.

Estos requisitos se detallan en las próximas secciones.

Instalación de Microsoft .NET 1.1

Para usar PasswordSync, debe instalar al menos Microsoft .NET 1.1 Framework. Esta estructura se instala de manera predeterminada cuando se utiliza un controlador de dominio de Windows 2003. Microsoft .NET 2.0 Framework se instala de manera predeterminada en los controladores de dominio de Windows 2008. Con los controladores de dominio de Windows 2000 no se instala ninguna estructura predeterminada. Puede descargar el kit de herramientas desde el centro de descargas de Microsoft:

http://www.microsoft.com/downloads

• Escriba .NET Framework Redistributable en el campo de búsqueda por palabras clave para encontrar rápidamente el kit de Framework.

• El kit de herramientas instala .NET Framework.

Configuración de PasswordSync para SSL

Aunque la información delicada se cifra antes de enviarla al servidor de Identity Manager, Sun Microsystems recomienda configurar PasswordSync para que use una conexión SSL segura (es decir, HTTPS).

Encontrará información para instalar los certificados SSL importados en el siguiente artículo práctico de la base de conocimientos de Microsoft:

http://support.microsoft.com/kb/816794

Una vez instalado PasswordSync, puede verificar si la conexión SSL está bien configurada especificando una URL de HTTPS en el cuadro de diálogo de configuración de PasswordSync. Encontrará instrucciones en Verificación de la configuración.

Desinstalación de versiones anteriores de PasswordSync;

Es necesario suprimir todas las versiones anteriores de PasswordSync; que haya instaladas antes de instalar una nueva.

• Si la versión anterior de PasswordSync instalada admite el instalador IdmPwSync.msi, puede suprimirla mediante la utilidad normal de Windows para agregar y guitar programas.

• Si la versión anterior de PasswordSync instalada no admite el instalador IdmPwSync.msi, quítela con el desinstalador de InstallAnywhere.

Instalación y configuración de PasswordSync en Windows

Esta sección contiene información e instrucciones para instalar y configurar PasswordSync.

Esta información se ha dividido como sigue:

• Para instalar la aplicación de configuración de PasswordSync

• Para configurar PasswordSync

Para instalar la aplicación de configuración de PasswordSync

El procedimiento siguiente sirve para instalar la aplicación de configuración de PasswordSync.

PasswordSync debe instalarse en cada controlador de dominio dentro de los dominios que vayan a sincronizarse con Identity Manager.

No olvide desinstalar todas las versiones anteriores de PasswordSync antes de continuar.

1. Desde el soporte de instalación de Identity Manager:

   • Si va a instalar en una versión de 32 bits de Windows, haga doble clic en pwsync\IdmPwSync_x86.msi.

   • Si va a instalar en una versión de 64 bits de Windows, haga doble clic en pwsync\IdmPwSync_x86.msi.

   Se abre el asistente de instalación con la ventana de bienvenida, que contiene los botones siguientes:

   • Cancel. Púlselo para salir del asistente en cualquier momento sin guardar los cambios.

   • Back. Sirve para retroceder a un cuadro de diálogo anterior.

   • Next. Sirve para avanzar al próximo cuadro de diálogo.

2. Lea la información de la pantalla de bienvenida y pulse Next para acceder a la ventana Choose Setup Type.

3. Seleccione Typical o Complete para instalar el paquete completo de PasswordSync, o bien Custom para elegir qué componentes se instalan. Haga clic en Next para continuar.

4. Cuando aparezca la ventana Ready to Install, seleccione Install para instalar el producto.

5. Aparece una última ventana. Marque la casilla Launch Configuration Application para poder empezar a configurar Password Sync y después pulse Finish para completar el proceso de instalación.

   Encontrará instrucciones para configurar PasswordSync en el Capítulo 11PasswordSync.

   ---

   Nota –

   Se abre un cuadro de diálogo donde se le indica que debe reiniciar el sistema para que se apliquen los cambios. No es necesario reiniciar hasta después de configurar PasswordSync, pero sí hay que reiniciar el controlador de dominio antes de implementar PasswordSync.

   ---

   Los archivos que se instalan en cada controlador de dominio se describen dentro de Instalación y configuración de PasswordSync en Windows.

   Componente instalado	Descripción
   %$INSTALL_DIR$%\configure.exe	Programa de configuración de PasswordSync
   %$INSTALL_DIR$%\configure.exe.manifest	Archivo de datos para el programa de configuración
   %$INSTALL_DIR$%\passwordsyncmsgs.dll	DLL que controla los mensajes de PasswordSync
   %SYSTEMROOT%\SYSTEM32\lhpwic.dll	DLL de notificación de contraseñas que implementa la función PasswordChangeNotify() de Windows

Para configurar PasswordSync

Si ejecuta la aplicación de configuración desde el instalador, la aplicación mostrará las pantallas de configuración como un asistente. Una vez completado el asistente, siempre que vuelva a ejecutar la aplicación de configuración de PasswordSync podrá navegar por las pantallas seleccionando una ficha.

1. Inicie la aplicación de configuración de PasswordSync (si aún no se está ejecutando).

   De manera predeterminada, la aplicación de configuración se instala dentro de Archivos de programa -> Sun Identity Manager PasswordSync -> Configuration.

   ---

   Nota –

   Si no tiene intención de utilizar JMS, ejecute la aplicación de configuración desde una línea de comandos, sin olvidar incluir la marca -direct así:

   C:\InstallDir\Configure.exe -direct

   ---

   Aparece el cuadro de diálogo del asistente de configuración de PasswordSync (observe la Figura 11–4).

   Figura 11–4 Asistente de configuración de PasswordSync

   
   

2. Edite los campos necesarios de este cuadro de diálogo.

   Estos campos incluyen:

   • Server, donde debe introducirse el nombre de host completo o dirección IP donde está instalado Identity Manager.

   • Protocol, que indica si se deben establecer conexiones seguras con Identity Manager.

     PasswordSync permite configurar el comportamiento de verificación de certificados para las conexiones HTTPS. Si habilita HTTPS, aparecen estas opciones:

     • Allow revoked certificates. Este valor de configuración adopta el valor del registro securityIgnoreCertRevoke durante la conexión. De manera predeterminada, PasswordSync no omite los problemas de revocación y el valor de registro securityIgnoreCertRevoke se configura en 0.

       Si prefiere que PasswordSync no haga caso a los mensajes de revocación de certificados, marque esta casilla (o defina el valor de registro SECURITY_FLAG_IGNORE_REVOCATION en 1).

     • Allow invalid certificates. Este valor afecta a las opciones SECURITY_FLAG_IGNORE_CERT_CN_INVALID, SECURITY_FLAG_IGNORE_CERT_DATE_INVALID y SECURITY_FLAG_IGNORE_UNKNOWN_CA durante la conexión. De manera predeterminada, PasswordSync no admite los certificados no válidos y los valores de registro se configuran en 0.

       Si marca esta casilla o define en 1 el valor de registro securityAllowInvalidCert, PasswordSync podrá utilizar los certificados que no superen diversas verificaciones de seguridad. Se desaconseja habilitar esta opción en los entornos de producción.

       ---

       Nota –

       Estos valores no se muestran con el tipo de protocolo HTTP ni afectan a la configuración de HTTP.

       ---

   • Port indica un puerto disponible para el servidor. El puerto predeterminado para HTTP es 80. El puerto predeterminado para HTTPS es 443.

   • Path especifica la ruta de acceso a Identity Manager en el servidor de aplicaciones.

   • La URL se genera concatenando los demás campos. El valor no se puede editar en el campo URL.

   • Settings re-init interval (seconds) especifica la frecuencia con que la dll de PasswordSync debe volver a leer los valores de configuración del registro. El valor predeterminado es 2880 segundos u 8 horas.

     ---

     Nota –

     El asistente de configuración de PasswordSync muestra el valor en segundos, pero se almacena en milisegundos en el registro.

     ---

     La dll de PasswordSync lee los valores de configuración en el registro mientras está activa. El valor del intervalo se almacena en el valor del registro reinitIntervalMilli.

     Las contraseñas no se pueden sincronizar mientras se actualizan los valores de configuración, lo que puede ocasionar un pequeño retraso al procesar los cambios de contraseña. Dicho retraso suele ser inferior a un segundo. PasswordSync procesa directamente todos los cambios de contraseña recibidos durante una actualización una vez que se ha completado ésta. Asimismo, PasswordSync no procesa las actualizaciones de los valores de configuración mientras se están sincronizando contraseñas. La actualización se reprograma y se realiza más tarde.

3. Pulse Next para acceder a la página Proxy Server Configuration (Figura 11–5) y editar los campos necesarios.

   Figura 11–5 Cuadro de diálogo Proxy Server del asistente de PasswordSync

   
   

   Estos campos incluyen:

   • Enable. Indique si es necesario un servidor proxy.

   • Server. Debe especificar el nombre de host completo o la dirección IP del servidor proxy.

   • Port. Indique un número de puerto disponible para el servidor. (El puerto proxy predeterminado es 8080 y el puerto HTTPS predeterminado es 443.)

4. Pulse Siguiente.

   Figura 11–6 Cuadro de diálogo JMS Settings del asistente de PasswordSync

   
   

   Cuando aparezca el cuadro de diálogo JMS Settings (Figura 11–6), realice una de estas acciones:

   • Edite los campos siguientes según convenga:

     • User especifica el nombre del usuario de JMS que incluye mensajes nuevos en la cola.

     • Password y Confirm sirven para especificar la contraseña del usuario de JMS.

     • Connection Factory indica el nombre de la fábrica de conexiones de JMS que debe usarse. Esta fábrica debe existir previamente en el sistema JMS.

     • En la mayoría de los casos, Session Type debe definirse en LOCAL para indicar que es utilizará una transacción de sesiones local. La sesión se confirmará tras recibir cada mensaje. Otros posibles valores son AUTO, CLIENT y DUPS_OK.

     • Queue Name especifica el nombre de búsqueda del destino para los eventos de sincronización de contraseñas.

   • Si no prevé utilizar JMS y ha ejecutado el asistente de configuración con la marca -direct, pulse Next para abrir el cuadro de diálogo de usuario. Vaya al paso 7Figura 11–7.

5. Pulse Next para acceder al cuadro de diálogo JMS Properties (Figura 11–7).

   Figura 11–7 Cuadro de diálogo JMS Properties del asistente de PasswordSync

   
   

   El cuadro de diálogo JMS Properties sirve para definir el conjunto de propiedades utilizadas para crear el contexto JNDI inicial. Debe definir los siguientes pares de nombre/valor:

   • java.naming.provider.url: Especifique la URL de la máquina donde se ejecuta el servicio JNDI.

   • java.naming.factory.initial: Indique el nombre de clase (incluyendo el paquete) del contexto de fábrica inicial para el proveedor de servicios JNDI.

     El menú desplegable Name contiene una lista de clases del paquete java.naming. Seleccione una clase o tipo en un nombre de clase, después escriba el valor correspondiente en el campo Value.

6. Si no prevé utilizar JMS y ha ejecutado el asistente de configuración con la marca -direct, configure la ficha User. De lo contrario, omita este paso y continúe en el siguiente.

   Para configurar la ficha User, edite los campos pertinentes.

   • Account ID. Escriba el nombre de usuario que se empleará en la conexión con Identity Manager.

   • Password. Escriba la contraseña que se empleará en la conexión con Identity Manager.

7. Pulse Next para acceder al cuadro de diálogo Email (Figura 11–8) y edite los campos necesarios.

   Figura 11–8 Cuadro de diálogo Email del asistente de PasswordSync

   
   

   Si desea enviar una notificación por correo electrónico cuando el cambio de contraseña de un usuario no se sincronice satisfactoriamente debido a un error de comunicación u otro error fuera de Identity Manager, use las siguientes opciones del cuadro de diálogo Email para configurar la notificación y el correo electrónico.

   • Enable Email. Márquela para habilitar el correo electrónico.

   • Email End User. Marque esta casilla para que el usuario reciba notificaciones. De lo contrario, sólo se notificará al administrador.

   • SMTP Server. Introduzca el nombre completo o la dirección IP del servidor SMTP que se debe usar al enviar notificaciones de fallo.

   • Administrator Email Address. Escriba la dirección de correo electrónico donde desea enviar las notificaciones.

   • Sender’s Name. Escriba el nombre coloquial del remitente.

   • Sender’s Address. Escriba la dirección de correo electrónico del remitente.

   • Message Subject. Introduzca la línea de asunto de todas las notificaciones.

   • Message Body. Escriba el texto de la notificación.

     El cuerpo del mensaje puede contener las siguientes variables:

     • $(accountId): ID de cuenta del usuario que intenta cambiar la contraseña.

     • $(sourceEndpoint): Nombre de host del controlador de dominio donde está instalado el notificador de contraseñas, para facilitar la localización de las máquinas con problemas.

     • $(errorMessage): Mensaje de error explicativo del error que ha ocurrido.

8. Haga clic en la ficha Trace Figura 11–9.

   Figura 11–9 Ficha Trace

   
   

   Defina los campos siguientes:

   • Trace Level.

   • Max File Size (MB).

   • Trace File.

9. Pulse Finish para guardar los cambios.

   Si vuelve a ejecutar la aplicación de configuración, aparece un grupo de fichas en lugar de un asistente. Para ver la aplicación en forma de asistente, introduzca este comando en la línea de comandos:

   C:\InstallDir\Configure.exe -wizard

   Para verificar la configuración de PasswordSync, consulte Verificación de la configuración.

Instalación silenciosa de PasswordSync

El instalador de PasswordSync se puede configurar para realizar una instalación silenciosa. Para utilizar esta función, primero debe grabar los parámetros de configuración en un archivo durante la instalación de PasswordSync. Las instalaciones que se efectúen posteriormente se remitirán al archivo y reproducirán los valores de configuración.

Si desea utilizar el procedimiento de instalación silenciosa, deberá instalar el producto completo en cada servidor donde vaya a usarse. La grabación y reproducción de los valores de configuración depende de la aplicación de configuración que se va a instalar en el sistema.

El proceso de instalación silenciosa emplea una utilidad de Windows denominada msiexec , que instala los archivos .msi desde la línea de comandos.

Escriba msiexec /? en una solicitud de comandos para obtener información sobre el funcionamiento de esta utilidad.

La documentación también está disponible en la web de Microsoft. Por ejemplo, la documentación sobre el uso de msiexec en Windows Server 2003 se encuentra en http://technet.microsoft.com/en-us/library/cc759262.aspx.

Para capturar parámetros de instalación en un archivo de configuración

Siga estas instrucciones para instalar PasswordSync mediante el asistente de instalación. La utilidad de configuración captura los parámetros de configuración y los graba en un archivo XML.

Antes de empezar

Antes de instalar, quite las versiones anteriores de PasswordSync.

1. Vaya al directorio que contiene el archivo (.msi ) de instalación de PasswordSync.

   Encontrará más información en Para instalar la aplicación de configuración de PasswordSync.

2. Escriba lo siguiente en la solicitud de comandos. En los argumentos y los valores se diferencian mayúsculas de minúsculas.

   msiexec /i pwSyncInstallFile CONFIGARGS="-writexml fullPathToFile"

   donde:

   • pwSyncInstallFile es el archivo de instalación de PasswordSync. (IdmPwSync_86.msi o IdmPwSync_x64.msi).

   • fullPathToFile especifica dónde guardar el archivo XML.

   Por ejemplo:

   msiexec /i IdmPwSync_x86.msi CONFIGARGS="-writexml c:\tmp\myconfig.xml"

3. Instale el producto.

Para instalar PasswordSync en modo silencioso

Antes de empezar

• Debe haber creado un archivo XML de configuración para la instalación. Consulte las instrucciones en Para capturar parámetros de instalación en un archivo de configuración.

• Antes de instalar, quite las versiones anteriores de PasswordSync.

1. Copie el archivo XML de configuración para la instalación en una ubicación donde pueda leerlo el instalador.

2. Escriba lo siguiente en la solicitud de comandos. En los argumentos y los valores se diferencian mayúsculas de minúsculas.

   msiexec /i pwSyncInstallFile ADDLOCAL="installFeature" CONFIGARGS="-readxml fullPathToFile" INSTALLDIR="installDir" /q

   donde:

   • pwSyncInstallFile es el archivo de instalación de PasswordSync. (IdmPwSync_86.msi o IdmPwSync_x64.msi).

   • installFeature especifica las funciones de PasswordSync que se instalan. Elija una de estas opciones:

     • MainProgram: Sólo se instala el archivo .dll del interceptor.

     • Configuration: Sólo se instalar la aplicación de configuración.

     • ALL: Instala el producto completo.

     Si no se especifica nada, de manera predeterminada se utiliza MainProgram cuando se ha incluido la opción /q.

   • fullPathToFile especifica la ruta de acceso al archivo XML de configuración.

   • installDir especifica la ruta completa a un directorio de instalación personalizado. Opcional.

   • /q especifica una instalación no GUI que reinicia automáticamente el servidor al terminar. Si no se incluye, se verá el asistente de instalación, pero la configuración se efectuará con los valores predefinidos. Opcional.

   Ejemplos:

   msiexec /i IdmPwSync_x86.msi CONFIGARGS="-readxml c:\tmp\myconfig.xml"

   msiexec /i IdmPwSync_x86.msi ADDLOCAL="MainProgram" 
   CONFIGARGS="-readxml c:\tmp\myconfig.xml" /q

   msiexec /i IdmPwSync_x64.msi ADDLOCAL="Complete" 
   CONFIGARGS="-readxml c:\tmp\myconfig.xml" 
   INSTALLDIR="C:\Program Files\Sun Microsystems\MyCustomInstallDirectory" /q

Implementación de PasswordSync en el servidor de aplicaciones

Una vez que ha instalado PasswordSync en los controladores de dominio de Windows, debe efectuar algunas otras operaciones en el servidor donde se ejecuta Identity Manager.

No es preciso instalar el servlet de PasswordSync en el servidor de aplicaciones. Se instala automáticamente a la vez que Identity Manager

Sin embargo, para finalizar la implementación de PasswordSync debe realizar las siguientes acciones en Identity Manager:

• Agregar y configurar el adaptador del Receptor de JMS (si utiliza JMS).

• Implementar el flujo de trabajo de sincronización de contraseñas de usuario.

• Configurar las notificaciones.

Adición y configuración del adaptador del Receptor de JMS

Si el servlet de PasswordSync utiliza JMS para enviar mensajes a Identity Manager, debe agregar el adaptador del Receptor de JMS de Identity Manager. El adaptador de recursos del Receptor de JMS verifica periódicamente la cola de mensajes de JMS para comprobar si contiene mensajes incluidos por el servlet de PasswordSync. Si la cola contiene un mensaje nuevo, lo envía a Identity Manager para que lo procese.

Para agregar el adaptador de recursos del Receptor de JMS

1. Inicie la sesión en la interfaz de administración de Identity Manager (Interfaz de administración de Identity Manager).

2. Seleccione Recursos -> Configurar tipos en menú principal.

   Aparece la página Configurar recursos administrados tal como muestra la Figura 11–10.

   Figura 11–10 Página Configurar recursos administrados.

   
   

3. Asegúrese de que esté seleccionada la casilla Receptor de JMS en la columna ¿Administrado?, como ilustra la Figura 11–10.

   Si no está seleccionada dicha casilla, márquela y pulse Guardar.

4. Elija Listar recursos en el menú secundario.

5. Busque el menú desplegable Acciones de tipo de recurso y elija Nuevo recurso.

   Aparece la página Nuevo recurso.

6. Para agregar el adaptador del Receptor de JMS, seleccione Receptor de JMS en el menú desplegable (como muestra la Figura 11–11) y pulse Nuevo.

   Figura 11–11 El asistente de Nuevo recurso

   
   

7. Configure los valores siguientes en la página Parámetros de recurso y después pulse Siguiente.

   • Tipo de destino. Indica el tipo de destino, que suele estar configurado en Cola. (Los temas raramente son importantes, porque hay un único suscriptor y múltiples publicadores potenciales.)

   • Contexto inicial de propiedades de JNDI. Defina el conjunto de propiedades usado para crear el contexto JNDI inicial.

     Debe definir los siguientes pares de nombre/valor:

     • java.naming.factory.initial. Indique el nombre de clase (incluyendo el paquete) del contexto de fábrica inicial para el proveedor de servicios JNDI.

     • java.naming.provider.url. Especifique la URL de la máquina donde se ejecuta el servicio JNDI.

       Quizá tenga que definir otras propiedades. La lista de propiedades y valores debe coincidir con los especificados en la página de valores de configuración de JMS en el servidor de JMS. Por ejemplo, para suministrar las credenciales y el método de enlace, tal vez deba especificar las siguientes propiedades de ejemplo:

       • java.naming.security.principal: DN de enlace (por ejemplo, cn=Directory manager)

       • java.naming.security.authentication: Método de enlace (por ejemplo, simple)

       • java.naming.security.credentials: Contraseña

   • Nombre JNDI de la fábrica de conexiones. Introduzca el nombre de una fábrica de conexiones definida en el servidor de JMS.

   • Nombre JNDI de destinos. Introduzca el nombre de un destino definido en el servidor de JMS.

   • Usuario y Contraseña. Introduzca el nombre de cuenta y la contraseña del administrador que solicita nuevos eventos de la cola.

   • Compatibilidad fiable con envío de mensajes. Seleccione LOCAL (Transacciones locales). Las otras opciones no son aplicables a la sincronización de contraseñas.

   • Asignación de mensaje. Introduzca java:com.waveset.adapter.jms.PasswordSyncMessageMapper. Esta clase convierte los mensajes del servidor de JMS a un formato utilizable en el flujo de trabajo de sincronización de contraseñas de usuario.

     

8. En la página Atributos de cuenta del asistente (Figura 11–12), pulse Agregar atributo y asigne los siguientes atributos, que PasswordSyncMessageMapper pone a disposición del adaptador del Receptor de JMS.

   • IDMAccountId: PasswordSyncMessageMapper resuelve este atributo basándose en los atributos resourceAccountId y resourceAccountGUID transferidos en el mensaje de JMS.

   • password: La contraseña cifrada que se reenvía en el mensaje de JMS.

   Figura 11–12 Página Atributos de cuenta en Crear asistente de recurso Receptor de JMS

   
   

9. Pulse Siguiente.

   Aparece la página del asistente de Plantilla de identidades tal como muestra la Figura 11–13. Observe que los atributos que añadió en el paso anterior están disponibles en la sección Asignaciones de atributos del Asistente de recursos (Figura 11–13).

   Figura 11–13 Asignaciones de atributos del asistente de recursos del Receptor de JMS

   
   

10. Pulse Siguiente y configure las opciones pertinentes de la página Parámetros de Identity System (Sistema de identidad).

    Encontrará más información para configurar el adaptador de recursos del Receptor de JMS en la guía Sun Identity Manager 8.1 Resources Reference.

Implementación del flujo de trabajo de sincronización de contraseñas de usuario

Cuando Identity Manager recibe una notificación de cambio de contraseña, inicia el flujo de trabajo de sincronización de contraseñas de usuario. El flujo de trabajo de sincronización de contraseñas de usuario predeterminado examina el visor ChangeUserPassword y después vuelve a comprobarlo. A continuación, el flujo de trabajo procesa todas las cuentas de recursos (excepto en el recurso de Windows que ha enviado la notificación inicial de cambio de contraseña). Por último, Identity Manager notifica por correo electrónico al usuario si la contraseña se ha cambiado correctamente en todos los recursos.

Si desea utilizar la implementación predeterminada del flujo de trabajo de sincronización de contraseñas de usuario, asígnela como regla de proceso a la instancia del adaptador del Receptor de JMS. Puede asignar reglas de proceso al configurar el Receptor de JMS para la sincronización (Configuración de Active Sync).

Si prefiere modificar el flujo de trabajo, copie el archivo $WSHOME/sample/wfpwsync.xml y realice las modificaciones que desee. Después, importe el flujo de trabajo modificado a Identity Manager.

Estas son algunas modificaciones que quizá le interese efectuar en el flujo de trabajo predeterminado:

• Las entidades a las que se notifica cuando cambia una contraseña.

• Qué sucede si no se encuentra una cuenta de Identity Manager.

• Cómo se seleccionan los recursos en el flujo de trabajo.

• Si se permiten cambios de contraseña desde Identity Manager.

Encontrará información para utilizar los flujos de trabajo en el Capítulo 1, Workflow de Sun Identity Manager Deployment Reference.

Configuración de notificaciones

Identity Manager proporciona dos plantillas de correo electrónico para informar a los usuarios si una contraseña se ha cambiado correctamente en todos los recursos.

Estas plantillas son:

• Aviso de sincronización de contraseña

• Aviso de fallo de flujo de trabajo de sincronización

Ambas plantillas deben actualizarse con información específica de la empresa sobre cómo deben proceder los usuarios si necesitan más ayuda. Para obtener más información, consulte Personalización de plantillas de correo electrónico en el Capítulo 4Configuración de objetos de administración de negocio.

Configuración de PasswordSync con un servidor Sun JMS

Identity Manager puede utilizar Java Message Service (JMS) para recibir notificaciones de cambio de contraseña desde el servlet de PasswordSync. Además de garantizar la entrega, JMS puede distribuir los mensajes a múltiples sistemas.

Encontrará más información sobre este adaptador en la guía Sun Identity Manager 8.1 Resources Reference.

En esta sección se utiliza un escenario de ejemplo para explicar cómo configurar PasswordSync con un servidor de Sun JMS.

La información se ha organizado como sigue:

• Escenario de ejemplo

• Creación y almacenamiento de objetos administrados

• Configuración del adaptador del Receptor de JMS para este escenario

• Configuración de Active Sync

Escenario de ejemplo

Un caso de uso típico (simple) para configurar PasswordSync con un servidor de JMS es con el objeto de que los usuarios puedan cambiar sus contraseñas en Windows, Identity Manager tome la nueva contraseña y después se actualicen las cuentas de usuario con las nuevas contraseñas en un servidor Sun Directory Server.

El entorno siguiente se ha configurado para este escenario:

• Windows Server 2003 Enterprise Edition– Active Directory

• Sun Java^TM System Identity Manager 6.0 2005Q4M3

• MySQL ejecutado en SUSE Linux 10.0

• Tomcat 5.0.28 ejecutado en SUSE Linux 10.0

• Sun Java System Message Queue 3.6 SP3 2005Q4 ejecutado en SUSE Linux 10.0

• Sun Java System Directory Server 5.2 SP4 ejecutado en SUSE Linux 10.0

• Java 1.5 (Java 5.0)

Los archivos siguientes se copiaron al directorio common/lib de Tomcat para habilitar JMS y JNDI:

• jms.jar (de Sun Message Queue)

• fscontext.jar (de Sun Message Queue)

• imq.jar (de Sun Message Queue)

• jndi.jar (de Java JDK)

Creación y almacenamiento de objetos administrados

En esta sección se explica cómo crear y almacenar los siguientes objetos administrados, necesarios para el funcionamiento correcto del escenario de ejemplo.

• Objetos de fábrica de conexiones

• Objetos de destino

Los objetos administrados se pueden almacenar en un directorio LDAP o en un archivo. Si utiliza un archivo, todas las instancia del archivo deben ser iguales.

Encontrará instrucciones en:

• Almacenamiento de objetos administrados en un directorio LDAP

• Almacenamiento de objetos administrados en un archivo

• En esta sección se asume que tiene instalado Sun Java System Message Queue. (Las herramientas necesarias se hallan en el directorio bin/ de la instalación de Message Queue.)

• Para crear estos objetos administrados puede utilizar la GUI administrativa de Message Queue (imqadmin ) o la herramienta de línea de comandos (imqobjmgr). En las instrucciones siguientes se usa la línea de comandos.

Almacenamiento de objetos administrados en un directorio LDAP

Es posible configurar PasswordSync y el Receptor de JMS para utilizar los objetos administrados almacenados en un directorio LDAP. La Figura 11–14 ilustra dicho proceso. Tanto el servlet de PasswordSync como el adaptador del Receptor de JMS deben recuperar los valores de fábrica de conexiones y de destino del directorio LDAP para poder enviar y recibir mensajes.

Figura 11–14 Recuperación de objetos de fábrica de conexiones y de destino del directorio LDAP

Uso de la herramienta de línea de comandos de Message Queue

A continuación se explica cómo utilizar la herramienta de línea de comandos de Message Queue (imqobjmgr) para almacenar objetos administrados en un directorio LDAP.

Almacenamiento de objetos de fábrica de conexiones

Abra la herramienta de línea de comandos de Message Queue (imqobjmgr) e introduzca los comandos indicados en Almacenamiento de objetos de fábrica de conexiones para almacenar los objetos de fábrica de conexiones.

Ejemplo 11–1 Almacenamiento de objetos de fábrica de conexiones

#> ./imqobjmgr add -l "cn=mytestFactory" 
-j "java.naming.factory.initial=com.sun.jndi.ldap.LdapCtxFactory" 
-j "java.naming.provider.url=ldap://gwenig.coopsrc.com:389/ou=sunmq,dc=coopsrc,dc=com" 
-j "java.naming.security.principal=cn=directory manager" 
-j "java.naming.security.credentials=password" 
-j "java.naming.security.authentication=simple" 
-t qf -o "imqAddressList=mq://gwenig.coopsrc.com:7676/jms" 
Adding a Queue Connection Factory object with the following attributes: 
imqAckOnAcknowledge [Message Service Acknowledgement of Client Acknowledgements] ... 
imqSetJMSXUserID [Enable JMSXUserID Message Property] false 
Using the following lookup name: cn=mytestFactory The object’s read-only state: false 
To the object store specified by: 
java.naming.factory.initial com.sun.jndi.ldap.LdapCtxFactory 
java.naming.provider.url 
ldap://gwenig.coopsrc.com:389/ou=sunmq,dc=coopsrc,dc=com 
java.naming.security.authentication 
simple java.naming.security.credentials netscape
java.naming.security.principal 
cn=directory manager Object successfully added.

Dentro de Almacenamiento de objetos de fábrica de conexiones imqAddressList, define el nombre de host del servidor/agente de JMS (gwenig.coopsrc.com ), su puerto (7676) y el método de acceso (jms).

Almacenamiento de objetos de destino

En la herramienta de línea de comandos de Message Queue (imqobjmgr), introduzca los comandos indicados en Almacenamiento de objetos de destino para almacenar los objetos de destino.

Ejemplo 11–2 Almacenamiento de objetos de destino

#> ./imqobjmgr add -l "cn=mytestDestination" 
-j "java.naming.factory.initial=com.sun.jndi.ldap.LdapCtxFactory" 
-j "java.naming.provider.url=ldap://gwenig.coopsrc.com:389/ou=sunmq,dc=coopsrc,dc=com" 
-j "java.naming.security.principal=cn=directory manager" 
-j "java.naming.security.credentials=password" 
-j "java.naming.security.authentication=simple" 
-t q -o "imqDestinationName=mytestDestination" 
Adding a Queue object with the following attributes: 
imqDestinationDescription [Destination Description] 
A Description for the Destination Object imqDestinationName [Destination Name] 
mytestDestination Using the following lookup name: cn=mytestDestination 
The object’s read-only state: false 
To the object store specified by: 
java.naming.factory.initial com.sun.jndi.ldap.LdapCtxFactory 
java.naming.provider.url ldap://gwenig.coopsrc.com:389/ ou=sunmq,dc=coopsrc,dc=com 
java.naming.security.authentication simple 
java.naming.security.credentials netscape 
java.naming.security.principal cn=directory manager Object successfully added.

Puede verificar un objeto recién creado mediante ldapsearch o un navegador LDAP.

Con esto termina la sección sobre almacenamiento de objetos administrados en un servidor LDAP. Omita la próxima sección, donde se explica cómo almacenar objetos administrados en un archivo, y continúe en la sección Configuración del adaptador del Receptor de JMS para este escenario.

Almacenamiento de objetos administrados en un archivo

Es posible configurar PasswordSync y el Receptor de JMS para utilizar los objetos administrados almacenados en un archivo. Si no va a almacenar los objetos administrados en un servidor LDAPAlmacenamiento de objetos administrados en un directorio LDAP), siga las instrucciones de esta sección.

Almacenamiento de objetos de fábrica de conexiones

Abra la herramienta de línea de comandos de Message Queue (imqobjmgr) e introduzca los comandos indicados en Almacenamiento de objetos de fábrica de conexiones para almacenar los objetos de fábrica de conexiones y especificar un nombre de búsqueda.

Ejemplo 11–3 Almacenamiento de objetos de fábrica de conexiones y especificación de nombres de búsqueda

#> ./imqobjmgr add -l "mytestFactory" -j 
"java.naming.factory.initial= com.sun.jndi.fscontext.RefFSContextFactory"
 -j "java.naming.provider.url=file:///home/gael/tmp" -t qf -o 
 "imqAddressList=mq://gwenig.coopsrc.com:7676/jms" 
Adding a Queue Connection Factory object with the following attributes: 
imqAckOnAcknowledge [Message Service Acknowledgement of Client Acknowledgements] 
... 
imqSetJMSXUserID [Enable JMSXUserID Message Property] false 
Using the following lookup name: 
mytestFactory 
The object’s read-only state: false 
To the object store specified by: 
java.naming.factory.initial com.sun.jndi.fscontext.RefFSContextFactory 
java.naming.provider.url file:///home/gael/tmp 
Object successfully added. 
To specify a destination: 
#> ./imqobjmgr add -l "mytestQueue" -j 
"java.naming.factory.initial=com.sun.jndi.fscontext.RefFSContextFactory" 
-j "java.naming.provider.url=file:///home/gael/tmp" -t q -o 
"imqDestinationName=myTestQueue" 
Adding a Queue object with the following attributes: 
imqDestinationDescription [Destination Description] A Description for the Destination 
Object imqDestinationName [Destination Name] myTestQueue 
Using the following lookup name: 
mytestQueue 
The object’s read-only state: false 
To the object store specified by: 
java.naming.factory.initial com.sun.jndi.fscontext.RefFSContextFactory 
java.naming.provider.url file:///home/gael/tmp 
Object successfully added.

Creación del destino en el agente

De manera predeterminada, el agente de Sun Message Queue permite crear automáticamente el destino de la cola (consulte config.properties, donde el valor predeterminado de imq.autocreate.queue es true).

Si el destino de la cola no se crea automáticamente, deberá crear el objeto de destino en el agente con el comando indicado en Creación del destino en el agente (donde myTestQueue es el destino).

Ejemplo 11–4 Creación de un objeto de destino en el agente

name (Queue name): 
#> cd /opt/sun/mq/bin 
#>./imqcmd create dst -t q -n mytestQueue 
Username: <admin> 
Password: <admin> 
Creating a destination with the following attributes: 
Destination Name mytestQueue 
Destination Type Queue On the broker specified by: 
------------------------- 
Host Primary Port 
------------------------- localhost 7676 
Successfully created the destination.

Los objetos administrados se pueden almacenar en un archivo:

• En un directorio: Un directorio permite centralizar el almacenamiento de los objetos de fábrica de conexiones y los objetos de destino.

  Cuando se utiliza un directorio, estos objetos administrados se almacenan como entradas de directorio.

  ---

  Nota –

  Si el servlet de Identity Manager PasswordSync y el servidor de Identity Manager no se encuentran en la misma máquina, cada uno de ellos debe tener acceso al archivo .bindings. Puede repetir dos veces la creación del objeto administrado (en cada máquina) o bien copiar el archivo .bindings en la ubicación adecuada de cada máquina.

  ---

• En un archivo: Si el servlet de Identity Manager PasswordSync y el servidor de Identity Manager se ejecutan en el mismo servidor (o si no hay disponible un directorio), puede almacenar los objetos administrativos en un archivo.

  Cuando se utiliza un archivo, ambos objetos administrados se almacenan en un solo archivo (denominado .bindings tanto en Windows como en UNIX), dentro del directorio que haya especificado para java.naming.provider.url (por ejemplo, file:///c:/temp en Windows o file:///tmp en UNIX).

Configuración del adaptador del Receptor de JMS para este escenario

Configure el adaptador del Receptor de JMS en el servidor de aplicaciones. Siga las instrucciones de la sección Adición y configuración del adaptador del Receptor de JMS .

Configuración de Active Sync

Ahora debe configurar el Receptor de JMS para la sincronización. Necesitará Active Sync si utiliza JMS, aunque no se usa con las conexiones directas.

Para configurar el Receptor de JMS para la sincronización

1. En la interfaz de administración, seleccione Recursos en el menú.

2. En la Lista de recursos, marque la casilla de verificación Receptor de JMS.

3. En la lista Acciones de recurso, elija Editar directiva de sincronización.

   Aparece la página Editar directiva de sincronización para el recurso Receptor de JMS (Figura 11–15).

   Figura 11–15 Configuración de Active Sync para el Receptor de JMS

   
   

4. Dentro de Preferencias comunes, busque Administrador de proxy y seleccione pwsyncadmin. (Esta interfaz de administración está asociada a un formulario vacío.)

5. Dentro de Preferencias comunes, busque Regla de proceso y seleccione Synchronize User Password (sincronizar contraseñas de usuario) en la lista. El flujo de trabajo de sincronización de contraseñas de usuario predeterminado toma cada solicitud procedente del adaptador del Receptor de JMS, examina el visor ChangeUserPassword y después vuelve a comprobarlo.

6. En el cuadro Ruta del archivo de registro, especifique una ruta de acceso al un directorio donde deban crearse los archivos de registro activos y archivados.

7. Para la depuración, configure el Nivel de registro en 4 con el fin de generar un registro detallado.

8. Pulse Guardar.

Verificación de la configuración

Puede utilizar la aplicación de configuración de PasswordSync en Windows para depurar la parte de Windows de la configuración.

1. Inicie la aplicación de configuración de PasswordSync si aún no se está ejecutando.

   De manera predeterminada, la aplicación de configuración se instala dentro de Archivos de programa -> Sun Java System Identity Manager PasswordSync -> Configuration.

2. Cuando aparezca el cuadro de diálogo PasswordSync Configuration, pulse el botón Test.

3. Si utiliza JMS, aparece el cuadro de diálogo Test Connection con un mensaje que indica si la conexión de prueba se ha realizado satisfactoriamente.

   

4. Pulse Close para cerrar el cuadro de diálogo Test Connection.

5. Pulse OK para cerrar el cuadro de diálogo PasswordSync Configuration.

   A continuación, se ejecuta el adaptador del Receptor de JMS en modo de depuración y genera información de depuración en un archivo análogo al de la figura siguiente.

   

Depuración de PasswordSync en Windows

PasswordSync graba todos los fallos en el Visor de eventos de Windows. (En la ayuda de Windows en línea se explica cómo utilizar el Visor de eventos.) El nombre de origen de las entradas del registro de errores es PasswordSync.

En Sun Identity Manager 8.1 System Administrator’s Guide se explica cómo solucionar problemas con PasswordSync en Windows.

Desinstalación de PasswordSync en Windows

Para desinstalar la aplicación PasswordSync, vaya al Panel de control de Windows y seleccione Agregar o quitar programas. A continuación, seleccione Sun Java System Identity Manager PasswordSync y pulse Quitar.

PasswordSync también se puede desinstalar (o reinstalar) cargando el medio de instalación de Identity Manager y haciendo clic en el icono pwsync\IdmPwSync.msi .

Debe reiniciar el sistema para completar el proceso.

Preguntas frecuentes sobre PasswordSync

En esta sección respondemos a algunas preguntas frecuentes sobre PasswordSync.

¿Se puede implementar PasswordSync sin Java Messaging Service?

Sí, pero a costa de renunciar a las ventajas de usar JMS para rastrear los cambios de contraseña.

Para implementar PasswordSync sin JMS, ejecute la aplicación de configuración con esta marca:

Configure.exe -direct

Cuando se especifica la marca -direct, la aplicación de configuración muestra la ficha User.

Si implementa PasswordSync sin JMS, no necesita crear un adaptador del Receptor de JMS. Por tanto, deberá omitir los procedimientos explicados en Implementación de PasswordSync en el servidor de aplicaciones. Para configurar las notificaciones, quizá tenga que cambiar el flujo de trabajo Modificar contraseña de usuario.

Si después ejecuta la aplicación de configuración sin especificar la marca -direct, PasswordSync requerirá que se configure JMS. Vuelva a ejecutar la aplicación con la marca -direct para omitir de nuevo JMS.

¿Se puede usar PasswordSync junto con otros filtros de contraseña de Windows que sirven para aplicar directivas de contraseñas personalizadas?

Sí, PasswordSync puede combinarse con otros filtros de contraseña _WINDOWS_. No obstante, debe ser el último filtro de contraseña en la lista del valor de registro Notification Package.

Ha de utilizar esta ruta para el registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages (value of type REG_MULTI_SZ)

El instalador incluye el interceptor de contraseñas de Identity Manager al final de la lista de manera predeterminada, pero si ha instalado el filtro de contraseña personalizado después de la instalación, deberá trasladar lhpwic al final de la lista Notification Packages.

PasswordSync puede combinarse con otras directivas de contraseñas de Identity Manager. Cuando se verifican las directivas en el lado del servidor de Identity Manager, se deben pasar todas las directivas de contraseñas de recursos para que la sincronización de contraseñas se propague a otros recursos. Por tanto, la directiva de contraseñas nativa de Windows debe ser tan restrictiva como la directiva de contraseñas más restrictiva que se defina en Identity Manager

La DLL interceptora de contraseñas no impone directivas de contraseñas.

¿Se puede instalar el servlet de PasswordSync en un servidor de aplicaciones distinto al de Identity Manager?

Sí. El servlet de PasswordSync necesita los archivos jar spml.jar e idmcommon.jar, además de todos los demás archivos jar que precise la aplicación de JMS.

¿El servicio PasswordSync envía contraseñas a través del servidor de lh en texto sin cifrar?

Aunque lo mejor es ejecutar PasswordSync a través de SSL, todos los datos delicados se cifran antes de enviarlos al servidor de Identity Manager.

Encontrará información al respecto en Configuración de PasswordSync para SSL.

¿Por qué algunos cambios de contraseña generan com.waveset.exception.ItemNotLocked ?

Si habilita PasswordSync, cualquier un cambio de contraseña (incluso iniciado en la interfaz de usuario) producirá un cambio de contraseña en el recurso, que en consecuencia entrará en contacto con Identity Manager.

Si configura correctamente la variable de flujo de trabajo passwordSyncThreshold, Identity Manager examinará el objeto de usuario y determinará que ya ha controlado el cambio de contraseña. No obstante, si el usuario o el administrador efectúa otro cambio de contraseña simultáneo para el mismo usuario, quizá se bloquee el objeto de usuario.