有关 PasswordSync 的常见问题
本节解答了有关 PasswordSync 的一些常见问题。
问题:在不使用 Java Messaging Service 的情况下能否实现 PasswordSync?
回答:可以,但这样做会牺牲使用 JMS 跟踪密码更改事件的好处。
要在不使用 JMS 的情况下实现 PasswordSync,请使用以下标志启动配置应用程序:
Configure.exe -direct
指定 -direct 标志后,配置应用程序将显示“用户”选项卡。
如果在不使用 JMS 的情况下实现 PasswordSync,则不必创建 JMS 侦听器适配器。因此,应忽略在应用服务器上部署 PasswordSync中列出的过程。如果要设置通知,您可能需要改变“更改用户密码”工作流。
注 –
如果您随后运行配置应用程序而不指定 -direct 标志,则必须配置 JMS 才能实现 PasswordSync。请使用 -direct 标志重新启动应用程序,以便再次绕过 JMS。
问题:
PasswordSync 是否可以与用于强制执行自定义密码策略的其他 Windows 密码过滤器一起使用?
回答:是,可以将 PasswordSync 与其他 _WINDOWS_ 密码过滤器一起使用。然而,必须是通知软件包注册表值中列出的最后一个密码过滤器。
必须使用以下注册表路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages (value of type REG_MULTI_SZ)
默认情况下,安装程序将 Identity Manager 密码拦截设置在列表末尾处。但是,如果您在安装该软件后安装了自定义密码过滤器,则需要将 lhpwic 移到通知软件包列表的结尾处。
可以将 PasswordSync 与其他 Identity Manager 密码策略一起使用。如果在 Identity Manager 服务器端选择了策略,必须传递所有资源密码策略以将密码同步推出至其他资源。因此,您应该使 Windows 本机密码策略的严格程度与 Identity Manager 中定义的最严格的密码策略相同。
注 –
密码拦截 DLL 并不强制执行任何密码策略。
问题:
是否可以将 PasswordSync Servlet 安装在 Identity Manager 以外的其他应用服务器上?
回答:是。除了 JMS 应用程序需要的任何 jar 文件以外,PasswordSync Servlet 还需要 spml.jar 和 idmcommon.jar jar 文件。
问题:PasswordSync 服务是否将密码以明文发送到 lh 服务器?
回答:虽然最佳做法是通过 SSL 运行 PasswordSync,但在将所有敏感数据发送到 Identity Manager 服务器之前将对其进行加密。
有关信息,请参见将 PasswordSync 配置为使用 SSL。
问题:为什么进行某些密码更改会导致 com.waveset.exception.ItemNotLocked?
回答:如果启用 PasswordSync,密码更改(即使从用户界面启动)将导致资源的密码更改,从而致使资源与 Identity Manager 进行通信。
如果正确配置了 passwordSyncThreshold 工作流变量,则 Identity Manager 将检查用户对象并确定该用户对象是否已经处理了密码更改。但是,如果用户或管理员同时对同一个用户进行了其他密码更改,则用户对象将被锁定。
- © 2010, Oracle Corporation and/or its affiliates