本节解答了有关 PasswordSync 的一些常见问题。
问题:在不使用 Java Messaging Service 的情况下能否实现 PasswordSync?
回答:可以,但这样做会牺牲使用 JMS 跟踪密码更改事件的好处。
要在不使用 JMS 的情况下实现 PasswordSync,请使用以下标志启动配置应用程序:
Configure.exe -direct
指定 -direct 标志后,配置应用程序将显示“用户”选项卡。
如果在不使用 JMS 的情况下实现 PasswordSync,则不必创建 JMS 侦听器适配器。因此,应忽略在应用服务器上部署 PasswordSync中列出的过程。如果要设置通知,您可能需要改变“更改用户密码”工作流。
如果您随后运行配置应用程序而不指定 -direct 标志,则必须配置 JMS 才能实现 PasswordSync。请使用 -direct 标志重新启动应用程序,以便再次绕过 JMS。
PasswordSync 是否可以与用于强制执行自定义密码策略的其他 Windows 密码过滤器一起使用?
回答:是,可以将 PasswordSync 与其他 _WINDOWS_ 密码过滤器一起使用。然而,必须是通知软件包注册表值中列出的最后一个密码过滤器。
必须使用以下注册表路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages (value of type REG_MULTI_SZ)
默认情况下,安装程序将 Identity Manager 密码拦截设置在列表末尾处。但是,如果您在安装该软件后安装了自定义密码过滤器,则需要将 lhpwic 移到通知软件包列表的结尾处。
可以将 PasswordSync 与其他 Identity Manager 密码策略一起使用。如果在 Identity Manager 服务器端选择了策略,必须传递所有资源密码策略以将密码同步推出至其他资源。因此,您应该使 Windows 本机密码策略的严格程度与 Identity Manager 中定义的最严格的密码策略相同。
密码拦截 DLL 并不强制执行任何密码策略。
是否可以将 PasswordSync Servlet 安装在 Identity Manager 以外的其他应用服务器上?
回答:是。除了 JMS 应用程序需要的任何 jar 文件以外,PasswordSync Servlet 还需要 spml.jar 和 idmcommon.jar jar 文件。
问题:PasswordSync 服务是否将密码以明文发送到 lh 服务器?
回答:虽然最佳做法是通过 SSL 运行 PasswordSync,但在将所有敏感数据发送到 Identity Manager 服务器之前将对其进行加密。
有关信息,请参见将 PasswordSync 配置为使用 SSL。
问题:为什么进行某些密码更改会导致 com.waveset.exception.ItemNotLocked?
回答:如果启用 PasswordSync,密码更改(即使从用户界面启动)将导致资源的密码更改,从而致使资源与 Identity Manager 进行通信。
如果正确配置了 passwordSyncThreshold 工作流变量,则 Identity Manager 将检查用户对象并确定该用户对象是否已经处理了密码更改。但是,如果用户或管理员同时对同一个用户进行了其他密码更改,则用户对象将被锁定。