在应用服务器上部署 PasswordSync

在 Windows 域控制器上安装 PasswordSync 后，您必须在运行 Identity Manager 的应用服务器上执行其他步骤。

无需在应用服务器上安装 PasswordSync Servlet。在安装 Identity Manager 时，将自动安装该 Servlet。

不过，要完成 PasswordSync 部署，您需要在 Identity Manager 中执行以下操作：

• 添加并配置 JMS 侦听器适配器（如果使用的是 JMS）

• 实现“同步用户密码”工作流

• 设置通知

添加和配置 JMS 侦听器适配器

如果 PasswordSync Servlet 使用 JMS 将消息发送到 Identity Manager，则需要添加 Identity Manager 的 JMS 侦听器资源适配器。JMS 侦听器资源适配器定期检查 PasswordSync Servlet 放在 JMS 消息队列中的消息。如果队列中包含新消息，则会将其发送到 Identity Manager 以进行处理。

添加 JMS 侦听器资源适配器

1. 登录到 Identity Manager 管理员界面（Identity Manager 管理员界面）。

2. 从主菜单中选择“资源”->“配置类型”。

   将打开“配置受管理的资源”页，如图 11–10 中所示。

   图 11–10 “配置受管理的资源”页。

   
   

3. 确保选中“受管理？”列中的“JMS 侦听器”复选框，如图 11–10 中所示。

   如果未选中该框，请将其选中，然后单击“保存”。

4. 单击次级菜单中的“列出资源”。

5. 找到“资源类型操作”下拉菜单，然后选择“新建资源”。

   将显示“新建资源”页。

6. 要添加 JMS 侦听器适配器，请从下拉菜单中选择“JMS 侦听器”（如图 11–11 中所示），然后单击“新建”。

   图 11–11 新建资源向导

   
   

7. 在“资源参数”页上配置以下设置，然后单击“下一步”。

   • 目的地类型。通常将该值指定为“队列”。（因为有一个订阅者而可能有多个发布者，所以各主题通常不相关。）

   • 初始上下文 JNDI 属性。定义一组用于构建初始 JNDI 上下文的属性。

     您必须定义以下名称/值对：

     • java.naming.factory.initial。指定 JNDI 服务提供者的初始上下文工厂的类名（包括包）。

     • java.naming.provider.url。指定运行 JNDI 服务的计算机的 URL。

       您可能需要定义其他属性。属性和值的列表应该与 JMS 服务器上的 JMS 设置页中指定的属性和值相匹配。例如，要提供凭证和绑定方法，您可能需要指定以下示例属性：

       • java.naming.security.principal - 绑定 DN（例如，cn=Directory manager）

       • java.naming.security.authentication - 绑定方法（例如，简单绑定）

       • java.naming.security.credentials - 密码

   • 连接工厂的 JNDI 名称。输入在 JMS 服务器中定义的连接工厂的名称。

   • 目的地的 JNDI 名称。输入在 JMS 服务器中定义的目的地的名称。

   • 用户和密码。输入从队列中请求新事件的管理员的帐户名称和密码。

   • 可靠的邮件传送支持。选择 LOCAL（本地事务）。其他选项不适用于密码同步。

   • 邮件映射。输入 java:com.waveset.adapter.jms.PasswordSyncMessageMapper。该类将来自 JMS 服务器的消息转换为同步用户密码工作流可以使用的格式。

     

8. 在“帐户属性”向导页（图 11–12）上，单击“添加属性”并映射以下属性（由 PasswordSyncMessageMapper 提供给 JMS 侦听器适配器）。

   • IDMAccountId - 该属性由 PasswordSyncMessageMapper 根据在 JMS 消息中传递的 resourceAccountId 和 resourceAccountGUID 属性解析。

   • password - 在 JMS 消息中转发的加密密码。

   图 11–12 创建 JMS 侦听器资源向导的“帐户属性”页

   
   

9. 单击“下一步”。

   将打开“身份模板”向导页，如图 11–13 中所示。请注意，在上一步中添加的属性显示在资源向导的“属性映射”部分中（图 11–13）。

   图 11–13 JMS 侦听器资源向导属性映射

   
   

10. 单击“下一步”，然后根据需要配置“Identity System 参数”页中的选项。

    有关设置 JMS 侦听器资源适配器的详细信息，请参见《Sun Identity Manager 8.1 Resources Reference》。

实现“同步用户密码”工作流

当 Identity Manager 收到密码更改通知时，它将启动“同步用户密码”工作流。默认“同步用户密码”工作流将签出 ChangeUserPassword 查看器，然后再次将其签入。接下来，工作流将处理所有资源帐户（发送最初密码更改通知的 Windows 资源除外）。最后，Identity Manager 将向用户发送电子邮件，指示所有资源上的密码更改是否成功。

如果要默认实现同步用户密码工作流，则将其作为 JMS 侦听器适配器实例的进程规则进行分配。可以在配置 JMS 侦听器以进行同步时分配进程规则（请参见配置活动同步）。

如果要修改工作流，请复制 $WSHOME/sample/wfpwsync.xml 文件并进行修改。然后，将修改的工作流导入到 Identity Manager 中。

可能要对默认工作流执行的修改包括：

• 更改密码后通知哪些实体。

• 无法找到 Identity Manager 帐户时会出现什么情况。

• 如何在工作流中选择资源。

• 是否允许从 Identity Manager 中更改密码。

有关使用工作流的详细信息，请参见《Sun Identity Manager Deployment Reference》中的第 1  章 “Workflow”。

设置通知

Identity Manager 提供了两个电子邮件模板，它们可以通知用户所有资源上的密码更改是否成功。

这两个模板为：

• 密码同步通知

• 密码同步失败通知

两个模板均应该更新，以便在用户需要进一步帮助时，为其提供有关下一步操作的公司特定信息。有关详细信息，请参见第 4 章中的自定义电子邮件模板。