test

Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

Installation et configuration de PasswordSync sous Windows

Cette section contient des informations et des instructions relatives à l'installation et à la configuration de PasswordSync.

Ces informations sont organisées comme suit :

ProcedurePour installer l'application de configuration de PasswordSync

La procédure suivante détaille l'installation de l'application de configuration de PasswordSync.

Remarque –

Vous devez installer PasswordSync sur chaque contrôleur de domaine dans les domaines qui seront synchronisés avec Identity Manager.

Veillez à désinstaller toutes les versions installées au préalable de PasswordSync avant d'aller plus loin.

  1. Depuis le support d'installation d'Identity Manager,

    • Si vous effectuez l'installation sur une version 32 bits de Windows, double-cliquez sur pwsync\IdmPwSync_x86.msi.

    • Si vous effectuez l'installation sur une version 64 bits de Windows, double-cliquez sur pwsync\IdmPwSync_x64.msi.

    L'assistant d'installation s'ouvre et la fenêtre Welcome (Bienvenue) comportant les boutons de navigation suivants s'affiche :

    • Cancel (Annuler). Cliquez sur ce bouton pour quitter l'assistant à tout moment sans enregistrer aucune de vos modifications.

    • Back (Welcome). Cliquez sur ce bouton pour revenir à une boîte de dialogue précédente.

    • Next (Suivant). Cliquez sur ce bouton pour passer à la boîte de dialogue suivante.

  2. Lisez les informations indiquées sur l'écran Welcome (Bienvenue) puis cliquez sur Next (Suivant) pour afficher la fenêtre Choose Setup Type (Choix du type d'installation).

  3. Cliquez au choix sur Typical (Typique) ou Complete (Complète) pour installer l'intégralité du package PasswordSync, ou cliquez sur Custom (Personnalisée) pour contrôler les parties du package qui seront installées. Cliquez sur Next (Suivant) pour continuer.

  4. Lorsque la fenêtre Ready to Install (Prêt pour l'installation) s'affiche, cliquez sur Install (Installer) pour installer le produit.

  5. Une dernière fenêtre s'affiche. Activez la zone Launch Configuration Application (Lancer l'application de configuration) pour pouvoir commencer à configurer Password Sync puis cliquez sur Finish (Terminer) pour compléter le processus d'installation.

    Les instructions à suivre pour configurer PasswordSync figurent au Chapitre 11PasswordSync.

    Remarque –

    Une boîte de dialogue s'affiche indiquant que vous devez redémarrer le système pour que les changements soient appliqués. Il n'est pas nécessaire de redémarrer avant de configurer PasswordSync, mais vous devez redémarrer le contrôleur de domaine avant d'implémenter PasswordSync.

    Installation et configuration de PasswordSync sous Windows décrit les fichiers qui sont installés sur chaque contrôleur de domaine.

    Composant installé  

    Description  

    %$INSTALL_DIR$%\configure.exe

    Programme de configuration PasswordSync 

    %$INSTALL_DIR$%\configure.exe.manifest

    Fichiers de données pour le programme de configuration 

    %$INSTALL_DIR$%\passwordsyncmsgs.dll

    DLL gérant les messages de PasswordSync 

    %SYSTEMROOT%\SYSTEM32\lhpwic.dll

    DLL de notification de mot de passe implémentant la fonction DLL PasswordChangeNotify() de Windows.

ProcedurePour configurer PasswordSync

Si vous exécutez l'application de configuration à partir du programme d'installation, l'application affiche les écrans de configuration sous la forme d'un assistant. Une fois l'assistant complété, toutes les fois que vous exécuterez l'application de configuration de PasswordSync, vous pourrez naviguer dans les écrans en sélectionnant un onglet.

  1. Démarrez l'application de configuration de PasswordSync (si elle n'est pas déjà en cours d'exécution).

    Par défaut, l'application de configuration est installées dans Program Files -> Sun Identity Manager PasswordSync -> Configuration.

    Remarque –

    Si vous ne projetez pas d'utiliser JMS, lancez l'application de configuration depuis une ligne de commande en veillant à inclure l'indicateur -direct comme suit :

    C:\InstallDir\Configure.exe -direct

    La boîte de dialogue de l'assistant PasswordSync Configuration (Configuration de PasswordSync) s'affiche (voir Figure 11–4).

    Figure 11–4 Assistant de configuration de PasswordSync

    Figure représentant l'assistant de configuration de PasswordSync

  2. Éditez les champs de cette boîte de dialogue comme requis.

    Ces champs sont les suivants :

    • Server (Serveur) doit être remplacé par le nom complet de l'hôte ou l'adresse IP où Identity Manager est installé.

    • Protocol (Protocole) indique si établir des connexions sécurisées avec Identity Manager.

      PasswordSync prend en charge la configuration d'un comportement de contrôle de certificats pour les connexions HTTPS. Lorsque vous activez HTTPS, les options suivantes s'affichent :

      • Allow revoked certificates (Autoriser les certificats révoqués). Ce paramètre mappe vers la valeur de registre securityIgnoreCertRevoke sur la connexion. Par défaut, PasswordSync n'ignore pas les problèmes de révocation et la valeur de registre securityIgnoreCertRevoke est définie sur 0.

        Si vous voulez que PasswordSync ignore les messages relatifs aux certificats révoqués, cochez cette case (ou définissez la valeur de registre SECURITY_FLAG_IGNORE_REVOCATION sur 1).

      • Allow invalid certificates (Autoriser les certificats non valides). Ce paramètre s'applique aux options SECURITY_FLAG_IGNORE_CERT_CN_INVALID, SECURITY_FLAG_IGNORE_CERT_DATE_INVALID et SECURITY_FLAG_IGNORE_UNKNOWN_CA sur la connexion. Par défaut, PasswordSync n'autorise pas les certificats non valides et les valeurs de registre sont définies sur 0.

        Cocher cette case ou définir la valeur de registre securityAllowInvalidCert sur 1 permet à PasswordSync d'utiliser des certificats qui échouent à un certain nombre de contrôles de sécurité. L'activation de cette option n'est pas recommandée pour un environnement de production.

        Remarque –

        Ces paramètres ne sont pas affichés pour le type de protocole HTTP et sont sans effet sur les paramètres HTTP.

    • Port (Port). Spécifiez un port disponible pour le serveur. Pour HTTP, le port par défaut est le 80. Pour HTTPS, le port par défaut est le 443.

    • Path (Chemin). Spécifiez le chemin d'Identity Manager sur le serveur d'application.

    • L'URL est généré en concaténant ensemble les autres champs. La valeur contenue dans le champ URL ne peut pas être éditée dans ce champ.

    • Settings re-init interval (seconds) (Intervalle de réinitialisation des paramètres (en secondes) précise la fréquence à laquelle le fichier dll de PasswordSync doit relire les paramètres dans le registre. La valeur par défaut est 2880 secondes ou 8 heures.

      Remarque –

      Cet assistant de configuration de PasswordSync affiche la valeur en secondes, mais la valeur du registre est effectivement stockée en millisecondes.

      Le fichier dll de PasswordSync lit les paramètres de configuration dans le registre pendant que le dll est actif. Cette valeur d'intervalle est stockée dans la valeur de registre reinitIntervalMilli.

      Les mots de passe ne peuvent pas être synchronisés pendant la mise à jour des paramètres, ce qui peut entraîner un petit délai dans le traitement d'un changement de mot de passe. En général, ce délai ne dépasse pas une seconde. PasswordSync traite tous les changements de mot de passe reçus pendant une mise à jour dès que celle-ci est terminée. Par ailleurs, PasswordSync ne traite pas les mises à jour des paramètres pendant qu'une synchronisation de mot de passe est en cours. La mise à jour sera reprogrammée et effectuée à un moment ultérieur.

  3. Cliquez sur Next (Suivant) pour afficher la page Proxy Server Configuration (Configuration du serveur proxy) (Figure 11–5) et éditez les champs comme requis.

    Figure 11–5 La boîte de dialogue du serveur proxy de l'assistant de PasswordSync

    Figure représentant la boîte de dialogue du serveur proxy de PasswordSync

    Ces champs sont les suivants :

    • Enable (Activer). Sélectionnez ce champ si un serveur proxy est nécessaire.

    • Server (Serveur). Vous devez saisir ici le nom d'hôte complet ou l'adresse IP du serveur proxy.

    • Port (Port). Spécifiez un numéro de port disponible pour le serveur (le port de proxy par défaut est le 8080 tandis que le port HTTPS par défaut est le 443).

  4. Cliquez sur Next (Suivant).

    Figure 11–6 La boîte de dialogue des paramètres JMS de l'assistant de PasswordSync

    Figure représentant la boîte de dialogue des paramètres JMS de PasswordSync

    Lorsque la boîte de dialogue des paramètres de JMS (Figure 11–6) s'affiche, effectuez l'une des actions suivantes :

    • Éditez les champs suivants comme nécessaire :

      • User (Utilisateur) indique le nom d'utilisateur JMS qui place les nouveaux messages dans la file d'attente.

      • Password (Mot de passe) et Confirm (Confirmer) spécifient le mot de passe de l'utilisateur JMS.

      • Connection Factory (Fabrique de connexion) indique le nom de la fabrique de connexion JMS à utiliser. Cette fabrique doit déjà exister sur le système JMS.

      • Dans la plupart des cas, Session Type (Type de session) doit être défini sur LOCAL, qui indique qu'une transaction de session locale sera utilisée. La session sera validée après la réception de chaque message. D'autres valeurs possibles sont AUTO, CLIENT et DUPS_OK.

      • Queue Name (Nom de la file) spécifie le nom de recherche de destination pour les événements de synchronisation de mot de passe.

    • Si vous ne projetez pas d'utiliser JMS et que vous avez lancé l'assistant de configuration avec l'indicateur -direct, cliquez sur Next (Suivant) pour afficher la boîte de dialogue User (Utilisateur). Allez directement à l'étape Figure 11–7.

  5. Cliquez sur Next (suivant) pour afficher la boîte de dialogue des propriétés de JMS (Figure 11–7).

    Figure 11–7 La boîte de dialogue des propriétés JMS de l'assistant de PasswordSync

    Figure représentant la boîte de dialogue des propriétés JMS de PasswordSync

    La boîte de dialogue des propriétés JMS permet de définir l'ensemble des propriétés qui sont utilisées pour construire le contexte JNDI initial. Vous devez définir les paires nom/valeur suivantes :

    • java.naming.provider.url : spécifiez l'URL de la machine exécutant le service JNDI.

    • java.naming.factory.initial : spécifiez le nom de la classe (package compris) de l'Initial Context Factory (Fabrique de contexte initiale) pour le Service Provider JNDI.

      Le menu déroulant Name (Nom) contient une liste de classes du package java.naming. Sélectionnez une classe ou saisissez-en le nom puis entrez la valeur correspondante dans le champ Value (Valeur).

  6. Si vous ne projetez pas d'utiliser JMS et que vous avez lancé l'assistant de configuration avec l'indicateur -direct, configurez l'onglet User (Utilisateur). Sinon, ignorez cette étape et passez directement à la suivante.

    Pour configurer l'onglet User (Utilisateur), éditez les champs qui doivent l'être.

    • Account ID (ID de compte). Spécifiez le nom d'utilisateur que vous utiliserez pour vous connecter à Identity Manager.

    • Password (Mot de passe). Indiquez le mot de passe qui vous utiliserez pour vous connecter à Identity Manager.

  7. Cliquez sur Next (Suivant) pour afficher la boîte de dialogue Email (E-mail) (Figure 11–8) et éditez les champs qui doivent l'être.

    Figure 11–8 La boîte de dialogue d'e-mail de l'assistant de PasswordSync

    Figure représentant la boîte de dialogue d'e-mail de PasswordSync

    Pour envoyer une notification par e-mail lorsque la synchronisation d'un changement de mot de passe échoue à cause d'une erreur de communication ou d'une autre erreur externe à Identity Manager, utilisez les options suivantes de la boîte de dialogue Email (E-mail) pour paramétrer la notification et configurer l'e-mail.

    • Enable Email (Activer l'e-mail). Sélectionnez cette option pour activer cette fonctionnalité.

    • Email End User (E-mail à l'utilisateur final). Sélectionnez cette option pour que l'utilisateur reçoive des notifications. Sinon, seul l'administrateur sera averti.

    • SMTP Server (Serveur SMTP). Saisissez le nom complet ou l'adresse IP du serveur SMTP qui devra être utilisé pour envoyer les notifications d'échec.

    • Administrator Email Address (Adresse e-mail de l'administrateur). Saisissez l'adresse e-mail à laquelle vous voulez envoyer les notifications.

    • Sender’s Name (Nom de l'expéditeur). Saisissez le « nom convivial » de l'expéditeur.

    • Sender’s Address (Adresse de l'expéditeur). Saisissez l'adresse e-mail de l'expéditeur.

    • Message Subject (Objet du message). Saisissez la ligne d'objet qui sera utilisée pour toutes les notifications.

    • Message Body (Corps du message). Saisissez le texte de la notification.

      Le corps du message peut contenir les variables suivantes :

      • $(accountId) : ID de compte de l'utilisateur tentant de changer son mot de passe.

      • $(sourceEndpoint) : nom d'hôte du contrôleur de domaine sur lequel le notificateur de mot de passe est installé, pour faciliter la localisation des machines défectueuses.

      • $(errorMessage) : message d'erreur décrivant l'erreur qui s'est produite.

  8. Cliquez sur l'onglet Trace (Tracer) Figure 11–9.

    Figure 11–9 L'onglet Trace (Tracer).

    Figure illustrant l'onglet Trace (Tracer) de PasswordSync

    Définissez les champs suivants :

    • Trace Level (Niveau de suivi),

    • Max File Size (MB) (Taille de fichier max. (en Mo)),

    • Trace File (Fichier de suivi).

  9. Cliquez sur Finish (Terminer) pour enregistrer vos modifications.

    Si vous exécutez de nouveau l'application de configuration, un ensemble d'onglets s'affiche à la place de l'assistant. Pour afficher cette application sous la forme d'un assistant, saisissez la ligne de commande suivante sur la ligne de commande :


    C:\InstallDir\Configure.exe -wizard

    Pour tester votre configuration PasswordSync, voir Test de la configuration.

Installation silencieuse de PasswordSync

Vous pouvez configurer le programme d'installation de PasswordSync pour une installation silencieuse. Pour utiliser cette fonctionnalité, vous devez commencer par enregistrer les paramètres de configuration dans un fichier pendant que vous installez PasswordSync. Les futures installations référenceront ce fichier et réutiliseront les paramètres de configuration.

Remarque –

Pour utiliser la procédure d'installation silencieuse, vous devez installer le produit dans son intégralité sur chacun des serveurs qui l'utiliseront. L'enregistrement et la réutilisation des paramètres de configuration dépendent de l'application de configuration qui sera installée sur le système.

Le processus d'installation silencieuse utilise un utilitaire Windows appelé msiexec qui installe les fichiers .msi depuis la ligne de commande.

Saisissez msiexec /? à une invite de commande pour afficher les informations d'utilisation relatives à cet utilitaire.

De la documentation est également disponible sur le site Web de Microsoft. Par exemple, pour obtenir de la documentation sur l'utilisation de msiexec sous Windows Server 2003, reportez-vous à http://technet.microsoft.com/en-us/library/cc759262.aspx.

ProcedurePour capturer les paramètres d'installation dans un fichier de configuration

Suivez les instructions ci-après pour installer PasswordSync en utilisant l'assistant d'installation. L'utilitaire de configuration capture les paramètres de configuration et les écrit dans un fichier XML.

Avant de commencer

Supprimez les versions plus anciennes de PasswordSync avant l'installation.

  1. Allez au répertoire contenant le fichier d'installation de PasswordSync (.msi ).

    Pour plus d'informations, voir Pour installer l'application de configuration de PasswordSync.

  2. Saisissez ce qui suit à une invite de commande : Les arguments et les valeurs sont sensibles à la casse.


    msiexec /i pwSyncInstallFile CONFIGARGS="-writexml fullPathToFile"

    Où :

    • pwSyncInstallFile est le fichier d'installation de PasswordSync (IdmPwSync_86.msi ou IdmPwSync_x64.msi).

    • fullPathToFile spécifie où écrire le fichier XML.

    Par exemple :


    msiexec /i IdmPwSync_x86.msi CONFIGARGS="-writexml c:\tmp\myconfig.xml"

  3. Installez le produit.

ProcedurePour installer PasswordSync en silence

Avant de commencer

  1. Copiez votre fichier XML de configuration d'installation dans un emplacement où il peut être lu par le programme d'installation.

  2. Saisissez ce qui suit à une invite de commande. Les arguments et les valeurs sont sensibles à la casse.


    msiexec /i pwSyncInstallFile ADDLOCAL="installFeature" CONFIGARGS="-readxml fullPathToFile"
 INSTALLDIR="installDir" /q

    Où :

    • pwSyncInstallFile est le fichier d'installation de PasswordSync (IdmPwSync_86.msi ou IdmPwSync_x64.msi).

    • installFeature indique les fonctionnalités de PasswordSync à installer. Choisissez l'une des options suivantes :

      • MainProgram : installe seulement le fichier .dll intercepteur.

      • Configuration : installe seulement l'application de configuration.

      • ALL : installe l'intégralité du produit.

      Si aucune option n'est spécifiée, MainProgram est utilisé par défaut si l'option /q est fournie.

    • fullPathToFile spécifie le chemin du fichier XML de configuration.

    • installDir précise le chemin complet d'un répertoire d'installation personnalisé. Facultatif.

    • /q spécifie une installation sans IG qui redémarre automatiquement le serveur une fois terminée. S'il n'est pas inclus, l'assistant d'installation s'affichera mais la configuration s'exécutera avec les paramètres prédéfinis. Facultatif.

    Exemples :

    msiexec /i IdmPwSync_x86.msi CONFIGARGS="-readxml c:\tmp\myconfig.xml"
    msiexec /i IdmPwSync_x86.msi ADDLOCAL="MainProgram" 
CONFIGARGS="-readxml c:\tmp\myconfig.xml" /q
    msiexec /i IdmPwSync_x64.msi ADDLOCAL="Complete" 
CONFIGARGS="-readxml c:\tmp\myconfig.xml" 
INSTALLDIR="C:\Program Files\Sun Microsystems\MyCustomInstallDirectory" /q