Foire Aux Questions relative à PasswordSync

Cette section répond à certaines questions fréquemment posées sur PasswordSync.

PasswordSync peut-il être implémenté sans Java Messaging Service ?

Oui, mais procéder de la sorte élimine les avantages découlant de l'utilisation d'un JMS pour suivre les événements de changement de mot de passe.

Pour implémenter PasswordSync sans JMS, lancez l’application de configuration avec l’indicateur suivant :

Configure.exe -direct

Lorsque l’indicateur -direct est spécifié, l’application de configuration affiche l’onglet User (Utilisateur).

Si vous implémentez PasswordSync sans JMS, il est inutile de créer un adaptateur Listener JMS. Vous pouvez par conséquent ignorer les procédures listées dans la section Déploiement de PasswordSync sur le serveur d'application. Si vous souhaitez configurer des notifications, vous devrez peut être modifier le flux de travaux Change User Password (Changer le mot de passe utilisateur).

Si vous exécutez ensuite l'application de configuration sans spécifier l'indicateur -direct, PasswordSync aura besoin d'un JMS pour être configuré. Relancez l’application avec l’indicateur -direct pour éviter de nouveau le JMS.

PasswordSync peut-il être utilisé en conjonction avec d'autres filtres de mots de passe Windows utilisés pour appliquer les stratégies de mot de passe personnalisées ?

Oui, vous pouvez utiliser PasswordSync en conjonction avec d'autres filtres de mots de passe _WINDOWS_. PasswordSync devra toutefois être le dernier filtre de mots de passe listé dans la valeur de registre Notification Package (Package de notification).

Vous devez utiliser le chemin de registre suivant :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages (value of type REG_MULTI_SZ)

Par défaut, le programme d'installation place l'intercepteur de mots de passe Identity Manager en fin de liste, mais si vous avez installé le filtre de mots de passe personnalisé après l'installation, vous devrez déplacer lhpwic à la fin de la liste Notification Packages (Packages de notification).

Vous pouvez utiliser PasswordSync en conjonction avec d'autres stratégies de mot de passe Identity Manager. Lorsque les stratégies sont contrôlées sur le côté serveur d'Identity Manager, toutes les stratégies de mot de passe de ressource doivent réussir pour que la synchronisation du mot de passe soit transmise à d'autres ressources. C'est pourquoi vous devez rendre la stratégie de mot de passe Windows native aussi restrictive que la plus restrictive des stratégies de mot de passe définies dans Identity Manager.

Le DLL intercepteur de mots de passe ne met pas en œuvre de stratégies de mot de passe.

La servlet PasswordSync peut-elle être installée sur un serveur d'application autre qu'Identity Manager ?

Oui. La servlet PasswordSync a besoin des fichiers jar spml.jar et idmcommon.jar en plus de tous les fichiers jar requis par l'application JMS.

Le service PasswordSync envoie-t-il les mots de passe au serveur lh en texte clair ?

Même si les pratiques recommandées préconisent d'exécuter PasswordSync sur SSL, toutes les données sensibles sont chiffrées avant d'être envoyées au serveur Identity Manager.

Pour toute information, voir Configuration de PasswordSync pour SSL.

Pourquoi certains changements de mot de passe résultent-ils en com.waveset.exception.ItemNotLocked ?

Si vous activez PasswordSync, un changement de mot de passe (même initié depuis l'interface utilisateur) se traduit par un changement de mot de passe sur la ressource, ce qui fait que la ressource contacte Identity Manager.

Si vous configurez correctement la variable de flux de travaux passwordSyncThreshold, Identity Manager examine l'objet Utilisateur et décide qu'il a déjà géré le changement de mot de passe. Cependant, si l'utilisateur ou l'administrateur effectue un autre changement de mot de passe pour le même utilisateur au même moment, l'objet Utilisateur peut être verrouillé.