Novell Confidential Manual (FRA) 28 October 2003 Novell Pilote DirXML pour domaine NT www.novell.com 1.4 GUIDE D’IMPLÉMENTATION 18 mars 2004 Novell Confidential Manual (FRA) 28 October 2003 Mentions légales Novell exclut toute garantie relative au contenu ou à l’utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d’erreurs. Novell se réserve en outre le droit de réviser cette publication à tout moment et sans préavis. Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu’il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque. L’exportation ou la réexportation de ce produit est interdite dès lors qu’elle enfreint les lois et réglementations applicables, y compris, de façon non limitative, les réglementations des États-Unis en matière d’exportation ou la législation en vigueur dans votre pays de résidence. Copyright © 2002-2004 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l’éditeur. Brevets américains n° 5,349,642 ; 5,608,903 ; 5,671,414 ; 5,677,851 ; 5,758,344 ; 5,784,560 ; 5,818,936 ; 5,828,882 ; 5,832,275 ; 5,832,483 ; 5,832,487 ; 5,870,561 ; 5,870,739 ; 5,873,079 ; 5,878,415 ; 5,884,304 ; 5,919,257 ; 5,933,503 ; 5,933,826 ; 5,946,467 ; 5,956,718 ; 6,016,499 ; 6,065,017 ; 6,105,062 ; 6,105,132 ; 6,108,649 ; 6,167,393 ; 6,286,010 ; 6,308,181 ; 6,345,266 ; 6,424,976 ; 6,516,325 ; 6,519,610 ; 6,539,381 ; 6,578,035 ; 6,615,350 ; 6,629,132. Brevets en cours d’homologation. Novell, Inc. 1800 South Novell Place Provo, UT 84606 États-Unis www.novell.com Guide d’implémentation du pilote DirXML pour domaine NT 18 mars 2004 Documentation en ligne : pour accéder à la documentation en ligne de ce produit (et d’autres produits Novell) et obtenir les mises à jour, consultez le site www.novell.com/documentation. Novell Confidential Marques commerciales de Novell ConsoleOne est une marque déposée de Novell, Inc. aux États-Unis et dans d’autres pays. DirXML est une marque déposée de Novell, Inc. aux États-Unis et dans d’autres pays. eDirectory est une marque de Novell, Inc. NDS est une marque déposée de Novell, Inc. aux États-Unis et dans d’autres pays. NetWare est une marque déposée de Novell, Inc. aux États-Unis et dans d’autres pays. Novell Client est une marque de Novell, Inc. Novell est une marque déposée de Novell, Inc. aux États-Unis et dans d’autres pays. Novell Directory Services est une marque déposée de Novell, Inc. aux États-Unis et dans d’autres pays. Nsure est une marque de Novell, Inc. ZENworks est une marque déposée de Novell, Inc. aux États-Unis et dans d’autres pays. Autres marques commerciales Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif. Manual (FRA) 28 October 2003 Novell Confidential Manual (FRA) 28 October 2003 Novell Confidential Manual (FRA) 28 October 2003 Sommaire 1 À propos de ce guide 7 Présentation du pilote DirXML pour domaine NT 9 Nouvelles fonctionnalités . . . . . . . Fonctionnalités du pilote . . . . . Fonctionnalités d’Identity Manager Configuration par défaut du pilote . . Flux de données . . . . . . . . . 2 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Emplacement d’installation du pilote pour domaine NT . . . . . . . . . . . Conditions préalables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Informations requises pour l’installation. . . . . . . . . . . . . . . . . . Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation du pilote de domaine NT (installation locale) . . . . . . . . . Installation du pilote pour domaine NT (installation du chargeur distant) . Tâches postérieures à l’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation du pilote pour domaine NT 13 Mise à niveau . . . . . . . . . . . 21 . . . . . . . . . . . 22 . . . . . . . . . . . 22 . . . . . . . . . . . 22 Personnalisation du pilote pour domaine NT Configuration des paramètres du pilote . . . . . . . . . . . . . . . . . . . . . . . . . . Niveau de consignation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fréquence d’interrogation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Heure d’expiration des mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . Options de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Options de démarrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration de la synchronisation des données . . . . . . . . . . . . . . . . . . . . . Intégration du pilote DirXML pour domaine NT et du pilote DirXML pour Exchange . . Filtrage des objets Utilisateur non-utilisateur . . . . . . . . . . . . . . . . . . . . . . Synchronisation des informations sur les groupes . . . . . . . . . . . . . . . . . . . Modification de l’emplacement des objets Utilisateur à l’aide de règles de placement . Modification des attributs synchronisés à l’aide des filtres Éditeur et Abonné . . . . . Requête sur GlobalGroup ou LocalGroup . . . . . . . . . . . . . . . . . . . . . . . 13 15 15 15 16 16 16 21 Mise à niveau du module d’interface pilote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mise à niveau de la configuration du pilote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la synchronisation des mots de passe sous Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . Mise à niveau vers la synchronisation des mots de passe sous Identity Manager . . . . . . . . . 4 . 9 . 9 10 10 10 23 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sommaire . . . . . . . . . . . . . . . . . . . . . . . . . . 23 24 24 24 27 27 27 28 28 29 30 30 33 5 Novell Confidential 5 Manual (FRA) 28 October 2003 Synchronisation des mots de passe Comparaison entre la version 1.0 de la synchronisation des mots de passe et la version fournie avec Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la version fournie avec Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Création de la compatibilité amont avec la version 1.0 de la synchronisation des mots de passe par l’ajout de règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nouvelle configuration de pilote et synchronisation des mots de passe sous Identity Manager . . . Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe sous Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . Définition des filtres de synchronisation des mots de passe . . . . . . . . . . . . . . . . . . . . . Configuration séparée des filtres de mots de passe sur chaque contrôleur de domaine . . . . . Configuration des filtres de mot de passe pour tous les contrôleurs de domaine à partir d’un ordinateur unique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dépannage des problèmes de synchronisation des mots de passe . . . . . . . . . . . . . . . . . 6 Dépannage 35 . . . . . . . . . . 36 . . . . . . . . . . 38 . . . . . . . . . . 40 . . . . . . . . . . 42 . . . . . . . . . . 43 . . . . . . . . . . 45 . . . . . . . . . . 46 . . . . . . . . . . 49 . . . . . . . . . . 53 55 Dépannage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 A Mises à jour 59 18 mars 2004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 13 mai 2004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 6 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 À propos de ce guide Ce guide explique comment installer et configurer le pilote DirXML® pour domaine NT. Ce guide contient les sections suivantes : Chapitre 1, « Présentation du pilote DirXML pour domaine NT », page 9 Cette section décrit les nouvelles fonctionnalités et explique la configuration par défaut du pilote. Chapitre 2, « Installation du pilote pour domaine NT », page 13 Cette section décrit le processus d’installation ainsi que les tâches de configuration à exécuter après l’installation. Chapitre 3, « Mise à niveau », page 21 Cette section décrit le processus de mise à niveau ; elle donne en particulier des informations importantes concernant la mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la synchronisation des mots de passe sous Novell® NsureTM Identity. Chapitre 4, « Personnalisation du pilote pour domaine NT », page 23 Cette section explique comment personnaliser les paramètres du pilote et la synchronisation des données. Elle fournit des exemples de personnalisations courantes. Chapitre 5, « Synchronisation des mots de passe », page 35 Cette section explique les différences entre la version 1.0 de la synchronisation des mots de passe et la synchronisation des mots de passe sous Identity Manager ; elle décrit en outre comment configurer la synchronisation des mots de passe sous Identity Manager. Elle comprend également des informations importantes concernant la mise à niveau de la synchronisation des mots de passe. Chapitre 6, « Dépannage », page 55 Cette section répertorie les messages d’erreur les plus fréquents ainsi que leurs causes possibles. Annexe A, « Mises à jour », page 59 Documentation supplémentaire Pour plus de détails sur l’utilisation de Nsure Identity Manager et autres pilotes, consultez le site Web de documentation d’Identity Manager (http://www.novell.com/documentation/french/dirxml20). Mises à jour de la documentation Pour une version plus récente de ce document, consultez le site Web de documentation sur les pilotes (http://www.novell.com/documentation/french/dirxmldrivers). À propos de ce guide 7 Novell Confidential Manual (FRA) 28 October 2003 Conventions utilisées dans la documentation Dans cette documentation, le symbole « supérieur à » (>) est utilisé pour séparer deux opérations dans une étape de procédure ainsi que deux éléments dans un chemin de références croisées. Le symbole de marque (®, TM, etc.) indique une marque de Novell. L’astérisque (*) indique une marque commerciale de fabricant tiers. Commentaires de l’utilisateur Vos commentaires et suggestions sur le présent guide et sur les autres documents qui accompagnent Novell Nsure Identity Manager nous intéressent. Pour nous contacter, envoyeznous un message électronique à l’adresse suivante : proddoc@novell.com. 8 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential 1 Manual (FRA) 28 October 2003 Présentation du pilote DirXML pour domaine NT Le pilote DirXML® pour domaine NT est conçu pour gérer et synchroniser Novell® eDirectoryTM avec les domaines Windows* NT* 4. Le pilote DirXML pour domaine NT s’exécute sur le serveur Windows NT 4. Le pilote : synchronise les objets Utilisateur entre eDirectory et les domaines NT 4 ; effectue une assignation simple entre des attributs similaires ; peut servir à migrer des objets Utilisateur entre eDirectory et NT 4. Ce pilote ne sert pas d’outil générique pour l’administration de domaines NT 4. Cette section contient les informations suivantes : « Nouvelles fonctionnalités », page 9 « Configuration par défaut du pilote », page 10 Nouvelles fonctionnalités Cette section contient les informations suivantes : « Fonctionnalités du pilote », page 9 « Fonctionnalités d’Identity Manager », page 10 Fonctionnalités du pilote Vous pouvez utiliser l’utilitaire DirXML PassSync pour configurer chaque filtre de mot de passe des contrôleurs de domaine. Cela signifie que vous n’êtes pas obligé d’autoriser l’accès distant au registre. Reportez-vous à « Configuration séparée des filtres de mots de passe sur chaque contrôleur de domaine », page 46. Un nouveau paramètre est fourni pour Heure d’expiration des mots de passe ; les filtres du pilote et des mots de passe ont été améliorés, de telle sorte qu’ils ne réessayent les mots de passe que lorsqu’un utilisateur a été ajouté ou modifié avec succès. Reportez-vous à « Heure d’expiration des mots de passe », page 24. L’exemple de configuration du pilote utilise une nouvelle fonctionnalité - l’invite flexible pour diminuer la complexité lors de l’importation de la configuration. Si vous décidez d’installer le pilote pour l’utiliser avec le chargeur distant, ou si vous souhaitez utiliser des droits basés sur les rôles, une page supplémentaire apparaît dans l’assistant, permettant de saisir les informations concernant ces formalités. Présentation du pilote DirXML pour domaine NT 9 Novell Confidential Manual (FRA) 28 October 2003 Vous pouvez désormais effectuer une requête pour deux classes supplémentaires : GlobalGroup et LocalGroup. Bien que vous ne puissiez pas les synchroniser sur les canaux Abonné ou Éditeur, vous pouvez utiliser la fonctionnalité d’interrogation pour les synchroniser de manière indirecte, de sorte que le pilote utilise l’attribut MemberOf sur un utilisateur pour que ce dernier soit placé dans un groupe correspondant dans eDirectory. Reportez-vous à « Requête sur GlobalGroup ou LocalGroup », page 33. Dans NsureTM Identity Manager, la synchronisation des mots de passe est prise en charge dans le nouvel exemple de configuration du pilote. Les nouvelles fonctionnalités de synchronisation des mots de passe sont les suivantes : Il n’est plus nécessaire d’installer Novell ClientTM sur un ordinateur équipé de Windows. Vous pouvez mettre en œuvre une synchronisation bidirectionnelle des mots de passe entre le domaine NT et les autres systèmes connectés. Pour plus d’informations, reportez-vous au Chapitre 5, « Synchronisation des mots de passe », page 35. Les droits basés sur le rôle sont pris en charge dans le nouvel exemple de configuration du pilote. L’utilisation de droits basés sur les rôles est une décision prise lors de la conception du système. Avant de sélectionner cette option, reportez-vous à Using Role-Based Entitlements (Comment utiliser les droits basés sur le rôle) , dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Le pilote peut être configuré de façon à envoyer une pulsation au pilote. Reportez-vous à Adding Driver Heartbeat (Ajouter une pulsation pilote) du Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Fonctionnalités d’Identity Manager Pour plus d’informations sur les nouvelles fonctionnalités d’Identity Manager, reportez-vous à What’s New in Identity Manager 2? (Nouveautés d’Identity Manager 2), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration Novell Nsure Identity Manager 2). Configuration par défaut du pilote Les notions de base d’Identity Manager sont décrites dans le Nsure Identity Manager 2 Administration Guide (Guide d’administration de Nsure Identity Manager 2) (http://www.novell.com/documentation/french/dirxml20/admin/data/alxnk27.html). Cette section décrit les mises en œuvre, ajouts ou exceptions spécifiques au pilote pour domaine NT. Flux de données Canaux Éditeur et Abonné Le pilote prend en charge les canaux Éditeur et Abonné : Le canal Éditeur lit les événements qui proviennent d’un registre de PDC de domaine NT ; il envoie ensuite ces informations à eDirectory via le moteur DirXML. Le canal Abonné détecte les ajouts et modifications apportés aux objets eDirectory et effectue les changements correspondants dans le domaine NT. 10 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 Règles Les règles permettent de contrôler la synchronisation des données entre le domaine NT et eDirectory. L’exemple de configuration du pilote de domaine NT fournit un ensemble de règles, dont certaines sont décrites dans le tableau ci-dessous. Ces règles peuvent être personnalisées dans Novell iManager, comme l’explique le Chapitre 4, « Personnalisation du pilote pour domaine NT », page 23. Règle Description Assignation de schéma Configurée sur l’objet Pilote. Créer Configurée sur le canal Éditeur. Assigne les propriétés et la classe Utilisateur eDirectory suivantes à des attributs et à une classe Nom d’utilisateur de domaine NT : CN, name Description, Comment Full Name (Nom complet), FullName Login Disabled (Login désactivé), Disable Password Allow Change (Modification des mots de passe autorisée), PasswordChange Password Required (Mot de passe requis), PasswordRequired Login Allowed Time Map (Assignation d’un horaire autorisé pour le login), LogonHours Login Expiration Time (Heure d’expiration du login), AcctExpires L’attribut Nom doit être spécifié pour qu’un objet Utilisateur soit créé. NT n’utilise pas cet attribut, mais eDirectory l’exige. Pour satisfaire aux exigences d’eDirectory, la règle Créer affecte un nom par défaut pour tous les utilisateurs, Inconnu, à moins que vous ne souhaitiez spécifier un nom lorsque vous importez la configuration du pilote. Concordance Configurée sur les canaux Éditeur et Abonné. Un utilisateur eDirectory est identique à un utilisateur NT lorsque la valeur de CN est la même dans les deux cas. Remarque : cette règle ne doit pas être modifiée ; en effet, les API de domaine NT n’autorisent que les requêtes de l’attribut Nom d’utilisateur. Placement Configurée sur les canaux Éditeur et Abonné. Les nouveaux utilisateurs sont nommés en fonction de la valeur de la partie la plus à gauche du nom distinctif source ; ils sont ensuite placés dans les conteneurs que vous avez définis lors de la configuration du pilote. Vous devez créer ces conteneurs avant de démarrer le pilote. Présentation du pilote DirXML pour domaine NT 11 Novell Confidential 12 Guide d’implémentation du pilote DirXML pour domaine NT Manual (FRA) 28 October 2003 Novell Confidential 2 Manual (FRA) 28 October 2003 Installation du pilote pour domaine NT Le pilote DirXML® pour domaine NT peut être installé en même temps que d’autres pilotes DirXML lors de l’installation des moteurs DirXML. Cette méthode d’installation est décrite, dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Le pilote peut également être installé séparément, après l’installation des moteurs DirXML, en exécutant l’installation de NsureTM Identity Manager et en ne sélectionnant que le pilote de domaine NT. Cette section comprend les rubriques d’installation suivantes : « Emplacement d’installation du pilote pour domaine NT », page 13 « Conditions préalables », page 15 « Installation », page 15 Emplacement d’installation du pilote pour domaine NT Le pilote pour domaine NT gère la synchronisation avec un seul domaine. Pour gérer la synchronisation avec plusieurs domaines, il est nécessaire d’effectuer plusieurs installations du pilote DirXML. Envisagez d’abord de configurer la synchronisation d’un seul domaine, puis d’utiliser les fonctions d’exportation et d’importation de pilotes d’Identity Manager pour accélérer la configuration de la synchronisation pour d’autres domaines. Pour plus d’informations sur l’importation et l’exportation de pilotes, reportez-vous au manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Le pilote de domaine NT peut être installé dans n’importe laquelle de ces configurations : Comme illustré à la Figure 1, « Configuration de l’installation : chargeur distant », page 14, installez Novell® eDirectoryTM et le moteur DirXML sur un contrôleur secondaire de domaine (BDC, Backup Domain Controller) ou sur un serveur membre. Installez ensuite le pilote pour domaine NT et le service de chargeur distant sur le contrôleur principal de domaine (PDC - Primary Domain Controller). Cette configuration permet d’isoler le PDC, à l’exception de l’installation de deux composants qui n’exigent pas beaucoup d’espace disque ni de nombreux cycles de traitement. Elle permet également au pilote DirXML d’accéder directement au PDC. À partir de cet emplacement, le pilote est en mesure de gérer tous les scénarios de récupération indépendamment des contraintes liées à la connexion et aux API. Installation du pilote pour domaine NT 13 Novell Confidential Manual (FRA) 28 October 2003 Figure 1 Configuration de l’installation : chargeur distant Synchronisation domaine NT/eDirectory Chargeur distant eDirectory Pilote DirXML Moteur DirXML PDC BDC Comme illustré à la Figure 2, « Configuration de l’installation : tous les composants sur le PDC », page 14, installez Novell eDirectory, le moteur DirXML et le pilote pour domaine NT sur le PDC. Cette configuration est optimale pour la vitesse de traitement du fait que tous les composants sont installés sur le même ordinateur. De plus, elle permet au pilote DirXML d’accéder directement au PDC. À partir de cet emplacement, le pilote est en mesure de gérer tous les scénarios de récupération indépendamment des contraintes liées à la connexion et aux API. Cependant, le PDC constitue souvent une zone dont l’accès est surveillé. Il est possible que les règles de votre entreprise vous interdisent de placer eDirectory sur le PDC. Pour configurer tous les composants sur le PDC, reportez-vous à « Installation du pilote de domaine NT (installation locale) », page 16. Figure 2 Configuration de l’installation : tous les composants sur le PDC Synchronisation domaine NT/eDirectory eDirectory Moteur DirXML PDC Pilote DirXML BDC Comme illustré à la Figure 3, « Configuration de l’installation : tous les composants sur le BDC », page 15, installez Novell eDirectory, le moteur DirXML et le pilote pour domaine NT sur le BDC. Dans cette configuration, le PDC est complètement isolé. Cependant, comme le pilote doit communiquer avec le PDC, cette configuration peut poser des problèmes en cas de défaillance de connexion ou de communication. C’est pourquoi les configurations précédentes sont recommandées en priorité. Pour configurer tous les composants sur le BDC, reportez-vous à « Installation du pilote de domaine NT (installation locale) », page 16. 14 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 Figure 3 Configuration de l’installation : tous les composants sur le BDC Synchronisation domaine NT/eDirectory eDirectory Moteur DirXML PDC BDC Pilote DirXML Conditions préalables Novell Nsure Identity Manager et les conditions préalables requises, répertoriées dans Installation du Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2) Windows NT 4 avec Service Pack 6 Informations requises, énoncées dans « Informations requises pour l’installation », page 15 Avant d’importer la configuration du pilote, créez les conteneurs qui doivent être spécifiés lors de l’importation. Les invites d’importation sont décrites dans « Importation de la configuration du pilote », page 17. Informations requises pour l’installation Procurez-vous les informations suivantes avant d’installer le module d’interface pilote et d’importer la configuration du pilote. Le nom du PDC NT 4 avec lequel le pilote doit effectuer la synchronisation. Nom du domaine avec lequel vous effectuez la synchronisation. Le contexte eDirectory de l’emplacement dans lequel vous souhaitez synchroniser les objets Utilisateur. Nom et mot de passe d’un utilisateur de domaine NT ayant les droits nécessaires pour manipuler des objets Utilisateur dans le domaine. Lorsque vous créez ou importez un exemple de configuration du pilote, l’assistant vous invite à saisir les informations répertoriées dans « Importation de la configuration du pilote », page 17. Installation Cette section contient les informations suivantes : « Installation du pilote de domaine NT (installation locale) », page 16 « Installation du pilote pour domaine NT (installation du chargeur distant) », page 16 « Tâches postérieures à l’installation », page 16 Installation du pilote pour domaine NT 15 Novell Confidential Manual (FRA) 28 October 2003 Installation du pilote de domaine NT (installation locale) Dans une configuration locale, le pilote est installé sur le même ordinateur que celui sur lequel se trouve le moteur DirXML. Installez les composants sur la machine adéquate, selon les indications données dans « Emplacement d’installation du pilote pour domaine NT », page 13. Pour plus d’informations, reportez-vous à Installation, dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Après l’installation, configurez le pilote comme indiqué dans « Tâches postérieures à l’installation », page 16. Installation du pilote pour domaine NT (installation du chargeur distant) Dans une configuration distante, le pilote et le service du chargeur distant sont installés sur un autre ordinateur que celui sur lequel réside le moteur DirXML. Installez les composants sur les machines adéquates, comme décrit dans « Emplacement d’installation du pilote pour domaine NT », page 13. Pour plus d’informations sur l’installation du pilote et du chargeur distant, reportez-vous à Installation, dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Après l’installation, configurez le pilote comme indiqué dans « Tâches postérieures à l’installation », page 16. Tâches postérieures à l’installation Aucune configuration après installation n’est nécessaire si vous mettez à niveau un pilote existant. Si vous utilisez le pilote pour domaine NT pour la première fois, effectuez les tâches postérieures à l’installation décrites dans les sections suivantes : « Création d’un utilisateur admin », page 16 « Attribution de droits au pilote », page 17 « Importation de la configuration du pilote », page 17 « Démarrage du pilote », page 19 « Migration et resynchronisation des données », page 19 « Activation du pilote », page 20 Création d’un utilisateur admin Le pilote a besoin de droits Lire/Écrire sur le domaine. Lorsque vous configurez le pilote, vous êtes invité à fournir un compte NT que le pilote peut utiliser pour accéder au domaine. Vous pouvez indiquer tout compte existant et doté des droits appropriés ou bien créer un compte qui sera exclusivement utilisé par le pilote afin de faciliter la gestion ultérieurement. 16 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 Attribution de droits au pilote Une fois l’installation d’Identity Manager terminée, vous devez accorder des droits au pilote pour qu’il puisse accéder aux clés SAM dans le registre du serveur sur lequel se trouve le domaine à utiliser. En créant un équivalent Administrateur, le pilote obtient des droits de lecture et d’écriture sur le domaine mais, par défaut, même l’Administrateur ne peut pas accéder au registre tant que vous ne lui assignez pas explicitement cet accès. Pour accorder les droits : 1 Loguez-vous à NT en tant qu’administrateur. 2 Exécutez regedt32. 3 Sélectionnez la fenêtre HKEY_LOCAL_MACHINE. 4 Sélectionnez la clé SAM puis, dans le menu Sécurité, sélectionnez Autorisations. 5 Cochez la case Remplacer l’autorisation concernant les sous-clés existantes. 6 Accordez l’autorisation Contrôle total à l’utilisateur Administrateur que vous avez créé pour le pilote, puis cliquez sur OK. 7 Cliquez sur Oui pour remplacer l’autorisation sur toutes les sous-clés existantes dans SAM. 8 Fermez le registre. Importation de la configuration du pilote L’exemple de configuration du pilote pour domaine NT crée et configure les objets requis pour que le pilote fonctionne correctement. Pour plus d’informations, reportez-vous à Creating and Configuring a Driver (Création et configuration d’un pilote), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2), et saisissez les informations suivantes. L’exemple de configuration du pilote utilise une nouvelle fonctionnalité - l’invite flexible - pour diminuer la complexité lors de l’importation de la configuration. Si vous choisissez d’installer le pilote pour un usage avec le chargeur distant, ou si vous souhaitez utiliser des droits basés sur le rôle, une page supplémentaire apparaîtra dans l’assistant, permettant de saisir des informations concernant ces formalités. Invite d’importation Description Nom du pilote Le nom du pilote contenu dans le fichier de configuration du pilote est Domaines NT. Saisissez le nom que vous voulez utiliser pour le pilote. Serveur de domaine Entrez le nom du serveur qui contient le domaine NT que le pilote doit utiliser, [SERVEUR_DOMAINE] par exemple. Vous devez utiliser des caractères majuscules. Nom du domaine Entrez le nom du domaine NT que le pilote doit utiliser, [NOM_DOMAINE] par exemple. Vous devez utiliser des caractères majuscules. Utilisateur expert Entrez l’utilisateur du domaine NT que ce pilote utilisera pour l’authentification du domaine, [Administrateur] par exemple. Mot de passe expert Entrez le mot de passe de l’utilisateur précédemment spécifié. Si vous modifiez le mot de passe dans NT, vous devez également le mettre à jour dans la configuration du pilote. Installation du pilote pour domaine NT 17 Novell Confidential Manual (FRA) 28 October 2003 Invite d’importation Description Conteneur Entrez le conteneur eDirectory dans lequel le pilote s’adaptera aux objets à synchroniser avec NT, [Utilisateurs.MonOrganisation] par exemple. Nom par défaut Les utilisateurs de domaines NT ne disposent pas d’attribut Nom. Entrez un nom par défaut qui sera utilisé dans les règles de création de l’Éditeur par défaut. Il peut également être utilisé comme mot de passe par défaut (reportez-vous à la transformation des commandes de l’Éditeur, pour laquelle l’exemple de configuration du pilote saisit le nom par défaut). Intervalle d’interrogation (en millisecondes) Indiquez le délai en millisecondes avant d’interroger NT sur les modifications. Timeout de la synchronisation des mots de passe (minutes) Indiquez la durée (en minutes) pendant laquelle le pilote doit essayer de synchroniser un mot de passe donné. Le pilote n’essaiera pas de synchroniser le mot de passe une fois ce délai écoulé. Cet intervalle doit être au moins deux fois plus long que l’intervalle d’interrogation. Reportez-vous à « Heure d’expiration des mots de passe », page 24. Configurer le flux de données À ce jour, le flux de données peut être configuré pour le pilote. Sélectionnez le flux de données désiré. Bidirectionnel signifie que NT et eDirectory sont des sources expertes de données synchronisées entre elles. NT vers eDirectory signifie que NT est la source experte. eDirectory vers NT signifie qu’eDirectory est la source experte. Utilisateur notifié de l’échec de la synchronisation/définition d’un mot de passe Les règles de synchronisation de mots de passe permettent d’envoyer un message électronique relatif à l’échec de la synchronisation/définition d’un mot de passe à l’utilisateur associé. Cette procédure échoue si l’utilisateur n’a pas indiqué d’adresse électronique. Pour éviter un échec de ce type, vous pouvez indiquer un utilisateur par défaut (par DN) auquel toutes les notifications seront envoyées. Activer les droits Choisissez Oui si vous utilisez également le pilote de service de droits et si vous voulez que ce pilote utilise les droits basés sur le rôle. Sinon, choisissez Non. L’utilisation de droits basés sur les rôles est une décision prise lors de la conception du système. Avant de sélectionner cette option, reportez-vous à Using Role-Based Entitlements (Comment utiliser les droits basés sur le rôle) , dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Deux autres invites sont liées à l’utilisation des droits basés sur les rôles. Elles n’obtiendront de réponse que si vous choisissez Oui. Action - Ajouter des droits au compte On ne peut l’utiliser qu’avec des droits basés sur les rôles. Action - Supprimer les droits du compte On ne peut l’utiliser qu’avec des droits basés sur les rôles. Installer le pilote comme Distant/Local Configurez le pilote pour l’utiliser avec le service de chargeur distant en sélectionnant l’option Distant, ou choisissez Local pour configurer une utilisation locale. Si vous sélectionnez Local, vous pouvez ignorer les paramètres suivants. Nom d’hôte et port distants Pour la configuration d’un pilote distant seulement. Sélectionnez l’action exécutée lorsqu’un compte utilisateur est ajouté par les droits. Sélectionnez l’action exécutée lorsqu’un compte utilisateur est supprimé par les droits. Entrez le nom d’hôte ou l’adresse IP et le numéro de port de l’endroit où le service du chargeur distant est installé et s’exécute pour ce pilote. Le port par défaut est 8090. 18 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 Invite d’importation Description Mot de passe du pilote Pour la configuration d’un pilote distant seulement. Le mot de passe de l’objet Pilote permet au chargeur distant de s’authentifier auprès du serveur DirXML. Il doit être identique au mot de passe défini sur le chargeur distant DirXML. Mot de passe à distance Pour la configuration d’un pilote distant seulement. Le mot de passe du chargeur distant permet de contrôler l’accès à l’instance du chargeur distant. Il doit être identique au mot de passe défini sur le chargeur distant DirXML. Démarrage du pilote Suivez les étapes décrites dans Starting, Stopping, or Restarting a Driver (Démarrage, arrêt ou redémarrage d’un pilote), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Lorsque le pilote démarre, vous pouvez ouvrir DSTrace pour voir le pilote accéder au registre et lister tous les utilisateurs du domaine. Cependant, l’activation étant utilisée dans cette version d’Identity Manager, un délai, d’au moins 30 secondes, peut se produire au démarrage, pendant lequel le pilote effectue une requête d’activation. La synchronisation s’effectue objet après objet, au fur et à mesure des modifications apportées à chacun des objets. Si vous souhaitez une synchronisation immédiate, vous devez lancer cette procédure comme indiqué dans « Migration et resynchronisation des données », page 19, ci-dessous. Migration et resynchronisation des données Identity Manager synchronise les données à mesure qu’elles sont modifiées. Si vous souhaitez synchroniser immédiatement toutes les données, vous avez le choix entre les options suivantes : Migrer les données depuis eDirectory : permet de sélectionner les conteneurs ou les objets à migrer depuis eDirectory vers une application. Lorsque vous migrez un objet, le moteur DirXML applique à l’objet toutes les règles de concordance, de placement et de création, ainsi que le filtre Abonné. Migrer les données vers eDirectory : permet de définir les critères utilisés par Identity Manager pour migrer des objets depuis une application vers Novell eDirectory. Lorsque vous migrez un objet, le moteur DirXML applique à l’objet toutes les règles de concordance, de placement et de création, ainsi que le filtre Éditeur. Les objets sont migrés dans eDirectory dans l’ordre spécifié dans la liste des classes. Synchroniser : le moteur DirXML examine le filtre de la classe Abonné et traite tous les objets de ces classes. Les objets associés sont fusionnés. Les objets non associés sont traités en tant qu’événements Ajout. Pour utiliser l’une des options décrites ci-dessus, suivez les étapes décrites dans Starting, Stopping, or Restarting a Driver (Démarrage, arrêt ou redémarrage d’un pilote), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Installation du pilote pour domaine NT 19 Novell Confidential Manual (FRA) 28 October 2003 Gardez à l’esprit les points suivants lorsque vous forcez la synchronisation des données : Lorsque vous migrez vers eDirectory, vous pouvez soit migrer l’ensemble des utilisateurs, soit migrer un utilisateur spécifique, mais vous ne pouvez pas migrer un sous-ensemble d’utilisateurs. Cette contrainte est imposée par les capacités de recherche limitées des domaines NT. Les caractères joker ne fonctionnent pas pour les requêtes sur le canal Éditeur. Lorsque vous migrez un utilisateur spécifique vers eDirectory, spécifiez l’attribut Utilisateur eDirectory assigné à l’attribut Nom d’utilisateur NT (par défaut, il s’agit de CN). Les requêtes sur les autres attributs ne sont pas prises en charge par NT. Si vous possédez des comptes Utilisateur dans eDirectory et dans le domaine, et si vous souhaitez que les deux systèmes mettent les données à jour, synchronisez les données dans les deux directions. Si le pilote s’arrête en signalant une erreur, le pilote effectue une synchronisation lors de son démarrage suivant. Dans le processus de synchronisation, le pilote émet une commande de modification au démarrage pour chaque objet Utilisateur trouvé dans le domaine. Le moteur DirXML accepte la commande de modification si l’utilisateur possède une association. Si, au contraire, celui-ci ne possède pas d’association, le moteur demande au pilote l’ensemble des attributs du filtre Éditeur. Le moteur crée ensuite l’utilisateur. Activation du pilote L’activation doit être effectuée dans un délai de 90 jours à compter de l’installation, sinon le pilote ne fonctionnera pas. Pour plus d’informations sur l’activation, reportez-vous à Activating Novell Identity Manager Products (Activation des produits de Novell Identity Manager) du Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). 20 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential 3 Manual (FRA) 28 October 2003 Mise à niveau Cette section contient les informations suivantes : « Mise à niveau du module d’interface pilote », page 21 « Mise à niveau de la configuration du pilote », page 22 « Mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la synchronisation des mots de passe sous Identity Manager », page 22 « Mise à niveau vers la synchronisation des mots de passe sous Identity Manager », page 22 Mise à niveau du module d’interface pilote Le nouveau module d’interface pilote vient remplacer le précédent tout en conservant la configuration du pilote précédent. Le nouveau module d’interface pilote peut exécuter la configuration de DirXML® 1.x sans effectuer de changements (à moins qu’on utilise Password Synchronisation 1.0). 1 Vérifiez que le pilote est à jour et qu’il inclut tous les correctifs de la version que vous utilisez. Nous recommandons que cette procédure soit suivie pour l’ensemble des pilotes, pour que les problèmes de mise à niveau soient aussi peu nombreux que possible. 2 Installez le nouveau module d’interface pilote. Vous pouvez l’installer en même temps que le moteur, ou une fois que celui-ci a été installé. Pour plus d’informations, reportez-vous à Installation, dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Avertissement : si vous utilisez la version 1.0 de la synchronisation des mots de passe, ne démarrez pas l’installation du module d’interface pilote amélioré pour pilote de domaine NT avant d’avoir lu « Mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la synchronisation des mots de passe sous Identity Manager », page 22 et d’être prêt à ajouter des règles à la configuration de votre pilote pour assurer la compatibilité amont avec la version 1.0 de la synchronisation des mots de passe. L’exécution d’un module d’interface pilote ou la configuration du pilote NsureTM Identity Manager DirXML avec le moteur DirXML 1.x n’est pas pris en charge. 3 Une fois que le module d’interface est installé, il faut redémarrer Novell® eDirectoryTM et le pilote. Pour plus d’informations, reportez-vous à Starting, Stopping, or Restarting a Driver (Démarrage, arrêt ou redémarrage d’un pilote), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). 4 Activez le module d’interface pilote à l’aide de vos références d’activation Identity Manager. Reportez-vous à « Activation du pilote », page 20. Une fois que vous avez installé le module d’interface pilote, vous pouvez passer à « Mise à niveau de la configuration du pilote », page 22. Mise à niveau 21 Novell Confidential Manual (FRA) 28 October 2003 Mise à niveau de la configuration du pilote La configuration d’un pilote DirXML 1.x peut être exécutée avec un module d’interface pilote DirXML Identity Manager et avec le moteur DirXML Identity Manager sans aucune modification de la configuration du pilote (sauf si vous utilisez la version 1.0 de la synchronisation des mots de passe). Reportez-vous à « Mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la synchronisation des mots de passe sous Identity Manager », page 22). Cependant, pour modifier la configuration d’un pilote DirXML 1.x, vous devez utiliser des plugins DirXML 1.x iManager ou ConsoleOne®, ou alors exécuter l’assistant qui convertit les configurations DirXML 1.x au format Identity Manager, de façon à pouvoir modifier la configuration en utilisant les plug-ins iManager Identity Manager. Reportez-vous aux sections Managing DirXML 1.x Drivers in an Identity Manager Environment (Gestion des pilotes DirXML 1.x dans un environnement Identity Manager) et Upgrading a Driver Configuration from DirXML 1.x to Identity Manager Format (Mise à niveau d’une configuration du pilote du format DirXML 1.x vers le format Identity Manager ), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Remarque : l’exécution d’une configuration du pilote Identity Manager avec un module d’interface pilote DirXML 1.x n’est pas prise en charge. Pour profiter des fonctionnalités d’Identity Manager, reportez-vous à l’exemple de configuration fourni avec NT et reportez-vous aux sections « Mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la synchronisation des mots de passe sous Identity Manager », page 22 et « Mise à niveau vers la synchronisation des mots de passe sous Identity Manager », page 22. Reportez-vous également au manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la synchronisation des mots de passe sous Identity Manager Si vous utilisez la version 1.0 de la synchronisation des mots de passe avec un pilote DirXML pour NT, gardez à l’esprit les points suivants : N’installez pas la version Identity Manager du module d’interface pilote avant d’être prêt à ajouter la compatibilité amont à votre pilote. La synchronisation des mots de passe sous Identity Manager ne nécessite pas l’installation de Novell ClientTMsur l’ordinateur équipé de Windows. Pour plus d’informations sur l’ajout de la compatibilité amont à votre pilote, reportez-vous à « Mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la version fournie avec Identity Manager », page 38 du présent guide. Mise à niveau vers la synchronisation des mots de passe sous Identity Manager Cette tâche concerne les objets Pilote qui n’ont pas été utilisés avec la version 1.0 de la synchronisation des mots de passe. Elle concerne les pilotes dont vous voulez enregistrer les configurations existantes mais auxquels vous souhaitez ajouter la prise en charge de la synchronisation des mots de passe sous Identity Manager. Pour plus d’informations, reportez-vous à « Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe sous Identity Manager », page 43. 22 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential 4 Manual (FRA) 28 October 2003 Personnalisation du pilote pour domaine NT Cette section présente quelques-unes des catégories générales de personnalisation : « Configuration des paramètres du pilote », page 23 Lorsque vous modifiez les paramètres du pilote, vous adaptez son comportement à votre environnement réseau. Ainsi, il se peut que l’intervalle d’interrogation par défaut du canal Éditeur soit trop court pour la synchronisation. Rallongez cet intervalle pour améliorer les performances réseau tout en assurant une synchronisation appropriée. « Configuration de la synchronisation des données », page 27 La puissance de Novell® NsureTM Identity Manager réside essentiellement dans la gestion des données partagées. Cette section présente certaines personnalisations courantes du pilote pour domaine NT, telles que l’intégration Exchange et la résolution de groupes locaux/globaux. Remarque : lorsque vous personnalisez la synchronisation des données, vous devez travailler dans le cadre des normes et conventions prises en charge pour les systèmes d’exploitation et les comptes en cours de synchronisation. Les données qui contiennent des caractères valides dans un environnement, mais pas dans un autre, provoquent des erreurs. De plus, il ne faut pas oublier que les noms d’attributs sont soumis à la distinction majuscules/minuscules. Pour plus d’informations sur la synchronisation des mots de passe, reportez-vous à « Synchronisation des mots de passe », page 35. Configuration des paramètres du pilote Utilisez Novell iManager pour ajuster les propriétés suivantes : niveau de consignation, fréquence d’interrogation, heure d’expiration des mots de passe, options de sécurité et options de démarrage. Cette section contient les informations suivantes : « Niveau de consignation », page 24 « Fréquence d’interrogation », page 24 « Heure d’expiration des mots de passe », page 24 « Options de sécurité », page 27 « Options de démarrage », page 27 Personnalisation du pilote pour domaine NT 23 Novell Confidential Manual (FRA) 28 October 2003 Niveau de consignation Le niveau de consignation détermine les types d’erreurs qui sont envoyées aux journaux d’état de DirXML, à DSTrace et à Nsure Audit. Pour plus d’informations sur Nsure Audit et sur Identity Manager, reportez-vous au manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Vous pouvez définir l’une des options suivantes : Consigner les erreurs Consigner les erreurs et les avertissements Consigner tous les messages Mettre à jour l’heure de la dernière consignation uniquement Déconnexion Pour définir le niveau de consignation : 1 Dans iManager, sélectionnez Gestion DirXML > Présentation. 2 Sélectionnez l’ensemble de pilotes qui contient le pilote, cliquez sur l’icône du pilote pour afficher sa présentation, puis cliquez de nouveau sur l’icône pour modifier ses paramètres. 3 Cliquez sur le lien Niveau de consignation en haut de la page, sélectionnez un niveau, puis cliquez sur OK. Fréquence d’interrogation Au terme de chaque intervalle d’interrogation, le pilote relit le registre SAM en recherchant les utilisateurs nouveaux ou modifiés. Si vous définissez une fréquence d’interrogation trop rapide, tous les cycles de traitement disponibles s’épuisent. La fréquence d’interrogation minimale est de trois secondes, soit 3 000 millisecondes. La valeur recommandée est d’une minute, soit 60 000 millisecondes. 1 Dans iManager, sélectionnez Gestion DirXML > Présentation. 2 Sélectionnez l’ensemble de pilotes qui contient le pilote, cliquez sur l’icône du pilote pour afficher sa présentation, puis cliquez de nouveau sur l’icône pour modifier ses paramètres. 3 Sélectionnez une fréquence d’interrogation dans la liste, puis cliquez sur OK. Heure d’expiration des mots de passe Pour optimiser les nouvelles tentatives de synchronisation des mots de passe après un échec, le pilote et le filtre des mots de passe ont été améliorés comme suit : Si la modification de mot de passe envoyé depuis NT ne réussit pas sous eDirectory, le mot de passe est mis en cache par le filtre de mots de passe. Aucune nouvelle n’a lieu sauf si un événement d’ajout ou de modification se produit pour l’utilisateur auquel appartient le mot de passe. (Auparavant, les mots de passe enregistrés étaient réessayés à chaque intervalle d’interrogation). Lorsque le pilote recherche les modifications dans NT, il reçoit des événements d’ajout ou de modification pour les utilisateurs. Pour chacun de ces événements, le pilote vérifie dans le filtre qu’aucun mot de passe n’attend d’être synchronisé pour l’utilisateur. S’il y en a un, le pilote envoie le mot de passe à eDirectory, en tant qu’événement de modification pour l’utilisateur. 24 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 Si vous avez paramétré la synchronisation des mots de passe de sorte qu’un message électronique soit envoyé aux utilisateurs lorsque cette synchronisation n’aboutit pas, cette amélioration réduit le nombre de messages électroniques qu’un utilisateur peut recevoir. Un nouveau paramètre appelé Heure d’expiration des mots de passe a été ajouté. Cet intervalle permet de déterminer la durée pendant laquelle un filtre doit enregistrer le mot de passe d’un utilisateur si la synchronisation ne fonctionne pas au premier essai. Le filtre conserve le mot de passe jusqu’à ce qu’il soit modifié avec succès dans eDirectory ou jusqu’à ce que l’heure d’expiration des mots de passe soit atteinte. Vous êtes invité à spécifier cet intervalle lorsque vous importez l’exemple de configuration du pilote. Si vous ne spécifiez aucun intervalle, ou si le champ contient des caractères non valides, le paramètre par défaut est 60 minutes. Si l’intervalle spécifié est moins de deux fois supérieur à l’intervalle d’interrogation spécifié, le pilote le modifie pour qu’il soit au moins deux fois plus long que l’intervalle d’interrogation. Pour en savoir plus sur l’importance de ces améliorations, reportez-vous aux informations suivantes. Le pilote vérifie les modifications opérées auprès des utilisateurs NT en fonction de l’intervalle d’interrogation. Par contre, le filtre des mots de passe dépend des événements ; il transmet dont les modifications des mots de passe depuis NT vers le pilote dès qu’elles surviennent. Une fois que l’utilisateur a été créé dans eDirectory et qu’il correspond à un utilisateur NT, l’obtention d’une réponse immédiate sur la synchronisation des mots de passe est très utile. Cependant, du fait des différences entre l’interrogation et l’activité dépendant de l’événement, la synchronisation des mots de passe pour les nouveaux utilisateurs risque de ne pas être immédiate. Les problèmes liés aux différences entre l’interrogation et l’activité dépendant de l’événement, ainsi que les pratiques de votre entreprise telles que la création de règles et les règles de mots de passe, peuvent mener aux scénarios suivants : cette liste explique de quelle manière l’heure d’expiration des mots de passe s’applique dans chaque cas. Un nouvel utilisateur a été créé dans NT avec un mot de passe. Le filtre envoie immédiatement le nouveau mot de passe au pilote, mais celui-ci n’a pas encore reçu l’événement d’ajout concernant cet utilisateur ; en effet, cet événement s’est produit entre deux intervalles d’interrogation. Comme le pilote n’a pas encore créé l’utilisateur dans eDirectory, la synchronisation des mots de passe n’a pas abouti lors de cette première tentative. Le filtre enregistre le mot de passe. Lors de l’intervalle d’interrogation qui suit, le pilote reçoit l’événement d’ajout du nouvel utilisateur ; en outre, il recherche dans le filtre tout mot de passe attendant d’être affecté au nouvel utilisateur. Le pilote envoie à eDirectory l’événement d’ajout de l’utilisateur, ainsi qu’un événement de modification de l’utilisateur pour synchroniser le mot de passe. Dans ce cas, la synchronisation des mots de passe n’est retardée que d’un intervalle d’interrogation. Dans ce cas, le paramètre Heure d’expiration des mots de passe n’a aucun effet. Un nouvel utilisateur a été créé dans NT avec un mot de passe, mais les informations concernant l’utilisateur ne répondent pas aux exigences de la règle de création pour le pilote NT. Ainsi, il est possible que la règle de création nécessite un nom complet, information qui peut être absente. Tout comme dans l’exemple précédent, le filtre envoie immédiatement la modification des mots de passe, mais le premier essai est infructueux. Cependant, dans ce cas, le nouvel utilisateur n’est pas créé, même lorsque le pilote interroge NT à propos des modifications. En effet, il ne répond pas aux exigences de la règle de création. Personnalisation du pilote pour domaine NT 25 Novell Confidential Manual (FRA) 28 October 2003 La création du nouvel utilisateur et la synchronisation des mots de passe sont retardées jusqu’à ce que toutes les informations concernant l’utilisateur soient ajoutées dans NT ; la règle de création est ainsi respectée. Le pilote ajoute alors le nouvel utilisateur dans eDirectory, cherche dans le filtre tout mot de passe enregistré pour l’utilisateur, puis envoie un événement de modification de l’utilisateur pour synchroniser le mot de passe. Le paramètre Heure d’expiration des mots de passe n’affecte le scénario que si l’intervalle s’est écoulé avant que les informations concernant l’utilisateur dans NT n’aient répondu aux critères de la règle de création. Si l’utilisateur répond à ces exigences et s’il est créé dans eDirectory après l’heure d’expiration des mots de passe, aucun mot de passe n’est disponible pour la synchronisation de NT vers eDirectory. Au lieu de cela, le mot de passe sera synchronisé à sa prochaine modification dans NT. Si la synchronisation des mots de passe est configurée pour un flux bidirectionnel des mots de passe, il est également possible de synchroniser le mot de passe depuis eDirectory vers NT lorsqu’un mot de passe est modifié dans eDirectory. Si votre règle de création est restrictive et si quelques jours sont nécessaires pour la mise au point des informations concernant un nouvel utilisateur dans NT, vous pouvez choisir d’augmenter cet intervalle de manière appropriée. Les mots de passe sont ainsi enregistrés jusqu’à ce que l’utilisateur soit créé dans eDirectory. Un nouvel utilisateur a été créé dans NT avec un mot de passe, mais il ne répond pas aux critères de la règle de création pour le pilote NT. Ainsi, le nouvel utilisateur dans NT peut avoir une description qui désigne l’utilisateur comme étant un « contractor » (contractuel). La règle de création bloque la création d’objets utilisateurs pour les contractuels ; en effet, selon la règle d’entreprise, il n’est pas prévu que les employés contractuels aient un compte utilisateur correspondant dans eDirectory. Tout comme dans l’exemple précédent, le filtre envoie immédiatement la modification des mots de passe, mais le premier essai est infructueux. Dans ce cas, le compte utilisateur correspondant n’est pas créé sous eDirectory et le pilote ne recherche pas le mot de passe dans le filtre. Une fois l’heure d’expiration des mots de passe atteinte, le filtre supprime de sa liste le mot de passe de l’utilisateur. Un utilisateur ayant un compte NT et un compte correspondant dans eDirectory modifie son mot de passe NT. Le mot de passe NT choisi par l’utilisateur ne contient que 6 caractères et non 8. Il ne respecte donc pas la règle de mot de passe créée par l’administrateur dans eDirectory. La synchronisation des mots de passe est configurée de manière à rejeter les mots de passe qui ne respectent pas la règle. Elle envoie en outre un courrier électronique à l’utilisateur, indiquant que la synchronisation n’a pas abouti. Dans ce cas, peu après la modification des mots de passe, l’utilisateur reçoit un courrier électronique spécifiant que la synchronisation des mots de passe a échoué. Si l’utilisateur remplace son mot de passe par un autre qui respecte la règle des mots de passe, la modification réussit. Si l’utilisateur ne change pas son mot de passe, celui-ci est enregistré par le filtre et le pilote ne le réessaye que lorsque l’objet utilisateur a été modifié. Lorsque l’heure d’expiration des mots de passe est atteinte, le mot de passe est supprimé du filtre et n’est plus réessayé. 26 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 Options de sécurité La création d’un utilisateur doté de droits Lire/Écrire sur le domaine et sur le registre SAM facilite la gestion d’Identity Manager. Ce compte utilisateur est utilisé exclusivement par le pilote du domaine NT. Cet utilisateur doit être exclu de la synchronisation car son seul objectif est de fournir des droits au pilote du domaine NT. Une fois cet utilisateur créé, vous pouvez assigner son compte au pilote. Pour configurer ces options de sécurité : 1 Dans iManager, sélectionnez Gestion DirXML > Présentation. 2 Sélectionnez l’ensemble de pilotes qui contient le pilote, cliquez sur l’icône du pilote pour afficher sa présentation, puis cliquez de nouveau sur l’icône pour modifier ses paramètres. 3 Cliquez sur Configuration du pilote en haut de la page, puis entrez les données appropriées dans les champs Authentification. Options de démarrage Vous pouvez définir le démarrage du pilote sur l’une des trois options suivantes : Démarrage auto : Le pilote démarre automatiquement chaque fois que le moteur DirXML démarre. Une fois le pilote configuré, il est conseillé d’utiliser cette option. Manuel : Le pilote ne démarre pas tant qu’il n’est pas lancé par l’intermédiaire de l’indicateur d’état sur l’icône du pilote. Si une erreur arrête le pilote, il doit être redémarré manuellement. Cette option est souvent utilisée pendant les cycles de modification et de test du pilote. Le moteur place en mémoire tampon les modifications à traiter lors du démarrage du pilote. Désactivé : Si le pilote est désactivé, le moteur DirXML ne met pas les événements en cache. Cependant, lors du démarrage du pilote, les modifications de données résultant des événements d’ajout ou de modification (des objets avec une association) sont synchronisées. Les modifications de données résultants des événements de suppression, de changement de nom ou de déplacement ne sont pas synchronisées. Pour définir des options de démarrage : 1 Dans iManager, sélectionnez Gestion DirXML > Présentation. 2 Sélectionnez l’ensemble de pilotes qui contient le pilote, cliquez sur l’icône du pilote pour afficher sa présentation, puis cliquez de nouveau sur l’icône pour modifier ses paramètres. 3 Cliquez sur Configuration du pilote en haut de la page, puis sélectionnez une des trois options figurant sous Option de démarrage. Configuration de la synchronisation des données Cette section comprend les rubriques de configuration suivantes : « Intégration du pilote DirXML pour domaine NT et du pilote DirXML pour Exchange », page 28 « Filtrage des objets Utilisateur non-utilisateur », page 28 « Synchronisation des informations sur les groupes », page 29 « Modification de l’emplacement des objets Utilisateur à l’aide de règles de placement », page 30 « Modification des attributs synchronisés à l’aide des filtres Éditeur et Abonné », page 30 « Requête sur GlobalGroup ou LocalGroup », page 33 Personnalisation du pilote pour domaine NT 27 Novell Confidential Manual (FRA) 28 October 2003 Intégration du pilote DirXML pour domaine NT et du pilote DirXML pour Exchange Important : si vous utilisez le pilote NT et le pilote Exchange, effectuez la procédure suivante : Le pilote DirXML pour domaine NT et le pilote DirXML pour Exchange peuvent tous deux créer des utilisateurs dans le domaine. Pour éviter tout conflit, il est possible de configurer un mécanisme à l’aide des règles Identity Manager. Le pilote DirXML pour domaine NT dispose d’un attribut Utilisateur appelé DirXMLNTAccountName. Cet attribut contient un attribut DomainName/UserName. La boîte aux lettres Exchange et les objets distants doivent associer cette valeur à un compte de domaine. Pour que cette association s’effectue correctement, la valeur contenue dans DirXML-NTAccountName doit être placée dans l’attribut MailBox de Assoc-NT-Account. Il ne faut pas oublier que les noms d’attributs sont soumis à la distinction majuscules/minuscules. 1 À l’aide du script DirXML, modifiez la règle de création de l’objet Abonné existante pour le pilote Exchange (ou créez une nouvelle règle), afin qu’un nouvel objet MailBox ne soit pas créé sauf si l’attribut DirXML-NTAccountName est renseigné. 2 Vérifiez que l’attribut DirXML-NTAccountName se trouve dans le filtre Éditeur du pilote DisXML pour domaine NT et dans le filtre Abonné du pilote DirXML pour Exchange. 3 Redémarrez ces deux pilotes. Flux de données dans les pilotes pour domaine NT et pour Exchange 5.5 Les modifications présentées dans « Intégration du pilote DirXML pour domaine NT et du pilote DirXML pour Exchange », page 28 garantissent le flux de contrôle suivant : 1. Un utilisateur est créé dans eDirectory. 2. Une requête de création est confiée au pilote DirXML pour domaine NT. L’événement de création du pilote DirXML pour Exchange se heurte à un véto en raison de l’absence de l’attribut DirXML-NTAccountName. 3. Le pilote DirXML pour domaine NT crée le compte NT et renvoie le nom de ce compte à l’attribut DirXML-NTAccountName. 4. Le pilote DirXML pour Exchange est maintenant averti. Il crée la boîte aux lettres et l’associe aux informations du compte NT stockées dans l’annuaire NDS. Remarque : bien que les exemples utilisent DirXML-NTAccountName comme attribut eDirectory pour contenir les informations de compte NT, vous pouvez choisir n’importe quel attribut qui vous conviendrait mieux. Filtrage des objets Utilisateur non-utilisateur Le registre NT effectue le suivi des données utilisateur et de certaines données non-utilisateur. Par exemple, les informations sur les objets Poste de travail apparaissent en tant qu’objets Utilisateur dans le Gestionnaire des utilisateurs NT. Ces informations sont synchronisées avec celles d’eDirectory, sauf si vous les filtrez à l’aide d’une feuille de style. La feuille de style suivante peut être utilisée dans la transformation de l’événement pour garantir que seuls les véritables objets utilisateur sont synchronisés. <xsl:template match="node()|@*"> <xsl:copy> <xsl:apply-templates select="node()|@*"/> </xsl:copy> </xsl:template> <!-- Test for Non-User user objects like workstations that have a $ in the 28 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 name --> <xsl:template match="add[@class-name='User']|modify[@class name='User']|sync[@class-name='User']"> <xsl:choose> <xsl:when test="contains(@src-dn,'$')"/> <xsl:otherwise> <xsl:copy> <xsl:apply-templates select="node() | @*"/> </xsl:copy> </xsl:otherwise> </xsl:choose> </xsl:template> </xsl:stylesheet> Synchronisation des informations sur les groupes Le pilote permet de synchroniser les informations sur les groupes dans les attributs utilisateur détenant des informations sur les membres de ces groupes ainsi que dans les objets Groupe euxmêmes. Cette fonctionnalité permet de voir à quels groupes l’utilisateur appartient, que ce soit dans eDirectory ou dans NT. Pour synchroniser les informations sur les groupes : 1 Vérifiez que les groupes à synchroniser portent bien le même nom dans eDirectory et dans NT. Par exemple, si vous souhaitez synchroniser les informations sur les groupes pour le groupe NT global, Utilisateur du domaine, vous devez créer un objet Groupe appelé Utilisateur du domaine dans eDirectory. 2 Créez une association DirXML entre le groupe NT et le groupe eDirectory. 2a Dans iManager, sélectionnez Administration eDirectory > Modifier l’objet. 2b Parcourez le groupe eDirectory à synchronisez, puis cliquez sur OK. 2c Cliquez sur l’onglet DirXML puis sur Ajouter. La boîte de dialogue Ajouter une association apparaît. 2d Spécifiez le pilote DirXML pour NT dans le champ Objet Pilote d’intégration. 2e Saisissez le nom du groupe NT dans le champ ID d’objet associé, en utilisant des majuscules selon la syntaxe suivante : \DOMAINNAME\GROUPNAME 2f Cliquez sur OK. La nouvelle association apparaît dans la page Associations. 3 Modifiez la règle d’assignation de schéma pour assigner les attributs NT UserLocalGroups et UserGlobalGroups aux attributs eDirectory. 3a Cliquez sur Gestion DirXML > Présentation, puis sélectionnez l’ensemble de pilotes contenant le pilote DirXML pour NT. 3b Cliquez sur le pilote pour ouvrir la page Présentation du pilote. 3c Double-cliquez sur la règle d’assignation de schéma pour assigner les nouveaux attributs. Vous pouvez assigner les attributs NT à n’importe quel attribut de chaîne à valeurs multiples. UserGlobalGroups est généralement assigné à l’attribut GroupMembership. Personnalisation du pilote pour domaine NT 29 Novell Confidential Manual (FRA) 28 October 2003 4 Si vous acheminez les données de NT vers eDirectory, double-cliquez sur l’icône Filtre de l’objet Éditeur et ajoutez les nouveaux attributs. 5 Si vous acheminez les données depuis eDirectory, double-cliquez sur l’icône Filtre de l’objet Abonné et ajoutez les nouveaux attributs. 6 Cliquez sur OK. La synchronisation des informations du groupe commence lorsque le pilote est redémarré et une modification vers les informations sur les utilisateurs est opérée. Remarque : si vous utilisez le Gestionnaire d’utilisateurs pour modifier les valeurs de l’attribut d’adhésion du groupe sans effectuer de modification sur les autres données, la mise à jour n’est pas immédiatement synchronisée. Les modifications seront synchronisées la prochaine fois que l’utilisateur NT se reconnectera ou lorsque les données de l’objet Utilisateur seront modifiées. Modification de l’emplacement des objets Utilisateur à l’aide de règles de placement Modifiez les règles de placement des objets Abonné et Éditeur pour faire correspondre le conteneur eDirectory au nom du domaine NT que vous avez configuré. Les règles de placement sont créées lorsque vous importez l’exemple de fichier de configuration du pilote. Pour modifier les règles de placement : 1 Dans iManager, sélectionnez Gestion DirXML > Présentation. 2 Sélectionnez l’ensemble de pilotes qui contient le pilote, puis cliquez sur l’icône du pilote. La présentation du pilote s’affiche. Les règles peuvent être modifiées ici. 3 Double-cliquez sur la règle de placement à modifier et apportez les modifications appropriées. Important : toutes les règles de placement doivent utiliser la syntaxe à barre oblique. Modification des attributs synchronisés à l’aide des filtres Éditeur et Abonné 1 Dans iManager, sélectionnez Gestion DirXML > Présentation. 2 Sélectionnez l’ensemble de pilotes qui contient le pilote, puis cliquez sur l’icône du pilote. La présentation du pilote s’affiche. Les règles peuvent être modifiées ici. 3 Double-cliquez sur l’icône de filtre et ajoutez ou supprimez les attributs appropriés. Sélectionnez les attributs utilisateur eDirectory avec lesquels vous souhaitez effectuer la synchronisation. Le pilote prend en charge l’objet Utilisateur du domaine. Dans l’objet Utilisateur, le pilote prend en charge les attributs accessibles en utilisant la structure de données USER_INFO_3 à l’aide des API NetUser. 30 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 Le tableau suivant liste les attributs pris en charge. Important : n’oubliez pas que les noms d’attribut sont soumis la distinction majuscules/minuscules. Attribut du pilote Nom USER_INFO_3 Type de données Description Name usri3_name LPWSTR Spécifie le nom du compte utilisateur. Ce nom ne peut pas dépasser la valeur UNLEN. (Peut être défini via usri3_password une règle de création.) LPWSTR Spécifie le mot de passe de l’utilisateur. Sa longueur ne peut pas dépasser la valeur PWLEN. PasswordAge usri3_password_age DWORD Lecture seule. Spécifie le nombre de secondes écoulées depuis la dernière modification des mots de passe. PrivilegeLevel usri3_priv DWORD Spécifie le niveau de privilège de l’utilisateur : Invité, Utilisateur ou Administrateur. HomeDirectory usri3_home_dir LPWSTR Pointe sur une chaîne Unicode* qui contient le chemin d’accès au répertoire privé de l’utilisateur. La chaîne peut être vide. La chaîne ne peut pas dépasser la valeur PATHLEN. L’objet Abonné, lors d’un événement d’ajout, crée le dossier spécifié par le chemin comme dossier partagé par tous, s’il n’existe pas encore. Comment usri3_comment LPWSTR Pointe sur une chaîne Unicode qui contient un commentaire. La chaîne peut être vide. Le commentaire ne peut pas dépasser 1 024 caractères. Flags usri3_flags DWORD Contient des valeurs qui déterminent plusieurs fonctions. Voir la documentation USER_INFO_3. LogonDisable usri3_flags LPWSTR Représente un octet dans les usri_flags correspondant à UF_ACCOUNTDISABLE. Le compte de l’utilisateur est désactivé. TRUE ou FALSE PasswordChange usri3_flags LPWSTR TRUE ou FALSE PasswordRequired usri3_flags LPWSTR Représente un octet dans les usri_flags correspondant à UF_PASSWD_CANT_CHANGE. L’utilisateur ne peut pas changer le mot de passe si cette valeur est TRUE. Représente un octet dans les usri_flags correspondant à PASSWD_NOTREQ. Aucun mot de passe n’est requis. TRUE ou FALSE ScriptPath usri3_script_path LPWSTR Pointe sur une chaîne Unicode spécifiant le chemin du script de login de l’utilisateur. La chaîne peut être vide. La chaîne ne peut pas dépasser la valeur PATHLEN. AuthorizationFlags usri3_auth_flags DWORD Lecture seule. Spécifie un entier long non signé qui contient des valeurs spécifiant les privilèges de l’utilisateur. FullName usri3_full_name LPWSTR Pointe sur une chaîne Unicode qui contient le nom complet de l’utilisateur. Cette chaîne peut être vide ou comporter jusqu’à 1 024 caractères. Personnalisation du pilote pour domaine NT 31 Novell Confidential Manual (FRA) 28 October 2003 Attribut du pilote Nom USER_INFO_3 Type de données Description UserComment usri3_usr_comment LPWSTR Pointe sur une chaîne Unicode qui contient un commentaire de l’utilisateur. Cette chaîne peut être vide ou comporter jusqu’à 1 024 caractères. AppParams usri3_parms LPWSTR Lecture seule. Chaîne Unicode utilisée par les produits Microsoft*. Workstations usri3_workstations LPWSTR Pointe sur une chaîne Unicode qui contient les noms des postes de travail à partir desquels l’utilisateur peut ouvrir une session. Cette chaîne peut être vide ou comporter jusqu’à 1 024 caractères. LastLogon usri3_last_logon DWORD Lecture seule. Spécifie à quel moment s’est produit le dernier login. La valeur est stockée sous la forme du nombre de secondes écoulées depuis le 1er janvier 1970, à 00:00:00. LastLogoff usri3_last_logoff DWORD Spécifie à quel moment s’est produite la dernière fermeture de session. La valeur est stockée sous la forme du nombre de secondes écoulées depuis le 1er janvier 1970, à 00:00:00. AccExpires usri3_acct_expires DWORD Spécifie quand le compte expirera. La valeur est stockée sous la forme du nombre de secondes écoulées depuis le 1er janvier 1970, à 00:00:00. La valeur TIMEQ_FOREVER indique que le compte n’expire jamais. Le pilote assigne cette valeur à celle recherchée par eDirectory. MaxStorage usri3_max_storage DWORD Spécifie la quantité maximale d’espace disque que l’utilisateur peut utiliser. Utilisez USER_MAXSTORAGE_UNLIMITED pour utiliser tout l’espace disque disponible. UnitsPerWeek usri3_units_per_week DWORD Lecture seule. Spécifie le nombre d’unités de temps de longueur égale dans lesquelles la semaine est divisée. LogonHours usri3_logon_hours PWORD Le pilote assigne cette valeur à une chaîne d’octets qui spécifie les périodes de login autorisées d’un compte pour chaque jour de la semaine avec une précision d’une demiheure. BadPasswordCnt usri3_bad_pw_count DWORD Lecture seule. Spécifie le nombre de fois que l’utilisateur a tenté de se loguer au compte à l’aide des mots de passe incorrect. NumLogons usri3_num_logons DWORD Lecture seule. Compte le nombre de fois où l’utilisateur a réussi à se loguer à ce compte. LogonServer usri3_logon_server LPWSTR Lecture seule. Pointe sur une chaîne Unicode qui contient le nom du serveur auquel sont envoyées les demandes de login. CountryCode usri3_country_code DWORD Spécifie le code de pays pour la langue choisie par l’utilisateur. CodePage usri3_code_page DWORD Spécifie la page de codes pour la langue choisie par l’utilisateur. 32 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 Attribut du pilote Nom USER_INFO_3 Type de données Description UserID usri3_user_id DWORD Lecture seule. Spécifie l’ID relatif (RID) de l’utilisateur. PrimaryGroupID usri3_primary_group_id DWORD Spécifie l’ID relatif (RID) du groupe global primaire de l’utilisateur. Profile usri3_profile LPWSTR Spécifie un chemin d’accès au profil de l’utilisateur. Cette valeur peut être une chaîne vide, un chemin local absolu ou un chemin UNC. La longueur de cette chaîne ne peut pas dépasser la valeur PATHLEN. HomeDirDrive usri3_home_dir_drive LPWSTR Spécifie la lettre d’unité assignée au répertoire privé de l’utilisateur à des fins de login. PasswordExpired usri3_password_expired DWORD Détermine si le mot de passe de l’utilisateur a expiré. Utilisez la valeur zéro si le mot de passe n’a pas expiré et une valeur différente de zéro s’il a expiré. Bien que cet attribut soit pris en charge, il ne faut pas oublier que l’attribut eDirectory appelé Heure d’expiration des mots de passe est utilisé pour définir la date d’expiration d’un mot de passe, en choisissant une date et une heure antérieures à la date actuelle plutôt qu’en définissant une valeur égale ou non à zéro. Cela signifie que ces attributs ne sont pas facilement assignés les uns aux autres. Le pilote prend également en charge les attributs UserGlobalGroups et UserLocalGroups, accessibles par l’intermédiaire de l’API NetUserGroup. Le tableau suivant liste les attributs pris en charge. Attribut du pilote Type de données Description UserGlobalGroups LPWSTR Attribut à plusieurs valeurs qui contient les groupes globaux auxquels l’utilisateur appartient. UserLocalGroups LPWSTR Un attribut à plusieurs valeurs qui contient les groupes locaux auxquels l’utilisateur appartient. Requête sur GlobalGroup ou LocalGroup Vous pouvez effectuer une requête sur des objets GlobalGroup ou LocalGroup, bien qu’il ne soit pas possible que les synchroniser sur les canaux Éditeur ou Abonné. Cette requête prend en charge les attributs suivants : GlobalGroup : Name, Comment, MemberOf LocalGroup : Name, Comment La requête aboutira si la classe de recherche (SearchClass) est GlobalGroup ou LocalGroup et si une des propositions suivantes est vraie : La requête comprend tous les attributs. La requête comprend certains des attributs. La requête ne comprend aucun des attributs. Personnalisation du pilote pour domaine NT 33 Novell Confidential Manual (FRA) 28 October 2003 Cette fonctionnalité peut être utilisée pour synchroniser GlobalGroups ou LocalGroups d’une manière indirecte. Par exemple, à l’aide d’une feuille de style, vous pouvez configurer le pilote pour qu’il leur applique la requête lorsque vous migrez des utilisateurs, et que les objets Groupes correspondants soient créés dans eDirectory. L’attribut MemberOf d’un utilisateur NT peut ainsi autoriser un utilisateur à devenir membre de groupes correspondants dans eDirectory (cela peut fonctionner sans ajout de feuille de style). Si vous voulez que GlobalGroups et LocalGroups restent en miroir dans eDirectory à l’aide de cette méthode, vous devez migrer les nouveaux groupes régulièrement, selon que des groupes sont ajoutés ou supprimés dans NT. Dans l’exemple de configuration du pilote, cette fonctionnalité est utilisée si vous choisissez l’option Droits basés sur les rôles ; vous pouvez ainsi affecter un utilisateur à un groupe de type GlobalGroup ou un LocalGroup dans NT en tant que droit. (L’utilisation de droits basés sur le rôle est une décision prise lors de la conception du système. Avant de choisir cette option, reportezvous à Using Role-Based Entitlements (Comment utiliser les droits basés sur le rôle) , dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2).) 34 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential 5 Manual (FRA) 28 October 2003 Synchronisation des mots de passe Cette section part du principe que vous avez pris connaissance des informations contenues dans Password Synchronization across Connected Systems (Synchronisation des mots de passe par le biais de systèmes connectés), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Les informations de cette section sont spécifiques à ce pilote. Important : si, jusqu’à présent, vous avez utilisé la version 1.0 de la synchronisation des mots de passe, n’installez pas le nouveau module d’interface pilote avant d’avoir lu « Mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la version fournie avec Identity Manager », page 38 et compris ses implications. Si vous installez le module d’interface pilote, vous devez également ajouter la compatibilité amont pour Password Synchronisation 1.0 à vos règles de pilote, même si vous n’avez pas l’intention d’utiliser immédiatement la version de la synchronisation des mots de passe fournie avec NsureTM Identity Manager. Cette section contient les informations suivantes : « Comparaison entre la version 1.0 de la synchronisation des mots de passe et la version fournie avec Identity Manager », page 36 « Mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la version fournie avec Identity Manager », page 38 « Nouvelle configuration de pilote et synchronisation des mots de passe sous Identity Manager », page 42 « Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe sous Identity Manager », page 43 « Définition des filtres de synchronisation des mots de passe », page 45 « Dépannage des problèmes de synchronisation des mots de passe », page 53 Synchronisation des mots de passe 35 Novell Confidential Manual (FRA) 28 October 2003 Comparaison entre la version 1.0 de la synchronisation des mots de passe et la version fournie avec Identity Manager Version 1.0 de la synchronisation des mots de passe Version de la synchronisation des mots de passe fournie avec Identity Manager 2 Version du produit Produit distinct de DirXML. Fonctionnalité incluse dans Identity Manager et qui n’est pas vendue séparément. Plate-formes Active Directory Ces plate-formes prennent entièrement en charge la synchronisation bidirectionnelle des mots de passe : Domaine NT Active Directory eDirectory NIS Domaine NT Ces systèmes connectés prennent en charge l’acheminement des mots de passe vers Identity Manager. Le mot de passe universel et le mot de passe de distribution sont réversibles ; Identity Manager peut donc distribuer les mots de passe aux systèmes connectés. Tout système connecté prenant en charge l’élément de mot de passe Abonné peut souscrire à des mots de passe d’Identity Manager. Reportez-vous à Connected System Support for Password Synchronization (Prise en charge des systèmes connectés pour la synchronisation des mots de passe), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Mot de passe utilisé dans eDirectory 36 Mot de passe NDS® (non réversible) Mot de passe universel (réversible) ou mot de passe de distribution (réversible également). Si on le souhaite, le mot de passe NDS peut resté synchronisé. Pour les scénarios utilisés à titre d’exemple, reportezvous à Implementing Password Synchronization (Implémentation de la synchronisation des mots de passe), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 Fonctionnalité principale pour les systèmes Windows connectés Version 1.0 de la synchronisation des mots de passe Version de la synchronisation des mots de passe fournie avec Identity Manager 2 Pour envoyer des mots de passe à DirXML de sorte que les mots de passe eDirectory et Windows soient synchronisés. Les mots de passe n’ont pas été renvoyés à NT ou AD parce que le mot de passe NDS n’est pas réversible. Pour assurer la synchronisation bidirectionnelle des mots de passe. Les mots de passe peuvent être synchronisés dans les deux sens car le mot de passe universel et le mot de passe de distribution sont réversibles. Modifications de LDAP Non prises en charge. Prises en charge. Novell ClientTM Obligatoire. Non obligatoire. Attribut nadLoginName Utilisé pour garantir la mise à jour des mots de passe. Non utilisé. Composant contenant la fonctionnalité de synchronisation des mots de passe Le pilote DirXML contenait la fonctionnalité destinée à la mise à jour de nadLoginName. Les règles de la configuration du pilote possèdent la fonctionnalité de synchronisation des mots de passe. Le pilote ne fait que mener à bien les tâches qui lui ont été confiées par le moteur DirXML, et qui sont issues de la logique des règles. Le manifeste du pilote, les valeurs de configuration globales (GCV) et les paramètres de filtre du pilote doivent également prendre en charge la synchronisation des mots de passe. Ces éléments sont compris dans les exemples de configuration du pilote ou peuvent être ajoutés à un pilote existant. Reportez-vous à « Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe sous Identity Manager », page 43. Agents Partie distincte du logiciel. Aucun agent n’est installé : la fonctionnalité fait maintenant partie intégrante du pilote. Synchronisation des mots de passe 37 Novell Confidential Manual (FRA) 28 October 2003 Mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la version fournie avec Identity Manager Si vous utilisez la version 1.0 de la synchronisation des mots de passe, procédez à la mise à niveau en suivant les instructions de cette section. Important : n’installez pas le module d’interface pilote d’Identity Manager avant d’avoir lu ces instructions. L’ensemble de ces instructions concernent NT et AD à l’exception d’une seule étape ; les deux pilotes sont donc mentionnés tout au long de la procédure. Pour mettre à niveau de la version 1.0 de la synchronisation des mots de passe vers la version fournie avec Identity Manager : 1 Vérifiez que l’environnement que vous utilisez est compatible avec le mot de passe universel, y compris la mise à niveau de Novell Client si vous l’utilisez dans cet environnement. Reportez-vous à Preparing to Use Identity Manager Password Synchronization and Universal Password (Préparation pour l’utilisation de la synchronisation des mots de passe sous Identity Manager et des mots de passe universels), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). La synchronisation des mots de passe sous Identity Manager ne nécessite pas l’installation de Novell Client sur les ordinateurs Windows. 2 Installez le module d’interface pilote Identity Manager pour remplacer celui de DirXML 1.x, puis passez à l’Étape 3. Utilisez le programme d’installation décrit dans Installation , dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2) et ne sélectionnez que le pilote DirXML pour domaine NT. 3 Créez la compatibilité amont avec la version 1.0 de la synchronisation des mots de passe, en ajoutant une nouvelle règle à la configuration du pilote tel que décrit dans « Création de la compatibilité amont avec la version 1.0 de la synchronisation des mots de passe par l’ajout de règles », page 40. Un module d’interface pilote DirXML 1.x met à jour l’attribut nadLoginName. Le module d’interface pilote DirXML d’Identity Manager ne le fait pas ; vous devez donc ajouter des règles à la configuration du pilote pour mettre nadLoginName à jour. Cela permet à la version 1.0 de la synchronisation des mots de passe de fonctionner comme d’habitude lorsque vous installez le module d’interface pilote. Aucune modification des mots de passe ne vous échappe donc alors que vous terminez le déploiement de la synchronisation des mots de passe sous Identity Manager. Important : si vous ne suivez pas cette étape, la version 1.0 de la synchronisation des mots de passe continue à mettre à jour les utilisateurs existants ; toutefois, aucun utilisateur nouveau ou renommé n’est synchronisé tant que la synchronisation des mots de passe sous Identity Manager n’est pas déployée. Une fois cette étape franchie, vous disposez d’un nouveau module d’interface pilote et de règles régissant la compatibilité amont. Votre pilote peut donc prendre en charge la version 1.0 de la synchronisation des mots de passe. Si vous ne pouvez pas terminer le reste de cette procédure dès à présent, vous pouvez continuer à utiliser la version 1.0 de la synchronisation des mots de passe jusqu’à ce que vous soyez prêt à terminer le déploiement de la synchronisation des mots de passe sous Identity Manager. 38 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 4 Si vous voulez que des pilotes participent à la synchronisation des mots de passe, ajoutez-leur l’option de prise en charge de la synchronisation des mots de passe sous Identity Manager, en mettant à niveau une configuration existante ou en la remplaçant. Mise à niveau d’une configuration existante : mettez la configuration de votre pilote DirXML 1.x à niveau en le convertissant au format Identity Manager et en ajoutant les règles dont la synchronisation des mots de passe sous Identity Manager a besoin. Convertissez le pilote au format Identity Manager à l’aide d’un assistant. Reportez-vous à Upgrading a Driver Configuration from DirXML 1.x to Identity Manager Format (Mise à niveau d’une configuration du pilote, de DirXML 1.x vers le format d’Identity Manager), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Ajoutez des règles pour prendre en charge la synchronisation des mots de passe sous Identity Manager. Vous pouvez utilisez un fichier de configuration de type « support pack intégré » pour ajouter les règles, le manifeste de pilote et les valeurs de configuration globales. Vous devez également ajouter un attribut au filtre. Pour plus d’informations, reportez-vous à « Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe sous Identity Manager », page 43. Remplacez la configuration existante par la configuration Identity Manager et ajoutez de nouveau la compatibilité amont : l’exemple de configuration du pilote Identity Manager comprend les règles, le manifeste de pilote, les valeurs de configuration globales et les paramètres de filtre prenant en charge la synchronisation des mots de passe sous Identity Manager. Vous trouverez des informations concernant l’importation de la nouvelle configuration du pilote dans le présent guide. Si vous décidez de remplacer la configuration existante, vérifiez que vous ajoutez la compatibilité amont, selon la procédure décrite dans « Création de la compatibilité amont avec la version 1.0 de la synchronisation des mots de passe par l’ajout de règles », page 40. L’exemple de configuration du pilote Identity Manager ne contient pas ces règles. Vérifiez que l’attribut nadLoginName est défini sur Publier et S’abonner dans le filtre (pour NT), et sur Publier (pour AD), comme c’était le cas dans la configuration du pilote précédente. 5 Installez les nouveaux filtres de synchronisation des mots de passe et configurez-les si vous voulez que le système connecté fournisse des mots de passe utilisateur à Identity Manager. Reportez-vous à « Définition des filtres de synchronisation des mots de passe », page 45. 6 Activez le mot de passe universel pour les comptes utilisateur eDirectory en créant les règles de mot de passe, l’option Mot de passe universel étant activée. Reportez-vous à Managing Passwords Using Password Policies (Gestion des mots de passe avec règles de mot de passe), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Nous vous recommandons d’affecter des règles de mot de passe au niveau le plus élevé possible de l’arborescence afin de simplifier l’administration. 7 Définissez le scénario de synchronisation de mot de passe que vous souhaitez utiliser à l’aide des règles de mot de passe et des paramètres de synchronisation de mot de passe du pilote. Reportez-vous à Implementing Password Synchronization (Implémentation de la synchronisation des mots de passe), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). 8 Testez la synchronisation. Synchronisation des mots de passe 39 Novell Confidential Manual (FRA) 28 October 2003 9 Dès que la synchronisation des mots de passe fonctionne correctement sous Identity Manager, vous pouvez supprimer la version 1.0 de la synchronisation des mots de passe. 9a Désactivez la version 1.0 de la synchronisation des mots de passe en supprimant l’agent dans Ajout/Suppression de programmes. 9b Dans le filtre du pilote, définissez l’attribut nadLoginName sur Ignorer. 9c Dans la configuration du pilote, supprimez les règles de compatibilité amont qui mettent nadLoginName à jour. 9d Si vous le souhaitez, vous pouvez également supprimez l’attribut nadLoginName des utilisateurs, devenu inutile dès lors que la synchronisation des mots de passe fonctionne sous Identity Manager. Création de la compatibilité amont avec la version 1.0 de la synchronisation des mots de passe par l’ajout de règles La version 1.0 de la synchronisation des mots de passe dépend de la mise à jour de l’attribut nadLoginName par les modules d’interface pilote. Cet attribut indique si un mot de passe utilisateur doit être synchronisé. Il est ajouté ou mis à jour chaque fois qu’un nouvel utilisateur est ajouté ou qu’un nom d’utilisateur est modifié. Les modules d’interface pilote Identity Manager ne mettent plus cet attribut à jour car la synchronisation des mots de passe sous Identity Manager n’en a pas besoin. Dès lors que vous avez installé un nouveau module d’interface pilote, l’attribut nadLoginName n’est donc pas mis à jour. Cela signifie que la version 1.0 de la synchronisation des mots de passe ne reçoit plus d’avis concernant l’arrivée de nouveaux utilisateurs ou le fait qu’ils ont été renommés, à moins que vous n’ajoutiez la compatibilité amont à la configuration de votre pilote. La compatibilité amont avec la version 1.0 de la synchronisation des mots de passe est nécessaire pour que la transition de la version 1.0 de la synchronisation des mots de passe vers la synchronisation des mots de passe sous Identity Manager se fasse en douceur. Pour créer une compatibilité amont avec la version 1.0 de la synchronisation des mots de passe, vous devez ajouter des règles mettant l’attribut nadLoginName à jour. Ces règles doivent être ajoutées aux pilotes AD et aux pilotes NT , que vous mettiez la configuration des pilotes à niveau ou que vous les remplaciez par les nouvelles configurations livrées avec Identity Manager. Les exemples de configuration du pilote Identity Manager pour AD et NT ne les incluent pas par défaut. Trois règles sont nécessaires : une pour la transformation des sorties de l’abonné, une pour la transformation des entrées de l’éditeur et une pour la transformation des commandes de l’éditeur. Ces règles sont fournies avec Identity Manager dans un fichier de configuration nommé Règles de la version 1.0 de la synchronisation des mots de passe pour AD et NT. La procédure suivante explique comment importer les nouvelles règles et les ajouter à la configuration d’un pilote. 1 Dans iManager, cliquez sur Utilitaires DirXML > Importer des pilotes. L’assistant d’importation des pilotes s’ouvre. 2 Sélectionnez l’ensemble de pilotes dans lequel se trouve le pilote AD ou NT existant. 3 Dans le bas de la liste des configurations, sélectionnez Règles 1.0 hérités relatives à synchronisation des mots de passe : compatibilité avec les versions précédentes pour AD et NT. Ce choix est décrit sous le titre Autres règles. 40 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 4 Répondez aux invites d’importation : 4a Sélectionnez votre pilote AD ou NT existant. Le fait de sélectionner le pilote existant permet d’ajouter les trois règles nécessaires. Le processus d’importation crée trois nouveaux objets Règles, que vous devez insérer au bon endroit de la configuration du pilote. 4b Spécifiez si le pilote est un pilote AD ou NT. Il existe des différences mineures entre les règles importées, en fonction du système choisi. 4c Sélectionnez l’objet nadDomain associé au pilote que vous souhaitez mettre à jour. Il se trouve généralement sous l’objet Pilote. 4d (AD uniquement) Saisissez le nom de l’attribut NDS assigné à l’attribut AD sAMAccountName. Cette information se trouve dans la règle d’assignation de schéma de la configuration du pilote. 5 Cliquez sur Suivant. Vous avez choisi un pilote existant ; une page s’affiche alors, vous demandant comment vous souhaitez que votre pilote soit mis à jour. Dans ce cas, il s’agit seulement de mettre à jour les règles choisies. 6 Sélectionnez l’option Ne mettre à jour que les règles sélectionnées dans ce pilote, puis cochez les cases correspondant aux trois règles énumérées. 7 Cliquez sur Suivant puis sur Terminer pour achever la procédure demandée par l’assistant. À ce moment de la procédure, les trois nouvelles règles ont été créées en tant qu’objets Règle de l’objet pilote ; cependant, elles ne font pas encore partie de la configuration du pilote. Vous devez pour cela insérer chacune d’entre elles manuellement, au bon endroit dans la configuration du pilote sur les canaux Abonné et Éditeur. 8 Insérez chacune des trois nouvelles règles à l’endroit qui convient dans la configuration du pilote existant. S’il existe plusieurs règles pour une partie de la configuration du pilote, vérifiez que vous avez répertorié ces nouvelles règles en dernier. Nom de l’objet règle Endroit où l’insérer Pour le pilote NT : PassSync(Pub)-Règles de transformation de la commande Règles de transformation de la commande sur PassSync(Pub)-Règles de transformation de l’entrée Règles de transformation de l’entrée sur le PassSync(Pub)-Règles de transformation de la commande Règles de transformation de la commande sur le canal Éditeur canal Éditeur le canal Abonné Pour le pilote Active Directory : PassSync(Pub)-Règles de transformation de la commande Règles de transformation de la commande sur le canal Éditeur Synchronisation des mots de passe 41 Novell Confidential Manual (FRA) 28 October 2003 Nom de l’objet règle Endroit où l’insérer PassSync(Pub)-Règles de transformation de l’entrée Règles de transformation de l’entrée sur le PassSync(Pub)-Règles de transformation de la sortie Règles de transformation de l’entrée sur le canal Éditeur canal Éditeur Voici comment faire. Répétez ces étapes pour chaque règle. 8a Cliquez sur Gestion DirXML > Présentation. Sélectionnez l’ensemble de pilotes pour le pilote que vous êtes en train de mettre à jour. 8b Cliquez sur le pilote que vous venez de mettre à jour. Une page montrant une représentation graphique de la configuration de pilote s’affiche. 8c Cliquez sur l’icône pour savoir où ajouter l’une des trois nouvelles règles. 8d Cliquez sur Insérer pour ajouter la nouvelle règle. Dans la page qui s’affiche, cliquez sur Utiliser une règle existante et recherchez le nouvel objet Règle. Cliquez sur OK. 8e Si la liste contient plusieurs règles pour chacune des trois nouvelles règles, utilisez les flèches pour déplacer la nouvelle règle vers le bas de la liste. 9 Répétez cette procédure pour tous les pilotes des domaines AD et NT. Une fois cette procédure terminée, la configuration des pilotes des domaines AD et NT sont compatibles en amont avec la version 1.0 de la synchronisation des mots de passe. Cela signifie que la synchronisation des mots de passe continue de fonctionner comme précédemment, permettant la mise à niveau vers la synchronisation des mots de passe sous Identity Manager quand vous le souhaitez. Nouvelle configuration de pilote et synchronisation des mots de passe sous Identity Manager Si vous n’utilisez pas la version 1.0 de la synchronisation des mots de passe et si vous décidez de créer un pilote ou de remplacer la configuration d’un pilote par la configuration Identity Manager, suivez les instructions de New Driver Configuration and Identity Manager Password Synchronization (Nouvelle configuration du pilote et synchronisation des mots de passe sous Identity Manager, dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Vous devez en outre : installer les nouveaux filtres de synchronisation des mots de passe et les configurer si vous voulez que le système connecté fournisse des mots de passe utilisateur à Identity Manager. Reportez-vous à « Définition des filtres de synchronisation des mots de passe », page 45. définir le scénario de la synchronisation des mots de passe que vous souhaitez utiliser à l’aide des règles de mot de passe et des paramètres de synchronisation des mots de passe pour le pilote. Reportez-vous à Implementing Password Synchronization (Implémentation de la synchronisation des mots de passe), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). 42 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe sous Identity Manager Cette section explique comment ajouter la prise en charge de la synchronisation des mots de passe sous Identity Manager à une configuration du pilote existante. Important : si le pilote est utilisé avec la version 1.0 de la synchronisation des mots de passe, vous ne devez appliquer les directives de cette section que dans le cadre de « Mise à niveau de la version 1.0 de la synchronisation des mots de passe vers la version fournie avec Identity Manager », page 38 et non en tant que tel. Voici les tâches que vous devrez accomplir en suivant les procédures de cette section : Ajout du manifeste de pilote, des valeurs de configuration globales et des règles de synchronisation des mots de passe à la configuration du pilote. Pour obtenir la liste des règles à ajouter, reportez-vous à Policies Required in the Driver Configuration (Règles nécessaires à la configuration du pilote), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Modification du filtre de façon que l’attribut nspmDistributionPassword puisse être synchronisé. Conditions préalables Vérifiez que vous avez converti le pilote existant au format Identity Manager, comme décrit dans Upgrading a Driver Configuration from DirXML 1.x to Identity Manager Format (Mise à niveau d’une configuration du pilote, du format DirXML 1.x au format Identity Manager, dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Créez un enregistrement du pilote existant à l’aide de l’assistant d’exportation des pilotes. Vérifiez que vous avez bien installé le nouveau module d’interface pilote. Certaines fonctionnalités de synchronisation des mots de passe ne fonctionnent pas sans le module d’interface pilote Identity Manager, comme la fonction Vérifier l’état des mots de passe par exemple. Procédure 1 Dans iManager, cliquez sur Utilitaires DirXML > Importer des pilotes. L’assistant d’importation des pilotes s’ouvre. 2 Sélectionnez l’ensemble de pilotes dans lequel se trouve le pilote existant. 3 Dans la liste des configurations de pilote, sélectionnez Règles de synchronisation de mot de passe 2.0. Ce choix est répertorié sous Autres règles. Cliquez sur Suivant. Une liste des invites d’importation s’affiche. 4 Sélectionnez le pilote existant que vous souhaitez mettre à jour. 5 Répondez aux trois invites qui concernent les capacités du pilote et du système connecté. Le système connecté peut-il fournir des mots de passe à DirXML ? Le système connecté peut-il accepter des mots de passe venant de DirXML ? Le système connecté peut-il vérifier si le mot de passe correspond à celui de DirXML ? Synchronisation des mots de passe 43 Novell Confidential Manual (FRA) 28 October 2003 Si vous ne savez pas quelle réponse donner, vérifiez les paramètres de votre pilote, fournis avec les exemples de configuration Identity Manager. Vous pouvez créer un pilote temporaire grâce aux configurations de pilote d’Identity Manager et vous reporter aux paramètres du manifeste du pilote pour le pilote en question. 6 Cliquez sur Suivant, puis choisissez de mettre à jour tout ce qui concerne le pilote. Cette option fournit le manifeste du pilote, les valeurs de configuration globales et les règles de mot de passe nécessaires à la synchronisation des mots de passe. Le manifeste du pilote et les valeurs de configuration globales remplacent toute valeur existante. Il ne devrait toutefois pas y avoir de valeur à replacer ; en effet, ces types de paramètres constituent une nouvelle fonctionnalité d’Identity Manager. Les règles de mots de passe ne remplacent aucun objet Règle existant ; elles sont seulement ajoutées à l’objet Pilote. Remarque : si, malgré tout, vous devez enregistrer un manifeste de pilote ou des valeurs de configuration globales, choisissez l’option Ne mettre à jour que les règles sélectionnées dans ce pilote, puis cochez les cases correspondant à toutes ces règles. Cette option importe les règles de mot de passe mais ne modifie ni le manifeste de pilote ni les valeurs de configuration globales. 7 Cliquez sur Suivant, puis sur Terminer pour mettre fin à l’utilisation de l’assistant. À ce moment de la procédure, les nouvelles règles ont été créées en tant qu’objets Règle de l’objet pilote ; cependant, elles ne font pas encore partie de la configuration du pilote. Vous devez pour cela insérer chacune d’entre elles manuellement, au bon endroit dans la configuration du pilote sur les canaux Abonné et Éditeur. 8 Insérez chacune des nouvelles règles à l’endroit qui convient dans la configuration du pilote existante. Si l’ensemble de règles comprend plusieurs règles, vérifiez que ces règles de synchronisation de mot de passe apparaissent au bas de la liste. Les règles et l’endroit où les insérer sont indiqués dans Policies Required in the Driver Configuration (Règles nécessaires à la configuration du pilote), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Voici comment faire. Répétez ces étapes pour chaque règle. 8a Cliquez sur Gestion DirXML > Présentation. Sélectionnez l’ensemble de pilotes pour le pilote que vous êtes en train de mettre à jour. 8b Cliquez sur le pilote que vous venez de mettre à jour. Une page montrant une représentation graphique de la configuration de pilote s’affiche. 8c Cliquez sur l’icône pour savoir où ajouter l’une des nouvelles règles. 8d Cliquez sur Insérer pour ajouter la nouvelle règle. Dans la page qui s’affiche, cliquez sur Utiliser une règle existante et recherchez le nouvel objet Règle. Cliquez sur OK. 8e Si la liste contient plusieurs règles pour chacune des trois nouvelles règles, utilisez les flèches pour déplacer les nouvelles règles vers le bon emplacement dans la liste. Vérifiez que les règles suivent l’ordre défini dans Policies Required in the Driver Configuration (Règles nécessaires à la configuration du pilote), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). 9 Modifiez le filtre pour que le pilote autorise la synchronisation de l’attribut nspmDistributionPassword. 44 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 10 Installez les nouveaux filtres de synchronisation des mots de passe et configurez-les si vous voulez que le système connecté fournisse des mots de passe utilisateur à Identity Manager. Reportez-vous à « Définition des filtres de synchronisation des mots de passe », page 45. À ce moment de la procédure, le pilote dispose d’un nouveau module d’interface pilote et des autres éléments nécessaires à la prise en charge de la synchronisation des mots de passe. De plus, il est au format Identity Manager, et il possède le manifeste de pilote, les valeurs de configuration globales, les règles de synchronisation de mot de passe et les filtres. Vous pouvez maintenant réguler la circulation des mots de passe depuis et vers les systèmes connectés, grâce à l’interface de synchronisation des mots de passe de iManager. 11 Définissez le scénario de la synchronisation des mots de passe que vous souhaitez utiliser à l’aide des règles de mot de passe et des paramètres de synchronisation des mots de passe pour le pilote. Reportez-vous à Implementing Password Synchronization (Implémentation de la synchronisation des mots de passe), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). 12 Répétez cette procédure pour tous les pilotes que vous souhaitez voir participer à la synchronisation des mots de passe. Définition des filtres de synchronisation des mots de passe Le pilote doit être configuré de façon à ne fonctionner que sur un seul ordinateur Windows. Cependant, une fois le pilote installé, chacun des autres contrôleurs de domaine nécessite l’installation d’un filtre de mot de passe (fichier pwfilter.dll) ; le registre doit être configuré pour capturer les mots de passe, afin que ces derniers soient envoyés à Identity Manager. Le filtre de mot de passe démarre automatiquement lorsque le contrôleur de domaine est lancé. Le filtre capture les modifications apportées aux mots de passe par les utilisateurs via des clients Windows ; ensuite, il les code et les envoie au pilote afin que la banque de données d’Identity Manager soit mise à jour. Remarque : pour plus d’informations sur la configuration de la synchronisation des mots de passe, reportezvous à Implementing Password Synchronization (Implémentation de la synchronisation des mots de passe), dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). L’utilitaire DirXML PassSync est ajouté au Panneau de configuration lorsque le pilote est installé, afin de simplifier la configuration et l’administration des filtres de mots de passe. Cet utilitaire donne deux possibilités de configuration des filtres de mots de passe, selon que vous souhaitez autoriser l’accès distant à votre registre sur vos contrôleurs de domaine. Si vous ne voulez pas autoriser l’accès distant au registre : vous pouvez configurer les filtres de mots de passe séparément sur chaque contrôleur de domaine. Pour cela, dans chaque contrôleur de domaine, installez les fichiers du pilote afin de disposer de l’utilitaire DirXML PassSync ; utilisez ce dernier sur chaque ordinateur pour installer le filtre de mot de passe et mettre le registre à jour. Reportez-vous à « Configuration séparée des filtres de mots de passe sur chaque contrôleur de domaine », page 46. Si vous autorisez l’accès distant au registre : depuis l’ordinateur sur lequel vous comptez exécuter le pilote, vous pouvez configurer le filtre de mot de passe pour tous les contrôleurs de domaine à l’aide de l’utilitaire DirXML PassSync. Cette méthode permet de configurer tous les contrôleurs de domaine depuis un seul ordinateur. Synchronisation des mots de passe 45 Novell Confidential Manual (FRA) 28 October 2003 Si vous configurez l’ensemble des contrôleurs de domaine depuis une seule machine, l’utilitaire DirXML PassSync vous accompagne lors de l’installation, grâce aux fonctionnalités suivantes : spécification du domaine dans lequel vous souhaitez voir participer à la synchronisation des mots de passe, recherche automatique de l’ensemble des contrôleurs de domaine pour le domaine, installation à distance du fichier pwfilter.dll sur chaque contrôleur de domaine, mise à jour automatique du registre sur l’ordinateur sur lequel le pilote s’exécute et sur chaque contrôleur de domaine, affichage de l’état du filtre sur chaque contrôleur de domaine, redémarrage à distance du contrôleur de domaine. Nécessaire lorsque vous ajoutez pour la première fois un domaine pour la synchronisation des mots de passe ; en effet, le filtre qui capture les modifications apportées aux mots de passe est un fichier .dll lancé en même temps que le contrôleur de domaine. Reportez-vous à « Configuration des filtres de mot de passe pour tous les contrôleurs de domaine à partir d’un ordinateur unique », page 49. Configuration séparée des filtres de mots de passe sur chaque contrôleur de domaine Cette procédure explique comment installer et configurer le filtre de mot de passe sur chaque contrôleur de domaine, l’un après l’autre. Utilisez cette méthode si vous ne voulez pas autoriser l’accès distant au registre. Dans cette procédure, installez le pilote de façon à disposer de l’utilitaire DirXML PassSync, que vous utilisez ensuite pour installer le fichier pwfilter.dll et spécifier le port à utiliser ainsi que l’ordinateur hôte sur lequel le pilote DirXML pour NT s’exécute. Comme la configuration du filtre nécessite le redémarrage du contrôleur de domaine, il vaut mieux effectuer cette procédure en dehors des heures de travail de vos collègues ou ne redémarrer qu’un seul contrôleur de domaine à la fois. S’il y a plusieurs contrôleurs de domaine dans le domaine, n’oubliez pas que le filtre doit être installé sur chaque contrôleur de domaine incluant l’option de synchronisation des mots de passe, lequel devra être redémarré. 1 Vérifiez que ces ports sont disponibles sur le contrôleur de domaine et sur l’ordinateur sur lequel le pilote DirXML pour Windows doit s’exécuter. 135 : Programme d’assignation d’extrémité RPC 137 : Service de dénomination NetBIOS 138 : Service de datagramme NetBIOS 139 : Service de session NetBIOS 2 Sur le contrôleur de domaine, utilisez le programme d’installation d’Identity Manager pour n’installer que le pilote DirXML pour NT. L’utilitaire DirXML PassSync est installé en même temps que le pilote. 3 Cliquez sur Démarrer > Paramètres > Panneau de configuration, puis cherchez l’utilitaire DirXML PassSync. 46 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 4 Double-cliquez sur DirXML PassSync. La première fois que vous le démarrez, cet utilitaire vous demande si le pilote DirXML est installé sur l’ordinateur sur lequel DirXML PassSync est installé. 5 Cliquez sur Non. Une fois l’installation terminée, cette invite ne s’affiche plus, à moins que vous ne supprimiez le filtre de mot de passe en cliquant sur le bouton Supprimer dans la boîte de dialogue Propriétés de filtrage de mot de passe. Lorsque vous cliquez sur Non, la boîte de dialogue Propriétés de filtrage de mot de passe apparaît, affichant un message d’état indiquant que le filtrage des mots de passe n’est pas encore configuré sur ce contrôleur de domaine. Synchronisation des mots de passe 47 Novell Confidential Manual (FRA) 28 October 2003 6 Cliquez sur le bouton Configuration pour installer le filtre de mot de passe, pwfilter.dll. 7 Dans les paramètres Port, spécifiez si vous souhaitez utiliser un port statique ou dynamique. Ne choisissez l’option Utiliser un port statique que si vous souhaitez configurer le RPC du contrôleur de domaine autrement que par défaut. 8 Spécifiez l’emplacement du pilote DirXML, cliquez sur Ajouter puis spécifiez le nom d’hôte de l’ordinateur exécutant le pilote DirXML dans la boîte de dialogue Filtre pour la synchronisation de mot de passe - Ajout d’un hôte. Cliquez sur OK. Cette étape est indispensable et permet au filtre de mot de passe de savoir où envoyer les modifications apportées aux mots de passe. Le filtre de mot de passe capture les modifications apportées aux mots de passe, qu’il doit envoyer au pilote DirXML pour mettre à jour la banque de données d’Identity Manager. 9 Cliquez sur OK dans la boîte de dialogue Propriétés de filtrage de mot de passe. 10 Redémarrez le contrôleur de domaine pour terminer l’installation du filtre de mot de passe. Vous pouvez décider de redémarrer au moment le mieux adapté en fonction de votre environnement. Cependant, il ne faut pas oublier que la synchronisation des mots de passe ne sera totalement opérationnelle que lorsque le filtre de mot de passe aura été installé sur chaque contrôleur de domaine et lorsque ces derniers auront été redémarrés. Lorsque l’installation est terminée et que le contrôleur de domaine a été redémarré, le filtre de mot de passe est automatiquement lancé à chaque démarrage du contrôleur de domaine. 48 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 11 Vérifiez l’état du filtre de mot de passe en cliquant sur Démarrer > Paramètres > Panneau de configuration, puis en double-cliquant sur l’utilitaire DirXML PassSync. Confirmez que l’état de l’utilitaire est En cours d’exécution. 12 Répétez la procédure de l’Étape 2 à l’Étape 11 pour chaque contrôleur de domaine que vous souhaitez voir participer à la synchronisation des mots de passe. 13 Si l’état de chacun des contrôleurs de domaine est En cours d’exécution, testez la synchronisation des mots de passe pour vérifier qu’elle fonctionne. Configuration des filtres de mot de passe pour tous les contrôleurs de domaine à partir d’un ordinateur unique Cette procédure explique comment installer et configurer le filtre de mot de passe sur chaque contrôleur de domaine à partir de l’ordinateur sur lequel s’exécute le pilote. Utilisez cette méthode si vous voulez autoriser l’accès distant au registre. Comme la configuration du filtre nécessite le redémarrage du contrôleur de domaine, il vaut mieux effectuer cette procédure en dehors des heures de travail de vos collègues ou ne redémarrer qu’un seul contrôleur de domaine à la fois. S’il y a plusieurs contrôleurs de domaine dans le domaine, n’oubliez pas que le filtre doit être installé sur chaque contrôleur de domaine incluant l’option de synchronisation des mots de passe, lequel devra être redémarré. 1 Vérifiez que ces ports sont disponibles sur les contrôleurs de domaine et sur l’ordinateur sur lequel le pilote DirXML pour Windows doit s’exécuter. 135 : Programme d’assignation d’extrémité RPC 137 : Service de dénomination NetBIOS 138 : Service de datagramme NetBIOS 139 : Service de session NetBIOS 2 Sur le système sur lequel le pilote est installé, cliquez sur Démarrer > Paramètres > Panneau de configuration. Synchronisation des mots de passe 49 Novell Confidential Manual (FRA) 28 October 2003 3 Double-cliquez sur DirXML PassSync. La première fois que vous le démarrez, cet utilitaire vous demande si le pilote DirXML est installé sur l’ordinateur sur lequel DirXML PassSync est installé. Lorsque vous avez terminé la configuration, cette invite n’apparaît plus, sauf si vous souhaitez supprimer le domaine de la liste. 4 Cliquez sur Oui. Une liste apparaît, sous le titre Domaines synchronisés. 50 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 5 Pour ajouter un domaine devant participer à la synchronisation des mots de passe, cliquez sur Ajouter et spécifiez le nom du domaine. 6 Connectez-vous avec des droits d’administrateur. L’utilitaire DirXML PassSync recherche tous les contrôleurs de domaine pour ce domaine et installe pwfilter.dll sur chaque contrôleur de domaine. Il met également à jour le registre de l’ordinateur sur lesquels s’exécutent les pilotes et sur chaque contrôleur de domaine. Cela peut prendre quelques minutes. Le fichier pwfilter.dll ne capture pas les modifications apportées aux mots de passe tant que le contrôleur de domaine n’a pas été redémarré. L’utilitaire DirXML PassSync permet d’afficher la liste de tous les contrôleurs de domaine ainsi que l’état du filtre leur correspondant. Vous pouvez également redémarrer le contrôleur de domaine depuis l’utilitaire lui-même. 7 Dans la liste, cliquez sur le nom du domaine puis sur Filtres. L’utilitaire affiche les noms de tous les contrôleurs de domaine ainsi que l’état du filtre leur correspondant. L’état du filtre doit indiquer s’il faut redémarrer le contrôleur de domaine. Cependant, l’exécution par l’utilitaire des tâches automatiques qui lui sont confiées peut prendre quelques minutes : pendant cet intervalle, le statut Inconnu peut apparaître. Synchronisation des mots de passe 51 Novell Confidential Manual (FRA) 28 October 2003 8 Redémarrez chaque contrôleur de domaine. Vous pouvez décider de redémarrer au moment le mieux adapté en fonction de votre environnement. Cependant, il ne faut pas oublier que la synchronisation des mots de passe ne sera totalement opérationnelle que lorsque chaque contrôleur de domaine aura été redémarré. 9 Si l’état des contrôleurs de domaine est En cours d’exécution, testez la synchronisation des mots de passe pour vérifier qu’elle fonctionne. 10 Pour ajouter d’autres domaines, cliquez sur OK et revenez à la liste des domaines, puis répétez la procédure de l’Étape 5 à l’Étape 9. 52 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 Dépannage des problèmes de synchronisation des mots de passe Si un message d’erreur indique qu’un mot de passe correctement configuré dans eDirectory ne correspond pas lorsqu’un utilisateur est créé, alors le problème est peut-être lié au mot de passe par défaut de la règle Pilote : ce mot de passe n’est peut-être pas conforme à la règle de mots de passe qui s’applique à cet utilisateur. Par exemple, vous souhaitez que le pilote Active Directory fournisse le mot de passe utilisateur initial lorsqu’un nouvel objet Utilisateur est créé dans eDirectory pour correspondre à un utilisateur dans Active Directory. L’exemple de configuration du pilote Active Directory envoie le mot de passe initial et ajoute un utilisateur de manière séparée ; l’exemple de configuration comprend également une règle fournissant un mot de passe par défaut à l’utilisateur, en fonction de son nom, si Active Directory ne fournit aucun mot de passe. Ces deux opérations étant effectuées séparément, tout nouvel utilisateur reçoit toujours un mot de passe par défaut ; celui-ci n’est effectif que le temps qu’Active Directory renvoie le mot de passe, juste après avoir l’ajout de l’utilisateur. Si le mot de passe par défaut ne répond pas aux exigences de la règle de mots de passe d’eDirectory, un message d’erreur apparaît. Par exemple, si le mot de passe par défaut créé en fonction du nom de l’utilisateur est trop court, un message d’erreur -216 apparaît, indiquant que le mot de passe est trop court. Cependant, ce problème se résout de lui-même dès que le pilote Active Directory envoie un mot de passe initial respectant la règle. Si vous souhaitez avoir un système connecté qui crée des objets Utilisateur pour fournir le mot de passe initial, quel que soit le pilote que vous utilisez, choisissez l’une des options suivantes. Ces mesures sont particulièrement importantes si le mot de passe initial n’accompagne pas l’événement d’ajout mais qu’il vient plus tard. Sur le canal Éditeur, modifiez la règle qui crée le mot de passe par défaut, afin que celuici soit conforme aux règles de mots de passe définies pour votre organisation dans eDirectory (le mot de passe est créé à l’aide de Gestion des mots de passe > Gérer les règles de mots de passe). Lorsque le mot de passe provient de l’application experte, il remplace le mot de passe par défaut. Il vaut mieux choisir cette option : en effet, Novell recommande la création d’une règle de mots de passe par défaut, afin que le niveau de sécurité du système soit aussi élevé que possible. ou Sur le canal Éditeur, supprimez la règle qui crée le mot de passe par défaut. Dans l’exemple de configuration, cette règle est fournie par l’ensemble de règles de transformation de la commande. Dans eDirectory, l’ajout d’un utilisateur sans mot de passe est autorisé. Pour cette option, l’objet utilisateur nouvellement créé est passé par le canal Éditeur ; ainsi, cet objet n’a pas de mot de passe que temporairement. Synchronisation des mots de passe 53 Novell Confidential 54 Guide d’implémentation du pilote DirXML pour domaine NT Manual (FRA) 28 October 2003 Novell Confidential 6 Manual (FRA) 28 October 2003 Dépannage Vous pouvez consigner les événements NsureTM Identity Manager à l’aide de Nsure Audit. L’utilisation combinée de ce service et du paramétrage du niveau de consignation du pilote permet d’effectuer le suivi dans les moindres détails. Pour plus d’informations, reportez-vous à Logging Events Using Nsure Audit (Insertion d’événements dans le fichier journal à l’aide de Nsure Audit), dans le Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2). Dépannage La section suivante identifie les messages d’erreur courants et leurs causes possibles. Error Wrong Destination DN: le DN cible envoyé au pilote était incorrect ou absent. Cela peut se produire lorsqu’un objet utilisateur a été modifié dans un conteneur non pris en charge dans la règle de placement de l’objet Abonné. Error Password Length is to long. Password not set.: le mot de passe envoyé au pilote était trop long et le pilote n’a pas pu le définir. ***Error*** Failed to attach to the registry = error#: le pilote n’a pas pu s’attacher au registre système. L’erreur était fatale, de sorte que le pilote va s’arrêter. Vérifiez le code d’erreur pour connaître la raison. ***Error*** Failed to attach to the registry retrying = error#: le pilote n’a pas pu s’attacher au registre système, mais l’erreur suggérait une tentative ultérieure. Vérifiez le code d’erreur pour connaître la raison. ***Error Unable to logon as User %S to Domain %S error code = error#: le pilote n’a pas pu se loguer comme utilisateur dans le domaine spécifié. Vérifiez le code d’erreur pour connaître la raison. Error: Missing Poll Rate parameter: la fréquence d’interrogation n’a pas été définie dans les paramètres du pilote. Error: Missing Publisher State parameter: le pilote est exécuté pour la première fois. Returning an error to DS: une erreur s’est produite et le pilote renvoie cette erreur. LogonUser = error #: le pilote a tenté de se loguer comme l’utilisateur spécifié dans les paramètres du pilote. Vérifiez le numéro d’erreur pour voir les raisons possibles de l’échec de login. ImpersonateLoggedOnUser = error #: le pilote a tenté de prendre l’identité de l’utilisateur. Vérifiez le numéro d’erreur pour voir la raison possible de l’échec de cet emprunt d’identité. Dépannage 55 Novell Confidential Manual (FRA) 28 October 2003 ***Failed MKDIR directory path = error #: le pilote a tenté de créer un répertoire. MKDIR n’a pas réussi à créer un chemin d’accès au répertoire et a renvoyé le code d’erreur. Vérifiez ce code d’erreur pour connaître la raison de l’échec. ***Failed SharDir directory path: le pilote a tenté de partager le chemin d’accès au répertoire avec tous les utilisateurs, mais a échoué. ***ERROR ADD failed, NERR_PasswordTooShort ***ERROR ADD failed, NERR_InvalidComputer ***ERROR ADD failed, ERROR_ACCESS_DENIED ***ERROR ADD failed, NERR_NotPrimary ***ERROR ADD failed, NERR_GroupExists ***ERROR ADD failed, NERR_UserExists ***ERROR ADD failed, NERR_ServiceCtlBusy ***ERROR ADD failed, ERROR_INVALID_PARAMETER L’objet Abonné a tenté d’ajouter un utilisateur au domaine. L’échec est dû à la raison indiquée. ***ERROR ADD failed. = error #, username: l’objet Abonné a tenté d’ajouter un nom d’utilisateur au domaine. L’échec est dû au code d’erreur indiqué. ***ERROR MODIFY failed, NERR_PasswordTooShort ***ERROR MODIFY failed, NERR_InvalidComputer ***ERROR MODIFY failed, ERROR_ACCESS_DENIED ***ERROR MODIFY failed, NERR_NotPrimary ***ERROR MODIFY failed, NERR_GroupExists ***ERROR MODIFY failed, NERR_UserExists ***ERROR MODIFY failed, NERR_ServiceCtlBusy ***ERROR MODIFY failed, ERROR_INVALID_PARAMETER L’objet Abonné a tenté de modifier un utilisateur dans le domaine. L’échec est dû à la raison indiquée. ***ERROR MODIFY failed. = error #, username: l’objet Abonné a tenté de modifier un nom d’utilisateur dans le domaine. L’échec est dû au code d’erreur indiqué. ***ERROR RENAME failed, NERR_PasswordTooShort ***ERROR RENAME failed, NERR_InvalidComputer ***ERROR RENAME failed, ERROR_ACCESS_DENIED ***ERROR RENAME failed, NERR_NotPrimary ***ERROR RENAME failed, NERR_GroupExists ***ERROR RENAME failed, NERR_UserExists ***ERROR RENAME failed, NERR_ServiceCtlBusy ***ERROR RENAME failed, ERROR_INVALID_PARAMETER L’objet Abonné a tenté de renommer un utilisateur dans le domaine. L’échec est dû à la raison indiquée. ***ERROR RENAME failed. = error #, username: l’objet Abonné a tenté de renommer un utilisateur dans le domaine. L’échec est dû au code d’erreur indiqué. ***ERROR GETINFO failed, NERR_UserNotFound ***ERROR GETINFO failed, ERROR_ACCESS_DENIED ***ERROR GETINFO failed, NERR_InvalidComputer ***ERROR GETINFO failed Une requête a été effectuée et a échoué pour la raison indiquée. 56 Guide d’implémentation du pilote DirXML pour domaine NT Novell Confidential Manual (FRA) 28 October 2003 ***ERROR DELETE failed, NERR_PasswordTooShort ***ERROR DELETE failed, NERR_InvalidComputer ***ERROR DELETE failed, ERROR_ACCESS_DENIED ***ERROR DELETE failed, NERR_NotPrimary ***ERROR DELETE failed, NERR_GroupExists ***ERROR DELETE failed, NERR_UserExists ***ERROR DELETE failed, NERR_ServiceCtlBusy ***ERROR DELETE failed, ERROR_INVALID_PARAMETER ***ERROR DELETE failed L’objet Abonné a tenté de supprimer un utilisateur du domaine. L’échec est dû à la raison indiquée. HeapReAlloc error!: mémoire insuffisante. LookupAccountName error! error# : LookupAccountName a échoué à cause du code d’erreur spécifié. SetSecurityDescriptorDacl error! error# : SetSecurityDescriptorDacl a échoué à cause du code d’erreur spécifié. NetShareAdd error! error# : NetShareAdd a échoué à cause du code d’erreur spécifié. Publisher Error NO MEMORY: mémoire de l’objet Éditeur épuisée. Error out of memory: mémoire de l’objet Éditeur épuisée. Unable to process Nt4 User data: cette erreur se produit lorsque le canal Abonné n’a pas pu terminer une requête dans le domaine NT. Dépannage 57 Novell Confidential 58 Guide d’implémentation du pilote DirXML pour domaine NT Manual (FRA) 28 October 2003 Novell Confidential A Manual (FRA) 28 October 2003 Mises à jour Cette section contient des informations sur les modifications apportées au contenu de ce guide. Les informations sont groupées selon la date à laquelle les mises à jour de la documentation ont été publiées. La documentation est fournie sur le Web sous deux formats : HTML et PDF. La documentation HTML et PDF est maintenue à jour grâce aux changements de documentation répertoriés dans cette section. Si vous voulez savoir si la copie de la documentation PDF que vous utilisez est la plus récente, le document PDF contient la date à laquelle il a été publié dans la section Mentions légales juste après la page de titre. La documentation a été mise à jour aux dates suivantes : « 18 mars 2004 », page 59 « 13 mai 2004 », page 59 18 mars 2004 Les références à la synchronisation des mots de passe 2.0 ont été remplacées par Synchronisation des mots de passe NsureTM Identity Manager, pour indiquer que la nouvelle fonctionnalité de synchronisation des mots de passe ne constitue pas un produit distinct mais fait bien partie d’Identity Manager. Les références à DirXML 2.0 ont été remplacées par Identity Manager 2. Le moteur et les pilotes sont toujours appelés « moteur DirXML » et « pilotes DirXML ». 13 mai 2004 Certains éléments concernant le pilote ont été ajoutés dans « Nouvelles fonctionnalités », page 9. Une nouvelle section a été ajoutée. Elle décrit la nouvelle fonctionnalité de synchronisation des mots de passe. Reportez-vous à « Heure d’expiration des mots de passe », page 24. Une nouvelle section a été ajoutée. Elle décrit la façon de configurer les filtres de mots de passe sans autoriser l’accès distant au registre. Reportez-vous à « Configuration séparée des filtres de mots de passe sur chaque contrôleur de domaine », page 46. Mises à jour 59 Novell Confidential 60 Guide d’implémentation du pilote DirXML pour domaine NT Manual (FRA) 28 October 2003 ">
Public link updated
The public link to your chat has been updated.