Novell Confidential Manual (FRA) 28 October 2003
4
Utilisation de l’exemple de configuration du pilote
La configuration du pilote propose les trois options suivantes pour synchroniser les utilisateurs à l’aide du pilote Novell
®
DirXML
®
pour eDirectory
TM
suivantes :
! En miroir
! Simple
! Service
Ces options sont similaires à celles de la version précédente de la configuration du pilote, si ce n’est qu’elles sont toutes disponibles dans un même fichier de configuration et non plus dans trois fichiers distincts.
Cette section vous fournit des informations sur les points suivants :
!
« Importation de l’exemple de configuration du pilote », page 25
!
« Attributs synchronisés », page 27
!
« Synchronisation des mots de passe », page 28
Importation de l’exemple de configuration du pilote
1
Créez un nouveau pilote ou importez la configuration dans un pilote existant.
Dans Novell iManager, sélectionnez Utilitaires DirXML, puis utilisez l’une des tâches décrites à la section Managing DirXML Drivers (Gestion des pilotes DirXML) dans le
Novell
Nsure Identity Manager 2 Administration Guide (Guide d’administration Novell Nsure
Identity Manager 2)
.
2
Configurez le pilote en suivant les instructions de la section
« Configuration des transferts sécurisés de données dans Identity Manager », page 35 .
Utilisation de l’exemple de configuration du pilote
25
Novell Confidential Manual (FRA) 28 October 2003
L’assistant vous demande de fournir les informations suivantes :
Élément Description
Adresse et port de l’arborescence distante
Configurer le flux de données
Options de configuration
Conteneur de base distant
Saisissez le nom d’hôte DNS ou l’adresse IP et le port du serveur
Nsure TM Identity Manager dans l’arborescence distante. Exemple :
151.155.144.23:8196 nom_hôte:8196
Bi-directionnel : les deux arborescences eDirectory sont des sources expertes des données synchronisées entre elles.
Expert : l’arborescence locale est la source experte.
Subordonné : l’arborescence locale n’est pas une source experte.
En miroir : synchronise les objets hiérarchiquement entre les arborescences locale et distante.
Si vous sélectionnez cette option, vous devez l’utiliser pour configurer les deux arborescences eDirectory à synchroniser.
Cette option de configuration du pilote permet de synchroniser les objets Utilisateur,
Groupe, Organisation, Pays et Unité organisationnelle. Elle constitue également la structure miroir d’une sous-arborescence dans l’autre arborescence.
Simple : synchronise tous les utilisateurs et les groupes dans des conteneurs particuliers.
Cette option permet de synchroniser les objets Utilisateur et Groupe. Elle permet
également de placer tous les utilisateurs dans un conteneur et tous les groupes dans un autre conteneur.
Cette option est généralement utilisée avec l’option Service (ou avec une configuration similaire) dans l’autre arborescence.
Cette option ne permet pas de créer les conteneurs qui contiennent les utilisateurs et les groupes. Vous devez les créer manuellement.
Service : synchronise les utilisateurs et les groupes par département (OU).
Cette option permet de synchroniser les objets Utilisateur et Groupe. Elle permet
également de placer tous les utilisateurs et tous les groupes dans un conteneur, en fonction de l’attribut Service de votre console de gestion.
Cette configuration est généralement utilisée avec l’option Simple (ou avec une configuration similaire) dans l’autre arborescence.
Cette option ne permet pas de créer les conteneurs de chaque service. Vous devez les créer manuellement. Ils doivent être identiques au conteneur spécifié pendant l’importation.
Utilisé uniquement avec l’option En miroir.
Indiquez le conteneur de base destiné à la synchronisation dans l’arborescence distante, par exemple Utilisateurs.MonOrganisation.
26
Guide d’implémentation du pilote DirXML pour eDirectory
Novell Confidential Manual (FRA) 28 October 2003
Élément Description
Conteneur de base
Conteneur de groupe
Utilisé avec les options En miroir, Simple et Service.
Indiquez le conteneur de base destiné à la synchronisation dans l’arborescence locale, par exemple Utilisateurs.MonOrganisation.
Si vous utilisez cet élément avec l’option En miroir : le conteneur de base local à mettre en miroir avec le conteneur de base distant indiqué plus haut.
Si vous utilisez cet élément avec l’option Simple : le conteneur où doivent être placés les utilisateurs.
Si vous utilisez cet élément avec l’option Service : le conteneur parent des conteneurs du service.
Utilisé uniquement avec l’option Simple.
Saisissez le conteneur de base destiné à la synchronisation dans l’arborescence locale où doivent être placés les groupes, par exemple Groupes.MonOrganisation.
Attributs synchronisés
Le filtre de l’exemple de configuration du pilote synchronise les attributs suivants : accessCardNumber
ACL assistant assistantPhone businessCategory city
CN co company costCenter costCenterDescription departmentNumber
Description destinationIndicator directReports
EMail Address employeeStatus employeeType
Equivalent To Me
Facsimile Telephone Number
Full Name
Generational Qualifier
Initials instantMessagingID internationaliSDNNumber
Internet EMail Address jackNumber jobCode
L
Language
Mailbox ID
Mailbox Location mailstop manager managerWorkforceID mobile
NSCP:employeeNumber otherPhoneNumber
O
OU pager personalTitle photo
Physical Delivery Office Name preferredDeliveryMethod preferredName
Private Key
Public Key registeredAddress roomNumber
S
SA
Security Equals
Security Flags
See Also siteLocation
Surname
Telephone Number teletexTerminalIdentifier telexNumber
Timezone
Title tollFreePhoneNumber
UID uniqueID vehicleInformation
Utilisation de l’exemple de configuration du pilote
27
Novell Confidential Manual (FRA) 28 October 2003
Given Name
Group Membership
Higher Privileges
Postal Address
Postal Code
Postal Office Box workforceID x121Address x500UniqueIdentifier
Synchronisation des mots de passe
Cette section contient des informations spécifiques au pilote DirXML pour eDirectory. Vous devez bien connaître les informations de la section Implementing Password Synchronization (Mise en
œuvre de la synchronisation des mots de passe) dans le
Novell Nsure Identity Manager 2
Administration Guide (Guide d’administration Novell Nsure Identity Manager 2)
.
! Le module d’interface pilote fonctionne de la même façon, mais de nouvelles règles ont été ajoutées à l’exemple de configuration du pilote pour la prise en charge de la synchronisation des mots de passe Identity Manager, notamment la synchronisation du mot de passe universel.
! Si vous utilisez le pilote pour vous connecter à eDirectory 8.6.2, vous ne pouvez synchroniser que le mot de passe NDS, comme dans les versions précédentes.
Si vous utilisez le pilote pour vous connecter à eDirectory 8.7.3, davantage d’options sont disponibles, notamment la synchronisation du mot de passe universel.
Reportez-vous aux descriptions des différents scénarios à la section Implementing Password
Synchronization (Mise en œuvre de la synchronisation des mots de passe) dans le
Novell
Nsure Identity Manager 2 Administration Guide (Guide d’administration Novell Nsure
Identity Manager 2)
.
! Si vous décidez d’appliquer une règle de mot de passe dans plusieurs arborescences, vérifiez que les règles de mot de passe avancées sont compatibles dans chaque arborescence afin de garantir une synchronisation réussie des mots de passe.
Si vous appliquez dans plusieurs arborescences des règles de mots de passes qui ne sont pas compatibles et décidez de réinitialiser le mot de passe s’il n’est pas conforme (via l’option « Si le mot de passe ne respecte pas cette règle, appliquez la règle de mot de passe sur le système connecté en redéfinissant le mot de passe de l’utilisateur au niveau du mot de passe de distribution »), vous risquez d’obtenir une boucle car chaque serveur eDirectory tentera de changer un mot de passe non conforme.
Scénario : rencontre d’une boucle. Pour appliquer des règles de mot de passe incompatibles dans plusieurs arborescences eDirectory, choisissez l’option « Si le mot de passe ne la respecte pas, appliquer la règle de mot de passe sur le système connecté en réinitialisant le mot de passe de l’utilisateur pour qu’il prenne la valeur du mot de passe de distribution ». Cette option redéfinit un mot de passe s’il ne respecte pas la règle. Chaque serveur eDirectory tentant de modifier un mot de passe incompatible, vous vous retrouvez face à une boucle.
Vous trouverez des informations sur les règles de mots de passe à la section Managing
Passwords Using Password Policies (Gestion des mots de passe à l’aide des règles de mots de passe) dans le
Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration Novell Nsure Identity Manager 2)
.
28
Guide d’implémentation du pilote DirXML pour eDirectory
Novell Confidential Manual (FRA) 28 October 2003
! Si le paramètre Synchronize (Synchroniser) est spécifié pour les attributs Public Key
(clé publique) et Private Key (clé privée) sur le filtre du pilote, le mot de passe NDS est synchronisé entre les arborescences, quels que soient les autres paramètres que vous avez pu créer.
Si vous souhaitez synchroniser les mots de passe à l’aide du mot de passe universel, assurezvous de spécifier le paramètre Ignore (Ignorer) pour les attributs Public Key (clé publique) et
Private Key (clé privée) sur le filtre des deux pilotes eDirectory, et ce pour toutes les classes dont vous souhaitez synchroniser le mot de passe universel.
! La tâche iManager Vérifier l’état des mots de passe ne fonctionne pas pour un système connecté à eDirectory si Mot de passe universel est activé dans la règle de mot de passe et si le paramètre de synchronisation du mot de passe universel avec le mot de passe NDS n’est pas sélectionné.
La tâche Vérifier l’état des mots de passe permet de vérifier si le mot de passe d’un utilisateur dans Identity Manager est synchronisé avec le mot de passe des systèmes connectés.
Si vous utilisez le pilote DirXML pour eDirectory et que la règle de mot de passe d’un utilisateur indique, dans l’onglet Options de configuration, que le mot de passe NDS ne doit pas être mis à jour lors de la mise à jour du mot de passe universel, la tâche Vérifier l’état des mots de passe pour l’utilisateur indique toujours que le mot de passe n’est pas synchronisé.
L’état du mot de passe apparaît toujours comme non synchronisé, même si le mot de passe de distribution Identity Manager et le mot de passe universel du système connecté à eDirectory sont bien identiques.
En effet, la fonctionnalité de vérification du mot de passe d’eDirectory vérifie alors le mot de passe NDS au lieu de renvoyer au mot de passe universel par l’intermédiaire de NMAS.
Le paramètre par défaut implique la mise à jour du mot de passe NDS en parallèle avec l’actualisation du mot de passe universel. Si vous choisissez cette option, l’option Vérifier l’état des mots de passe doit correspondre au système connecté à eDirectory.
Utilisation de l’exemple de configuration du pilote
29
Novell Confidential Manual (FRA) 28 October 2003
30
Guide d’implémentation du pilote DirXML pour eDirectory
