Novell Identity Manager 3.0 Administrationshandbuch
Contents
1. Der Abonnentenkanal des Service Treibers f r manuelle Aufgaben empf ngt das lt mail gt Element von Nsure Identity Manager Der Abonnentenkanal erzeugt einen association Wert weil das lt mail gt Element ber ein src dn Attribut verf gt Der Abonnentenkanal erzeugt anhand der Daten des lt mail gt Elements ein Ersetzungsdatendokument das zur Generierung der Email verwendet wird Im Abfrageteil der URL der Teil der dem Zeichen folgt und fett gedruckt ist sind verschiedene Datenelemente enthalten Der Webserver des Herausgeberkanals verwendet diese Datenelemente wenn die URL als HTTP GET Anforderung an den Webserver bertragen wird lt replacement data gt lt item name manager gt JStanley lt item gt lt item name given name gt Joe lt item gt lt item name surname gt the Intern lt item gt lt item name template gt form template xml lt item gt lt item name responder dn gt PERIN TAO novell Provo phb lt item gt lt item name responder dn gt PERIN TAO novell Provo carol lt item gt lt item name subject name gt Joe the Intern lt item gt lt item name association gt 1671b2 ee4246a561 7 192 168 0 1 lt item gt lt item name url base gt https 192 168 0 1 8180 lt item gt lt item name url file gt process template xsl lt item gt lt item name protected data gt rO0OABXNyABlqYXZheC5jJcnlwdG8uU2VhbGVKT2JqZWNOPJY9p2. Identity Manager und NMAS Identity Manager steuert den Einstiegspunkt f r die direkte Aktualisierung des universellen Passworts oder des Verteilungspassworts NMAS steuert den Transfer bei der Passwortsynchronisierung innerhalb des Identit tsdepots In Szenario 1 kann der Identity Manager Treiber f r eDirectory verwendet werden um das NDS Passwort direkt zu aktualisieren Dieses Szenario entspricht im Wesentlichen dem in DirXML 1 x angegebenen Szenario In Szenario 2 Szenario 3 und Szenario 4 wird Identity Manager zur Aktualisierung des universellen Passworts oder des Verteilungspassworts verwendet Identity Manager nimmt ber NMAS Passwort nderungen vor Auf diese Weise kann NMAS andere Passw rter im Identit tsdepot gem den Einstellungen der NMAS Passwortrichtlinie aktualisieren und erweiterte Passwortregeln aus NMAS Passwortrichtlinien bei Passw rtern durchsetzen die mit verbundenen Systemen synchronisiert werden In diesen Szenarios verteilt Identity Manager stets das Verteilungspasswort an die verbundenen Systeme Szenario 2 Szenario 3 und Szenario 4 unterscheiden sich durch die unterschiedlichen Kombinationen der Einstellungen f r die NMAS Passwortrichtlinien und die Identity Manager Passwortsynchronisierung f r jeden verbundenen Systemtreiber 116 Novell Identity Manager 3 0 Administrationshandbuch 5 8 2 Szenario 1 Synchronisierung zwischen zwei Identit tsdepots ber das NDS Passwort Wie bereits
3. gt Timezone SD Abonnieren Title D O synchronisieren KED tollFreePhoneNumber D w Ignorieren SD un Le Benachrichtigen SP unique i O Zur cksetzen GD vehicienormation Zusammenf hrungsstelle lt gt workforcelD Standard ED private key O Identit tsdepot ED public key x O Anwendung 4i T gt O Keine z 4 Damit die Passwortsicherheit gew hrleistet ist m ssen Sie die Kontrolle dar ber behalten wer Zugriffsrechte auf Identity Manager Objekte haben soll Fehlersuche bei Szenario 3 Flussdiagramm f r Szenario 3 auf Seite 138 Probleme bei der Anmeldung bei eDirectory auf Seite 139 Probleme bei der Anmeldung an einem anderen verbundenen System das Passw rter abonniert auf Seite 140 Keine Email Generierung bei Passwortfehlern auf Seite 140 Fehler beim Ausf hren der Task Passwortstatus berpr fen auf Seite 141 e Hilfreiche DSTrace Befehle auf Seite 141 Beachten Sie auch die Tipps in Abschnitt 5 13 Fehlersuche bei der Passwortsynchronisierung auf Seite 169 Passwortsynchronisierung mit verbundenen Systemen 137 Flussdiagramm f r Szenario 3 Das folgende Flussdiagramm zeigt wie NMAS mit dem von Identity Manager empfangenen Passwort verf hrt In diesem Szenario wird das Passwort mit dem Verteilungspasswort synchronisiert dabei trifft NMAS folgende Entscheidungen e Wie das Passwort zu verarbeiten ist und zwar abh ngig davon ob eingehende Passw rter
4. 10 13 2005 8 51 32AM Total pages 8 User ID ablake Approval Flow Workflow Event fecedbe80a3d4abd83c9476a1b576ea2 Date Time Action Initiator ID 9 12 2005 3 20 42PM Workflow Started cn ablake ou users ou idm sam ple Jeff o novell 9 12 2005 3 20 43PM Workflow Forwarded Workflow Administrator 9 12 2005 3 25 43PM Workflow Reassigned Unclaimed 9 12 2005 3 30 44PM Workflow Forwarded Workflow Administrator 97 12 2005 3 30 44PM Workflow Ended Workflow Administrator 9 12 2005 3 30 44PM Workflow Denied System Workflow Event fc6d74b1268243b3b eac52261439dea0 Date Time Action Initiator ID 9 28 2005 9 28 2005 9 28 2005 9 28 2005 9 28 2005 9 28 2005 9 28 2005 9 28 2005 9 28 2005 9 28 2005 9 28 2005 9 28 2005 9 28 2005 12 19PM Workflow Started cn ablake ou users ou idm sam ple Jeff o novell 12 22PM Workflow Forwarded Workflow Administrator 12 23PM Workflow Forwarded Workflow Administrator 12 23PM Workflow Forwarded Workflow Administrator 12 23PM Workflow Forwarded Workflow Administrator 12 23PM Workflow Forwarded Workflow Administrator 12 23PM Workflow Approved System 12 23PM Workflow Approved System 12 23PM Workflow Completed Workflow Administrator 12 27PM Workflow Forwarded Workflow Administrator 12 27PM Workflow Ended Workflow Administrator 12 27PM Provision Submitted Workflow Administrator 12 27PM Provision Granted Workflow Administrator Workflow Event efaa8304e07641edb9 e6375a1a36e396 Date
5. 30020 Resync Driver Channel Driver 30021 Migrate Channel Association Attribute name 30022 Driver Start Driver Set Driver 30023 Driver Stop Driver Stop Driver 30024 Password Sync Channel Object Attribute name 30025 Password Reset Channel dest dn oder asso Attribute name ciation 30026 DirXML Error Channel Object 30027 DirXML Warning Channel Object 30028 Custom Operation Channel 30029 Clear Attribute Channel dest dn oder asso Attribute name ciation 3002A Add Value Modify Entry Channel dest dn oder asso Attribute name ciation 3002B Remove Value Channel dest dn oder asso Attribute name ciation 3002C Merge Entries Channel Object Attribute name 3002D Get Named Password Driver oder Channel Object 3002E Reset Attributes Channel Object Channel 3002F Add Value Add Entry Channel dest dn oder asso Attribute name ciation Tabelle C 2 Engine Ereignis Felder Text1 Title Text2 Title und Text3 Title EventID Description Text1 Title Text2 Title Text3 Title 30001 Status Success Type Status Document Event ID 30002 Status Retry Type Status Document Event ID 30003 Status Warning Type Status Document Event ID 30004 Status Error Type Status Document Event ID 30005 Status Fatal Type Status Document Event ID Identity Manager Ereignisse und Berichte 291 EventID Description Text1 Title Text2 Title Text3 Title 30006 Status Other Type Status Document Event ID 30007 Search Object type Event ID 30008 Add Entry Object type src dn
6. 31541 Create_Proxy_Definition_Failure Tritt bei fehlerhafter Erstellung der Vertre tungsdefinition auf Identity Manager Ereignisse und Berichte 305 EventID Description Triggers 31542 31543 31544 31545 31546 31547 31548 31549 3154A 3154B 3154C 3154D 3154E 3154F Update_Proxy_Definition Success Update_Proxy_Definition_Failure Delete_Proxy_Definition_Success Delete_Proxy_Definition_Failure Create_Delegatee_Definition_Success Create_Delegatee_Definition_Failure Update_Delegatee_Definition_Success Update_Delegatee_Definition_Failure Delete_Delegatee_Definition_Success Delete_Delegatee_Definition_Failure Create_Availability_Success Create_Availability_Failure Delete_Availability_ Success Delete_Availability_Failure C 10 Workflow Die Tabellen enthalten die Benutzeranwendungsereignisse die mit Novell Audit protokolliert werden k nnen Tritt bei erfolgreicher Aktualisierung der Ver tretungsdefinition auf Tritt bei fehlerhafter Aktualisierung der Vertre tungsdefinition auf Tritt bei erfolgreichem L schen der Vertre tungsdefinition auf Tritt bei fehlerhaftem L schen der Vertre tungsdefinition auf Tritt bei erfolgreicher Erstellung der Delegier tendefinition auf Tritt bei fehlerhafter Erstellung der Delegier tendefinition auf Tritt bei erfolgreicher Aktualisierung der Del egiertendefinition auf Tritt bei fehlerhafter Aktualisieru
7. Total Events 121 Report Period 10 13 2005 8 43 50AM Date Time 8 18 2005 8 18 2005 8 18 2005 8 18 2005 8 18 2005 8 23 2005 8 31 2005 8 31 2005 8 31 2005 8 31 2005 8 31 2005 8 31 2005 8 31 2005 8 31 2005 8 31 2005 8 31 2005 8 31 2005 8 31 2005 5 45 17PM 7 07 40PM 7 09 05PM 7 12 50PM 7 13 39PM 4 56 39PM 12 01 55PM 12 02 18PM 12 19 07P M 12 19 31P M 12 27 58P M 12 28 22P M 2 59 39P M 3 24 30P M 8 11 59P M 8 12 23P M 8 12 55PM 8 13 03PM 941 2005 10 29 53AM 9 1 2005 11 31 45AM Page tof 5 Administrator cn adm in ou idm sam ple cts10 0 novell cn adm in ou idm sam ple cts10 0 novell cn adm in ou idm sam ple cts10 0 novell cn adm in ou idm sam ple cts10 0 novell cn adm in ou idm sam ple cts10 0 novell cn adm in ou idm sam ple o novell cn adm in ou idm sam ple o novell cn adm in ou idm sam ple o novell cn adm in ou idm sam ple o novell cn adm in ou idm sam ple o novell cn adm in ou idm sam ple o novell cn adm in ou idm sam ple o novell cn adm in ou idm sam ple o novell cn adm in ou idm sam ple o novell cn adm in ou idm sam ple Jeff o n ovell cn adm in ou idm sam ple Jeff o n ovell cn adm in ou idm sam ple Jeff o n ovell cn adm in ou idm sam ple Jeff o n ovell cn adm in ou idm sam ple Jeff o n ovell cn adm in ou idm sam ple o novell Report Lest Modified Report Generated On 10 43 2005 10513520
8. Versionsabfrage abgeschlossen Dienstag 31 Januar 2006 14 29 Uhr GMT v lt mi OK 2 8 3 Speichern von Versionsinformationen Sie k nnen Versionsinformationen in einer Textdatei auf einem lokalen oder auf einem Netzlaufwerk speichern 1 Klicken Sie in iManager auf Identity Manager gt Identity Manager berblick und anschlie end auf Suchen um zum gew nschten Treibersatz zu wechseln Verwalten von Identity Manager Treibern 27 2 Klicken Sie im Bildschirm Identity Manager berblick auf Informationen Treibersatz DriverSet novell Aktivierung erforderlich bis 1 Mai 2006 B Ausgef hrt auf Server p NO41 W2KS DE NDS novell Delimited Text Treiber hinzuf gen Treiber l schen Informationen gt Sie k nnen auch dentity Manager Dienstprogramme gt Versionsermittlung w hlen den gew nschten Treibersatz ausw hlen und anschlie end auf Informationen klicken 3 Klicken Sie im Dialogfeld Versionsermittlungswerkzeug auf Speichern unter Versionsermittlungswerkzeug Das Identity Manager Versionsermittlungswerkzeug durchsucht Ihren Baum nach Informationen zur Identity Manager Konfiguration Anzeigen Speichern unter Treibersatz und Treiber durchsuchen E IOM DETREE El amp DriverSet novell a NO41 W2K3 DE NDS novell amp Delimited Text 4 Klicken Sie im Dialogfeld zum Herunterladen von Dateien auf Speichern 5 Navigieren Sie zum gew nschten Verzeichnis geben Sie e
9. in iManager festgelegten Globalkonfigurationswerte GCVs f r die Passwortsynchronisierung unwirksam sind Passwortsynchronisierung mit verbundenen Systemen 149 Treiberkonfiguration 1 Stellen Sie sicher dass das Attribut SAS Login Configuration im Filter sowohl f r den Herausgeberkanal als auch f r den Abonnentenkanal auf Synchronisieren eingestellt ist Filter eDirectory Driver TesatDriverSet novell Filter gt Klasse hinzuf gen Attribut bearb L schen Filter kopieren von Schablone festlegen lt gt siteLocation lt gt spouse b gt Surname Anwendungsname gt Telephone Number el KED teletexTerminalldentifier Ver ffentlichen ED retersumber ge Synchronisieren SD Timezone Ignorieren ED Benachrichtigen Title yy gt i Zur cksetzen tollFreePhoneNumber gt UID Abonnieren MD ie B synchronisieren SD ven Ignorieren vehiclelnformation 2 z amp gt Benachrichtigen kforcelD en ee Y Zur cksetzen lt b Private Key SD Public Key Zusammenf hrungsstelle Ce lt gt SAS Login Configuration an i 4 gt Identit tsdepot 2 Konfigurieren Sie die Treiberrichtlinien so dass das Passwort aus dem verbundenen System ver ffentlicht wird 3 Konfigurieren Sie die Treiberrichtlinien f r Hash kodierte Passw rter so dass der Hash Typ dem Passwort vorangestellt wird falls dieser nicht schon von der Anwendung geliefert wird MD5
10. lt input TYPE hidden name auth style sheet value process template xsl gt lt input TYPE hidden name auth template value auth_response xml gt lt input TYPE hidden name protected data value Sprotected data gt lt form if single item name responder dn gt You are lt br gt lt input TYPE hidden name responder dn value Sresponder dn gt Sresponder dn lt form if single item gt lt form if multiple items name responder dn gt Indicate your identity lt br gt lt form menu name responder dn gt lt form if multiple items gt lt td gt lt tr gt lt tr gt lt td gt Enter your password lt br gt lt input name password TYPE password SIZE 20 MAXLENGTH 40 gt lt td gt lt tr gt lt tr gt lt td gt Enter room number for subject name lt br gt lt input TYPE text NAME room number SIZE 20 MAXLENGTH 20 value Squery roomNumber gt lt td gt lt tr gt lt tr gt lt td gt lt input TYPE submit value Submit gt lt input TYPE reset value Clear gt lt td gt lt tr gt lt table gt lt form gt lt body gt lt html gt Die resultierende HTML Seite sieht wie folgt aus lt html gt lt head gt Service Treiber fur manuelle Aufgaben Datenfluss Szenario bei Einstellung eines neuen 343 lt META http equiv Content Type content text html charset UTF 8 gt lt t
11. 3 8 ZMESSAage gt an eee ele Ses de ees RE nn 334 GI lt Stylesheetza ns zn ee ae a e u ee 334 GAO lt template gt 2 2 pinata a ee 334 Gilt ostilename gt es Adel eee ee So Bi A clk Sie ehe te ale 335 G 12 lt replacement data gt 0 00 cette eee 335 GIF lt SFESOUFCEF re kala et ol A DA ok ha el ite ke Mr ek aha ok 335 G 14 lt ttachment2 nimee tele ates Lita ede a eee en em AS 335 Service Treiber fur manuelle Aufgaben Datenfluss Szenario bei Einstellung eines neuen Mitarbeiters 337 H 1 Konfiguration des Abonnentenkanals 0 00 cece eee tenes 337 H 2 Konfiguration des Herausgeberkanals 00 cece nea 337 H 3 Beschreibung des Datenflusses 00 000 c tee 337 Service Treiber fur manuelle Aufgaben Benutzerdefinierte Element Behandlungsroutinen auf dem Abonnentenkanal 351 1 1 Erstellen von URLs zur Verwendung mit dem Webserver des Herausgeberkanals 351 1 2 Erstellen von Nachrichtendokumenten anhand von Formatvorlagen und Schablonendokumenten 22220222 cette 352 1 3 SampleCommandHandler java 2 22 2202 eeene een nennen nenn 352 1 3 1 Kompilieren der SampleCommandHandler Klasse 2 222222 nern 352 1 3 2 Austesten der SampleCommandHandler Klasse 0 000 e eee eee 352 Service Treiber fur manuelle Aufgaben Benutzerdefinierte Servlets fur den Herausgeberkanal 355 J 1 Verwendung des Herausgeberkanals 2000 cece ee
12. Benannte Passw rter Engine Steuerungswerte Verbindung Protokollierumfang Treiber Image Sicherheitsaquivalenzen Filter Filter XML bearbeiten Versch Protokollierumfang Protokolleinstellungen des Treibersatzes TestDriverSet novell verwenden Folgende Protokolleinstellungen entstammen dem Treibersatz und k nnen auf dieser Seite nicht ge ndert werden Um die Treibersatzeinstellungen zu ndern klicken Sie hier Fehler protokollieren Fehler und Warnmeldungen protokollieren Bestimmte Ereignisse protokollieren EA Nur die letzte Protokollzeit aktualisieren Protokollierung aus Protokollierung in Treibersatz Abonnenten und Herausgeberprotokollen deaktivieren Maximale Anzahl der Eintr ge im Protokoll 50 500 co 5 Optional In der Standardeinstellung ist das Treiberobjekt so konfiguriert dass es die Protokolleinstellungen vom Treibersatzobjekt erbt Wenn Sie nur protokollierte Ereignisse fiir diesen Treiber ausw hlen m chten deaktivieren Sie die Option Protokolleinstellungen des Treibersatzes verwenden Protokolleinstellungen des Treibersatzes TestDriverSet novell verwenden Folgende Protokolleinstellungen entstammen dem Treibersatz und k nnen auf dieser Seite nicht ge ndert werden Um die Treibersatzeinstellungen zu ndern klicken Sie hier 6 W hlen Sie die passende Protokollierungsoption f r Ihre Umgebung Option Beschreibung Fehler protokollieren Dies ist der St
13. Es ist z B m glich dass ein Kunde Benachrichtigungen mit MAPI Messaging Application Programming Interface nicht aber mit SMTP versenden muss Wenn Sie nicht SMTP sondern einen anderen Mechanismus zum Versenden von Benachrichtigungen verwenden m chten m ssen Sie eine Java Klasse f r die Verarbeitung eines benutzerdefinierten XML Elements schreiben das auf dem Abonnentenkanal des Treibers bertragen wird Die benutzerdefinierte Java Element Behandlungsroutine muss die Java Schnittstelle com novell nds dirxml driver manualtask CommandHandler implementieren Der Name der benutzerdefinierten Elementklasse ist in den Konfigurationsparametern des Abonnentenkanals unter Zus tzliche Behandlungsroutinen festgelegt Wenn der Abonnentenkanal ein Befehlselement findet pr ft er dessen Tabelle mit den Behandlungsroutinen Wenn er eine Behandlungsroutine f r die Verarbeitung des Befehlselements findet wird es an die Behandlungsroutine weitergeleitet Die Behandlungsroutine f hrt die erforderliche Verarbeitung aus Im Treiber sind zwei Element Behandlungsroutinen integriert jeweils eine Behandlungsroutine f r lt mail gt und lt add gt Elemente Der Autor der benutzerdefinierten Behandlungsroutine kann das benutzerdefinierte Befehlselement nach Bedarf definieren Das lt mail gt Element kann als Vorlage zur Konfiguration des benutzerdefinierten Befehlselements verwendet werden Die benutzerdefinierten Elemente werden anha
14. NMAS ist eine Marke von Novell Inc Novell ist eine eingetragene Marke von Novell Inc in den USA und anderen L ndern Novell Certificate Server ist eine Marke von Novell Inc Novell Client ist eine Marke von Novell Inc SUSE ist eine eingetragene Marke von Novell Inc in den USA und in anderen L ndern Materialien von Drittanbietern Alle Marken von Drittanbietern sind Eigentum ihrer jeweiligen Inhaber Inhalt Informationen zu diesem Handbuch 1 berblick ber die Identity Manager 3 0 Architektur 1 1 1 2 1 3 1 4 Terminologie nderungen im Vergleich zu fr heren Versionen 22 2 0 Identity Manager 24 2 2 ee le EHE DH ars 1 2 1 Metaverzeichnis Engine 00 0c cece eee 1 2 2 Treiberkonfigurationsdateien 0002 tee 1 2 3 Ereignis Cache von Identity Manager 0 0 0 een ernennen 1 2 4 Treiberschnittstellenmodul 0 0 00 cet tenes 1 25 Treibersafzu 02 230 204 22 Ab bane Ferrara sis fond 1 2 6 Treiberobjekt 2 aka era ee He 1 2 7 Herausgeber und Abonnentenkan le 00000 een nn 1 2 8 Ereignisse und Befehle tiu 4 24 essen Ra Be ns 1 2 9 Richtlinien und Filter 2 4 2 bie nenn 1 2 10 Verkn pfungen in 2 22 22 he Biss lehrer ar nen Benutzeranwendung 2 2222 eeen nennen nennen nennen nenn Designer 4 ar TR RE dea Das 2 Verwalten von Identity Manager Treibern 2 1 2 2 2 3 2 4 2 5 2 6 2 7 2 8
15. Time Action Initiator ID 10 12 2005 11 58 134M Workflow Started cn ablake ou users ou idm sam ple qatest o novell 10 12 2005 11 58 134M Workflow Forwarded Workflow Administrator Workflow Event ea341eb112a824 e669 e356837745fe264 Date Time Action Initiator ID 9 27 2005 4 24 44PM Workflow Started cn m m ackenzie ou users ou idm sam ple Jeff o novell 9 27 2005 4 24 44P M Workflow Forwarded Workflow Administrator 1 1 2 2 2 2 2 2 2 2 2 2 2 Page t of amp Specific User Audit Trail 314 Novell Identity Manager 3 0 Administrationshandbuch Abbildung C 5 Specific User Audit Trail 2 Self Service Date Time 9 12 2005 10 37 16AM 9 12 2005 10 37 394M 9 12 2005 12 48 28PM 9 12 2005 12 48 45PM 9 15 2005 5 00 44PM 9 22 2005 2 00 49PM Page 7 of 7 Paget oft Action Search Request Search Request Change Password Change Password Search Request Search Request cn ablake ou users ou idmsample Success Jeff o novell cn ablake ou susers ou idmsample Success Jeff o novell Results Success Success Success Success SelfSemicesSub rpt Specific User Audit Trail Identity Manager Ereignisse und Berichte 315 Abbildung C 6 Specific User Audit Trail 3 Administrative Actions Date Time Administrator 9 28 2005 2 27 10PM cn adm in ou idm sample o nov ell 10 5 2005 5 22 37PM cn adm in ou idm sam ple o nov ell Paget oft Subject cn ablake ou
16. berpr fen ausf hrt Nicht alle Treiber unterst tzen die Passwort berpr fung Bei Treibern die diese Funktion unterst tzen muss dies im Treibermanifest vorgesehen sein iManager verhindert die bergabe von Operationen zum berpr fen von Passw rtern an Treiber bei denen diese Funktion im Treibermanifest nicht vorgesehen ist Die Aktion Objektpasswort berpr fen berpr ft das Verteilungspasswort Wenn das Verteilungspasswort nicht aktualisiert wird meldet die Aktion Objektpasswort berpr fen eventuell dass die Passw rter nicht synchronisiert sind Das Verteilungspasswort wird in den folgenden Situationen nicht aktualisiert e Sie verwenden die in Abschnitt 5 8 2 Szenario 1 Synchronisierung zwischen zwei Identit tsdepots ber das NDS Passwort auf Seite 117 beschriebene Synchronisierungsmethode e Sie synchronisieren das universelle Passwort wie in Abschnitt 5 8 3 Szenario 2 Synchronisieren unter Verwendung des universellen Passworts auf Seite 119 beschrieben haben jedoch in der Passwortrichtlinie nicht die Konfigurationsoption f r das Synchronisieren des universellen Passworts mit dem Verteilungspasswort aktiviert Passwortsynchronisierung mit verbundenen Systemen 155 Hinweis Denken Sie daran dass die Aktion Passwortstatus berpr fen f r das Identit tsdepot das NDS Passwort anstelle des universellen Passworts berpr ft Wenn also in der Passwortrichtlinie des Benutzer
17. files user log Geben Sie den Namen der Ausgabedatei an die die Ergebnisse enthalten soll Beispiele NetWare sys files user log Windows c files user log Linux files user log Legt die mit Novell Audit zu protokollierenden Ereignisse fur den Treiber fest Die Ganzzahl ist die Option f r das zu protokollierende Ereignis Tabelle A 6 auf Seite 273 enth lt die f r diesen Vorgang g ltigen Ganzzahlen L scht alle mit Novell Audit protokollierten Ereign isse f r den Treiber Verkn pft einen Treibersatz mit dem Server L scht die Verkn pfung zwischen Treiber und Server Gibt die installierte Version von Identity Manager an F hrt eine interne Initialisierung der Daten f r ein neues Treiberobjekt aus Dies dient nur zu Testzwecken Legt benannte Passw rter f r das Treiberobjekt fest Geben Sie den Namen das Passwort und die Beschreibung des benannten Passworts an L scht ein angegebenes benanntes Passwort L scht alle benannten Passw rter die f r einen bestimmten Treiber festgelegt wurden DirXML Befehlszeilenprogramm 277 278 Novell Identity Manager 3 0 Administrationshandbuch Konfigurationsoptionen f r einen Remote Loader Mit den in der folgenden Tabelle aufgef hrten Optionen k nnen Sie einen Remote Loader konfigurieren Tabelle B 1 Remote Loader Optionen Parameter Option Kurzform Beschreibung address IP Adresse Java Klassen name class cl Dieser Parameter ist
18. generiert Tritt auf wenn ein Ereignis zum Zur cksetzen eines Dokuments an den Herausgeber oder Abon nentenkanal gesendet wird Tritt auf wenn beim Erstellen eines Objekts ein Wert hin zugef gt wird Tabelle C 5 Serverereignis Felder Originator Title Target Title und Subtarget Title EventID Description Originator Title Target Title Subtarget Title 307D0 Config Log Events Server Driver Attribute name 307D1 Config Driver Server Driver Attribute name Cache Limit 307D2 Config Driver Set Server Server Attribute name 307D3 Config Driver Start Server Driver Attribute name Option 307D4 Driver Resync Server Driver 307D5 Migrate Applica Server Driver tion Server Identity Manager Ereignisse und Berichte 299 EventID Description Originator Title Target Title Subtarget Title 307D6 Shim Password Set Server Driver Attribute name 307D7 Keyed Password Server Driver Set 307D8 Remote Loader Server Driver Attribute name Password Set Tabelle C 6 Serverereignis Felder Text1 Title Text2 Title und Text3 Title EventID Description Text1 Title Text2 Title Text3 Title 307D0 Config Log Events Operation 307D1 Config Driver Cache Limit 307D2 Config Driver Set Driver Set Type 307D3 Config Driver Start Message Option 307D4 Driver Resync 307D5 Migrate Applica tion Server 307D6 Shim Password Set 307D7 Keyed Password Type Set 307D8 Remote Loader Password Set Tabelle C 7 Serverereignis Felder Valuel Title Value2 T
19. vorhanden ist F 3 lt form if multiple items gt Das form if multiple items Element wird f r die bedingte Dateneingabe in das Ausgabedokument verwendet Der Inhalt von form if multiple items wird nur verarbeitet wenn das angegebene Element mehrmals in den Ersetzungsdaten vorhanden ist Attribute name Gibt den Namen des Ersetzungsdatenelements an Wenn das Ersetzungsdatenelement mehrmals vorhanden ist wird der Inhalt von form if multiple items verarbeitet Beispiel lt form if multiple items name responder dn gt lt form menu name responder dn gt lt form if multiple items gt In diesem Beispiel wird ein HTML SELECT Element siehe lt form menu gt erzeugt wenn mehrere Ersetzungsdatenelemente namens responder dn vorhanden sind F 4 lt form if single item gt Das form if single item Element wird f r die bedingte Dateneingabe in das Ausgabedokument verwendet Der Inhalt des form if item exists Elements wird nur verarbeitet wenn das angegebene Element genau einmal in den Ersetzungsdaten vorhanden ist 330 Novell Identity Manager 3 0 Administrationshandbuch Attribute name Gibt den Namen des Ersetzungsdatenelements an Der Inhalt des form if single item Elements wird nur verarbeitet wenn das angegebene Element genau einmal in den Ersetzungsdaten vorhanden ist Beispiel lt form if single item name responder dn gt lt input TYPE hidden name responder dn v
20. 2 9 2 10 2 11 2 12 Erstellen und Konfigurieren von Treibern 2 22 c cases rennen rennen 2 1 1 2 1 2 Erstellen von Treiberobjekten 22 2 n seen ect tee nn Erstellen mehrerer Treiber 22 22 cc ccc ccc eee eee Verwalten von DirXML 1 1a Treibern in einer Identity Manager Umgebung Upgrade einer Treiberkonfiguration von DirXML 1 1 auf ein Identity Manager Format Starten Stoppen oder Neustart eines Treibers 2 22 22 een ee Treiberparameleri T r a anne Globalkonfigurationswerte 2 222 2ne een ene Verwenden des DirXML Befehlszeilenprogramms 2000 e eee eee eeee Anzeigen von Versionsinformationen 000 cece eee tees 2 8 1 2 8 2 2 8 3 Anzeigen einer hierarchischen Struktur der Versionsinformationen Anzeigen der Versionsinformationen als Textdatei 222 2222er Speichern von Versionsinformationen 2 2222er nern Verwenden benannter Passw rter 0 000000 ccc ee een ee 2 9 1 2 9 2 2 9 3 2 9 4 Konfigurieren benannter Passw rter in Designer 222222 n nennen Konfigurieren benannter Passw rter in iManager 2 2222er Verwenden benannter Passw rter in Treiberrichtlinien 00 Konfigurieren benannter Passw rter mit dem DirXML Befehlszeilenprogramm Treiberobjekt einem Server erneut zuordnen 22 222 ce ernennen Verwenden des Treiber Heartbeats 1 0 0 see
21. 8 2 2 berblick In diesem Abschnitt ist beschrieben wie sich die verschiedenen Funktionen des Treibers nutzen lassen e Betriebsarten auf Seite 224 Erstellung von Emails und Webseiten durch den Service Treiber f r manuelle Aufgaben auf Seite 225 Schablonen auf Seite 226 Ersetzungs Token auf Seite 228 Ersetzungsdaten auf Seite 229 Aktionselemente der Schablone auf Seite 229 Abonnentenkanal Emails auf Seite 229 Webserver des Herausgeberkanals auf Seite 231 Betriebsarten Es werden zwei prim re Betriebsarten unterst tzt e Direkte Datenanforderung Ein Benutzer wird durch eine Email aufgefordert Daten in eDirectory einzugeben die eventuell von einer anderen Anwendung verarbeitet werden sollen Der Email Empf nger beantwortet die Email indem er auf eine URL in der Nachricht klickt Die URL verweist auf einen Webserver der auf dem Herausgeberkanal des Service Treibers f r manuelle Aufgaben l uft Der Benutzer interagiert dann mit den dynamischen Webseiten die der Webserver zur Authentifizierung gegen ber eDirectory und zum Eingeben der angeforderten Daten erzeugt Ereignisbenachrichtigung Eine Email wird an einen Benutzer gesendet ohne dass der Herausgeberkanal daran beteiligt ist Bei der Email kann es sich nur die Benachrichtigung handeln dass in eDirectory ein Ereignis eingetreten ist oder es k nnte sich um eine Datenanforderung ber eine Methode handeln die nic
22. Abschnitt 2 8 2 Anzeigen der Versionsinformationen als Textdatei auf Seite 26 e Abschnitt 2 8 3 Speichern von Versionsinformationen auf Seite 27 2 8 1 Anzeigen einer hierarchischen Struktur der Versionsinformationen 1 Klicken Sie in iManager auf Identity Manager gt Identity Manager berblick und anschlie end auf Suchen um zum gew nschten Treibersatz zu wechseln Verwalten von Identity Manager Treibern 23 2 Klicken Sie im Bildschirm Identity Manager berblick auf Informationen Treibersatz Driverset novell Aktivierung erforderlich bis 1 Wai 2006 E Identit ts depot Ausgef hrt auf Server NO41 W2K3 DE NDS novell Delimited Text gt Sie k nnen auch dentity Manager Dienstprogramme gt Versionsermittlung w hlen den gew nschten Treibersatz ausw hlen und anschlie end auf OK klicken 3 Zeigen Sie die Versionsinformationen auf oberster Ebene oder in komprimierter Form an Versionsermittlungswerkzeug Das Identity Manager Versionsermittlungswerkzeug durchsucht Ihren Baum nach Informationen zur Identity Manager Konfiguration __Anzeigen _ Speichern unter Treibersatz und Treiber durchsuchen E IDM DETREE El Gy DriverSet novell E NO41 W2K3 DE NDS novell amp Delimited Text In der komprimierten hierarchischen Ansicht wird Folgendes angezeigt e Die eDirectory Baumstruktur f r die Sie authentifiziert sind Der ausgew hlte Treibersatz e Server die dem Treibersatz zugeor
23. Anwendung Anwendung Systems Anwendung akzeptiert akzeptiert unterst tzt Anwendung stellt Festlegen eines 5 x Passwort bereit Ausgangspassworts Bearbeitung eines Passwortpr fun Synchronisierung Passworts g Text mit Begren Nein Nein Nein Nein zungszeichen Exchange 5 5 Nein Nein Nein Nein PeopleSoft 3 6 Nein Nein Nein Nein PeopleSoft 4 0 Nein Nein Nein Nein SAP HR Nein Nein Nein Nein 8Der Identity Manager Treiber fiir Text mit Begrenzungszeichen verf gt im Treiberschnittstellenmodul tiber keine Funktionen die eine Passwortsynchronisierung direkt unterst tzen Der Treiber kann jedoch in Abh ngigkeit von dem verbundenen System mit dem die Synchronisierung erfolgt f r die Verarbeitung von Passw rtern konfiguriert werden 88 Novell Identity Manager 3 0 Administrationshandbuch 5 2 4 Systeme die keine Passwortsynchronisierung unterst tzen Die folgenden verbundenen Systeme sind nicht zur Verwendung mit der Passwortsynchronisierung vorgesehen Tabelle 5 5 Systeme die keine Passwortsynchronisierung unterst tzen Abonnentenkanal Abonnentenkanal une Herausgeberkanal Treiber des verbundenen 5 Anwendung Anwendung Systems Anwendung akzeptiert akzeptiert unterst tzt Anwendung stellt Festlegen eines a p Passwort bereit Ausgangspassworts Bearbpli ngielnee _Passwortpr fun Synchronisierung Passworts g Avaya PBX Nein Nein Nein Nein Berechtigungs Ser Nein Nein Nein Nein vice Treiber LoopBack Se
24. Die Kurzanleitungen und der Novell Audit 1 0 3 Administration Guide Novell Audit 1 0 3 Administrationshandbuch k nnen auch im Internet auf der Website zur Audit Novell Dokumentation http www novell com documentation nsureaudit angezeigt werden 10 4 Konfiguration der Protokollierung In Identity Manager k nnen Sie die zu protokollierenden Ereignisse konfigurieren indem Sie mehrere vordefinierte Stufen verwenden oder jedes zu protokollierende Ereignis einzeln ausw hlen Auch nderungen an den Konfigurationseinstellungen werden protokolliert Benutzerdefinierte Ereignisse die in Abschnitt 10 4 2 Benutzerdefinierte Ereignisse auf Seite 256 erl utert sind werden bei aktivierter Protokollierung immer protokolliert und nie von der Metaverzeichnis Engine gefiltert Die Protokollierung wird f r einen Treibersatz oder f r einen einzelnen Treiber konfiguriert Treiber k nnen die Konfiguration der Protokollierung vom Treibersatz erben Weitere Informationen zu den eDirectory Attributen die Protokolldaten enthalten finden Sie in Abschnitt 10 4 3 eDirectory Objekte auf Seite 258 In der Standardeinstellung werden nur kritische und benutzerdefinierte Ereignisse protokolliert 10 4 1 Auswahl der zu protokollierenden Ereignisse Sie k nnen Ereignisse f r einen Treibersatz oder f r einen bestimmten Treiber ausw hlen Protokollierung von Ereignissen f r den Treibersatz 1 W hlen Sie in iManager Identity Manager g
25. Die bidirektionale Passwortsynchronisierung erm glicht eDirectory und verbundenen Systemen Passw rter auf verschiedene Arten gemeinsam zu nutzen Dies wird in den Szenarios in Abschnitt 5 8 Implementierung der Passwortsynchronisierung auf Seite 115 beschrieben Durch das universelle Passwort und die Passwortrichtlinien k nnen Sie die Verwendung von sicheren Passw rtern erzwingen Verwenden Sie dazu die erweiterten Passwortregeln in den Passwortrichtlinien Mit diesen befolgen Sie die in der Softwarebranche g ngigen Best Practices f r Passw rter Sie k nnen beispielsweise festlegen dass Benutzerpassw rter folgende Regeln einhalten m ssen Passw rter m ssen eindeutig sein Sie k nnen verhindern dass Benutzer Passw rter wiederverwenden und die Anzahl der Passw rter festlegen die das System f r Vergleiche in der Verlaufsliste speichern soll Ein Passwort muss eine Mindestl nge haben Lange Passw rter verwenden zu m ssen ist eine der besten M glichkeiten sie sicherer zu machen Ein Passwort muss eine Mindestanzahl an numerischen Zeichen enthalten Wenn sich mindestens ein numerisches Zeichen in einem Passwort befindet sch tzt dies vor W rterbuchattacken bei denen unbefugte Benutzer versuchen sich durch die Verwendung von W rtern aus dem W rterbuch beim System anzumelden Bestimmte Passw rter ausschlie en Sicherheit Best Practices 215 Sie k nnen W rter ausschlie en die Sie als
26. add association auf vorhandene Gruppenmitgliedschaftsberechtigungen Gruppenmitgliedschaftsberechtigungen die f r in Active Directory erstellte Benutzer gelten k nnen erst verarbeitet werden nachdem der Benutzer erfolgreich erstellt wurde add association signalisiert dass vom Treiber ein Objekt in Active Directory erstellt wurde Wenn das Objekt dar ber hinaus f r eine Gruppenberechtigungsverarbeitung vorgemerkt ist wird diese Verarbeitung jetzt ausgef hrt Event Transform Herausgeberkanal Die Regel Disallow User Account Delete in dieser Richtlinie bewirkt dass das L schen eines Benutzerkontos im Identit tsdepot nicht zul ssig ist Bei Verwendung der Benutzerkontoberechtigung werden die verwalteten Benutzerkonten durch die Berechtigung im Identit tsdepot kontrolliert Ein L schvorgang in Active Directory l scht nicht das kontrollierende Objekt im Identit tsdepot Durch eine sp tere nderung des Objekts im Identit tsdepot oder eine Zusammenf hrungsoperation k nnte das Konto in Active Directory neu erstellt werden Befehl Abonnentenkanal Die Befehlsrichtlinie enth lt folgende Regeln die f r Berechtigungen relevant sind Die Regel User Account Entitlement Change Delete Option ber die Benutzerkontoberechtigung wird dem Benutzer in Active Directory ein aktiviertes Konto erteilt Durch Entziehen der Berechtigung wird das Konto in Active Directory deaktiviert oder gel scht in Abh ngigkeit
27. ber die Identity Manager 3 0 Architektur 11 im Policy Builder and Driver Customization Guide Handbuch zum Richtlinien Builder und zur Treiberanpassung Die Synchronisierungs Engine wendet alle Richtlinientypen auf das Quelldokument an Die F higkeit diese Transformationen auszuf hren ist eine der leistungsst rksten Funktionen von Identity Manager Die Transformation der Daten erfolgt in Echtzeit w hrend sie vom Identit tsdepot und den verbundenen Systemen gemeinsam genutzt werden 1 2 2 Treiberkonfigurationsdateien Bei den Treiberkonfigurationen handelt es sich um vorkonfigurierte XML Dateien die in Identity Manager enthalten sind Sie k nnen diese Konfigurationsdateien ber die Assistenten in iManager und in Designer importieren Diese Treiberkonfigurationen enthalten Beispielrichtlinien Sie sind nicht f r die Verwendung in einer Produktionsumgebung vorgesehen sondern dienen als Schablonen die Sie ndern k nnen 1 2 3 Ereignis Cache von Identity Manager Alle ber eDirectory generierten Ereignisse werden bis zu ihrer erfolgreichen Verarbeitung in einem Ereignis Cache gespeichert Dadurch ist gew hrleistet dass bei einer schlechten Verbindung einem Verlust der Systemressourcen der Nichtverf gbarkeit eines Treibers oder bei anderen Netzwerkfehlern keine Daten verloren gehen 1 2 4 Treiberschnittstellenmodul Das Treiberschnittstellenmodul dient als Kanal f r den Austausch von Informationen zwischen dem verbundenen
28. berzeugen Sie sich davon dass die Verwendung des universellen Passworts in Ihrer Umgebung m glich ist Weitere Informationen hierzu finden Sie in Abschnitt 5 4 Vorbereitungen zur Nutzung der Identity Manager Passwortsynchronisierung und des universellen Passworts auf Seite 100 2 Erstellen Sie einen Treiber oder ersetzen Sie die Konfiguration eines bereits vorhandenen Treibers durch die Konfiguration von Identity Manager 3 Die Identity Manager Konfigurationen enthalten die Identity Manager Richtlinien und weitere Elemente die f r die Identity Manager Passwortsynchronisierung erforderlich sind Informationen zum Importieren der neuen Beispiel Treiberkonfigurationen finden Sie in den entsprechenden Treiberhandb chern von Identity Manager http www novell com documentation beta dirxmldrivers Passwortsynchronisierung mit verbundenen Systemen 103 3 Aktivieren Sie das universelle Passwort f r Benutzer indem Sie NMAS Passwortrichtlinien mit aktiviertem universellem Passwort erstellen Informationen hierzu finden Sie im Kapitel Creating Password Policies im Password Management Administration Guide http www novell com documentation password management index html Administrationshandbuch zur Passwortverwaltung Beachten Sie bitte die zus tzlichen Arbeitsschritte im Kapitel NetWare 6 5 Only Re Creating Universal Password Assignments des Password Management Administration Guide Administrationshandbuch zur P
29. erkennt und importiert die Konsole vorhandene Instanzen des Remote Loader Damit die Treiberkonfiguration automatisch importiert werden kann m ssen Sie sie im Remote Loader Verzeichnis speichern blicherweise ist dies c novell remoteloader Anschlie end k nnen Sie die Remote Treiber ber die Konsole verwalten Klicken Sie zum Starten der Remote Loader Konsole auf das Symbol Remote Loader Konsole auf Ihrem Desktop Abbildung 3 3 Symbol Remote Loader Konsole Einrichten eines verbundenen Systems 53 ber die Remote Loader Konsole k nnen Sie die Instanzen eines Remote Loader Service starten stoppen hinzuf gen entfernen und bearbeiten Abbildung 3 4 Die Remote Loader Konsole rd Remote Loader Konsole i x m Remote Loader Instanzen Status Beschreibung Typ Starteri Trace eim Trace aus Hinzuf gen jearbeiten Entfernen Eigenschaften Wenn Sie dirxml_remote exe an der Befehlszeile ohne weitere Parameter eingeben wird der Anwendungsassistent des Remote Loader gestartet Hinweis Wenn Sie den Assistenten und die Konsole zusammen verwenden kann dies zu Fehlern f hren Es wird daher empfohlen dass Sie in Zukunft die Remote Loader Konsole verwenden und Ihre vorhandenen Konfigurationen in die Konsole integrieren Hinzuf gen einer Remote Loader Instanz Klicken Sie zum Hinzuf gen einer Remote Loader Instanz auf Hinzuf gen und geb
30. gleich yes ist wird den erstellten INPUT Elementen mit dem Stringwert des Ersetzungsdatenelements ein Attribut vom Typ value hinzugef gt Wenn der Wert des Attributs ungleich yes ist wird der Inhalt der erstellten INPUT Elemente auf den Stringwert des Ersetzungsdatenelements gesetzt Beispiel lt form input name responder dn TYPE hidden value yes gt erstellt ein oder mehrere INPUT Elemente mit einer ahnlichen Struktur wie lt INPUT name responder dn TYPE hidden value PERIN TAO novell phb gt Service Treiber fur manuelle Aufgaben Aktionselemente der Schablone 329 F 2 lt form if item exists gt Das lt form if item exists gt Element wird f r die bedingte Dateneingabe in das Ausgabedokument verwendet Der Inhalt des lt form if item exists gt Elements wird nur verarbeitet wenn das angegebene Element Teil der Ersetzungsdaten ist Attribute Name Gibt den Namen des Ersetzungsdatenelements an Wenn ein oder mehrere Beispiele des Ersetzungsdatenelements vorhanden sind werden die Inhalte des lt form if item exists gt Elements verarbeitet Beispiel lt form if item exists name post status message gt lt tr gt lt td gt Status message was post status message lt td gt lt tr gt lt form if item exists gt In diesem Beispiel wird nur dann eine Zeile in eine HTML Tabelle eingef gt wenn ein Ersetzungsdatenelement namens post status message
31. lt token association gt und lt token attr gt sind im Grunde genommen Platzhalter f r XPATH Ausdr cke die die Attributwerte src dn association oder attr aus einem XDS formatierten XML Dokument extrahieren Die DTD geht davon aus dass das Abfrageergebnis in XDS vorliegt Weitere Kopfzeilen in der DTD Auch die brigen Berechtigungskopfzeilen in der Berechtigungs DTD erf llen bestimmte Funktionen spielen jedoch beim Erstellen einer Berechtigung zun chst keine Rolle lt Entitlement reference stored in the DirXML EntitlementRef attribute of a DirXML EntitlementRecipient or a DirXML SharedProfile object gt Die in der DTD unter Entitlement reference enthaltenen Informationen verweisen auf ein Berechtigungsobjekt Diese Informationen werden vom zust ndigen Verwaltungsagenten an dieser Stelle eingef gt z B vom funktionsbasierten Berechtigungstreiber Entitlement xml oder vom Genehmigungsablauftreiber UserApplication xml Dies ist das ausl sende Ereignis f r eine Aktion in einem verbundenen System Sie m ssen in der DTD unter dieser Kopfzeile nichts ver ndern k nnen diese Informationen jedoch verwenden um sicherzustellen dass auf das Berechtigungsobjekt verwiesen wird lt Entitlement result stored in the DirXML EntitlementResult attribute of a DirXML EntitlementRecipient object gt Der Abschnitt unter Entitlement result erh lt Ang
32. response style sheet value process template xsl gt lt input TYPE hidden name response template value post_response xml gt lt input TYPE hidden name auth style sheet value process template xsl gt Verwalten von Engine Services 227 lt input TYPE hidden name auth template value auth _response xml gt lt input TYPE hidden name protected data value Sprotected data gt You are lt br gt lt form if single item name responder dn gt lt input TYPE hidden name responder dn value S responder dn gt Sresponder dn lt form if single item gt lt form if multiple items name responder dn gt lt form menu name responder dn gt lt form if multiple items gt lt td gt lt tr gt lt tr gt lt td gt Enter your password lt br gt lt input name password TYPE password SIZE 20 MAXLENGTH 40 gt lt td gt lt tr gt lt tr gt lt td gt Enter room number for subject name lt br gt lt input TYPE text NAME room number SIZE 20 MAXLENGTH 20 value Squery roomNumber gt lt td gt lt tr gt lt tr gt lt td gt lt input TYPE submit value Submit gt lt input TYPE reset value Clear gt lt td gt lt tr gt lt table gt lt form gt lt body gt lt html gt Die folgende Schablone wird fiir die Erzeugung eines XDS Dokuments verwendet lt nds gt lt input gt lt modify clas
33. rkomponente rdxml bereitgestellt Diese Komponente befindet sich im Verzeichnis usr bin Unter Windows ist das Standardverzeichnis c novell RemoteLoader So starten Sie Remote Loader 1 Legen Sie das Passwort fest Plattform Befehl Windows dirxml remote config Pfad_zur_Konfigurationsdatei sp Passwort Passwort Solaris Linux AIX rdxml config Pfad_zur_Konfigurationsdatei sp Passwort Passwort HP UX AS 400 OS dirxml jremote config Pfad_zur_Konfigurationsdatei sp Passwort 390 z OS Passwort Einrichten eines verbundenen Systems 65 Option Kurzform Parameter Beschreibung password p Passwort setpass sp Passwort words Passwort 2 Starten Sie den Remote Loader Gibt das Passwort f r die Befehlsauthentifizierung an Dieses Passwort muss dasselbe Passwort sein das mit setpasswords f r die Loader Instanz angegeben wurde die Ziel der Befehle ist Wenn eine Befehlsoption z B unload oder tracechange angegeben die Option password jedoch nicht angegeben wird wird der Benutzer aufgefordert das Passwort f r den Loader ein zugeben der Ziel des Befehls ist Beispiel password novell4 p novell4 Gibt das Passwort der Remote Loader Instanz und das Passwort des Identity Manager Treiberobjekts des Remote Schnittstellenmoduls an mit dem der Remote Loader kommuniziert Das erste Passwort im Argument ist das Passwort f r den Remote Loader Das zweite Passwort in den optionalen Argumenten
34. sung wenn die Berechtigung demselben Objekt mehrmals zugewiesen wird Das Attribut union f hrt die Berechtigungen der funktionsbasierten Berechtigungsrichtlinien zusammen sodass die Berechtigung auch dann erteilt wird wenn eine Richtlinie die Berechtigung entzieht die andere Richtlinie sie jedoch erteilt Die Beschreibung gibt an dass die Berechtigung f r den Benutzer in Microsoft Exchange ein Exchange Postfach erteilt oder dieses entzieht Damit ist die Aufgabe dieser Berechtigung hinreichend genau beschrieben Der durch das Attribut display name definierte Name lautet Exchange Mailbox Entitlement Exchange Postfach Berechtigung und wird in den Verwaltungsagenten angezeigt z B in iManager f r funktionsbasierte Berechtigungen Dieser Name ist der relative eindeutige Name Relative Distinguished Name RDN der Berechtigung Wenn Sie keinen Anzeigenamen definieren wird der RDN als Name f r die Berechtigung verwendet Anhand der anf nglichen Abfragewerte wird der Container Configuration und seine Teilb ume nach dem Klassennamen von msExchPrivateMDB ein Funktionsaufruf aus Microsoft Exchange Diese Werte stammen von der verbundenen Active Directory Datenbank und die Anwendungsabfrage beginnt beim Tag lt nds gt Zur Klasse msExchPrivateMDB gibt es in eDirectory kein Gegenst ck sodass Sie sich gut mit Funktionsaufrufen in Microsoft Exchange auskennen m ssen um eine entsprechende Abfrage durchf hren
35. window ffnet oder schlie t das Trace Fenster in einer Remote Loader Instanz Nur Windows Einstellen von Umgebungsvariablen unter Solaris Linux oder AIX Nach der Installation des Remote Loader k nnen Sie die Umgebungsvariable RDXML PATH einrichten die das aktuelle rdxml Verzeichnis ndert Dieses Verzeichnis wird dann als Basispfad fiir die nachfolgend erstellten Dateien verwendet Geben Sie zum Einrichten des Werts der Variable RDXML_ PATH die folgenden Befehle ein set RDXML_ PATH path export RDXML_ PATH Starten des Remote Loader e Starten des Remote Loader unter Windows auf Seite 64 Starten des Remote Loader von der Befehlszeile aus auf Seite 65 Starten des Remote Loader unter Windows So f hren Sie den Remote Loader unter Windows aus Abbildung 3 13 Symbol Remote Loader Konsole 64 Novell Identity Manager 3 0 Administrationshandbuch 1 Klicken Sie auf das Symbol Remote Loader Konsole auf dem Desktop Abbildung 3 14 Die Remote Loader Konsole Remote Loader Konsole o B m Remote Loader Instanzen Status Beschreibung Typ Idapdr Starten Trace em Trace aus Hinzuf gen Bearbeiten Entfernen Eigenschaften PA LL Hilfe 2 Wahlen Sie eine Treiber Instanz aus und klicken Sie anschlieBend auf Starten Starten des Remote Loader von der Befehlszeile aus Unter Solaris Linux oder AIX wird die Remote Loader Funktionalitat ber die Bin
36. 0 Administrationshandbuch Abbildung 6 7 Treibersatz Identit ts depot Entitlements Service Driver LDAP UserApplication 2 Klicken Sie auf die Schaltfl che f r den Treiberstatus und w hlen Sie Treiber anhalten 3 Klicken Sie auf das Symbol f r den Treiber der die gew nschte Berechtigung enth lt Eine Seite mit Symbolen f r die Richtlinien des Treibers und f r den Treiber selbst wird angezeigt Klicken Sie in der Mitte der Seite auf das Symbol Alle Berechtigungen anzeigen rot eingekreist Identity Manager Treiber berblick Treiber Active Directory TestDriverSet novell 4 Klicken Sie auf der Seite Berechtigungen verwalten auf den Namen der Berechtigung um die Berechtigung im XML Viewer zu ffnen 5 Aktivieren Sie das Kontrollk stchen XML Bearbeitung aktivieren 6 Suchen Sie in der XML Datei nach der Definition der Berechtigung die Sie ndern m chten Hier ein Beispiel f r die Zeile auf die es ankommt Erstellung und Verwendung von Berechtigungen 207 lt entitlement conflict resolution union description Grants membership to GroupWise Distribution lists display name GroupWise Distribution Lists name qwDistLists gt 7 ndern Sie den Wert conflict resolution Die beiden folgenden Werte sind m glich conflict resolution union conflict resolution priority Informationen zu diesen Werten finden Sie unter Konfliktl sung zwischen funktionsbasierten Berechtigun
37. 31531 Provision_Granted Activity Process ID 31532 Provision_Revoked Activity Process ID 31533 Workflow_Retracted Activity Process ID Secondary User Tabelle C 27 Workflow Felder Value3 Title Value3 Type und Data Title EventID Description Value3 Title Value3 Type Data Title 31520 Workflow_Error Error Number Boolean stacktrace 31521 Workflow_Started 31522 Workflow_Forwarded 31523 Workflow_Reassigned 31524 Workflow_Approved Secondary User Type 31525 Workflow_Refused Secondary User Type 31526 Workflow_Ended 31527 Workflow_Claimed Secondary User Type 31528 Workflow_Unclaimed Secondary User Type 31529 Workflow_Denied Secondary User Type 3152A Workflow_Completed 3152B Workflow_Timedout 3152C User_Message 3152D Provision_Error Error Number Boolean stacktrace 3152E Provision_Submitted 3152F Provision_Success 31530 Provision_Failure 31531 Provision_Granted 31532 Provision_Revoked 308 Novell Identity Manager 3 0 Administrationshandbuch EventID Description Value3 Title Value3 Type Data Title 31533 Workflow_Retracted Tabelle C 28 Workflow Felder Data Type und Triggers Secondary User Type EventID Description Data Type Triggers 31520 Workflow_Error String Viele Elemente k nnen dieses Ereignis ausl sen 31521 Workflow_Started Tritt auf wenn der Workflow gestartet wird 31522 Workflow_Forwarded Tritt auf wenn der Workflow weitergele itet wird 31523 Workflow_Reassigned Tritt auf wenn der Wo
38. 32 Novell Identity Manager 3 0 Administrationshandbuch 3 Geben Sie 3 f r Treibervorg nge ein Es wird eine nummerierte Liste mit Treibern angezeigt 4 Geben Sie die Nummer des Treibers ein dem Sie ein benanntes Passwort hinzuf gen m chten Es wird eine Liste mit folgenden Optionen angezeigt Select a driver operation for driver_name 1 Start driver 2 Stop driver 3 Get driver state 4 Get driver start option 5 Set driver start option 6 Resync driver 7 Migrate from application into DirXML 8 Submit XDS command document to driver 9 Check object password 10 Initialize new driver object 11 Passwords operations 12 Cache operations 99 Exit Enter choice 5 Geben Sie 11 f r Passwortvorg nge ein Es wird eine Liste mit folgenden Optionen angezeigt Select a password operation Set shim password Reset shim password Set named password Clear named password s List named passwords Exit Ook WN FR Enter choice 6 Geben Sie 3 ein um ein neues benanntes Passwort festzulegen Es wird die folgende Eingabeaufforderung angezeigt Enter password name 7 Geben Sie den Namen des benannten Passworts ein 8 Geben Sie das eigentliche Passwort das Sie sch tzen m chten an der folgenden Eingabeaufforderung ein Enter password Die Zeichen die Sie f r das Passwort eingeben werden nicht angezeigt Verwalten von Identity Manager Treibern 33 9 Best tigen Sie das Pass
39. 5 A Konfiguration f r von _ Bereitstellungsanforderungen zum Beispiel admin novell com LDAP NMAS I Mit Berechtigungsnachweis beim Server authentifizieren Novell Certificate Server Benutzername Novell Zertifikatszugriff Passwort z Partitions und Passwort wiederholen Reproduktionsverwaltung F El Passw rter Passwortstatus berpr fen OK Abbrechen Herausforderungssatze Passwortrichtlinien Passwortsynchronisierung Richtlinienzuweisungen anzeigen Universelles Passwort festlegen Email Serveroptionen Email Schablonen bearbeiten gt 2 Geben Sie Folgendes ein e Hostname Der Name z B Administrator der im Absenderfeld der Email angezeigt werden soll Der Benutzername und das Passwort f r die Authentifizierung beim Server falls erforderlich 3 Klicken Sie auf OK 158 Novell Identity Manager 3 0 Administrationshandbuch 4 Wenn Sie die Passwortsynchronisierung mit den Identity Manager Treibern verwenden und die Funktion Email Benachrichtigung verwenden m chten m ssen Sie auch Folgendes tun 4a Wenn vor dem Senden einer Email eine Authentifizierung beim SMTP Server erforderlich ist m ssen Sie sicherstellen dass das Passwort in den Treiberrichtlinien enthalten ist Weitere Informationen hierzu finden Sie in Abschnitt 5 12 4 Bereitstellen von SMTP Authentifizierungsdaten in Treiberrichtlinien auf Seite 160 F r Benachrichtigungen in Verbindung mit
40. 82 2 berblick Arena rare ae DER ee 224 8 2 3 Konfiguration 2 Br an HL Rs ha 231 8 24 Weitere Informationen u Hsus seen Hei nen nee 240 9 Hochverf gbarkeit 241 9 1 Konfiguration von eDirectory und Identity Manager zur Verwendung mit der gemeinsamen Speichernutzung unter Linux und UNIX tenes 241 9 1 1 Installation von eDirectory 0 0 0 eae 242 9 1 2 Installation von Identity Manager 0 0 0 cee 242 9 1 3 Gemeinsame Nutzung von NICI Daten 2 0 0 0 eee eee 242 9 1 4 Freigabe von eDirectory und Identity Manager Daten 0 243 9 1 5 Aspekte hinsichtlich des Identity Manager Treibers 0 0000 245 9 2 Fallstudie f r SuSE LINUX aras os ia an a Er EB en 245 10 Protokollierung und Berichterstellung mit Novell Audit 247 10317 berblick a Sern a er EN ERDE EL 247 102 Nove Audit Er aaa sa a er le N De 247 10 3 Einrichten von Novell Audit a i ea a EA a Ea A a ern eee 248 10 3 1 Einrichten des Plattformagenten 0 0 cece eee 249 10 3 2 Einrichten des sicheren Protokollservers 1 0 0 0 00 e cece e eee eee 250 10 4 Konfiguration der Protokollierung 000 00 cee eee 250 10 4 1 Auswahl der zu protokollierenden Ereignisse 222220 cece eee 250 10 4 2 Benutzerdefinierte Ereignisse 0000 cc eee 256 10 4 3 eDirect ry Objekte 34 0 224 0 2 3 Pa a ta na eae 258 10 5 Abfragen und Berichterstellun
41. Administrationshandbuch Wenn Sie eine Berechtigungsrichtlinie in der Liste weiter nach oben verschieben erh ht sich ihre Priorit t y Novell iManager Microsoft Internet Explorer i 5 x Bearbeiten Ansicht Favoriten Extras Datei Sammlungseigent merzugriff Funktionen und Aufgaben Funktionsbasierte Berechtigungen Alle Kategorien A Benutzer 7 eDirectory Verwaltung Berechtigungsrichtlinien k nnen mithilfe der Pfeile Nach oben und Nach unten priorisiert werden Die Priorit t einer Richtlinie wird eDirectory Wartung f r das L sen von Berechtigungs berschneidungen zwischen Funktionsbasierte Berechtigungen mehreren Richtlinien verwendet Die Richtlinie die sich am Mitgliedschaft neu bewerten weitesten oben befindet hat die h chste Priorit t Klicken Sie auf Funktionsbasierte Neu zum Starten des Assistenten f r Berechtigungsrichtlinien Berechtigungen 2 Gruppen Berechtigungsrichtlinienliste Helpdesk Engineering Entitlement Policy Human Resources Entitlement Policy Identity Manager Identity Manager Dienstprogramme Konfiguration f r Bereitstellungsanforderungen werden m sse LDAP Berechtigungs indem Sie auf NMAS Neu starten Novell Certificate Server Berechtigungs Berechtigungs Novell Zertifikatszugriff Schaltfl che w F Eee la Neu Bearbeite
42. Daten durch das verbundene System und mit der Art und Weise der Speicherung dieser Daten durch Novell eDirectory vertraut sein Wenn Sie kein erfahrener DirXML Programmierer sind sollte diese Aufgabe von Experten durchgef hrt werden 4 Richten Sie einen Verwaltungsagenten zum Erteilen oder Entziehen der Berechtigung ein Wenn Sie einen automatisierten Prozess w nschen verwenden Sie funktionsbasierte Berechtigungen wenn Sie einen manuellen Prozess w nschen verwenden Sie die Workflow basierte Bereitstellung 6 2 1 Identity Manager Treiber mit Vorkonfigurationen die Berechtigungen unterst tzen Zu Identity Manager geh ren mehrere vorkonfigurierte Treiber die bereits Berechtigungen und Richtlinien f r die Implementierung von Berechtigungen enthalten Zudem sind diese Treiber so konfiguriert dass sie den Datenverkehr auf Berechtigungsaktivit ten berwachen Sie m ssen Berechtigungen bei der erstmaligen Installation eines Treibers aktivieren damit die entsprechend vorkonfigurierten Elemente des Treibers wirksam werden Die folgenden Treiber verf gen ber Vorkonfigurationen die Berechtigungen unterst tzen e Active Directory Exchange Group Wise LDAP NIS Lotus Notes NT Domain e RACF Bei diesen vorkonfigurierten Treibern sind die ersten drei der oben beschriebenen vier Schritte bereits umgesetzt Die verschiedenen Arten von Beispiel Berechtigungen die diese Treiber unterst tzen eignen sich f r die g
43. Es bedeutet in der Regel dass ein Vorgang abgeschlossen wurde aber ger ingf gige Probleme auftraten 30004 Status Error XML Document Viele verschiedene Ereignisse k nnen das Ereignis Status Error Status Fehler ausl sen Es bedeutet in der Regel dass ein Vorgang nicht erfolgreich aus gef hrt wurde Identity Manager Ereignisse und Berichte 295 EventID Description Data Type Triggers 30005 30006 30007 30008 30009 3000A 3000B 3000C 3000D 3000E 3000F 30010 Status Fatal Status Other Search Add Entry Delete Entry Modify Entry Rename Entry Move Entry Add Association Remove Association Query Schema Check Password XML Document XML Document XML Document XML Document XML Document XML Document XML Document XML Document XML Document XML Document XML Document 296 Novell Identity Manager 3 0 Administrationshandbuch Viele verschiedene Ereignisse k nnen das Ereignis Status Fatal Status Gravierend aus l sen Es bedeutet in der Regel dass ein Vorgang nicht abge schlossen wurde und die Engine oder der Treiber nicht mit der Ver arbeitung fortfahren konnte Jedes Statusdokument mit einem anderen Level als den f nf zuvor definierten erzeugt das Ereignis Status Other Status Son stiges Diese Ereignisse k nnen nur in einer Formatvorlage oder einer Regel generiert werden Tritt
44. Es verwendet dazu universelle Passw rter und verbundene Systeme zum Ver ffentlichen und Abonnieren von Passw rtern Wie bei anderen Attributen eines Benutzerkontos k nnen Sie auch hier die ma geblichen Datenquellen ausw hlen Allgemeines zu Passw rtern auf Seite 75 Vergleich zwischen Version 1 0 der Passwortsynchronisierung und der Identity Manager Passwortsynchronisierung auf Seite 77 Was versteht man unter einer bidirektionalen Passwortsynchronisierung auf Seite 76 Funktionen der Identity Manager Passwortsynchronisierung auf Seite 79 berblick ber den Datenfluss bei der Passwortsynchronisierung auf Seite 83 5 1 1 Allgemeines zu Passw rtern NDS Passw rter einfache Passw rter Verteilungspassw rter und universelle Passw rter werden f r verschiedene Zwecke eingesetzt In fr heren Versionen von eDirectory und Identity Manager Passwortsynchronisierung mit verbundenen Systemen 75 konnten verbundene Systeme nur das NDS Passwort mit einer Synchronisierung in eine Richtung aktualisieren Identity Manager verwendet das universelle Passwort ein reversibles Passwort das mit den anderen Identit tsdepot Passw rtern synchronisiert werden kann Das universelle Passwort wurde mit eDirectory 8 7 1 eingef hrt und ist durch drei Verschl sselungsstufen gesch tzt NMAS steuert die Relation zwischen dem universellen Passwort und den anderen Identit tsdepot Passw rtern Beispielswe
45. F hren Sie Schritt 1 bis 6 des Assistenten durch um eine Richtlinie zu erstellen Informationen zu den einzelnen Schritten des Assistenten finden Sie in der Online Hilfe 5a Geben Sie in Schritt 1 einen Namen und eine Beschreibung f r die Richtlinie ein 5b Definieren Sie in Schritt 2 den Mitgliederfilter und die Suchparameter Erstellung und Verwendung von Berechtigungen 197 5c Definieren Sie in Schritt 3 die statischen Mitglieder indem Sie Mitglieder in die Suchkriterien aufnehmen oder aus ihnen ausschlie en 5d W hlen Sie in Schritt 4 einen Identity Manager Treiber und stellen Sie die Berechtigungen bereit die darin aufgenommen werden sollen Die Berechtigungen haben Sie in Abschnitt 6 4 Erstellen von Berechtigungen in XML mit iManager auf Seite 178 erstellt Klicken Sie auf Treiber hinzuf gen und w hlen Sie eine hinzuzuf gende Berechtigung aus ssistent f r Berechtigungsrichtlinien Schritt 4 von 6 Berechtigungen f r Benutzer auf den verbundenen Systemen ausw hlen W hlen Sie die Treiber aus die Berechtigungen auf verbundenen Systemen bereitstellen Berechtigungen f r verbundene Systeme Active Directory Gruppenmitgliedschaftsberechtigung Active Directory entitlement lt lt Zur ck Weiter gt gt Abbrechen Fertig stellen 5e Suchen Sie in Schritt 5 nach Objekten f r die diese Berechtigungsrichtlinie als Trustee dienen soll 5f Lesen Sie sich in Schritt 6 die Zusammenfassung durch um s
46. Globalkonfigurationswerte k nnen sowohl f r einen Treibersatz als auch f r einzelne Treiber festgelegt werden Wenn ein Treiber keinen GCV Wert hat bernimmt er den Wert f r diesen GCV aus dem Treibersatz Mit GCVs k nnen Sie Einstellungen f r Identity Manager Funktionen wie die Passwortsynchronisierung und den Treiber Heartbeat sowie Einstellungen angeben die f r die Funktion einer einzelnen Treiberkonfiguration spezifisch sind Einige GCVs geh ren bereits zum Lieferumfang des Treibers Sie k nnen aber auch eigene GCVs hinzuf gen Zum Anpassen der Treiberkonfiguration k nnen Sie diese Werte auch in einer Richtlinie angeben Wichtig Die Einstellungen f r die Passwortsynchronisierung sind ebenfalls GCVs Sie sollten diese jedoch auf der Seite Passwortsynchronisierung der Registerkarte Server Variablen bearbeiten und nicht auf der GCV Seite Die Seite Server Variablen auf der die Einstellungen f r die Passwortsynchronisierung angezeigt werden steht wie die anderen Treiberparameter als Registerkarte zur Verf gung Sie k nnen auch auf Passwortverwaltung gt Passwortsynchronisierung klicken nach dem Treiber suchen und auf den Treibernamen klicken Auf der Seite ist zudem f r die einzelnen Einstellungen der Passwortsynchronisierung eine Online Hilfe verf gbar So k nnen Sie GCVs hinzuf gen entfernen oder bearbeiten die nicht mit der Passwortsynchronisierung in Identity Manager in Zusammenhang stehen 1
47. Klicken Sie in iManager auf Identity Manager gt Identity Manager berblick 2 Wechseln Sie zum gew nschten Treibersatz oder objekt und klicken Sie anschlie end auf Suchen 22 Novell Identity Manager 3 0 Administrationshandbuch 3 Klicken Sie auf die obere rechte Ecke des Treibers und klicken Sie anschlie end auf Eigenschaften bearbeiten W hlen Sie Globalkonfigurationswerte ndern Sie die beim Erstellen des Treibers festgelegten Standardwerte Wenn Sie weitere Informationen hinzuf gen m chten klicken Sie auf XML bearbeiten Klicken Sie auf XML Bearbeitung aktivieren on oOo Ff F gen Sie die XML Daten hinzu entfernen oder bearbeiten Sie sie und klicken Sie anschlie end auf OK um die nderungen zu bernehmen 2 7 Verwenden des DirXML Befehlszeilenprogramms Das DirXML Befehlszeilenprogramm bietet Zugriff auf Identity Manager spezifische eDirectory Verben Dieses Dienstprogramm ist nicht als Ersatz f r iManager oder Designer vorgesehen Dieses Dienstprogramm wird prim r zum Generieren von Skripts verwendet Weitere Informationen zum DirXML Befehlszeilenprogramm finden Sie in Anhang A DirXML Befehlszeilenprogramm auf Seite 265 Verwenden Sie f r t gliche Aufgaben iManager oder Designer 2 8 Anzeigen von Versionsinformationen Mit dem Versionsermittlungswerkzeug k nnen Sie Folgendes ausf hren e Abschnitt 2 8 1 Anzeigen einer hierarchischen Struktur der Versionsinformationen auf Seite 23
48. Lu Abonnieren Synchronisieren Ignorieren Y O Benachrichtigen Y O Zur cksetzen Zusammenfuhrungsste lle Standard a Identit tsdepot Anwendung O Keine lt 4 Damit die Passwortsicherheit gew hrleistet ist m ssen Sie die Kontrolle dar ber behalten wer Zugriffsrechte auf Identity Manager Objekte haben soll Fehlersuche bei Szenario 2 Flussdiagramm f r Szenario 2 auf Seite 127 Probleme bei der Anmeldung im Identit tsdepot auf Seite 128 Probleme bei der Anmeldung an einem anderen verbundenen System das Passw rter abonniert auf Seite 128 Keine Email Generierung bei Passwortfehlern auf Seite 129 Fehler beim Ausf hren der Task Objektpasswort berpr fen auf Seite 129 Hilfreiche DSTrace Befehle auf Seite 130 126 Novell Identity Manager 3 0 Administrationshandbuch Beachten Sie auch die Tipps in Abschnitt 5 13 Fehlersuche bei der Passwortsynchronisierung auf Seite 169 Flussdiagramm f r Szenario 2 Das folgende Flussdiagramm zeigt wie NMAS mit dem von Identity Manager empfangenen Passwort verf hrt In diesem Szenario wird das Passwort mit dem universellen Passwort synchronisiert NMAS entscheidet nach den folgenden Kriterien wie das Passwort zu behandeln ist e Ist das universelle Passwort in der NMAS Passwortrichtlinie aktiviert Sind erweiterte Passwortregeln aktiviert die eingehende Passw rter einhalten m ssen e Welche anderen Einstellu
49. Namens eines Webservers verwendet werden der bei der Erstellung von URLs f r Emails verwendet wird HTTP Port Dieser Parameter ist ein Ganzzahlwert der angibt welchen TCP Port der Webserver des Herausgeberkanals auf eingehende Anforderungen berwachen soll Wenn f r diesen Parameter kein Wert angegeben ist wird standardm ig die Portnummer 80 oder 443 berwacht Dies h ngt davon ab ob SSL f r die Webserver Verbindungen verwendet wird oder nicht Wenn der Service Treiber f r manuelle Aufgaben auf dem Identity Manager Server ausgef hrt wird d h er wird nicht unter dem Remote Loader auf einem Remote Computer ausgef hrt sollte der HTTP Port nicht auf 80 oder 443 eingestellt werden da in der Regel iMonitor oder ein anderer Prozess die Ports 80 und 443 verwendet Name des KMO Wenn dieser Parameter nicht leer ist enth lt er den Namen eines eDirectory Schl sselmaterialobjekts Key Material Object KMO das das Serverzertifikat und den Schl ssel enth lt die vom Webserver des Herausgeberkanals f r SSL verwendet werden Wenn dieser Parameter angegeben wird verwendet der Webserver des Herausgeberkanals SSL f r die Verarbeitung von HTTP Anforderungen Dieser Parameter hat Vorrang vor anderen Java Keystore Parametern siehe unten Aus Sicherheitsgr nden wird die Verwendung von SSL empfohlen weil eDirectory Passw rter bei Verwendung des Webservers des Herausgeberkanals in HTTP POST Daten bergeben werden Name de
50. Parameter sind verf gbar Einrichten eines verbundenen Systems 59 Option Kurzform Parameter Beschreibung connection conn Zeichen kette f r die Verbin dungskon figuration port Dezimale Portnum mer address IP Adresse rootfile 60 Novell Identity Manager 3 0 Administrationshandbuch Gibt die Verbindungsparameter f r die Verbindung zum Metaverzeichnis Server an auf dem das Identity Man ager Remote Schnittstellenmodul ausgef hrt wird Die Standardverbindungsmethode f r den Remote Loader ist TCP IP mit SSL Der TCP IP Standardport f r diese Verbindung ist 8090 Es k nnen mehrere Instanzen des Remote Loader auf demselben Server ausgef hrt wer den Jede Instanz des Remote Loader hostet eine sepa rate Anwendungsschnittstellenmodulinstanz des Identity Manager Sie unterscheiden mehrere Instanzen des Remote Loader voneinander indem Sie f r jede Remote Loader Instanz unterschiedliche Verbindungs und Befe his Ports angeben Beispiel connection port 8091 rootfile server1 pem conn port 8091 rootfile server1 pem Ein obligatorischer Parameter Er gibt den TCP IP Port an den der Remote Loader auf Verbindungen vom Remote Schnittstellenmodul berwacht Beispiel port 8090 Dieser Parameter ist optional Er gibt an dass der Remote Loader eine bestimmte lokale IP Adresse berwacht Dies ist hilfreich wenn der Server der den Remote Loader hostet mehrere IP Adressen hat und der Remote Loader
51. Passwort abrufen Email Schablonen bearbeiten O Administrator darf Passw rter abrufen PBX Authentifizierung a Rechte E Schema v a In Firefox werden die iManager Optionen dagegen in einer Dropdown Liste angezeigt Abbildung 5 4 Dropdown Liste in iManager Funktionen und Aufgaben Alle Kategorien z a Passwortrichtlinfe Engineering Password Policy Password Policies Security iqurationsoptionen chtlinienzusammenfassung Zusammenfassung Passwort nderungsmeldung Benutzer eDirectory Verwaltung i f r Ihre Richtlinie ber die Kontrollk stchen Universelles Passwort eDirectory Wartung a story W Erweiterte Passwortregeln Funktionsbasierte Berechtigungen Konfiqgurationsoptionen Passwort vergessen Gruppen Helpdesk coe Identi Synchro des universe llen Passworts Manager Dien amme I NDS Passwort bei Auswahl des universellen Passworts entfernen Konfiguration f r MW NDS Passwort bei Auswahl des universellen Passworts synchronisieren Bereitstellungsanforderungen MT Einfaches Passwort bei Auswahl des universellen Passworts synchronisieren LDAP M Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren NMAS Abruf des universellen Passworts Novell Certificate Server M Benutzer darf Passwort abrufen Novell Zertifikatszugriff MT Administrator darf Passw rter abrufen Partitions und Authentifizierung Reproduktionsverwaltung ec r i I berpr fen ob vorhandene Passw rt
52. Relation zwischen Identity Manager und NMAS 115 5 8 2 Szenario 1 Synchronisierung zwischen zwei Identitatsdepots ber das NDS Passwort na pete ee ten Peer Bea Fe end 117 5 8 3 Szenario 2 Synchronisieren unter Verwendung des universellen Passworts 119 Novell Identity Manager 3 0 Administrationshandbuch 5 84 Szenario 3 Synchronisieren des Identit tsdepots und der verbundenen Systeme mit Aktualisierung des Verteilungspassworts durch Identity Manager 130 5 85 Szenario 4 Tunneling Synchronisieren verbundener Systeme aber nicht eines Identit tsdepots mit Aktualisierung des Verteilungspassworts durch Identity Manager i ar peci ee a Ra eds een ela Peace ne E 142 5 86 Szenario 5 Synchronisieren von Anwendungspassw rtern mit dem einfachen Passwort un nase Br re har a Anl euer 147 5 9 Einrichten von Passwortfiltern 222 2ueee euere eee eee 151 5 9 1 Einrichten von Passwortsynchronisierungsfiltern f r Active Directory und NT DOMAIN as eee nenei ann each ee bee nad a a es bien ews re 151 5 9 2 Einrichten von Passwortsynchronisierungsfiltern f r NIS 152 5 10 Verwalten der Passwortsynchronisierung 00 00 e eee 152 5 10 1 Einrichten des Passwort Transfers zwischen den Systemen 152 5 10 2 Durchsetzen von Passwortrichtlinien auf verbundenen Systemen 154 5 10 3 eDirectory Passwort vom synchronisierten Passwort getrennt halten 154 5
53. Richtlinie le Herausgeber Befehlsumwand lung Password Pub Default Pass word Policy Password Pub Check Password GCV Password Pub Publish Distribu tion Password Password Pub Publish NDS Password Password Pub Add Password Payload 96 Novell Identity Manager 3 0 Administrationshandbuch Erganzt ein Add Objekt um ein Standardpasswort wenn das Add Objekt kein Passwort enthalt Diese Richtlinie und die Rich tlinie Password Sub Default Password sind die einzigen Richtlinien die geandert oder entfernt werden k nnen Damit die Passwortsynchronisierung ordnungsgem funktioniert sollten die anderen Richtlinien unver ndert verwendet werden Stellt durch eine GCV Pr fung GVC Global Configuration Value globaler Konfiguration swert fest ob Sie Identity Man ager so konfiguriert haben dass Passw rter von diesem verbun denen System akzeptiert werden Wenn nicht werden s mtliche Passwortelemente ausgeschlos sen Der Name des GCV lautet enable password publish und der Anzeigename lautet Identity Manager akzeptiert Passw rter von der Anwendung Wandelt das lt password gt Ele ment so um dass es die Aktual isierung des universellen Passworts zul sst Diese Richtlinie verwendet fol gende GCVs publish password to dp enforce password policy L sst das lt password gt Element durch wenn Sie festgelegt haben dass das NDS Passwort aktualisiert werde
54. SNMP Management System o 4 senden Weitere Informationen zum Erstellen von Benachrichtigungen finden Sie unter Configuring Filters and Event Notifications im Novell Audit 1 0 3 Administration Guide http www novell com documentation nsureaudit nsureaudit data al01g08 html al01g08 Novell Audit 1 0 3 Administrationshandbuch 10 7 Verwenden von Statusprotokollen Zus tzlich zu der von Novell Audit bereitgestellten Funktionalit t protokolliert Identity Manager eine bestimmte Anzahl von Ereignissen f r das Treibersatzobjekt und das Treiberobjekt Diese Statusprotokolle bieten eine bersicht ber die zuletzt ausgef hrten Identity Manager Aktivit ten Hat das Protokoll die festgelegte Maximalgr e erreicht wird die ltere H lfte des Protokolls entfernt um Platz zur Protokollierung neuer Ereignisse zu schaffen Deshalb sollte zur Protokollierung von Ereignissen die Sie ber einen l ngeren Zeitraum aufbewahren m chten Novell Audit oder der Berichts und Benachrichtigungsservice verwendet werden 10 7 1 Einstellen der maximalen Protokollgr e Statusprotokolle k nnen so konfiguriert werden dass sie zwischen 50 und 500 Ereignisse aufnehmen k nnen Diese Einstellung kann f r das Treibersatzobjekt vorgenommen werden sodass alle Treiber im Satz dieselbe Einstellung verwenden oder f r jeden Treiber einzeln konfiguriert werden Es besteht keine Abh ngigkeit zwischen der maximalen Protokollgr e und den Ereignissen die
55. SYS SYSTEM ndsimon DSTRACE htm e Windows Laufwerksbuchstabe_ Novell NDS ndsimon dstrace htm e UNIX var nds dstrace htm 44 Novell Identity Manager 3 0 Administrationshandbuch Einrichten eines verbundenen Systems Dieser Abschnitt enth lt folgende Informationen e Abschnitt 3 1 berblick auf Seite 45 Abschnitt 3 2 Sichere Datentransfers auf Seite 47 Abschnitt 3 3 Einrichten von Remote Loadern auf Seite 49 Abschnitt 3 4 Konfigurieren der Identity Manager Treiber zur Verwendung mit Remote Loadern auf Seite 67 3 1 berblick Wie in der folgenden Abbildung dargestellt wird die Metaverzeichnis Engine auf einem Server als Teil von eDirectory ausgef hrt Ein Identity Manager Treiberschnittstellenmodul und seine konfigurierten Treiber kommunizieren mit einer Anwendung und mit der Metaverzeichnis Engine Abbildung 3 1 Die unter eDirectory ausgef hrte Metaverzeichnis Engine Server Identit tsdepot Anwendung ia oe Metadirectory Engine Treiberschnittstellenmodul Wie in der folgenden Abbildung dargestellt wird die Identity Manager Funktionalitat tiber ein verbundenes System anwendungsiibergreifend erweitert Abbildung 3 2 Verbundenes System mit dem Remote Loader Server Anwendung Identit tsdepot Metadirectory Engine LDAP Treiberschnittstellenmodul Instanz Remote Treiberschnittstellenmodul Instanz Remote Treiberschnittstellenmodul Remote Loader
56. Schablone senden Y Seal HEHH Benachrichtigungs DN eingeben cn security cn Default Notification Collection Schablonen DN eingeben cn security cn Default Notification Collection cn Passwc Zeichenketten eingeben serFullName UserGivenName UserLastName Connec fal 8 Klicken Sie f r die Regel Email aus Schablone senden auf die Schaltfl che Durchsuchen La neben dem Feld Zeichenketten eingeben Der Zeichenkette Builder wird ge ffnet Die folgende Abbildung zeigt die Liste der Zeichenketten die bei dieser Beispielregel angezeigt wird Beachten Sie dass die in den Email Benachrichtigungsschablonen verwendeten Standard Tags bereits in den Passwortsynchronisierungsrichtlinien definiert sind die wie in diesem Fall Bestandteil der Identity Manager Treiberkonfigurationen sind Sie k nnen die Standard Tags als Beispiele verwenden Zeichenkette Builder Ersetzungs Token werden unter Verwendung dieser Elemente vom Typ benannte Zeichenkette deklariert Ersetzungs Token geben die verschiedenen Empf ngeradressen an Erforderlich Name UserFullName Zeichenkettenwert Zielattribut Full Name Verkn pful Name UserGivenName Zeichenkettenwert Zielattribut Given Name Verknip Alm Name UserLastName Zeichenkettenwert Zielattribut Surname Verknipfun Ee AM lName ConnectedSystemN
57. Selbstbedienung bei vergessenen Passw rtern die Sicherheit weil ein Benutzer seine Identit t durch die korrekte Beantwortung der Fragen beweisen muss bevor er das vergessene Passwort oder einen Passworthinweis erh lt bzw bevor das Passwort neu eingestellt werden kann Bei Herausforderungsfragen ist die Unbefugtensperre aktiv d h es ist nur eine beschr nkte Anzahl fehlerhafter Versuche m glich Dennoch k nnte ein Benutzer Herausforderungsfragen erstellen die R ckschl sse auf das Passwort erm glichen Erinnern Sie Benutzer daran Herausforderungsfragen und antworten zu erstellen aus denen nur sie das Passwort ableiten k nnen Die Passwort nderungsmeldung in der Passwortrichtlinie bietet dazu eine M glichkeit Weitere Informationen hierzu finden Sie unter Adding a Password Change Message im Password Management Administration Guide http www novell com documentation password_management index html Administrationshandbuch zur Passwortverwaltung 214 Novell Identity Manager 3 0 Administrationshandbuch e Aus Sicherheitsgr nden sind die Aktionen Aktuelles Passwort per Email an den Benutzer senden und Benutzer darf Passwort zur cksetzen bei vergessenen Passw rtern nur dann verf gbar wenn der Benutzer die Herausforderungsfragen beantworten muss In NMAS 2 3 4 wurde die Sicherheit von universellen Passw rtern die von einem Administrator ge ndert werden verbessert Diese Verbesserung funktioniert im Gro en und
58. Server berwacht e Verbindungs Port Metaverzeichnis Server Geben Sie den TCP Port an den der Remote Loader auf Verbindungen vom Metaverzeichnis Server berwacht Der TCP IP Standardport f r diese Verbindung ist 8090 Die Portnummer erh ht sich bei jeder neu erstellten Instanz automatisch um 1 Befehls Port Kommunikation nur mit dem lokalen Host Geben Sie die Nummer des TCP Ports an den ein Remote Loader Service auf Befehle wie Stop und Change Trace Level berwacht Jede Instanz des Remote Loader die auf einem bestimmten Computer ausgef hrt wird muss eine andere Befehls Portnummer haben Der Standard Befehls Port f r diese Verbindung ist 8000 Die Standard Portnummer erh ht sich bei jeder neu erstellten Instanz automatisch um 1 Hinweis Sie k nnen mehrere Instanzen des Remote Loader auf demselben Server ausf hren der unterschiedliche Treiberinstanzen hostet indem Sie unterschiedliche Verbindungs und Befehls Ports angeben Remote Loader Passwort Abbildung 3 8 Remote Loader Passwort m Remote Loader Passwort Passwort Bestatigen Passwort Dieses Passwort wird zum Steuern des Zugriffs auf eine Remote Loader Instanz f r einen Treiber verwendet Hierbei muss es sich um dasselbe Passwort Gro Kleinschreibung wird ber cksichtigt handeln das Sie bei der Konfiguration des Treibers im Feld Remote Loader Passwort eingeben im Authentifizierungabschnitt auf der Seite f
59. Sicherheitsrisiko ansehen wie z B den Firmennamen den Standort Ihres Unternehmens bzw die W rter test oder admin Obwohl die Ausschlussliste nicht dazu dienen soll ein komplettes W rterbuch zu importieren kann sie relativ lang sein Bedenken Sie dass eine lange Ausschlussliste den Anmeldevorgang verlangsamt Ein besserer Schutz vor W rterbuchattacken besteht darin Passw rter mit numerischen Zeichen oder bestimmten Sonderzeichen zu versehen Beachten Sie bitte dass Sie mehrere Passwortrichtlinien erstellen k nnen wenn Sie in unterschiedlichen Teilen des Baums unterschiedliche Passwortanforderungen festgelegt haben Eine Passwortrichtlinie kann f r einen gesamten Baum einen Partitionsstammcontainer einen Container oder sogar einen einzelnen Benutzer gelten Es wird zur Vereinfachung der Administration allerdings empfohlen Passwortrichtlinien so hoch wie m glich im Baum zu definieren Zur Erh hung der Sicherheit k nnen Sie zus tzlich die Unbefugtensperre einsetzen Mit dieser eDirectory Funktion geben Sie an wie viele fehlerhafte Anmeldeversuche m glich sind bevor ein Konto gesperrt wird Diese Einstellung nehmen Sie nicht in der Passwortrichtlinie sondern am bergeordneten Container vor Weitere Informationen hierzu finden Sie unter Managing User Accounts im Novell eDirectory 8 7 3 Administration Guide http www novell com documentation edir873 edir873 data afxkmdi html amm7bjv Novell eDirectory 8 7 3 A
60. Spalte Beschreibung aus 2 Klicken Sie auf Stoppen geben Sie das Remote Loader Passwort ein und klicken Sie anschlie end auf OK 3 Klicken Sie auf Bearbeiten und bearbeiten Sie die Konfigurationsinformationen Dieselben Felder werden auch zum Hinzuf gen einer Remote Loader Instanz verwendet Konfigurieren des Remote Loader mithilfe von Befehlszeilenoptionen Zum Ausf hren des Remote Loader wird auf allen Plattformen eine Konfigurationsdatei z B LDAPShim txt verwendet Konfigurationsdateien k nnen mithilfe von Befehlszeilenoptionen erstellt und bearbeitet werden In den folgenden Schritten finden Sie Informationen zu den grundlegenden Parametern der Konfigurationsdateien Informationen zu zus tzlichen Parametern finden Sie unter Anhang B Konfigurationsoptionen f r einen Remote Loader auf Seite 279 1 ffnen Sie einen Texteditor 2 Optional Geben Sie mithilfe der Option description eine Beschreibung an Option Kurzform Parameter Beschreibung description desc Kurzbeschrei Gibt eine kurze Beschreibungszeichenkette z B bung SAP an die f r den Titel des Trace Fensters und f r die Nsure Audit Protokollierung verwendet wird Beispiel description SAP desc SAP Die Remote Loader Konsole schreibt lange For men in die Konfigurationsdateien Sie k nnen entweder eine lange Form z B description oder eine kurze Form z B desc verwenden 3 Geben Sie mithilfe der Option commandport den von der Re
61. System und dem Identit tsdepot Es wird in Java C oder C programmiert Die Kommunikation zwischen der Metaverzeichnis Engine und dem Treiberschnittstellenmodul erfolgt ber XML Dokumente die Ereignisse Abfragen und Ergebnisse beschreiben Das Treiberschnittstellenmodul wird in der Regel als Treiber bezeichnet Die Informationen zwischen dem verbundenen System und dem Identit tsdepot werden ber diesen Kanal bermittelt Das Treiberschnittstellenmodul unterst tzt folgende Objektereignisse Hinzuf gen Erstellung e ndern e L schen e Umbenennen e Verschieben Abfragen Zus tzlich muss das Treiberschnittstellenmodul eine definierte Abfragefunktion unterst tzen sodass Identity Manager das verbundene System abfragen kann Wenn im Identit tsdepot ein Ereignis auftritt das im verbundenen System eine Aktion ausl st erstellt Identity Manager ein XML Dokument mit einer Beschreibung des Identit tsdepot Ereignisses und sendet es dann ber den Abonnentenkanal an das Treiberschnittstellenmodul 12 Novell Identity Manager 3 0 Administrationshandbuch Wenn ein Ereignis im verbundenen System auftritt generiert das Treiberschnittstellenmodul ein XML Dokument mit einer Beschreibung dieses Ereignisses Das Treiberschnittstellenmodul sendet das XML Dokument anschlie end ber den Herausgeberkanal an Identity Manager Im Anschluss an die Verarbeitung des Ereignisses durch bestimmte Herausgeberrichtlinien weist Identity Manager
62. Treiber manuell in das lib Verzeichnis kopieren Das lib Verzeichnis befindet sich in dem von Ihnen zuvor dekomprimierten Verzeichnis Informationen zu MVS finden Sie indem Sie die Datei dirxml_jremote_mvs tar dekomprimieren Lesen Sie anschlie end das Dokument usage html 52 Novell Identity Manager 3 0 Administrationshandbuch 3 3 2 Konfigurieren des Remote Loader Der Remote Loader kann die in den DLL SO oder JAR Dateien enthaltenen Identity Manager Anwendungsschnittstellenmodule hosten Der Java Remote Loader hostet nur Java Treiberschnittstellenmodule Das Laden oder Hosten nativer C Treiberschnittstellenmodule ist nicht m glich Konfigurieren des Remote Loader unter Windows auf Seite 53 Konfigurieren des Remote Loader mithilfe von Befehlszeilenoptionen auf Seite 58 Starten des Remote Loader auf Seite 64 Stoppen des Remote Loader auf Seite 67 Konfigurieren des Remote Loader unter Windows Verwenden des Remote Loader Konsolendienstprogramms auf Seite 53 Hinzuf gen einer Remote Loader Instanz auf Seite 54 Remote Loader Instanz bearbeiten auf Seite 58 Verwenden des Remote Loader Konsolendienstprogramms Die Remote Loader Konsole kann nur unter Windows ausgef hrt werden ber die Konsole k nnen Sie alle Identity Manager Treiber verwalten die unter dem Remote Loader auf dem Computer ausgef hrt werden Wenn Sie ein Upgrade auf Identity Manager 3 vornehmen
63. Treiber unter Verwendung eines Assistenten in das 3 0 Format zu konvertieren Wenn Sie keine nderungen an einem vorhandenen Treiber vornehmen m chten k nnen Sie den Assistenten abbrechen Zum Bearbeiten eines 1 1a Treibers im 1 1a Format m ssen Sie die DirXML 1 1a Plugins verwenden Hierzu m ssen Sie einen separaten iManager Webserver verwenden auf dem die 1 1a Plugins installiert sind Sie k nnen die mit Identity Manager gelieferten Plugins nicht zum Bearbeiten einer Treiberkonfiguration verwenden ohne den Treiber zuvor in das Identity Manager 3 0 Format zu konvertieren 2 3 Upgrade einer Treiberkonfiguration von DirXML 1 1 auf ein Identity Manager Format Beim Upgrade von DirXML 1 1a auf Identity Manager 3 erfolgt zun chst das Upgrade auf Identity Manager 2 Die Identity Manager 2 Installation installiert neue Treiberschnittstellenmodule nimmt jedoch keine nderungen an vorhandenen Treiberobjekten oder Treiberkonfigurationen vor Vorhandene Treiberkonfigurationen die f r DirXML 1 1a erstellt wurden funktionieren auch in Identity Manager Mit den Identity Manager Plugins k nnen Sie jedoch nur Treiber bearbeiten die im Identity Manager Format vorliegen Wichtig Das Ausf hren eines Identity Manager Treiberschnittstellenmoduls oder einer Treiberkonfiguration mit einer DirXML 1 1a Engine wird nicht unterst tzt Ein Assistent hilft Ihnen beim Konvertieren von DirXML 1 1a Treibern in das Identity Manager Format So
64. Treiberparameter F gen Sie zum Element mit der Bezeichnung Zus tzliche Behandlungsroutinen die Zeichenkette com novell nds dirxml driver manualtask samples SampleServlet hinzu F gen Sie zum Filter des Herausgeberkanals Telefonnummer hinzu Senden Sie die folgende URL in einem Browser in der Annahme dass der Browser auf demselben Computer ausgef hrt wird wie der Treiber https localhost 8180 1 sample dest dn username container amp attr name Telefonnummer amp value 5551212 Ersetzen Sie username container durch den DN eines Benutzers in Ihrem Baum 356 Novell Identity Manager 3 0 Administrationshandbuch
65. Werte speichern m chten w hlen Sie Nur ausgew hlte Richtlinien in diesem Treiber aktualisieren und aktivieren Sie die Kontrollk stchen aller Richtlinien Mit dieser Option werden die Passwortrichtlinien importiert das Treibermanifest und die GCVs jedoch nicht ge ndert Etwaige zus tzliche Werte m ssen Sie manuell einf gen Klicken Sie auf Weiter und anschlie end auf Fertig stellen um den Assistenten abzuschlie en Sie haben nun die neuen Richtlinien als Richtlinienobjekte unter dem Treiberobjekt erstellt m ssen diese aber noch in die Treiberkonfiguration einbinden Dazu m ssen Sie die einzelnen Richtlinien manuell an der richtigen Stelle in der Treiberkonfiguration auf dem Abonnenten und Herausgeberkanal einf gen 5 7 2 2 Schritt Zur Treiberkonfiguration hinzuf gen Eine Liste der hinzuzuf genden Richtlinien mit den entsprechenden Einf gepositionen finden Sie in Abschnitt 5 3 4 In der Treiberkonfiguration ben tigte Richtlinien auf Seite 94 F gen Sie die neuen Richtlinien nacheinander an den richtigen Stellen in der vorhandenen Treiberkonfiguration ein Sollte der Richtliniensatz mehrere Richtlinien enthalten m ssen diese Identity Manager Passwortsynchronisierungsrichtlinien an letzter Stelle stehen Passwortsynchronisierung mit verbundenen Systemen 109 Wiederholen Sie die folgenden Schritte f r jede Richtlinie 1 W hlen Sie Identity Manager gt Identity Manager berblick und suchen Sie den Treibers
66. aktiviert Eine Regel in Ihrer NMAS Passwortrichtlinie legt fest dass der Firmenname nicht als Passwort verwendet werden darf Ein Benutzer eines verbundenen Systems der NT Domain ndert das Passwort in den Firmennamen NMAS lehnt das Passwort ab und Identity Manager teilt dem Benutzer in einer Email mit dass das Passwort nicht synchronisiert wurde Bevor Sie diese Funktion verwenden k nnen m ssen Sie den Email Server und Schablonen einrichten Sie k nnen Folgendes anpassen Den Text der Meldungen die von Identity Manager versendet werden e Die Benachrichtigung eine Kopie an den Administrator zu senden Weitere Informationen finden Sie unter Konfigurieren der Email Benachrichtigung auf Seite 156 berpr fen des Passwortsynchronisierungsstatus eines Benutzers Identity Manager bietet Ihnen die M glichkeit den Passwortsynchronisierungsstatus eines Benutzers von einem verbundenen System pr fen zu lassen Wenn das verbundene System die Funktion zum Pr fen des Passworts unterst tzt k nnen Sie feststellen ob Passw rter ordnungsgem synchronisiert werden Weitere Informationen zum berpr fen von Passw rtern finden Sie unter berpr fen des Passwortsynchronisierungsstatus eines Benutzers auf Seite 155 Eine Liste der Systeme von denen die berpr fung von Passw rtern unterst tzt wird erhalten Sie unter Unterst tzung von verbundenen Systemen bei der Passwortsynchronisierung auf Seite 86 82 Novel
67. aktiviert werden Eine Startoption f r den Treiber die folgende Auswahlm glichkeiten bietet e Deaktiviert Der Treiber wird nicht ausgef hrt e Manuell Der Treiber muss manuell ber iManager gestartet werden e Autom starten Der Treiber wird beim Starten des Identit tsdepots automatisch gestartet Eine Referenz auf eine Schemazuordnungsrichtlinie Eine XML Darstellung des verbundenen Systemschemas Diese wird in der Regel automatisch vom verbundenen System ber das Schnittstellenmodul zur Verf gung gestellt In iManager k nnen Sie auf Identity Manager Treiber berblick zugreifen und Parameter Richtlinien Formatvorlagen und Berechtigungen eines vorhandenen Treibers ndern Der Identity Manager Treiber berblick ist im Folgenden dargestellt Abbildung 1 4 Identity Manager Treiber berblick Treiber Active Directony TestDriverSet novell Das Treiberobjekt wird zudem f r das berpr fen von eDirectory Rechten verwendet Das Treiberobjekt muss ausreichende eDirectory Rechte f r alle Objekte besitzen die es lesen bzw schreiben muss Diese Rechte k nnen Sie gew hren indem Sie das Treiberobjekt zu einem Trustee der eDirectory Objekte machen mit denen der Treiber synchronisiert wird oder indem Sie dem Treiberobjekt Sicherheits quivalenzen gew hren Weitere Informationen zu Zugriffsrechten finden Sie unter eDirectory Rights http www novell com documentation edir88 index html page documentation edir88 edi
68. angezeigt werden Geben Sie an der Serverkonsole DSTRACE FILE ON ein Erfasst die an DSTRACE Console gesendeten Trace Meldungen in DSTRACE LOG Geben Sie an der Serverkonsole DSTRACE ALL ein Dadurch werden alle Trace Flaggen deaktiviert Geben Sie an der Serverkonsole DSTRACE DXML DSTRACE DVRS ein Zeigt die Identity Manager Ereignisse an Geben Sie an der Serverkonsole DSTRACE TAGS DSTRACE TIME ein Zeigt die Tags und Zeitstempel der Meldung an 7 Wechseln Sie zu DSTRACE Console und achten Sie auf das zu bergebende Ereignis 8 Wechseln Sie wieder zur Serverkonsole 9 Geben Sie an der Serverkonsole DSTRACE FILE OFF ein 10 Stoppt das Erfassen von Trace Meldungen in der Protokolldatei Das Protokollieren von Informationen in der Datei wird dadurch ebenfalls gestoppt ffnen Sie die Datei DSTRACE LOG in einem Texteditor und suchen Sie nach dem ge nderten Ereignis oder Objekt Windows 1 ou PR Ww Wahlen Sie Systemsteuerung gt NDS Services gt dstrace dim und klicken Sie auf Starten Das Fenster NDS Server Trace Utility wird ge ffnet W hlen Sie Bearbeiten gt Optionen und klicken Sie anschlie end auf Alle l schen Dadurch werden alle Standard Flaggen gel scht W hlen Sie DirXML und DirXML Treiber Klicken Sie auf OK W hlen Sie Datei gt Neu Geben Sie den Dateinamen und den Speicherort an an dem di
69. auf ihre Regelkonformit t mit der Passwortrichtlinie berpr ft werden wenn das universelle Passwort und erweiterte Passwortregeln aktiviert sind e Welche anderen Einstellungen in der Passwortrichtlinie f r das Synchronisieren des universellen Passworts mit den anderen Passw rtern festgelegt sind Abbildung 5 12 Das Passwort aus Identity Manager wird mit dem Verteilungspasswort synchronisiert Identity NMAS Manager fehlgeschlagen fehlgeschlagen fehlgeschlagen Passwort zur cksetzen 138 Novell Identity Manager 3 0 Administrationshandbuch Probleme bei der Anmeldung bei eDirectory e Aktivieren Sie in DSTrace die Einstellungen AUTH DXML und DVRS Abbildung 5 13 DSTrace Befehle o 151 156 165 10 PTY 10w Event Tags ME Show Event Times Conn T Domain e Srv mation e berzeugen Sie sich davon dass das Element lt password gt oder lt modify password gt an Identity Manager tibergeben wird Beobachten Sie zur Kontrolle den DSTrace Bildschirm oder die Trace Datei bei aktivierten Trace Optionen wie im ersten Arbeitsschritt erl utert e berzeugen Sie sich davon dass das Passwort gem den Regeln der NMAS Passwortrichtlinie giiltig ist e berpr fen Sie die Konfiguration und Zuweisung der NMAS Passwortrichtlinie Weisen Sie die Richtlinie versuchsweise dem Benutzer direkt zu um sicherzustellen dass die korrekte Richtlinie verwendet wird e Stellen Sie sicher dass auf der Seite Passwortsyn
70. auf wenn ein Treiber ange halten wird Wird generiert wenn das ein fache Passwort oder das Vertei lungspasswort f r ein Objekt festgelegt wird Wird generiert wenn das Pass wort der verbundenen Anwend ung nach einer fehlerhaften Passwortsynchronisierung zur ckgesetzt wird Wird generiert wenn die Engine einen internen Fehler ausgibt Wird generiert wenn die Engine eine interne Warnmeldung aus gibt EventID Description Data Type Triggers 30028 30029 3002A 3002B 3002C 3002D 3002E 3002F Custom Operation XML Document Clear Attribute Add Value Modify Entry Value Remove Value Value Merge Entries XML Document Get Named Password XML Document Reset Attributes XML Document Add Value Add Entry Value C 2 Serverereignisse Die Tabellen enthalten die Serverereignisse die mit Novell Audit protokolliert werden k nnen Tritt auf wenn es in einem Eing abedokument einen unbekannten Vorgang gibt Beispiele f r bekannte Vorg nge sind add delete und modify Tritt auf wenn ein nderungsvor gang ein Element vom Typ remove all value enth lt Tritt auf wenn bei der nderung eines Objekts ein Wert hin zugef gt wird Tritt auf wenn ein nderungsvor gang ein Element vom Typ remove value enth lt Tritt auf wenn zwei Objekte zusammengef hrt werden Wird beim Vorgang Get Named Password Benanntes Passwort abrufen
71. beendet haben k nnen Sie auf die Plugins f r Berechtigungen zugreifen und mit dem Erstellen von funktionsbasierten Berechtigungsrichtlinien f r diesen Treibersatz beginnen 6 7 Erstellen von Berechtigungsrichtlinien Abschnitt 6 7 1 Definieren der Mitgliedschaft f r eine Berechtigungsrichtlinie auf Seite 198 e Abschnitt 6 7 2 Ausw hlen von Berechtigungen f r eine Berechtigungsrichtlinie auf Seite 199 Zum Erstellen einer Berechtigungsrichtlinie k nnen Sie den mitgelieferten Assistenten verwenden 1 Stellen Sie sicher dass Sie den Berechtigungs Service Treiber eingerichtet und die erforderlichen Treiberkonfigurationen erstellt haben 2 Klicken Sie in iManager auf Funktionsbasierte Berechtigungen gt Funktionsbasierte Berechtigungen 3 W hlen Sie einen Treibersatz aus Berechtigungsrichtlinien gelten je Treibersatz Die Liste der bereits vorhandenen Berechtigungsrichtlinien wird ge ffnet Diese hnelt der Liste in der folgenden Abbildung Wenn Sie zum ersten Mal funktionsbasierte Berechtigungen verwenden ist die Liste leer Funktionsbasierte Berechtigungen 2 Name Entitlements Service Driver i Treiberzustand L uft Der Berechtigungs Service Treiber lauft zurzeit Wenn Sie 5 Ihre Berechtigungsrichtliniensitzung abschbe en indem Sie auf dieser Seite auf die Schaltfl che Neu starten klicken 4 Klicken Sie auf Neu Der Assistent f r Berechtigungsrichtlinien wird ge ffnet 5
72. besitzen eine Liste von Gruppennamen f r die Werte oder ein Attribut mit einem Wert Standardm ig erg nzen sich diese Berechtigungen F r diese Art der Berechtigungen kann die Methode zur Konfliktl sung ggf ge ndert werden In jeder Berechtigung ist eine Einstellung die die Vorgehensweise bei einem Konflikt festlegt Jede Art der Berechtigung die f r einen Treiber festgelegt wurde ist im Manifest separat aufgef hrt Berechtigungen mit Werten verf gen ber ein Konfliktl sungsattribut das f r jede Berechtigung getrennt gesetzt wird Die Standardeinstellung ist conflict resolution priority Der andere m gliche Wert lautet conflict resolution union e conflict resolution union Der Wert union bedeutet dass die Berechtigungen sich erg nzen Einem Benutzer werden alle Berechtigungen erteilt die ihm durch die Mitgliedschaft in s mtlichen Richtlinien zustehen Die abweichenden Berechtigungswerte werden einfach addiert und der Benutzer erh lt sie alle Beispiel Jameel ist Mitglied der Richtlinie Trade Show Contractors die die Mitgliedschaft in der GroupWise Email Verteilerliste Trade Show Mailing List erteilt Er ist jedoch von der Mitgliedschaft in der Richtlinie Trade Show Managers die ebenfalls die Mitgliedschaft in der Email Verteilerliste Trade Show Mailing List erteilt ausgeschlossen In diesem Fall erh lt Jameel dennoch die Mitgliedschaft in der Email Verteilerliste Ein
73. dAn gt lt display name gt lt description gt lt token attr attr name Description gt lt description gt lt ent value gt lt token association gt lt ent value gt lt result set gt lt query app gt lt values gt lt entitlement gt In diesem Beispiel verwendet die Gruppenberechtigung das Attribut union Zusammenf hrung zur Konfliktl sung wenn die Berechtigung demselben Objekt mehrmals zugewiesen wird Das Attribut union f hrt die Berechtigungen der funktionsbasierten Berechtigungsrichtlinien zusammen sodass die Berechtigung auch dann erteilt wird wenn eine Richtlinie die Berechtigung entzieht die andere Richtlinie sie jedoch erteilt Die ausf hrliche Gruppenbeschreibung ist hilfreich denn sie erkl rt den Zweck der Regeln in den Treiberrichtlinien Diese Beschreibung ist ein gutes Beispiel f r die Ausf hrlichkeit mit der Sie Berechtigungen definieren sollten Der durch das Attribut lt display name gt definierte Name lautet Group Membership Entitlement Gruppenmitgliedschaftsberechtigung und wird in den Verwaltungsagenten angezeigt z B in iManager f r funktionsbasierte Berechtigungen Dieser Name ist der relative eindeutige Name Relative Distinguished Name RDN der Berechtigung Wenn Sie keinen Anzeigenamen definieren wird der RDN als Name f r die Berechtigung verwendet Anhand der anf nglichen Abfragewerte wird der Baum und seine Teilb ume von oben nach unten nach dem Kl
74. das NDS Passwort auf Seite 117 e l Schritt Treiber in das Format von Identity Manager 3 konvertieren auf Seite 107 2 Schritt Zur Treiberkonfiguration hinzuf gen auf Seite 109 3 Schritt Filtereinstellungen ndern auf Seite 111 4 Schritt Einrichten des Transfers f r die Passwortsynchronisierung auf Seite 113 Voraussetzungen QO Erstellen Sie mithilfe des Assistenten zum Exportieren von Treibern eine Sicherung Ihrer vorhandenen Treiber O Stellen Sie sicher dass Sie das neue Treiberschnittstellenmodul installiert haben Bestimmte Funktionen der Passwortsynchronisierung z B Passwortstatus berpr fen funktionieren ohne das neue Identity Manager Treiberschnittstellenmodul nicht Wichtig Wenn Sie einen Identity Manager Treiber f r AD oder NT Domain upgraden m chten und dieser Treiber in Verbindung mit Version 1 0 der Passwortsynchronisierung verwendet wird sollten Sie das Treiberschnittstellenmodul erst installieren nachdem Sie sich die Upgrade Anleitung durchgelesen haben Befolgen Sie die Upgrade Anleitung in den Treiber Implementierungshandb chern zu den Identity Manager Treibern f r Active Directory 106 Novell Identity Manager 3 0 Administrationshandbuch und NT Domain unter Identity Manager Drivers http www novell com documentation dirxmldrivers index html 5 7 1 1 Schritt Treiber in das Format von Identity Manager 3 konvertieren 1 berzeugen Sie sich d
75. dass den Teilen des Identit tsdepots f r die Sie diese Art der Passwortsynchronisierung einrichten m chten eine NMAS Passwortrichtlinie zugewiesen ist 1 Klicken Sie in iManager auf Passw rter gt Passwortrichtlinien 2 W hlen Sie eine Richtlinie aus und klicken Sie anschlie end auf Bearbeiten Passwortsynchronisierung mit verbundenen Systemen 121 Suchen Sie das Objekt in dem die Passwortsynchronisierung stattfinden soll und w hlen Sie es aus Ale Kategorien E eDirectory Verwaltung eDirectory Wartung Eunktionshasierte Richtlinienzusammenfassung Zusammenfassung Passwortanderungsmeldung Universelles Passwort Erwerterte Pesewortregeln Konfiquratonsoptionen pi telungen ortrichtlinien Zuletzt ge ndert 05 01 06 Berechtigungen Passwort vergessen Ba Sample Password Policy dnns This is a Sample Password Policy Helpdesk aan Universelles Passwort Identity Manager Identity Managar Ubarbiick Optionen Universelles Passwort aktivieren Wahr Mentitz Erweiterte Passwortregein aktivieren Wahr m Manager Dienstprogramme NDS Passwort bei Auswahl des universallan Passworts entfemen Falsch NDS Passwort bei Auswahl des universellan Passworts synchronisieren Wahr Fr fim Kane Einfaches Passwort bei Auswahl das universellen Passworts synchronisieren Falsch Bereitwalinruntssdeumgn Benutzer darf Passwort abrufen Falsch moar Administrator darf Passw rter abrufen Falsch T NMAS Verteilungspasswort bei A
76. den nachfolgenden Tabellen sind die Ereignisse folgender Komponenten aufgelistet Abschnitt C 1 Engine Ereignisse auf Seite 289 Abschnitt C 2 Serverereignisse auf Seite 299 Abschnitt C 3 Remote Loader Ereignisse auf Seite 301 Abschnitt C 4 Detail Portlets auf Seite 302 Abschnitt C 5 Portlet Passwort ndern auf Seite 302 Abschnitt C 6 Portlets Passwort vergessen und Passwort ndern auf Seite 303 Abschnitt C 7 Portlet Suchliste auf Seite 303 Abschnitt C 8 Portlet Erstellen auf Seite 304 Abschnitt C 9 Sicherheitskontext auf Seite 304 Abschnitt C 10 Workflow auf Seite 306 Abschnitt C 11 Berichte auf Seite 310 C 1 Engine Ereignisse Die Tabellen enthalten die Engine Ereignisse die mit Novell Audit protokolliert werden k nnen Tabelle C 1 Engine Ereignis Felder Originator Title Target Title und Subtarget Title EventID Description Originator Title Target Title Subtarget Title 30001 Status Success Channel src dn dest dn Level 30002 Status Retry Channel src dn dest dn Level 30003 Status Warning Channel src dn dest dn Level 30004 Status Error Channel src dn dest dn Level 30005 Status Fatal Channel src dn dest dn Level 30006 Status Other Channel src dn dest dn Level Identity Manager Ereignisse und Berichte 289 EventID Description Originator Title Target Title Subtarget Title 30007 Search Channel d
77. den versteckten lt INPUT gt Elementen platziert waren Die vom Manager in das Formular eingegebenen Daten sind fett gedruckt lt replacement data gt lt item name room number gt cubicle 1234 lt item gt lt item name template gt post form xml lt item gt lt item name response template gt post response xml lt item gt lt item name auth template gt auth _response xml lt item gt lt item name association gt 45f0e3 ee45e07709 7 192 168 0 1 lt item gt lt item name password is sensitive true gt lt content suppressed lt item gt lt item name protected data gt rO0OABXNyABlqYXZheC5JjJ cnlwdG8uU2VhbGVKT2JqZWNOPJY9psO3VHACA ARbAA11bmNVZGVkUGFyYW1ZAAACWOJbABBIlbmNyeXBOZWRDb250ZWS0OCOB AAFM AAlwYXJhbXNBbGA0OABJMamF2YS9sYW5SnLINOcmluZzztMAAdZZWFSOWxncOB AAJ 4cHVyAAITbQqzzF GGCFTQAGAAeHAAAAAPMAOECIrIZ11G O3BAGEKAXEAFGAEAAAAUMU SoFRkebvh2d5SqalF91ttjRY5lyyw5t FifOuDdYikYiDbOJb6607S0dPHJOzeVgub ptiIvGqaEQOE B JDkY i4VoVjUSXS3 a8fiXB8moMdPtLJ GyE8QiwbT4xbkOy48i02k99F2vGmlenRpSP6dD31kZ13dpJ0mGgq2yL eFaynKyqnjkHLMexcqD8W1VooaRl1k2RPk5VDYvC802bn220KKbOnSRMSYIPSOI Wzx00JVcnVVytOAANOOkVOABBOOkVXaXRoTUQLOWSKREVT lt item gt lt item name responder dAn gt PERIN TAO novell Provo phb lt item gt lt item name auth style sheet gt process template xsl lt item gt lt item name response style sheet gt process template xsl lt item gt lt item name subject name gt Joe the Intern lt item gt lt item
78. der Befehle ist Wenn eine Befehlsoption beispielsweise unload oder tracechange angegeben und die password Option nicht angegeben ist wird der Benutzer auf gefordert das Passwort des Loaders einzugeben auf den sich der Befehl bezieht Beispiel password novell4 p novell4 Ein obligatorischer Parameter Er gibt den TCP IP Port an den der Remote Loader auf Verbindungen vom Remote Schnittstellenmodul berwacht Beispiel port 8090 Ein bedingter Parameter Wenn Sie SSL ausf hren und den Remote Loader f r die Kommunikation mit einem nativen Treiber ben tigen geben Sie Folgen des ein rootfile trusted certname Option Kurzform Parameter Beschreibung service setpasswords serv Sp Kein Parameter oder install uninstall Passwort Pass wort Zum Installieren einer Instanz als Dienst wird das Argument install zusammen mit den zum Hosten eines Anwendungsschnittstellenmoduls erforderli chen Argumenten verwendet Die verwendeten Argumente m ssen z B module und k nnen connection commandport usw enthalten Mit dieser Option wird der Win32 Dienst installiert aber nicht gestartet Zum Deinstallieren einer als Dienst ausgef hrten Instanz wird das Argument uninstall zusammen mit den zum Hosten eines Anwendungsschnittstellen moduls erforderlichen Argumenten verwendet Die Variante ohne Argument wird an der Befe hiszeile nur f r eine Insta
79. der Funktion Passwort vergessen gen gt es die Authentifizierungsdaten auf der Seite Email Serveroptionen in Schritt 2 einzugeben nicht jedoch f r Benachrichtigungen in Verbindung mit der Passwortsynchronisierung 4b Starten Sie die Identity Manager Treiber neu die mit den nderungen aktualisiert werden m ssen Der Treiber liest die Schablonen und die SMTP Serverdaten nur beim Starten ein 5 Passen Sie die Email Schablonen wie unter Einrichten von Email Schablonen f r Benachrichtigungen auf Seite 159 beschrieben an Nachdem Sie den Email Server eingerichtet haben k nnen Email Benachrichtigungen von den Anwendungen gesendet werden wenn Sie Funktionen verwenden die das Versenden von Email Benachrichtigungen ausl sen 5 12 3 Einrichten von Email Schablonen f r Benachrichtigungen Sie k nnen diese Schablonen mit benutzerdefiniertem Text anpassen Der Verwendungszweck einer Schablone geht aus ihrem Namen hervor 1 Klicken Sie in iManager auf Passw rter gt Email Schablonen bearbeiten ADMIN Sammlungseigent merzugriff _ el a EI EI EI EU N Funktionen und Aufgaben El Email Schablonen bearbeiten Alle Kategorien E Identity Manager amp Die Schablonen enthalten Email Nachrichten die nach Ausf hrung einer bestimmten Aktion an die Endanwender gesendet werden Identity Manager berblick Schablonen k nnen durch Klicken auf den Schablonennamen bearbeitet werden z Identity _ Manage
80. die folgenden Aufgaben ausf hren e Wenn Sie SSL Secure Socket Layer verwenden m chten stellen Sie Zertifikate f r eine sichere Daten bertragung bereit Den Remote Loader installieren konfigurieren und ausf hren e Den Identity Manager Treiber importieren konfigurieren und starten Einige Administratoren ziehen es vor den Identity Manager Treiber vor dem Einrichten des Remote Loader zu importieren und zu konfigurieren Dies kann sinnvoll sein wenn der Treiber bereits l uft Sie ihn jedoch remote ausf hren m chten Auf der anderen Seite k nnen Sie bei aktiviertem Remote Loader den Treiber importieren konfigurieren und starten und anschlie end sofort berpr fen ob die Kommunikation zwischen der Metaverzeichnis Engine dem Remote Loader und dem Identity Manager Treiber ordnungsgem ausgef hrt wird 3 2 Sichere Datentransfers Wenn Sie SSL Secure Socket Layer zum Bereistellen eines sicheren Datentransfers verwenden m chten f hren Sie die folgenden Schritte aus 1 Erstellen Sie ein Serverzertifikat Wenn Sie mit der Verwendung von Zertifikaten nicht vertraut sind erstellen Sie ein neues Zertifikat Wenn bereits ein SSL Serverzertifikat vorhanden ist und Sie sich mit SSL Zertifikaten auskennen k nnen Sie dieses verwenden und m ssen kein neues Zertifikat erstellen Einrichten eines verbundenen Systems 47 Wenn ein Server mit einer Baumstruktur verkn pft wird erstellt eDirectory die folgenden Standardzer
81. dieser Seite grau angezeigt wird wird die entsprechende Option nicht vom verbundenen System unterst tzt 4 Nehmen Sie die gew nschten nderungen vor und klicken Sie auf OK Hinweis Sie k nnen Globalkonfigurationswerte separat f r jeden Treiber festlegen Globalkonfigurationswerte f r einen bestimmten Treiber haben Vorrang vor den Werten des Treibersatzes Durch die treiberspezifische Festlegung der Werte kann der Datenaustausch differenzierter gesteuert werden Auf dieser Seite werden nur die f r den jeweiligen Treiber vorhandenen Globalkonfigurationswerte angezeigt Wenn Sie Globalkonfigurationswerte f r das Treibersatzobjekt festlegen werden diese Werte von einem Treiber im betreffenden Treibersatz geerbt wenn der Treiber ber keine eigenen Werte verf gt Wenn der Treiber keine eigenen Werte besitzt und die Globalkonfigurationswerte aus dem Treibersatz erbt werden diese nicht in iManager angezeigt Obwohl iManager geerbte Passwortsynchronisierung mit verbundenen Systemen 93 Globalkonfigurationswerte nicht anzeigt werden diese dennoch von den Passwortsynchronisierungsrichtlinien ber cksichtigt 5 3 4 In der Treiberkonfiguration ben tigte Richtlinien Die Identity Manager Richtlinien der Herausgeber und Abonnentenkan le der einzelnen Treiber steuern den Passwort Transfer auf Grundlage der zuvor erl uterten Einstellungen in den Globalkonfigurationsvariablen Diese Richtlinien sind Bestandteil der Treiberkonfigura
82. eDirectory Driver TesatDriverSet novell eDirectory Verwaltung eDirectory Wartung Funktionsbasierte py funktionsbasierte a a AN Berechtigungen amp Arennbiihee sf Carume mem Eingabetransformationsrichtlinien D g a8 vOrc Gruppen Helpdesk E Identity Manager Identity Manager liberblick gy Identity Manager Dienstprogramme otifications eDirectory Driver Tesat a Konfiguration fiir Einf gen Entfernen _ Bearbeiten Umbenennen L schen Bereitstellungsanforderungen LDAP schtis en gt E NMAS Exportieren Aus Identit tsdepot migrieren Novell Certificate Server Novell Zertifikatszugriff T Partitions und m See Reproduktionsverwaltun E Passw rter R 6 Klicken Sie in der Regelliste auf die Regel die auf die Email Benachrichtigungsschablone verweist Bei der Richtlinie Password Pub Sub Email Notifications wird beispielsweise die abgebildete Regelliste angezeigt Beide Regeln verweisen auf eine der Email Schablonen f r 164 Novell Identity Manager 3 0 Administrationshandbuch die Passwortsynchronisierung Sie m ssen beide Regeln bearbeiten wenn Sie Tags in beide Schablonen einf gen m chten Identity Manager Richtlinie Password Pub Sub Email Notifications eDirectory D DI Kl Identity Manager Identity Manager Richtlinie XML bearbeiten Richtlinienregeln beschreiben eine Richtlinie die von einem geordneten Regelsatz imple
83. fen Herausforderungss tze nr AvayaPBX N0041 AL 2K3 NDS Aktiviert Nicht verf gbar Passwortrichtlinien Ze v el vorig Passwortsynchronisierung Er ce Bi Delimited Text NO041 AL 2K3 NDS Aktiviert Nicht verf gbar ichtlinienzuweisungen anzeigen ee Universelles Passwort festlegen m en DSML SOAP NOO41 AL 2K3 NDS 1 aktiviert nicht verf gbar Email Schablonen bearbeiten ee eDirectory Driver NOO41 AL 2K3 NDS Y Aktiviert Y aktiviert Passwortsynchronisierung mit verbundenen Systemen 113 3 Klicken Sie auf einen Treiber um die aktuellen Einstellungen f r den Passwort Transfer anzuzeigen Treiber ndern AvayaPBx TestDriverSet novell Passwortsynchronisierung F r Server NO041 AL 2K3 NDS novell Identity Manager akzeptiert Passw rter Herausgeberkanal O Verteilungspasswort f r die Passwortsynchronisierung verwenden Passwort nur akzeptieren wenn es der Passwortrichtlinie des Benutzers entspricht Wenn Passwort nicht der Richtlinie entspricht Passwortrichtlinie auf dem verbundenen System erzwingen durch Zur cksetzen des Benutzerpassworts auf das Verteilungspasswort Passwort immer akzeptieren Passwortrichtlinien ignorieren Anwendung akzeptiert Passw rter Abonnentenkanal Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen o Hinweis Dieses verbundene System stellt keine Passw rter zur Verf gung Um Passwortwerte zu erstellen muss eine Identity Manager Richtl
84. gt Der Wert des erstellten Elements ist der association Wert der an Identity Manager zur ckgegeben wird b Verf gt das lt replacement data gt Element ber ein untergeordnetes lt url data gt Element wird das lt url data gt Element durch verschiedene lt item gt Elemente ersetzt die erstellte URL Daten enthalten Siehe lt url data gt und lt url query gt 2 Als eigenst ndiges Element auf oberster Ebene eines Ersetzungsdatendokuments das zur Erstellung eines Dokuments anhand einer Formatvorlage auf dem Abonnenten oder Herausgeberkanal verwendet wird D 2 2 lt item gt Das lt item gt Element kann den Elementen lt replacement data gt lt url data gt oder lt url query gt untergeordnet sein Der Inhalt des lt item gt Elements ist der Text der beim Austauschen der Ersetzungs Token in Schablonen verwendet wird lt item gt Elemente werden immer mithilfe des name Attributs benannt lt item gt Attribute name Der Wert dieses Attributs gibt den Namen an unter dem sich die Ersetzungs Token auf das Attribut beziehen Wenn z B der Wert des name Attributs manager ist wird das Ersetzungs Token manager durch den im Element lt item name manager gt enthaltenen Wert ersetzt Die Verwendung des name Attributs ist obligatorisch protect Bei lt item gt Elementen die untergeordnete Elemente des lt url query gt Elements sind gibt dieses Attribut an ob das Element in der URL Q
85. in Version 1 0 der Passwortsynchronisierung k nnen Sie das NDS Passwort unter Verwendung des eDirectory Treibers zwischen zwei Identit tsdepots synchronisieren F r dieses Szenario muss das universelle Passwort nicht implementiert sein das Verfahren kann mit eDirectory 8 6 2 oder h her durchgef hrt werden Diese Art der Passwortsynchronisierung wird als Synchronisierung des 6ffentlichen privaten Schl sselpaars bezeichnet Diese Methode sollte nur zum Synchronisieren von Passw rtern zwischen zwei Identit tsdepots angewandt werden Da NMAS hierbei nicht zur Verwendung kommt k nnen mit dieser Methode keine Passw rter f r verbundene Anwendungen synchronisiert werden e Vor und Nachteile von Szenario 1 auf Seite 117 Einrichten von Szenario 1 auf Seite 118 Fehlersuche bei Szenario 1 auf Seite 119 Vor und Nachteile von Szenario 1 Tabelle 5 11 Vorteile Passwortsynchronisierung zwischen eDirectory und eDirectory mittels NDS Passwort Vorteile Nachteile Einfache Konfiguration Es m ssen lediglich die richtigen Attribute in den Treiberfilter aufgenommen werden Wenn Sie Identity Manager 3 und eDirectory 8 7 3 stufenweise implementieren kann diese Methode die allm hliche Implementierung erleichtern Es ist nicht erforderlich die Treiberkonfigura tionen um die neuen Passwort Synchro nisierungsrichtlinien zu erweitern Das universelle Passwort muss nicht im Iden tit tsdepot implementier
86. ist der Patch f r diese Datei Solange die Datei angegeben wird werden Java Informationen in sie geschrieben Wenn eine Fehlersuche in Java nicht erforderlich ist lassen Sie dieses Feld leer Erm glicht Ihnen das Festlegen eines Gr enlimits f r die Java Trace Datei Wenn Sie die Dateigr e auf Unbegrenzt setzen nimmt die Datei so lange an Gr e zu bis kein Festplattenplatz mehr vorhanden ist diesen Parametern finden Sie in Tabelle 2 2 auf Seite 40 Wenn Sie nur f r das Treiberobjekt die Parameter festlegen werden nur Informationen f r diesen Treiber im DSTRACE Protokoll angezeigt Verwalten von Identity Manager Treibern 39 Tabelle 2 2 Treiber Trace Parameter Parameter Beschreibung Trace Stufe Trace Datei Gr enlimit der Trace Datei Trace Name Je h her die Trace Stufe des Treiberobjekts desto mehr Informationen werden in DSTRACE angezeigt Trace Stufe 1 zeigt Fehler aber nicht die Ursache f r die Fehler an Wenn Sie Informationen zur Passwortsynchronisierung anzeigen m chten set zen Sie die Trace Stufe auf 5 Wenn Sie Use setting from Driver Set Einstellung aus Treibersatz bernehmen w hlen wird der Wert aus dem Treibersatzobjekt bernommen Geben Sie den Namen einer Datei an in die die Identity Manager Informationen f r den aus gew hlten Treiber geschrieben werden Wenn Sie Use setting from Driver Set Einstellung aus Treibersatz bernehmen w hlen wird
87. je nach Versionsstand von iManager eine Option aus Beispielszenarios f r diese Methoden finden Sie in Abschnitt 5 8 Implementierung der Passwortsynchronisierung Wenn diese Richtlinien erzwungen werden werden einge hende unzul ssige Passw rter nicht in den Datenspeicher von Iden tity Manager geschrieben Diese Option wird auf der NMAS Benutzeroberfl che grau angezeigt wenn sie vom verbundenen System nicht unterst tzt wird gem Treibermanifest Das Passwort wird nur zur ckgesetzt wenn auf dem Herausgeberkanal bei einem Passwortvorgang ein Fehler auftritt Diese Einstellung gilt sowohl f r Passw rter die von Identity Man ager bereitgestellt werden als auch f r Passw rter die ber Identity Manager Richtlinien in der Treiberkonfiguration auf dem Abonnen tenkanal erstellt werden Wenn Sie diese Einstellung deaktivieren werden beide Arten von Passw rtern ausgeschlossen und erreichen somit das verbundene System nicht Diese Option wird auf der Benutzeroberfl che grau angezeigt wenn sie vom verbundenen System nicht unterst tzt wird gem Treiber manifest Mit dieser Einstellung wird festgelegt ob betroffene Benutzer automatisch per Email benachrichtigt werden Die mit Identity Manager gelieferten Treiberkonfigurationen enthalten Eintr ge im Treibermanifest Informationen dazu wie Sie diese Eintr ge in vorhandene Treiber einbinden k nnen finden Sie in Passwortsynchronisierung mit verbundenen Sy
88. kein Passwort liefert Da das Hinzuf gen des Benutzers und das Festlegen des Passworts separat erfolgen erh lt ein neuer Benutzer in diesem Fall immer das Standardpasswort wenn auch m glicherweise nur kurzzeitig Das Standardpasswort wird schon bald aktualisiert weil der Active Directory Treiber das Passwort unmittelbar nach dem Hinzuf gen des Benutzers sendet Wenn das Standardpasswort nicht der Passwortrichtlinie des Identit tsdepots f r den Benutzer entspricht wird eine Fehlermeldung angezeigt Wenn das Standardpasswort beispielsweise aus dem Nachnamen des Benutzers erstellt wird diese aber zu kurz ist und der Passwortrichtlinie nicht entspricht wird durch den Fehlercode 216 angezeigt dass das Passwort zu kurz ist Diese Situation wird behoben indem der Active Directory Treiber ein konformes Ausgangspasswort sendet Unabh ngig vom verwendeten Treiber m ssen Sie eine der nachstehend beschriebenen Ma nahmen in Erw gung ziehen wenn ein verbundenes System das Benutzerobjekte erstellt das Ausgangspasswort bereitstellen soll Diese Ma nahmen sind besonders wichtig wenn das Ausgangspasswort nicht mit dem Add Ereignis sondern mit einem nachgeordneten Ereignis bergeben wird e ndern Sie die zum Erstellen des Standardpassworts verwendete Richtlinie auf dem Herausgeberkanal so ab dass das Standardpasswort den Passwortrichtlinien entspricht die f r Ihre Organisation im Identit tsdepot definiert wurden Klicken Sie auf
89. name url base gt https 192 168 0 1 8180 lt item gt lt item name url gt https 192 168 0 1 8180 lt item gt lt replacement data gt Service Treiber f r manuelle Aufgaben Datenfluss Szenario bei Einstellung eines neuen 345 e Der Webserver berpr ft ob der Wert des item Elements responder dn mit dem responder dn Wert in den gesch tzten Daten bereinstimmt Wenn die Werte nicht identisch sind bricht der Webserver die Anforderung ab Wenn die Werte identisch sind wird die Verarbeitung fortgesetzt f Der Webserver sendet die XDS Anforderung lt check object password gt auf dem Herausgeberkanal an Identity Manager um den Benutzer zu authentifizieren der die HTTP POST Anforderung sendet lt nds dtdversion 1 0 ndsversion 8 6 gt lt source gt lt product build 20020606 0824 instance Manual Task Service Driver version 1 1la gt DirXML Manual Task Service Driver lt product gt lt contact gt Novell Inc lt contact gt lt source gt lt input gt lt check object password dest dn PERIN TAO novell Provo phb event id chkpwd gt lt password gt lt content suppressed gt lt password gt lt check object password gt lt input gt lt nds gt g Identity Manager gibt lt status level success gt zur ck Wenn Identity Manager einen anderen Status als success erfolgreich zur ckgibt wird anhan
90. ngigsten Szenarios Erteilen und Entziehen von Benutzerkonten Gruppenmitgliedschaften und Email Verteilerlisten Nachfolgend die M glichkeiten der einzelnen Treiber Active Directory Erteilen und Entziehen von Konten Gruppenmitgliedschaften Exchange Postfach Exchange 5 5 Erteilen und Entziehen von Mailbox und Gruppenmitgliedschaften GroupWise Erteilen und Entziehen von Konten Erteilen und Entziehen der Zugeh rigkeit zu Verteilerlisten LDAP Erteilen und Entziehen von Benutzerkonten Linux und UNIX Erteilen und Entziehen von Konten Lotus Notes Erteilen und Entziehen von Benutzerkonten und Gruppenmitgliedschaften NT Domain Erteilen und Entziehen von Benutzerkonten und Gruppenmitgliedschaften RACE Erteilen und Entziehen von Gruppenkonten und Gruppenmitgliedschaften Erstellung und Verwendung von Berechtigungen 175 Diese Beispielberechtigungen und richtlinien k nnen Sie unver ndert bernehmen wenn sie Ihren Vorstellungen entsprechen Sie haben aber auch die M glichkeit die Treiber abzuwandeln oder als Beispielvorlagen zu verwenden und eigene Treiber mit iManager oder Designer zu erstellen Wichtig ist wie bereits erw hnt dass Sie die vorkonfigurierten Berechtigungen dieser Treiber nur verwenden k nnen wenn Sie Berechtigungen beim Erstellen des vorkonfigurierten Treibers in Designer oder iManager aktivieren Vorkonfigurierte Berechtigungen k nnen sp ter nicht mehr hinzugef gt werden ohne den Treiber neu zu er
91. nur f r den Java Remote Loader 5 Optional Geben Sie einen Trace Parameter mithilfe der Option trace an Option Kurzform Parameter Beschreibung trace t Ganzzahl Gibt die Trace Stufe an Diese Option wird nur beim Hosten eines Anwendungsschnittstellen moduls verwendet Die Trace Stufen entsprechen den auf dem Metaverzeichnis Server verwendeten Trace Stufen Beispiel trace 3 t 3 6 Optional Geben Sie eine Trace Datei mithilfe der Option tracefile an Option Kurzform Parameter Beschreibung tracefile tf Dateiname Gibt eine Datei an in die die Trace Meldungen geschrieben werden sollen Trace Meldungen wer den in die Datei geschrieben wenn die Trace Stufe gr er als Null ist Trace Meldungen werden auch bei geschlossenem Trace Fenster in die Datei geschrieben Beispiel tracefile c temp trace txt tf c temp trace txt Einrichten eines verbundenen Systems 61 7 Optional Beschr nken Sie die Gr e der Trace Datei mithilfe der Option tracefilemax Geben Sie beispielsweise Folgendes ein tracefilemax 1000M tfm 1000M In diesem Beispiel darf die Trace Datei nicht gr er als 1 GB sein Option Kurzform Parameter Beschreibung tracefilemax tfm Gr e Gibt die Maximalgr e an die die Trace Datei auf der Festplatte belegen darf Bei Angabe dieser Option wird die Trace Datei mit dem Namen ver wendet der mit der Option tracefile angegeben
92. oder entfernen Sie diese Regel wenn die Berechtigungsrichtlinie f r entsprechende Konten in Active Directory gelten soll Dadurch kann das Konto in Active Directory gel scht oder deaktiviert werden Erstellung Abonnentenkanal Die Erstellungsrichtlinie enth lt folgende Regeln die f r Berechtigungen relevant sind e Account Entitlement Block Account Creation When Entitlement Not Granted Bei Verwendung der Benutzerkontoberechtigung mit der Identity Manager Benutzeranwendung oder mit funktionsbasierten Berechtigungen werden Konten nur fiir Benutzer erstellt denen die Kontoberechtigung explizit erteilt wurde Diese Regel legt ein Veto gegen die Erstellung des Benutzerkontos ein wenn die Berechtigung nicht erteilt wurde Identity Vault Accounts Are Enabled if Login Disabled Does Not Exist Prepare To Check Group Entitlements After Add Gruppenberechtigungen werden nach dem Hinzufiigen des Objekts verarbeitet weil das hinzugefiigte Objekt vorhanden sein muss um zu einer Gruppe hinzugef gt werden zu k nnen Das erfolgte Hinzuf gen des Objekts wird durch eine Operationseigenschaft gekennzeichnet die bei Abschluss des Hinzuf gens w hrend der Eingabetransformation berpr ft wird Signal the Need To Check Exchange Entitlements After the Add Map User Name to Windows Logon Name Wenn userPrincipalName so konfiguriert ist dass der Wert dem Benutzernamen in eDirectory entsprechen soll setzen Sie
93. optional Er gibt an dass der Remote Loader eine bestimmte lokale IP Adresse berwacht Dies ist hilfreich wenn der Server der den Remote Loader hostet mehrere IP Adressen hat und der Remote Loader nur eine dieser Adressen berwachen soll Die folgenden drei Optionen sind verf gbar address Adressnummer address localhost Diesen Parameter nicht verwenden Wenn Sie den Parameter address nicht ver wenden Uberwacht der Remote Loader alle lokalen IP Adressen Beispiel address 137 65 134 83 Gibt den Java Klassennamen des zu hostenden Identity Manager Anwendungsschnittstellenmoduls an Einen Java Treiber k nnen Sie beispielsweise mit einer der folgenden Optionen angeben class com novell nds dirxml driver Idap LDAPDriv erShim cl com novell nds dirxml driver Idap LDAP DriverShim Java verwendet zum Lesen von Zertifikaten einen Keystore Die Optionen class und module schlieRen sich gegenseitig aus Eine Liste der Java Klassennamen finden Sie in Tabelle B 2 auf Seite 286 Konfigurationsoptionen f r einen Remote Loader 279 Option Kurzform Parameter Beschreibung commandport cp Portnummer config kein Dateiname connection conn Zeichenkette f r die Verbindung skonfiguration 280 Novell Identity Manager 3 0 Administrationshandbuch Gibt den TCP IP Port an der von der Remote Loader Instanz zu Steuerungszwecken verwendet wird Wenn die Remote Loader Instanz ein Anwend ungsschnit
94. r die Identity Manager Konfiguration angegeben haben e Best tigen Geben Sie das Passwort erneut ein 56 Novell Identity Manager 3 0 Administrationshandbuch Treiberobjektpasswort Abbildung 3 9 Treiberobjektpasswort Treiberobjektpasswort Passwort N Best tigen Passwort Der Remote Loader verwendet dieses Passwort f r die Authentifizierung beim Metaverzeichnis Server Hierbei muss es sich um dasselbe Passwort handeln das Sie bei der Konfiguration des Treibers im Feld Treiberobjektpasswort auf der Treiberkonfigurationsseite angegeben haben e Best tigen Geben Sie das Passwort erneut ein SSL Link Secure Socket Layer Abbildung 3 10 SSL Link Secure Socket Layer SSL Secure Socket Link IV SSL Yerbindung verwenden Herkunftsverb rgungsdatei C vmp RemoteLoader akranes tree CA b64 Oo e SSL Verbindung verwenden W hlen Sie diese Option zum Angeben einer SSL Verbindung e Herkunftsverb rgungsdatei W hlen Sie eine Herkunftsverb rgungsdatei aus Dies ist das exportierte selbssignierte Zertifikat aus der Organisationszertifizierungsstelle des eDirectory Baums Weitere Informationen hierzu finden Sie unter Abschnitt 3 2 2 selbstsigniertes Zertifikat exportieren auf Seite 48 Trace Datei Abbildung 3 11 Trace Datei Trace Datei Trece Stites M Hieemeine Verarbeitungsmeldungen Trace Datei C Novell RemoteLoader Idapdr Trace log Oo Maximaler Festplattenspeicher f r a
95. ssociation token src dn token attr gt lt ELEMENT description token association token src dn token attr gt lt ELEMENT token ssociation EMPTY gt lt ELEMENT token attr EMPTY gt lt ATTLIST token attr ttr name CDATA REQUIRED gt lt ELEMENT token src dn EMPTY gt lt Entitlement reference stored in the DirXML EntitlementRef attribute of a DirXML EntitlementRecipient or a DirXML SharedProfile object gt a QQ A 1o 9 vd AH Erstellung und Verwendung von Berechtigungen 183 lt ELEMENT ref src id param gt lt ELEMENT param PCDATA gt lt ELEMENT id PCDATA gt lt ELEMENT src PCDATA gt lt Entitlement result stored in the DirXML EntitlementResult attribute of a DirXML EntitlementRecipient object gt lt ELEMENT result dn src id param state status msg timestamp gt lt ELEMENT dn PCDATA gt lt ELEMENT state PCDATA gt lt ELEMENT status PCDATA gt lt ELEMENT msq ANY gt lt ELEMENT timestamp PCDATA gt lt Cached query results stored in the DirXML SPCachedQuery attribute of a DirXML Entitlement object gt lt ELEMENT items item gt lt ELEMENT item item display name item
96. template gt Das lt template gt Element ist dem lt message gt Element untergeordnet Das lt template gt Element enth lt den Namen eines XML Dokuments das zur Erstellung des Nachrichtentexts verwendet wird Wenn das lt template gt Element nicht vorhanden ist wird das Dokument mit den Ersetzungsdaten von der Formatvorlage der Nachricht verarbeitet um den Nachrichtentext zu erstellen 334 Novell Identity Manager 3 0 Administrationshandbuch G 11 lt filename gt Das lt filename gt Element ist dem lt attachment gt Element untergeordnet Das lt filename gt Element enth lt einen Dateinamen Anhand des Werts f r filename wird einer erstellten Anlage ein Dateiname zugewiesen G 12 lt replacement data gt Das lt replacement data gt Element ist dem lt message gt Element untergeordnet Der Inhalt des Elements wird von der Formatvorlage die die Schablone verarbeitet als Parameter verwendet Wenn keine Schablone vorhanden ist wird es direkt von der Formatvorlage der Nachricht verarbeitet Die Inhalte des lt replacement data gt Elements werden in Anhang D Service Treiber f r manuelle Aufgaben Ersetzungsdaten auf Seite 319 und Anhang E Service Treiber f r manuelle Aufgaben Automatische Ersetzungsdatenelemente auf Seite 327 beschrieben G 13 lt resource gt Das lt resource gt Element ist dem lt message gt Element untergeordnet Sein Inhalt wird als der Name einer Datei behandelt die in die SMTP
97. tzt kann diese Operation ber iManager nicht ausgef hrt werden Wenn die Task Objektpasswort berpr fen den Code 603 zur ckgibt fehlt im Identit tsdepot Objekt das Attribut nspmDistributionPassword berpr fen Sie den Treiberfilter und die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren innerhalb der Passwortrichtlinie Wenn die Task Objektpasswort berpr fen die Meldung Nicht synchronisiert zur ckgibt vergewissern Sie sich dass die Treiberkonfiguration die entsprechenden Identity Manager Passwortsynchronisierungsrichtlinien enth lt Vergleichen Sie die Passwortrichtlinie im Identit tsdepot mit etwaigen Passwortrichtlinien die von dem verbundenen System durchgesetzt werden um sicherzustellen dass die Richtlinien kompatibel sind Die Task Objektpasswort berpr fen berpr ft das Verteilungspasswort Wenn das Verteilungspasswort nicht aktualisiert wird meldet die Aktion Objektpasswort berpr fen eventuell nicht dass die Passw rter synchronisiert wurden Denken Sie daran dass die Task Passwortstatus berpr fen f r das Identit tsdepot das NDS Passwort anstelle des universellen Passworts berpr ft Wenn also in der Passwortrichtlinie des Benutzers keine Synchronisierung des NDS Passworts mit dem universellen Passwort festgelegt ist wird immer gemeldet dass die Passw rter nicht synchronisiert wurden Das Verteilungspasswort und das Passwort auf dem verbunden
98. und Aktionen verwendet Die folgende Tabelle enth lt die Terminologie nderungen von DirXML 1 la zu Identity Manager 2 x Tabelle 1 1 Terminologiednderungen von DirXML 1 1a zu Identity Manager 2 x Beschriebenes Element DirXML 1 1a Terminologie Identity Manager 2 x Terminologie Transformationssatz Regel Richtliniensatz Eine einzelne Transfor Regel Richtlinien mation innerhalb eines Satzes Die Bedingungen und Regel Regel Aktionen innerhalb einer einzelnen Transformation Die folgende Tabelle enth lt die Terminologie nderungen von Identity Manager 2 x zu Identity Manager 3 0 berblick ber die Identity Manager 3 0 Architektur 9 Tabelle 1 2 Terminologie nderungen von Identity Manager 2 x zu Identity Manager 3 0 Beschriebenes Element Identity Manager 2 x Terminologie Identity Manager 3 Terminologie Das Produkt DirXML Identity Manager Ein Server auf dem das Produkt DirXML Server Metaverzeichnis Server installiert ist Ein Server der Anwendung oder Verbundener DirXML System Verbundener Systemserver Datenbank mit dem die Daten server synchronisiert werden Speicherort der Objekte eDirectory Identitatsdepot Die Verarbeitungskomponente DirXML Engine Metaverzeichnis Engine 1 2 Identity Manager Identity Manager erm glicht die Synchronisierung von Daten zwischen dem Identit tsdepot und dem verbundenen System Das verbundene System besteht aus Anwendungen Verzeichnissen Datenbanken oder Dateien
99. userPrincipalName auf den eDirectory Objektnamen plus den Namen der Active Directory Dom ne Mit dem folgenden Verfahren k nnen Sie sich in iManager den XML Code f r jede Richtlinie ansehen 1 W hlen Sie Identity Manager gt Identity Manager berblick 2 Wechseln Sie zu dem Treibersatz der den Treiber enth lt und klicken Sie anschlie end auf Suchen 180 Novell Identity Manager 3 0 Administrationshandbuch 3 W hlen Sie auf der Seite Identity Manager berblick das Treiberobjekt im angezeigten Treibersatz aus Delimited Text Entitlements Service Driver LDAP 4 Doppelklicken Sie im Treibersatz auf den gew nschten Treiber um die Treiberseite zu ffnen Klicken Sie in der Treibermitte auf das Symbol Alle Richtlinien anzeigen rot eingekreist Identity Manager Treiber berblick Treiber Active Directory TestDriverSet novell Erstellung und Verwendung von Berechtigungen 181 5 Wenn Sie auf der Seite Alle Richtlinien anzeigen eine Richtlinie ausw hlen k nnen Sie sich die Bedingungen und Aktionen ansehen aus denen ist die Richtlinie zusammengesetzt https 172 22 10 89 Novell iManager Mozilla Firefox PER Objekt bearbeiten Command Subscriber Active Directory TesatDriverSet novell Identity Manager Pichtlinie Y Richtlinienregeln beschreiben eine Richtlinie die von einem geordneten Regelsatz implementie besteht aus einem Satz zu testender Bedingungen und einem geo
100. users ou idm sam pl e Jeff o novell Historical Approvat Flow Report Abbildung C 3 Resource Provisioning Report Novell Audit Report for Identity Manager Report Last Modified 10 13 2005 Report Generated On 10 13 2005 Totel pages 3 Resource Provisioning Report Total Events 42 Report Period 10 13 2005 8 47 18AM Resource Value Adder Mgr Approve 5 minute 1 retry TD Provision Granted Provision Success Provision Submitted Provision Success Provision Granted Provision Submitted Revoke Active Directory Account Mgr Approve No Tim eout Provision Revoked Provision Submitted Enable Active Directory Account 2 Parallel Mgr HR Group No Tim eout Provision Granted Provision Submitted Provision Granted Provision Submitted Enable Active Directory Account Mgr Approve No Tim eout Provision Granted Provision Submitted Provision Success Page tof Date Time 9 12 2005 4 38 35PM 9 12 2005 4 38 35PM 9 12 2005 4 38 35PM 9 12 2005 4 33 32PM 9 12 2005 3 32 06PM 9 12 2005 3 32 06PM Date Time 9 9 2005 12 37 37PM 9 9 2005 12 37 37PM Date f Time 9 28 2005 2 12 27PM 9 28 2005 2 12 27PM 9712005 4 52 02PM 9712005 4 52 02PM Date Time 10 12 2005 1 03 28PM 10 12 2005 1 03 28PM 9 9 2005 4 12 02PM User Name cn ablake ou users ou idm sam ple Jeff o novell cn ablake ou users ou idm sam ple Jeff o novell cn ablake ou users ou idm sam ple Jeff
101. verarbeitet wird um die Webseite zu erstellen wird das Ersetzungs Token durch Daniel ein Praktikant ersetzt Auf diese Weise wird die Webseite an den Mitarbeiter angepasst dessen Erstellung des Benutzerobjekts das Versenden der Email ausgel st hat Weitere Informationen zu einer ausf hrlichen Transaktion vom Abonnentenkanal zum Herausgeberkanal finden Sie in Anhang H Service Treiber f r manuelle Aufgaben Datenfluss Szenario bei Einstellung eines neuen Mitarbeiters auf Seite 337 XDS Schablonen des Herausgeberkanals XDS Schablonen sind XML Dokumente die h ufig verwendeten Text und Ersetzungs Token enthalten XDS Schablonen werden zur Generierung von XDS Dokumenten verwendet die auf dem Herausgeberkanal des Service Treibers f r manuelle Aufgaben an Identity Manager gesendet werden Allgemeine Informationen zu Schablonen finden Sie im Abschnitt berblick Ersetzungs Token in XDS Schablonen geben einige Ersetzungsdaten vor die dem Webserver in Form von Daten in einer HTTP POST Anforderung zur Verf gung gestellt werden Im Folgenden finden Sie ein Beispiel f r eine XDS Schablone 238 Novell Identity Manager 3 0 Administrationshandbuch lt nds gt lt input gt lt modify class name User src dn not applicable gt lt association gt Sassociation lt association gt lt modify attr attr name roomNumber gt lt remove all values gt lt add value gt lt value gt room number lt value gt lt add valu
102. verbundenen Systems 51 3 Geben Sie zum Ausw hlen des verbundenen System Servers 2 ein und dr cken Sie die Eingabetaste 4 berpr fen Sie im Bildschirm bersicht vor der Installation die Komponenten die Sie f r die Installation ausgew hlt haben und dr cken Sie anschlie end die Eingabetaste Please Review the Following Before Continuing Install Set Connected System Server Product Components LDAP Driver SAP Driver JDBC Driver Delimited Text Driver Notes Driver Remote Loader Groupwise Driver AVAYA Driver SOAP Driver REMEDY Driver PRESS lt ENTER gt TO CONTINUE Jj Remote Loader unter HP UX AS 400 OS 390 oder z OS installieren Fiir die Plattformen HP UX AS 400 OS 390 und z OS ist ein Java Remote Loader erforderlich 1 Erstellen Sie ein Verzeichnis auf dem Zielsystem auf dem der Java Remote Loader ausgefiihrt werden soll 2 Kopieren Sie die entsprechende Datei aus dem Verzeichnis j ava_remoteloader auf der Identity Manager 3 CD oder im heruntergeladenen Image in das in Schritt 1 erstellte Verzeichnis Plattform Datei HP UXAS 400 dirxml_jremote tar gz dirxml_jremote tar gz dirxml_jremote_mvs tar z OS OS 390 dirxml_jremote_mvs tar 3 Wenn Sie HP UX AS 400 oder z OS verwenden dekomprimieren Sie die Datei dirxml_jremote 4 Dekomprimieren Sie die gerade kopierte Datei Der Java Remote Loader kann nun konfiguriert werden Da die tar Datei keine Treiber enth lt m ssen Sie die
103. verwendet wird den Zugriff auf das nsimHint Attribut e Machen Sie zur Bedingung dass Benutzer zuerst Herausforderungsfragen beantworten m ssen bevor sie den Passworthinweis erhalten Erinnern Sie Benutzer daran Passworthinweise zu erstellen aus denen nur sie das Passwort ableiten k nnen Die Passwort nderungsmeldung in der Passwortrichtlinie bietet dazu eine M glichkeit Weitere Informationen hierzu finden Sie unter Adding a Password Change Message im Password Management Administration Guide http www novell com documentation password_management index htm Administrationshandbuch zur Passwortverwaltung Falls Sie auf die Passworthinweise verzichten m chten stellen Sie sicher dass sie in keiner der Passwortrichtlinien verwendet werden Wenn Sie das Einrichten von Passworthinweisen verhindern m chten k nnen Sie noch einen Schritt weitergehen und die Einrichtungsfunktion vollst ndig entfernen Eine Beschreibung dieses Vorgangs finden Sie unter Disabling Password Hint by Removing the Hint Gadget im Password Management Administration Guide http www novell com documentation password_management index htm Administrationshandbuch zur Passwortverwaltung e Herausforderungsfragen sind ebenfalls ffentlich zug nglich damit nicht authentifizierte Benutzer die ihr Passwort vergessen haben sich auf eine andere Art authentifizieren k nnen Herausforderungsfragen als erforderlich zu definieren erh ht im Rahmen der
104. von Benutzereingaben und automatisierten Regeln zu treffen wobei kein manuelles Eingreifen erforderlich ist Weitere Informationen hierzu finden Sie in der Dokumentation der Benutzeranwendung http www novell com documentation idm 1 4 Designer Designer ist eine eigenst ndige Client Anwendung Die Anwendung besteht aus einem Modeler Bereich einer Palette Ansichten einem Richtlinien Builder einem Dokumentengenerator und anderen Funktionen sodass Sie Identity Manager basierte L sungen in einer hoch produktiven Umgebung entwerfen testen dokumentieren und bereitstellen k nnen Weitere Informationen zu Designer finden Sie im Designer for Identity Manager 3 Administration Guide Designer f r Identity Manager 3 Administrationshandbuch 18 Novell Identity Manager 3 0 Administrationshandbuch Verwalten von Identity Manager Treibern In diesem Abschnitt wird beschrieben wie Sie Identity Manager Treiber erstellen und verwalten Es werden u a folgende Themen erl utert e Abschnitt 2 1 Erstellen und Konfigurieren von Treibern auf Seite 19 Abschnitt 2 2 Verwalten von DirXML 1 1a Treibern in einer Identity Manager Umgebung auf Seite 21 Abschnitt 2 3 Upgrade einer Treiberkonfiguration von DirXML 1 1 auf ein Identity Manager Format auf Seite 21 Abschnitt 2 4 Starten Stoppen oder Neustart eines Treibers auf Seite 22 Abschnitt 2 5 Treiberparameter auf Seite 22 Abschnitt 2 6 Globalkonfi
105. von SMTP Authentifizierungsdaten in Treiberrichtlinien auf Seite 160 Passwortsynchronisierung mit verbundenen Systemen 157 U Wenn Sie sich nicht sicher sind ob die Email Adresse bei allen Benutzern eingetragen ist oder eine Email Chronik aller Fehlerbenachrichtigungen m chten k nnen Sie das Konto eines Passwort Administrators angeben an den s mtliche an die Benutzer gerichteten Email Benachrichtigungen ebenfalls gesendet werden Diese Email Adresse sollte im Feld An der Identity Manager Skriptrichtlinie stehen Weitere Informationen finden Sie unter Abschnitt 5 12 6 Senden von Email Benachrichtigungen an den Administrator auf Seite 168 U Wenn eDirectory und Identity Manager auf einem UNIX Server laufen muss der Server eine Reproduktion der Email Schablonenobjekte bereithalten Diese Objekte sind im Sicherheitscontainer gespeichert im Stamm Der Server ben tigt somit eine Reproduktion der Stammpartition 5 12 2 Den SMTP Server f r das Senden von Email Benachrichtigungen einrichten 1 Klicken Sie in iManager auf Passw rter gt Email Serveroptionen ADMIN Te EEE EIG Sammlungseigent merzugriff Kia E N q Funktionen und Aufgaben 3 Em ail Serveroptionen Ale Kategorien gt Geben Sie die Einstellungen f r Ihren Email Benachrichtigungsserver ein Identity Manager Uberblick Identity Hostname Manager Dienstprogramme zum Beispiel mail novell com oder 137 89 119
106. von dem Wert den Sie f r die globale Variable Bei Entzug Erstellung und Verwendung von Berechtigungen 179 der Kontoberechtigung gew hlt haben Diese Regel wird ausgef hrt wenn sich die Berechtigung ndert und Sie die Option L schen gew hlt haben e Die Regel User Account Entitlement Change Disable Option Uber die Benutzerkontoberechtigung wird dem Benutzer in Active Directory ein aktiviertes Konto erteilt Durch Entziehen der Berechtigung wird das Konto in Active Directory deaktiviert oder gel scht in Abh ngigkeit von dem Wert den Sie f r die globale Variable Bei Entzug der Kontoberechtigung gew hlt haben Diese Regel wird ausgef hrt wenn sich die Berechtigung ndert und Sie die Option Deaktivieren gew hlt haben e Die Regel Check User Modify for Group Membership Being Granted or Revoked e Die Regel Check User Modify for Exchange Mailbox Being Granted or Revoked e Entsprechung Abonnentenkanal Dies ist die Regel Account Entitlement Do Not Match Existing Accounts f r diese Richtlinie Bei Verwendung der Benutzerkontoberechtigung mit der Identity Manager Benutzeranwendung oder mit funktionsbasierten Berechtigungen werden Konten durch Erteilen oder Entziehen der Berechtigung erstellt und gel scht oder deaktiviert Die Standardrichtlinie gilt nicht f r ein entsprechendes in Active Directory bereits vorhandenes Konto wenn dem Benutzer kein Konto in Active Directory zusteht Bearbeiten
107. weiteres Beispiel Consuela wird durch die Richtlinie Mailroom die Mitgliedschaft in der AD Gruppe Mailroom Staff erteilt Zudem wird ihr von der Richtlinie Emergency Volunteers die Mitgliedschaft in der AD Gruppe Emergency Response erteilt In diesem Fall wird Consuela die Mitgliedschaft in beiden AD Gruppen erteilt Bei dieser Einstellung spielt die Reihenfolge einer Berechtigungsrichtlinie in der Richtlinienliste keine Rolle conflict resolution priority Wenn sich zwei Werte in unterschiedlichen Richtlinien berschneiden oder eine Richtlinie den Benutzer ein und eine andere ihn ausschlie t bewirkt der Wert priority dass einem Benutzer nur die Berechtigungen aus der Berechtigungsrichtlinie erteilt werden die in der Liste weiter oben stehen 204 Novell Identity Manager 3 0 Administrationshandbuch Bei den vorgenannten Beispielen f llt das Ergebnis mit dieser Einstellung anders aus Jameel beispielsweise erh lt keine Mitgliedschaft in Trade Show Mailing List wenn die Richtlinie f r die GroupWise Email Verteilerliste den Wert priority verwendet und die Richtlinie Trade Show Managers in der Liste vor der Richtlinie Trade Show Contractors steht Consuela erh lt nur die Mitgliedschaft in der Gruppe Mailroom Staff wenn die AD NOS Gruppenmitgliedschaftsberechtigung den Wert priority verwendet und die Richtlinie Mailroom in der Liste vor der Richtlinie Emerg
108. zu erstellen mit der Sie anschlie end in einer Anwendung ein Konto erteilen k nnen Der Active Directory Treiber mit aktivierter Unterst tzung f r Berechtigungen besitzt eine UserAccount Berechtigung die Active Directory zum Erteilen oder Entziehen eines Benutzerkontos verwendet lt xml version 1 0 encoding UTF 8 gt lt entitlement conflict resolution union description The User Account entitlement grants or denies an account in ActiveDirectory for the user When granted the user is given an enabled logon account When revoked the logon account is either disabled or deleted depending on how the drive is configured display name User Account Entitlement name UserAccount gt lt entitlement gt In diesem Beispiel erfolgt die Konfliktl sung ber das Attribut union d h die Berechtigung kann die zugewiesenen Werte zusammenf hren Wie bereits erw hnt sind mit einem Wert belegte Einstellungen f r Berechtigungen ohne Wert nicht relevant Das Feld description Beschreibung erl utert wof r diese Berechtigung verwendet wird und warum sie erstellt wurde Diese Informationen sind hilfreich wenn nachtr glich nderungen an der Berechtigung vorgenommen werden Der eigentliche Name der Berechtigung lautet UserAccount das Attribut lt display name gt sorgt jedoch daf r dass in einem Verwaltungsagenten der Name User Account Entitlement Benutzerkontoberechtigung angezeigt wird Beispie
109. 05 Totet pages 5 Subject cen TestCreateG roup ou groups ou idm sam ple cts10 0 novell en testCreateUser11 0u users ou i dm sam ple cts10 0 novell cn TestCreateG roup ou groups ou idm sam ple cts10 0 novell en testCre ateUser11 0u users ou i dm sam ple cts10 0 novell cn TestCreateG roup ou groups ou idm sam ple cts10 0 novell cn TestCreateG roup ou groups ou idm sam ple o novell cn testCreatelser ou users ou idm sample o novell cn TestCreateGroup ou groups ou idm sam ple o novell cen testCreateUser ou users ou idm sam ple o novell cen TestCreateG roup ou groups ou idm sam ple o novell cn testCreatellser ou users ou idm sam ple o novell cn TestCreateG roup ou groups ou idm sam ple o novell en testCreateUser ou users ou idm sam ple o novell cn testCreatellser ou users ou idm sample o novell cn testCreatellser ou users ou idm sam ple Jeff o novell cen TestCreateG roup ou groups ou idm sam ple Jeff o novell cn adm in ou idm sam ple Jeff o nov ell cn adm in ou idm sam ple Jeff o now ell cn 44 ou users ou idm sam ple Jeff o novell cn asoprano ou users ou idm sam pl e o novell Administrative Action Report Identity Manager Ereignisse und Berichte 311 Action Entity Deleted Entity Deleted Entity Deleted Entity Deleted Entity Deleted Entity Deleted Entity Created Entity Created Entity Created Entity Created Entity Created Entity Created Entity Created Entity Created Entity Deleted Entity Dele
110. 1 gt dient zum Auffinden und Auslesen von Objekten aus der verbundenen Anwendung Die Funktionalit t f r DirXML Regeln Objektmigration usw h ngt von der Implementierung dieses Abfragebefehls im Treiber ab Weitere Informationen zu XML Abfragen finden Sie in der Dokumentation der Novell Entwickler zu Abfragen http developer novell com ndk doc dirxml dirxmlbk ref ndsdtd query html lt ELEMENT result set display name description ent value gt lt ELEMENT display name token attr token src dAn token association gt lt ELEMENT ent value token association token src dn token attr gt lt ELEMENT description token association token Erstellung und Verwendung von Berechtigungen 185 src dn token attr gt lt ELEMENT token association EMPTY gt lt ELEMENT token attr EMPTY gt lt ATTLIST token attr attr name CDATA REQUIRE oO Verwenden Sie das Element result set Ergebnis Set als Hilfe bei der Interpretation der Ergebnisse aus der Abfrage einer externen Anwendung Drei Datenelemente sind dabei von Interesse der Anzeigename des Werts das untergeordnete Element display name die Beschreibung des Werts das untergeordnete Element description und der nicht angezeigte Literale des Berechtigungswerts das untergeordnete Element ent value Die Token Elemente lt token src dn gt
111. 11 berpr fen des Passwortsynchronisierungsstatus eines Benutzers 155 5 12 Konfigurieren der Email Benachrichtigung 2222220 cece ee eee eee 156 5 12 17 Voraussetzungen wz 2 afew 2 Su ea ee Sate was 157 5 12 2 Den SMTP Server f r das Senden von Email Benachrichtigungen einrichten 158 5 12 3 Einrichten von Email Schablonen f r Benachrichtigungen 159 5 12 4 Bereitstellen von SMTP Authentifizierungsdaten in Treiberrichtlinien 160 5 12 5 Hinzuf gen eigener Platzhalter Tags zu Email Benachrichtigungsschablonen 162 5 12 6 Senden von Email Benachrichtigungen an den Administrator 168 5 12 7 bersetzen von Email Benachrichtigungsschablonen 222222222 169 5 13 Fehlersuche bei der Passwortsynchronisierung 2 22222222 169 Erstellung und Verwendung von Berechtigungen 173 6 1 Terminologies Fee re eet en rn Sn a ee re ee 174 6 2 Erstellen von Berechtigungen Uberblick 2 0 0 0 00 cece eee eens 174 6 2 1 Identity Manager Treiber mit Vorkonfigurationen die Berechtigungen unterst tzen 175 6 2 2 Aktivieren von Berechtigungen bei anderen Identity Manager Treibern 176 6 3 Voraussetzungen f r Berechtigungen 22202 e seen een ernennen 178 6 4 Erstellen von Berechtigungen in XML mit iManager 0 00 e eee eee 178 6 4 1 Vom Active Directory Treiber bei der Aktivierung von Berechtigungen beigesteuerte Komponenten issc Yan ur D
112. 2 Post output transformation XDS document XDS Dokument vom Typ Nach Ausgabetransformation 23 Post event transformation XDS document XDS Dokument vom Typ Nach Ereignistransformation 24 Post placement transformation XDS document XDS Dokument vom Typ Nach Platzierungstransfor mation 25 Post create transformation XDS document XDS Dokument vom Typ Nach Erstellungstransforma tion 26 Post mapping transformation lt inbound gt XDS document XDS Dokument vom Typ Nach Zuordnung stransformation eingehend 27 Post mapping transformation lt outbound gt XDS document XDS Dokument vom Typ Nach Zuord nungstransformation ausgehend 28 Post matching transformation XDS document XDS Dokument vom Typ Nach Entsprechungstrans formation 29 Post command transformation XDS document XDS Dokument vom Typ Nach Befehlstransforma tion 30 Post filtered XDS document lt Publisher gt XDS Dokument vom Typ Nach Filterung Herausgeber 31 User agent XDS command document XDS Befehlsdokument vom Typ Benutzeragent 32 Driver resync request Anforderung auf Neusynchronisierung des Treibers 33 Driver migrate from application Treiber migrieren von Anwendung 34 Driver start Treiber starten 35 Driver stop Treiber stoppen 36 Password sync Passwortsynchronisierung 37 Password request Passwortanforderung 38 Engine error Engine Fehler 39 Engine warning Engine Warnhinweis 40 Add attribute At
113. 9e600vBsiPdp6j SPzbFxcgALI2AMBh4hf9jnx7 zOU9YUVA9QgXt aE2rROAANOOKVOABBOOKVXaXRoOTUQ1QOWSKREVT lt item gt lt item name url gt https 192 168 0 1 8180 process template xsl template form template xml amp amp responder dn 5CPERIN TAOS S5Cnovell 5CProvo 5Cphb amp responder dn 5CPERIN TAOS5Cnovells5Cprovo 5Ccarol amp subject name Joetthe tIntern amp amp association 1671b2 3Aee4246a561 3A 7 ff 3A192 168 0 1 amp amp protected data rO0ABXNyABlqYXZheC5JcnlwdG8uU2VhbGVKT2JqZWNOPJY9psO3VHACAA RbAA1 lbmNvZGVKUGFyYW1 zdAACW0 JbABBlbmNyeXB0ZWRDbD250ZW50cQOBS2BAAF MAAlwYXJhbXNBbGA0OABJMamF2YS9sYW5SnLINOcmluZztMAAdZZWFsSOWxncOB 2B DAJ4cHVyAAJbQqzzF 2FgGCFTgAgAAeHAAAAAPMAOECEIBRONGP3 xEAGEKGXEAf gGAEAAAAUMS FqzHXwtMx8DkRCzkK1046sEz1u5103MDvHn 2B3 2BfE6SphHr3Hg jl1i14Jp3rUkH7y6dXvcu7iq21Vs 2B90612VZ1JTIJX 32FJ JRrVZIRSJouRNhk8J HFZ8FhgsmilAH 2FFs61k4WmyEcmyY fWmfqfBVeThr3Avwcim6ranS5Mm2U5i 92 2FDBR13pIAobMpwWYkMaz4 2BG9e600vBsiPdp6j SPzbFxcgALI2AMBh4hf9jnx7 ZOU9UVd9gXtaE2 rROAANOOkVOABBOOkVXaXRoTUQLOWSkKREV lt item gt lt replacement data gt g Der Abonnentenkanal verarbeitet die Datei html_msg_template xml mit der Datei process _template xsl Das Ersetzungsdatendokument wird als Parameter an die Formatvorlage bergeben Im Folgenden finden Sie das Dokument html_msg_template xml Die Ersetzungs Token sind fett gedruck
114. APDriverShim com novell nds dirxml driver sifagent SIFShim com novell nds dirxml driver soap SOAPDriver com novell idm driver ComposerDriverShim 286 Novell Identity Manager 3 0 Administrationshandbuch Avaya PBX Treiber Treiber fur Text mit Begrenzungsze ichen eDirectory Treiber Treiber fur den Berechtigungsser vice GroupWise Treiber JDBC Treiber LDAP Treiber Loopback Treiber Treiber fur manuelle Aufgaben NIS Treiber Notes Treiber PeopleSoft Treiber SAP HR Treiber Treiber fur die SAP Benutzerverwal tung SIF Treiber SOAP Treiber Benutzeranwendung Java Klassenname Treiber be opns dirxml driver ars arsremedydrivershim ARSDriverShim Treiber f r Remedy ARS Konfigurationsoptionen f r einen Remote Loader 287 288 Novell Identity Manager 3 0 Administrationshandbuch Identity Manager Ereignisse und Berichte Dieser Abschnitt enth lt eine Liste aller Novell Audit Ereignisse die von Identity Manager protokolliert werden Hier finden Sie auch Beispiele f r die Berichte die mit Novell Audit erzeugt werden k nnen In Abschnitt C 11 Berichte auf Seite 310 finden Sie die Beispielberichte Jedes Ereignis enth lt folgende Informationen EventID Description Originator Title Target Title Subtarget Title Text Title Text2 Title Text3 Title Valuel Title Valuel Type Value2 Title Value2 Type Value3 Title Value3 Type Group Title Group Type Data Title Data Type und Display Schema In
115. AS synchronisiert das universelle Passwort unter Ber cksichtigung der Einstellungen der NMAS Passwortrichtlinien mit dem Verteilungspasswort und anderen Passw rtern 4 Identity Manager ruft das Verteilungspasswort ab um es an verbundene Systeme zu verteilen die Passw rter akzeptieren 120 Novell Identity Manager 3 0 Administrationshandbuch Obwohl in diesem Diagramm gleich mehrere Systeme mit Identity Manager verbunden sind gilt es zu beachten dass die Einstellungen f r die Treiber jedes verbundenen Systems einzeln festgelegt werden m ssen Abbildung 5 8 Passwortsynchronisierung ber das universelle Passwort Identity S Manager gt Verteilungs passwort NDS Passwort Einfaches Passwort Einrichten von Szenario 2 So richten Sie diese Art der Passwortsynchronisierung ein e Implementierung des universellen Passworts auf Seite 121 Konfiguration der Passwortrichtlinie auf Seite 121 Einstellungen f r die Passwortsynchronisierung auf Seite 123 Treiberkonfiguration auf Seite 125 Implementierung des universellen Passworts berzeugen Sie sich davon dass die Verwendung des universellen Passworts in Ihrer Umgebung m glich ist Weitere Informationen hierzu finden Sie in Abschnitt 5 4 Vorbereitungen zur Nutzung der Identity Manager Passwortsynchronisierung und des universellen Passworts auf Seite 100 Konfiguration der Passwortrichtlinie Stellen Sie sicher
116. Abbildung 5 6 Synchronisierung zwischen zwei Identitdtsdepots ber das NDS Passwort Identit tsdepot Verteilungs passwort Identit tsdepot NDS Identity Manager Treiber N Password f r eDirectory NDS Passwort Einfaches Passwort Einrichten von Szenario 1 Damit Sie diese Art der Passwortsynchronisierung einrichten k nnen m ssen Sie zun chst den Treiber konfigurieren Implementierung des universellen Passworts Nicht erforderlich Konfiguration der Passwortrichtlinie Keine Einstellungen f r die Passwortsynchronisierung Keine Die Einstellungen auf der Seite Passwortsynchronisierung f r einen Treiber haben bei dieser Methode der Synchronisierung eines NDS Passworts keine Auswirkungen Treiberkonfiguration Entfernen Sie die in Abschnitt 5 3 4 In der Treiberkonfiguration ben tigte Richtlinien auf Seite 94 aufgef hrten Passwortsynchronisierungsrichtlinien Diese Richtlinien zielen auf die Unterst tzung des universellen Passworts und des Verteilungspassworts ab Das NDS Passwort wird nicht ber diese Richtlinien sondern ber die Attribute f r den privaten und ffentlichen Schl ssel synchronisiert 118 Novell Identity Manager 3 0 Administrationshandbuch Stellen Sie sicher dass der Treiberfilter f r die Treiber beider Identit tsdepots die Attribute des ffentlichen und des privaten Schl ssels f r alle Objektklassen synchronisiert f r die Passw rter synchronisiert werden s
117. Aufgaben Ersetzungsdaten 325 326 Novell Identity Manager 3 0 Administrationshandbuch Service Treiber f r manuelle Aufgaben Automatische Ersetzungsdatenelemente Der Service Treiber f r manuelle Aufgaben stellt bestimmte Ersetzungsdatenelemente zur Verf gung In diesem Abschnitt werden diese Datenelemente beschrieben E 1 Automatische Ersetzungsdaten auf dem Abonnentenkanal W hrend der Verarbeitung auf dem Abonnentenkanal werden automatisch folgende Datenelemente zu replacement data Dokumenten hinzugef gt association Ein Element vom Typ lt item name association gt wird zum replacement data Dokument hinzugef gt wenn das lt mail gt Element ber ein untergeordnetes lt association gt Element verf gt oder wenn der Abonnentenkanal ein lt add association gt Element zur ckgibt Der Inhalt des lt item gt Elements ist der association Wert des eDirectory Objekts das der verarbeiteten Email zugeordnet ist Da der Wert f r association dem eDirectory Objekt m glicherweise noch nicht hinzugef gt wurde kann er nicht f r Abfragen verwendet werden url Der Inhalt des lt item gt Elements ist die vollst ndige URL die in der Email zu verwenden ist Auf dem Abonnentenkanal wird das url item Element aus den folgenden item Elementen unterhalb des lt url data gt Elements erstellt aus scheme host port file und den item Elementen unterhalb des lt url query gt Elements W
118. Berechtigungen die Sie ber eine Berechtigungsrichtlinie zuweisen k nnen Sie k nnen auch eigene Berechtigungen erstellen die in einer Berechtigungsrichtlinie verwendet werden Die Berechtigungen die der Treiber bereitstellen kann sind untergeordnete Objekte des Treibers die der Treiberentwickler erstellt um die M glichkeiten des Treibers und des verbundenen Systems zu repr sentieren Trustee Rechte auf Objekte im Identit tsdepot werden Mitgliedern der Berechtigungsrichtlinie sofort erteilt Berechtigungen f r verbundene Systeme werden standardm ig allen Mitgliedern der Berechtigungsrichtlinie erteilt wenn das n chste Mal ein Attribut f r die Mitgliedschaft in einer Berechtigungsrichtlinie ge ndert ein Benutzer in einen anderen Container verschoben oder umbenannt wird F r verbundene Systeme k nnen folgende Berechtigungen vergeben werden e Konten e Mitgliedschaft in Email Verteilerlisten e Gruppenmitgliedschaft in NOS Listen e Attribute f r die entsprechenden Objekte in verbundenen Systemen die mit von Ihnen angegebenen Werten belegt sind e Andere individuell angepasste Berechtigungen Konten auf verbundenen Systemen ffnen Sie zum Hinzuf gen von Berechtigungen zu einer Berechtigungsrichtlinie die Seite Berechtigungen und w hlen Sie einen Treiber aus Die vom Treiber bereitgestellten Berechtigungen werden eingeblendet 200 Novell Identity Manager 3 0 Administrationshandbuch Die folgende Abbildung zeigt be
119. Betriebssystems identisch ist z B bei Oracle MS SQL MySQL oder Sybase Der Identity Manager Treiber f r JDBC kann zum Bearbeiten eines Passworts auf dem verbundenen System verwendet werden Diese Funktion wird jedoch durch die Beispiel Treiberkonfiguration nicht veranschaulicht SPassw rter k nnen wie Daten synchronisiert werden wenn sie in einer Tabelle gespeichert sind 6Wenn der LDAP Zielserver das Einstellen des Attributs userpassword zul sst Der Notes Treiber kann nur f r das Feld HTTPPassword in Lotus Notes eine Passwort nderung akzeptieren und Passw rter berpr fen 5 2 3 Systeme die keine Passw rter akzeptieren oder bereitstellen Die folgenden verbundenen Systeme k nnen unter Verwendung der Beispiel Treiberkonfiguration Passw rter weder entgegennehmen noch auf dem verbundenen System bereitstellen Obwohl diese Systeme nicht imstande sind das Passwort des Benutzers an Identity Manager zu bergeben k nnen sie so konfiguriert werden dass sie mittels einer Richtlinie auf dem Herausgeberkanal ein Passwort erstellen k nnen das auf anderen Benutzerdaten im verbundenen System basiert Die Beispiel Treiberkonfigurationen veranschaulichen das Erstellen eines auf dem Nachnamen des Benutzers basierenden Standardpassworts Tabelle 5 4 Systeme die keine Passw rter akzeptieren oder bereitstellen Abonnentenkana Abonnentenkanal Abonnentenkanal Herausgeberkanal Treiber des verbundenen
120. Einstellungen f r den Abonnentenkanal beschrieben SMTP Server Mit diesem Parameter wird der Name des SMTP Servers festgelegt den der Abonnentenkanal zum Versenden von Emails verwendet SMTP Kontoname Wenn f r den durch die SMTP Server Parameter festgelegten SMTP Server eine Authentifizierung erforderlich ist gibt dieser Parameter den f r die Authentifizierung zu verwendenden Kontonamen an Das verwendete Passwort ist das Anwendungspasswort das den Parametern der Treiberauthentifizierung zugeordnet ist Standardm ige Absenderadresse Wenn dieser Parameter angegeben wird besteht er aus der Email Adresse die vom Abonnentenkanal als SMTP Absenderadresse verwendet wird Wenn dieser Parameter nicht angegeben wird m ssen die lt mail gt Elemente die an den Abonnentenkanal gesendet werden ein lt from gt Element enthalten Ein lt from gt Element das unter lt mail gt Elementen an den Abonnentenkanal gesendet wird hat Vorrang vor diesem Parameter Zus tzliche Behandlungsroutinen Wenn dieser Parameter angegeben wird besteht er aus einer durch Whitespaces getrennten Liste mit Java Klassennamen Jeder Klassenname ist eine benutzerdefinierte Klasse die die Schnittstelle com novell nds dirxml driver manualtask CommandHandler implementiert und ein 234 Novell Identity Manager 3 0 Administrationshandbuch benutzerdefiniertes XDS Element verarbeitet Bei der Behandlungsroutine f r lt mail gt handelt es sich um eine i
121. Eintr ge im Protokoll 50 500 5 Geben Sie die maximale Protokollgr e im Feld Maximale Anzahl der Eintr ge im Protokoll an Maximale Anzahl der Eintr ge im Protokoll 50 500 6 Wenn Sie die Einstellung vorgenommen haben klicken Sie auf OK 262 Novell Identity Manager 3 0 Administrationshandbuch 10 7 2 Anzeigen von Statusprotokollen Eintr ge im Statusprotokoll werden in iManager in Form eines Statusprotokollsymbols Ei dargestellt An den Stellen an denen Sie dieses Symbol in iManager sehen k nnen Sie ein Kurzzeitprotokoll anzeigen Folgende Statusprotokolle sind verf gbar e F r den Treibersatz e Auf dem Herausgeberkanal f r jeden Treiber im Satz e Auf dem Abonnentenkanal f r jeden Treiber im Satz Die Statusprotokolle f r den Herausgeber und den Abonnentenkanal protokollieren kanalspezifische Meldungen die vom Treiber generiert werden z B ein Vorgangsveto fiir ein nicht verkniipftes Objekt Das Statusprotokoll f r den Treibersatz enth lt nur von der Engine generierte Meldungen z B Status nderungen f r Treiber im Treibersatz Alle Engine Meldungen werden protokolliert Protokollierung und Berichterstellung mit Novell Audit 263 264 Novell Identity Manager 3 0 Administrationshandbuch DirXML Befehlszeilenprogramm Dieses Dienstprogramm und sowie mehrere Skripts werden im Rahmen der Installation von Identity Manager auf allen Plattformen installiert Das Befehlszeilenprogramm befindet sich in fo
122. Element und ersetzt das lt add gt Befehlselement durch das lt mail gt Element Im folgenden Beispiel sind Ersetzungsdatenelemente fett gedruckt lt nds dtdversion 1 1 ndsversion 8 6 gt lt input gt lt mail src dn PERIN TAO novell Provo Joe gt lt to gt phb company com lt to gt lt cc gt carol company com lt cc gt lt bcc gt HR company com lt bcc gt lt reply to gt HR company com lt reply to gt lt subject gt Room Assignment Needed for Joe the Intern lt subject gt lt message mime type text html gt lt stylesheet gt process template xsl lt stylesheet gt lt template gt html_msg template xml lt template gt lt replacement data gt lt item name manager gt JStanley lt item gt lt item name given name gt Joe lt item gt lt item name surname gt the Intern lt item gt 338 Novell Identity Manager 3 0 Administrationshandbuch lt url data gt lt item name file gt process template xsl lt item gt lt url query gt lt item name template gt form template xml lt item gt lt item name responder dn protect yes gt PERIN TAO novell Provo phb lt item gt lt item name responder dn protect yes gt PERIN TAO novell Provo carol lt item gt lt item name subject name gt Joe the Intern lt item gt lt url query gt lt url data gt lt replacement data gt lt resource cid css 1 gt novdocmain css lt resource gt lt message gt lt mail gt lt input gt lt nds gt
123. Event ID 30009 Delete Entry Object type src dn Event ID 3000A Modify Entry Object type src dn Event ID 3000B Rename Entry New name src dn Event ID 3000C Move Entry Move Association src dn Event ID 3000D Add Association Association Event ID 3000E Remove Association Association Event ID 3000F Query Schema Event ID 30010 Check Password 30011 Check Object Password Event ID 30012 Change Password Object type src dn Event ID 30013 Sync Object type association Type 30014 Input XML Document Warning message 30015 Input Transformation Warning message Document 30016 Output Transformation Warning message Document 30017 Event Transformation Warning message Document 30018 Placement Rule Trans Warning message formation Document 30019 Create Rule Transforma Warning message tion Document 3001A Input Mapping Rule Warning message Transformation Docu ment 3001B Output Mapping Rule Warning message Transformation Docu ment 3001C Matching Rule Transfor Warning message mation Document 3001D Command Transforma Warning message tion Document 3001E Publisher Filter Transfor Warning message mation Document 3001F User Agent Request 292 Novell Identity Manager 3 0 Administrationshandbuch EventID Description Text1 Title Text2 Title Text3 Title 30020 Resync Driver Error message 30021 Migrate Object type Warning message 30022 Driver Start Driver message 30023 Driver Stop Driver message 30024 Password Sync 30025 Password Reset s
124. Ganzen genauso wie die Funktion f r das NDS Passwort Wenn ein Administrator das Passwort eines Benutzers ndert z B beim Erstellen eines neuen Benutzers oder als Reaktion auf einen Helpdesk Anruf l uft das Passwort automatisch ab wenn Sie die entsprechende Einstellung in der Passwortrichtlinie aktiviert haben Die Einstellung befindet sich in der Passwortrichtlinie unter Erweiterte Passwortregeln und lautet Anzahl der Tage bis zum Ablaufen des Passworts 0 365 Bei dieser speziellen Funktion ist die Anzahl der Tage unwichtig aber die Einstellung muss aktiviert sein 7 4 Erstellen von Richtlinien fur sichere Passworter Passwortrichtlinienobjekte sind ffentlich zug nglich damit Anwendungen berpr fen k nnen ob Passw rter regelkonform sind Dies bedeutet dass ein nicht authentifizierter Benutzer eine Abfrage in einem Identit tsdepot ausf hren kann um herauszufinden welche Passwortrichtlinien in Kraft sind Wenn Ihre Passwortrichtlinien es erfordern dass Benutzer sichere Passw rter erstellen m ssen sollte dies wie unter Create Strong Password Policies im Password Management Administration Guide http www novell com documentation password_management index html Administrationshandbuch zur Passwortverwaltung ausgefiihrt kein Risiko darstellen Mit der Identity Manager Passwortsynchronisierung k nnen Sie die Vergabe und Verwaltung von Benutzerpassw rtern vereinfachen und dadurch die Helpdesk Kosten reduzieren
125. H Service Treiber f r manuelle Aufgaben Datenfluss Szenario bei Einstellung eines neuen Mitarbeiters auf Seite 337 Anhang I Service Treiber f r manuelle Aufgaben Benutzerdefinierte Element Behandlungsroutinen auf dem Abonnentenkanal auf Seite 351 Anhang J Service Treiber f r manuelle Aufgaben Benutzerdefinierte Servlets f r den Herausgeberkanal auf Seite 355 240 Novell Identity Manager 3 0 Administrationshandbuch Hochverf gbarkeit Sie k nnen Identity Manager mit gemeinsamer Speichernutzung verwenden um Hochverf gbarkeit zu gew hrleisten F r die Verwendung von Novell eDirectory und Identity Manager in einer Clusterumgebung sind einige Schritte erforderlich Dieser Abschnitt umfasst e Abschnitt 9 1 Konfiguration von eDirectory und Identity Manager zur Verwendung mit der gemeinsamen Speichernutzung unter Linux und UNIX auf Seite 241 Abschnitt 9 2 Fallstudie f r SuSE Linux auf Seite 245 9 1 Konfiguration von eDirectory und Identity Manager zur Verwendung mit der gemeinsamen Speichernutzung unter Linux und UNIX In diesem Abschnitt wird die Konfiguration von eDirectory und Identity Manager f r das Failover in einem Hochverf gbarkeits Cluster mit gemeinsamer Speichernutzung beschrieben Dieser Abschnitt enth lt allgemeine Informationen zu Hochverf gbarkeits Clustern mit gemeinsamer Speichernutzung auf einer beliebigen Linux oder UNIX Plattform Die Informationen sind auf k
126. I 3 SampleCommandHandler java Quellcode f r ein Beispiel einer benutzerdefinierten Befehls Behandlungsroutine ist im Lieferumfang des Treibers enthalten Der Quellcode befindet sich im Distributions Image in der Datei manual_task_docs zip Die Behandlungsroutine ist in der Klasse com novell nds dirxml driver manualtask samples SampleCommandHandler implementiert Die Beispiel Behandlungsroutine generiert lediglich ein Dokument das auf Formatvorlagen und Schablonen basiert und schreibt das Ergebnisdokument in eine Datei 1 3 1 Kompilieren der SampleCommandHandler Klasse Sie k nnen zum Kompilieren der SampleCommandHandler Klasse jeden beliebigen Java 2 Compiler verwenden Sie m ssen nxsl jar dirxml jar collections jar und ManualTaskServiceBase jar im Klassenpfad des Java Compilers ablegen 1 3 2 Austesten der SampleCommandHandler Klasse Importieren Sie die Konfiguration zum Raumnummer Beispiel f r den Treiber Kompilieren Sie die SampleCommandHandler Klasse und legen Sie die resultierende Klassendatei in einer jar Datei ab Speichern Sie die jar Datei im DirXML jar Dateiverzeichnis f r die Plattform auf der Sie den Treiber ausf hren F gen Sie unter dem lt subscriber options gt Element das folgende XML Element hinzu das sich in den Treiberparametern im XML Abschnitt der Treibereigenschaften befindet lt output path display name Sample Output Path gt lt output path gt Bearbeiten S
127. IDM2 auf IDM 3 Never Treiber Neue Berechtigung Neu Richt ao 4 Detspietod jekte laden KDS 2U NOS Treiberzertifkiate Bnrnehtigungen aufr sten Benutzeranwendungstreiber Notes Verschiebung Beispiel O B Notes Antwort Email Adresse Konfigunation f r Dr a i Bereitstellungsanforderungen o Richtlinien f r veraltete Passwortsynchronisierung 1 0 Abw rtskompabilit t f r AD und NT E LDAP pue a Zn E HMAS lt a e Richtlinien f r die Passwortsynchronisierung 20 gt Novell Certificate Server Hovell Zertifikatszugr ff a Partitions und Roproduktionswerwaltung lt Zurikk __Weiter gt __Abbrechen _Fertig steilen 5 Klicken Sie auf Weiter Passwortsynchronisierung mit verbundenen Systemen 107 6 W hlen Sie im Dropdown Listenfeld Vorhandene Treiber den Treiber aus den Sie aktualisieren m chten Vorhandenen AD oder NT Treiber f r Aktualisierung ausw hlen 1 von 1 Der Treiberhersteller Treiberkonfigurationsdatei die Angabe der folgenden Informationen angefordert Ein zeigt erforderliche Informationen an at zum Import dieser Der Name des Treibers in der Treiberkonfigurationsdatei ist vorhandenen AD oder NT Treiber f r Aktualisierung ausw hlen Geben Sie den Namen ein den Sie f r diesen Treiber benutzen wollen Treibername Vorhandene Treiber l lt Vorhandenen Treiber zur Aktualisierung auswahlen gt lt Vorhandenen Treiber zur Aktual
128. INFO Wenn Sie die Treiberstarts protokollieren m chten m ssen Sie die Option Bestimmte Ereignisse protokollieren verwenden und das entsprechende Ereignis ausw hlen 254 Novell Identity Manager 3 0 Administrationshandbuch Er Protokollierumfan Ereignis Informationen g EV_LOG_DRIVER_STOP LOG_WARNING Wenn Sie protokollieren m chten wenn ein Treiber angehalten wird w hlen Sie Fehler und Warnmeldungen protokollieren oder ver wenden Sie die Option Bestimmte Ereignisse protokollieren und w hlen Sie das entsprech ende Ereignis aus Weitere Informationen zum Erstellen von Novell Audit Benachrichtigungen basierend auf diesen Ereignissen finden Sie in Abschnitt 10 6 Senden von Benachrichtigungen bei Eintritt eines Ereignisses auf Seite 260 Fehler und Warnereignisse Identity Manager generiert beim Auftreten eines Fehlers oder eines Warnhinweises ein Ereignis Die folgende Tabelle enth lt Details zu diesen Ereignissen Tabelle 10 2 Fehler und Warnereignisse Ereignis Protokollierumfang Informationen DirXML_Error LOG_ERROR Alle Identity Manager Fehler protokollieren dieses Ereignis Der aufgefundene Fehlercode wird im Ereignis gespeichert Wenn Sie Fehler protokollieren m chten w hlen Sie Fehler protokollieren Fehler und Warnmel dungen protokollieren oder verwenden Sie die Option Bestimmte Ereignisse protokollieren und w hlen Sie das entsprechende Ereignis aus DirXML_Warning LOG_WARNING Alle Ident
129. Identity Manager umfasst mehrere Komponenten In der folgenden Abbildung sind die grundlegenden Komponenten und ihre Beziehungen abgebildet Abbildung 1 1 Identity Manager Komponenten Richtlinien edon lt men o UGEL sa Identity a Engine Manager Publisher Anwendung oder lidentit tsdepot Verzeichnis oder Datenbank Richtlinien Die Metaverzeichnis Engine ist das wichtigste Modul in der Identity Manager Architektur Sie stellt die Schnittstelle zur Verf gung ber die Identity Manager Treiber Informationen mit dem Identit tsdepot synchronisieren und ber die verschiedenartigen Datensysteme eine Verbindung herstellen und Daten gemeinsam nutzen k nnen Die Metaverzeichnis Engine verarbeitet Identit tsdepotdaten und ereignisse unter Verwendung von XML Die Metaverzeichnis Engine verwendet zur Bearbeitung des Datenflusses zwischen zwei Systemen einen Regelprozessor und eine Datentransformations Engine 1 Sie liest den Filter f r alle Identity Manager Treiber 10 Novell Identity Manager 3 0 Administrationshandbuch 2 Sie registriert die Treiber f r die entsprechenden Identit tsdepot Ereignisse 3 Sie filtert die Daten gem den Spezifikationen der einzelnen Treiber 4 Sie richtet einen Cache f r die Identit tsdepot Ereignisse ein die von den einzelnen Treibern bergeben werden Bei der Initialisierung des Identit tsdepots f hrt die Engine Folgendes aus e Nachdem ein Ereignis im Cache gespei
130. KREVT lt item gt lt item name responder dAn gt PERIN TAO novell Provo phb lt item gt lt item name auth style sheet gt process template xsl lt item gt lt item name response style sheet gt process template xsl lt item gt lt item name subject name gt Joe the Intern lt item gt Service Treiber f r manuelle Aufgaben Datenfluss Szenario bei Einstellung eines neuen 347 lt item name url base gt https 192 168 0 1 8180 lt item gt lt item name url gt https 192 168 0 1 8180 lt item gt lt status event id level success gt lt status gt lt item name post status gt success lt item gt lt replacement data gt l Der Webserver verarbeitet die Schablone post_response xml mit der Formatvorlage process_template xsl Die Ersetzungs Token und Aktionselemente sind fett gedruckt lt htm xmlns form http www novell com dirxml manualtask form gt lt head gt lt title gt Result of post for Ssubject name lt title gt lt head gt lt body gt lt link href novdocmain css rel style sheet type text css gt lt br gt lt br gt lt br gt lt br gt lt table class formtable cellpadding 5 cellspacing 20 border 1 align center gt lt tr gt lt td gt DirXML reported status Spost status lt td gt lt tr gt lt form if item exists name post status message gt lt tr gt lt td gt Status message w
131. Nachricht als Ressource f r den Nachrichtentext integriert werden soll Beispielsweise k nnte eine css Formatvorlage f r einen HTML Nachrichtentext als Ressource zur Verf gung gestellt werden lt resource gt Attribute cid In diesem Attribut wird die Content ID angegeben die verwendet wird um auf die Ressource in URLs im Nachrichtentext zu verweisen Wenn beispielsweise eine css Formatvorlage als Ressource dient nimmt das Attribut cid m glicherweise den Wert css 1 an Im HTML Nachrichtentext kann mittels des folgenden Elements auf die css Formatvorlage verwiesen werden lt link href cid css 1 rel style sheet type text css gt G 14 lt attachment gt Das lt attachment gt Element ist dem lt mail gt Element untergeordnet Sein Inhalt kann mit dem Inhalt des lt message gt Elements identisch sein oder einen Dateinamen enthalten Dem lt mail gt Element k nnen keine oder mehrere lt attachment gt Elemente untergeordnet sein lt attachment gt Attribute mime type Dieses optionale Attribut gibt den MIME Typ der Anlage an Ist dieses Attribut nicht vorhanden versucht der Treiber den MIME Typ automatisch zu ermitteln language Dieses optionale Attribut gibt die Sprache der Anlage an Wenn das Attribut nicht vorhanden ist wird der Standardwert f r die Sprache angegeben Service Treiber f r manuelle Aufgaben lt mail gt Element 335 336 Novell Identity Manager 3 0 Administrationshandbuch Servic
132. Novell Identity Manager www novell com 3 0 ADMINISTRATIONSHANDBUCH 13 12 08 Novell Rechtliche Hinweise Novell Inc bernimmt f r Inhalt oder Verwendung dieser Dokumentation keine Haftung und schlie t insbesondere jegliche ausdr cklichen oder impliziten Gew hrleistungsanspr che bez glich der Marktf higkeit oder Eignung f r einen bestimmten Zweck aus Novell Inc beh lt sich weiterhin das Recht vor dieses Dokument jederzeit und ohne vorherige Ank ndigung teilweise oder vollst ndig zu berarbeiten Novell Inc gibt ebenfalls keine Erkl rungen oder Garantien in Bezug auf Novell Software und schlie t insbesondere jegliche ausdr ckliche oder stillschweigende Garantie f r handels bliche Qualit t oder Eignung f r einen bestimmten Zweck aus Au erdem beh lt sich Novell Inc das Recht vor Novell Software jederzeit und ohne vorherige Ank ndigung ganz oder teilweise zu ndern Gem dieser Vereinbarung zur Verf gung gestellte Produkte bzw technische Informationen unterliegen den Ausfuhrkontrollbestimmungen der USA und den Handelsgesetzen anderer L nder Sie erkennen alle Ausfuhrkontrollbestimmungen an und erkl ren sich damit einverstanden alle f r anstehende Exporte Re Exporte oder Importe erforderlichen Lizenzen bzw Klassifizierungen einzuholen Sie erkl ren sich ferner damit einverstanden nicht in L nder zu exportieren oder zu re exportieren die sich aktuell auf der Ausschlussliste f r US Exporte bef
133. Optionen finden Sie in Tabelle A 3 auf Seite 270 12 Cache operations Es gibt f nf Cache Vorg nge Eine Beschreibung dieser Optionen finden Sie in Tabelle A 4 auf Seite 272 99 Exit Beendet die Treiberoptionen DirXML Befehlszeilenprogramm 269 Abbildung A 3 Passwortvorg nge Select a password operation set shim pa Clear shim pa Set Remote Loader password Clear Remote Loader passwo Set named pas rd Clear named p word s List named pa Get passwords 9 Exit Enter choice Tabelle A 3 Passwortvorg nge Vorgang Beschreibung 1 Set shim password 2 Clear shim password 3 Set Remote Loader password 4 Clear Remote Loader password 5 Set named password 270 Novell Identity Manager 3 0 Administrationshandbuch Legt das Anwendungspasswort fest Dies ist das Passwort des Benutzerkontos das Sie zur Authen tifizierung beim verbundenen System verwenden L scht das Anwendungspasswort Mit dem Remote Loader Passwort wird der Zugriff auf die Remote Loader Instanz kontrolliert Weitere Informationen finden Sie in Kapitel 3 Einrichten eines verbundenen Systems auf Seite 45 Geben Sie das Remote Loader Passwort ein und best tigen Sie es durch eine erneute Eingabe L scht das Remote Loader Passwort damit kein Remote Loader Passwort f r das Treiberobjekt fes tgelegt ist Erm glicht das Speichern eines Passworts oder anderer sicherheitsrelevanter Daten auf dem Treiber Weitere Informat
134. Passw rter und anschlie end auf Passwortrichtlinien Wenn das Ausgangspasswort von der autorisierten Anwendung stammt ersetzt es das Standardpasswort Diese M glichkeit ist vorzuziehen weil zur Wahrung eines m glichst hohen Ma es an Sicherheit innerhalb des Systems das Vorhandensein einer Standardpasswortrichtlinie empfohlen wird e Entfernen Sie auf dem Herausgeberkanal die Richtlinie die das Standardpasswort erstellt In der Beispielkonfiguration wird diese Richtlinie im Befehlstransformationsrichtliniensatz bereitgestellt Das Hinzuf gen eines Benutzers ohne Passwort ist im Identit tsdepot zul ssig Die berlegung hierbei ist dass das Passwort f r das neu erstellte Benutzerobjekt fr her oder sp ter ber den Herausgeberkanal bergeben wird und dem Benutzerobjekt nur f r kurze Zeit kein Passwort zugewiesen ist e Passwortrichtlinien werden baumspezifisch zugewiesen Die Passwortsynchronisierung hingegen wird pro Treiber konfiguriert Treiber werden serverspezifisch installiert und k nnen nur Benutzer verwalten die sich in einer Master oder Lese Schreibreproduktion befinden Damit eine Passwortsynchronisierung die gew nschten Ergebnisse liefert m ssen Sie sicherstellen dass die Container in der Master oder Lese Schreibreproduktion auf dem Server auf dem die Treiber f r die Passwortsynchronisierung aktiv sind den Containern 170 Novell Identity Manager 3 0 Administrationshandbuch entsprechen f r die Sie Passw
135. Password Set 307D8 Remote Loader Tritt auf wenn das Remote Loader Password Set Passwort festgelegt wird C 3 Remote Loader Ereignisse Die Tabelle enth lt die Remote Loader Ereignisse die mit Novell Audit protokolliert werden k nnen Tabelle C 9 Remote Loader Ereignis Felder Originator Title Target Title und Subtarget Title EventID Description Originator Title 30BB8 Remote Loader Start Instance 30BB9 Remote Loader Stop Instance Triggers Tritt auf wenn Remote Loader gestartet wird Tritt auf wenn der Remote Loader gestoppt wird Identity Manager Ereignisse und Berichte 301 EventID Description Originator Title Triggers 30BBA Remote Loader Connec Instance Tritt auf wenn die Remote Loader tion Established Verbindung hergestellt wird 30BBB Remote Loader Connec Instance Tritt auf wenn die Remote Loader tion Dropped Verbindung unterbrochen wird C 4 Detail Portlets Tabelle C 10 Detail Portlet Felder Originator Title Target Title und Subtarget Title EventID Description Originator Title Target Title Subtarget Title 31400 Delete_Entity User Name Entity DN Entity Definition 31401 Update_Entity User Name Entity DN Entity Definition Tabelle C 11 Detail Portlet Felder Group Title Group Type und Triggers EventID Description Group Title Group Type Triggers 31400 Delete_Entity Group Number Number Tritt auf wenn ein Objekt gel scht wird 31401 Update_Entity Group Number Number Tritt auf wenn ein O
136. Passwortsynchronisierung mit verbundenen Systemen 135 Klasse hinzuf gen Attribut bearb L schen Filter kopieren von Schablone festlegen gt DirXiML nwoWorkOrder Anwendungsname E KED User gt city a i gt company i gt Description Ver ffentlichen gt gr Synchronisieren Full Name Ge Ignorieren EID iven name c Benachrichtigen D jackNumber Y C Zur cksetzen Le onnieren SD preferredName D C Synchronisieren ED surname B c Ignorieren lt gt Telephone Number b Benachrichtigen AD zit 9 C Zur cksetzen amp nsp mDistributionPassword Zusammenf hrungsstelle ee DirXML pbxExtension Standard do Description xl Identit tsdepot xl 136 Novell Identity Manager 3 0 Administrationshandbuch 3 Setzen Sie f r alle Objekte bei denen der Wert Benachrichtigen f r das Attribut nspmDistributionPassword eingestellt wurde die Attribute ffentlicher Schl ssel und Privater Schl ssel im Treiberfilter auf gnorieren Filter eDirectory Driver TesatDriverSet novell Filter v Klasse hinzuf gen Attribut bearb L schen Filter kopieren von Schablone festlegen Ly 5A _ a a lt b Security Equals lt gt Ee Anwendungsname gt siteLocation E KED spouse gt z Ver ffentlichen urname O Synchronisieren KED Telephone Number K Ignorieren gt teletexTerminalldentifier Y O Benachrichtigen SD raiesumber Y O Zur cksetzen
137. ST Anforderung ein Element vom Typ lt item name post status gt und f gt es zum replacement data Dokument hinzu Bei einer HTTP POST Anforderung an den Webserver handelt es sich um eine Anforderung zur bertragung eines XDS Dokuments an Identity Manager Identity Manager gibt als Ergebnis der XDS bertragung ein Statusdokument zur ck Der Inhalt des lt item name post status gt Elements ist der Wert des Level Attributs des lt status gt Elements das von Identity Manager als Ergebnis der bertragung an Identity Manager zur ckgegeben wird Das item Element post status wird in der Regel bei der Erstellung der Webseite verwendet die als Ergebnis der HTTP POST Anforderung zur ckgegeben wird post status message Der Webserver des Herausgeberkanals erstellt w hrend der Verarbeitung einer HTTP POST Anforderung ein Element vom Typ lt item name post status message gt und f gt es zum replacement data Dokument hinzu Bei einer HTTP POST Anforderung an den Webserver handelt es sich um eine Anforderung zur bertragung eines XDS Dokuments an Identity Manager Identity Manager gibt als Ergebnis der XDS bertragung ein Statusdokument zur ck Der Inhalt des lt item name post status message gt Elements ist der Inhalt des lt status gt Elements das von Identity Manager als Ergebnis der bertragung an Identity Manager zur ckgegeben wird Das item Element post status message wird nur erstellt wenn das vo
138. Sie in iManager auf Passw rter gt Passwortsynchronisierung 2 Suchen Sie nach Treibern f r die verbundenen Systeme und w hlen Sie dann einen Treiber aus Passwortsynchronisierung mit verbundenen Systemen 133 3 Nehmen Sie Einstellungen f r den Treiber f r das verbundene System vor Objekt bearbeiten Active Directory TestDriverSet novell Passwortsynchronisierung F r Server NO041 AL 2K3 NDS novell Identity Manager akzeptiert Passw rter Herausgeberkanal Verteilungspasswort f r die Passwortsynchronisierung verwenden Passwort nur akzeptieren wenn es der Passwortrichtlinie des Benutzers entspricht erzwingen durch Zur cksetzen des Benutzerpassworts auf das Verteilungspasswort Passwort immer akzeptieren Passwortrichtlinien ignorieren Anwendung akzeptiert Passw rter Abonnentenkanal Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen Stellen Sie sicher dass die folgenden Optionen ausgew hlt sind Identity Manager akzeptiert Passw rter Herausgeberkanal Verteilungspasswort f r die Passwortsynchronisierung verwenden Wenn das Treibermanifest die Funktion password publish nicht enth lt wird auf der Seite eine entsprechende Meldung angezeigt Auf diese Weise wird dem Benutzer mitgeteilt dass keine Passw rter aus der Anwendung abgerufen werden k nnen und diese nur durch Erstellen eines Passworts mittels einer Richtlinie in der Treiberkonfiguration ver ffentlicht werde
139. Sie protokollieren m chten So k nnen Sie beispielsweise die zu protokollierenden Ereignisse auf Treibersatzebene konfigurieren und dann f r jeden Treiber im Treibersatz eine individuelle Protokollgr e angeben 260 Novell Identity Manager 3 0 Administrationshandbuch Protokollgr e auf Treibersatzebene definieren 1 W hlen Sie in iManager Identity Manager gt Identity Manager berblick und klicken Sie auf Weiter 2 W hlen Sie das Treibersatzobjekt aus und klicken Sie auf Suchen 3 Klicken Sie auf den Namen des Treibersatzes Die Seite Objekt bearbeiten wird angezeigt Treibersatz QriverSet South novell gt Identit ts Active Directory entitlement Active Directory 4 W hlen Sie Protokollierumfang auf der Registerkarte Identity Manager Objekt bearbeiten DriverSet South novell CTET Allgemein Globalkonfigurationswerte rrotokollierumfang rotokoll Aktivierung Versch Verkn pfungen Protokollierumfang gt Fehler protokollieren Fehler und Warnmeldungen protokollieren Bestimmte Ereignisse protokollieren EM Nur die letzte Protokollzeit aktualisieren 00 O Protokollierung aus I Protokollierung in Treibersatz Abonnenten und Herausgeberprotokollen deaktivieren Maximale Anzahl der Eintr ge im Protokoll 50 500 jo 5 Geben Sie die maximale Protokollgr e im Feld Maximale Anzahl der Eintr ge im Protokoll an Aaximale Anzahl de
140. Sie sich davon dass die Regel f r das Erzeugen einer Email Benachrichtigung ausgew hlt ist e berzeugen Sie sich davon dass das Identit tsdepot Objekt im Attribut Internet EMail Address den richtigen Wert f r den Benutzer enth lt e Stellen Sie sicher dass der SMTP Server und die Email Schablone in der Aufgabe Benachrichtigungskonfiguration richtig konfiguriert sind Weitere Informationen hierzu finden Sie in Abschnitt 5 12 Konfigurieren der Email Benachrichtigung auf Seite 156 Email Benachrichtigungen sind nicht invasiv d h sie haben keinerlei Auswirkungen auf die Verarbeitung des XML Dokuments das das Versenden der Email ausgel st hat Tritt beim Versand der Email Benachrichtigung ein Fehler auf wird der Vorgang nur dann wiederholt wenn die Operation selbst wiederholt wird Debug Meldungen zu Email Benachrichtigungen werden in die Trace Datei geschrieben Fehler beim Ausf hren der Task Passwortstatus berpr fen Die Task Passwortstatus berpr fen in iManager bewirkt dass der Treiber die Aktion Objektpasswort berpr fen ausf hrt Stellen Sie sicher dass das verbundene System das berpr fen von Passw rtern unterst tzt Weitere Informationen hierzu finden Sie in Abschnitt 5 2 Unterst tzung von verbundenen Systemen bei der Passwortsynchronisierung auf Seite 86 Wenn das Treibermanifest nicht anzeigt dass das verbundene System das berpr fen von Passw rtern unterst
141. T Domain Auf diesen verbundenen Systemen wird das Ver ffentlichen von Benutzerpassw rtern ber Identity Manager unterst tzt Da das universelle Passwort und das Verteilungspasswort reversi bel sind kann Identity Manager Passw rter an verbundene Systeme verteilen Jedes verbundene System das das Abon nenten Passwortelement unterst tzt kann Pass w rter von Identity Manager abonnieren Weitere Informationen hierzu finden Sie in Abschnitt 5 2 Unterst tzung von verbundenen Systemen bei der Passwortsynchronisierung auf Seite 86 Universelles Passwort reversibel oder Vertei lungspasswort reversibel Das NDS Passwort kann auch synchronisiert werden Beispiele fin den Sie in Abschnitt 5 8 Implementierung der Passwortsynchronisierung auf Seite 115 Bereitstellung der bidirektionalen Passwortsyn chronisierung Da das universelle Passwort und das Verteilungspasswort reversibel sind k nnen Passw rter in beide Richtungen synchronisiert Da das NDS Passwort nicht revers werden ibel ist wurden Passw rter nicht an NT oder AD Systeme zur ckge sendet Nicht unterst tzt Erforderlich Wird dazu verwendet Passw rter aktuell zu halten 78 Novell Identity Manager 3 0 Administrationshandbuch Unterst tzt Nicht erforderlich Nicht verwendet Passwortsynchronisierung 1 0 Passwortsynchronisierung mit Identity Manager 2 und 3 Komponente Die Funktionalit t zum Aktuali Die Passwortsynchro
142. Tag zu der Email Benachrichtigungsschablone hinzu und verwenden Sie dabei denselben Namen den Sie in der Richtlinie verwendet haben Von jetzt an k nnen Sie das Tag im Text der Email Benachrichtigungsschablone verwenden 15 Speichern Sie die nderungen und starten Sie den Treiber neu Hinzuf gen von Platzhalter Tags zu Email Benachrichtigungsschablonen des Typs Passwort vergessen Mit dem folgenden Verfahren k nnen Sie Tags zu Email Benachrichtigungsschablonen des Typs Passwort vergessen hinzuf gen e Sie k nnen nur Tags hinzuf gen die den LDAP Attributen des Benutzerobjekts entsprechen an das die Benachrichtigung gesendet werden soll Der Name des hinzuzuf genden Tags muss exakt dem LDAP Attributnamen des Benutzerobjekts entsprechen Informationen dazu wie LDAP Attribute zu eDirectory Attributnamen in Relation stehen k nnen Sie der Schemazuordnungsrichtlinie entnehmen die Bestandteil des Identity Manager Treibers f r LDAP ist Es sind keine weiteren Konfigurationsschritte erforderlich 5 12 6 Senden von Email Benachrichtigungen an den Administrator In der Standardkonfiguration werden Email Benachrichtigungen nur an den Benutzer gesendet Die mit Identity Manager gelieferten Richtlinien verwenden die Email Adresse aus dem Identit tsdepot Objekt f r den betreffenden Benutzer Sie k nnen die Passwortsynchronisierungsrichtlinien so konfigurieren dass die Email Benachrichtigungen auch an den Admin
143. Treiber auf 3 ein Stellen Sie sicher dass auf der Seite Passwortsynchronisierung die Option dentity Manager akzeptiert Passw rter Herausgeberkanal ausgew hlt ist Stellen Sie sicher dass in der Passwortrichtlinie die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren nicht ausgew hlt ist Identity Manager verwendet das Verteilungspasswort um Passw rter mit verbundenen Systemen zu synchronisieren Das universelle Passwort muss mit dem Verteilungspasswort synchronisiert sein damit diese Synchronisierungsmethode funktioniert Stellen Sie sicher dass der Treiberfilter die richtigen Einstellungen f r das Attribut aspmDistributionPassword enth lt berzeugen Sie sich davon dass das lt password gt Element f r ein Add und ein lt modify password gt Element f r das Attribut nspmDistributionPassword in die Attributoperationen Add bzw Modify umge ndert wurden Beobachten Sie zur Kontrolle den DSTrace Bildschirm oder die Trace Datei bei aktivierten Trace Optionen wie im ersten Arbeitsschritt erl utert berzeugen Sie sich davon dass die Treiberkonfiguration die Passwortrichtlinien f r das Identity Manager Skript an der richtigen Stelle und in der richtigen Reihenfolge enth lt wie in Abschnitt 5 3 4 In der Treiberkonfiguration ben tigte Richtlinien auf Seite 94 beschrieben Vergleichen Sie die Passwortrichtlinie im Identit tsdepot mit etwaigen Passwortri
144. X Verwenden Sie unter Solaris Linux oder AIX die Datei create_keystore Die Datei Create_keystore wird mit rdxml installiert und ist auch in der Datei dirxml_jremote tar gz enthalten die sich im Verzeichnis dirxml java_remoteloader befindet create_keystore ist ein Shell Skript das das Keytool Dienstprogramm aufruft Wenn Sie unter UNIX den Keystore mithilfe des selbstsignierten Zertifikats erstellen k nnen Sie das Zertifikat in das Base64 oder Bin rformat der exportieren Geben Sie in der Befehlszeile Folgendes ein create keystore Name_des_selbstsignierten_Zertifikats Keystore Name Geben Sie beispielsweise Folgendes ein Einrichten eines verbundenen Systems 71 create keystore tree root b64 mystore create keystore tree root der mystore Das create_keystore Skript legt dirxml als hartkodiertes Keystore Passwort fest Dies ist kein Sicherheitsrisiko da im Keystore nur ein ffentliches Zertifikat und ein ffentlicher Schl ssel gespeichert werden Keystore auf allen Plattformen Wenn Sie einen Keystore auf einer belieben Plattform erstellen m chten geben Sie in der Befehlszeile Folgendes ein keytool import alias trustedroot file Name_des_selbstsignierten_Zertifikats keystore Dateiname storepass Als Dateinamen k nnen Sie einen beliebigen Namen eingeben z B rdev_keystore 72 Novell Identity Manager 3 0 Administrationshandbuch Erstellen von Richtlinien Mit Ric
145. abeformat aus Datei in bin rem DER Format Datei in Base64 Format 6 Klicken Sie auf die Verkn pfung Save the exported certificate to a file Exportiertes Zertifikat als Datei speichern geben Sie einen Dateinamen und einen Speicherort an und klicken Sie anschlie end auf Speichern Namen von Root Dateien m ssen die Erweiterung pem erhalten 7 Kopieren Sie diese Datei im Dialogfeld Speichern unter in ein lokales Verzeichnis 8 Klicken Sie auf Schlie en 3 3 Einrichten von Remote Loadern Dieser Abschnitt enth lt folgende Informationen e Abschnitt 3 3 1 Installieren von Remote Loadern auf Seite 50 e Abschnitt 3 3 2 Konfigurieren des Remote Loader auf Seite 53 Abschnitt Einstellen von Umgebungsvariablen unter Solaris Linux oder AIX auf Seite 64 e Abschnitt Starten des Remote Loader auf Seite 64Abschnitt Stoppen des Remote Loader auf Seite 67 e Abschnitt Stoppen des Remote Loader auf Seite 67 Einrichten eines verbundenen Systems 49 3 3 1 Installieren von Remote Loadern Dieser Abschnitt enth lt folgende Informationen Remote Loader auf einem Windows Server installieren auf Seite 50 e Remote Loader unter Solaris Linux oder AIX installieren auf Seite 51 e Remote Loader unter HP UX AS 400 OS 390 oder z OS installieren auf Seite 52 Remote Loader auf einem Windows Server installieren 1 Starten Sie das Installationsprogramm von I
146. aben dazu ob eine Berechtigung erteilt oder entzogen wurde Dazu geh ren der Zustand oder Status des Ereignisses und der Zeitpunkt der Erteilung oder Entziehung des Ereignisses per Zeitstempel Sie k nnen die Elemente und Attribute unter dieser Kopfzeile unver ndert lassen lt Cached query results stored in the DirXML SPCachedQuery attribute of a DirXML Entitlement object gt Der Abschnitt unter Entitlement query enth lt die von einer externen Anwendung gesammelten Berechtigungswerte Diese Informationen k nnen sp ter wiederverwertet werden wenn der Berechtigungsclient diese Informationen anzeigen muss Diese Werte werden im Di rXML SPCachedQuery Attribut des Berechtigungsobjekts gespeichert Sie k nnen die Elemente und Attribute unter dieser Kopfzeile unver ndert lassen lt Representation of a DirXML EntitlementRef within the DirXML Script and within the operation data of an operation in an XDS document gt Da die DTD Werte f r mehr als ein Dokument definiert ist dieser Abschnitt unter Representation of a DirXML EntitlementRef streng genommen kein Bestandteil der Berechtigungsdefinition Sie k nnen die Elemente und Attribute unter dieser Kopfzeile unver ndert lassen 186 Novell Identity Manager 3 0 Administrationshandbuch 6 4 4 Erstellen von Berechtigungen mit Designer Die Beispiele in Abschnitt 6 4 5 Erstellen und Bearbeiten von Berechtigungen in iManager auf Seite 187
147. ache Anf hrungszeichen setzen Tipp Der KMO Objektname ist der Kurzname den Sie in Schritt 2 in Abschnitt 3 2 1 Serverzertifikat erstellen auf Seite 48 vergeben haben e Anwendungspasswort Geben Sie das Passwort f r die ID des Anwendungsbenutzers ein blicherweise ben tigt das Treiberschnittstellenmodul das Passwort damit der Treiber eine Verbindung zur Anwendung herstellen kann Remote Loader Passwort Geben Sie das Passwort f r den Remote Loader ein Dieses Passwort wird vom Remote Schnittstellenmodul f r die Authentifizierung beim Remote Loader verwendet Hinweis Das Anwendungspasswort und das Remote Loader Passwort m ssen zugleich festgelegt bzw zur ckgesetzt werden 6 Klicken Sie auf OK 3 4 3 Erstellen eines Keystore Ein Keystore ist eine Java Datei die Verschl sselungsschl ssel und Zertifikate optional enth lt Wenn Sie SSL Secure Socket Layer f r die Kommunikation des Remote Loader mit der Metaverzeichnis Engine verwenden m chten und mit einem Java Schnittstellenmodul arbeiten m ssen Sie eine Keystore Datei erstellen Keystore unter Windows auf Seite 71 Keystore unter Solaris Linux oder AIX auf Seite 71 Keystore auf allen Plattformen auf Seite 72 Keystore unter Windows F hren Sie unter Windows das Dienstprogramm Keytool aus Es befindet sich in der Regel im Verzeichnis c novell remoteloader jre bin Keystore unter Solaris Linux oder AI
148. agent wird installiert indem Sie w hrend der Installation die Novell Audit Systemkomponenten f r Identity Manager ausw hlen Abbildung 10 2 Installation von Identity Manager NE installierende Komponenten ausw hlen i loj x Novell Identity Manager Nov ell EEE W ze Zu installierende Komponenten ausw hlen gt vl Novell Audit Systemkomponenten f r Identity Manager DANAN Anwendungskomponenten Beschreibung Installiert Komponenten die f r Anwendungssysteme wie Alles ausw hlen JDBC und PeopleSoft entwickelt wurden Aleisha Abbrechen Hilfe lt Zur ck weiter gt Der Plattformagent kann w hrend der Installation von Identity Manager oder zu einem sp teren Zeitpunkt installiert werden Hinweis Wenn Sie den Plattformagenten nach dem Start der Metaverzeichnis Engine installieren muss Identity Manager neu gestartet werden bevor eine Verbindung zwischen dem Plattformagenten und Identity Manager hergestellt wird Identity Manager versucht nur beim Start eine Verbindung zum Plattformagenten herzustellen Konfigurieren Sie den Plattformagenten nach der Installation und f hren Sie hierzu folgende Schritte aus 1 ffnen Sie die Novell Audit Konfigurationsdatei Logevent cfg in einem Texteditor Der Standard Ablageort f r diese Datei ist Betriebssystem Pfad NetWare sys etc logevent cfg Windows windows directory logevent cfg Linux Solaris etc lo
149. alisiert werden damit das NDS Passwort und das universelle Passwort stets synchron bleiben und sich keine Passwortdivergenz einstellt Siehe Planning Login and Change Password Methods for your Users Planung von Methoden zur Anmeldung und Passwort nderung f r Benutzer im Password Management Administration Guide http www novell com documentation password management index html Administrationshandbuch zur Passwortverwaltung Die neueste Version des Novell Client unterst tzt das universelle Passwort kann f r alle Benutzer bei der erstmaligen Aktivierung dieser Option ein universelles Passwort hinterlegen und NMAS Passwortrichtlinien anzeigen und erzwingen wenn Benutzer ihre Passw rter ndern e Auf einem verbundenen System werden die von Ihnen in einer Passwortrichtlinie erstellten erweiterten Passwortregeln nicht angezeigt Dies ist auch beim Novell Client noch nicht der Fall die Passwortregeln werden von ihm jedoch erzwungen Es empfiehlt sich die Benutzer anzuweisen das Passwort ausschlie lich ber die iManager Selbstbedienungskonsole zu ndern Wenn Sie es den Benutzern erlauben Passw rter auf einem verbundenen System oder unter Verwendung der neuesten Version des Novell Client zu ndern k nnen Sie die Benutzer beim Erstellen regelkonformer Passw rter unterst tzen indem Sie sicherstellen dass die Regeln der Passwortrichtlinie von den Benutzern problemlos eingesehen werden k nnen e Stellen Sie siche
150. als Tunnel auf der Passw rter unter Ausschluss des Identit tsdepot Passworts mit anderen verbundenen Systemen austauscht 144 Novell Identity Manager 3 0 Administrationshandbuch Funktionen und Aufgaben Alle Kategorien 4 R amp Passwortrichtlinie Sample Password Policy Password Policies Security Konfigurationsoptionen v E Benutzer E eDirectory Verwaltung E eDirectory Wartung Funktionsbasierte Berechtigungen Gruppen Helpdesk Identity Manager E Identity Manager Dienstprogramme i Konfiguration f r Bereitstellungsanforderungen LDAP E NMAS E Novell Certificate Server E Novell Zertifikatszugriff Partitions und Reproduktionsverwaltung a E Passw rter Passwortstat pr fe jerausforderungss tze Passwortricht nien Passwortsynchronisierung Richtlinienzuweisungen anzeigen Universelles Passwort festlegen Email Serveroptionen Email Schablonen bearbeiten PBX Schema E SNMP WAN Verkehr Workflow Administration Aktivieren Sie die Passworteinstellungen f r Ihre Richtlinie ber die Kontrollk stchen V Universelles Passwort aktivieren lv Erweiterte Passwortregeln aktivieren Synchronisierung des universellen Passworts NDS Passwort bei Auswahl des universellen Passworts entfernen Y NDS Passwort bei Auswahl des universellen Passworts synchronisieren Einfaches Passwort bei Auswahl des universellen Pa
151. alue Sresponder dn gt Sresponder dn lt form if single item gt In diesem Beispiel wird in das Ausgabedokument ein HTML INPUT Element und Platzhaltertext eingef gt wenn in den Ersetzungsdaten das Ersetzungsdatenelement responder dn genau einmal vorhanden ist F 5 lt form menu gt Das form menu Element wird zur Erzeugung eines HTML SELECT Elements mit mindestens einem untergeordneten Element vom Typ OPTION verwendet Das erste untergeordnete OPTION Element ist OPTION selected Attribute name Gibt den Namen des Ersetzungsdatenelements an Wenn das genannte item Element in den Ersetzungsdaten vorhanden ist wird im Ausgabedokument ein HTML SELECT Element erstellt F r jede Instanz des Ersetzungsdatenelements in den Ersetzungsdaten wird als untergeordnetes Element des SELECT Elements ein HTML OPTION Element erstellt Beispiel lt form menu name responder dn gt Die aus diesem Beispiel resultierenden HTML Elemente sehen wie folgt aus lt SELECT name responder dn gt lt OPTION selected gt PERIN TAO big org php lt OPTION gt lt OPTION gt PERIN TAO big org carol lt OPTION gt lt SELECT gt Service Treiber f r manuelle Aufgaben Aktionselemente der Schablone 331 332 Novell Identity Manager 3 0 Administrationshandbuch Service Treiber f r manuelle Aufgaben lt mail gt Element In diesem Abschnitt werden das lt mail gt Element und desse
152. ame Zeichenkettenwert Globalkonfigurationswent Connec Ea Ale CName FailureReason Zeichenkettenwert XPATH self status child texxt a Ale lName to Zeichenkettenwert Zielattribut Internet EMail Addres ER 166 Novell Identity Manager 3 0 Administrationshandbuch 9 Klicken Sie zum Definieren eines Tags das Sie in einer Email Benachrichtigungsschablone 10 11 verwenden k nnen auf Neue Zeichenkette anf gen und geben Sie anschlie end einen Namen f r das Tag ein Achten Sie darauf dass Sie den Namen genau so wie in der Email Benachrichtigungsschablone eingeben Klicken Sie neben dem Feld Zeichenkettenwert auf die Schaltfl che Durchsuchen E um den Tag leichter definieren zu k nnen Geben Sie auf der Seite Argument Builder den Wert an der eingef gt werden soll wenn dieses Tag in einer Email Benachrichtigungsschablone verwendet wird Das Tag kann folgende Werte annehmen e Ausgangs oder Zielattribute f r den Benutzer Anders als beim Einf gen von Tags in Email Schablonen des Typs Passwort vergessen funktioniert ein solches Tag nicht automatisch wenn es denselben Namen wie ein Attribut des Benutzerobjekts im Identit tsdepot hat Wie bei allen Tags in Email Benachrichtigungsschablonen zur Passwortsynchronisierung m ssen Sie das Tag auch in der Richtlinie definieren die auf die Email Schablone verweist e Ein Globalkonfigurationswert Ein XPATH Ausdruck Die folgende Abb
153. ana Abonnentenkanal Abonnentenkanal i Herausgeberkanal Treiber des verbundenen j Anwendung Anwendung Systems Anwendung akzeptiert akzeptiert unterst tzt Anwendung stellt Festlegen eines A a Passwort bereit Ausgangspassworts Bearbeltungelnes Pasewortprarn Synchronisierung gangsp Passworts g y g Active Directory Ja Ja Ja Ja eDirectory1 Ja Ja Ja Ja NT Domain Ja Ja Nein Ja NIS Ja Ja Ja Ja 86 Novell Identity Manager 3 0 Administrationshandbuch Abonnentenkana Abonnentenkanal Abonnentenkanal Herausgeberkanal Treiber des verbundenen A Anwendung Anwendung Systems Anwendung akzeptiert akzeptiert unterst tzt Anwendung stellt Festlegen eines i i Passwort bereit Ausgangspassworts Bearbeitung eines Passwortpr fun Synchronisierung Passworts g SIF Ja Ja Nein Ja Die bidirektionale Passwortsynchronisierung zwischen Identit tsdepot B umen wird f r Benutzer auch dann unterst tzt wenn das universelle Passwort f r diese Benutzer deaktiviert ist Weitere Informationen hierzu finden Sie unter Abschnitt 5 8 2 Szenario 1 Synchronisierung zwischen zwei Identit tsdepots ber das NDS Passwort auf Seite 117 5 2 2 Systeme die Passw rter von Identity Manager akzeptieren Die folgenden Systeme k nnen Passw rter von Identity Manager begrenzt akzeptieren Sie k nnen das eigentliche Passwort des Benutzers auf dem verbundenen System nicht an Identity Manager bergeben Obwohl diese Systeme nicht imstan
154. andard Protokollierumfang Mit dieser Option werden alle Ereignisse mit dem Status Error Fehler sowie benutzerdefinierte Ereignisse protokolliert Wenn diese Option ausgew hlt ist empfangen Sie nur Ereignisse mit der Dezimal ID 196646 bei denen im ersten Textfeld eine Fehlermel dung gespeichert ist Fehler und Warnmel Durch diese Option werden alle Ereignisse mit dem Status Error dungen protokollieren Fehler oder Warning Warnmeldung sowie benutzerdefinierte Ereig nisse protokolliert Wenn diese Option ausgew hlt ist empfangen Sie nur Ereignisse mit den Dezimal IDs 196646 und 196647 bei denen im ersten Textfeld eine Fehler oder Warnmeldung gespeichert ist Protokollierung und Berichterstellung mit Novell Audit 253 Option Beschreibung Bestimmte Ereign isse protokollieren Nur die letzte Pro tokollzeit aktuali sieren Protokollierung aus Protokollierung in Treibersatz Abon Mit dieser Option k nnen Sie bestimmte zu protokollicronde Ereignisse in einer Liste ausw hlen Klicken Sie auf das Symbol um Ereignisse auszuw hlen Benutzerdefinierte Ereignisse werden immer protokolliert Wenn Sie au er Fehler oder Warnmeldungen auch andere Ereignisse protokollieren m chten m ssen Sie diese in dieser Liste ausw hlen Bei Auswahl dieser Option m ssen Sie auch Fehler und Warnhinweise ausw hlen wenn Sie diese weiterhin protokollieren m chten Eine Liste aller verf gbaren Ereigniss
155. ange_ Group Number Success Tabelle C 16 Felder der Portlets Passwort vergessen und Passwort ndern Group Type und Triggers EventID Description Group Type Triggers 31420 Forgot_Password_Change_ Number Tritt auf wenn bei einer nderung ein Failure Fehler auftritt 31421 Forgot_Password_Change_ Number Tritt auf wenn eine nderung erfolgreich Success ist C 7 Portlet Suchliste Tabelle C 17 Felder des Portlets Suchliste Originator Title Target Title und Group Title EventID Description Originator Title Target Title Group Title 31430 Search_Request User ID Search Key User ID 31431 Search_Saved User ID Search Key User ID Tabelle C 18 Felder des Portlets Suchliste Group Type Data Title und Data Type EventID Description Group Type Data Title Data Type 31430 Search_Request Number Search XML String Identity Manager Ereignisse und Berichte 303 EventID Description Group Type Data Title Data Type 31431 Search_Saved Number Search XML String Tabelle C 19 Felder des Portlets Suchliste Triggers EventID Description Triggers 31430 Search_Request Tritt auf wenn ein Benutzer eine Suchanforderung ausf hrt 31431 Search_Saved Tritt auf wenn der Benutzer Meine gespeicherten Such vorg nge ausw hlt C 8 Portlet Erstellen Tabelle C 20 Felder des Portlets Erstellen Originator Title Target Title und Subtarget Title EventID Description Originator Title Target Title Subta
156. aoe le ne ee Dee ee D Service Treiber f r manuelle Aufgaben Ersetzungsdaten Datensicherheit ua sere eer cit ee eae rn ee a EI AML Elemente ewe cepa er Pangea os Na aE aS bar anaes dee D 2 1 lt replacement data gt 2 0 000 cee D222 lt item gt pha ete eee een te oie eek Pee tae Pee D233 Surl datarax sca se cha tae ne ee rel tate a ae oben Se D24 lt z rlquery gt 3 wea P a hee A ee ee oe ds E Service Treiber f r manuelle Aufgaben Automatische Ersetzungsdatenelemente E 1 E 2 Automatische Ersetzungsdaten auf dem Abonnentenkanal 255 Automatische Ersetzungsdaten auf dem Herausgeberkanal 0 F Service Treiber f r manuelle Aufgaben Aktionselemente der Schablone F 1 F 2 F 3 F 4 F 5 STOFMIIN PUTA Zr Zr ee re haley tet tule re dears Se Seat hae E Oped gee lt form if item exists gt 2 0 0 0 tee ee lt form if multiple iteMs gt zne e a eee eee nent A eens lt form if single item gt 00 0 00000 tte lt TOLM MEN UF aed x goats cand Se En SN ea RE G Service Treiber f r manuelle Aufgaben lt mail gt Element G 1 G 2 G 3 G 4 G 5 G 6 G 7 STEPIY TO gt 4 22 tye viet acy 2 eae eee ee NEN Eee SSUbJECD ra en tan bade ails ted a oa Cede ee ee es het tnd et BS a be 265 265 275 279 289 289 299 301 302 302 303 303 304 304 306 310 319 319 320 321 321 323 324 327 327 327 329 329 330 330 330 331 6
157. ar 256 Novell Identity Manager 3 0 Administrationshandbuch Tabelle 10 4 Protokollierumfang Protokollierumfang Beschreibung Notfallereignisse pro Ereignisse die dazu f hren dass die Metaverzeichnis Engine oder der tokollieren log emer Treiber heruntergefahren wird gency Warnmeldungen pro Ereignisse die eine sofortige Aufmerksamkeit erfordern tokollieren log alert Kritische Ereignisse pro Ereignisse die zu einer St rung von Teilen der Metaverzeichnis Engine tokollieren log critical oder des Treibers f hren Fehler protokollieren Ereignisse die Fehler beschreiben die von der Metaverzeichnis Engine log error oder dem Treiber behoben werden k nnen Warnhinweise protokol Negative Ereignisse die kein Problem darstellen lieren log warning Hinweise protokollieren Positive oder negative Ereignisse mit deren Hilfe ein Administrator die Ver log notice wendung und den Betrieb verstehen bzw verbessern kann Informationen protokol Positive Ereignisse beliebiger Bedeutung lieren log info Fehlersuche protokol Ereignisse die fur den Support oder Techniker relevant sind um fur den lieren log debug Betrieb der Metaverzeichnis Engine oder des Treibers eine Fehlersuche durchzuf hren Generieren von Ereignissen mithilfe des Richtlinien Builders Im Richtlinien Builder werden Ereignisse durch Auswahl der Aktion Ereignis generieren protokolliert 1 W hlen Sie vor der Generierung des Ereignisses di
158. ard tet das Stammivarzevennit g Wentity Manager Suchbereich Dieser Container und Untercontainer Bereich ut auf die auf diesem Server reprodurierten Objekte beschr nkt Dienstprogsamme ee nn i a LDAP Object Class M wt glesch User is E NMAS Novell Certificate Server Hovell Zertifikatszugs f p Partitions und Reproduk tiomver waltung E Passw rter PBX Rechte E Schema SNMP WAN Verkehr E Workflow Administation OK Abbrechen Anwenden e Statisch Neben der Einstellung von Kriterien f r die dynamische Mitgliedschaft LDAP Filter k nnen Sie bestimmte Benutzer einbeziehen oder ausschlie en Sie k nnen Mitglieder statisch einbeziehen die den Kriterien des Filters nicht entsprechen Au erdem k nnen Sie Mitglieder ausschlie en die zwar die Kriterien des Filters erf llen aber nicht in die Berechtigungsrichtlinie einbezogen werden sollen 6 7 2 Ausw hlen von Berechtigungen f r eine Berechtigungsrichtlinie Konten auf verbundenen Systemen auf Seite 200 e Mitgliedschaft in Email Verteilerlisten und NOS Listen auf Seite 201 Erstellung und Verwendung von Berechtigungen 199 Attributwerte auf verbundenen Systemen auf Seite 202 Anhand von Berechtigungen k nnen Sie den Zugriff auf Services auf verbundenen Systemen und auf Rechte im Identit tsdepot erteilen oder entziehen Von Ihnen installierte Treiber mit aktivierter Unterst tzung f r Berechtigungen enthalten eine Reihe von
159. as post status message lt td gt lt tr gt lt form if item exists gt lt table gt lt body gt lt html gt m Die resultierende Webseite wird als Ergebnis der HTTP POST Anforderung zur ckgegeben In der Tabelle ist keine zweite Zeile vorhanden weil das Datenelement post status message auf das das Element lt form if item exists gt verweist im Ersetzungsdatendokument nicht vorhanden ist lt html gt lt head gt lt META http equiv Content Type content text html charset UTF 8 gt lt title gt Result of post for Joe the Intern lt title gt lt head gt lt body gt lt link href novdocmain css rel style sheet type text css gt lt br gt lt br gt lt br gt lt br gt lt table class formtable cellpadding 5 cellspacing 20 border 1 align center gt lt tr gt lt td gt DirXML reported status success lt td gt 348 Novell Identity Manager 3 0 Administrationshandbuch lt tr gt lt table gt lt body gt lt html gt Service Treiber f r manuelle Aufgaben Datenfluss Szenario bei Einstellung eines neuen 349 350 Novell Identity Manager 3 0 Administrationshandbuch Service Treiber f r manuelle Aufgaben Benutzerdefinierte Element Behandlungsroutinen auf dem Abonnentenkanal Der Treiber bietet einen Erweiterungsmechanismus der zum Versenden von Benachrichtigungen an Benutzer nicht SMTP Simplified Mail Transport Protocol sondern andere Methoden verwendet
160. ask Passwortstatus berpr fen in iManager bewirkt dass der Treiber die Aktion Objektpasswort berpr fen ausf hrt Wenn dabei Probleme auftreten sollten Sie Folgendes berpr fen Wenn die Task Objektpasswort berpr fen den Code 603 zur ckgibt fehlt im Identit tsdepot Objekt das Attribut nspmDistributionPassword berpr fen Sie ob der Treiberfilter die richtigen Einstellungen f r die Attribute nspmDistributionPassword enth lt Stellen Sie au erdem sicher dass in der Passwortrichtlinie die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren ausgew hlt ist e Wenn die Task Objektpasswort berpr fen die Meldung Nicht synchronisiert zur ckgibt vergewissern Sie sich dass die Treiberkonfiguration die entsprechenden Passwortsynchronisierungsrichtlinien enth lt Passwortsynchronisierung mit verbundenen Systemen 129 e Vergleichen Sie die NMAS Passwortrichtlinie im Identit tsdepot mit etwaigen Passwortrichtlinien die von dem verbundenen System erzwungen werden und stellen Sie sicher dass diese kompatibel sind e Ausgangspunkt f r die Task Objektpasswort berpr fen ist das Verteilungspasswort Wenn das Verteilungspasswort nicht aktualisiert wird meldet die Aktion Objektpasswort berpr fen eventuell nicht dass die Passw rter synchronisiert wurden e Denken Sie daran dass die Task Passwortstatus berpr fen nur beim Identity Ma
161. assennamen Group durchsucht Diese Werte kommen vom verbundenen Active Directory Server und die Anwendungsabfrage beginnt beim Tag lt nds gt Unterhalb des Tags lt query xml gt nimmt diese Abfrage Daten entgegen mit etwa der folgenden Struktur lt instance class name Group src dn o Blanston cn groupl gt lt association gt o Blanston cn groupl lt association gt lt attr attr name Description gt the description for groupl lt attr gt lt instance gt lt instance class name Group src dn o Blanston cn group2 gt 190 Novell Identity Manager 3 0 Administrationshandbuch lt association gt o Blanston cn group2 lt association gt lt attr attr name Description gt the description for group2 lt attr gt lt instance gt lt instance class name Group src dn o Blanston cn group3 gt lt association gt o Blanston cn group3 lt association gt lt attr attr name Description gt the description for group3 lt attr gt lt instance gt NSS fie SS Anschlie end werden unter dem Tag lt result set gt die von der Abfrage empfangenen Daten in die verschiedenen Felder eingef gt In das Feld lt display name gt wird z B o Blanston cn groupl eingef gt Das Feld lt description gt erh lt the description for group und das Feld lt ent value gt erh lt den Wert o Blanston cn qgroupl1 Da mehr als eine der vorhandenen Gruppen die Abfragekriterien erf llt hat wurden diese Informationen ebenfalls erfasst und als weite
162. assw rter mit verbundenen Systemen zu synchronisieren Das universelle Passwort muss mit dem Verteilungspasswort synchronisiert sein damit diese Synchronisierungsmethode funktioniert Kontrollieren Sie im Treiberfilter das Attribut nspmDistributionPassword berzeugen Sie sich davon dass das lt password gt Element f r ein Add oder lt modify password gt Element f r das Attribut nspmDistributionPassword in die Attributoperationen Add bzw Modify umge ndert wurde Beobachten Sie zur Kontrolle den DSTrace Bildschirm oder die DSTrace Datei bei aktivierten Trace Optionen wie im ersten Arbeitsschritt erl utert berzeugen Sie sich davon dass die Treiberkonfiguration die Passwortrichtlinien f r das Identity Manager Skript an der richtigen Stelle und in der richtigen Reihenfolge enth lt wie in Abschnitt 5 3 4 In der Treiberkonfiguration ben tigte Richtlinien auf Seite 94 beschrieben Vergleichen Sie die Passwortrichtlinie im Identit tsdepot mit etwaigen Passwortrichtlinien die von dem verbundenen System durchgesetzt werden um sicherzustellen dass die Richtlinien kompatibel sind Keine Email Generierung bei Passwortfehlern Aktivieren Sie in DSTrace die Einstellung DXML um sich die Regelverarbeitung durch Identity Manager ansehen zu k nnen Stellen Sie die Identity Manager LDAP Trace Stufe f r den Treiber auf 3 ein 140 Novell Identity Manager 3 0 Administrationshandbuch e berzeugen
163. asswortverwaltung wenn Sie das universelle Passwort bisher mit NetWare 6 5 verwendet haben Zur Vereinfachung der Administration empfiehlt es sich Passwortrichtlinien einer m glichst hohen Ebene im Baum zuzuweisen Auf der Seite Konfigurationsoptionen k nnen Sie festlegen wie NMAS die verschiedenen Passwortarten synchronisieren soll Funktionen und Aufgaben Passwortrichtlinie Sample Password Policy Password Policies Security al Alle Ketegorien x Konfiguratonsoptionen A Benutzer E eDirectory Verwaltung eDirectory Wartung Aktivieren Sie die Passwortein jellungen f r Ihre Richtlinie Uber die Kontrollk stchen p Eunktionsbasierte Berechtigmgen _Konfigurationsoptionen E Gruppen Universelles Passwort aktivieren Helpdesk Erweiterte Passwortregeln aktivieren Mentity Manager Synchronisierung des universellen Passworts Identity managerek CO NDS Passwort bei Auswahl des universellen Passworts entfernen p entity E NDS Passwort bei Auswahl des universellen Passworts synchronisieren Manager Dienstprog amme Konfiguration tir v Einfaches Passwort bei Auswahl des universellen Passworts synchronisieren rn nn Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren 5 LDAP Abruf des universellen Passworts M Benutzer darf Passwort abrufes D NNAS 7 Benutzer darf Passwort abrufen D ini darf r abrufi 4 Novell Certificate Server C Administrator darf Passw rter abru
164. ata gt Der Webserver verarbeitet das Dokument form_templates xml mit der Formatvorlage process_template xsl Die Ersetzungs Token und Aktionselemente sind fett gedruckt Beachten Sie dass viele Datenelemente in versteckten INPUT Elemente platziert sind sodass die Datenelemente als Teil der HTML POST Daten an den Webserver weitergeleitet werden Dar ber hinaus ist ein Ersetzungs Token query roomNumber vorhanden das den aktuellen Wert des roomNumber Attributs des Mitarbeiters abruft sofern verf gbar lt html xmins form http www novell com dirxml manualtask form gt lt head gt lt title gt Enter room number for Ssubject name lt title gt lt head gt lt body gt lt link href novdocmain css rel style sheet type text css gt lt br gt lt br gt lt br gt lt br gt 342 Novell Identity Manager 3 0 Administrationshandbuch lt form class myform METHOD POST ACTION url base process template xsl gt lt table cellpadding 5 cellspacing 10 border 1 align center gt lt tr gt lt td gt lt input TYPE hidden name template value post form xml gt lt input TYPE hidden name subject name value subject name gt lt input TYPE hidden name association value Sassociation gt lt input TYPE hidden name response style sheet value process template xsl gt lt input TYPE hidden name response template value post_response xml gt
165. atei Bearbeiten Ansicht Favoriten Extras Snagit J ay Berechtigungsrichtlinie ndern Security Entitlement Policies TesatDriverSet novel Alle Kategorien Zusammenfassung Beschreibung Mitgliedschaft AOC AUT OR Rechte f r andere 0 D gt Benutzer eDirectory Verwaltung eDirectory Wartung N W hlen Sie die Treiber aus die Berechtigungen auf verbundenen Systemen bereitstellen Funktionsbasierte Berechtigungen Mitgliedschaft neu bewerten Funktionsbasierte Berechtigungen Benutzerkontoberechtigung Gruppen Gruppenmitgliedschaftsberechtigung Helpdesk Notes Benutzerkonto Identity Manager Identity Manager Dienstprogramme Konfiguration f r Bereitstellungsanforderungen LDAP NMAS Novell Certificate Server Novell Zertifikatszugriff Partitions und Reproduktionsverwaltung B internet 6 8 Konfliktlosung zwischen funktionsbasierten Berechtigungsrichtlinien e Abschnitt 6 8 1 Konflikte berblick auf Seite 203 e Abschnitt 6 8 2 ndern der Konfliktl sungsmethode f r einzelne Berechtigungen auf Seite 205 Abschnitt 6 8 3 Festlegen der Priorit ten von Berechtigungsrichtlinien auf Seite 208 6 8 1 Konflikte berblick Beim Erstellen von Berechtigungsrichtlinien kann es vorkommen dass die f r einen bestimmten Benutzer geltenden Richtlin
166. ationselement mit der Bezeichnung Zus tzliche Servlets angegeben wird J 1 Verwendung des Herausgeberkanals Wenn ein benutzerdefiniertes Servlet Daten an Identity Manager bertragen muss muss das Servlet hierf r den Herausgeberkanal des Treibers verwenden Die Klassen com novell nds dirxml driver manualtask ServletRegistrar und com novell nds dirxml driver manualtask PublisherData vereinfachen dies Der Beispielcode in sampleServlet java veranschaulicht diesen Prozess J 2 Authentifizierung Ein benutzerdefiniertes Servlet muss Benutzer authentifizieren die Informationen senden Der Beispielcode in SampleServlet java veranschaulicht diesen Prozess Bei diesem Typ der Authentifizierung anhand des lt check object password gt Elements werden jedoch keine eDirectory Rechte berpr ft nderungen die auf dem Herausgeberkanal gesendet werden sind zul ssig wenn das Treiberobjekt ber die erforderlichen Rechte zur Durchf hrung der nderungen verf gt Es ist dabei unwesentlich ob der Benutzer der die nderungen sendet ber diese Rechte verf gt oder nicht Bei Verwendung einer URL die von einer Befehls Behandlungsroutine auf dem Abonnentenkanal erzeugt wurde m ssen Sie zur Best tigung der URL die Klasse com novell nds dirxml driver manualtask URLData verwenden Auf diese Weise wird sichergestellt dass das Datenelement responder dn nicht unerlaubt ge ndert wurde Weitere Informationen hie
167. atz der den zu aktualisierenden Treiber enth lt 2 Klicken Sie auf den Treiber den Sie soeben aktualisiert haben z B AvayaPBX 3 Klicken Sie auf das Symbol z B Befehlstransformationsrichtlinien auf dem Herausgeberkanal f r die Stelle an der Sie eine der neuen Richtlinien einf gen m chten Identity Manager Treiber berblick Treiber AvayaPBX TestDriverSet novell H a amp Arsennbiihre suf Caruar amp Eingabetransformationsrichtlinien eschaltflache eine Richtlinie hinzuf gen gt Einf gen Entfernen _ Bearbeiten Umbenennen L schen n i Exportieren Aus Identit tsdepot migrieren ci 4 Klicken Sie auf Einf gen um die neue Richtlinie hinzuzuf gen Richtlinie f r Befehlstransformation einf gen Eine neue Richtlinie erstellen Geben Sie den Namen f r die neue Richtlinie ein Wahlen Sie den Container in dem die Richtlinie erstellt werden soll Publisher AvayaPBX TesatDriverSetnovell fa Wie m chten Sie diese Richtlinie implementieren Richtlinien Builder XSLT Eine vorhandene Richtlinie kopieren Wahlen Sie die zu kopierende Richtlinie aus Alfa Vorhandene Richtlinie verwenden Geben Sie den DN der vorhandenen Richtlinie ein die Sie verwenden m chten aAA OK _Abbrechen 5 Klicken Sie auf Vorhandene Richtlinie verwenden suchen Sie das neue Richtlinienobjekt und klicken Sie auf OK 6 Falls die Liste zu einer der neuen Richtlin
168. auf wenn ein Abfragedoku ment an die IDM Engine oder den IDM Treiber gesendet wird Tritt auf wenn ein Objekt hin zugef gt wird Tritt auf wenn ein Objekt gel scht wird Tritt auf wenn ein Objekt ge ndert wird Tritt auf wenn ein Objekt umbe nannt wird Tritt auf wenn ein Objekt ver schoben wird Tritt auf wenn eine Verkn pfung hinzugef gt wird Dies ist bei Hin zuf gevorg ngen oder Entspre chungen der Fall Wenn ein Objekt gel scht wird tritt kein Ereignis zum Entfernen einer Verkn pfung auf Das Ereignis tritt auf wenn ein Benutzerobjekt in der getrennten Anwendung gel scht und der L schvorgang dann in eine nderung konvertiert wird bei der die Verkn pfung entfernt wird Tritt auf wenn ein Vorgang zum Abfragen eines Schemas an die IDM Engine oder den IDM Treiber gesendet wird Manuelle Funktion die ber iManager initiiert wird EventID Description Data Type Triggers 30011 30012 30013 30014 30015 30016 30017 30018 30019 3001A 3001B Check Object Password Change Password Sync Input XML Document Input Transformation Document Output Transformation Document Event Transformation Document Placement Rule Trans formation Document Create Rule Transforma tion Document Input Mapping Rule Transformation Docu ment Output Mapping Rule Transformation Docu ment XML Document XML Document XML Document XML Do
169. auf Seite 116 Dienstprogramme und NMAS Dienstprogramme wie iManager und der Novell Client kommunizieren mit NMAS anstatt ein bestimmtes Passwort direkt zu aktualisieren NMAS ist die Instanz die entscheidet welche Passw rter aktualisiert werden NMAS synchronisiert Passw rter innerhalb eines Identit tsdepots und verwendet dazu die Einstellungen aus den NMAS Passwortrichtlinien ltere Dienstprogramme die das universelle Passwort noch nicht unterst tzen aktualisieren das NDS Passwort direkt anstatt mit NMAS zu kommunizieren und NMAS die Entscheidung zu Passwortsynchronisierung mit verbundenen Systemen 115 berlassen welche Passw rter aktualisiert werden m ssen Beachten Sie wie Benutzer und Helpdesk Administratoren in Ihrer Umgebung ltere Dienstprogrammen nutzen Da ltere Dienstprogramme das NDS Passwort nicht ber NMAS sondern direkt aktualisieren kann es zu einer Passwortdivergenz d h zu fehlender Synchronisierung zwischen dem universellen Passwort und dem NDS Passwort kommen wenn Sie das universelle Passwort und NMAS 2 3 verwenden Damit das universelle Passwort unterst tzt wird m ssen Sie sicherstellen dass die Benutzer auf den Novell Client aufr sten und die Helpdesk Benutzer ConsoleOne nur in Verbindung mit der neuesten Version des Novell Client oder von NetWare einsetzen Abbildung 5 5 Passwortsynchronisierung ber NMAS Verteilungs passwort NDS Passwort Einfaches Passwort m oe ee he
170. auf Seite 131 Einrichten von Szenario 3 auf Seite 132 Fehlersuche bei Szenario 3 auf Seite 137 130 Novell Identity Manager 3 0 Administrationshandbuch Vor und Nachteile von Szenario 3 Tabelle 5 13 Vorteile Synchronisieren des Identit tsdepots und der verbundenen Systeme durch Aktualisierung des Verteilungspassworts Vorteile Nachteile Erm glicht die Synchronisierung von Pass w rtern zwischen dem Identit tsdepot und ver bundenen Systemen Sie k nnen ausw hlen ob Richtlinien f r die von verbundenen Systemen bergebenen Passw rter erzwungen werden sollen oder nicht Sie k nnen festlegen dass eine Benachrichti gung gesendet wird falls bei der Passwortsyn chronisierung ein Fehler auftritt Wenn Sie sich f r das Erzwingen von Passwor trichtlinien entscheiden haben Sie die M glich keit ein nicht regelkonformes Passwort auf dem verbundenen System auf das Verteilungspass wort zur ckzusetzen Das Diagramm zu diesem Szenario zeigt folgenden Verlauf 1 Passw rter treffen ber Identity Manager ein 2 Identity Manager geht ber NMAS um das Verteilungspasswort direkt zu aktualisieren 3 Identity Manager verwendet das Verteilungspasswort auch um Passw rter an verbundene Systeme zu bergeben die Sie f r das Akzeptieren von Passw rtern konfiguriert haben 4 NMAS synchronisiert das universelle Passwort unter Ber cksichtigung der Einstellungen der NMAS Passwortrichtlinien m
171. ausgeberkanals verweist und zum Einholen von Informationen von einem Benutzer verwendet wird m ssen die Ersetzungsdaten mindestens ein responder dn Element enthalten Die Werte der responder dn Elemente m ssen die DNs der Benutzerobjekte der Benutzer sein an die die Nachricht gesendet wird 236 Novell Identity Manager 3 0 Administrationshandbuch Wenn ein Abfrage Ersetzungs Token siehe Abschnitt Ersetzungsdaten auf Seite 229 in der Schablone verwendet wird m ssen die Ersetzungsdaten f r das lt message gt Element ein Element namens src dn oder src entry id oder eine Verkn pfung zum entsprechenden Wert enthalten Ein Verkn pfungselement kann nur verwendet werden wenn das abzufragende eDirectory Objekt bereits ber eine Verkn pfung zum Service Treiber f r manuelle Aufgaben verf gt Die vom Abonnentenkanal f r nicht verkn pfte Objekte erzeugte Verkn pfung kann nicht verwendet werden weil sie zum Zeitpunkt der Abfrage noch nicht in das eDirectory Objekt geschrieben wurde Das lt message gt Element kann den MIME Typ des Nachrichtentexts angeben Wenn zwar der MIME Typ aber keine Formatvorlage angegeben ist d h es ist kein untergeordnetes lt stylesheet gt Element von lt message gt vorhanden wird einer der zwei Standard Formatvorlagennamen verwendet Wenn der MIME Typ einfacher Text ist lautet der Standardname der Formatvorlage process_text _template xsl Bei einem anderen MIME Typ lautet der Standa
172. avon dass die Verwendung des universellen Passworts in Ihrer Umgebung problemlos m glich ist Weitere Informationen hierzu finden Sie in Abschnitt 5 4 Vorbereitungen zur Nutzung der Identity Manager Passwortsynchronisierung und des universellen Passworts auf Seite 100 Beachten Sie bei Verwendung von DirXML 1 1a Abschnitt 2 3 Upgrade einer Treiberkonfiguration von DirXML 1 1 auf ein Identity Manager Format auf Seite 21 2 Klicken Sie in iManager auf Identity Manager Dienstprogramme gt Treiber importieren 3 Wahlen Sie den Treibersatz aus in dem sich der vorhandene Treiber befindet und klicken Sie auf Weiter 4 Bl ttern Sie in der Liste der Treiberkonfigurationen zum Eintrag Zus tzliche Richtlinien und w hlen Sie nur Richtlinien f r die Passwortsynchronisierung 2 0 aus A Funktionen und Aufgaben Treiber importieren A DB NOON AL2KINOS NCP Server KL TestDriverSet Treibersatz E Benutzer eDirectory Verwattung i eDirectory Wartung an Funk tionbasime te APR sap Benutzerverwaltung Berechtigungen o E Gruppen T Helpdesk Identity Manager Identity Manager berbiick Identity Manager Dienstprogr amme DO amp SOAP SPML SOAP DSML Aktivierung anfordern Aktivierung retemeren Yersionsermit thar Treiber importieren Treer exportieren Qatentuss Zus tzliche Richtlinien Dastenfuzik Tabedbervarecicht es Dotenfirss entwerfen O ESI Update dar AD Treiberschnittstellenmodul Konfiguration von
173. basierte Berechtigungen Identity Manager Identity Manager n Diemipropamme tume Server en an eet Anwendung akzeptiert Pansweater y Konfiquration f r Bareitstathngsanfor derungen 1 ROOM AL 2KI NDS BD Arien Aktiviert E Passw rter Active Directory NOO4I AL 2KJ NOS DA aneiviere F aktiviert Parmeartetatus serpr fen tirautordanungu tze Pi Avaap i noon n Tahiti Avayapins AL 2K3 NDS DI aktiviert EI wicht verf gbar Pesswortsynchroniserung 00 IK3 NDS 3 Bochtinvmnnmamurgen egn Datimited Text NOM fA 2KI NDS DA aktiviert EI Nicht vertugbar Untvarsadaz Pupeusrt ta Tr DSM Soap NOOST AL 2KI NOS A aktivert EI nicht verfugbar Emaf ichabluren bearbersen eDirectory Driver NOOSE AL 2K3 NOS 7 aktiviert A aktiviort 7 PBX Klicken Sie zum Andern dieser Einstellungen auf den Treibernamen eines verbundenen Systems Treiber ndern AvayaPBX TestDriverSet novell Passwortsynchronisierung F r Server NO041 AL 2K3 NDS novell Identity Manager akzeptiert Passw rter Herausgeberkanal O verteilungspasswort f r die Passwortsynchronisierung verwenden Passwort nur akzeptieren wenn es der Passwortrichtlinie des Benutzers entspricht Wenn Passwort nicht der Richtlinie entspricht Passwortrichtlinie auf dem verbundenen System erzwingen durch Zur cksetzen des Benutzerpassworts auf das Verteilungspasswort Passwort immer akzeptieren Passwortrichtlinien ignorieren Anwendung akzeptiert Passw rter Abonnentenkanal Benut
174. be bd eo eee er een oe 99 5 3 6 F r Benutzer erstellte NUAS Passwortrichtlinien 22222222 een 99 5 3 7 NMAS Anmeldemethoden 2222n0 sense een nennen ernennen 99 5 4 Vorbereitungen zur Nutzung der Identity Manager Passwortsynchronisierung und des niversellen P ssw orls sen da He Be el ne 100 5 4 1 Umstellen der Benutzer vom NDS Passwort auf das universelle Passwort 100 5 4 2 Hilfe f r Benutzer beim ndern von Passw rtern 00000 e eee eee 100 5 4 3 Vorbereitungen f r die Verwendung des universellen Passworts 101 5 4 4 Abgleichen der Container 2 0 0 0 eee 103 5 4 5 Einrichten der Email Benachrichtigung 2222222 eee eee 103 5 5 Konfigurieren und Synchronisieren eines neuen Treibers 0 eee eee een 103 5 6 Upgrade von Version 1 0 der Passwortsynchronisierung 00 00s eee eee eee 105 5 7 Upgrade bestehender Treiberkonfigurationen zur Unterst tzung der Passwortsynchronisierung 2 2 22 222er een 106 5 7 1 1 Schritt Treiber in das Format von Identity Manager 3 konvertieren 107 5 7 2 2 Schritt Zur Treiberkonfiguration hinzuf gen 0 ee eee ee 109 5 7 3 3 Schritt Filtereinstellungen ndern 0 0 ee nern een 111 5 74 4 Schritt Einrichten des Transfers f r die Passwortsynchronisierung 113 5 8 Implementierung der Passwortsynchronisierung 2 000 0c cece eee nn 115 5 8 1 berblick ber die
175. beim Tunneling eine Passwortsynchronisierung eingerichtet ist unterscheidet sich das Verteilungspasswort vom universellen Passwort und vom NDS Passwort Probleme bei der Anmeldung an einem anderen verbundenen System das Passw rter abonniert auf Seite 146 e Ausbleiben der Email bei Passwortfehlern auf Seite 146 Fehler beim Ausf hren der Task Passwortstatus berpr fen auf Seite 147 e Hilfreiche DSTrace Befehle auf Seite 147 Beachten Sie auch die Tipps in Abschnitt 5 13 Fehlersuche bei der Passwortsynchronisierung auf Seite 169 Passwortsynchronisierung mit verbundenen Systemen 145 Probleme bei der Anmeldung an einem anderen verbundenen System das Passw rter abonniert Dieser Abschnitt befasst sich mit der Fehlersuche in Situationen in denen ein verbundenes System Passw rter gegen ber Identity Manager ver ffentlicht ein anderes verbundenes System das ebenfalls Passw rter ver ffentlicht jedoch anscheinend keine nderungen von dem anderen System mitgeteilt bekommt Bei dieser Konstellation spricht man auch von einem sekund ren verbundenen System weil das zweite verbundene System die Passw rter ber Identity Manager vom ersten verbundenen System erh lt Aktivieren Sie in DSTrace die Einstellungen DXML und DVRS um sich die Regelverarbeitung durch Identity Manager und m gliche Fehlermeldungen ansehen zu k nnen Stellen Sie die Identity Manager LDAP Trace Stufe f r den
176. ber importieren k nnen Sie mehrere Treiber gleichzeitig erstellen und deren Konfigurationen importieren Weitere Informationen hierzu finden Sie in Abschnitt 2 1 2 Erstellen mehrerer Treiber auf Seite 20 Verwalten von Identity Manager Treibern 19 2 1 1 Erstellen von Treiberobjekten Die f r die ordnungsgem e Funktion eines Treibers erforderlichen Objekte werden in einer Treiberkonfigurationsdatei XML erstellt und konfiguriert Diese Datei enth lt zudem Beispielrichtlinien die Sie f r Ihre Implementierung ndern k nnen 1 W hlen Sie in iManager Identity Manager Dienstprogramme gt Neuer Treiber 2 W hlen Sie einen Treibersatz in dem der Treiber erstellt werden soll und klicken Sie anschlie end auf Weiter Wenn Sie diesen Treiber in einem neuen Treibersatz erstellen m ssen Sie f r den Treibersatz einen Namen einen Kontext und den zugeordneten Server angeben 3 Aktivieren Sie die Option Treiberkonfiguration vom Server importieren XML Datei w hlen Sie die XML Datei aus und klicken Sie auf Weiter Die Treiberkonfigurationsdatei wird beim Einrichten von iManager auf dem Webserver installiert 4 F hren Sie die Anweisungen aus um das Importieren der Treiberkonfiguration abzuschlie en Die erforderlichen Identity Manager Objekte werden erstellt Wenn Sie w hrend des Importvorgangs keine Sicherheits quivalenzen definiert oder verwaltungsbefugte Benutzer ausgeschlossen haben k nnen Sie diese Aufgaben dur
177. bersatz einem Server zuordnen Treiber hinzuf gen oder entfernen Aktivierungsinformationen f r den Treibersatz anzeigen Das Statusprotokoll f r den Treibersatz anzeigen 1 2 6 Treiberobjekt Ein Treiberobjekt stellt einen Treiber dar der die Verbindung zu dem verbundenen System herstellt das in das Identit tsdepot integriert wird Das Treiberobjekt und seine Konfigurationsparameter bestehen aus folgenden Komponenten e Ein Treiberobjekt in der eDirectory Baumstruktur das in einem Treibersatzobjekt enthalten ist e Ein Abonnentenkanalobjekt das im Treiberobjekt enthalten ist e Ein Herausgeberobjekt das im Treiberobjekt enthalten ist 14 Novell Identity Manager 3 0 Administrationshandbuch Mehrere Richtlinienobjekte die von den Treiber Abonnenten und Herausgeberobjekten referenziert werden Ein ausf hrbares Treiberschnittstellenmodul das vom Treiberobjekt referenziert wird Schnittstellenmodulspezifische Parameter die vom Administrator konfiguriert werden Ein eDirectory Passwort f r das Treiberobjekt Das Passwort kann vom Schnittstellenmodul zur Authentifizierung eines entfernten Teils des Schnittstellenmoduls verwendet werden Authentifizierungsparameter die verwendet werden um eine Verbindung zum verbundenen System herzustellen und dieses zu authentifizieren Berechtigungen obwohl diese nicht in allen Treibern enthalten sind Berechtigungen k nnen beim Erstellen des Treibers oder zu einem sp teren Zeitpunkt
178. bjekt geandert wird C 5 Portlet Passwort ndern Tabelle C 12 Felder des Portlets Passwort ndern Originator Title Target Title und Text3 Title EventID Description Originator Title Target Title Text3 Title 31420 Change_Password_Failure Initiator ID Target DN Error Message 31421 Change_Password_Success Initiator ID Target DN Tabelle C 13 Felder des Portlets Passwort ndern Value3 Title Value3 Type und Triggers EventID Description Value3 Title Value3 Type Triggers 31420 Change_Password_Failure Error Number Boolean Tritt auf wenn bei einer Pass wort nderung ein Fehler auftritt 31421 Change_Password_Success Tritt auf wenn eine Pass wort nderung erfolgreich ist 302 Novell Identity Manager 3 0 Administrationshandbuch C 6 Portlets Passwort vergessen und Passwort ndern Tabelle C 14 Felder der Portlets Passwort vergessen und Passwort ndern Originator Title Target Title und Text3 Title EventID Description Originator Title Target Title Text3 Title 31420 Forgot _Password_Change_ Initiator ID Target DN Error Message Failure 31421 Forgot_Password_Change_ Initiator ID Target DN Success Tabelle C 15 Felder der Portlets Passwort vergessen und Passwort ndern Value3 Title Value3 Type und Group Title EventID Description Value3 Title Value3 Type Group Title 31420 Forgot_Password_Change_ Error Number Boolean Group Number Failure 31421 Forgot_Password_Ch
179. blone festlegen gt DirXML nwoWorkOrder Anwendungsname E SD User TTT a city fa CD company EID description Ver ffentlichen a c Synchronisieren Full Name A gt Ignorieren Eure Benachrichtigen DD jackNumber By C Zur cksetzen Di amp D Abonnieren paata Sa Be Synchronisieren EID surname Br Ignorieren gt Telephone Number b Benachrichtigen ED sitte i C Zur cksetzen nsp mDistributionPassword Zusammenf hrungsstelle ee DirXiML pbxExtension Standard en x Identit tsdepot x Passwortsynchronisierung mit verbundenen Systemen 125 3 Setzen Sie f r alle Objekte bei denen der Wert Benachrichtigen f r das Attribut aspmDistributionPassword eingestellt ist die Attribute Public Key und Private Key auf Ignorieren Filter eDirectory Driver TesatDriverSet novell Filter v Klasse hinzufiigen Attribut bearb L schen Filter kopieren von Schablone festlegen WL sA A lt gt Security Equals J SD See Also gt siteLocation ED spouse SD surname b gt Telephone Number gt teletexTerminalldentifier SD telexNumber gt Timezone SED rite gt tollFreePhoneNumber SD vio gt unique ID gt vehicle Information SD workforcelD gt Private Key SID Public Key lt i 12 All KS e Anwendungsname Ver ffentlichen O synchronisieren Ignorieren o Benachrichtigen Y O Zur cksetzen
180. bundenen Systemen ist die Bereitstellung des aktuellen Benutzerpassworts nicht m glich Sie k nnen die Systeme jedoch so konfigurieren dass Identity Manager ein Passwort ber eine Formatvorlage bereitgestellt wird z B ein Ausgangspasswort unter Verwendung des Nachnamens oder der Mitarbeiter ID Verteilen von Passw rtern an verbundene Systeme Mithilfe der Identity Manager Passwortsynchronisierung k nnen Sie ein allgemeines Passwort an verbundene Systeme verteilen In fr heren Versionen von Identity Manager sendete ein Treiber die Passw rter von Benutzerkonten auf verbundene Systeme Anhand der Passw rter wurden die entsprechenden Benutzer in eDirectory aktualisiert Da das NDS Passwort in eDirectory nicht reversibel ist konnten Passw rter nicht aus dem zentralen Identity Manager Identit tsdepot an die verbundenen Systeme verteilt werden Das eDirectory Passwort konnte nur vor dem Speichern in eDirectory z B ber den Novell Client ermittelt werden Das von eDirectory 8 7 3 bereitgestellte universelle Passwort ist reversibel und kann verteilt werden Identity Manager kann Passw rter von verbundenen Systemen akzeptieren Da das universelle Passwort reversibel ist kann es Identity Manager aus dem Identit tsdepot an verbundene Systeme verteilen auf denen das Einrichten eines Ausgangspassworts und das ndern von Passw rtern unterst tzt wird Unabh ngig davon woher das Passwort kommt verwendet Identity Manager das Verteilun
181. ch keine Berechtigungen die Werte aus einem Benutzerkonto in einem anderen System enthalten Wenn einem Benutzer die Mitgliedschaft in einer Email Verteilerliste erteilt wird und der Benutzer sp ter einmal die Kriterien f r die Berechtigungsrichtlinie nicht mehr erf llt wird er einfach aus der Berechtigungsrichtlinie ausgerschlossen Die Konten werden deaktiviert die Gruppenmitgliedschaft und die Attributwerte werden jedoch nicht entfernt Ein Identity Manager Experte kann die Treiberkonfigurationen anpassen wenn Sie andere Ergebnisse w nschen Die Interpretation des Entziehens einer Berechtigung ist besonders wichtig weil funktionsbasierte Berechtigungen die M glichkeit bieten in der Produktionsumgebung einer Organisation weitreichende nderungen durchzuf hren ohne die Ergebnisse vorher testen zu m ssen Sie k nnen die Einstellungen f r das Interpretieren des Erteilens oder Entziehens durch Bearbeiten der Globalkonfigurationswerte eines vorkonfigurierten Treibers ndern Wenn Sie eine eigene 210 Novell Identity Manager 3 0 Administrationshandbuch Konfiguration erstellen k nnen Sie GCVs hinzuf gen damit das Erteilen und Entziehen von Berechtigungen wunschgem interpretiert wird 6 10 2 Verhindern von Datenverlusten Funktionsbasierte Berechtigungen bieten die M glichkeit auf Basis der Mitgliedschaft in einer Richtlinie weitreichende nderungen an Berechtigungen wie z B Konten durchzuf hren Zugleich bedeutet dies jed
182. chen Treibermodul com novell nds dirxml driver delimitedtext DelimitedTextDriver E NO41 W2k3 DE NDS novell Treiber ID TEXT Treiberversion 1 1 3 Die erweiterte Ansicht eines Treibersymbols der obersten Ebene enthalt Folgendes Treibername Treibermodul z B com novell nds dirxml driver delimitedtext DelimitedTextDriver Die erweiterte Ansicht eines Servers unter einem Treibersymbol enth lt Folgendes Treiber ID e Version der auf diesem Server ausgef hrten Treiberinstanz Verwalten von Identity Manager Treibern 25 2 8 2 Anzeigen der Versionsinformationen als Textdatei Identity Manager ver ffentlicht Versionsinformationen in einer Datei Sie k nnen diese Informationen im Textformat anzeigen Die Textdarstellung enth lt dieselben Informationen wie die hierarchische Ansicht 1 Klicken Sie in iManager auf Identity Manager gt Identity Manager berblick und anschlie end auf Suchen um zum gew nschten Treibersatz zu wechseln 2 Klicken Sie im Bildschirm Identity Manager berblick auf Informationen Treibersatz Driverset novell Aktivierung erforderlich bis 1 Mai 2006 5 Identit ts depot Ausgef hrt auf Server NO41 W2K3 DE NDS novell Delimited Text gt Treiber hinzuf gen Treiber l schen Sie k nnen auch dentity Manager Dienstprogramme gt Versionsermittlung w hlen den gew nschten Treibersatz ausw hlen und anschlie end auf Informationen klicken 3 Klicken Sie
183. chert wurde wird es von dem Treiber gelesen der Eigent mer des Cache ist Der Treiber empf ngt die Identit tsdepotdaten im nativen eDirectory Format bersetzt sie in das XDS Format das von Identity Manager verwendete XML Vokabular das durch eine Richtlinie transformiert werden kann und sendet das Ereignis an die Metaverzeichnis Engine Die Engine liest alle Richtlinien im verbundenen Systemtreiber und erstellt gem diesen Richtlinien XML formatierte Daten die sie anschlie end an den verbundenen Systemtreiber sendet Dann werden die Daten an das verbundene System gesendet Weitere Informationen zu Richtlinien finden Sie unter Introduction to Policies Einf hrung zu Richtlinien im Policy Builder and Driver Customization Guide Handbuch zum Richtlinien Builder und zur Treiberanpassung Das Erfassen und Senden von Aktualisierungen vom verbundenen System an das Identit tsdepot wird von der Herausgeberkomponente des Treibers ausgef hrt Wenn der Treiber des verbundenen Systems ber nderungen an den Informationen benachrichtigt wird die die beiden Systeme gemeinsam nutzen sammelt er diese Informationen und stellt sicher dass sie in den richtigen Datensatz gefiltert wurden Anschlie end konvertiert er die Daten in das XDS Format und sendet sie an die Engine 1 2 1 Metaverzeichnis Engine Die Metaverzeichnis Engine kann in zwei Komponenten aufgeteilt werden die eDirectory Schnittstelle und die Synchronisierungs Engine eD
184. chf hren indem Sie die Eigenschaften des Treiberobjekts ndern Hinweis Wenn Sie w hrend des Importvorgangs keine Berechtigungen aktiviert haben werden keine Berechtigungsrichtlinien erstellt Wenn Sie zu einem sp teren Zeitpunkt Berechtigungen verwenden m chten m ssen Sie einen neuen Treiber erstellen und die Berechtigungen aktivieren 2 1 2 Erstellen mehrerer Treiber In Identity Manager haben Sie die M glichkeit mehrere Treiber gleichzeitig zu erstellen Dieser Prozess ist mit dem Erstellen eines einzelnen Treibers vergleichbar da auch hier die f r die ordnungsgem e Funktion des Treibers erforderlichen Objekte in Treiberkonfigurationsdateien XML erstellt werden So importieren Sie mehrere Treiber gleichzeitig 1 W hlen Sie in iManager Identity Manager Dienstprogramme gt Treiber importieren 2 W hlen Sie einen Treibersatz in dem die neuen Treiber erstellt werden sollen und klicken Sie anschlie end auf Weiter Wenn Sie diese Treiber in einem neuen Treibersatz erstellen m ssen Sie f r den Treibersatz einen Namen einen Kontext und den zugeordneten Server angeben 3 W hlen Sie die dem Treibersatz hinzuzuf genden Anwendungskonfigurationen aus und klicken Sie auf Weiter 4 F hren Sie die Anweisungen aus geben Sie die angeforderten Daten ein und klicken Sie auf Weiter Wenn Sie mehrere Konfigurationen gleichzeitig f r den Import ausw hlen werden die Konfigurationsseiten der Anwendung nacheinander an
185. chliche Passwort des Benutzers an Identity Manager bergeben Wenn Sie Passw rter unter Active Directory NIS und NT Domain erfassen m chten m ssen Sie kleinere Eingriffe an der Konfiguration vornehmen um Passwortfilter auf verbundenen Systemen installieren zu k nnen e Abschnitt 5 9 1 Einrichten von Passwortsynchronisierungsfiltern f r Active Directory und NT Domain auf Seite 151 e Abschnitt 5 9 2 Einrichten von Passwortsynchronisierungsfiltern f r NIS auf Seite 152 5 9 1 Einrichten von Passwortsynchronisierungsfiltern f r Active Directory und NT Domain Diese Informationen finden Sie in den Abschnitten zur Passwortsynchronisierung in den Treiber Implementierungshandb chern zu den Identity Manager Treibern f r Active Directory und NT Domain unter Identity Manager Drivers http www novell com documentation dirxmldrivers index html Es gen gt wenn der Identity Manager Treiber fiir AD oder NT Domain auf einem einzigen Windows Computer installiert wird Auf den anderen Dom nencontrollern muss der Treiber nicht installiert sein allerdings muss auf jedem Dom nencontroller die Dateipwfilter dl1 installiert sein um Passw rter erfassen und an Identity Manager senden zu k nnen Zur Vereinfachung der Konfiguration und Administration wird ein Dienstprogramm bereitgestellt das diese Installation von dem Windows Computer aus auf dem der Treiber installiert ist f r alle Dom nencontroller durchf hrt Passwort
186. chronisierung f r den Treiber die Option Identity Manager akzeptiert Passw rter Herausgeberkanal ausgew hlt ist e Stellen Sie sicher dass in der NMAS Passwortrichtlinie die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren ausgew hlt ist e Stellen Sie sicher dass in der NMAS Passwortrichtlinie die Option NDS Passwort bei Auswahl des universellen Passworts synchronisieren ausgew hlt ist falls dieses Verhalten gew nscht wird e Wenn sich Benutzer ber den Novell Client oder ConsoleOne anmelden berpr fen Sie die Versionsnummer ltere Novell Clients und ConsoleOne k nnen sich unter Umst nden nicht beim Identit tsdepot anmelden wenn das universelle Passwort nicht mit dem NDS Passwort synchronisiert ist Es sind Versionen des Novell Client und von ConsoleOne verf gbar die das universelle Passwort erkennen Weitere Informationen hierzu finden Sie im NMAS 3 0 Administration Passwortsynchronisierung mit verbundenen Systemen 139 Guide http www novell com documentation nmas30 index html MAS 3 0 Administrationshandbuch Einige ltere Dienstprogramme authentifizieren unter Verwendung des NDS Passworts und k nnen sich ebenfalls nicht beim Identit tsdepot anmelden wenn das universelle Passwort nicht mit dem NDS Passwort synchronisiert ist Wenn Sie das NDS Passwort f r die meisten Benutzer nicht verwenden m chten einige Administratoren oder Helpdesk Benutzer jedoch die Authentifizieru
187. chtlinien die von dem verbundenen System durchgesetzt werden um sicherzustellen dass die Richtlinien kompatibel sind Ausbleiben der Email bei Passwortfehlern Aktivieren Sie in DSTrace die Einstellung DXML um sich die Regelverarbeitung durch Identity Manager ansehen zu k nnen Stellen Sie die Identity Manager LDAP Trace Stufe f r den Treiber auf 3 ein berzeugen Sie sich davon dass die Regel f r das Erzeugen einer Email Benachrichtigung ausgew hlt ist berzeugen Sie sich davon dass das Identit tsdepot Objekt im Attribut Internet EMail Address den richtigen Wert f r den Benutzer enth lt Kontrollieren Sie den SMTP Server und die Email Schablone in der Aufgabe Benachrichtigungskonfiguration Weitere Informationen hierzu finden Sie in Abschnitt 5 12 Konfigurieren der Email Benachrichtigung auf Seite 156 Email Benachrichtigungen sind nicht invasiv d h sie haben keinerlei Auswirkungen auf die Verarbeitung des XML Dokuments das das Versenden der Email ausgel st hat Tritt beim Versand 146 Novell Identity Manager 3 0 Administrationshandbuch der Email Benachrichtigung ein Fehler auf wird der Vorgang nur dann wiederholt wenn die Operation selbst wiederholt wird Debug Meldungen zu Email Benachrichtigungen werden in die Trace Datei geschrieben Fehler beim Ausf hren der Task Passwortstatus berpr fen Die Task Passwortstatus berpr fen in iManager bewirkt dass der Treiber die Aktio
188. cument XML Document XML Document XML Document XML Document XML Document XML Document XML Document Tritt auf wenn eine Anforderung zum berpr fen des Passworts eines Objekts gestellt wird Dies gilt nicht fur Treiber Tritt auf wenn eine Anforderung zum Andern des Treiberpass worts gestellt wird Tritt auf wenn ein Synchro nisierungsereignis angefordert wird Wird immer dann generiert wenn von der Engine oder dem Treiber ein Eingabedokument erstellt wird Wird nach der Verarbeitung der Eingabetransformationsrichtlin ien generiert Erm glicht dem Benutzer die Durchsicht des transformierten Dokuments Wird nach der Verarbeitung der Ausgabetransformationsrichtlin ien generiert Erm glicht dem Benutzer die Durchsicht des transformierten Dokuments Wird nach der Verarbeitung der Ereignistransformationsrichtlin ien generiert Erm glicht dem Benutzer die Durchsicht des transformierten Dokuments Wird nach der Verarbeitung der Richtlinien f r Platzierungsregeln generiert Erm glicht dem Benutzer die Durchsicht des transformierten Dokuments Wird nach der Verarbeitung der Regelerstellungsrichtlinien gen eriert Erm glicht dem Benutzer die Durchsicht des transformi erten Dokuments Wird nach der Verarbeitung der Schema Zuordnungsregeln gen eriert die das Dokument in ein eDirectory Schema konvertieren Wird nach der Verarbeitung der Schema Zuordnungsregeln gen eriert die das Do
189. d ber den Herausgeberkanal des Service Treibers f r manuelle Aufgaben an eDirectory gesendet Beispiel Email auf dem Abonnentenkanal keine Antwort auf dem Herausgeberkanal Im Folgenden ist ein Beispielszenario aufgef hrt in dem der Manager eines neuen Mitarbeiters dem Mitarbeiter einen Computer in einem Asset Management System zuweist 1 In eDirectory wird ein neues Benutzerobjekt erstellt z B vom DirXML Treiber f r das HR System des Unternehmens 2 Der Abonnentenkanal des Service Treibers f r manuelle Aufgaben sendet eine SMTP Nachricht an den Manager des Benutzers sowie an dessen Assistenten Die SMTP Nachricht enth lt Anweisungen f r die Dateneingabe im Asset Management System 3 Der Manager oder sein Assistent gibt die Daten im Asset Management System ein 4 Optional Die Identifikationsdaten des Computers gelangen ber einen DirXML Treiber f r das Asset Management System zu eDirectory Erstellung von Emails und Webseiten durch den Service Treiber f r manuelle Aufgaben Emails HTML Webseiten und XDS Dokumente k nnen alle als Dokumente angesehen werden Der Service Treiber f r manuelle Aufgaben erstellt Dokumente dynamisch die auf den an den Treiber bermittelten Informationen basieren Schablonen sind XML Dokumente die h ufig verwendete oder feste Teile eines Dokuments enthalten Zus tzlich enthalten sie Ersetzungs Token die angeben wie die dynamischen oder zu ersetzenden Teile des endg ltig zusamme
190. d werden in der Form name value in die Query Zeichenkette eingef gt wobei name der Wert des Namensattributs des lt item gt Elements und value der Inhalt des lt item gt Elements ist Item Elemente die unterhalb des Elements lt url query gt angezeigt werden verf gen m glicherweise ber ein protect Attribut mit dem Wert yes Ist dies der Fall sind die Namen und Werte von item verschl sselt und werden innerhalb eines generierten Name Wert Paars in der URL Query Zeichenkette platziert Der Name des generierten Werts lautet protected data Der Wert ist das mit Base64 kodierte und verschl sselte Name Wert Paar oder mehrere Paare f r mehrwertige Attribute Durch das Sch tzen von Daten wird sichergestellt dass die Daten nicht ge ndert werden k nnen wenn die URL an den Webserver des Herausgeberkanals gesendet wird Die responder dn Datenelemente sollten z B gesch tzt werden um sicherzustellen dass eDirectory Daten nur von Benutzern ge ndert werden k nnen die befugt sind die Email zu beantworten Wenn die erzeugte URL auf dem Webserver des Herausgeberkanals verwendet werden soll muss das lt url query gt Element mindestens ein Element vom Typ lt item name responder dn 324 Novell Identity Manager 3 0 Administrationshandbuch protect yes gt enthalten Anderenfalls weist der Webserver die resultierende HTTP POST Anforderung zur ck Service Treiber f r manuelle
191. d der durch das Datenelement auth_template festgelegten Schablonen und der durch das Datenelement auth_stylesheet festgelegten Formatvorlage eine Webseite erzeugt die als Ergebnis der POST Anforderung zur ckgegeben wird h Der Webserver verarbeitet die Schablone post_form xml mit der Formatvorlage process_template xsl und erstellt ein XDS Dokument Die Ersetzungs Token sind fett gedruckt lt nds gt lt input gt lt modify class name User src dn not applicable event id wfmod gt lt association gt Sassociation lt association gt lt modify attr attr name roomNumber gt lt remove all values gt lt add value gt lt value gt room number lt value gt lt add value gt lt modify attr gt lt modify gt lt input gt lt nds gt i Der Herausgeberkanal sendet das erstellte XDS Dokument an Identity Manager lt nds gt lt input gt lt modify class name User src dn not applicable event 346 Novell Identity Manager 3 0 Administrationshandbuch id w mod gt lt association gt 45f0e3 2ee45e07709 7 f f f 192 168 0 1 lt association gt lt modify attr attr name roomNumber gt lt remove all values gt lt add value gt lt value gt cubicle 1234 lt value gt lt add value gt lt modify attr gt lt modify gt lt input gt lt nds gt j Identity Manager gibt ein Ergebnisdokument zur ck lt nds dtdversion 1 1 ndsversion 8 6 gt lt source gt lt p
192. das Identit tsdepot an die entsprechende Aktion auszuf hren 1 2 5 Treibersatz Ein Treibersatz ist ein Containerobjekt das Identity Manager Treiber enth lt Ein Treibersatz kann immer nur einem Server zugeordnet sein Aus diesem Grund m ssen alle laufenden Treiber im selben Treibersatz zusammengefasst werden Da sich das Treibersatzobjekt auf jedem Server der es verwendet in einer vollwertigen Lese Schreibreproduktion befinden muss wird empfohlen den Treibersatz in einer separaten Partition abzulegen Dies wird empfohlen damit beim Verschieben von Benutzerreproduktionen auf einen anderen Server die Treiberobjekte nicht mit verschoben werden Die folgende Abbildung zeigt wie der Treibersatz in Designer angezeigt wird Abbildung 1 2 Treibersatz in Designer Generic App 89 LDAP Directory Active Directory berblick ber die Identity Manager 3 0 Architektur 13 Die folgende Abbildung zeigt wie der Treibersatz in iManager angezeigt wird Abbildung 1 3 Treibersatz in iManager Treibersatz TestDriverset novell E Identit ts Entitlements Service Driver LDAP UserApplication Im Modeler in Designer siehe Abbildung 1 2 auf Seite 13 oder auf der Seite berblick in iManager siehe Abbildung 1 3 auf Seite 14 k nnen Sie Folgendes ausf hren Den Treibersatz und seine Eigenschaften anzeigen und ndern Die Treiber innerhalb des Treibersatzes anzeigen Den Status eines Treibers ndern Einen Trei
193. de sind das Passwort des Benutzers an Identity Manager zu bergeben k nnen sie so konfiguriert werden dass sie mittels einer Richtlinie auf dem Herausgeberkanal ein Passwort erstellen k nnen das auf anderen Benutzerdaten des verbundenen Systems basiert Die Beispiel Treiberkonfigurationen veranschaulichen das Erstellen eines auf dem Nachnamen des Benutzers basierenden Standardpassworts Tabelle 5 3 Systeme die Passw rter von Identity Manager akzeptieren Abonnentenkana Abonnentenkanal Abonnentenkanal i Herausgeberkanal Treiber des verbundenen Anwendung Anwendung systems Aevaungetzeeter akzeptiert unterst tzt Anwendung sel Aus gt spassworts Bearbeitungelnes Passwortpr fun Synchronisierung gangsp Passworts g y g Groupwise Ja Ja Nein Nein JDBC Ja Nein4 Nein Nein LDAP Ja Ja Ja Nein Notes Ja Ja Ja Nein SAP Benutzerver Ja Ja Nein Nein waltung GroupWise unterst tzt zwei Authentifizierungsmethoden e GroupWise verwendet seine eigene Authentifizierungsmethode und verwaltet die Benutzerpassw rter e GroupWise f hrt die Authentifizierung ber LDAP bei eDirectory durch und verwaltet keine Passw rter Passwortsynchronisierung mit verbundenen Systemen 87 Bei Verwendung dieser Option ignoriert GroupWise vom Treiber synchronisierte Passw rter Die M glichkeit zum Festlegen eines Ausgangspassworts besteht bei allen Datenbanken bei denen das Benutzerkonto der Datenbank nicht mit dem Benutzerkonto des
194. den indem ein Zeichen gefolgt vom Attributnamen an den Namen des Objekts angef gt wird das das Dokument enth lt Angenommen der DN der Dokumentenbasis lautet novell Manuelle Aufgaben und unter Manuelle Aufgaben befindet sich ein Container namens Schablonen Wenn sich im Verzeichnis Schablonen ein DirXML Formatvorlagenobjekt namens Email Schablone befindet k nnen folgende Ressourcenkennungen verwendet werden um auf das XML Dokument zu verweisen Schablonen Email_Schablone oder Schablonen Email _Schablone XmilData Die Ressourcenkennungen k nnen als Ersetzungsdaten URL Daten oder HTTP POST Daten zur Verf gung gestellt werden M glicherweise erscheint folgendes Element unterhalb eines Elements vom Typ lt message gt auf dem Abonnentenkanal lt template gt templates e mail template XmlData lt template gt Dokumentverzeichnis Dieser Parameter identifiziert ein Dateisystemverzeichnis das als Basisverzeichnis f r die Auffindung von Ressourcen wie Schablonen XSLT Formatvorlagen und anderen Dateiressourcen verwendet wird die vom Webserver des Herausgeberkanals verarbeitet werden Beispielwerte Windows c Novell Nds mt_files NetWare SYS SYSTEM mt_files UNIX usr lib dirxml rules manualtask mt_files HTTP Server verwenden wahrlfalsch Dieser Parameter gibt an ob auf dem Herausgeberkanal ein Webserver ausgef hrt werden soll oder nicht Setzen Sie den Parameter auf wahr
195. den Treibersatz enth lt Es wird eine grafische Darstellung des Treibersatzes angezeigt 3 Klicken Sie im Bildschirm Identity Manager berblick auf die obere rechte Ecke des Treibersymbols und anschlie end auf Eigenschaften bearbeiten 4 Klicken Sie auf der Seite Objekt bearbeiten der Registerkarte Identity Manager auf Benannte Passw rter Die Seite Benannte Passw rter wird angezeigt auf der die aktuellen benannten Passw rter f r diesen Treiber aufgef hrt sind Wenn Sie noch keine benannten Passw rter festgelegt haben ist diese Liste leer A Novell iManager Microsoft Internet Explorer DER Objekt bearbeiten Active Directory TestDriverSet novell AN Server Variablen Allgemein Dj Treiberkonfiguration Globalkonfigurationswerte Benannte Passw rter Engine Steuerungswerte Verbindung Protokollierumfang Treiber Image Sicherheitsaquivalenzen Filter Filter XML bearbeiten Versch Ausgeschlossene Benutzer Mit benannten Passw rtern k nnen Sie mehrere Passw rter f r einen Treiber sicher ablegen Anstatt ein Passwort im Klartext in einer Treiberrichtlinie abzulegen k nnen Sie per Richtlinienkonfigurierung ein benanntes Passwort anfordern _ Hinzuf gen Entfernen Benannte Passw rter F r Server NOO41 AL 2K3 NDS novell CO Named Password 1 30 Novell Identity Manager 3 0 Administrationshandbuch 5 Klicken Sie zum Hinzuf gen eines benannten Passworts auf Hinz
196. dentity Manager 3 z B nt install exe 2 ffnen Sie die Seite Willkommen nehmen Sie die Bedingungen der Lizenzvereinbarung an und zeigen Sie die beiden berblickseiten an 3 Deaktivieren Sie im Dialogfeld Identity Manager Installation alle Komponenten mit Ausnahme von Verbundenes System und klicken Sie anschlie end auf Weiter XJ identity Manager Installation u 15 xi Novell identity Manager lt Novell Zu installierende Komponenten ausw hlen r Metadireotorv Ser vl Novell Identity Manager Verbundenes System J Identity Manager Webkomponenten J Dienstprogramme Beschreibung Enweitert das Identity Manager Schema und installiert Alles ausw hlen die Metadirectory Engine die Treiber und den Novell Audit Agent Alle l schen Abbrechen Hilfe lt Zur ck weiter gt 4 W hlen Sie einen Speicherort f r das verbundene System aus Remote Loader und Remote Treiberschnittstellenmodule und klicken Sie auf Weiter Novell Identity Manager Verbundenes System wird an folgendem Standort installiert Installationspfad C Novell RemoteLoader ts 50 Novell Identity Manager 3 0 Administrationshandbuch 5 W hlen Sie den Remote Loader Service und die Remote Treiberschnittstellenmodule Treiber aus und klicken Sie anschlie end auf Weiter Bitte w hlen Sie die zu installierenden Komponenten aus f r die ausgew hlte Plattform nicht unterst tzte Komponenten werd
197. dentity Manager 3 0 Administrationshandbuch In Internet Explorer werden iManager Optionen beispielsweise in Registerkarten angezeigt Abbildung 5 3 Registerkarten in iManager Funktionen und Aufgaben Passwortrichtlinie Sample Password Policy Password Policies Security Alle Kategorien EE IEP z E E EREE W Pass re a inienzusammenfassung ee TEST TT Passwort vergessen uweisung D Dienstprogramme Erweiter in Konfigurationsoptionen ca Konfiguration fiir u Bereitstellungsanforderungen Aktivieren Sie die Passworteinstellungen f r Ihre Richtlinie ber die Kontrollk stchen LDAP a Konfigurationsoptionen Novell Certificate Server a T M Universelles Passwort aktivieren Novell Zertifikatszugriff v Erweiterte Passwortregeln aktivieren 4 Partitions und a Repro hdetionewervaltinrg Synchronisierung des universellen Passworts El Passw rter C NDS Passwort bei Auswahl des universellen Passworts entfernen Passwortstatus berpr fen NDS Passwort bei Auswahl des universellen Passworts synchronisieren Herausforderungss tze 7 7 i E fe aaa Einfaches Passwort bei Auswahl des universellen Passworts synchronisieren Passwortrichtlinien Passwortsynchronisierung V Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren 7 Bichttinienzuwelsungen anzeigen Abruf des universellen Passworts Universelles Passwort festlegen Email Serveroptionen V Benutzer darf
198. der Wert aus dem Treibersatzobjekt bernommen Erm glicht Ihnen das Festlegen eines Gr enlimits f r die Java Trace Datei Wenn Sie die Dateigr e auf Unbegrenzt setzen nimmt die Datei so lange an Gr e zu bis kein Festplattenplatz mehr vorhanden ist Wenn Sie Use setting from Driver Set Einstellung aus Treibersatz bernehmen w hlen wird der Wert aus dem Treibersatzobjekt bernommen Anstelle des Treibernamens wird Treiber Trace Meldungen der eingegebene Wert vorangestellt Verwenden Sie diesen Parameter wenn der Treibername sehr lang ist 2 12 2 Hinzuf gen von Trace Stufen in iManager Sie k nnen dem Treibersatzobjekt oder einzelnen Treiberobjekten Trace Stufen hinzuf gen Treibersatz 1 Klicken Sie in iManager auf Identity Manager gt Identity Manager berblick 2 W hlen Sie das gew nschte Treibersatzobjekt aus und klicken Sie auf Suchen 40 Novell Identity Manager 3 0 Administrationshandbuch 3 Klicken Sie auf den Namen des Treibersatzes Treibersatz TestDriverset novell gt Identit ts depot B 4 W hlen Sie die Registerkarte Versch f r das Treibersatzobjekt 5 Legen Sie die Parameter f r das Tracing fest und klicken Sie auf OK Weitere Informationen zu diesen Parametern finden Sie in Tabelle 2 1 auf Seite 38 Treiber 1 W hlen Sie in iManager Identity Manager gt Identity Manager berblick 2 Wechseln Sie zu dem Treibersatzobjekt in dem sich das Treiberobjekt befin
199. der auf verbundenen Systemen in der Liste der vom Treiber bereitgestellten Berechtigungen die Mitgliedschaftsberechtigung aus Die folgende Abbildung zeigt ein Beispiel in dem es sich beim zweiten Eintrag in der Liste um Group Wise Verteilerlisten handelt Abbildung 6 4 Ausw hlen von Group Wise Verteilerlisten Treiber Jeder Treiber reprasentiert ein verbundenes System Eintrag auswahlen eDirectory Driver Beschreibung Erstellung und Verwendung von Berechtigungen 201 Wenn Sie in diesem Beispiel GroupWise Verteilerlisten w hlen wird ein Abfragefenster eingeblendet wie in der folgenden Abbildung gezeigt Abbildung 6 5 Abfrage f r Berechtigungen 4 J F Novell iManager Microsoft Internet Explorer Datei Bearbeiten Ansicht Favoriten Extras au Zur ck gt x a ps Suchen she Favoriten O 2 2 Adresse a https 172 22 10 89 nps servlet webacc x Wechselnzu Links Snaglt Sy g Funktionen und Aufgaben Berechtigungsrichtlinie ndern 4 Security Entitlement Policies TesatDriverSet novel 2 Alle Kategorien 2 F Zusammenfassung Beschreibung Mitgliedschaft P LI TT OR Rechte f r andere Objekte D Benutzer Berechtigungen K eDirectory Verwaltung eDirectory Wartung z 2 Wahlen Sie die Treiber aus die Berechtigungen auf verbundenen Systemen bereitstellen Funktionsbasierte Berechtigungen Funktionsbasierte Active Directory B
200. description item value gt lt ELEMENT item display name PCDATA gt lt ELEMENT item description PCDATA gt lt ELEMENT item value PCDATA gt T lt Representation of a DirXML EntitlementRef within the DirXML Script and within the operation data of an operation in an XDS document gt lt ELEMENT entitlement impl PCDATA gt lt ATTLIST entitlement impl name CDATA REQUIRED src CDATA REQUIRED id CDATA IMPLIED state 0 1 REQUIRED src dn CDATA REQUIRED src entry id CDATA IMPLIED gt 6 4 3 Erl uterung der Berechtigungs DTD Die Berechtigungs DTD besteht aus f nf Teilen Definition Referenz Ergebnis gecachte Abfrage und interne Referenzinformationen Der Header ist optional und enth lt lediglich einen Kommentar Die Kopfzeile der Berechtigungsdefinition in der DTD lautet lt Entitlement definition stored in the XmlData attribute of a DirXML Entitlement object gt Auf Kopfzeilen folgen Elemente ELEMENT und Attributlisten ATTLIST Nachfolgend finden Sie eine ausf hrliche Erkl rung der Elemente und Attribute unter der Kopfzeile Entitlement Definition Dies ist die wichtigste Kopfzeile auf die Sie beim Erstellen von Berechtig
201. det und klicken Sie auf Suchen 3 Klicken Sie auf die obere rechte Ecke des Treiberobjekts und anschlie end auf Eigenschaften bearbeiten 4 W hlen Sie die Registerkarte Versch f r das Treiberobjekt 5 Legen Sie die Parameter f r das Tracing fest und klicken Sie auf OK Weitere Informationen finden Sie in Tabelle 2 2 auf Seite 40 Hinweis Die Option Use setting from Driver Set Einstellung aus Treibersatz bernehmen ist in iManager nicht vorhanden 2 12 3 Erfassen von Identity Manager Prozessen in einer Datei Um Identity Manager Prozesse in einer Datei zu speichern wird diese ber den Parameter im Treiberobjekt oder ber DSTRACE gespeichert Der Parameter im Treiberobjekt ist der Trace Datei Parameter Mithilfe der folgenden Methoden k nnen Sie Identity Manager Prozesse ber DSTRACE auf verschiedenen Betriebssystemplattformen erfassen und speichern NetWare Verwenden Sie DSTRACE NLM zum Anzeigen von Trace Meldungen auf der Systemkonsole oder zum Speichern der Meldungen in einer Datei SYS SYSTEM DSTRACE LOG DSTRACE NLM zeigt die Trace Meldungen auf dem Bildschirm DSTRACE Console an 1 Geben Sie an der Serverkonsole DSTRACE NLM ein Dadurch wird DSTRACE NLM in den Arbeitsspeicher geladen 2 Geben Sie an der Serverkonsole DSTRACE SCREEN ON ein Verwalten von Identity Manager Treibern 41 Erm glicht dass Trace Meldungen auf dem Bildschirm DSTRACE Console
202. det werden m ssen Im Richtliniensatz f r Abonnenten Befehlsumwandlung ben tigte Richtlinien Die in der Spalte Name der Passwortsynchronisierungsrichtlinie aufgef hrten Richtlinien m ssen in der angegebenen Reihenfolge vorhanden sein Zudem m ssen diese als letzte Richtlinien im Richtliniensatz f r Abonnenten Befehlsumwandlungen enthalten sein Passwortsynchronisierung mit verbundenen Systemen 97 98 Tabelle 5 9 Im Richtliniensatz f r Abonnenten Befehlsumwandlung ben tigte Richtlinien Position in der Treiberkonfiguration Name der Passwortsynchronisierungsrichtlin ie Auswirkung der Richtlinie Abonnenten Befehlsumwandlung Password Sub Transform Distri bution Password Password Sub Default Pass word Policy Password Sub Check Password GCV Password Sub Add Password Payload Wandelt das universelle Passwort in ein lt password gt Element um Erg nzt ein Add Objekt um ein Standardpasswort wenn das Add Objekt kein Passwort enth lt Diese Richtlinie und die Pass word Pub Standardpasswort Richtlinie sind die einzigen Rich tlinien die ge ndert oder entfernt werden k nnen Damit die Pass wortsynchronisierung einwand frei funktioniert sollten die anderen Richtlinien unver ndert verwendet werden Stellt durch eine GCV Pr fung fest ob Sie festgelegt haben dass das verbundene System Passw rter akzeptieren soll Wenn nicht werden s mtliche Passwortelemente ausgeschlos se
203. deutigen Namen zur Verf gung stellen muss Das Erstellen einer Verkn pfung zwischen zwei Objekten erfolgt wenn ein Ereignis f r ein Objekt auftritt das noch keinem anderen Objekt im Identit tsdepot zugeordnet ist Damit eine Verkn pfung erstellt werden kann muss eine Mindestanzahl definierbarer Kriterien zwischen den einzelnen Objekten bereinstimmen Sie k nnen beispielsweise eine Richtlinie erstellen die besagt dass wenn bei zwei von vier Attributen eine bereinstimmung von mehr als 90 vorliegt Vollst ndiger Name Telefonnummer Mitarbeiter ID und Email Adresse das Objekt zugeordnet wird In Ubereinstimmungsrichtlinien sind die Kriterien definiert die festlegen ob zwei Objekte identisch sind Wenn f r das ge nderte Objekt keine bereinstimmung gefunden wird kann ein neues Objekt erstellt werden Hier m ssen jedoch die Mindestkriterien f r die Objekterstellung erf llt sein Diese Kriterien werden in einer Erstellungsrichtlinie definiert In der Platzierungsrichtlinie wird schlie lich definiert an welcher Stelle das neue Objekt in der Benennungshierarchie erstellt werden soll Es gibt zwei M glichkeiten Verkn pfungen zu erstellen e Als Entsprechung zwischen Objekten e Als neu erstelltes Objekt an einem bestimmten Speicherort Nachdem eine Verkn pfung zwischen Objekten hergestellt wurde bleibt diese g ltig bis die Objekte gel scht werden oder die Verkn pfung von einem Administrator gel scht wird Verkn p
204. die Ersetzungs Token eingesetzt werden Der zweite Typ wird im Abfrageteil einer URL verwendet sodass die Daten auf dem Herausgeberkanal verwendet werden k nnen wenn die URL an den Webserver des Herausgeberkanals bertragen wird HTTP Daten Ersetzungsdaten werden dem Webserver des Herausgeberkanals in Form von URL Query Zeichenkettendaten HTTP POST Daten oder beidem zur Verf gung gestellt Automatische Daten Der Service Treiber f r manuelle Aufgaben stellt automatische Daten zur Verf gung Automatische Datenelemente werden in Anhang E Service Treiber f r manuelle Aufgaben Automatische Ersetzungsdatenelemente auf Seite 327 beschrieben Abfragedaten Ersetzungs Token die mit query beginnen werden als Anforderung aktueller Daten von eDirectory angesehen Der Teil des Tokens nach query ist der Name eines eDirectory Objektattributs Das abzufragende Objekt wird durch einen der Ersetzungsdatenelemente association src dn oder src entry id festgelegt Die Elemente werden in genau dieser Reihenfolge ber cksichtigt Aktionselemente der Schablone Aktionselemente sind Namespace qualifizierte Elemente in der Schablone die zur einfachen Logiksteuerung oder zur Erstellung von HTML Elementen f r HTML Formulare verwendet werden Der zur Qualifizierung der Elemente verwendete Namespace ist http www novell com dirxml manualtask form In diesem Dokument und in den im Lieferumfang des Service Treibers f r manuelle Aufgaben
205. die einzelnen Identity Manager Treiber und verbundenen Systeme Zudem sind die Gesch ftsrichtlinien die festlegen ob ein Benutzer Ressourcen eines Systems erh lt in den Konfigurationrichtlinien f r die Treiber der jeweils verbundenen Systeme meist hartkodiert sind Das funktionsbasierte Berechtigungsmodell schafft eine Umgebung in der ein oder weniger Administratoren bef gt sind die Berechtigungsrichtlinien zu kontrollieren Ein solcher Administrator muss die Grundlagen von Identity Manager kennen er ben tigt aber keine weit reichenden Identity Manager XSLT oder DirXML Skript Kenntnisse um die Schnittstelle f r funktionsbasierte Berechtigungen bedienen zu k nnen Mit funktionsbasierten Berechtigungsrichtlinien k nnen Sie Gesch ftsressourcen automatisch erteilen oder entziehen wenn die Kriterien erf llt sind Berechtigungen sind wie eine Eintrittskarte f r den Zugriff auf eine Ressource Mit der Eintrittskarte d rfen Sie auf die betreffende Ressource zugreifen ohne Eintrittskarte wird Ihnen der Zugriff verwehrt Sie k nnen z B Folgendes festlegen Wenn ein Benutzer die Kriterien 1 2 und 3 erf llt wird der Benutzer bei einer funktionsbasierten Berechtigungsrichtlinie Mitglied der Gruppe H Erf llt der Benutzer hingegen die Kriterien 4 und 5 wird er Mitglied der Gruppe I Die Vorbereitung zur Verwaltung funktionsbasierter Berechtigungen gliedert sich in drei Schritte 1 Aktivieren Sie das Attribut DirXML En
206. die sich in einer Master oder Lese Schreibreproduktion befinden Damit eine Passwortsynchronisierung die gew nschten Ergebnisse liefert m ssen Sie sicherstellen dass die Container in der Master oder Lese Schreibreproduktion auf dem Server auf dem die Treiber f r die Passwortsynchronisierung aktiv sind den Containern entsprechen f r die Sie Passwortrichtlinien mit aktiviertem universellem Passwort zugewiesen haben Durch Zuweisung einer Passwortrichtlinie an den Partitionsstammcontainer kann sichergestellt werden dass die Passwortrichtlinie allen in diesem Container und seinen Untercontainern enthaltenen Benutzern zugewiesen wird Weitere Informationen dar ber wie Benutzern NMAS Passwortrichtlinien zugewiesen werden finden Sie unter Assigning Password Policies to Users im Password Management Administration Guide http www novell com documentation password_management index html Administrationshandbuch zur Passwortverwaltung Beispielsituationen f r die Synchronisierung von Passw rtern Mit Identity Manager k nnen Sie angeben welche Systeme die ma geblichen Quellen f r Passw rter sein sollen Au erdem entscheiden Sie wie Passw rter weitergeleitet werden Die meisten Funktionen der Passwortsynchronisierung von Identity Manager basieren auf dem universellen Passwort der vom Identit tsdepot bereitgestellten reversiblen Passwortfunktionalit t In einigen F llen ist es jedoch nicht erforderlich das universelle Passwor
207. diese Art der Passwortsynchronisierung einrichten k nnen m ssen Sie Folgendes konfigurieren e Implementierung des universellen Passworts auf Seite 144 Konfiguration der Passwortrichtlinie auf Seite 144 Einstellungen f r die Passwortsynchronisierung auf Seite 145 Treiberkonfiguration auf Seite 145 Implementierung des universellen Passworts Obwohl in den Passwortrichtlinien das universelle Passwort nicht aktiviert sein muss muss Ihre Umgebung dennoch eDirectory 8 7 3 mit Unterst tzung f r das universelle Passwort verwenden Weitere Informationen hierzu finden Sie in Abschnitt 5 4 Vorbereitungen zur Nutzung der Identity Manager Passwortsynchronisierung und des universellen Passworts auf Seite 100 Konfiguration der Passwortrichtlinie Bei dieser Methode wird f r Identit tsdepot Benutzer keine Passwortrichtlinie ben tigt Wenn Sie dennoch eine Passwortrichtlinie verwenden m chten m ssen Sie Folgendes tun 1 Stellen Sie sicher dass die folgenden Optionen nicht ausgew hlt sind Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren Dieser Punkt ist entscheidend f r das Tunneling von Passw rtern unter Ausschluss des Identit tsdepot Passworts Da das Verteilungspasswort nicht mit dem universellen Passwort synchronisiert wird wird das Verteilungspasswort separat behandelt und nur von Identity Manager nur f r verbundene Systeme verwendet Identity Manager tritt dabei
208. dministrationshandbuch 7 5 Sicherheit auf verbundenen Systemen Verbundene Systeme mit denen Sie Daten synchronisieren gef hrden bei der Speicherung oder bertragung dieser Daten m glicherweise deren Sicherheit Stellen Sie sicher dass die Systeme mit denen Sie Passw rter austauschen die gew nschten Sicherheitsrichtlinien einhalten Beispielsweise m ssen bei LDAP NIS und Windows Aspekte bez glich der Sicherheit beachtet werden bevor Sie f r diese Systeme die Passwortsynchronisierung aktivieren k nnen Viele Softwarehersteller haben eigene Sicherheitsrichtlinien definiert die Sie f r deren Produkte befolgen sollten 7 6 Designer f r Identity Manager Bei Verwendung des Designers f r Identity Manager sollten Sie Folgendes beachten e berwachen und kontrollieren Sie wer Rechte zum Erstellen oder Bearbeiten eines Identity Manager Treibers hat Zum Erstellen von Identity Manager Objekten und zum Konfigurieren von Treibern sind administrative Rechte erforderlich Bevor Sie ein Administratorpasswort f r ein Identit tsdepot an einen technischen Berater vergeben schr nken Sie die Rechte dieses Administrators auf die Bereiche ein auf die der Berater Zugriff haben muss L schen Sie die Projektdateien proj oder speichern Sie sie in einem Firmenverzeichnis Die proj Dateien des Designers m ssen am firmeninternen Speicherort des Projekts verbleiben Nach Abschluss des Projekts muss der technische Berater die Date
209. dnet sind Wenn der Treibersatz zwei oder mehreren Servern zugeordnet ist k nnen Sie die Identity Manager Informationen auf jedem Server anzeigen Treiber 24 Novell Identity Manager 3 0 Administrationshandbuch 4 Zeigen Sie die mit den Servern in Zusammenhang stehenden Versionsinformationen an indem Sie das Serversymbol erweitern Versionsermittlungswerkzeug Das Identity Manager Versionsermittlungswerkzeug durchsucht Ihren Baum nach Informationen zur Identity Manager Konfiguration __Anzeigen Speichern unter Treibersatz und Treiber durchsuchen E IDM DETREE El amp Driverset novell i 8 NO41 W2K3 DE NDS novell Letzte Protokollierungszeit Tue Jan 31 14 26 43 GMT 2006 Gefundene eDirectory Attribute die dem Identity Manager 3 0 0 62638 zugeordnet sind amp Delimited Text Die erweiterte Ansicht eines Serversymbols der obersten Ebene enth lt Folgendes e Letzte Protokollierungszeit Die auf dem Server ausgef hrte Version von Identity Manager 5 Zeigen Sie die mit den Treibern in Zusammenhang stehenden Versionsinformationen an indem Sie das Treibersymbol erweitern Versionsermittlungswerkzeug Das Identity Manager Versionsermittlungswerkzeug durchsucht Ihren Baum nach Informationen zur Identity Manager Konfiguration Treibersatz und Treiber durchsuchen E IDW DETREE El 6 DriverSet novell 8 NO41 W2K3 DE NDS novell E amp Delimited Text Treibername Identity Ahanager Treiber f r Text mit Begrenzungszei
210. dsdaten verf gt muss sich dieser Ablageort im gemeinsam genutzten Speicher des Clusters befinden Ein Beispiel hierf r ist der LDAP Treiber bei der Verwendung ohne ein nderungsprotokoll oder der JDBC Treiber bei der Verwendung im ausl serfreien Modus e Wenn Konfigurationsdaten des Treibers au erhalb von eDirectory gespeichert sind m ssen sich die Konfigurationsdaten im gemeinsam genutzten Speicher befinden oder auf jeden Clusterknoten dupliziert werden Ein Beispiel hierf r sind die Verzeichnisse f r die Schablonen des Treibers f r manuelle Aufgaben 9 2 Fallstudie f r SuSE Linux Eine Beschreibung f r die Ausf hrung von Identity Manager mit einem gemeinsam genutzten Speicher und SuSE LINUX Enterprise Server 8 finden Sie in TID10093317 http support novell com cgi bin search searchtid cgi 10093317 htm Hochverf gbarkeit 245 246 Novell Identity Manager 3 0 Administrationshandbuch Protokollierung und Berichterstellung mit Novell Audit Identity Manager kann mit Novell Audit zur Revision und Berichterstellung verwendet werden 10 1 berblick Novell Audit besteht aus mehreren Modulen die Funktionen zum berwachen zur Protokollierung zur Berichterstellung und zur Benachrichtigung zur Verf gung stellen Durch die Integration mit Novell Audit bietet Identity Manager detaillierte Informationen zum aktuellen und vergangenen Status der Treiber und Engine Aktivit ten Diese Informationen werden von mehreren vorkonfi
211. e 151 5 3 6 F r Benutzer erstellte NMAS Passwortrichtlinien Einige Funktionen der Passwortsynchronisierung k nnen auch ohne universelles Passwort verwendet werden Dennoch muss das universelle Passwort durch Passwortrichtlinien f r die Benutzer aktiviert werden In einer Passwortrichtlinie k nnen Sie auch erweiterte Passwortregeln erstellen und festlegen ob bestehende Passw rter von Benutzern auf Regelkonformit t berpr ft werden sollen Damit Sie die Passwortsynchronisierung in Identity Manager nutzen k nnen ben tigen Sie Kenntnisse ber Passwortrichtlinien Eine Erkl rung der Passwortrichtlinien finden Sie im Kapitel Managing Passwords by Using Password Policies im Password Management Administration Guide http www novell com documentation password_management index html Administrationshandbuch zur Passwortverwaltung 5 3 7 NMAS Anmeldemethoden F r bestimmte Situationen muss die NMAS Methode der Anmeldung mit einfachem Passwort eingerichtet sein um Passwortfunktionen nutzen zu k nnen Diese Methode wird beispielsweise von LDAP ben tigt Informationen zu Anmeldemethoden finden Sie im Administrationshandbuch Novell Modular Authentication Services NMAS 3 0 http www novell com documentation nmas30 index html Passwortsynchronisierung mit verbundenen Systemen 99 5 4 Vorbereitungen zur Nutzung der Identity Manager Passwortsynchronisierung und des universellen Passworts Umstellen der Benutzer vom NDS Pas
212. e DSTRACE Informationen gespeichert werden sollen und klicken Sie auf ffnen Warten Sie bis das Ereignis auftritt W hlen Sie Datei gt Schlie en Dadurch wird das Schreiben der Informationen in die Protokolldatei gestoppt ffnen Sie die Datei in einem Texteditor und suchen Sie nach dem ge nderten Ereignis oder Objekt UNIX 1 2 3 Geben Sie ndst race ein um das ndstrace Dienstprogramm zu starten Geben Sie set ndstrace nodebug ein Dadurch werden alle aktuell gesetzten Trace Flaggen deaktiviert Geben Sie set ndstrace on ein 42 Novell Identity Manager 3 0 Administrationshandbuch Dadurch werden die Trace Meldungen an der Konsole angezeigt Geben Sie set ndstrace file onein Dadurch werden alle Trace Meldungen in der Dateindstrace log erfasst die sich in dem Verzeichnis befindet in dem eDirectory installiert ist Dies ist standardm ig var nds Geben Sie set ndstrace dxml ein Zeigt die Identity Manager Ereignisse an Geben Sie set ndstrace dvrs ein Dadurch werden die Identity Manager Treiberereignisse angezeigt 7 Warten Sie bis das Ereignis auftritt 8 Geben Sie set ndstrace file off ein Dadurch wird das Protokollieren der Informationen in der Datei gestoppt 9 Geben Sie exit ein um das ndstrace Dienstprogramm zu beenden 10 ffnen Sie die Datei in einem Texteditor Suchen Sie nach dem ge nderten Ereignis oder Objekt iMonitor Mit iMonitor k nnen Sie DSTRACE Informat
213. e Treiber f r manuelle Aufgaben Datenfluss Szenario bei Einstellung eines neuen Mitarbeiters In diesem Abschnitt wird anhand eines Beispiels detailliert der Datenfluss beschrieben In dem Beispiel wird durch die Einstellung eines neuen Mitarbeiters eine Email an den Manager des Mitarbeiters gesendet In dieser Email wird der Manager aufgefordert dem Mitarbeiter ber eine in der Email enthaltene URL eine Raumnummer zuzuweisen Der Service Treiber f r manuelle Aufgaben muss f r das Beispielszenario wie folgt konfiguriert werden H 1 Konfiguration des Abonnentenkanals Filter Klasse User Attribute Given Name manager Surname Richtlinien Erstellungsrichtlinie Obligatorische Attribute sind Given Name manager und Surname Befehlstransformationsrichtlinie Konvertiert das lt add gt in das lt mail gt Element H 2 Konfiguration des Herausgeberkanals Filter Klasse User Attribute roomNumber Richtlinien Keine H 3 Beschreibung des Datenflusses In der folgenden Liste sind responder dn und association die wichtigsten Datenelemente die am Prozess beteiligt sind Das Element responder dn wird zur Authentifizierung des Benutzers Service Treiber f r manuelle Aufgaben Datenfluss Szenario bei Einstellung eines neuen 337 verwendet der die Daten ber den Webserver eingibt Das item Element association gibt das eDirectory Objekt an dessen Daten zu nde
214. e URL kann erstellt und in die Email eingef gt werden ber die der Empf nger die Email beantworten kann Die URL kann auf den Webserver des Herausgeberkanals oder auf einen beliebigen anderen Webserver verweisen Das lt mail gt Element und dessen Inhalt werden ausf hrlich in Anhang G Service Treiber f r manuelle Aufgaben lt mail gt Element auf Seite 333 beschrieben 230 Novell Identity Manager 3 0 Administrationshandbuch Webserver des Herausgeberkanals Auf dem Herausgeberkanal des Service Treibers f r manuelle Aufgaben wird ein Webserver ausgef hrt der so konfiguriert ist dass Benutzer ber ihn Daten in eDirectory eingeben k nnen Der Webserver ist darauf ausgerichtet mit Emails zu arbeiten die vom Abonnentenkanal des Service Treibers f r manuelle Aufgaben gesendet werden Der Webserver des Herausgeberkanals kann statische Dateien und dynamischen Inhalt verarbeiten Beispiele f r statische Dateien sind u a Formatvorlagen und Bilder im css Format Beispiel f r dynamischen Inhalt sind Webseiten die sich basierend auf den in der URL oder HHTP POST Daten enthaltenen Ersetzungsdaten ndern Der Webserver des Herausgeberkanals ist in der Regel so konfiguriert dass ein Benutzer als Antwort auf eine Email die vom Abonnentenkanal gesendet wurde Daten in eDirectory eingeben kann Eine typische Benutzerinteraktion mit dem Webserver l uft wie folgt ab l Der Benutzer sendet die URL aus der Email ber einen Webbr
215. e ee 355 J22 Authenfifizierung iiaeaa td deren a eae Dae ae teas 355 J SampleServietjavas scr erer peers pera e Br en ES ne PR ee eee 355 J 3 1 Kompilieren der SampleServlet Klasse 00000 eee eee eens 356 J 3 2 Austesten der SampleServiet Klasse 00000 cece eee eee 356 Novell Identity Manager 3 0 Administrationshandbuch Informationen zu diesem Handbuch Novell Identity Manager 3 vormals DirXML ist ein Service f r die Datenfreigabe und synchronisierung mit dessen Hilfe Anwendungen Verzeichnisse und Datenbanken Informationen gemeinsam nutzen k nnen Es verbindet ber mehrere Verzeichnisse verstreute Informationen und erm glicht Ihnen das Einrichten von Richtlinien f r die automatische Aktualisierung designierter Systeme bei Identit ts nderungen Identity Manager bietet die Grundlage f r Kontenbereitstellung Sicherheit Benutzer Self Service Selbstbedienung Authentifizierung Autorisierung automatisierte Workflow und Web Services Das Programm erm glicht Ihnen die verteilten Identit tsinformationen zu integrieren zu verwalten und zu steuern sodass Sie den richtigen Personen die richtigen Ressourcen auf sichere Weise zur Verf gung stellen k nnen Dieses Handbuch enth lt einen berblick ber die Identity Manager Technologien und eine Beschreibung der Administrations und Konfigurationsfunktionen Feedback Wir freuen uns ber Ihre Hinweise Anregungen und Vorschl ge zu diesem Ha
216. e einzuhaltende Bedingung aus und w hlen Sie die Aktion Ereignis generieren Geben Sie eine Ereignis ID an Wahlen Sie einen Protokollierumfang Klicken Sie auf das Symbol E neben dem Feld Zeichenketten eingeben um den Benannte Zeichenkette Builder zu starten Verwenden Sie den Benannte Zeichenkette Builder zum Erstellen benannter Zeichenketten f r die benutzerdefinierten Datenfelder I Name text1 E Zeichenkettenwert Given Name E 7 Name ftext2 E Zeichenkettenwert tion ers 7 Name value A Zeichenkettenwert 1000 e Klicken Sie auf OK um zum Richtlinien Builder zur ckzukehren und mit der Erstellung Ihrer Richtlinie fortzufahren Weitere Informationen zur Konfiguration einer Richtlinie f r die Protokollierung von Ereignissen finden Sie unter Generate Event im Policy Builder and Driver Customization Guide Handbuch zum Richtlinien Builder und zur Treiberanpassung Protokollierung und Berichterstellung mit Novell Audit 257 Generieren von Ereignissen mithilfe von Statusdokumenten Statusdokumente die mithilfe von Formatvorlagen unter Verwendung des Elements lt xsl message gt generiert wurden werden an Novell Audit gesendet Sie enthalten eine Ereignis ID die dem Level Attribut des Statusdokuments entspricht wie in der folgenden Tabelle angegeben Tabelle 10 5 Statusdokumente Status Level Status Ereignis ID Success Ordnungs EV_LOG_STATUS_SUCCESS 1 gem du
217. e erforderlich berwachen und kontrollieren Sie wer Rechte zum Erstellen oder Bearbeiten hat f r Einen Identity Manager Treibersatz Einen Identity Manager Treiber Treiberkonfigurationsobjekte Filter Formatvorlagen Richtlinien insbesondere Richtlinien f r den Abruf von Passw rtern oder f r die Synchronisierung Passwortrichtlinienobjekte und die iManager Aufgabe zum Bearbeiten dieser Objekte da diese steuern welche Passw rter miteinander synchronisiert und welche Passwortselbstbedienungsoptionen verwendet werden Sicherheit Best Practices 213 7 3 Verwalten von Passw rtern Wenn Sie Daten zwischen verbundenen Systemen austauschen m chten sollten Sie darauf achten dass beim Datenaustausch alle sicherheitsrelevanten Aspekte ber cksichtigt werden Dies gilt insbesondere f r Passw rter Das Passworthinweisattribut nsimHint ist ffentlich zug nglich damit nicht authentifizierte Benutzer die ihr Passwort vergessen haben ihren Passworthinweis lesen k nnen Passworthinweise tragen dazu bei die Helpdesk Anrufe zu reduzieren Aus Sicherheitsgr nden werden Passworthinweise berp ft um sicherzustellen dass sie nicht das eigentliche Passwort des Benutzers enthalten Trotzdem kann der Passworthinweis eines Benutzers zu viele Informationen ber das Passwort preisgeben So erh hen Sie bei Verwendung der Passworthinweise die Sicherheit e Gew hren Sie nur auf dem LDAP Server der f r die Passwortselbstbedienung
218. e finden Sie unter Identity Manager Ereign isse auf Seite 254 Es werden nur benutzerdefinierte Ereignisse protokolliert Wenn ein Ereignis auftritt wird die letzte Protokollierungszeit aktualisiert sodass Sie die Uhrzeit und das Datum des letzten Fehlers im Statusprotokoll einsehen k nnen Es werden nur benutzerdefinierte Ereignisse protokolliert Mit dieser Option wird die Protokollierung im Treibersatzobjektprotokoll und in den Abonnenten und Herausgeberprotokollen deaktiviert nenten und Heraus geberprotokollen deaktivieren Maximale Anzahl der Eintr ge im Protokoll Mit dieser Einstellung k nnen Sie die maximale Anzahl der Eintr ge fes tlegen die in den Statusprotokollen protokolliert werden sollen Weitere Informationen finden Sie in Abschnitt 10 7 2 Anzeigen von Statuspro tokollen auf Seite 263 7 Klicken Sie nach Auswahl der zu protokollierenden Ereignisse auf OK Identity Manager Ereignisse Eine Liste aller Ereignisse die von Identity Manager protokolliert werden finden Sie in Anhang C Identity Manager Ereignisse und Berichte auf Seite 289 Ereignisse beim Starten oder Anhalten des Treibers Identity Manager kann bei jedem Starten oder Anhalten des Treibers ein Ereignis generieren Die folgende Tabelle enth lt Details zu diesen Ereignissen Tabelle 10 1 Ereignisse beim Starten oder Anhalten des Treibers Protokollierumfan g Ereignis Informationen EV_LOG_DRIVER_START LOG_
219. e gt lt modify attr gt lt modify gt lt input gt lt nds gt Die Ersetzungs Token in der Schablone schreiben vor dass die HTTP POST Daten einen Wert f r association und room number zur Verf gung stellen m ssen In der Regel hat der Wert association seinen Ursprung im Abonnentenkanal Die Email des Abonnentenkanals w rde association beliebiger Wert in die Query Zeichenkette der URL platzieren die in der Email enthalten ist Die Webseitenschablone die zur Erzeugung der Webseite verwendet wird wenn die URL an den Webserver gesendet wird platziert den Wert association in der Regel in einem versteckten INPUT Element lt INPUT TYPE hidden NAME association VALUE Sassociation gt GI Durch die Platzierung des Werts association als verstecktes INPUT Element wird das Paar association beliebiger Wert als Teil der HTTP POST Daten gesendet Der Wert room number wird mithilfe eines INPUT Elements in die Webseite eingef gt Dieses Element ist hnlich wie im folgenden Beispiel lt input TYPE text NAME room number SIZE 20 MAXLENGTH 20 gt Wenn der Manager 1234 eingibt und auf Senden klickt sendet der Webbrowser room number 1234 als Teil der HTTP POST Daten Anschlie end generiert der Webserver ein lt item name association gt und ein lt item name room number gt Ersetzungsdatenelement die bei der Verarbeitung d
220. e verwenden Passwortrichtlinien bei denen die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren deaktiviert ist e Vor und Nachteile von Szenario 4 auf Seite 143 Einrichten von Szenario 4 auf Seite 144 Fehlersuche bei Szenario 4 auf Seite 145 142 Novell Identity Manager 3 0 Administrationshandbuch Vor und Nachteile von Szenario 4 Tabelle 5 14 Vorteile durch Tunneling Vorteile Nachteile Wenn das universelle Passwort oder die erweiter Erm glicht die Synchronisierung von Pass w rtern zwischen verbundenen Systemen bei separater Behandlung des Identit tsdepot Pass worts Passwortrichtlinien sind nicht erforderlich Wenn Sie eine Passwortrichtlinie verwenden muss darin das universelle Passwort nicht aktivi ert sein Die Umgebung muss jedoch das uni verselle Passwort unterst tzen Unterst tzt die Aufgabe Passwortstatus ber pr fen in iManager wenn diese vom verbun denen System unterst tzt wird Sie k nnen festlegen dass eine Benachrichti gung gesendet wird falls bei der Passwortsyn chronisierung ein Fehler auftritt Sie k nnen das Passwort eines verbundenen Systems zur cksetzen wenn dieses nicht der Passwortrichtlinie entspricht Wenn das universelle Passwort und erweiterte Passwortregeln aktiviert sind werden Passwor trichtlinien erzwungen wenn Sie dies festlegen und Passw rter auf verbundenen Systemen k n nen zur ckgesetz
221. ed var nds macaddr etc macaddr 5 Erstellen Sie eine Sicherungskopie von etc nds conf Verschieben Sie etc nds conf in shared var nds 7 Bearbeiten Sie shared var nds nds conf und f gen Sie der Datei folgende Eintr ge hinzu berschreiben Sie dabei die aktuellen Eintr ge f r diese Pfadeinstellungen n4u nds dibdir shared var nds dib n4u server configdir shared var nds n4u server vardir shared var nds n4u nds preferred server localhost Ersetzen Sie in den folgenden Eintr gen eth0 0 durch den Schnittstellennamen der vom Cluster gemeinsam genutzten Ethernet Schnittstelle Ersetzen Sie des Weiteren lo durch den Schnittstellennamen der localhost Ethernet Schnittstelle n4u nds server interfaces eth0 0 524 10 524 e http server interfaces eth0 0 8008 10 8008 https server interfaces eth0 0 8009 10 8009 8 Erstellen Sie einen symbolischen Link von etc nds conf zu shared var nds nds conf 9 Starten Sie ndsd und stellen Sie sicher dass ndsd auf der Basis des gemeinsam genutzten Speichers ausgef hrt wird 10 Halten Sie ndsd an 11 Platzieren Sie ndsd in der Liste der zu hostenden Ressourcen des Cluster Managers 12 Entfernen Sie ndsd aus der Liste der Daemons die vom Initialisierungsvorgang beim Booten gestartet werden Auf dem sekund ren Knoten 1 Benennen Sie das Verzeichnis var nds um z B in var nds sav Eine Umbenennung ist nicht zwingend erforderlich aber w
222. ehen sich nicht auf eine bestimmte Implementierung sondern auf alle Berechtigungen e Abschnitt 6 10 1 Steuerung der Bedeutung des Erteilens oder Entziehens von Berechtigungen auf Seite 210 Abschnitt 6 10 2 Verhindern von Datenverlusten auf Seite 211 e Abschnitt 6 10 3 Passwortsynchronisierung und Berechtigungen auf Seite 211 6 10 1 Steuerung der Bedeutung des Erteilens oder Entziehens von Berechtigungen Sie k nnen die Konsequenzen des Erteilens oder Entziehens einer Berechtigung steuern Jeder Treiber liefert eine Liste der unterst tzten M glichkeiten zur Steuerung der Konsequenzen des Erteilens oder Entziehens Wenn Sie beispielsweise ein GroupWise Konto hinzuf gen k nnen Sie festlegen dass Erteilen in Wirklichkeit bedeutet dem Benutzer das Konto in deaktiviertem Zustand zu erteilen sodass der Administrator eingreifen muss bevor der Benutzer auf das Konto zugreifen kann Sie k nnen das Konto auch aktivieren dies ist die Standardeinstellung Standardm ig werden in den mitgelieferten Treiberkonfigurationen die Optionen verwendet bei denen ein Datenverlust am unwahrscheinlichsten ist So ist beispielsweise die Standardbedeutung von Entfernen bei einem GroupWise Konto auf Deaktivieren eingestellt damit das Konto nicht verloren geht wenn der Administrator beim ndern der Richtlinien einen Fehler macht Die Identity Manager Treiberkonfigurationen entziehen beispielsweise au
223. ehender Treiberkonfigurationen zur Unterst tzung der Passwortsynchronisierung auf Seite 106 5 3 3 Steuerung der Passwortsynchronisierung ber Globalkonfigurationswerte Anhand von Globalkonfigurationswerten k nnen Sie einen konstanten Wert festlegen auf den in einer Richtlinie verwiesen werden kann Globalkonfigurationswerte werden auch als Server Variablen bezeichnet weil sie in einem Attribut festgehalten sind d h sie sind pro Reproduktion verf gbar Im Kontext der Passwortsynchronisierung k nnen mit Globalkonfigurationswerten Einstellungen f r den Transfer von Passw rtern zwischen dem verbundenen System und Identity Manager erstellt werden Da das Synchronisierungsverhalten der Passwortsynchronisierungsrichtlinien von Identity Manager in der Treiberkonfiguration von den jeweiligen Einstellungen im Globalkonfigurationswert abh ngig ist kann der Passwort Transfer problemlos ge ndert werden ohne die Richtlinien selbst bearbeiten zu m ssen ber Globalkonfigurationswerte k nnen Sie die nachfolgend aufgef hrten Einstellungen f r jedes verbundene System separat steuern 90 Novell Identity Manager 3 0 Administrationshandbuch Tabelle 5 6 Einstellungen f r verbundene Systeme Einstellung Beschreibung Entgegennahme von Passw rtern aus dem verbundenen System durch Identity Manager Von Identity Manager verwendete Synchronisierungsmethode direkte Aktualisierung des uni versellen Passworts oder direkte Aktual
224. einen speziellen Cluster Manager zugeschnitten Das zugrunde liegende Basiskonzept sieht vor dass die Zustandsdaten f r eDirectory und Identity Manager sich im gemeinsam genutzten Speicher befinden m ssen damit sie f r den Clusterknoten verf gbar sind der zurzeit die Services ausf hrt In der Praxis bedeutet dies dass die eDirectory Datenablage die sich in der Regel unter var nds dib befindet in den gemeinsam genutzten Speicher des Clusters verschoben werden muss Auch die Statusdaten von Identity Manager befinden sich unter var nds dib Jede eDirectory Instanz auf den Clusterknoten muss so konfiguriert sein dass sie die Datenablage des gemeinsamen Speichers verwendet Auch miissen sich im gemeinsamen Speicher weitere eDirectory Konfigurationsdaten befinden Neben der eDirectory Datenablage m ssen auch die NICI Daten Novell International Cryptographic Infrastructure gemeinsam genutzt werden damit serverspezifische Schliissel zwischen den Clusterknoten reproduziert werden In der Regel empfiehlt es sich die NICI Daten nicht in den gemeinsamen Speicher zu verschieben sondern auf jeden Clusterknoten in den lokalen Speicher zu kopieren Diese Vorgehensweise ist vorzuziehen damit die Client NICI Funktionalit t auf einem Clusterknoten auch dann zur Verf gung steht wenn sich der Clusterknoten in einem sekund ren Zustand befindet und nicht den gemeinsam genutzten Speicher hostet In den folgenden Abschnitten wird auf die gemei
225. einfachen Passwort und dem Verteilungspasswort synchronisiert werden soll Diese Plugins treten an die Stelle der mit NetWare 6 5 gelieferten Plugins f r das universelle Passwort Eine Beschreibung hierzu finden Sie im Kapitel Managing Passwords by Using Password Policies im Password Management Administration Guide http www novell com Passwortsynchronisierung mit verbundenen Systemen 101 documentation password management index html Administrationshandbuch zur Passwortverwaltung e eDirectory 8 6 2 kann nicht f r den Baum verwendet werden den Identity Manager verwendet eDirectory 8 6 2 wird jedoch von einer Teilmenge der Funktionen f r die Passwortsynchronisierung unterst tzt Sie k nnen eDirectory 8 6 2 also f r andere B ume verwenden wenn Sie sich mit der Aktualisierung des gesamten Systems noch etwas Zeit lassen m chten Eine M glichkeit die Belastung zu reduzieren die durch das Upgraden der Software zur Unterst tzung des universellen Passworts entsteht besteht darin f r Identity Manager einen separaten Baum als Identit tsdepot anzulegen Viele Umgebungen verwenden bereits ein Identit tsdepot f r Identity Manager und die Treiber e Das universelle Passwort bietet die M glichkeit Passwortrichtlinien durchzusetzen und Sonderzeichen zu verwenden die von fr heren Werkzeugen f r die Passwortverwaltung nicht unterst tzt wurden e Es ist sehr wichtig dass der Novell Client und andere Dienstprogramme aktu
226. ement vom Typ protected data vorhanden ist Der Abonnentenkanal stellt ein oder mehrere Elemente vom Typ lt item name responder dn protect yes gt unter dem lt url query gt Element zur Verf gung Da die responder dn item Elemente zur Benutzerauthentifizierung verwendet werden m ssen sie gesch tzt werden password Dieses Element wird dem Webserver des Herausgeberkanals ber HTTP POST Daten zur Verf gung gestellt Dieses item Element beinhaltet das Passwort das anhand des eDirectory Objekts berpr ft wird das durch das responder dn item Element in den POST Daten festgelegt ist Das item Element password wird in der Regel in das HTML Formular eingegeben mit dem die HTTP POST Anforderung erzeugt wird Beispiel lt INPUT TYPE password NAME password SIZE 20 MAXLENGTH 40 gt response template Dieses Element wird dem Webserver ber HTTP POST Daten zur Verf gung gestellt Mit ihm wird die Webseite generiert die als Antwort auf die POST Anforderung verwendet wird Das Element wird in der Regel als verstecktes INPUT Element in das HTML Formular angegeben mit dem die HTTP POST Anforderung erzeugt wird Beispiel lt INPUT TYPE hidden NAME response template VALUE post form xml gt response stylesheet Dieses Element wird dem Webserver ber HTTP POST Daten zur Verf gung gestellt Mit ihm wird die Webseite generiert die als Antwort auf die POST Anford
227. ements in den verschl sselten Daten enthalten ist muss ein unverschl sselter Datenelementwert einem der verschl sselten Datenelementwerte entsprechen Wenn der unverschl sselte Datenelementwert keinem der verschl sselten Datenelementwerte entspricht wird die HTTP Anforderung vom Webserver des Herausgeberkanals zur ckgewiesen Dar ber hinaus werden alle HTTP POST Anforderungen zur ckgewiesen die keine gesch tzten Daten enthalten Beispiel In einer HTTP POST Anforderung verwendet der Webserver des Herausgeberkanals die unverschl sselten POST Daten namens responder dn zur berpr fung des Passworts das in den POST Daten enthalten ist Diese berpr fung dient der Authentifizierung des antwortenden Benutzers anhand seines eDirectory Objekts Angenommen der Inhalt des lt url query gt Elements des Abonnentenkanals enth lt die folgenden zwei Datenelemente lt item name responder dn protect yes gt PERIN TAO novell phb lt item gt lt item name responder dn protect yes gt PERIN TAO novell carol lt item gt Die vom Abonnentenkanal erzeugte URL enthalt dann in den geschiitzten Daten beide responder dn Werte Angenommen ein b swilliger Benutzer erh lt diese URL die per Email versendet wurde Er verwendet die URL zum Abrufen des HTML Formulars ber das die Benutzer die Daten eines eDirectory Objekts ndern k nnen Der b swillige Benutzer verwendet in der HTTP POST Anforderung die an den Web
228. en Sie anschlie end die folgenden Informationen ein Remote Treiber Konfiguration auf Seite 55 e Kommunikationsparameter auf Seite 56 Remote Loader Passwort auf Seite 56 Treiberobjektpasswort auf Seite 57 SSL Link Secure Socket Layer auf Seite 57 Trace Datei auf Seite 57 Erstellen eines Remote Loader Services f r diese Treiber Instanz auf Seite 58 54 Novell Identity Manager 3 0 Administrationshandbuch Abbildung 3 5 Konfigurationsparameter f r Remote Loader Hinzuf gen Remote Treiber Konfiguration Abbildung 3 6 Remote Treiber Konfiguration com novell nds dirml driver Idap LDAPDriverShim fea fem Gi Beschreibung Geben Sie eine Beschreibung f r die Remote Loader Instanz ein Treiber W hlen Sie das entsprechende Schnittstellenmodul f r den Treiber aus e Konfigurationsdatei Geben Sie einen Namen f r die Konfigurationsdatei ein Die Remote Loader Konsole f gt die Konfigurationsparameter in diese Textdatei ein und verwendet sie bei der Ausf hrung Einrichten eines verbundenen Systems 55 Kommunikationsparameter Abbildung 3 7 Kommunikationsparameter Kommunikation IP Adresse 172 22 1 57 Verbindungs Port DitxML Server e090 Befehls Port Kommunikation nur mit dem lokalen Host 8000 IP Adresse Geben Sie die IP Adresse an die der Remote Loader auf Verbindungen vom Metaverzeichnis
229. en System k nnen durchaus synchronisiert sein die Task Passwortstatus berpr fen liefert jedoch erst dann ein korrektes Ergebnis wenn das NDS Passwort und das Verteilungspasswort mit dem universellen Passwort synchronisiert wurden Hilfreiche DSTrace Befehle DXML Zum Anzeigen der Regelverarbeitung durch Identity Manager und m glicher Fehlermeldungen Passwortsynchronisierung mit verbundenen Systemen 141 DVRS Zum Anzeigen der Meldungen des Identity Manager Treibers AUTH Zum Anzeigen der nderungen am NDS Passwort 5 8 5 Szenario 4 Tunneling Synchronisieren verbundener Systeme aber nicht eines Identit tsdepots mit Aktualisierung des Verteilungspassworts durch Identity Manager Identity Manager bietet die M glichkeit Passw rter zwischen verbundenen Systemen zu synchronisieren und das Identit tsdepot Passwort separat zu behandeln Diese Verfahrensweise wird als Tunneling bezeichnet In diesem Szenario aktualisiert Identity Manager das Verteilungspasswort direkt Dieses Szenario entspricht weitgehend Abschnitt 5 8 4 Szenario 3 Synchronisieren des Identit tsdepots und der verbundenen Systeme mit Aktualisierung des Verteilungspassworts durch Identity Manager auf Seite 130 Der einzige Unterschied besteht darin dass Sie daf r sorgen dass das universelle Passwort und das Verteilungspasswort nicht synchronisiert werden Dazu verzichten Sie entweder auf die Verwendung von NMAS Passwortrichtlinien oder Si
230. en die Kriterien 4 und 5 wird er Mitglied der Gruppe I Damit diese Berechtigung bei einer Workflow basierten Bereitstellung funktioniert ist zuerst eine Genehmigung erforderlich Abschnitt 6 1 Terminologie auf Seite 174 Abschnitt 6 2 Erstellen von Berechtigungen berblick auf Seite 174 Abschnitt 6 3 Voraussetzungen f r Berechtigungen auf Seite 178 Abschnitt 6 4 Erstellen von Berechtigungen in XML mit iManager auf Seite 178 Abschnitt 6 5 Verwalten funktionsbasierter Berechtigungen berblick auf Seite 194 Abschnitt 6 6 Erstellen eines Berechtigungs Service Treiberobjekts auf Seite 196 Abschnitt 6 7 Erstellen von Berechtigungsrichtlinien auf Seite 197 Abschnitt 6 8 Konfliktl sung zwischen funktionsbasierten Berechtigungsrichtlinien auf Seite 203 Abschnitt 6 9 Fehlersuche bei funktionsbasierten Berechtigungen auf Seite 209 Abschnitt 6 10 Berechtigungselemente die f r funktionsbasierte Berechtigungen und f r Workflow basierte Bereitstellungsberechtigungen gelten auf Seite 210 Erstellung und Verwendung von Berechtigungen 173 6 1 Terminologie Nachfolgend sind einige Begriffe aufgef hrt die Ihnen im Laufe dieses Kapitels h ufiger begegnen werden Tabelle 6 1 Terminologie Begriff Erkl rung Berechtigung Ein Identit tsdepot Objekt das eine Gesch ftsressource in einem verbun denen System repr sentiert Berechtigungsagent Erteilt und
231. en enthalten Text Elemente und Ersetzungs Token Ersetzungs Token werden im Ausgabedokument durch die Daten ersetzt die der Formatvorlage bei der Verarbeitung der Schablone zur Verf gung gestellt werden Im Folgenden werden einige Beispiele f r Schablonen aufgef hrt die verschiedenen Zwecken dienen In den Beispielen sind die Ersetzungs Token die fett gedruckten Strings zwischen zwei Zeichen Schablonen k nnen auch Aktionselemente enthalten Aktionselemente sind Steuerelemente die von der Formatvorlage die die Schablone verarbeitet interpretiert werden Aktionselemente werden in Anhang F Service Treiber f r manuelle Aufgaben Aktionselemente der Schablone auf Seite 329 beschrieben In den folgenden Beispielen werden auch die Aktionselemente fett gedruckt dargestellt Die folgende Beispielschablone wird zur Erzeugung eines HTML Texts f r eine Email verwendet lt html xmins form http www novell com dirxml manualtask form gt lt head gt lt head gt lt body gt Dear Smanager lt p gt lt p gt This message is to inform you that your new employee lt b gt S given name 226 Novell Identity Manager 3 0 Administrationshandbuch Ssurname lt b gt has been hired lt p gt You need to assign a room number for this individual Click lt a href Surl gt Here lt a gt to do this lt p gt lt p gt Thank you lt br gt HR Department lt p gt lt body gt lt html gt Die folgende Beis
232. en grau dargestellt Remote Loader Remote Loader Semice R Id ntity Manager Treiber Active Directory Is R Avaya R Text mit Begrenzungszeichen eDirectory vl vi Exchange 6 Best tigen Sie die Aktivierungsanforderung zeigen Sie die zu installierenden Produkte an und klicken Sie anschlie end auf Fertig stellen 7 Legen Sie fest ob Sie das Symbol Remote Loader Konsole auf Ihrem Desktop platzieren m chten Remote Loader unter Solaris Linux oder AIX installieren In diesem Abschnitt wird davon ausgegangen dass Sie Identity Manager 3 bereits heruntergeladen und dekomprimiert haben Wenn Sie Identity Manager noch herunterladen m ssen wechseln Sie zur Download Website von Novell http download novell com F hren Sie nach dem Dekomprimieren der von der Novell Website heruntergeladenen Identity Manager 3 Datei die folgenden Schritte aus 1 F hren Sie die Ihrer Plattform entsprechende Installationsdatei aus e dirxml solaris bin e dirxml linux bin e dirxml_aix bin 2 Dr cken Sie nach dem Akzeptieren der Lizenzvereinbarung die Eingabetaste Die Seite Installationssatz w hlen wird angezeigt Please choose the Install Set to be installed by this installer gt 1 Metadirectory Server 2 Connected System Server 3 Web based Administrative Server 4 Customize ENTER THE NUMBER FOR THE INSTALL SET OR PRESS lt ENTER gt TO ACCEPT THE DEFAULT Einrichten eines
233. en m chten eine Passwortrichtlinie zugewiesen ist Sie k nnen diese Richtlinie der gesamten Baumstruktur einem Partitionsstammcontainer einem Container oder einem bestimmten Benutzer zuweisen Es empfiehlt sich Passwortrichtlinien einer m glichst hohen Ebene im Baum zuzuweisen um die Verwaltung zu vereinfachen 132 Novell Identity Manager 3 0 Administrationshandbuch 3 In der Passwortrichtlinie m ssen folgende Optionen ausgew hlt sein Funktionen und Aufgaben Passwortrichtlinie Sample Password Policy Password Policies Security EAE Ale Kategorien Konfigurationsoptionen Benutzer s H eDirectory Verwaltung Aktivieren Sie die Passworteinstellungen f r Ihre Richtlinie ber die Kontrollk stchen eDirectory Wartung p Funktionsbasierte Gruppen V Universelles Passwort aktivieren Helpdesk M Erweiterte Passwortregeln aktivieren E Identity Manager Synchronisierung des universellen Passworts ennie Manager iberbiwt NDS Passwort bei Auswahl des universellen Passworts entfernen El Identity V NDS Passwort bei Auswahl des universellen Passworts synchronisieren Manager Dienstprogramme gt Konfiguration f r i i aN lat TESE Y Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren LDAP Abruf des universellen Passworts Einfaches Passwort bei Auswahl des universellen Passworts synchronisieren EI NMAS V Benutzer darf Passw
234. ency Volunteers steht Ihr wird keine Mitgliedschaft in der Gruppe Emergency Response erteilt weil die Konfliktl sung nach Priorit t und nicht durch Erg nzung erfolgt Diese Funktionalit t ist hilfreich wenn Sie in Ihrer Umgebung funktionsbasierte Berechtigungen verwenden um Benutzer auf einem anderen System in hierarchischen Strukturen anzuordnen Dadurch k nnen Sie sicherstellen dass die Benutzer nur jeweils an einem Ort abgelegt werden und nicht an beiden Orten gleichzeitig Beachten Sie dass diese Einstellung f r jede Berechtigung in jedem Treiber einzeln gesetzt werden muss Als allgemeine Regel gilt dass Administrator oder Managerrichtlinien bei Verwendung der Einstellung priority weiter oben in der Liste stehen sollten als Richtlinien f r Endbenutzer oder einzelne Mitarbeiter Gruppen mit enger gefassten Mitgliedschaftskriterien sollten h her als Gruppen mit breiter gefassten Mitgliedschaftskriterien eingeordnet werden 6 8 2 ndern der Konfliktl sungsmethode f r einzelne Berechtigungen 1 Klicken Sie in iManager auf Identity Manager gt Identity Manager berblick und w hlen Sie einen Treibersatz aus Erstellung und Verwendung von Berechtigungen 205 Eine Seite mit einer grafischen Darstellung aller Treiber des Treibersatzes wird angezeigt _Treibersatz TestDriverSet novell Identit ts depot Delimited Text Entitlements Service Driver UserApplication 206 Novell Identity Manager 3
235. enn scheme host oder port nicht gefunden werden werden die Standardwerte verwendet Die Standardwerte werden anhand der Konfiguration des Webservers des Herausgeberkanals ermittelt url base Der Inhalt des lt item gt Elements ist der Teil der generierten URL ohne die Ressourcenangabe file und ohne den Query String url query Der Inhalt des lt item gt Elements ist eine URL Query Zeichenkette die aus den lt item gt Elementen unter dem lt url query gt Element generiert wird url file Der Inhalt des lt item gt Elements ist die Ressourcenangabe f r die URL protected data Der Inhalt des lt item gt Elements ist ein verschl sseltes Formular mit Name Wert Paaren aus den lt item gt Elementen unter dem lt url query gt Element Nur lt item gt Elemente bei denen das protect Attribut auf yes gesetzt ist werden zum protected data Element hinzugef gt Weitere Informationen zu gesch tzten Daten finden Sie in Anhang D Service Treiber f r manuelle Aufgaben Ersetzungsdaten auf Seite 319 E 2 Automatische Ersetzungsdaten auf dem Herausgeberkanal W hrend der Verarbeitung auf dem Webserver des Herausgeberkanals werden automatisch folgende Datenelemente zu replacement data Dokumenten hinzugef gt Service Treiber f r manuelle Aufgaben Automatische Ersetzungsdatenelemente 327 post status Der Webserver des Herausgeberkanals erstellt w hrend der Verarbeitung einer HTTP PO
236. enn Sie Sicherungen erstellen k nnen Sie an einem Punkt nach der Installation von eDirectory neu beginnen Erstellen Sie einen symbolischen Link von var nds zu shared var nds Erstellen Sie eine Sicherungskopie von etc nds conf Entfernen Sie etc nds conf Erstellen Sie einen symbolischen Link von etc nds conf zu shared var nds nds conf Platzieren Sie ndsd in der Liste der zu hostenden Ressourcen des Cluster Managers NO on BP WwW ND Entfernen Sie ndsd aus der Liste der Daemons die vom Initialisierungsvorgang beim Booten gestartet werden 244 Novell Identity Manager 3 0 Administrationshandbuch Wenn die Schritte f r den prim ren und den sekund ren Knoten abgeschlossen sind starten Sie die Clusterdienste eDirectory und Identity Manager werden nun auf dem prim ren Knoten ausgef hrt 9 1 5 Aspekte hinsichtlich des Identity Manager Treibers Die meisten Identity Manager Treiber k nnen in einer Clusterkonfiguration ausgef hrt werden Die folgenden Aspekte m ssen jedoch beachtet werden Auf jedem Clusterknoten m ssen die Programmdateien des Treibers jar Dateien und oder freigegebene Objekte installiert sein Wenn der Treiber auf demselben Server ausgef hrt werden muss wie die Anwendung die der Treiber unterst tzt muss auch die Anwendung so konfiguriert werden dass sie als Teil der Clusterdienste ausgef hrt wird Wenn der Treiber ber einen konfigurierbaren Ablageort f r treiberspezifische Zustan
237. enn Sie die erweiterten Passwortregeln erzwingen und unzul ssige Passw rter verhindern m chten sollten Sie die Benutzer anweisen das Passwort ausschlie lich ber die iManager Selbstbedienungskonsole oder im Novell Client zu ndern Stellen Sie zumindest sicher dass die erweiterten Passwortregeln von den Benutzern problemlos eingesehen werden k nnen Auf einem verbundenen System kann der Benutzer das Passwort ndern ohne dass die Regeln der Passwortrichtlinie angezeigt werden Daher ist es m glich dass der Benutzer die Regeln nicht genau kennt Bei der nderung des Passworts sind nur die Richtlinien des verbundenen Systems obligatorisch Je nach den geltenden Identity Manager Einstellungen k nnen die folgenden Probleme auftreten wenn ein Benutzer auf einem verbundenen System ein nicht regelkonformes Passwort erstellt e Wenn Sie die Einstellung aktiviert haben mit der die Richtlinie von verbundenen Systemen an Identity Manager bertragene Passw rter erzwingt erfolgt keine Synchronisierung des neuen Passwort des Benutzers mit dem Identit tsdepot Wenn Sie Identity Manager so konfiguriert haben dass der Benutzer bei Fehlern informiert wird wird dem Benutzer per Email mitgeteilt dass das Passwort nicht synchronisiert werden konnte Wenn Sie Identity Manager dar ber hinaus so konfiguriert haben dass nicht regelkonforme Passw rter auf verbundenen Systemen ersetzt werden kann sich der Benutzer mit dem von ihm gew hlten neuen Pass
238. enthaltenen Beispielschablonen wird das Pr fix form verwendet Die fett gedruckten Elemente in den Beispielen oben sind Aktionselemente Aktionselemente werden ausf hrlich in Anhang F Service Treiber f r manuelle Aufgaben Aktionselemente der Schablone auf Seite 329 beschrieben Abonnentenkanal Emails Der Abonnentenkanal des Service Treibers f r manuelle Aufgaben erm glicht den Versand von Emails Hierzu unterst tzt der Treiber ein benutzerdefiniertes XML Element namens lt mail gt Richtlinien auf dem Abonnentenkanal erstellen als Reaktion auf einige eDirectory Ereignisse z B bei der Erstellung eines Benutzers ein lt mail gt Element Beispiel f r ein lt mail gt Element lt mail src dn PERIN TAO novell Provo Joe gt lt to gt JStanley novell com lt to gt lt cc gt carol novell com lt cc gt lt reply to gt HR novell com lt reply to gt lt subject gt Room Assignment Needed for Joe the Intern lt subject gt lt message mime type text html gt Verwalten von Engine Services 229 lt stylesheet gt process template xsl lt stylesheet gt lt template gt html msg template xml lt template gt lt replacement data gt lt item name manager gt JStanley lt item gt lt item name given name gt Joe lt item gt lt item name surname gt The Intern lt item gt lt url data gt lt item name file gt process template xsl lt item gt lt url query gt lt item name template gt form template xml
239. entzieht Berechtigungen Bei funktionsbasierten Berechtigungen ist der Agent der Berechtigungsservice Treiber Erteilen oder Entziehen Die Interpretation des Erteilens oder Entziehens einer Berechtigung wird durch Globalkonfigurationsvariablen GCVs eines Identity Manager Treibers gesteuert Berechtigungsendkon Jeder Prozess der berechtigungsrelevante Daten verwendet Zu Berechti sument gungsendkonsumenten z hlen iManager die Benutzeranwendung und Identity Manager Richtlinien 6 2 Erstellen von Berechtigungen berblick e Abschnitt 6 2 1 Identity Manager Treiber mit Vorkonfigurationen die Berechtigungen unterst tzen auf Seite 175 e Abschnitt 6 2 2 Aktivieren von Berechtigungen bei anderen Identity Manager Treibern auf Seite 176 Sie sollten im Voraus wissen was Sie mit den Berechtigungen erreichen m chten Berechtigungen sind an die Funktionalit ten gekoppelt die Sie anhand von Richtlinien in Identity Manager Treiber integrieren Diese Treiberrichtlinien implementieren Regeln und verarbeiten die Ereignisse zwischen dem Identit tsdepot und dem verbundenen System Wenn die Richtlinien im Identity Manager Treiber nicht das angeben was Sie bewirken m chten k nnen die Berechtigungen nicht funktionieren Wenn Sie beispielsweise den Aktionsabschnitt der Regel Benutzer ndern f r Gruppenmitgliedschaften aktivieren die zugewiesen oder entzogen werden in der Richtlinie Befehl nicht angeben wird jeder Ve
240. eore ee 179 6 4 2 Die Berechtigungs Dokumenttypdefinition DTD von Novell 183 6 4 3 Erl uterung der Berechtigungs DTD 2222220 oeee nern nennen 184 6 4 4 Erstellen von Berechtigungen mit Designer 0 00 e eee eee eee 187 6 4 5 Erstellen und Bearbeiten von Berechtigungen in iManager 187 6 4 6 Beispielberechtigungen zum leichteren Erstellen eigener Berechtigungen 188 6 4 7 Abschlie en der Berechtigungserstellung 222222222 seen 193 6 5 Verwalten funktionsbasierter Berechtigungen Uberblick 0 00000 aee 194 6 5 1 Funktionsweise des Berechtigungs Service Treibers 00000 194 6 6 Erstellen eines Berechtigungs Service Treiberobjekts 222220 cece eee 196 6 7 Erstellen von Berechtigungsrichtlinien 2224222ee een eae 197 6 7 1 Definieren der Mitgliedschaft f r eine Berechtigungsrichtlinie 198 6 7 2 Ausw hlen von Berechtigungen f r eine Berechtigungsrichtlinie 199 6 8 Konfliktl sung zwischen funktionsbasierten Berechtigungsrichtlinien 203 6 8 1 Konflikte berblick 0 0 nanan nananana 203 6 8 2 ndern der Konfliktl sungsmethode f r einzelne Berechtigungen 205 6 8 3 Festlegen der Priorit ten von Berechtigungsrichtlinien 208 6 9 Fehlersuche bei funktionsbasierten Berechtigungen 2 22 0 raaua rennen 209 6 10 Berechtigungselemente die f
241. eport Last Modified 10 13 2005 Report Generated On 10 13 2005 Total pages 3 User Provisioning Report Total Events 42 Report Period 10 13 2005 8 54 20AM User cn ablake ou users ou idmsample Jeff o novell Date Time Resource Action Provision Granted Provision Submitted Provision Granted Provision Success Provision Submitted Provision Success Provision Granted Provision Submitted Provision Granted Provision Success Provision Submitted Provision Success Provision Granted Provision Submitted Provision Success Provision Granted Pege t of 3 9 28 2005 2 12 27PM 9 28 2005 2 12 27PM 9 12 2005 4 38 35PM 9 12 2005 4 38 35PM 9 12 2005 4 38 35PM 9 12 2005 4 33 32PM 9 12 2005 3 32 06P M 9 12 2005 3 32 06P M 9 12 2005 12 31 23PM 9 12 2005 12 31 23PM 9 12 2005 12 31 23PM 9 12 2005 12 30 56P M 9 12 2005 12 30 52PM 9 12 2005 12 30 52PM 9 9 2005 4 12 02PM 9 9 2005 4 11 59PM 318 Novell Identity Manager 3 0 Administrationshandbuch Enable Active Directory Account 2 Parallel Mgr HR Group No Timeout Enable Active Directory Account 2 Parallel Mgr HR Group No Timeout Value Adder Mgr Approve minute 1 retry TD Value Adder Mgr Approve minute 1 retry TD Value Adder Mar Approve minute 1 retry TD Value Adder Mgr Approve minute 1 retry TD Value Adder Mar Approve minute 1 retry TD Value Adder Mar Approve minute 1 retry TD Enable Active Direct
242. er Cache Grenze KB 0 Anwendungspasswort Passwort ndern Passwort l schen Remote Loader Passwort Passwort festlegen Verbindungsparameter f r Remote Loader Sie haben das selbstsignierte Zertifikat bereits zu einem fr heren Zeitpunkt exportiert Weitere Informationen finden Sie in Abschnitt 3 2 2 Selbstsigniertes Zertifikat exportieren auf Seite 48 F r SSL wird der Kurzname des selbstsignierten Zertifikats ben tigt Geben Sie im Textfeld Verbindungsparameter f r Remote Loader die Parameter als Schl ssel Wert Paare ein Beispiel hostname 192 168 0 1 port 8090 kmo remotecert hostname 192 168 0 1 port 8090 kmo remote cert e hostname Der Hostname oder die IP Adresse z B 190 162 0 1 Gibt die Adresse oder den Namen des Computers an auf dem der Remote Loader ausgef hrt wird Wenn Sie die IP Adresse oder den Servernamen nicht angeben wird der Standardwert localhost verwendet port Port tiber den der Remote Loader die vom Remote Schnittstellenmodul kommenden Verbindungen akzeptiert Wenn Sie diesen Kommunikationsparameter nicht eingeben wird der Standardwert 8090 verwendet e kmo 70 Novell Identity Manager 3 0 Administrationshandbuch Gibt den Schl sselnamen des Schl sselmaterialobjekts KMO an z B kmo remotecert das die f r SSL verwendeten Schl ssel und Zertifikate enth lt Wenn im Zertifikatsnamen Leerzeichen enthalten sind m ssen Sie den Kurznamen des KMO Objekts in einf
243. er XDS Schablone verwendet werden Das XDS Dokument wird durch die Verarbeitung der in den POST Daten angegebenen XDS Schablone generiert Anschlie end wird das XDS Dokument ber den Herausgeberkanal des Service Treibers f r manuelle Aufgaben an Identity Manager gesendet Trace Einstellungen Der Service Treiber f r manuelle Aufgaben gibt Meldungen mit verschiedenen Trace Stufen aus Stufe Beschreibung der Trace Meldung 0 Keine Trace Meldungen Verwalten von Engine Services 239 Stufe Beschreibung der Trace Meldung 1 Einzeilige Meldungen die allgemeine Vorg nge protokollieren 2 Keine zus tzlichen Meldungen DirXML Engine f hrt das Tracing f r XML Dokumente auf dieser Stufe und den dar ber liegenden Stufen durch 3 Keine zus tzlichen Meldungen 4 Meldungen im Zusammenhang mit der Dokumenterstellung von Schablonen und For matvorlagen 5 Dokumente mit Ersetzungsdaten unterliegen dem Tracing 8 2 4 Weitere Informationen Weitere Informationen zu Einstellungen f r den Service Treiber f r manuelle Aufgaben finden Sie in Anhang D Service Treiber f r manuelle Aufgaben Ersetzungsdaten auf Seite 319 Anhang E Service Treiber f r manuelle Aufgaben Automatische Ersetzungsdatenelemente auf Seite 327 Anhang F Service Treiber f r manuelle Aufgaben Aktionselemente der Schablone auf Seite 329 Anhang G Service Treiber f r manuelle Aufgaben lt mail gt Element auf Seite 333 Anhang
244. er and Driver Customization Guide Handbuch zum Richtlinien Builder und zur Treiberanpassung und in der Dokumentation zum jeweiligen Identity Manager Treiber http www novell com documentation idmdrivers index html Nachdem Sie Berechtigungen erstellt oder die bei bestimmten Identity Manager Treibern enthaltenen vorkonfigurierten Berechtigungen verwendet haben miissen Sie diese in Schritt 4 verwalten Berechtigungen werden durch zwei Pakete oder Agenten verwaltet ber iManager als funktionsbasierte Berechtigungsrichtlinien oder ber die Benutzeranwendung bei Workflow Erstellung und Verwendung von Berechtigungen 193 basierter Bereitstellung Informationen zu Berechtigungen die bei der Workflow basierten Bereitstellung verwendet werden finden Sie in Abschnitt V Entwerfen und Verwalten von Bereitstellungsanforderungen im Identity Manager Benutzeranwendung Administrationshandbuch Der Rest dieses Kapitels befasst sich mit funktionsbasierten Berechtigungen 6 5 Verwalten funktionsbasierter Berechtigungen berblick e Abschnitt 6 5 1 Funktionsweise des Berechtigungs Service Treibers auf Seite 194 Beim herk mmlichen Verfahren werden Berechtigungen auf verbundenen Systemen treiberspezifisch verwaltet indem lediglich Treiberkonfigurationsrichtlinien erstellt und bearbeitet werden z B mit dem Richtlinien Builder Bei diesem herk mmlichen verteilten Modell kontrollieren h ufig unterschiedliche Administratoren
245. er der Passwortrichtlinie entsprechen erfolgt bei der Anmeldung E Passw rter Passwortst berpr fen Herausforderungss tze Hinweis Ihr Netzwerk muss m glicherweise f r das universelle Passwort vorbereitet werden Passwortrichtlinien Passwortsynchronisierung Informationen zur Vorbereitung des Netzwerks auf das universelle Richtlinienzuweisungen anzeigen Passwort finden Sie unter Password Management Administration Universelles Passwort festlegen Guide Email Serveroptionen v Email Schablonen bearbeiten PBX ya In dieser Dokumentation werden die Abbildungen so angezeigt wie sie in Firefox erscheinen Passwortsynchronisierung mit verbundenen Systemen 85 5 2 Unterst tzung von verbundenen Systemen bei der Passwortsynchronisierung Wenn Sie ein Benutzerobjekt erstellt haben kann Identity Manager immer ein Passwort von einem verbundenen System akzeptieren auch dann wenn die Funktion zum Weiterleiten des aktuellen Benutzerpassworts auf dem verbundenen System nicht unterst tzt wird AD NT eDirectory und NIS k nnen sowohl Passw rter von Identity Manager akzeptieren als auch das aktuelle Benutzerpasswort an Identity Manager weiterleiten Die Passwortsynchronisierung in beide Richtungen wird also vollst ndig unterst tzt Wenn Sie eine Richtlinie innerhalb der Treiberkonfiguration auf dem Herausgeberkanal erstellen k nnen andere Systeme Daten bereitstellen die f r die Erstellung von Passw rtern verwendet werden Die Beispiel
246. er hinzugef gt werden sollen All Classes a LULLA YOI II UVOLOVO 1 DirXML DriverVersion DirXML EncryptionKeys DirXML EngineControlValues DirXML EntitlementRef DirXML EntitlementResult DirXML EventTransformationRule DirXML GrantAccess DirXML InputTransform DirkXML JavaDebugPort DirXML JavaModule OK Abbrechen 6 Wahlen Sie auf der Seite Filter das Attribut DirXML EntitlementRef aus Wahlen Sie unter Abonnieren die Option Benachrichtigen Klicken Sie auf OK https 172 22 10 80 Novell iManager Mozilla Firefox Filter UserApplication TestDriverSet novell Filter Ms EJE Klasse hinzuf gen Attribut bearb L schen Filter kopieren von Schablone festlegen a gt srvprwDirectoryModel srpruModified User EY nir EntitlementResutt Anwendungsname Ver ffentlichen Synchronisieren Ignorieren O Benachrichtigen X O Zur cksetzen Abonnieren Synchronisieren Bo Ignorieren Benachrichtigen X O Zur cksetzen Zusammenf hrungsstelle Standard Identit tsdepot OK __Abbrechen _Anwenden bertrage Daten von 172 22 10 80 172 22 10 80 4 7 Dieser Vorgang wird automatisch durchgef hrt wenn Sie Berechtigungen f r einen Treiber mit Designer erstellen Erstellung und Verwendung von Berechtigungen 177 6 3 Voraussetzungen f r Berechtig
247. erechtigungen Benutzerkontoberechtigung Abfrage f r Gruppen Gruppenmitgliedschaftsberechtigung Berechtigungswerte Helpdesk Eintrag ausw hlen Identity Manager P E Abft Identity Manager Externe abfrage Dienstprogramme O Im Cache Konfiguration f r Bereitstellungsanforderungen LDAP NMAS Novell Certificate Server Novell Zertifikatszugriff Partitions und OK _Abbrechen Anwenden _ 8 Internet In der Schnittstelle Berechtigungsrichtlinie k nnen Sie die Liste der Email Verteilerlisten oder NOS Listen abfragen Nach erfolgter Abfrage k nnen Sie die gecachte Liste anzeigen Die Treiber sind so konfiguriert dass die vollst ndige Liste ausgegeben wird damit Sie eine Auswahl aus den Listen treffen k nnen die auf dem verbundenen System vorhanden sind Hinweis Ein Treiber kann auch so abge ndert werden dass die Liste auf von Ihnen angegebene Gruppennamen beschr nkt und nicht vollst ndig ausgegeben wird Attributwerte auf verbundenen Systemen Sie k nnen f r Benutzerkonten auf verbundenen Systemen Attributwerte zuweisen Geben Sie hierf r den Wert ein den die Benutzerkonten erhalten sollen 202 Novell Identity Manager 3 0 Administrationshandbuch Die folgende Abbildung zeigt ein Beispiel f r das Hinzuf gen eines Attributwerts zu einem Notes Attribut Department Abbildung 6 6 Hinzuf gen eines Attributwerts F Novell iManager Microsoft Internet Explorer D
248. erforderlich an das Identit tsdepot gesendet werden m ssen Wenn Identity Manager einen Befehl an den Treiber sendet hat Identity Manager bereits ein Identit tsdepot Ereignis als Input verarbeitet die entsprechenden Richtlinien angewendet und festgelegt dass die durch den Befehl dargestellte nderung im verbundenen System erforderlich ist 1 2 9 Richtlinien und Filter Mit Richtlinien und Filtern k nnen Sie den Datenfluss von einem System zu einem anderen steuern ber die Regeln in den Richtlinien legen Sie fest wie verwaltungsrelevante Identit tsdepot Klassen Attribute und Ereignisse f r die Verwendung im verbundenen System bersetzt werden und umgekehrt Weitere Informationen zu Richtlinien und Filtern finden Sie im Policy Builder and Driver Customization Guide Handbuch zum Richtlinien Builder und zur Treiberanpassung 1 2 10 Verkn pfungen Die meisten anderen Identity Management Produkte erfordern dass das verbundene System eine ID beliebigen Typs speichert um Objekte eines verbundenen Systems dem Verzeichnis zuzuordnen Bei Identity Manager sind keine nderungen des verbundenen Systems erforderlich Jedes Objekt im Identit tsdepot enth lt eine Verkntipfungstabelle die das Identit tsdepot Objekt einer eindeutigen ID in den verbundenen Systemen zuordnet Die Tabelle ist umgekehrt indiziert sodass das verbundene System bei der Aktualisierung des Identit tsdepots dem Treiber keine Identit tsdepot ID z B einen ein
249. ert es zu erstellen wenn Sie auf die Funktion und Aufgabe Funktionsbasierte Berechtigungen klicken 1 berpr fen Sie ob bereits ein Berechtigungs Service Treiber vorhanden ist Klicken Sie in iManager auf Funktionsbasierte Berechtigungen gt Funktionsbasierte Berechtigungen und w hlen Sie den Treibersatz aus e Wenn die Seite Kein Berechtigungs Service Treiber angezeigt wird fahren Sie mit Schritt 2 fort um ein Berechtigungs Service Treiberobjekt zu erstellen e Wenn die Seite Funktionsbasierte Berechtigungen mit einer Liste verf gbarer Berechtigungsrichtlinien angezeigt wird ist bereits ein Berechtigungs Service Treiberobjekt vorhanden In diesem Fall m ssen Sie diensen Vorgang nicht durchf hren Fahren Sie fort mit Abschnitt 6 7 Erstellen von Berechtigungsrichtlinien auf Seite 197 2 Klicken Sie auf der Seite Kein Berechtigungs Service Treiber auf Ja Der Assistent zum Erstellen von Treibern wird angezeigt Sie k nnen auch auf DirXML Dienstprogramme gt Treiber importieren klicken 3 W hlen Sie auf der Seite Assistent zum Erstellen von Treibern die Option n einem vorhandenen Treibersatz und klicken Sie auf Weiter 4 W hlen Sie im Dropdown Listenfeld Treiberkonfiguration vom Server importieren XML Datei die Datei Entitlement xml aus Neuen Anwendungstreiber fiir diesen Treibersatz importieren oder erstellen Treiberkonfiguration vom Server importieren XML Datei Entitlemen
250. erung Mit der Funktion f r die Passwortsynchronisierung in Identity Manager k nnen Sie verschiedene Szenarios implementieren In diesem Abschnitt werden einfache Szenarios beschrieben um zu verdeutlichen wie sich die Einstellungen der Identity Manager Passwortsynchronisierung und die NMAS Passwortrichtlinien auf die Synchronisierung von Passw rtern auswirken Sie k nnen ein oder mehrere dieser Szenarios verwenden um den Erfordernissen Ihrer Umgebung gerecht zu werden Abschnitt 5 8 1 berblick ber die Relation zwischen Identity Manager und NMAS auf Seite 115 Abschnitt 5 8 2 Szenario 1 Synchronisierung zwischen zwei Identit tsdepots ber das NDS Passwort auf Seite 117 Abschnitt 5 8 3 Szenario 2 Synchronisieren unter Verwendung des universellen Passworts auf Seite 119 Abschnitt 5 8 4 Szenario 3 Synchronisieren des Identit tsdepots und der verbundenen Systeme mit Aktualisierung des Verteilungspassworts durch Identity Manager auf Seite 130 Abschnitt 5 8 5 Szenario 4 Tunneling Synchronisieren verbundener Systeme aber nicht eines Identit tsdepots mit Aktualisierung des Verteilungspassworts durch Identity Manager auf Seite 142 Szenario 5 Synchronisieren von Anwendungspassw rtern mit dem einfachen Passwort auf Seite 147 5 8 1 berblick ber die Relation zwischen Identity Manager und NMAS Dienstprogramme und NMAS auf Seite 115 Identity Manager und NMAS
251. erung verwendet wird Das Element wird in der Regel als verstecktes INPUT Element in dem HTML Formular angegeben mit dem die HTTP POST Anforderung erzeugt wird Beispiel lt INPUT TYPE hidden NAME response stylesheet VALUE process template xs1l gt auth template Dieses Element wird dem Webserver ber HTTP POST Daten zur Verf gung gestellt Es wird zur Generierung der Webseite bereitgestellt die als Antwort auf die POST Anforderung erzeugt wird wenn bei der Authentifizierung des Benutzers ein Fehler auftritt Das item Element auth template wird in der Regel als verstecktes INPUT Element in das HTML Formular angegeben mit dem die HTTP POST Anforderung erzeugt wird Beispiel lt INPUT TYPE hidden NAME auth template VALUE auth response xml gt auth stylesheet Dieses Element wird dem Webserver ber HTTP POST Daten zur Verf gung gestellt Es wird zur Generierung der Webseite bereitgestellt die als Antwort auf die POST 322 Novell Identity Manager 3 0 Administrationshandbuch Anforderung erzeugt wird wenn bei der Authentifizierung des Benutzers ein Fehler auftritt Das item Element auth template wird in der Regel als verstecktes INPUT Element in das HTML Formular angegeben mit dem die HTTP POST Anforderung erzeugt wird Beispiel lt INPUT TYPE hidden NAME auth stylesheet VALUE process template xs1l gt protected data Das item Element p
252. es XDS Dokuments wird zusammen mit der in den POST Daten angegebenen Formatvorlage und Schablone zur Erstellung einer Webseite verwendet die dem Benutzer das Ergebnis der Daten bertragung anzeigt Diese Webseite wird als Ergebnis der POST Anforderung an den Browser gesendet 8 2 3 Konfiguration In diesem Abschnitt wird die Konfiguration der Parameter und Schablonen des Service Treibers f r manuelle Aufgaben beschrieben Verwalten von Engine Services 231 Treibereinstellungen In diesem Abschnitt werden die Parameter beschrieben die im Abschnitt Treibereinstellungen in der Benutzeroberfl che des Treiberobjekts angezeigt werden Viele dieser Parameter betreffen eigentlich den Webserver des Herausgeberkanals Sie werden im Bereich f r die Treibereinstellungen angezeigt weil auch der Abonnentenkanal des Service Treibers f r manuelle Aufgaben Zugriff auf sie ben tigt DN der Dokumentenbasis Dieser Parameter ist ein eDirectory DN eines Containerobjekts Der Service Treiber f r manuelle Aufgaben kann XML Dokumente einschlie lich XSLT Formatvorlagen sowohl von eDirectory als auch von der Festplatte laden Wenn XML Dokumente von eDirectory geladen werden sollen gibt dieser Parameter den Stammcontainer an aus dem die Dokumente geladen werden Von eDirectory geladene Dokumente befinden sich im Attributwert eines eDirectory Objekts Wenn nicht explizit angegeben ist dieses Attribut XmlData Das Attribut kann angegeben wer
253. es XML Escaping auf Die Standard Formatvorlage des Service Treibers f r manuelle Aufgaben process_text_template xsl wird in der Regel zum Verarbeiten von Schablonen verwendet die ein Ergebnis in einfachem Text ergeben Herausgeberkanalrichtlinien Bei den meisten Implementierungen des Service Treibers f r manuelle Aufgaben sind keine Herausgeberkanalrichtlinien erforderlich Dies liegt daran dass die Webseite und die XDS Schablonen so erstellt werden k nnen dass sie genau die erforderliche XDS ergeben und nicht mehr anhand der Richtlinien weiterverarbeitet werden m ssen Wenn Richtlinien erforderlich sind sind diese sehr genau auf eine Installation zugeschnitten Webseitenschablonen des Herausgeberkanals Webseitenschablonen sind XML Dokumente die h ufig verwendeten Text und Ersetzungs Token enthalten Webseitenschablonen werden zur Generierung von Webseitendokumenten verwendet in Verwalten von Engine Services 237 der Regel HTML Dokumente Allgemeine Informationen zu Schablonen finden Sie in Abschnitt Schablonen auf Seite 226 Ersetzungs Token in Webseitenschablonen geben vor welche Ersetzungsdaten als URL Abfragedaten auf dem Abonnentenkanal zur Verf gung gestellt werden Ersetzungsdaten auf dem Herausgeberkanal werden f r HTTP GET Anforderungen von der URL Query Zeichenkette und f r HTTP POST Anforderungen von der URL Query Zeichenkette und den POST Daten zur Verf gung gestellt Folgendes Szenario ist ein Be
254. ese Treiberkonfigurationen durch die Identity Manager Beispielkonfigurationen zu ersetzen Die Unterst tzung dieser Funktion muss f r jeden Treiber hinzugef gt werden der an der Passwortsynchronisierung teilnehmen soll Dazu importieren Sie eine Overlay Konfigurationsdatei um die Richtlinien das Treibermanifest und die GCVs gleichzeitig hinzuzuf gen Nach dem Hinzuf gen der Richtlinien des Treibermanifests und der GCVs m ssen Sie das Attribut nspmDistributionPassword zum Treiberfilter hinzuf gen Wichtig Befolgen Sie beim Upgrade eines mit Version 1 0 der Passwortsynchronisierung verwendeten Identity Manager Treibers f r AD oder NT Domain die Upgrade Anleitung in den Implementierungshandb chern zu den Identity Manager Treibern f r Active Directory und NT Domain unter Identity Manager Drivers http www novell com documentation dirxmldrivers index html Die in diesem Verfahren hinzugef gten Richtlinien erm glichen die Passwortsynchronisierung ber das universelle Passwort und das Verteilungspasswort Wenn Sie den Identity Manager Treiber lediglich zum Synchronisieren des NDS Passworts verwenden sollten Sie die Richtlinien in der Identity Manager Treiberkonfiguration nicht verwenden Das NDS Passwort wird nicht ber diese Richtlinien sondern ber Attribute f r den privaten und ffentlichen Schl ssel synchronisiert siehe Abschnitt 5 8 2 Szenario 1 Synchronisierung zwischen zwei Identit tsdepots ber
255. esponder dn 5CPERIN TAO 5Cnovel1l 5CProvo s5Cphb amp responder dn 5CPERIN TAOS 5Cnovell 5CProvo s5Ccarol subject name Joetthe tIntern amp association 45f0e3 3Aee45e07709 3A TE FES3A192 168 0 1 amp protected data rO0ABXNyABlqYXZheC5JcnlwdG8uU2VhbGVKT2JqZWNOPJY9psO3VHACAA RbAA1 lbmNvZGVKUGF yYW1 zdAACW0 JbABBlbmNyeXB0ZWRDb250ZW50cQOBS2BAAF MAAlwYXJhbXNBbGA0ABJMamF2YS9sYW5SnL1NOcmluZzztMAAdZZWFSOWxncOB 2B AAJ4cHVyAAJbOgzzFS2FgGGCFTgAgAAecHAAAAAPMAODECIr9Z11GS2BO3BAgEKdXE AfgAEAAAAuMUS2FSoFRkebvh2d5SqalF91ttjRY5lyyW5S2BS2FFIfOuDdYikYi DbOJb6607S0dPH OzeVgubptiIvGqaEQOE JB DkYS2Bi4VoVjUSXS3a8fiXB8moM APtLJS2FGyE8Q0iwbT4xbkOy48i02k99F2vGmlenRpSP6dD31kZ13dpJ0mGgq2y 2FeFaynKyqanjkHLMexcqD8W1VooaRl1k2RPk5VDYvC802bn220KKbOnSRM5SYIP S0iWZxo0JVcnVVytOAANOOkKVOABBOOkKVXaXRoTUQ1OWSKREVT gt Here lt a gt to do this lt p gt lt p gt Thank you lt br gt HR lt br gt HR Department lt p gt lt body gt lt html gt C Service Treiber f r manuelle Aufgaben Datenfluss Szenario bei Einstellung eines neuen 341 h Die SMTP Email wird an den Manager und seinen Assistenten gesendet i Der Abonnentenkanal gibt ein XML Dokument mit einem lt status gt Element und einem lt add association gt Element an Identity Manager zur ck 4 Der Manager ffnet die Email und klickt auf den Link hier 5 Der Webbrowser des Managers sendet die URL als eine HTTP GET Anforderung a
256. est dn oder asso Scope ciation 30008 Add Entry Channel dest dn oder asso Attribute name ciation 30009 Delete Entry Channel dest dn oder asso Attribute name ciation 3000A Modify Entry Channel dest dn oder asso Attribute name ciation 3000B Rename Entry Channel dest dn oder asso Object type ciation 3000C Move Entry Channel dest dn oder asso Move Destination ciation 3000D Add Association Channel dest dn Attribute name 3000E Remove Association Channel Attribute name 3000F Query Schema Channel 30010 Check Password Channel Driver 30011 Check Object Password Channel dest dn oder asso ciation 30012 Change Password Channel dest dn oder asso ciation 30013 Sync Channel dest dn oder asso Attribute name ciation 30014 Input XML Document Channel Attribute name 30015 Input Transformation Channel Document 30016 Output Transformation Channel Document 30017 Event Transformation Channel Document 30018 Placement Rule Trans Channel formation Document 30019 Create Rule Transforma Channel tion Document 3001A Input Mapping Rule Channel Transformation Docu ment 3001B Output Mapping Rule Channel Transformation Docu ment 290 Novell Identity Manager 3 0 Administrationshandbuch EventID Description Originator Title Target Title Subtarget Title 3001C Matching Rule Transfor Channel mation Document 3001D Command Transforma Channel tion Document 3001E Publisher Filter Transfor Channel mation Document 3001F User Agent Request Channel
257. etzwerkverwalter bearbeitet werden 108 Novell Identity Manager 3 0 Administrationshandbuch 8 Klicken Sie auf Weiter Ein Treiber mit dem Namen AvayaPBX ist bereits im Treibersatz vorhanden W hlen Sie eine der unten stehenden Optionen aus oder w hlen Sie Zur ck um den Treiber umzubenennen Anderen Treiber ausw hlen Diesen Treiber insgesamt aktualisieren einschlie lich des Treiber Images Nur ausgew hlte Richtlinien in diesem Treiber aktualisieren werden sollen Am Treiber wird dar ber hinaus nichts ge ndert C Placement Rule Herausgeber DirXML Skript C Create Rule Abonnent DirXML Skript C Placement Rule Abonnent Dirk ML Skript m mapping rule Treiber Schemazuordnunssrichtlinie 9 Falls Sie keine Treibermanifest oder GCV Werte speichern m chten w hlen Sie Diesen 10 Treiber insgesamt aktualisieren Diese Option liefert das Treibermanifest die Globalkonfigurationswerte GCVs und die Identity Manager Richtlinien die zur Passwortsynchronisierung ben tigt werden Bereits vorhandene Werte werden vom Treibermanifest und den GCVs berschrieben Da diese Treiberparameter in Identity Manager 2 neu waren sollte ein DirXML 1 x Treiber keine Werte enthalten die berschrieben werden Durch die Passwortsynchronisierungsrichtlinien werden keine vorhandenen Richtlinienobjekte berschrieben Diese werden lediglich zum Treiberobjekt hinzugef gt Hinweis Falls Sie Treibermanifest oder GCV
258. f r eine Berechtigungsrichtlinie dynamisch oder statisch anpassen Beide Methoden k nnen f r dieselbe Berechtigungsrichtlinie eingesetzt werden e Dynamisch Sie k nnen Kriterien f r eine Mitgliedschaft auf Basis von Attributwerten des Objekts definieren z B dass die Stellenbezeichnung das Wort Manager enthalten soll Die von Ihnen festgelegten Kriterien werden in einen LDAP Filter konvertiert Benutzer die die Kriterien erf llen werden automatisch Mitglieder der Berechtigungsrichtlinie ohne dass sie einzeln zur Richtlinie hinzugef gt werden m ssen Die dynamische Mitgliedschaft entspricht einem dynamischen Gruppenobjekt Wenn sich ein Objekt ndert und die Kriterien f r die dynamische Mitgliedschaft nicht mehr erf llt werden die Berechtigungen automatisch entzogen Abbildung 6 2 Bearbeiten von dynamischen und statischen Mitgliedern Funktionen und Aufgaben Alle Kategorien Zusammenfassung Tunktionsbasierte Berechtigungen Dynamische Mitgbeder bearbeiten Statische bitgi Benutzer B eDirectory Verwaltung eDirectory Wartung Micken Sie auf Foner testen um zu sehen welche Mitglieder der DAP Fier erfasst _ Funktionsbasierte Derechtieungen Filter teste Neue Gruppe anf gen Mitgliedschaft reu bewerten n Feundctionvetsacinetes Berechtigungen E Gruppen Suchparameter festlegen Helpdesk Suchidentitat A Identity Manager Suche beginnen bel Basis DN Stand
259. f das universelle Passwortrichtlinien finden Sie unter Password Management Administration uide Passwortsynchronisierung Richtlinienzuwei n n Universelles Passwort festlegen Email Serveroptionen Email Schablonen bearbeiten oK _Abbrechen __ Anwenden R Universelles Passwort aktivieren NDS Passwort bei Auswahl des universellen Passworts synchronisieren Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren Da Identity Manager das Verteilungspasswort abruft um Passw rter an verbundene Systeme zu verteilen ist eine Passwortsynchronisierung in beide Richtungen nur m glich wenn diese Option aktiviert ist 5 Vervollst ndigen Sie die Passwortrichtlinie nach Bedarf NMAS erzwingt die erweiterten Passwortregeln in den Passwortrichtlinien wenn die Regeln aktiviert sind Wenn Sie nicht m chten dass die Regeln der Passwortrichtlinie erzwungen werden k nnen Sie die Option Erweiterte Passwortregeln aktivieren deaktivieren Bei der Verwendung von erweiterten Passwortregeln m ssen Sie sicherstellen dass diese nicht im Widerspruch zu den Passwortrichtlinien auf den verbundenen Systemen stehen die Passw rter abonnieren Einstellungen f r die Passwortsynchronisierung 1 Klicken Sie in iManager auf Passw rter gt Passwortsynchronisierung 2 Suchen Sie nach Treibern f r die verbundenen Systeme und w hlen Sie dann einen Treiber aus Passwortsynchronisierung mit verbundenen S
260. fen Nowell Zertifikatszugrift Authentifizierung OD berpr fen ob vorhandene Passw rter dar Passwortrichtlinia antsprachan arfolat bai dar Anmeldung p Partitions und Reproduk tiomves waltung Passw rter F Hinweis thr Netzwerk muss m glicherweise f r das universelle Passwort vorbereitet werden Baxswortztatus berpr fen Hnraustorderungss tze Informationen zur Vorbereitung des Netzwerks auf das universelle Passwortrichtwnien P wort finden Ste unter Password Management Administration Eaczeort vrsitrgrgerurg Buchtlinenzumersurgen anaien yorsnties Passwort fe Limai servercotionss Kunat Ichabkren bearbeiten PBX Rechte Schema SNMP WAN Verkehr a Szenarios f r die Verwendung der Passwortsynchronisierung und das Einbinden von Identity Manager Passwortrichtlinien finden Sie in Abschnitt 5 8 Implementierung der Passwortsynchronisierung auf Seite 115 sowie in der Online Hilfe 4 Nur f r Active Directory NIS oder NT Domain Wenn die verbundenen Systeme die Benutzerpassw rter an Identity Manager bergeben sollen m ssen Sie neue Passwort Synchronisierungsfilter installieren und konfigurieren Weitere Informationen hierzu finden Sie in den Implementierungshandb chern der einzelnen Treiber unter Identity Manager Drivers http www novell com documentation lg dirxmldrivers index html 5 Uberzeugen Sie sich davon dass der Passwort Transfer auf allen verbundenen Sy
261. fernen und erneute Hinzuf gen wird der Server dem Treiberobjekt wieder zugeordnet 2 11 Verwenden des Treiber Heartbeats Der Treiber Heartbeat ist eine Funktion der Identity Manager Treiber die zum Lieferumfang von Identity Manager 2 und h her geh ren Seine Verwendung ist optional Der Treiber Heartbeat wird unter Verwendung eines Treiberparameters mit dem angegebenen Zeitintervall konfiguriert Wenn ein Heartbeat Parameter vorhanden ist und ber einen Intervallwert gr er 0 verf gt sendet der Treiber ein Heartbeat Dokument an die Metaverzeichnis Engine wenn w hrend des angegebenen Zeitintervalls keine Kommunikation auf dem Herausgeberkanal stattfindet Der Treiber Heartbeat soll als Ausl ser f r eine Aktion dienen die in regelm igen Intervallen ausgef hrt wird wenn der Treiber nicht so h ufig auf dem Herausgeberkanal kommuniziert wie die Aktion stattfinden soll Um die Vorteile des Heartbeats nutzen zu k nnen m ssen Sie die Treiberkonfiguration und weitere Werkzeuge anpassen Die Metaverzeichnis Engine akzeptiert das Heartbeat Dokument f hrt aber aufgrund dessen keine Aktion aus Bei den meisten Treibern wird in den Beispielkonfigurationen kein Treiberparameter f r den Heartbeat verwendet Sie k nnen diesen jedoch hinzuf gen Ein benutzerdefinierter Treiber der nicht zum Lieferumfang von Identity Manager geh rt kann auch ein Heartbeat Dokument zur Verf gung stellen wenn der Treiberentwickler den daf r erforderlic
262. fungstabelle Verkn pfungen in Identity Manager beziehen sich auf die bereinstimmung von Objekten in eDirectory mit Objekten die sich in verbundenen Systemen befinden Bei der Erstinstallation von Identity Manager wird das eDirectory Schema erweitert Teil dieser Erweiterung ist ein neues berblick ber die Identity Manager 3 0 Architektur 17 Attribut das an die Basisklasse aller eDirectory Objekte gebunden wird Dieses Attribut ist eine Verkn pfungstabelle In Verkn pfungstabellen werden alle Objekte des verbundenen Systems protokolliert mit denen ein eDirectory Objekt verkn pft ist Diese Tabelle wird automatisch erzeugt und gepflegt sodass es selten notwendig ist diese Informationen manuell zu bearbeiten Es ist jedoch h ufig hilfreich sich diese Informationen anzusehen Das Verkn pfungsattribut des Objekts kann in iManager angezeigt werden 1 W hlen Sie in der iManager Symbolleiste das Symbol Objekte anzeigen 2 W hlen Sie ein Objekt aus und klicken Sie anschlie end auf Objekt bearbeiten 3 W hlen Sie die Registerkarte Identity Manager Das Verkn pfungsattribut wird in der Registerkarte Identity Manager angezeigt 1 3 Benutzeranwendung Die Benutzeranwendung ist eine Bereitstellungsl sung Sie ist ein Zusatzprodukt f r Identity Manager 3 Die Benutzeranwendung integriert einen leistungsstarken Genehmigungs Workflow in Identity Manager Dies erm glicht Unternehmen Bereitstellungsentscheidungen anhand
263. g 0 0c ete 259 10 5 1 Identity Manager Berichte 0 eae 259 10 5 2 Anzeigen von Identity Manager Ereignissen 0 0 0 cee eee eee 259 10 6 Senden von Benachrichtigungen bei Eintritt eines Ereignisses 2222222220 260 10 7 Verwenden von Statusprotokollen 2 22 22n0 ett 260 10 7 1 Einstellen der maximalen Protokollgr e 2 22 n2un seen en 260 10 7 2 Anzeigen von Statusprotokollen 2 22 eee 263 Novell Identity Manager 3 0 Administrationshandbuch A DirXML Befehlszeilenprogramm A 1 A 2 Interaktiver MOUS 8 3 s 2 2234 welts n SG Wyeast Wek a ae she en ee ee Befehlszeillenmodus 2 322 2 ee re bla e A oE eR Mangia B Konfigurationsoptionen f r einen Remote Loader C Identity Manager Ereignisse und Berichte C 1 C 2 C 3 C 4 C 5 C 6 C 7 C 8 C 9 C 10 C 11 D 1 D 2 Engine Ereignissen 2 2 2 4 2 Hl toa Met acted east aetna rake see Aaa sy Ace Gees hae doe oe SEIVENEFCIONISSO ic 32 5 00 ental Jere cavers cairn a hee de he ak E ed ee Remote Loader Ereignisse 2222 0c eee Detail Portlets ers a a ee as ee Ml OE ed a a he an Portlet Passwort ndern 222m Portlets Passwort vergessen und Passwort ndern 2 222 n nee Portlet Suchliste es 3 Po Se CH gc ot ET a a FE a Eden PortletzErstellEne ae u Sven nr a on Be Sicherheitskontext roni ene e A nennen WOrKIOW 22 ee a A ae ee Re RAR DE Berichte re ne
264. g Befehl Anforderung neu synchronisieren Passwort zur cksetzen m m m m Oo m m m m o m o Hinzuf gen Umbenennen Verkn pfung entfernen Objektpasswort berpr fen Attribut l schen Wert entfernen O Entfernen O Verschieben O Schema abfragen C Passwort ndern O Wert hinzuf gen bei nderung M Eintrag zusammenf hren Benanntes Passwort abrufen C Attribute zur cksetzen Eingabe Platzierung Ausgabezuordnung Treiberfilter Anforderung migrieren O Ausgabe O Erstellen O Entsprechung CO Benutzeragent Anforderung E Passwortsynchronisierung W hlen Sie unter Vorgangsereignisse die Option Passwort ndern Mit dieser Option k nnen Sie direkte nderungen am NDS Passwort berwachen W hlen Sie unter Transformationsereignisse die Option Passwort zur cksetzen und Passwortsynchronisierung Mit diesen zwei Optionen k nnen Ereignisse f r das universelle Passwort und das Verteilungspasswort berwacht werden 5 Klicken Sie zweimal auf OK 7 8 2 Protokollierung von Ereignissen ber den Designer Sie k nnen Ereignisse f r einen Treibersatz oder einen Treiber protokollieren Sicherheit Best Practices 219 Protokollierung von Ereignissen f r einen Treibersatz fi Straighten Connections Select All Connected Applications 4rrange Applications gt Distribute gt Align c Add to New Group _J Add Connected Application d Clear All Ite
265. gevent conf 2 Geben Sie als Wert des LogHost Parameters die IP Adresse oder den DNS Namen Ihres sicheren Protokollservers an Protokollierung und Berichterstellung mit Novell Audit 249 3 Starten Sie Identity Manager neu 10 3 2 Einrichten des sicheren Protokollservers Hinweis Der Novell Audit Secure Logging Server ist nicht im Lieferumfang von Identity Manager enthalten Der sichere Protokollserver ist Teil von Novell Audit 1 0 3 Weitere Informationen zum Herunterladen von Novell Audit 1 0 3 finden Sie auf der Produktseite von Novell Audit http www novell com products nsureaudit Der sichere Protokollserver kann auf NetWare 5 1 oder h her Windows NT 4 0 Windows 2000 Server Windows 2003 Server Solaris 8 oder 9 und verschiedenen Versionen von Linux einschlie lich SuSE Enterprise Linux Server 8 und SuSE 9 0 ausgef hrt werden Der sichere Protokollserver kann Ereignisse in MySQL Oracle Microsoft SQL Server Java Anwendungen und verschiedenen anderen Ablageorten einschlie lich eines Flatfiles protokollieren Novell Audit umfasst eine eigene Anwendung Novell Audit Report f r die Abfrage von Datenbanken nach Ereignisdaten Zur Verwendung dieses Werkzeugs f r die erweiterte Berichterstellung ist eine Datenablage mit einer ODBC Schnittstelle erforderlich F r jede Plattform ist eine Kurzanleitung mit Installationsanweisungen f r den sicheren Protokollserver verf gbar die in Novell Audit 1 0 3 enthalten ist
266. gezeigt Die erforderlichen Identity Manager Objekte f r die einzelnen Treiber werden erstellt Wenn Sie w hrend des Importvorgangs keine Sicherheits quivalenzen definiert oder verwaltungsbefugte 20 Novell Identity Manager 3 0 Administrationshandbuch Benutzer ausgeschlossen haben k nnen Sie diese Aufgaben durchf hren indem Sie die Eigenschaften des Treiberobjekts ndern 2 2 Verwalten von DirXML 1 1a Treibern in einer Identity Manager Umgebung Vorhandene Treiber die f r DirXML 1 1a erstellt wurden funktionieren auch in Identity Manager Die zum Lieferumfang von Identity Manager 3 0 geh rende Metaverzeichnis Engine ist abw rtskompatibel mit lteren Treibern sofern die lteren Treiberschnittstellenmodule und Konfigurationen mit den neuesten Produktaktualisierungen und Patches aktualisiert wurden Da die Engine abw rtskompatibel ist k nnen Sie DirXML 1 1a Treiber auf den Identity Manager Servern beliebig lange ausf hren ohne nderungen vornehmen zu m ssen Die iManager Plugins verf gen jedoch nur ber eine eingeschr nkte Abw rtskompatibilit t ltere Treiber k nnen im Treibersatz berblick angezeigt werden die Treiberkonfiguration kann jedoch ohne Konvertierung des Treibers weder angezeigt noch bearbeitet werden Wenn Sie im Treibersatz berblick auf einen DirXML 1 1a Treiber klicken erkennen die Identity Manager Plugins dass der Treiber im DirXML 1 1a Format vorliegt Anschlie end werden Sie aufgefordert den
267. gspasswort als Depot von dem aus Passw rter an verbundene Systeme verteilt werden Wie beim universellen Passwort k nnen Passwortrichtlinien auch f r das Verteilungspasswort erzwungen werden Weitere Informationen zur Verwendung des universellen Passworts und des Verteilungspassworts bei der Synchronisierung von Passw rtern finden Sie unter Implementierung der Passwortsynchronisierung auf Seite 115 Wie bei anderen Benutzerattributen auch entscheiden Sie welche Systeme ma gebliche Quellen f r Passw rter sind Identity Manager verteilt die Passw rter von dieser Quelle an die anderen verbundenen Systeme Sie k nnen die bidirektionale Passwortsynchronisierung auf den verbundenen Systemen einrichten die diese Funktion unterst tzen Durchsetzen von Passwortrichtlinien im Datenspeicher und auf verbundenen Systemen Identity Manager kann Passwortrichtlinien f r eingehende Passw rter erzwingen indem es NMAS aufruft Wenn das von einem verbundenen System ber Identity Manager ver ffentlichte Passwort nicht den Richtlinien entspricht k nnen Sie festlegen dass es im Identit tsdepot abgelehnt wird Dies bedeutet zudem dass Passw rter die nicht regelkonform sind nicht an andere verbundene Systeme verteilt werden Identity Manager kann zudem Passwortrichtlinien auf verbundenen Systemen durchsetzen Sie k nnen festlegen dass Identity Manager nicht nur die Verteilung des Passworts ablehnt sondern auch auf dem verbundenen Syste
268. gsrichtlinien auf Seite 203 8 Klicken Sie auf Neustart um den Berechtigungs Service Treiber neu zu starten 6 8 3 Festlegen der Priorit ten von Berechtigungsrichtlinien Standardm ig spielt die Reihenfolge in der Liste der Berechtigungsrichtlinien keine Rolle Der Grund daf r ist dass die mit Identity Manager gelieferten Treiberkonfigurationen bei jeder Berechtigung die Einstellung conflict resolution union als Methode zur Konfliktl sung verwenden Wenn Sie eine der Berechtigungen auf conflict resolution priority umstellen spielt die Reihenfolge in der Liste der Berechtigungsrichtlinien eine Rolle allerdings nur f r die entsprechend ge nderten Berechtigungen Informationen zu diesen Werten finden Sie unter Konfliktl sung zwischen funktionsbasierten Berechtigungsrichtlinien auf Seite 203 Sie ndern die Reihenfolge der Berechtigungsrichtlinien mittels der Pfeilschaltfl chen neben der Liste mit den Berechtigungsrichtlinien Die Richtlinie die in der Liste ganz oben steht hat die h chste Priorit t 1 Klicken Sie in iManager auf Funktionsbasierte Berechtigungen gt Funktionsbasierte Berechtigungen 2 W hlen Sie einen Treibersatz aus Eine Seite mit einer Liste der Berechtigungsrichtlinien wird angezeigt 3 ndern Sie die Priorit t der Berechtigungsrichtlinien mittels der Pfeilschaltfl chen mit denen die Richtlinien in der Liste nach oben oder unten verschoben werden k nnen 208 Novell Identity Manager 3 0
269. gurationswerte auf Seite 22 Abschnitt 2 7 Verwenden des DirXML Befehlszeilenprogramms auf Seite 23 Abschnitt 2 8 Anzeigen von Versionsinformationen auf Seite 23 Abschnitt 2 9 Verwenden benannter Passw rter auf Seite 28 Abschnitt 2 10 Treiberobjekt einem Server erneut zuordnen auf Seite 36 Abschnitt 2 11 Verwenden des Treiber Heartbeats auf Seite 36 2 1 Erstellen und Konfigurieren von Treibern F r jeden Identity Manager Treiber den Sie verwenden m chten sollten Sie ein Treiberobjekt erstellen und eine Treiberkonfiguration importieren Das Treiberobjekt enth lt Konfigurationsparameter und Richtlinien f r diesen Treiber Beim Erstellen eines Treiberobjekts importieren Sie eine treiberspezifische Konfigurationsdatei Treiberkonfigurationen enthalten mehrere standardm ige Richtlinien Diese Richtlinien unterst tzen Sie beim Implementieren Ihres Datenfreigabemodells In den meisten F llen richten Sie einen Treiber unter Verwendung der zum Lieferumfang geh renden Standardkonfiguration ein und ndern anschlie end die Treiberkonfiguration gem den Anforderungen Ihrer Umgebung Es gibt zwei M glichkeiten zum Erstellen von Treiberobjekten e Mit der Aufgabe Treiber erstellen k nnen Sie einen einzelnen Treiber erstellen und dessen Treiberkonfiguration importieren Weitere Informationen hierzu finden Sie unter Erstellen von Treiberobjekten auf Seite 20 e Mit der Aufgabe Trei
270. gurierten Berichten Standard Benachrichtigungsservices und benutzerdefinierten Datenprotokollierungen zur Verf gung gestellt Sie k nnen Identity Manager Ereignisse in Echtzeit berwachen E Mail Benachrichtigungen f r ein beliebiges Identity Manager Ereignis versenden und mit Novell Audit Berichte der Identity Manager Aktivit t generieren Die an Novell Audit gesendeten Meldungstypen werden ber Plugins gesteuert die denen des Berichts und Benachrichtigungsservices RNS hneln Diesen Plugins werden zus tzliche Stufen hinzugef gt damit Sie die zu protokollierenden Vorgangs und Debug Informationstypen wie status add entry Eintrag hinzuf gen und search Suchen ausw hlen k nnen Berichts und Benachrichtigungsservice Der Berichts und Benachrichtigungsservice RNS ist veraltet auch wenn die Metaverzeichnis Engine weiterhin RNS Funktionen verarbeitet wenn Sie RNS verwenden Es wird ein Wechsel zu Novell Audit empfohlen weil Novell Audit die von RNS zur Verf gung gestellte Funktionalit t erweitert Au erdem wird RNS in einer zuk nftigen Version von Identity Manager m glicherweise nicht mehr unterst tzt Eine RNS Dokumentation finden Sie im DirXML 1 la Administration Guide http www novell com documentation lg dirxml11a dirxml data afae8bz html DirXML 1 1a Administrationshandbuch 10 2 Novell Audit Novell Audit ist ein zentralisierter plattform bergreifender Protokollservice der Protokolldate
271. handenen benannten Passw rter anzuzeigen Die Liste der vorhandenen benannten Passw rter wird angezeigt Verwalten von Identity Manager Treibern 35 In diesem Schritt k nnen Sie verifizieren dass Sie das richtige Passwort entfernt haben Wahlen Sie nach Abschluss dieses Vorgangs zweimal die Option 99 um das Men zu verlassen und das DirXML Befehlszeilenprogramm zu beenden 2 10 Treiberobjekt einem Server erneut zuordnen Ein Treiberobjekt ist einem Server zugeordnet Wenn diese Verkn pfung aus einem bestimmten Grund ung ltig wird wird dies durch eine der folgenden Aktionen angezeigt Beim Aufr sten von eDirectory auf dem Identity Manager Server wird die Fehlermeldung UniqueSPIException error 783 angezeigt e Im Bildschirm Identity Manager berblick wird neben dem Treiber kein Server angezeigt e Im Bildschirm Identity Manager berblick wird neben dem Treiber ein Server angezeigt aber sein Name erscheint als verst mmelter Text Wenn Sie dieses Problem beheben m chten m ssen Sie die Zuordnung zwischen dem Treiberobjekt und dem Server aufheben und anschlie end eine erneute Zuordnung vornehmen Melden Sie sich bei iManager an und wechseln Sie im Bildschirm Identity Manager berblick zum gew nschten Treiberobjekt Entfernen Sie mithilfe der daf r vorgesehenen Symbole den Server aus der Servernamenliste neben dem Treibersymbol und f gen Sie ihn anschlie end erneut hinzu Durch das Ent
272. hashed_password Dieses Passwort ist Base 64 kodiert SHA hashed_ password Dieses Passwort ist Base 64 kodiert CRYPT hashed_password Klartextpassw rter und mit Unix Crypt Hash kodierte Passw rter sind nicht Base64 kodiert 4 Um das Passwort an das einfache Passwort zu iibergeben konfigurieren Sie die Treiberrichtlinien so dass das Attribut SAS Login Configuration ver ndert wird Das folgende Beispiel zeigt wie das Element modify attr innerhalb einer modify Operation verwendet wird um das einfache Passwort in ein mit MD5 Hash kodiertes Passwort umzu ndern lt modify attr attr name SAS Login Configuration gt lt add value gt lt value gt MD5 2tEgXrIHtAnGHOzH3ENslg lt value gt 150 Novell Identity Manager 3 0 Administrationshandbuch lt add value gt lt modify attr gt Richten Sie sich bei Klartextpassw rtern nach folgendem Beispiel lt modify attr attr name SAS Login Configuration gt lt add value gt lt value gt clearpwd lt value gt lt add value gt lt modify attr gt Bei add Operationen enth lt das Element add attr eine der folgenden Werte lt add attr attr name SAS Login Configuration gt lt value gt MD5 2tEgXrIHtAnGHOzH3ENslg lt value gt lt add attr gt oder lt add attr attr name SAS Login Configuration gt lt value gt clearpwd lt value gt lt add attr gt 5 9 Einrichten von Passwortfiltern Manche verbundenen Systeme k nnen das tats
273. hen Treiber programmiert hat Sie konfigurieren den Heartbeat wie folgt 1 Klicken Sie in iManager auf Identity Manager gt Identity Manager berblick 2 W hlen Sie den gew nschten Treibersatz aus und klicken Sie auf Suchen 36 Novell Identity Manager 3 0 Administrationshandbuch 3 Klicken Sie im Bildschirm Identity Manager berblick auf die obere rechte Ecke des Treibersymbols und klicken Sie anschlie end auf Eigenschaften bearbeiten 4 Klicken Sie in der Registerkarte Identity Manager auf Treiberkonfiguration bl ttern Sie zu den Treiberparametern und suchen Sie nach Heartbeat oder einem hnlichen Anzeigenamen Wenn f r den Heartbeat bereits ein Treiberparameter vorhanden ist k nnen Sie das Intervall ndern und die Anderungen speichern Die Konfiguration ist damit abgeschlossen Der Wert des Intervalls darf nicht kleiner als 1 sein Ein Wert von 0 bedeutet dass die Funktion deaktiviert ist Die Zeit wird in der Regel in Minuten angegeben Bei einigen Treibern kann z B aber auch eine Angabe in Sekunden erforderlich sein 5 Wenn f r einen Heartbeat kein Treiberparameter vorhanden ist klicken Sie auf XML bearbeiten 6 F gen Sie wie im folgenden Beispiel dargestellt einen Treiberparametereintrag als untergeordneten Eintrag von lt publisher options gt hinzu F gen Sie ihn bei einem AD Treiber als untergeordneten Eintrag von lt driver options gt hinzu lt pub heartbeat interval display
274. hert seine Datenablage standardm ig unter var nds dib Auch andere Konfigurations und Statuselemente sind unter var nds und in den Unterverzeichnissen gespeichert Das Standard Konfigurationsverzeichnis f r eDirectory ist etc Zur Konfiguration von eDirectory und Identity Manager zur Verwendung mit dem gemeinsamen Speicher in einem Hochverf gbarkeits Cluster sind die im Folgenden beschriebenen Schritte erforderlich Es wird vorausgesetzt dass der gemeinsame Speicher unter shared gemountet ist Auf dem prim ren Knoten auf Seite 243 Auf dem sekund ren Knoten auf Seite 244 Auf dem prim ren Knoten 1 Kopieren Sie den Verzeichnis Teilbaum var nds in shared var nds 2 Benennen Sie das Verzeichnis var nds um z B in var nds sav Es wird empfohlen in diesem Stadium eine Sicherung zu erstellen Dadurch k nnen Sie sofern erforderlich von vorne beginnen ohne eDirectory neu installieren zu m ssen 3 Erstellen Sie einen symbolischen Link von var nds zu shared var nds z B In s shared var nds var nds 4 Erstellen Sie folgende symbolische Links Link von Link zu shared var nds class16 conf etc class16 conf shared var nds class32 conf etc class32 conf Hochverf gbarkeit 243 Link von Link zu shared var nds help conf etc help conf shared var nds ndsimonhealth conf etc ndsimonhealth conf shared var nds miscicon conf etc miscicon conf shared var nds ndsimon conf etc ndsimon conf shar
275. hle Bei anderen Befehlen gibt der Abonnentenkanal eine Fehlermeldung zur ck Erzeugen von Emails Emails werden vom Abonnentenkanal als Antwort auf den Erhalt eines lt mail gt Elements gesendet das die zu sendende Email beschreibt In Anhang G Service Treiber f r manuelle Aufgaben lt mail gt Element auf Seite 333 finden Sie eine Beschreibung des lt mail gt Elements und dessen Inhalts Emails k nnen als Antwort auf ein beliebiges Identity Manager Ereignis Hinzuf gen Bearbeiten Umbenennen Verschieben L schen erzeugt werden Die Ersetzungsdaten die mit den einem lt mail gt Element untergeordneten lt message gt Elementen zur Verf gung gestellt werden h ngen von zwei Hauptfaktoren ab e Der Schablone die zur Erzeugung des Nachrichtentext verwendet wurde Ersetzungselemente die von der Email Schablone verwendet werden sollen werden als untergeordnete Elemente des lt replacement data gt Elements angezeigt Den von den Webseiten Schablonen auf dem Herausgeberkanal ben tigten Informationen wenn die Email eine Antwort auf dem Herausgeberkanal zur Folge haben soll Ersetzungselemente die von den Webseiten Schablonen verwendet werden sollen werden als untergeordnete Elemente des lt url query gt Elements angezeigt das ein untergeordnetes Element von lt url data gt ist Dieses wiederum ist dem lt replacement data gt Element untergeordnet Wenn die Email eine URL enthalten soll die auf den Webserver des Her
276. htlinien k nnen Sie den Informationsfluss in das und aus dem Identit tsdepot an eine bestimmte Umgebung anpassen Beispielsweise verwendet ein Unternehmen inetOrgPerson als Hauptbenutzerklasse w hrend in einem anderen Unternehmen User als Hauptbenutzerklasse verwendet wird In diesem Fall wird eine Richtlinie erstellt die der Metaverzeichnis Engine mitteilt welche Benutzerklasse auf dem jeweiligen System aufgerufen wird Identity Manager wendet diese Richtlinie immer dann an wenn Operationen die sich auf Benutzer beziehen zwischen verbundenen Systemen bertragen werden Au erdem k nnen Sie mithilfe von Richtlinien neue Objekte erstellen Attributwerte aktualisieren Schema Transformationen ausf hren bereinstimmungskriterien definieren und Identity Manager Verkn pfungen verwalten Ausf hrliche Informationen zu Richtlinien finden Sie im Policy Builder and Driver Customization Guide Handbuch zum Richtlinien Builder und zur Treiberanpassung Dieses Handbuch enth lt e Eine detaillierte Beschreibung der zur Verf gung stehenden Richtlinien Ein ausf hrliches Benutzer und Referenzhandbuch zum Richtlinien Builder mit Beispielen und Syntaxbeschreibungen der einzelnen Bedingungen Aktionen Nomen und Verben Informationen dar ber wie Sie Richtlinien mithilfe von XSLT Formatvorlagen erstellen k nnen Weitere Informationen zu Richtlinien finden Sie im Policy Builder and Driver Customization Guide Handbuch zum Rich
277. hts mit dem Webserver des Herausgeberkanals zu tun hat z B Novell iManager eine andere Anwendung oder eine benutzerdefinierte Schnittstelle Beispiel Email auf dem Abonnentenkanal Antwort des Webservers auf dem Herausgeberkanal Im Folgenden ist ein Beispielszenario f r einen Bereitstellungsvorgang f r einen neuen Mitarbeiter aufgef hrt in dem ihm vom Manager eine Raumnummer zugewiesen wird 1 In eDirectory wird ein neues Benutzerobjekt erstellt z B vom DirXML Treiber f r das HR System des Unternehmens 2 Der Abonnentenkanal des Service Treibers f r manuelle Aufgaben sendet eine SMTP Nachricht an den Manager des Benutzers sowie an dessen Assistenten Die SMTP Nachricht enth lt eine URL die auf den Webserver des Herausgeberkanals verweist Zus tzlich enth lt die URL Datenelemente die den Benutzer und andere Personen identifizieren die befugt sind die angeforderten Daten zu senden 224 Novell Identity Manager 3 0 Administrationshandbuch 3 Der Manager oder sein Assistent klickt auf die URL in der Email und in einem Web Browser wird ein HTML Formular angezeigt Der Manager oder sein Assistent f hrt folgende Schritte aus e Auswahl des DN f r das eDirectory Benutzerobjekt wodurch der Absender der Email festgelegt wird e Eingabe des eDirectory Passworts e Eingabe der Raumnummer f r den neuen Mitarbeiter e Senden der Raumnummer durch einen Klick auf Absenden 4 Die Raumnummer des neuen Mitarbeiters wir
278. icherzustellen dass die Berechtigungsrichtlinie wie von Ihnen gew nscht funktionieren wird Ist dies der Fall klicken Sie auf Fertig stellen klicken Sie andernfalls auf Zur ck 6 Durch das Erstellen einer Berechtigungsrichtlinie wird der Berechtigungs Service Treiber deaktiviert Klicken Sie auf Neustart um die Sitzung abzuschlie en 6 7 1 Definieren der Mitgliedschaft f r eine Berechtigungsrichtlinie Wie ein Identity Manager Treiber kann auch eine Berechtigungsrichtlinie nur Objekte verwalten die sich in einer Master oder einer Lese Schreibreproduktion auf dem Server befinden dem sie zugewiesen ist Jede Berechtigungsrichtlinie wird einem einzelnen Treibersatzobjekt zugeordnet das einem bestimmten Server zugewiesen wird Nur Benutzerobjekte und andere aus der Klasse User abgeleitete Objekttypen k nnen Mitglieder einer Berechtigungsrichtlinie sein W hlen Sie zum ffnen der Mitgliedschaftsseite in einer Berechtigungsrichtlinie Funktionsbasierte Berechtigungen gt Funktionsbasierte Berechtigungen markieren Sie in der Liste die Berechtigungsrichtlinie die Sie bearbeiten m chten und klicken Sie auf Bearbeiten Klicken Sie im Internet Explorer auf die Registerkarte Mitgliedschaft W hlen Sie in Firefox im Pulldown Men den Befehl Dynamische Mitglieder bearbeiten 198 Novell Identity Manager 3 0 Administrationshandbuch Eine Berechtigungsrichtlinie ist ein dynamisches Gruppenobjekt Sie k nnen die Mitgliedschaft
279. ie DSTRACE zum Anzeigen von Identity Manager Prozessereignissen Dies ist jedoch nur bei Tests und bei der Fehlerbehebung in Identity Manager m glich Wenn DSTRACE ausgef hrt wird w hrend die Treiber in Produktion sind wird die Nutzlast der Identity Manager Server erh ht Dies kann dazu f hren dass Ereignisse nur sehr langsam ausgef hrt werden Zum Anzeigen von Identity Manager Prozessen in DSTRACE werden dem Treibersatz und den Treiberobjekten Werte hinzugef gt Dies erfolgt in Designer oder in iManager e Abschnitt 2 12 1 Hinzuf gen von Trace Stufen in Designer auf Seite 38 e Abschnitt 2 12 2 Hinzuf gen von Trace Stufen in iManager auf Seite 40 e Abschnitt 2 12 3 Erfassen von Identity Manager Prozessen in einer Datei auf Seite 41 2 12 1 Hinzuf gen von Trace Stufen in Designer Sie k nnen dem Treibersatzobjekt oder einzelnen Treiberobjekten Trace Stufen hinzuf gen Treibersatz 1 W hlen Sie in Designer in einem ge ffneten Projekt das Treibersatzobjekt in der berblicksansicht aus D Project 1 IDM vault Active Directory 2 Klicken Sie mit der rechten Maustaste w hlen Sie Properties Eigenschaften und klicken Sie dann auf 5 Trace 3 Legen Sie die Parameter f r das Tracing fest und klicken Sie auf OK Weitere Informationen zu den Treibersatz Trace Parametern finden Sie in Tabelle 2 1 auf Seite 38 Wenn Sie die Trace Stufe f r das Treibersatzobjekt festgelegt haben werden al
280. ie die Treiberparameter Geben Sie in dem item Element mit der Bezeichnung Sample Output Path ein Pfad zu dem Verzeichnis an in das der SampleCommandHandler die erstellten Dokumente schreiben soll F gen Sie zum Element mit der Bezeichnung Zus tzliche Behandlungsroutinen die Zeichenkette com novell nds dirxml driver manualtask samples SampleCommandHandler hinzu 352 Novell Identity Manager 3 0 Administrationshandbuch Ersetzen Sie die Befehlstransformationsrichtlinie des Abonnentenkanals durch das Dokument CommandXform xsl das sich in demselben Verzeichnis befindet wie die Datei sampleCommandHandler java Erstellen Sie ein Benutzerobjekt und f gen Sie diesem einen Managerverweis hinzu Wenn der Manager ber einen Wert f r die Email Adresse verf gt wird ein lt sample gt Befehlselement an den Abonnentenkanal gesendet und der SampleCommandHandler schreibt eine Datei in das von Ihnen zuvor angegebene Verzeichnis Service Treiber f r manuelle Aufgaben Benutzerdefinierte Element 353 354 Novell Identity Manager 3 0 Administrationshandbuch Service Treiber f r manuelle Aufgaben Benutzerdefinierte Servlets f r den Herausgeberkanal Der Treiber bietet einen Erweiterungsmechanismus ber den dem Webserver des Herausgeberkanals zus tzliche Funktionen hinzugef gt werden k nnen Benutzerdefinierte Servlets k nnen vom Herausgeberkanal geladen werden indem der Name der Servletklassen im Treiberkonfigur
281. ien der Firma berlassen e Wenn Projekt Protokoll und Trace Dateien nicht mehr ben tigt werden l schen Sie sie 216 Novell Identity Manager 3 0 Administrationshandbuch Bevor Sie einen Laptop entsorgen oder au er Betrieb nehmen sollten Sie die Projektdateien auf dessen Festplatte l schen e Stellen Sie sicher dass die Verbindung vom Designer zum Identit tsdepot Server physisch sicher ist Anderenfalls k nnte ein unbefugter Benutzer den Datenverkehr mitverfolgen und firmeninterne bzw sicherheitsrelevante Daten ausspionieren e Wenn Sie Dokumente mit dem Dokumentengenerator erstellen gehen Sie umsichtig mit diesen Dokumenten um Sie enthalten m glicherweise Passw rter und sicherheitsrelevante Daten in Klartext Wenn der Designer ein eDirectory Attribut lesen oder schreiben muss kennzeichnen Sie dieses Attribut nicht als verschl sselt Der Designer kann verschl sselte Attribute weder lesen noch schreiben e Speichern Sie keine sicherheitsrelevanten Passw rter Zurzeit werden Designer Projekte nicht verschl sselt Passw rter sind lediglich kodiert Geben Sie deshalb keine Designer Projekte die gespeicherte Passw rter haben zur gemeinsamen Nutzung frei So speichern Sie ein Passwort f r eine Sitzung aber nicht im Projekt a Klicken Sie in der erweiterten berblicksansicht mit der rechten Maustaste auf ein Identit tsdepot b W hlen Sie Properties Eigenschaften c Geben Sie auf der Konf
282. ien mehr als eine Richtlinie enth lt verwenden Sie die Pfeilschaltfl chen 4 M um die neuen Richtlinien an die richtige Stelle in der Liste zu verschieben Achten Sie darauf dass die Richtlinien in der in Abschnitt 5 3 4 In der Treiberkonfiguration ben tigte Richtlinien auf Seite 94 beschriebenen Reihenfolge aufgef hrt werden 110 Novell Identity Manager 3 0 Administrationshandbuch 5 7 3 3 Schritt Filtereinstellungen ndern 1 Stellen Sie sicher dass das Attribut nspmDistributionPassword f r die Objektklassen f r die Sie Passw rter synchronisieren m chten z B User mit den folgenden Einstellungen im Filter enthalten ist e Setzen Sie den Filter auf dem Herausgeberkanal f r das Attribut nspmDistributionPassword auf Ignorieren e Setzen Sie den Filter auf dem Abonnentenkanal f r das Attribut nspmDistributionPassword auf Benachrichtigen Klasse hinzufiigen Attribut bearb L schen Filter kopieren von Schablone festlegen SD DirxML nwoWorkOrder Anwendungsname El SD User i gt city ab company i gt Description Veroffentlichen a e Synchronisieren Full Name Ignorieren ID given name c Benachrichtigen ED jacktumber Y C Zur cksetzen am onnieren ID preterrectame D c Synchronisieren GD surname Ignorieren GD telephone Number Ye Benachrichtigen EID Tine Y C Zur cksetzen Ua mDistributionPassword Zusammenf hrungsstelle o Ge DirXML pbxExtensio
283. ien mit der Zuweisung von Berechtigungen an diesen Benutzer in Konflikt stehen Erstellung und Verwendung von Berechtigungen 203 Nachstehend erfahren Sie wie sich solche Konflikte l sen lassen Bei einigen Berechtigungen k nnen Sie die Methode zur Konfliktl sung ndern e Berechtigungen ohne Werte erg nzen sich In den meisten F llen besitzt eine Kontoberechtigung keine Werte Wenn einem Benutzer mit einer Berechtigungsrichtlinie ein Konto auf einem verbundenen System erteilt wird erh lt der Benutzer ein Konto auf diesem System Es spielt dabei keine Rolle ob ein Konflikt mit einer anderen Berechtigungsrichtlinie besteht Es handelt sich bei dem Ergebnis immer um eine Erg nzung Dies trifft immer zu daher kann die Methode zur Konfliktl sung beim Erteilen von Konten nicht ge ndert werden Berechtigungen ohne Werte sind mit einem Lichtschalter vergleichbar Dieser ist entweder ein oder ausgeschaltet erteilt oder nicht erteilt Wenn beispielsweise die Berechtigungsrichtlinie Manager einem Benutzer namens Jean Chandler ein Exchange Konto erteilt Jean Chandler jedoch von der f r das Erteilen von Exchange Konten zust ndigen Berechtigungsrichtlinie Mail Room Employees ausgeschlossen ist erh lt Jean dennoch ein Exchange Konto Standardm ig erg nzen sich Berechtigungen mit Werten im Konfliktfall Sie K nnen aber auch eine Konfliktl sung nach Priorit t vorgeben Berechtigungen wie z B eine Gruppenmitgliedschaft
284. igurationsseite ein Passwort ein und klicken Sie auf OK Sie k nnen einmal pro Sitzung ein Passwort eingeben Wenn Sie das Projekt schlie en geht das Passwort verloren Wenn Sie ein Passwort auf der Festplatte speichern m chten f hren Sie die Schritte 1 bis 3 aus w hlen Sie Save Password Passwort speichern und klicken Sie auf OK Abbildung 7 1 Passwort speichern Password H Test credentials 7 7 Best Practices bei der Einrichtung von Sicherheitsma nahmen Befolgen Sie bei der Implementierung von Sicherheitsma nahmen die Best Practices der Branche Blockieren Sie z B nicht verwendete Ports auf dem Server 7 8 berwachung von nderungen an sicherheitsrelevanten Daten e Abschnitt 7 8 1 Protokollierung von Ereignissen ber iManager auf Seite 218 Abschnitt 7 8 2 Protokollierung von Ereignissen ber den Designer auf Seite 219 Sicherheit Best Practices 217 7 8 1 Protokollierung von Ereignissen ber iManager Sie k nnen mit Novell Audit Ereignisse protokollieren die Sie als wichtig f r die Sicherheit erachten Weitere Informationen zu Novell Audit finden Sie in Kapitel 10 Protokollierung und Berichterstellung mit Novell Audit auf Seite 247 Beispielsweise k nnen Sie Passwort nderungen f r einen bestimmten Identity Manager Treiber oder einen Treibersatz wie folgt protokollieren 1 W hlen Sie eDirectory Administration gt Objekt bearbeiten gt Protokollierumfang q Fu
285. ildung zeigt wie Sie das Tag definieren Argument Builder F gen Sie Ihre Komponenten dem Ausdrucksbereich hinzu bzw entfernen Sie sie um das Argument zu erstellen Geben Sie die Komponentenwerte unter Editor ein Ausdruck SEE EHE amp Substantive Wahlen Sie die Substantiv und Verb Token rechts die zum Ausdrucksbereich hinzugef gt werden sollen we Verwenden Sie die Schaltfl chen in der Ausdrucks berschrift um sie neu zu ordnen oder zu entfernen Berechtigung Hinzugef gt Verkn pfung Attribut Klassenname v lt Hinzuf gen _ Verben Ursprungs DN escapen Ziel DN escapen Kleinschreibung DN analysieren lt Hinzuf gen Editor Erforderlich 2 Beschreibung Hier werden Informationen ber das ausgew hlte Token angezeigt und bearbeitet Konstanter Text Um nderungen anzuzeigen das Ausdruckspanel aktualisieren oder eine Komponente ausw hlen hinzuf gen Bar Abbrechen Nachdem Sie das Tag definiert und auf OK geklickt haben wird es auf der Seite Zeichenkette Builder als Zeichenkette aufgef hrt Passwortsynchronisierung mit verbundenen Systemen 167 12 Achten Sie darauf dass Sie die Bearbeitung auf allen Seiten mit OK abschlie en damit die ge nderte Richtlinie gespeichert wird 13 Wiederholen Sie diese Schritte um die Regeln s mtlicher Richtlinien zu bearbeiten die auf die Email Benachrichtigungsschablone verweisen 14 F gen Sie das in der Richtlinie definierte
286. im Dialogfeld Versionsermittlungswerkzeug auf Anzeigen Versionsermittlungswerkzeug Das Identity Manager Versionsermittlungswerkzeug durchsucht Ihren Baum nach Informationen zur Identity Manager Konfiguration _ Anzeigen Speichern unter Treibersatz und Treiber durchsuchen E IDM DETREE El amp DriverSet novell 8 NO41 W2K3 DE NDS novell amp Delimited Text 26 Novell Identity Manager 3 0 Administrationshandbuch Die Informationen werden im Fenster Berichtvorschau als Textdatei angezeigt Versionsermittlungswerkzeug Berichtvorschau Identity Manager Versionsermittlungswerkzeug V2 0 Novell Inc Copyright 2003 2004 Versionsabfrage gestartet Dienstag 31 Januar 2006 14 29 Uhr GMT Parameter bersicht DN des Standardservers NO41 W2K3 DE NDS novell IP Adresse des Standardservers 172 22 10 89 Angemeldet als Admin Kontext novell Baumnmame IDM DETREE 1 Identity Manager Treiber gefunden Treibersatz DriverSet novell Auf Identit tsdepot laufender Treibersatz WN0O41 W2K3 DE NDS novell Letzte Protokollierungszeit Tue Jan 31 14 26 43 GMT 2006 Gefundene eDirectory Attribute die dem Identity Manager 3 0 0 62638 zuge Treiber Delimited Text DriverSet novell Treibername Identity Manager Treiber f r Text mit Begrenzungszeichen Treibermodul com novell nds dirxml driver delimitedtext DelimitedTextDr Auf Identit tsdepot laufender Treibersatz NO41 W2K3 DE NDS novell Treiner ID TEXT Treiberversion 1 1 3
287. inander verbundener Systeme ber den Identity Manager synchronisieren Um die Benutzer Einstellungen f r die Passwortsynchronisieru wo nach den Treibern verbundener eDirectory Verwaltung Systeme gesucht werden soll Um die Suchzeit zu verk rzen empfiehlt es sich alle Identity Manager Treiberobjekte in einen gemeinsamen Container bundener Systeme anzuzeigen suchen und w hle eDirectory Wartung zu platzieren Funktionsbasierte Berechtigungen Gruppen P nee gt E Holpdesk Wo soll nach Treibern f r die verbundenen Systeme gesucht werden Identity Manager Gesamten Baum durchsuchen R Pa a Identity C Suchen in Container afa Manager Dienstprogramme a Konfiguration fiir OK Abbrechen Bereitstellungsanforderungen E LDAP E NMAS Novell Certificate Server Novell Zertifikatszugriff Partitions und Reproduktionsverwaltung Ej Passw rter Passwortstatus berpr fen Herausforderungssatze Passwortrichtlinien Passwortsynchronisierung Richtlinienzuweisungen anzeigen Universelles Passwort festlegen Email Serveroptionen Email Schablonen bearbeiten PBX Rechte Schema SNMP xl 152 Novell Identity Manager 3 0 Administrationshandbuch In den Suchergebnissen werden die Einstellungen f r den Passwortaustausch zwischen Identity Manager und den verbundenen Systemen angezeigt Funktionen und Aufgaben Idereestsmanagar Passwortsynehronisierung Funktiom
288. inden f r die ein Embargo verh ngt wurde oder die terroristischer Aktivit ten verd chtigt werden Ma geblich f r diese Kategorisierungen sind die US Exportgesetze Sie d rfen die Bestandteile des Produkts nicht zur Herstellung von Raketen bzw von Waffen nuklearer oder chemisch biologischer Art einsetzen Zus tzliche Informationen ber den Export von Novell Software finden Sie unter www novell com info exports Novell bernimmt keine Verantwortung f r Ihr etwaiges Vers umnis in Bezug auf das Einholen der erforderlichen Exportgenehmigungen Copyright 2005 Novell Inc Alle Rechte vorbehalten Ohne die ausdr ckliche schriftliche Genehmigung des Herausgebers darf kein Teil dieser Ver ffentlichung reproduziert fotokopiert bertragen oder in einem Speichersystem verarbeitet werden Novell Inc 404 Wyman Street Suite 500 Waltham MA 02451 USA www novell com Online Dokumentation Zugriff auf die Online Dokumentation f r dieses und andere Novell Produkte sowie auf Aktualisierungen erhalten Sie unter www novell com documentation Novell Marken eDirectory ist eine Marke von Novell Inc exteNd ist eine Marke von Novell Inc exteNd Director ist eine Marke von Novell Inc GroupWise ist eine eingetragene Marke von Novell Inc in den USA und in anderen L ndern NDS ist eine eingetragene Marke von Novell Inc in den USA und in anderen L ndern NetWare ist eine eingetragene Marke von Novell Inc in den USA und in anderen L ndern
289. ine Zeile sehen die das Kleiner als Zeichen lt nicht enth lt bedeutet dies dass die Zeile umbrochen wurde und ihr Inhalt eigentlich in einer Zeile und nicht auf zwei oder drei Zeilen verteilt angezeigt wird Denken Sie auch daran dass es sich hierbei im Gegensatz zur Kontoberechtigung um Beispiele f r die M glichkeiten handelt die sich Ihnen beim Erstellen der verschiedenen Arten von Berechtigungen mit Werten bieten Beispiel 1 Kontoberechtigung Ohne Werte lt xml version 1 0 encoding UTF 8 gt lt entitlement conflict resolution priority description This is an Account Entitlement display name Account Entitlement gt 188 Novell Identity Manager 3 0 Administrationshandbuch In diesem Beispiel lautet der Name der nicht mit Werten belegten Berechtigung Account Daran schlie t sich die Zeile mit dem Attribut conflict resolution und der Standardeinstellung Priority an In den meisten F llen bedeutet dies dass die funktionsbasierte Berechtigung mit der h chsten Priorit t den Wert festlegt wenn die Berechtigung von der Funktion Funktionsbasierte Berechtigungen verwendet wird Da es sich hierbei jedoch um ein Beispiel f r Berechtigungen ohne Werte handelt spielen mit Werten belegte Einstellungen keine Rolle Die Berechtigungsbeschreibung lautet This is an Account Entitlement und der Anzeigename lautet Account Entitlement Diese Informationen gen gen um eine Kontoberechtigung
290. inen Dateinamen ein und klicken Sie auf Speichern Identity Manager speichert die Daten in einer Textdatei 2 9 Verwenden benannter Passw rter In Identity Manager k nnen Sie f r einen bestimmten Treiber mehrere Passw rter sicher speichern Diese Funktionalit t wird als Benannte Passw rter bezeichnet Der Zugriff auf die einzelnen Passw rter erfolgt ber einen Schl ssel oder Namen Mit der Funktion Benannte Passw rter k nnen Sie auch andere Informationen z B den Benutzernamen sicher speichern Wenn Sie ein benanntes Passwort in einer Treiberrichtlinie verwenden m chten verweisen Sie mit dem Namen des Passworts darauf anstatt das eigentliche Passwort zu verwenden Das Passwort wird dann ber die Metaverzeichnis Engine an den Treiber gesendet Die in diesem Abschnitt 28 Novell Identity Manager 3 0 Administrationshandbuch beschriebene Methode zum Speichern und Abrufen von benannten Passw rtern kann f r alle Treiber verwendet werden ohne dass nderungen am Treiberschnittstellenmodul erforderlich sind Hinweis Die f r den Identity Manager Treiber f r Lotus Notes verf gbaren Beispielkonfigurationen enthalten ein Beispiel f r benannte Passw rter die auf diese Weise verwendet werden Das Notes Treiberschnittstellenmodul wurde zudem so angepasst dass es zus tzliche Methoden der Verwendung von benannten Passw rtern unterst tzt Beispiele dieser Methoden sind ebenfalls enthalten Weitere Informationen hie
291. inie definiert werden OK Abbrechen Anwenden Diese Seite enth lt eine Aufstellung der Globalkonfigurationswerte GCVs ndern Sie diese durch Ausw hlen der entsprechenden Optionen Identity Manager kontrolliert den Einstiegspunkt d h das von Identity Manager aktualisierte Passwort NMAS kontrolliert in Abh ngigkeit von den Einstellungen in den Konfigurationsoptionen den Passwort Transfer zwischen den einzelnen Passwortarten Schritt 3 auf Seite 92 zeigt die Seite Konfigurationsoptionen an Wenn Sie die Option Verteilungspasswort f r die Passwortsynchronisierung verwenden aktivieren verwendet Identity Manager das Verteilungspasswort direkt Wenn Sie diese Option deaktivieren verwendet Identity Manager das universelle Passwort direkt Informationen und Abbildungen zu diesen Optionen finden Sie in Abschnitt 5 8 Implementierung der Passwortsynchronisierung auf Seite 115 sowie in der Online Hilfe 4 Testen Sie die Passwortsynchronisierung 114 Novell Identity Manager 3 0 Administrationshandbuch berzeugen Sie sich davon dass das Identity Manager Passwort an die von Ihnen angegebenen Systeme verteilt wird berzeugen Sie sich davon dass die von Ihnen angegebenen verbundenen Systeme Passw rter gegen ber Identity Manager ver ffentlichen Tipps zur Probleml sung finden Sie in Abschnitt 5 8 Implementierung der Passwortsynchronisierung auf Seite 115 5 8 Implementierung der Passwortsynchronisi
292. inition Detail 3154C Create_Availability_ Success Initiator ID Target 3154D Create_Availability_Failure Initiator ID Target Detail 3154E Delete_Availability_ Success Initiator ID Target Detail 3154F Delete_Availability_Failure Initiator ID Target Detail Tabelle C 23 Sicherheitskontext Felder Text3 Title Data Title und Data Type EventID Description Text3 Title Data Title Data Type 31540 Create_Proxy_Definition_Success 31541 Create_Proxy_Definition_Failure Error Message stacktrace String 31542 Update_Proxy_Definition_Success 31543 Update_Proxy_Definition_Failure Error Message stacktrace String 31544 Delete_Proxy_Definition_Success 31545 Delete_Proxy_Definition_Failure Error Message stacktrace String 31546 Create_Delegatee_Definition_Success 31547 Create_Delegatee_Definition_Failure Error Message stacktrace String 31548 Update_Delegatee_Definition_Success 31549 Update_Delegatee_Definition_Failure Error Message stacktrace String 3154A Delete_Delegatee_Definition_Success 3154B Delete_Delegatee_Definition_Failure Error Message stacktrace String 3154C Create_Availability_ Success 3154D Create_Availability_Failure Error Message stacktrace String 3154E Delete_Availability_ Success 3154F Delete_Availability_Failure Error Message stacktrace String Tabelle C 24 Sicherheitskontext Felder Triggers EventID Description Triggers 31540 Create_Proxy_Definition_Success Tritt bei erfolgreicher Erstellung der Vertre tungsdefinition auf
293. ion opt on Resync Migrate from application into DirXML 9 command document to driver word Initialize new driver object operations operations Enter choice Tabelle A 2 Treiberoptionen Vorgang Beschreibung 1 Start driver Startet den Treiber 2 Stop driver Stoppt den Treiber 3 Get driver state Gibt den Status des Treibers an 0 Treiber wird angehalten 1 Treiber wird gestartet 2 Treiber wird ausgef hrt 3 Treiber wird angehalten 4 Get driver start option Gibt die aktuelle Treiberstartoption an 1 Deaktiviert 2 Manuell 3 Automatisch 5 Set driver start option ndert die Startoption des Treibers 1 Deaktiviert 2 Manuell e 3 Automatisch 99 Beenden DirXML Befehlszeilenprogramm 267 Vorgang Beschreibung 6 Resync driver 7 Migrate from application into DirXML 268 Novell Identity Manager 3 0 Administrationshandbuch Erzwingt eine Neusynchronisierung des Treibers Sie werden aufgefordert ein Zeitintervall f r die Neusynchronisierung anzugeben Do you want to specify a minimum time for resync M chten Sie ein Zeitintervall f r die Neusynchro nisierung angeben yes no ja nein Wenn Sie yes eingeben m ssen Sie anschlie end Datum und Uhrzeit der Neusynchro nisierung angeben Enter a date time format 9 27 05 3 27 PM gt Geben Sie ein Datum eine Uhrzeit ein Format 9 27 05 3 27 PM Wenn Sie no eingeben wird die Neusynch
294. ion Kurzform Parameter Beschreibung wizard wiz kein Startet den Konfigurationsassistenten Wenn Sie dirxml_remote exe ohne Befehlszeilenparameter ausf hren wird auch der Assistent gestartet Diese Option ist hilfreich wenn zudem eine Konfiguration sdatei angegeben ist In diesem Fall wird der Assis tent mit den Werten aus der Konfigurationsdatei gestartet und die Konfiguration kann mithilfe des Assistenten ge ndert werden ohne die Konfigura tionsdatei direkt bearbeiten zu m ssen Beispiel wizard wiz Diese Option ist nur auf Windows Plattformen ver f gbar Sie ist nicht f r den Java Remote Loader ver f gbar Tabelle B 2 Java Klassennamen Java Klassenname Treiber com novell nds dirxml driver avaya PBXDriverShim com novell nds dirxml driver delimitedtext DelimitedTextDriver com novell nds dirxml driver nds DriverShimlmpl com novell nds dirxml driver entitlement EntitlementServiceDriver com novell gw dirxml driver gw GWdriverShim com novell nds dirxmi jdbc JDBCDriverShim com novell nds dirxmi driver Idap LDAPDriverShim com novell nds dirxml driver loopback LoopbackDriverShim com novell nds dirxmi driver manualtask driver ManualTaskDriver com novell nds dirxml driver nisdriver NISDriverShim com novell nds dirxmi driver notes NotesDriverShim com novell nds dirxml driver psoftshim PSOFTDriverShim com novell nds dirxml driver SAPShim SAPDriverShim com novell nds dirxml driver sapusershim S
295. ionen ber einen Webbrowser abrufen Dabei spielt es keine Rolle wo Identity Manager ausgef hrt wird iMonitor wird ber die folgenden Dateien ausgef hrt oO N Oa kk ww 10 11 NDSIMON NLM l uft unter NetWare NDSIMON DLM l uft unter Windows ndsimonitor l uft unter UNIX Greifen Sie auf iMonitor ber http server_ip 8008 nds zu Der Standardport ist Port 8008 Geben Sie einen Benutzernamen und ein Passwort mit Administratorrechten ein und klicken Sie auf Login Anmeldung Wahlen Sie auf der linken Seite Trace Configuration Trace Konfiguration Klicken Sie auf Clear all Alle l schen Wahlen Sie DirXML und DirXML Drivers DirXML Treiber Klicken Sie auf Trace On Trace ein Wahlen Sie auf der linken Seite Trace History Trace Verlauf Klicken Sie auf das Dokument mit der nderungszeit Aktuell um einen Live Trace zu sehen ndern Sie das Aktualisierungsintervall wenn die Informationen h ufiger angezeigt werden sollen W hlen Sie Trace Configuration Trace Konfiguration auf der linken Seite und klicken Sie auf Trace Off Trace aus um das Tracing zu deaktivieren Sie k nnen den Trace Verlauf anzeigen indem Sie die Option Trace History Trace Verlauf w hlen Die Dateien werden anhand ihres Zeitstempels unterschieden Verwalten von Identity Manager Treibern 43 Wenn Sie eine Kopie der HTML Datei ben tigen finden Sie diese an ihrem Standardspeicherort e NetWare
296. ionen finden Sie in Abschnitt 2 9 Verwenden benannter Passw rter auf Seite 28 Es m ssen vier Angaben gemacht werden Enter password name Geben Sie den Pass wortnamen ein Enter password description Geben Sie die Passwortbeschreibung ein Enter password Passwort eingeben Confirm password Passwort best tigen Vorgang Beschreibung 6 Clear named passwords Benannte Passw rter l schen 7 List named passwords 8 Get passwords state 99 Exit Abbildung A 4 Cache Vorgdnge Select a cache operation driver cache limit Set driver cache limit 3 View cached transactions cached transactions Enter choice L scht ein angegebenes benanntes Passwort oder alle benannten Passworter die auf dem Treiberob jekt gespeichert sind Do you want to clear all named passwords M chten Sie alle benannten Passw rter l schen yes no Wenn Sie yes eingeben werden alle benannten Passw rter gel scht Wenn Sie no eingeben wer den Sie dazu aufgefordert den Namen des zu l schenden Passworts anzugeben Listet alle benannten Passw rter die auf dem Treiberobjekt gespeichert sind Es werden der Passwortname und die Passwortbeschreibung auf gelistet Gibt an ob ein Passwort festgelegt wurde f r Driver Object password Treiberobjektpass wort Application password Anwendungspass wort Remote loader password Remote Loader Passwort Mit dem dxc
297. irectory Schnittstelle Die in der Metaverzeichnis Engine integrierte eDirectory Schnittstelle wird zum Erkennen von Ereignissen verwendet die in eDirectory auftreten Diese Schnittstelle garantiert durch die Verwendung des Ereignis Cache die Zustellung der Ereignisse an Identity Manager Die eDirectory Schnittstelle unterst tzt das Laden mehrerer Treiber Dies bedeutet dass nur eine Instanz von Identity Manager f r diesen eDirectory Server ausgef hrt wird dieser aber mit mehreren verbundenen Systemen kommunizieren kann Um Ereignis Loops zwischen dem Identit tsdepot und dem verbundenen System zu verhindern wurde die Loopback Erkennung in diese Schnittstelle integriert Obwohl die Schnittstelle mit einem Loopback Schutz ausgestattet ist sollten Entwickler die Loopback Erkennung dennoch in die einzelnen Treiber der angeschlossenen Systeme integrieren Synchronisierungs Engine Die Synchronisierungs Engine wendet die Identity Manager Richtlinien auf alle Ereignisse an die ihr pr sentiert werden Die Richtlinien werden unter Verwendung des DirXML Skripts im Richtlinien Builder erstellt Mit dem Richtlinien Builder k nnen Sie Richtlinien ber die GUI Schnittstelle erstellen und m ssen nicht XML Dokumente oder XSLT Formatvorlagen verwenden Sie k nnen diese Formatvorlagen zwar weiterhin nutzen aber der Richtlinien Builder ist einfacher zu verwenden Weitere Informationen zum Richtlinien Builder oder zum DirXML Skript finden Sie berblick
298. ise pr ft NMAS ob eine Passwortsynchronisierung zwischen dem universellen Passwort und dem NDS Passwort dem einfachen Passwort oder dem Verteilungspasswort besteht NMAS f ngt eingehende Anforderungen zum ndern von Passw rtern ab und verarbeitet sie gem den Einstellungen in den NMAS Passwortrichtlinien Identity Manager steuert die Relation zwischen Identity Vault Passw rtern und den Passw rtern verbundener Systeme Hierzu verwendet es das Verteilungspasswort d h das Passwort des Identit tsdepots das an die verbundenen Systeme verteilt werden kann Wie das universelle Passwort ist auch das Verteilungspasswort durch drei Verschl sselungsstufen gesch tzt und reversibel In der NMAS Passwortrichtlinie k nnen Sie festlegen ob das Verteilungspasswort mit dem universellen Passwort bereinstimmen muss Die entsprechende Einstellung ist Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren Wenn das Verteilungspasswort mit dem universellen Passwort bereinstimmt und Sie f r verbundene Systeme die bidirektionale Passwortsynchronisierung ausgew hlt haben denken Sie daran mit Identity Manager das universelle Passwort aus eDirectory zu extrahieren und an andere verbundene Systeme zu senden Sie m ssen sowohl die bertragung des Passworts als auch die verbundenen Systeme auf denen es gespeichert wird absichern Weitere Informationen finden Sie unter Kapitel 7 Sicherheit Best Practices auf Seite 213 We
299. isierung ausw hlen Vo rh en AD oder NT Treiber f r Akt u AvayaPBX AvayaPBX User eDirectory Driver lt lt Zur ck __Weiter gt gt __Abbreche Entitlements Service Driver 7 Wahlen Sie im Dropdown Listenfeld Verbundenes System den Typ des verbundenen Systems aus Falls der Treibername im Dropdown Listenfeld nicht angezeigt wird klicken Sie auf Andere Systeme In Abh ngigkeit vom Treibertyp f gt der Assistent zum Importieren von Treibern Eintr ge in das Treibermanifest ein die ber die Funktionen der Treiberkonfiguration und des verbundenen Systems Auskunft geben e bergabe von Passw rtern vom verbundenen System an Identity Manager Dies bezieht sich nur auf das tats chliche Passwort auf dem verbundenen System nicht aber auf ein Passwort das mittels einer Formatvorlage erstellt werden kann Dies ist nur bei AD eDirectory und NIS m glich Entgegennahme von Passw rtern aus Identity Manager durch das verbundene System Die berpr fung eines Passworts durch das verbundene System um festzustellen ob es mit dem Passwort in Identity Manager bereinstimmt Damit die Passwortsynchronisierungsrichtlinien funktionieren k nnen muss das Treibermanifest die richtigen Eintr ge enthalten Das Treibermanifest gibt Auskunft ber die kombinierten Funktionen des verbundenen Systems des Identity Manager Treiberschnittstellenmoduls und der Treiberkonfigurationsrichtlinien und sollte im Normalfall nicht vom N
300. isierung des Verteilungs passworts Erzwingung der NMAS Passwor trichtlinien bei Passw rtern die Identity Manager von einem ver bundenen System entgegennimmt Verwendung des Identity Man ager Passworts durch Identity Manager f r das Erzwingen von NMAS Passwortrichtlinien auf einem verbundenen System durch Zurucksetzen von Passwortern die den Richtlinienregeln nicht entsprechen Entgegennahme von Passwortern durch das verbundene System Benachrichtigung des Benutzers per Email wenn das Passwort nicht synchronisiert werden konnte Diese Einstellung gilt f r Passw rter die vom verbundenen System bereitgestellt werden sowie f r Passw rter die ber Identity Man ager Richtlinien in der Treiberkonfiguration auf dem Herausgeberka nal erstellt werden k nnen Wenn Sie diese Einstellung deaktivieren werden beide Arten von Passw rtern ausgeschlossen und erreichen somit Identity Manager nicht Identity Manager kontrolliert den Einstiegspunkt d h das von Iden tity Manager aktualisierte Passwort NMAS kontrolliert in Abh n gigkeit von den Einstellungen in der NMAS Passwortrichtlinie den Passwort Transfer zwischen den einzelnen Passwortarten So zeigen Sie eine NMAS Passwortrichtlinie an 1 Klicken Sie in iManager auf Passw rter gt Passwortrichtlinien 2 Wahlen Sie eine Richtlinie in der Passwortrichtlinienliste aus 3 Klicken Sie auf Bearbeiten 4 W hlen Sie im Dropdown Listenfeld oder in der Registerkarte
301. ispiel f r den Fluss der Ersetzungsdaten vom Abonnentenkanal zur Email und anschlie end zum Herausgeberkanal Der Service Treiber f r manuelle Aufgaben ist so konfiguriert dass der Manager eines neuen Mitarbeiters aufgefordert wird dem neuen Mitarbeiter eine Raumnummer zuzuweisen Der Ausl ser f r die Email an den Manager ist der lt add gt Befehl f r ein neues Benutzerobjekt der von der Befehlstransformationsrichtlinie des Abonnentenkanals verarbeitet wird Wenn der Manager in der Email auf die URL klickt wird eine Webseite im Webbrowser des Managers angezeigt Die Webseite muss anzeigen wem der Manager eine Raumnummer zuweist Diese Anforderung wird durch das lt url query gt Element auf dem Abonnentenkanal erf llt das ein Ersetzungsdatenelement mit dem Namen des neuen Benutzers enth lt lt item name subject name gt Joe the Intern lt item gt Dadurch enth lt die URL Query Zeichenkette neben anderen Angaben subject name Daniel 20ein 20Praktikant Das Zeichen 20 ist ein URL kodiertes Leerzeichen Wenn der Manager auf die URL in der Email klickt sendet der Webbrowser des Managers die URL an den Webserver des Herausgeberkanals Der Webserver erstellt ein Ersetzungsdatenelement namens subject name mit dem Wert Daniel ein Praktikant Die ebenfalls durch die URL angegebene Webseitenschablone enth lt ein Ersetzungs Token namens subject name Wenn die Webseitenschablone von der Formatvorlage
302. ispielsweise zwei Arten von Berechtigungen die ein GroupWise Treiber bereitstellt Beim ersten Eintrag in der Liste handelt es sich um ein GroupWise Benutzerkonto Abbildung 6 3 Schnittstelle f r das Definieren von Berechtigungen E Z Novell iManager Microsoft Internet Explorer fi 3 Datei Bearbeiten Ansicht Favoriten Extras Q rix gt x E cA Suchen she Favoriten Medien amp 2 amp E Adresse https 172 22 10 79 nps servlet webacc v Wechseln zu Links Sammlungseigent merzugriff Funktionen und Aufgaben Alle Kategorien _ Benutzer Berechtigungen eDirectory Verwaltung eDirectory Wartung W hlen Sie die Treiber aus die Berechtigungen auf verbundenen Systemen bereitstellen Funktionsbasierte Treiber hinzuf Berechtigungen Mitgliedschaft neu bewerten Funktionsbasierte Group Wise Berechtigungen Berechtigungen hinzuf gen Gruppen Eintrag ausw hlen Helpdesk Compte utilisateur GroupWise Listes de distribution GroupWise Identity Manager Identity Manager Dienstprogramme Konfiguration fiir Bereitstellungsanforderungen LDAP NMAS Beschreibung Novell Certificate Server Novell Zertifikatszugriff Partitions und oK _Abbrechen_ __Anwenden Ranraduktinnewarualt na amp 8 4 Lokales Intranet Mitgliedschaft in Email Verteilerlisten und NOS Listen Wahlen Sie zum Zuweisen von Mitgliedschaften in Gruppen o
303. ist das Passwort f r das Identity Man ager Treiberobjekt das mit dem Remote Schnitts tellenmodul auf dem Metaverzeichnis Server verkn pft ist Es m ssen entweder beide oder keine Passw rter angegeben werden Wenn kein Passwort angegeben wird fordert der Remote Loader zur Eingabe der Passw rter auf Dies ist eine Konfigurationsoption Mithilfe dieser Option wird die Remote Loader Instanz mit den angege benen Passwortern konfiguriert Es wird jedoch weder ein Identity Manager Anwendungsschnitts tellenmodul geladen noch mit anderen Loader Instanzen kommuniziert Beispiel setpasswords novell4 staccato3 sp novell4 staccato3 Plattform Befehl Windows dirxml remote config Pfad_zur_Konfigurationsdatei Solaris Linux AIX rdxml config Pfad_zur_Konfigurationsdatei HP UX AS 400 OS dirxml jremote config Pfad_zur_Konfigurationsdatei 390 z OS 3 Starten Sie den Treiber mithilfe von iManager 4 Stellen Sie sicher dass der Remote Loader ordnungsgem funktioniert Der Remote Loader l dt das Identity Manager Anwendungsschnittstellenmodul nur wenn der Remote Loader mit dem Remote Schnittstellenmodul auf dem Metaverzeichnis Server 66 Novell Identity Manager 3 0 Administrationshandbuch kommuniziert Dies bedeutet beispielsweise dass das Anwendungsschnittstellenmodul heruntergefahren wird wenn der Remote Loader die Kommunikation mit dem Metaverzeichnis Server verliert Unter Linux Solaris oder AIX k nnen Sie mit de
304. istrator gesendet werden Dazu m ssen Sie das Identity Manager Skript zu einer der Richtlinien bearbeiten Senden Sie eine Blindkopie an den Administrator indem Sie das Token mit der EMail Adresse des Administrators definieren Bearbeiten Sie zum Senden einer Kopie an einen Administrator die Richtlinie zum Erzeugen der Email z B die Richtlinie PublishPasswordEmails xml aus der die Richtlinie die Email Adresse entnimmt an die die Benachrichtigungen gesendet werden und f gen Sie ein zus tzliches lt arg string gt Element mit der Email Adresse des Administrators hinzu Im folgenden Beispiel wird gezeigt wie das zus tzliche arg string Element angegeben wird lt arg string name to gt lt token text gt Admin company com lt token text gt 168 Novell Identity Manager 3 0 Administrationshandbuch lt arg string gt Denken Sie daran den Treiber neu zu starten nachdem Sie diese nderungen vorgenommen haben 5 12 7 bersetzen von Email Benachrichtigungsschablonen Beachten Sie hierbei Folgendes Die Standardschablonen liegen in englischer Sprache vor Sie k nnen den Text jedoch in andere Sprachen bersetzen Die Namen und Definitionen der Platzhalter Tags m ssen jedoch auf Englisch bleiben damit die Definitionen f r das arg string Token in den Richtlinien mit den Namen der Platzhalter Tags bereinstimmen Eine Besonderheit ist bei Email Benachrichtigungen des Typs Passwort vergessen zu beachten Hier
305. it dem Verteilungspasswort und anderen Passw rtern Passwortsynchronisierung mit verbundenen Systemen 131 Obwohl in diesem Diagramm gleich mehrere Systeme mit Identity Manager verbunden sind gilt es zu beachten dass die Einstellungen f r die Treiber jedes verbundenen Systems einzeln festgelegt werden m ssen Abbildung 5 11 Synchronisieren des Identit tsdepots und der verbundenen Systeme durch Aktualisierung des Verteilungspassworts Verteilungs passwort NDS Passwort Einfaches Passwort Identity S Manager Einrichten von Szenario 3 So richten Sie diese Art der Passwortsynchronisierung ein e Implementierung des universellen Passworts auf Seite 132 Konfiguration der Passwortrichtlinie auf Seite 132 Einstellungen f r die Passwortsynchronisierung auf Seite 133 Treiberkonfiguration auf Seite 135 Implementierung des universellen Passworts berzeugen Sie sich davon dass die Verwendung des universellen Passworts in Ihrer Umgebung problemlos m glich ist Weitere Informationen hierzu finden Sie in Abschnitt 5 4 Vorbereitungen zur Nutzung der Identity Manager Passwortsynchronisierung und des universellen Passworts auf Seite 100 Konfiguration der Passwortrichtlinie 1 Klicken Sie in iManager auf Passw rter gt Passwortrichtlinien 2 Stellen Sie sicher dass den Teilen des Identit tsdepot Baums f r die Sie diese Art der Passwortsynchronisierung einricht
306. itle gt Enter room number for Joe the Intern lt title gt lt head gt lt body gt lt link href novdocmain css rel style sheet type text css gt lt br gt lt br gt lt br gt lt br gt lt form class myform METHOD POST ACTION https 192 168 0 1 8180 process template xsl gt lt table cellpadding 5 cellspacing 10 border 1 align center gt lt tr gt lt td gt lt input TYPE hidden name template value post form xml gt lt input TYPE hidden name subject name value Joe the Intern gt lt input TYPE hidden name association value 45f0e3 ee45e07709 7 f f f 192 168 0 1 gt lt input TYPE hidden name response style sheet value process template xsl gt lt input TYPE hidden name response template value post _response xml gt lt input TYPE hidden name auth style sheet value process template xsl gt lt input TYPE hidden name auth template value auth _response xml gt lt input TYPE hidden name protected data value rO0ABXNyABlqYXZheC5jcnlwdG8uU2VhbGVKT2JqZWNOPJY9psO3VHAC AARbAA11bmNVZGVkUGFyYW1ZAAACWO JbABBlbmNyeXBOZWRDb250ZW5S0OCOB AAF MAAlwYXJhbXNBbGA0ABJMamF2YS9sYW5SnLINOcmluZztMAAdzZZWFsSOWxncOB AA JAcHVyAAJboqzzF gGCFTgAgAAeHAAAAAPMAOECIr92Z21iG O3BAgEKAXEAfgAEAAAAUMU SoFRkebvh2d5SqalF91ttjRY5lyyw5t FIfOuDdYikYiDbOJb6607S0dPHJOzeVgub ptiIvGqaEQOE B JDkY i4VoVjUSXS3 a8fiXB8moMdPtLJ GyE8QiwbT4xbkOy48i02k99F2vGmlenRpSP6dD31
307. itle und Value3 Title EventID Description Value Title Value2 Title Value3 Title 307D0 Config Log Events Result 307D1 Config Driver Limit Result Cache Limit 307D2 Config Driver Set Result 307D3 Config Driver Start Start option Result Option 307D4 Driver Resync Result 307D5 Migrate Applica Result tion Server 307D6 Shim Password Set Version Result 300 Novell Identity Manager 3 0 Administrationshandbuch EventID Description Value Title Value2 Title Value3 Title 307D7 Keyed Password Result Set 307D8 Remote Loader Version Result Password Set Tabelle C 8 Serverereignis Felder Data Type und Triggers EventID Description Data Type Triggers 307D0 Config Log Events Input buffer Tritt auf wenn das Attribut zur Ereign isprotokollierung f r das Treiber oder Treibersatzobjekt ge ndert wird 307D1 Config Driver Tritt auf wenn das Treiber Cache Cache Limit Limit Attribut f r ein Treiberobjekt ge ndert wird 307D2 Config Driver Set Input buffer Tritt auf wenn die Treibersatz Server Verkn pfung ge ndert wird 307D3 Config Driver Start Input buffer Tritt auf wenn die Treiber Startoption Option f r ein Treiberobjekt ge ndert wird 307D4 Driver Resync Tritt auf wenn f r einen Treiber eine Neusynchronisierung erteilt wird 307D5 Migrate Application XML Document Tritt auf wenn die Migration des Server Anwendungsservers ausgef hrt wird 307D6 Shim Password Set Tritt auf wenn das Anwendungspass wort festgelegt wird 307D7 Keyed
308. itstellt unterst tzt werden die Algorithmen MD5 SHA SHA 1 und UNIX Crypt m ssen Sie diese unter Angabe der verwendeten Hash Kodierung z B MD5 gegen ber dem einfachen Passwort ver ffentlichen Soll eine andere Anwendung mit dem gleichen Passwort eine Authentifizierung durchf hren m ssen Sie die andere Anwendung so anpassen dass diese sich unter Verwendung des Benutzerpassworts ber LDAP gegen ber dem einfachen Passwort authentifiziert NMAS vergleicht den Passwortwert den es von der Anwendung erh lt mit dem Wert im einfachen Passwort Wenn es sich bei dem im einfachen Passwort gespeicherten Passwort um einen Hash Wert handelt erstellt NMAS zun chst aus dem Wert des von der Anwendung bergebenen Passworts den korrekten Hash Wert und f hrt dann den Vergleich durch Wenn das Passwort aus der Anwendung und das einfache Passwort identisch sind authentifiziert NMAS den Benutzer In diesem Szenario kann das universelle Passwort nicht verwendet werden Vorteile beim Synchronisieren mit dem NDS Passwort auf Seite 148 Szenario 5 einrichten auf Seite 149 Vorteile beim Synchronisieren mit dem NDS Passwort Tabelle 5 15 Vorteile beim Synchronisieren mit dem NDS Passwort Vorteile Nachteile Erm glicht die direkte Aktualisierung des In diesem Szenario ist die Verwendung des einfachen Passworts universellen Passworts nicht m glich Erm glicht das Synchronisieren eines Hash e Die Funktionen Pa
309. ity Manager Warnhinweise protokollieren dieses Ereignis Der aufgefundene Code des Warnhinweises wird im Ereignis gespeichert Wenn Sie Warnhinweise protokollieren m chten w hlen Sie Fehler und Warnmeldungen protokol lieren oder verwenden Sie die Option Bestimmte Ereignisse protokollieren und w hlen Sie das entsprechende Ereignis aus Weitere Informationen zum Erstellen von Novell Audit Benachrichtigungen basierend auf diesen Ereignissen finden Sie in Abschnitt 10 6 Senden von Benachrichtigungen bei Eintritt eines Ereignisses auf Seite 260 Remote Loader Ereignisse Folgende Ereignisse werden vom Remote Loader protokolliert Protokollierung und Berichterstellung mit Novell Audit 255 Tabelle 10 3 Remote Loader Ereignisse Ereignis Protokollierumfang Informationen Remote Loader Start Start LOG_INFO Wenn Sie das Starten des Remote Loader pro von Remote Loader tokollieren m chten m ssen Sie die Option Bestimmte Ereignisse protokollieren verwenden und das entsprechende Ereignis ausw hlen Remote Loader Stop LOG_INFO Wenn Sie das Anhalten des Remote Loader pro Anhalten des Remote tokollieren m chten m ssen Sie die Option Loader Bestimmte Ereignisse protokollieren verwenden und das entsprechende Ereignis ausw hlen Remote Loader Connection LOG_INFO Wenn Sie protokollieren m chten wenn Remote Established Remote Loader Verbindungen hergestellt werden m s Loader Verbindung herges sen Sie die Option Besti
310. ive Directory Account Mer Approve 5 minute 2 retry TA Provision Submitted 9 28 2005 Provision Granted 97 12 2005 4 38 35PM Provision Success 9 12 2005 4 38 35PM Provision Submitted 97 12 2005 4 38 35PM Provision Success 97 12 2005 4 33 32PM Provision Granted 9 12 2005 3 32 06PM Provision Submitted 97 12 2005 3 32 06PM Provision Granted Provision Success ENTITLEMENT Provision Submitted Provision Success Provision Granted Provision Submitted Provision Success Provision Granted Page t of 2 9412 2005 12 31 23PM 9412 2005 12 30 56P M 9 12 2005 12 30 52P M 9 12 2005 12 30 52P M 97 97 2005 d4 12 02PM 97 97 2005 4 11 59PM Enab Mer TA Enab Mer TA Enab Mer TA Enab Mer TA Enab Mer Enab Mer e Active Directory Account Approve 5 minute 2 retry e Active Directory Account Approve 5 minute 2 retry e Active Directory Account Approve 5 minute 2 retry e Active Directory Account Approve 5 minute 2 retry e Active Directory Account Approve No Timeout e Active Directory Account Approve No Timeout Entitlem ent Provisioning Activity ENTITLEMENT Entitlement Provisioning Activity Entitlement Provisioning Activity ENTITLEMENT Entitlem ent P rovisioning Activity Specific User Provisioning Report Identity Manager Ereignisse und Berichte Abbildung C 8 User Provisioning Report Novell Audit Report for Identity Manager R
311. ive Directory ein Konto erteilt oder entzogen Wenn das Konto erteilt wird erh lt der Benutzer ein aktiviertes Anmeldekonto Wenn das Konto entzogen wird wird das Anmeldekonto in Abh ngigkeit von der Treiberkonfiguration deaktiviert oder gel scht Erstellen einer Gruppenmitgliedschaftsberechtigung ber die Gruppenberechtigung wird die Mitgliedschaft in einer Gruppe in Active Directory erteilt oder entzogen Die betreffende Gruppe muss einer Gruppe im Identit tsdepot zugeordnet sein Wenn die Mitgliedschaft entzogen wird wird der Benutzer aus der Gruppe entfernt Die Gruppenmitgliedschaftsberechtigung wird nicht auf dem Herausgeberkanal erzwungen Wenn ein Benutzer durch ein externes Werkzeug zu einer kontrollierten Gruppe in Active Directory hinzugef gt wird wird der Benutzer nicht durch den Treiber entfernt Zudem gilt dass der AD Treiber nichts unternimmt wenn die Berechtigung nicht entzogen sondern vom Benutzerobjekt entfernt wird Erstellen einer Exchange Postfach Berechtigung Die Gruppenberechtigung erteilt oder entzieht dem Benutzer in Microsoft Exchange ein Exchange Postfach Hinzuf gen von Berechtigungsinformationen zu vielen Richtlinien Die folgenden Richtlinien enthalten zus tzliche Regeln die f r das Funktionieren von Berechtigungen erforderlich sind InputTransform Treiberebene Die Regel Check Target Of Add Association For Group Membership Entitlements in dieser Richtlinie berpr ft das Ziel der Aktion
312. iviert Y aktiviert Active Directory NO041 AL 2K3 NDS Aktiviert Aktiviert AvayaPBX NO041 AL 2K3 NDS y Aktiviert Nicht verf gbar Delimited Text NO041 AL 2K3 NDS W Aktiviert Nicht verf gbar DSML SOAP NO041 AL 2K3 NDS y Aktiviert Nicht verf gbar eDirectory Driver NO041 AL 2K3 NDS Aktiviert Aktiviert 3 Klicken Sie zum Anzeigen der Einstellungen auf einen Treibernamen 92 Novell Identity Manager 3 0 Administrationshandbuch Auf der Seite Treiber ndern werden die Globalkonfigurationswerte f r die Passwortsynchronisierung angezeigt Treiber ndern AvayaPBX TestDriverSet novell Passwortsynchronisierung F r Server NO041 AL 2K3 NDS novell Identity Manager akzeptiert Passw rter Herausgeberkanal O Verteilungspasswort f r die Passwortsynchronisierung verwenden Passwort nur akzeptieren wenn es der Passwortrichtlinie des Benutzers entspricht Wenn Passwort nicht der Richtlinie entspricht Passwortrichtlinie auf dem verbundenen System erzwingen durch Zur cksetzen des Benutzerpassworts auf das Verteilungspasswort Passwort immer akzeptieren Passwortrichtlinien ignorieren Anwendung akzeptiert Passw rter Abonnentenkanal Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen Hinweis Dieses verbundene System stellt keine Passw rter zur Verf gung Um Passwortwerte zu erstellen muss eine Identity Manager Richtlinie definiert werden Wenn eine Option auf
313. kZ13dpJ0mGgq2yL eFaynKyqnjkHLMexcqD8W1VooaRl1k2RPk5SvVDYvC802bn220KKbOnSRMSYIPSOI WZx00JVcnVVytOAANOOkKVOABBOOkVXaXRoTUQLOWSKREVT gt Indicate your identity lt br gt lt SELECT name responder dn gt lt OPTION selected gt PERIN TAO novell Provo phb lt OPTION gt lt OPTION gt PERIN TAO novell Provo carol lt OPTION gt lt SELECT gt lt td gt lt tr gt lt tr gt lt td gt Enter your password lt br gt lt input name password TYPE password SIZ MAXLENGTH 40 gt lt td gt lt tr gt lt tr gt ra 9Q 344 Novell Identity Manager 3 0 Administrationshandbuch lt td gt Enter room number for Joe the Intern lt br gt lt input TYPE text NAME room number SIZI MAXLENGTH 20 value gt lt td gt lt tr gt lt tr gt lt td gt Gl 20 GI lt input TYPE submit value Submit gt lt input TYPE reset value Clear gt lt td gt lt tr gt lt table gt lt form gt lt body gt lt html gt Der Manager wahlt seinen eDirectory DN im Menii der Webseite aus gibt sein Passwort ein weist dem neuen Mitarbeiter eine Raumnummer zu und klickt auf Senden c Der Webbrowser sendet eine HTTP POST Anforderung an den Webserver Der Webserver erzeugt aus den POST Daten das folgende Ersetzungsdatendokument Beachten Sie die Daten die in
314. kflow Approved Workflow Approved Workflow Completed Workflow Forwarded Workflow Ended Provision Submitted Provision Granted Initiator ID cn ablake ou users ou idm sam pl e Jeff o novell Workflow Administrator Workflow Administrator Workflow Administrator Workflow Administrator Workflow Administrator System System Workflow Administrator Workflow Administrator Workflow Administrator Workflow Administrator Workflow Administrator Recipient cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell Recipient cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn abl ake oususers ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou users ou idm sam pl e Jeff o novell cn ablake ou
315. konfigurationen der meisten Treiber enthalten eine Beispielrichtlinie f r ein Standardpasswort das auf dem Nachnamen basiert Auf verbundenen Systemen stehen verschiedene Funktionen zum Akzeptieren von Passw rtern von Identity Manager zur Verf gung Einige verbundene Systeme unterst tzen zwar das Erstellen von Ausgangspassw rtern f r neue Konten Passwort nderungen werden jedoch nicht zugelassen Die Funktionen der Beispiel Treiberkonfigurationen sind im Treibermanifest dokumentiert Die nachfolgenden Tabellen enthalten zus tzliche Informationen die nicht im Treibermanifest dokumentiert sind In den Tabellen wird beschrieben welche Anwendungen Ausgangspassw rter f r neue Konten unterst tzen und ob Passwort nderungen zugelassen werden Im Manifest ist lediglich dokumentiert dass das verbundene System die M glichkeit bietet Passw rter zu akzeptieren Auf Passwort nderungen wird nicht eingegangen Da Treiber in Gruppen zusammengefasst sind gibt es mehrere Beispiel Treiberkonfigurationen mit hnlichen Funktionen 5 2 1 Systeme die die bidirektionale Passwortsynchronisierung unterst tzen Die folgenden verbundenen Systeme unterst tzen die Passwortsynchronisierung in beide Richtungen Sie k nnen sowohl das aktuelle Passwort des Benutzers auf dem verbundenen System bereitstellen als auch Passw rter von Identity Manager akzeptieren Tabelle 5 2 Systeme die die bidirektionale Passwortsynchronisierung unterst tzen Abonnentenk
316. kument in das Anwendungsschema konver tieren Identity Manager Ereignisse und Berichte 297 EventID Description Data Type Triggers 3001C 3001D 3001E 3001F 30020 30021 30022 30023 30024 30025 30026 30027 Matching Rule Transfor XML Document mation Document Command Transforma XML Document tion Document Publisher Filter Transfor XML Document mation Document User Agent Request XML Document Resync Driver Migrate Driver Start XML Document Driver Stop XML Document Password Sync Password Reset DirXML Error DirXML Warning 298 Novell Identity Manager 3 0 Administrationshandbuch Wird nach der Verarbeitung der Richtlinien f r Ubereinstimmung sregeln generiert Erm glicht dem Benutzer die Durchsicht des transformierten Dokuments Wird nach der Verarbeitung der Befehlstransformationsrichtlinien generiert Erm glicht dem Benutzer die Durchsicht des transformierten Dokuments Wird nach der Verarbeitung des Benachrichtigungsfilters auf dem Herausgeberkanal generiert Erm glicht dem Benutzer die Durchsicht des transformierten Dokuments Tritt auf wenn ein XDS Befehls dokument vom Typ Benutzer agent auf dem Abonnentenkanal an den Treiber gesendet wird Tritt auf wenn eine Anforderung zu einer erneuten Synchro nisierung gestellt wird Tritt auf wenn eine Migrierung sanforderung gestellt wird Tritt auf wenn ein Treiber gestartet wird Tritt
317. l 2 Anwendungsabfrageberechtigung Externe Abfrage Die in einem Active Directory Treiber mit Berechtigungsunterst tzung enthaltenen Gruppen und Exchange Postfach Berechtigungen liefern Beispiele f r Anwendungsabfragen Verwenden Sie diese Berechtigungsart wenn Sie zur Ausf hrung eines Ereignisses externe Informationen aus einem verbundenen System ben tigen lt xml version 1 0 encoding UTF 8 gt lt entitlement conflict resolution union description The Group Entitlement grants or denies membership in a group in Active Directory The group must be associated with a group in the Identity Vault When revoked the user is removed from the group The group membership entitlement is not enforced on the publisher channel If a user is added to a controlled group in Active Directory by some external tool the user is not removed by the driver Further if the entitlement is removed from the user object instead of being simply revoked the driver takes no action display name Group Membership Entitlement name Group gt lt values gt Erstellung und Verwendung von Berechtigungen 189 lt query app gt lt query xml gt lt nds dtd version 2 0 gt lt input gt lt query class name Group scope subtree gt lt search class class name Group gt lt read attr attr name Description gt lt query gt lt input gt lt nds gt lt query xml gt lt result set gt lt display name gt lt token src
318. l Identity Manager 3 0 Administrationshandbuch 5 1 5 berblick ber den Datenfluss bei der Passwortsynchronisierung In der folgenden Abbildung sehen Sie wie verbundene Systeme Passw rter ber Identity Manager ver ffentlichen Abbildung 5 1 Ver ffentlichen von Passw rtern verbundener Systeme ber Identity Manager Benutzer Fehlerbenachrichtigung per Email Passwortsynchronisierung mit verbundenen Systemen 83 In der folgenden Abbildung sehen Sie wie Identity Manager Passw rter an verbundene Systeme verteilt Abbildung 5 2 Verteilen von Passw rtern von Identity Manager an verbundene Systeme 3 Benutzer iManager Selbstbedienungskonsole zur Eingabe des neuen Passworts Passwort wird auf Einhaltung iManager der Richtlinien berpr ft Webserver Al Active Directory NT NIS Identitatsdepot Passwort wird f r das Benutzerobjekt im SAP Benutzerverwaltung GroupWise Identit tsdepot gesetzt Lotus Notes LDAP z B SunOne Identity Relationale Datenbanken Manager Oracle DB2 e Sybase Passwort wird an zugeordnete Benutzerobjekte auf verbundenen Systemen verteilt die Passwortabonnements unterst tzen 5 1 6 Anzeige von Abbildungen In dieser Dokumentation werden h ufig Abbildungen verwendet um die Optionen in iManager zu veranschaulichen Wie die Optionen tats chlich auf Ihrem Desktop angezeigt werden h ngt davon ab mit welchem Browser Sie arbeiten 84 Novell I
319. le Treiber in den DSTRACE Protokollen angezeigt Tabelle 2 1 Treibersatz Trace Parameter Parameter Beschreibung Treiber Trace Stufe Je h her die Trace Stufe des Treiberobjekts desto mehr Informationen werden in DSTRACE angezeigt Trace Stufe 1 zeigt Fehler aber nicht die Ursache f r die Fehler an Wenn Sie Informationen zur Passwortsynchronisierung anzeigen m chten set zen Sie die Trace Stufe auf 5 38 Novell Identity Manager 3 0 Administrationshandbuch Parameter Beschreibung XSL Trace Stufe Port f r die Java Fehlersuche Java Trace Datei Gr enlimit der Trace Datei Treiber 1 W hlen Sie in Designer in einem ge ffneten Projekt das Treiberobjekt in der berblicksansicht aus Project Project 1 IDM vault ds 2 Klicken Sie mit der rechten Maustaste w hlen Sie Properties Eigenschaften und klicken Sie dann auf 8 Trace 3 Legen Sie die Parameter f r das Tracing fest und klicken Sie auf OK Weitere Informationen zu a Active Directory DSTRACE zeigt XSL Ereignisse an Diese Trace Stufe wird nur bei der Fehlerbehebung in XSL For matvorlagen verwendet Wenn keine XSL Informa tionen angezeigt werden sollen setzen Sie die Stufe auf 0 Erm glicht Entwicklern den Einsatz eines Java Fehlersuchprogramms Debugger Wenn dieses Feld einen Wert enth lt werden alle Java Informationen f r das Treibersatzobjekt in eine Datei geschrieben Der Wert f r dieses Feld
320. le die Befehlstransformationsrichtlinie erreichen Dies bedeutet dass die Erstellungsrichtlinien f r Add Ereignisse verarbeitet wurden wodurch das Einlegen von Vetos f r Add Ereignisse von Objekten erm glicht wird die z B nicht ber alle f r die Erstellung einer Email erforderlichen Attribute verf gen Dies bedeutet auch dass Modify Ereignisse f r Objekte ohne Verkn pfungen bereits in Add Ereignisse konvertiert wurden Die XSLT Formatvorlage die die Email erstellt fragt eDirectory m glicherweise nach weiteren Informationen ab Wenn es sich bei der Email beispielsweise um eine einfache Begr ungsnachricht an einen neuen Mitarbeiter handelt enth lt der Add Befehl m glicherweise alle erforderlichen Informationen Vorname Nachname und die Internet Email Adresse Dies ist dann der Fall wenn in der Erstellungsrichtlinie angegeben ist dass Vorname Nachname und Internet Email Adresse zu den obligatorischen Attributen geh ren Dadurch wird sichergestellt dass nur Add Befehle mit den erforderlichen Informationen die Befehlstransformation erreichen k nnen Handelt es sich bei der Email jedoch um eine Nachricht an den Manager eines Mitarbeiters muss die Formatvorlage eDirectory abfragen Der DN des Managers kann vom Add Ereignis des Benutzerobjekts des Mitarbeiters zur Verf gung gestellt werden Die Email Adresse des Managers muss jedoch abgefragt werden da diese Information ein Attribut des Benutzerobjekts des Managers ist Ve
321. lgenden Speicherorten e Windows Novell Nds dxcmd bat e NetWare sys system dxcmd ncf e UNIX usr bin dxcmd Das DirXML Befehlszeilenprogramm kann auf zwei Arten verwendet werden A 1 Interaktiver Modus Der interaktive Modus bietet eine Textschnittstelle zur Verwendung des DirXML Befehlszeilenprogramms 1 Geben Sie an der Konsole dxcmd ein 2 Geben Sie den Namen eines Benutzers ein der ber ausreichende Rechte f r die Identity Manager Objekte verf gt Beispiel admin novell 3 Geben Sie das Passwort des angegebenen Benutzers an Beispiel novell Abbildung A 1 DXCMD Befehle DirXML commands start driver yp driver 3 Driver operations Driver set operations t DirXML version Enter choice 4 Geben Sie die Nummer des Befehls ein den Sie ausf hren m chten Tabelle A 1 auf Seite 266 enth lt eine Liste der Optionen und der verf gbaren Funktionalit t 5 Geben Sie 99 ein um das Programm zu beenden 66 Hinweis Wenn Sie eDirectory 8 8 auf Unix Linux verwenden m ssen Sie die Parameter host und port angeben Beispiel dxcmd host 10 0 0 1 port 524 Werden keine Parameter angegeben tritt ein jclient Fehler auf novell jclient JCException connect to address 111 UNKNOWN ERROR DirXML Befehlszeilenprogramm 265 Standardm ig berwacht eDirectory 8 8 nicht localhost Das DirXML Befehlszeilenprogramm muss die Server IP Adresse oder den Hostnamen und den Port aufl
322. lierungszeit aktualisiert sodass Sie die Uhrzeit und das Datum des letzten Fehlers im Statusprotokoll einsehen k nnen Es werden nur benutzerdefinierte Ereignisse protokolliert Mit dieser Option wird die Protokollierung im Treibersatzobjektprotokoll und in den Abonnenten und Herausgeberprotokollen deaktiviert Mit dieser Einstellung k nnen Sie die maximale Anzahl der Eintr ge fes tlegen die in den Statusprotokollen protokolliert werden sollen Weitere Informationen finden Sie in Abschnitt 10 7 2 Anzeigen von Statuspro tokollen auf Seite 263 6 Klicken Sie nach Auswahl der zu protokollierenden Ereignisse auf OK Protokollierung von Ereignissen f r den Treiber 1 W hlen Sie in iManager Identity Manager gt Identity Manager berblick und klicken Sie auf Weiter 2 W hlen Sie das Treibersatzobjekt aus und klicken Sie auf Suchen 3 Klicken Sie auf die obere rechte Ecke des Treibersymbols und w hlen Sie anschlie end Eigenschaften bearbeiten Treibersatz DriverSet South novell Treiber starter Aktuellen Status abfragen crosoft ffSenschaften bearbeite Abbrechen Active Direct Active Directory entitlement 252 Novell Identity Manager 3 0 Administrationshandbuch 4 W hlen Sie Protokollierumfang auf der Registerkarte Identity Manager Objekt bearbeiten Active Directory TestDriverSet novell ERS ZN NETT Server Variablen Allgemein Treiberkonfiguration Globalkonfigurationswerte
323. ll Identity Manager 3 0 Administrationshandbuch Sicherheit Best Practices Abschnitt 7 1 Verwenden von SSL auf Seite 213 Abschnitt 7 2 Gesicherter Zugriff auf Seite 213 Abschnitt 7 3 Verwalten von Passw rtern auf Seite 214 Abschnitt 7 4 Erstellen von Richtlinien f r sichere Passw rter auf Seite 215 Abschnitt 7 5 Sicherheit auf verbundenen Systemen auf Seite 216 Abschnitt 7 7 Best Practices bei der Einrichtung von Sicherheitsma nahmen auf Seite 217 Abschnitt 7 8 berwachung von nderungen an sicherheitsrelevanten Daten auf Seite 217 7 1 Verwenden von SSL Aktivieren Sie SSL f r alle Transportverfahren f r die es zur Verf gung steht Verwenden Sie SSL f r die Kommunikation zwischen der Metaverzeichnis Engine und dem Remote Loader siehe Abschnitt 3 2 Sichere Datentransfers auf Seite 47 sowie zwischen der Metaverzeichnis Engine oder dem Remote Loader und den verbundenen Systemen Wenn Sie SSL nicht aktivieren werden die Daten z B Passw rter unverschl sselt gesendet 7 2 Gesicherter Zugriff Vergewissern Sie sich dass der Zugriff auf die Identit tsdepots und die Identity Manager Objekte sicher ist Physische Sicherheit Sch tzen Sie den Zugriff auf den physischen Speicherort der Server auf denen ein Identit tsdepot installiert ist Zugriffsrechte Zum Erstellen von Identity Manager Objekten und zum Konfigurieren von Treibern sind administrative Recht
324. lle den DSTrace Bildschirm oder die DSTrace Datei bei aktivierten Trace Optionen wie in den ersten Arbeitsschritten erl utert berzeugen Sie sich davon dass die Treiberkonfiguration die Passwortrichtlinien f r das Identity Manager Skript an der richtigen Stelle und in der richtigen Reihenfolge enth lt wie in Abschnitt 5 3 4 In der Treiberkonfiguration ben tigte Richtlinien auf Seite 94 beschrieben Vergleichen Sie die NMAS Passwortrichtlinie im Identit tsdepot mit etwaigen Passwortrichtlinien die von dem verbundenen System erzwungen werden und stellen Sie sicher dass diese kompatibel sind Keine Email Generierung bei Passwortfehlern Aktivieren Sie in DSTrace die Einstellung DXML um sich die Regelverarbeitung durch Identity Manager ansehen zu k nnen Stellen Sie die Identity Manager LDAP Trace Stufe f r den Treiber auf 3 ein berzeugen Sie sich davon dass die Regel f r das Erzeugen einer Email Benachrichtigung ausgew hlt ist berzeugen Sie sich davon dass das Identit tsdepot Objekt im Attribut Internet EMail Address die richtige Email Adresse des Benutzers enth lt Stellen Sie sicher dass der SMTP Server und die Email Schablone in der Aufgabe Benachrichtigungskonfiguration richtig konfiguriert sind Weitere Informationen hierzu finden Sie in Abschnitt 5 12 Konfigurieren der Email Benachrichtigung auf Seite 156 Fehler beim Ausf hren der Task Objektpasswort berpr fen Die T
325. lle Trace Protokolldateien MB IV Unbegrenzt 0 Trace Stufe Damit die Remote Loader Instanz ein Trace Fenster einblendet das Info Meldungen sowohl vom Remote Loader als auch vom Treiber enth lt legen Sie die Trace Stufe gr er Null fest Die gebr uchlichste Einstellung ist Trace Stufe 3 Wenn Trace Stufe 0 festgelegt ist werden im Trace Fenster keine Meldungen angezeigt Trace Datei Geben Sie den Namen einer Trace Datei an in die die Trace Meldungen geschrieben werden sollen Jede Instanz des Remote Loader die auf einem bestimmten Computer ausgef hrt wird muss eine andere Trace Datei verwenden Trace Meldungen werden nur dann in die Trace Datei geschrieben wenn die Trace Stufe gr er Null ist Einrichten eines verbundenen Systems 57 e Maximaler Festplattenspeicher f r alle Trace Protokolldateien MB Geben Sie die ungef hre Gr e der Trace Datei an die die Daten f r diese Instanz auf der Festplatte belegen d rfen Erstellen eines Remote Loader Services f r diese Treiber Instanz Abbildung 3 12 Remote Loader Service f r diese Treiber Instanz erstellen IV Remote Loader Service f r diese Treiber Instanz erstellen e Wahlen Sie diese Option um die Remote Loader Instanz als Service zu konfigurieren Wenn die Option aktiviert ist wird der Remote Loader beim Computerstart automatisch vom Betriebssystem gestartet Remote Loader Instanz bearbeiten 1 W hlen Sie die Remote Loader Instanz in der
326. lone verweisen Passwortsynchronisierung mit verbundenen Systemen 163 Eine M glichkeit um zuverl ssig alle auf die Email Benachrichtigungsschablonen verweisenden Richtlinien aufzufinden besteht darin die Treiberkonfiguration zu exportieren und anschlie end das XML Dokument nach Aktionen vom Typ do send e mail zu durchsuchen die eine Schablone des gleichen Namens wie die Schablone f r die Email Benachrichtigungen verwendet Klicken Sie in iManager auf Identity Manager gt Identity Manager berblick W hlen Sie den Treibersatz aus der den Treiber mit der zu bearbeitenden Richtlinie enth lt Klicken Sie auf das Symbol f r den Treiber mit der gew nschten Richtlinie kh OND Klicken Sie im Herausgeber oder Abonnentenkanal auf den Richtliniensatz der die gew nschte Richtlinie enth lt Die Treiberkonfiguration f r den mit Identity Manager gelieferten eDirectory Treiber enth lt beispielsweise im Richtliniensatz f r Eingabetransformationen eine Richtlinie die auf beide Email Benachrichtigungsschablonen zur Passwortsynchronisierung verweist 5 Klicken Sie auf die Richtlinie und anschlie end auf Bearbeiten Die folgende Abbildung zeigt das Bearbeiten der Richtlinie Password Pub Sub Email Notifications f r die eDirectory Treiber I isn gt Identity Manager Uberblick Auswahl Identity Manzger berblick Alle Kategorien Identity Manager Treiberuberblick 2 Benutzer S 5 Treiber
327. lt item gt lt item name responder dn protect yes gt PERIN TAO big org phb lt item gt lt item name responder dn protect yes gt PERIN TAO big org carol lt item gt lt item name subject name gt Joe The Intern lt item gt lt url query gt lt url data gt lt replacement data gt lt resource cid css 1 gt novdocmain css lt resource gt lt message gt lt message mime type text plain gt lt stylesheet gt process text template xsl lt stylesheet gt lt template gt txt_msg _template xml lt template gt lt replacement data gt lt item name manager gt JStanley lt item gt lt item name given name gt Joe lt item gt lt item name surname gt The Intern lt item gt lt url data gt lt item name file gt process template xsl lt item gt lt url query gt lt item name template gt form template xml lt item gt lt item name responder dn protect yes gt PERIN TAO big org phb lt item gt lt item name responder dn protect yes gt PERIN TAO big org carol lt item gt lt item name subject name gt Joe The Intern lt item gt lt url query gt lt url data gt lt replacement data gt lt message gt lt attachment gt HR gif lt attachment gt lt mail gt Der Abonnentenkanal des Service Treibers f r manuelle Aufgaben verwendet die im lt mail gt Element enthaltenen Informationen f r die Erstellung einer SMTP Email Ein
328. lt sr Identity Manager Treiber f r SIF Server Server Remote Loader Identity Manager Treiber f r Active Directory Einrichten eines verbundenen Systems 45 Ein verbundenes System erfordert einen Remote Loader Dieser Dienst erm glicht es der Metaverzeichnis Engine Daten mit Identity Manager Treibern auszutauschen die als unterschiedliche Prozesse und an unterschiedlichen Stellen ausgef hrt werden e Als separate Prozesse auf dem Server auf dem die Metaverzeichnis Engine ausgef hrt wird Die Metaverzeichnis Engine wird als Teil des eDirectory Prozesses ausgef hrt Die Identity Manager Treiber k nnen auf dem Server ausgef hrt werden auf dem die Metaverzeichnis Engine l uft Sie k nnen sogar Teil desselben Prozesses sein in dem die Metaverzeichnis Engine ausgef hrt wird Aus strategischen Gr nden sollten die Identity Manager Treiber als separater Prozess auf dem Server ausgef hrt werden Die Identity Manager Treiber werden in der Regel jedoch auf separaten Servern ausgef hrt Wenn der Treiber als separater Prozess ausgef hrt wird stellt der Remote Loader einen Kommunikationskanal zwischen der Metaverzeichnis Engine und dem Treiber zur Verf gung e Auf Servern bei denen es sich nicht um den Server handelt auf dem die Metaverzeichnis Engine ausgef hrt wird Einige der Identity Manager Treiber k nnen nicht ausgef hrt werden wenn die Metaverzeichnis Engine l uft Mithilfe des Remote Loader k n
329. lt wenn die Operation selbst wiederholt wird Debug Meldungen zu Email Benachrichtigungen werden trotzdem in die Trace Datei geschrieben Treiberkonfiguration 1 Stellen Sie sicher dass die erforderlichen Passwortsynchronisierungsrichtlinien f r das Identity Manager Skript in den Treiberkonfigurationen aller Treiber enthalten sind die an der Passwortsynchronisierung teilnehmen sollen Die Richtlinien m ssen sich in der Treiberkonfiguration an der richtigen Stelle und in der richtigen Reihenfolge befinden Eine Aufstellung der Richtlinien finden Sie in Abschnitt 5 3 4 In der Treiberkonfiguration ben tigte Richtlinien auf Seite 94 Die Identity Manager Beispielkonfigurationen enthalten die Richtlinien bereits Wenn Sie einen vorhandenen Treiber upgraden k nnen Sie die Richtlinien wie in Abschnitt 5 7 Upgrade bestehender Treiberkonfigurationen zur Unterst tzung der Passwortsynchronisierung auf Seite 106 beschrieben hinzuf gen 2 Stellen Sie den Filter f r das Attribut nspmDistributionPassword richtig ein e Setzen Sie den Filter auf dem Herausgeberkanal bei allen Objektklassen f r das Attribut nspmDistributionPassword auf Ignorieren e Setzen Sie den Treiberfilter auf dem Abonnentenkanal bei allen Objektklassen die Passwort nderungen abonnieren sollen f r das Attribut nspmDistributionPassword auf Benachrichtigen Klasse hinzuf gen Attribut bearb L schen Filter kopieren von Scha
330. m ssen Der Treiber liest die Schablonen und die SMTP Serverdaten nur beim Starten ein 5 12 4 Bereitstellen von SMTP Authentifizierungsdaten in Treiberrichtlinien Legen Sie den Benutzernamen und das Passwort f r den SMTP Server wie in Abschnitt 5 12 2 Den SMTP Server f r das Senden von Email Benachrichtigungen einrichten auf Seite 158 beschrieben fest Diese Angaben reichen f r Email Benachrichtigungen in Verbindung mit der Funktion Passwort vergessen aus F r Email Benachrichtigungen in Verbindung mit Passwortsynchronisierungen m ssen Sie jedoch das Passwort auch in die Treiberrichtlinien aufnehmen Die Metaverzeichnis Engine kann auf den Benutzernamen nicht jedoch auf das Passwort zugreifen Dieses muss von der Treiberrichtlinie bereitgestellt werden Sie m ssen diesen Ablauf in den folgenden Situationen einhalten Der SMTP Server ist gesichert und verlangt vor dem Senden von EMails eine Authentifizierung e Sie verwenden die Identity Manager Passwortsynchronisierung mit einem Identity Manager Treiber e Sie haben in den Einstellungen des Treibers f r die Passwortsynchronisierung die Option Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen ausgew hlt So nehmen Sie das Passwort f r den SMTP Server in die Treiberrichtlinie auf 1 Stellen Sie sicher dass der Treiber die zur Passwortsynchronisierung erforderlichen Richtlinien enth lt Diese Richtlinien sind in der Beispiel Treiberk
331. m ssen Sie angeben in welcher Kodierung die Email erstellt werden soll F gen Sie dazu eine entsprechende Einstellung in der Datei portalservlet properties ein Zum Beispiel ForgottenPassword MailEncoding EUC JP Wenn diese Einstellung nicht vorhanden ist erfolgt die Mail Transformation ohne Kodierung Bei Email Benachrichtigungen zur Passwortsynchronisierung kann f r folgende Elemente das XML Attribut charset angegeben werden lt mail gt lt message gt und lt gt Informationen zur Verwendung dieser Elemente finden Sie im DirXML Driver for Manual Task Service Implementation Guide http www novell com documentation dirxmldrivers index html Implementierungshandbuch zum DirXML Service Treiber f r manuelle Aufgaben In diesem Handbuch wird ausf hrlicher auf Email Schablonen eingegangen 5 13 Fehlersuche bei der Passwortsynchronisierung Beachten Sie die Tipps in Abschnitt 5 8 Implementierung der Passwortsynchronisierung auf Seite 115 Achten Sie darauf dass die Methode der Anmeldung mit einfachem Passwort zusammen mit NMAS installiert wurde Stellen Sie sicher dass Sie ber eine Kopie des Stamms der Baumstruktur auf den Servern verf gen auf denen NMAS Passwortrichtlinien bei eDirectory Anmeldemethoden oder bei Passw rtern aus verbundenen Systemen erzwungen soll die von Identity Manager synchronisiert werden Stellen Sie sicher dass die Benutzer bei denen eine Passwortsynchronisierung erf
332. m Befehl ps oder mit einer Trace Datei pr fen ob die Befehls und Verbindungs Ports berwacht werden Unter HP UX und hnlichen Plattformen k nnen Sie den Java Remote Loader berwachen indem Sie den Befehl tail auf die Trace Datei anwenden tail f trace filename Wenn in der letzten Zeile des Protokolls der nachfolgende Eintrag angezeigt wird l uft der Loader ordnungsgem und wartet auf die vom Identity Manager Remote Schnittstellenmodul kommenden Verbindungen TRACE Remote Loader Entering listener accept Informationen zum Konfigurieren von Remote Loader rdxml dass er unter UNIX automatisch gestartet wird finden Sie in TID 10097249 http support novell com cgi bin search searchtid cgi 10097249 htm Stoppen des Remote Loader Plattform Befehl Windows Stoppen Sie eine Treiber Instanz in der Remote Loader Konsole Solaris Linux AIX rdxml config Pfad_zur_Konfigurationsdatei u HP UX AS 400 OS 390 dirxml jremote config Pfad_zur_Konfigurationsdatei u z OS Wenn mehrere Remote Loader Instanzen auf dem Computer ausgef hrt werden bergeben Sie den Befehl cp Befehls Port sodass die entsprechende Instanz vom Remote Loader gestoppt werden kann Wenn Sie den Remote Loader stoppen m ssen Sie entweder ber ausreichende Rechte verf gen oder das Remote Loader Passwort eingeben Szenario Ausreichende Rechte Der Remote Loader l uft als Windows Dienst Sie besitzen gen gend Rechte den Dien
333. m Novell Audit Report Arbeitsbereich auf die Registerkarte Events und erweitern Sie den Ordner DirXML Protokollierung und Berichterstellung mit Novell Audit 259 Diese Liste enth lt alle vordefinierten Identity Manager Ereignisse Doppelklicken Sie auf ein Ereignis in der Liste um die Ereigniseigenschaften anzuzeigen 2 Wenn Sie ein Identity Manager Ereignis abfragen m chten klicken Sie im Arbeitsbereich mit der rechten Maustaste auf das Ereignis und w hlen Sie Define Ouery 3 Der Abfrageexperte wird ge ffnet Geben Sie einen Zeitrahmen an und best tigen Sie das Ereignis 4 Sie f hren die Abfrage aus indem Sie im Arbeitsbereich die Registerkarte Ouery ausw hlen mit der rechten Maustaste auf den Abfragenamen klicken und anschlie end Run ausw hlen Abfragen k nnen aber mithilfe von SQL Anweisungen erstellt werden Alle Identity Manager Ereignisse haben eine dezimale Ereignis ID deren g ltige Werte zwischen 109608 und 262144 liegen 10 6 Senden von Benachrichtigungen bei Eintritt eines Ereignisses Novell Audit bietet die M glichkeit Benachrichtigungen zu senden wenn ein bestimmtes Ereignis eintritt bzw nicht eintritt Benachrichtigungen werden infolge eines Ereignisses oder mehrerer Ereignisse und auf Grund von mit den Ereignissen verbundenen Werten gesendet Benachrichtigungen k nnen an jeden beliebigen Protokollierungskanal gesendet werden d h Sie k nnen Benachrichtigungen an eine Datenbank eine Java Anwendung ein
334. m das nicht regelkonforme Passwort auf das aktuelle 80 Novell Identity Manager 3 0 Administrationshandbuch Verteilungspasswort aus dem Identit tsdepot zur cksetzt wenn das ber Identity Manager ver ffentlichte Passwort nicht der Richtlinie entspricht Angenommen Sie m chten erzwingen dass Passw rter mindestens ein numerisches Zeichen enthalten Das verbundene System kann jedoch eine solche Richtlinie nicht erzwingen Aus diesem Grund legen Sie fest dass Identity Manager Passw rter von diesem verbundenen System zur cksetzen soll wenn sie nicht den in der Richtlinie definierten Regeln entsprechen Bei Verwendung von erweiterten Passwortregeln und der Passwortsynchronisierung von Identity Manager empfehlen wir dar ber hinaus dass Sie die Passwortrichtlinien f r alle verbundenen Systeme untersuchen um sicherzustellen dass die erweiterten Passwortregeln in der eDirectory Passwortrichtlinie regelkonform sind Auf diese Weise wird gew hrleistet dass Passw rter erfolgreich synchronisiert werden k nnen Sie m ssen auch sicherstellen dass Benutzer f r die NMAS Passwortrichtlinien gelten mit den Benutzern bereinstimmen f r die die Passwortsynchronisierung mit verbundenen Systemen ausgef hrt werden soll NMAS Passwortrichtlinien werden baumspezifisch zugewiesen Die Passwortsynchronisierung hingegen wird pro Treiber konfiguriert Treiber werden au erdem serverspezifisch installiert und k nnen nur solche Benutzer verwalten
335. md Dienstprogramm kann das Anwen dungspasswort und das Remote Loader Passwort festgelegt werden Das Treiberobjektpasswort kann mit diesem Dienstprogramm nicht eingerichtet wer den Es zeigt aber an ob es festgelegt wurde oder nicht Beendet das aktuelle Men Sie gelangen zur ck zu den Treiberoptionen DirXML Befehlszeilenprogramm 271 Tabelle A 4 Cache Vorgdnge Vorgang Beschreibung 1 Get driver cache limit 2 Set driver cache limit 3 View cached transactions 4 Delete cached transactions 99 Exit Abbildung A 5 Protokollereignisvorg nge ct a log events operation log even t driver log events set driver log events Enter choice 272 Novell Identity Manager 3 0 Administrationshandbuch Gibt die aktuelle Cache Gr e f r den Treiber an Legt die Treiber Cache Gr e in Kilobyte fest 0 f r unbegrenzt Es wird eine Textdatei mit den Ereignissen erstellt die im Cache gespeichert sind Sie k nnen die Anzahl der anzuzeigenden Transaktionen ausw hlen Enter option token default 0 Geben Sie das Options Token an Standard 0 Enter maximum transactions records to return default 1 Geben Sie die maximale Anzahl der Transaktionsdatens tze ein die zur ck zugeben sind Standard 1 Enter name of file for response Geben Sie den Namen der Datei f r Antworten ein L scht die im Cache gespeicherten Transaktionen Enter position token default 0 Geben Sie da
336. mdrivers index html Konventionen in der Dokumentation In dieser Dokumentation dient das Symbol gr er als gt zur Trennung von Aktionen innerhalb eines Schritts sowie von Objekten in einem Querverweispfad Ein Markensymbol usw kennzeichnet eine Marke von Novell Drittanbieter Marken sind durch ein Sternchen gekennzeichnet 8 Novell Identity Manager 3 0 Administrationshandbuch berblick ber die Identity Manager 3 0 Architektur Identity Manager umfasst drei Hauptkomponenten e Abschnitt 1 2 Identity Manager auf Seite 10 Abschnitt 1 3 Benutzeranwendung auf Seite 18 Abschnitt 1 4 Designer auf Seite 18 1 1 Terminologie nderungen im Vergleich zu fr heren Versionen Diesen Abschnitt m ssen Sie nur lesen wenn Sie bereits mit DirXML 1 1a oder Identity Manager 2 0 gearbeitet haben In DirXML 1 1a wurde der Begriff Regel verwendet um je nach Kontext einen Regelsatz die einzelnen Regeln in einem Satz und die Bedingungen und Aktionen innerhalb der einzelnen Regeln zu beschreiben Diese berschneidung f hrte bei fehlendem Kontext zu Verwechslungen In Identity Manager 2 wurde bei der Beschreibung der bergeordneten Transformation der Begriff Regel durch den Begriff Richtlinie ersetzt Sie definieren nun einen Richtliniensatz wobei jede Richtlinie eine oder mehrere Regeln enth lt Der Begriff Regel wird jetzt nur zur Beschreibung einzelner Bedingungen
337. ment Fehler auftreten Email senden wenn beim Zur cksetzen des Passworts des verbundenen Systems mit dem Passwort der Identity Man ager Datenablage Fehler auftreten Ausgabetransformation Password Sub Pub Email Email senden wenn bei Pass Notifications wortver ffentlichungen Fehler auftreten Passwortsynchronisierung mit verbundenen Systemen 161 Die folgende Abbildung zeigt ein Beispiel f r eine Aktion vom Typ Email aus Schablone senden f r die das Passwort erforderlich ist Regel Builder Beschreibung Autor TI Send e mail on a failure when subscribing to password Version Zuletzt geandert Bedingungsgruppe anf gen a A Bedingungsgruppe 1 3 2 C Wen Aktion B See z nn XPATH Ausdruck _ S 2 HAA sof status level succese ext0 Voperaton data Ea Aktionen Ausf hren Email aus Schablone senden v EB Hag Benachrichtigungs DN eingeben cn security cn Default Notification Collection Bia Schablonen DN eingeben cn security cn Default Notification Collection cn Passwo Bf Passwort eingeben Zeichenketten eingeben UserFullName UserGivenName UserLastName Connect A Das Passwort wird unkenntlich gemacht wenn es im Identit tsdepot gespeichert wird 9 W hlen Sie die Regel aus und klicken Sie auf OK 5 12 5 Hinzuf gen eigener Platzhalter Tags zu Email Benachrichtigungsschablonen Die Email Benachrichtigungsschablonen enthal
338. mentiert wird Eine Regel besteht aus einem Satz zu testender Bedingungen und einem geordneten Aktionssatz der ausgef hrt wird wenn die Bedingungen zutreffen EE E Neue Regel anf gen Entfernen _ Speichem unter Einf gen v Namespaces bearbeiten Richtlinienregeln Oe Email bei Fehler mit dem Passwortabonnement senden a ga Email senden wenn beim Zur cksetzen des Passworts des verbundenen Systems mit dem Passwort der Identity Manager Datenablage Fehler auftreten Wenn Sie auf die erste Regel klicken wird die folgende Seite angezeigt Regel Builder Beschreibung Autor Version Zuletzt geandert W UND Bedingungen ODER Gruppen a Bedingungsgruppe anf gen Erforderlich 9 Bedingungseruppe 1 13 EE A e Globalkonfigurationswert el Bae notify user on password dist failure a Ungeachtet Gro Kleinschreibung alfa a Seo status T XPATH Ausdruck va Diale Wahr v B self status level success text Joperation data Aktionen i Passwortsynchronisierung mit verbundenen Systemen 165 7 Bl ttern Sie zum Abschnitt Aktionen Regel Builder am Autor Version Zuletzt ge ndert Bedingungsgruppe anf gen Erforderlich A Bedingungsgruppe 1 53 Be 2 Wen Am Gleich gt XPATH Ausdruck vye Beale self status level I success text operation data Aktionen Ausf hren Email aus
339. message gt Elemente zur Verf gung gestellt wenn eine SMTP Nachricht mit alternativen Darstellungen des Nachrichtentexts erstellt wird z B einfacher Text und HTML oder Englisch und eine weitere Sprache lt message gt Attribute mime type In diesem optionalen Attribut wird der MIME Typ des Nachrichtentexts festgelegt der durch das lt message gt Element erzeugt wird z B text plain oder text html Ist dieses Attribut nicht vorhanden versucht der Treiber den MIME Typ automatisch zu ermitteln Email Clients k nnen zur besten Darstellung f r die Anzeige den MIME Typ verwenden sofern eine SMTP Nachricht ber alternative Darstellungen verf gt language Dieses optionale Attribut legt die Sprache fest in der der Nachrichtentext durch das lt message gt Element erzeugt wird Der Wert sollte die SMTP Spezifikation ber cksichtigen Wenn das Attribut nicht vorhanden ist wird der Standardwert f r die Sprache angegeben Email Clients k nnen zur besten Darstellung f r die Anzeige die Sprachangabe verwenden sofern eine SMTP Nachricht ber alternative Darstellungen verf gt G 9 lt stylesheet gt Das lt stylesheet gt Element ist dem lt message gt Element untergeordnet Das lt stylesheet gt Element enth lt den Namen einer XSLT Formatvorlage die zur Erstellung des Nachrichtentexts verwendet wird Wenn das lt stylesheet gt Element nicht vorhanden ist wird process_template xsl als Formatvorlage verwendet G 10 lt
340. mmte Ereignisse protokol tellt lieren verwenden und das entsprechende Ereignis ausw hlen Remote Loader Connection LOG_INFO Wenn Sie protokollieren m chten wenn Remote Dropped Remote Loader Loader Verbindungen unterbrochen werden m s Verbindung unterbrochen sen Sie die Option Bestimmte Ereignisse protokol lieren verwenden und das entsprechende Ereignis ausw hlen Weitere Informationen zum Erstellen von Novell Audit Benachrichtigungen basierend auf diesen Ereignissen finden Sie in Abschnitt 10 6 Senden von Benachrichtigungen bei Eintritt eines Ereignisses auf Seite 260 10 4 2 Benutzerdefinierte Ereignisse Mit Identity Manager k nnen Sie eigene Ereignisse konfigurieren die in Novell Audit protokolliert werden sollen Ereignisse k nnen ber eine Aktion im Richtlinien Builder oder innerhalb einer Formatvorlage protokolliert werden Alle Informationen auf die Sie bei der Definition von Richtlinien zugreifen k nnen k nnen protokolliert werden Ereignis IDs Die Ereignis IDs zwischen 1000 und 1999 sind f r benutzerdefinierte Ereignisse bestimmt Geben Sie bei der Definition Ihrer eigenen Ereignisse einen Wert an der innerhalb dieses Bereichs liegt In Novell Audit ist diese ID mit der Anwendungs ID 003 f r Identity Manager kombiniert Protokollierumfang Mithilfe des Protokollierumfangs k nnen Sie Ereignisse nach dem protokollierten Ereignistyp gruppieren Es sind folgende vordefinierte Protokollierumf nge verf gb
341. mote Loader Instanz verwendeten TCP IP Port an 58 Novell Identity Manager 3 0 Administrationshandbuch Option Kurzform Parameter Beschreibung command cp Portnummer Gibt den TCP IP Port an der von der Remote port Loader Instanz zu Steuerungszwecken verwendet wird Wenn die Remote Loader Instanz ein Anwen dungsschnittstellenmodul hostet ist der Befehls Port der Port Uber den eine andere Remote Loader Instanz mit der Instanz kommuniziert die das Schnittstellenmodul hostet Wenn die Remote Loader Instanz einen Befehl an eine Instanz sen det die ein Anwendungsschnittstellenmodul hostet ist der Befehls Port der Port der von der Host Instanz Uberwacht wird Wenn kein Port angegeben ist wird standardm ig Befehls Port 8000 verwendet Durch die Angabe unterschiedli cher Verbindungs und Befehls Ports k nnen auf dem Server auf dem unterschiedliche Treiberin stanzen gehostet werden mehrere Instanzen des Remote Loader ausgef hrt werden Beispiel commandport 8001 cp 8001 4 Geben Sie mithilfe der Option connection die Parameter f r die Verbindung zum Metaverzeichnis Server an auf dem das Identity Manager Remote Schnittstellenmodul ausgef hrt wird Geben Sie connection parameter parameter parameter ein Geben Sie beispielsweise Folgendes ein connection port 8091 rootfile serverl pem conn port 8091 rootfile serverl pem Alle Parameter m ssen in Anf hrungszeichen gesetzt werden Die folgenden
342. ms Live Operations 5 Import Driver Configuration from File oper Iai Architec re Export Driver Set to Configuration File G Show Help Key Modeler Preferences Output Properties 1 Klicken Sie in Designer mit der rechten Maustaste auf einen Treibersatz und w hlen Sie Properties Eigenschaften type filter text x 3 Driver Set Log Level 1 General 2 Global Configuration Ye 3 Driver Set Log Level C Log errors z 4 Server List E Log errors and warnings 5 Trace Log specific events Only update last log time Turn logging off Maximum number of entries in the log 50 500 50 2 W hlen Sie Driver Set Log Level Protokollierumfang f r Treibersatz und anschlie end Log Specific Events Bestimmte Ereignisse protokollieren 220 Novell Identity Manager 3 0 Administrationshandbuch 3 Klicken Sie auf das Symbol Zu protokollierende Ereignisse ausw hlen Ekoa events x Engine Events IV Start Driver IV Engine Warnings Status Events Success V Error Operation Events I Search IV Modify I Add Association IV Check password IV Sync Add value fon add vs IV Get Named Password ws Transformation Events J Initial Document 7 Event J Input Mapping I Command J Resync Request Password Reset IV Stop Driver I Retry IV Fatal I Add I Rename J Remove Association I check object password J Custom Operation I Rem
343. n Der Name des GCV lautet enable password subscribe und der Anzeigename lautet Anwend ung akzeptiert Passw rter von Identity Manager F gt Passwortnutzlastdaten ein die in der Engine zum Zwecke der Email Benachrichtigung durchgereicht werden Im Abonnenten Ausgabetransformationsrichtliniensatz ben tigte Richtlinien Wir empfehlen die Email Benachrichtigungsrichtlinie Password Sub Pub an die letzte Stelle zu setzen wenn die Ausgabetransformation mehrere Richtlinien enth lt Novell Identity Manager 3 0 Administrationshandbuch Tabelle 5 10 Im Abonnenten Ausgabetransformationsrichtliniensatz ben tigte Richtlinien Position in der Name der z x Passwortsynchronisierungsrichtlin Auswirkung der Richtlinie Treiberkonfiguration ie Abonnenten Ausgabetransforma Password Sub Pub Email Notifi Wenn die Passwort Nutzlast tion cations daten durchgereicht werden und der Status ein Problem erkennen l sst wird eine Email an den Benutzer gesendet Diese Richtlinie verwendet den GCV notify user on password dist failure um festzustellen ob Email Benachrichtigungen gesendet werden m ssen 5 3 5 Filter die auf dem verbundenen System installiert sein m ssen zum Erfassen von Passw rtern F r AD NT Domain und NIS m ssen Filter installiert werden um das Passwort des Benutzers erfassen zu k nnen Weitere Informationen hierzu finden Sie in Abschnitt 5 9 Einrichten von Passwortfiltern auf Seit
344. n Objektpasswort berpr fen ausf hrt Stellen Sie sicher dass das verbundene System das berpr fen von Passw rtern unterst tzt Weitere Informationen hierzu finden Sie in Abschnitt 5 2 Unterst tzung von verbundenen Systemen bei der Passwortsynchronisierung auf Seite 86 Wenn das Treibermanifest nicht anzeigt dass das verbundene System das berpr fen von Passw rtern unterst tzt kann diese Operation ber iManager nicht ausgef hrt werden Wenn die Task Objektpasswort berpr fen den Code 603 zur ckgibt fehlt im Identit tsdepot Objekt das Attribut nspmDistributionPassword berpr fen Sie den Filter f r das Identity Manager Attribut und die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren innerhalb der Passwortrichtlinie Wenn die Aktion Objektpasswort berpr fen die Meldung Nicht synchronisiert zur ckgibt vergewissern Sie sich dass die Treiberkonfiguration die entsprechenden Identity Manager Passwortsynchronisierungsrichtlinien enth lt Vergleichen Sie die Passwortrichtlinie im Identit tsdepot mit etwaigen Passwortrichtlinien die von dem verbundenen System durchgesetzt werden um sicherzustellen dass die Richtlinien kompatibel sind Die Aktion Objektpasswort berpr fen berpr ft das Verteilungspasswort Wenn das Verteilungspasswort nicht aktualisiert wird meldet die Aktion Objektpasswort berpr fen eventuell nicht dass die Pass
345. n L schen Neu starten v Reproduktionsverwaltung gt LB fe ttemet 4 Klicken Sie auf Schlie en um den Treiber neu zu starten Die nderungen an der Priorit t werden erst nach einem Neustart des Treibers wirksam 6 9 Fehlersuche bei funktionsbasierten Berechtigungen Beachten Sie bei der Fehlersuche die folgenden Punkte Wenn Sie Richtlinien auf der Seite mit der Richtlinienliste durch Klicken auf Neu Bearbeiten oder Entfernen ndern wird der Berechtigungs Service Treiber angehalten Der Treiber wird erst neu gestartet wenn Sie auf dieser Seite auf Neustart klicken Diese Funktion verhindert dass der Treiber Berechtigungen in Ihrer Produktionsumgebung erteilt oder entzieht solange die nderungen der Richtlinien noch nicht abgeschlossen sind Erstellung und Verwendung von Berechtigungen 209 e Aus demselben Grund kann der Berechtigungs Service Treiber nicht gestartet werden wenn mehrere Personen gleichzeitig die Berechtigungsrichtlinien zu bearbeiten versuchen e Da je Treibersatz ein Berechtigungs Service Treiber verwendet wird kann eine Berechtigungsrichtlinie nur diejenigen Benutzer verwalten die sich in einer Lese Schreib oder in einer Masterreproduktion auf dem Server befinden der dem betreffenden Treibersatz zugeordnet ist 6 10 Berechtigungselemente die f r funktionsbasierte Berechtigungen und f r Workflow basierte Bereitstellungsberechtigungen gelten Die nachstehenden Informationen bezi
346. n Standard SD Description C Identit tsdepot xi Um das Attribut sehen zu k nnen m ssen Sie eventuell zur betreffenden Klasse z B User bl ttern und diese ausw hlen bevor Sie durch die Attribute bl ttern Wenn das Attribut nspmDistributionPassword nicht aufgef hrt ist 1a Vergewissern Sie sich dass die Klasse ausgew hlt ist und klicken Sie auf Attribut hinzuf gen 1b W hlen Sie das Attribut nspmDistributionPassword aus und klicken Sie auf OK Passwortsynchronisierung mit verbundenen Systemen 111 2 Setzen Sie f r alle Objekte bei denen der Wert Benachrichtigen f r das Attribut nspmDistributionPassword eingestellt ist die Attribute ffentlicher Schl ssel und Privater Schl ssel auf Ignorieren Klasse hinzufiigen Attribut bearb L schen Filter kopieren von Schablone festlegen SOL Security Equals Klassenname User l ED see also Attributname Attributinformationen ED siretocation Anwendungsname SD Surname a KED Telephone Number k Ver ffentlichen 18 Synchronisieren ED private ke Ignorieren aB y O Benachrichtigen ce 4 os Lb somlstributienPesword iS O Zur cksetzen do DirXiML pbxExtension A Abonnieren description Synchronisieren GE disptayName D Ignorieren birmL nwoPhoneType gt O Benge Leh eat 7 Y O Zur cksetzen GD dirnxiit nwoRestrictionClass 4 GO oism nwostatus 5 Zusamme
347. n der im Parame ter keystore festgelegt ist Beispiel storepass MeinPasswort Diese Option gilt nur f r den Java Remote Loader trace t Ganzzahl Gibt die Trace Stufe an Diese Option wird nur beim Hosten eines Anwendungsschnittstellenmoduls ver wendet Die Trace Stufen entsprechen den auf dem Metaverzeichnis Server verwendeten Trace Stufen Beispiel trace 3 t 3 tracechange tc Ganzzahl Weist eine Remote Loader Instanz an die ein Anwendungsschnittstellenmodul hostet ihre Trace Stufe zu andern Die Trace Stufen entsprechen den auf dem Metaverzeichnis Server verwendeten Trace Stufen Beispiel tracechange 1 tc 1 tracefile tf Dateiname Gibt eine Datei an in die die Trace Meldungen geschrieben werden sollen Trace Meldungen wer den in die Datei geschrieben wenn die Trace Stufe gr er als Null ist Trace Meldungen werden auch bei geschlossenem Trace Fenster in die Datei geschrieben Beispiel tracefile c temp trace txt tf c temp trace txt tracefilechange tfc Keine oder Weist eine Remote Loader Instanz die ein Anwend Dateiname ungsschnittstellenmodul hostet an eine Trace Datei 284 Novell Identity Manager 3 0 Administrationshandbuch zu verwenden oder eine bereits ge ffnete Datei zu schlie en und eine neue zu verwenden Wenn diese Option ohne Argumente verwendet wird schlie t die Host Instanz alle ge ffneten Trace Dateien Beispiel tracefilechange c temp newtrace txt tfc c temp newtrace t
348. n verwendet Gibt den Dateinamen des Java Keystores an der das Herkunftsverb rgungszertifikat des Herausge bers des Zertifikats enth lt das vom Remote Schnittstellenmodul verwendet wird Dies ist in der Regel die Zertifizierungsstelle des eDirectory Baums der das Remote Schnittstellenmodul hostet Wenn Sie SSL ausf hren und den Remote Loader f r die Kommunikation mit einem Java Treiber ben tigen geben Sie ein Schl ssel Wert Paar ein store keystore keystorename pass passwort Konfigurationsoptionen f r einen Remote Loader 281 Option Kurzform Parameter Beschreibung module m Modulname password p Passwort port Dezimale Port nummer rootfile 282 Novell Identity Manager 3 0 Administrationshandbuch Gibt das Modul an in dem das zu hostende Identity Manager Anwendungsschnittstellenmodul enthalten ist Bei einem nativen Treiber k nnen Sie beispiels weise eine der folgenden Optionen angeben module c Novell Remote Loader Exchange5Shim dil m c Novell Remote Loader Exchange5Shim dil oder module usr lib dirxml NISDriverShim so m usr lib dirxml NISDriverShim so Die Option module verwendet ein rootfile Zerti fikat Die Optionen module und class schlie en sich gegenseitig aus Gibt das Passwort f r die Befehlsauthentifizierung an Dieses Passwort muss dasselbe Passwort sein das mit setpasswords f r die Loader Instanz angegeben wurde die Ziel
349. n Identity Manager zur ckgegebene lt status gt Element ber Inhalt verf gt Das item Element post status message wird in der Regel bei der Erstellung der Webseite verwendet die als Ergebnis der HTTP POST Anforderung zur ckgegeben wird url Der Webserver des Herausgeberkanals erstellt w hrend der Verarbeitung von HTTP GET und HTTP POST Anforderungen ein Element vom Typ lt item name url gt und f gt es dem replacement data Dokument hinzu Das lt item gt Element wird hinzugef gt bevor Dokumente anhand des replacement data Dokuments erstellt werden Schema Host und Port der URL werden durch die Webserver Konfiguration festgelegt url base Der Webserver des Herausgeberkanals erstellt w hrend der Verarbeitung von HTTP GET und HTTP POST Anforderungen ein Element vom Typ lt item name url base gt und f gt es zum replacement data Dokument hinzu Das lt item gt Element wird hinzugef gt bevor Dokumente anhand des replacement data Dokuments erstellt werden Der Inhalt des lt item gt Elements url base auf dem Herausgeberkanal und der Inhalt des lt item gt Elements url sind identisch 328 Novell Identity Manager 3 0 Administrationshandbuch Service Treiber f r manuelle Aufgaben Aktionselemente der Schablone Aktionselemente sind Namespace qualifizierte Elemente in einem Schablonendokument die zur einfachen Logiksteuerung oder zur Erstellung von HTML Elementen f r HTML Form
350. n Inhalt ausf hrlich beschrieben Wenn bei einem Element keine Attribute aufgef hrt sind sind f r das entsprechende Element keine Attribute definiert G 1 lt mail gt Im lt mail gt Element und seinem Inhalt werden die Daten beschrieben die zur Erstellung einer SMTP Nachricht erforderlich sind lt mail gt Attribute sre dn Enth lt den DN Wert des eDirectory Objekts das die Email ausl st Dieses Attribut ist erforderlich wenn die Objektdaten als Antwort auf die Email ber den Webserver des Herausgeberkanals ge ndert werden sollen G 2 lt to gt Das lt to gt Element ist dem lt mail gt Element untergeordnet Die Email Adressen der Hauptempf nger der SMTP Nachricht sind in einem oder mehreren lt to gt Elementen enthalten Mindestens ein lt to gt Element ist obligatorisch Alle lt to gt Elemente k nnen nur jeweils eine Email Adresse enthalten G 3 lt cc gt Das lt cc gt Element ist dem lt mail gt Element untergeordnet Es k nnen keine oder mehrere lt cc gt Elemente vorhanden sein in denen die Email Adressen der Empf nger enthalten sind die im cc Feld der SMTP Nachricht aufgef hrt werden Das lt cc gt Element ist optional Alle lt cc gt Elemente k nnen nur jeweils eine Email Adresse enthalten G 4 lt bcc gt Das lt bcc gt Element ist dem lt mail gt Element untergeordnet Es k nnen keine oder mehrere lt bcc gt Elemente vorhanden sein in denen die Email Adressen der Empf nger enthalte
351. n den Webserver des Herausgeberkanals a Der Webserver erzeugt das folgende Ersetzungsdatendokument Die meisten Datenelemente stammen aus dem Abfrageteil der URL Ausnahmen hiervon sind die automatisch generierten item Elemente url und url base lt replacement data gt lt item name association gt 45f0e3 ee45e07709 7 192 168 0 1 lt item gt lt item name protected data gt rO0OABXNyABlqgYXZheC5JjJcnlwdG8uU2VhbGVKT2JqzWNOPJY9psO3VHACA ARbAA11bmNVZGVkUGFyYW1ZAAACWOJbABBIlbmNyeXBOZWRDb250ZWS0OCOB AAFM AAlwYXJhbXNBbGA0OABJMamF2YS9sYW5SnLINOcmluZzztMAAdZZWFSOWxncOB AAJ ACHVyAAJbogzzF gGCFTgAgAAeHAAAAAPMAOECIr92Z21iG O3BAgEKAXEAfgAEAAAAUMU SoFRkebvh2d5SqalF91ttjRY5lyyw5t FifOuDdYikYiDbOJb6607S0dPHJOzeVgub ptIvGqaEQOE B jDkY i4VoVjUSXS3 a8fiXB8moMdPtLJ GyE8QiwbT4xbkQOy48i02k99F2vGmlenRpSP6dD31k213dpJ0mGgq2yL eFaynKyqnjkHLMexcqD8W1VooaRl1k2RPk5SvVDYvC802bn220KKbOnSRMSYIPSOI WZx00JVcnVVytOAANOOkVOABBOOkKVXaXRoTUQLOWSKREVT lt item gt lt item name template gt form template xml lt item gt lt item name responder dn gt PERIN TAO novell Provo phb lt item gt lt item name responder dn gt PERIN TAO novell Provo carol lt item gt lt item name subject name gt Joe the Intern lt item gt lt item name url base gt https 192 168 0 1 8180 lt item gt lt item name url gt https 192 168 0 1 8180 lt item gt lt replacement d
352. n k nnen Anwendung akzeptiert Passw rter Abonnentenkanal Diese Einstellungen erm glichen die Passwortsynchronisierung in beide Richtungen wenn diese vom verbundenen System unterst tzt wird Sie k nnen die Einstellungen an Ihre Gesch ftsrichtlinien f r die autorisierte Quelle f r Passw rter anpassen Wenn ein verbundenes System Passw rter z B nur abonnieren jedoch nicht ver ffentlichen soll w hlen Sie nur die Option Anwendung akzeptiert Passw rter Abonnentenkanal 4 Legen Sie mit den Optionen unter Verteilungspasswort f r die Passwortsynchronisierung verwenden fest ob NMAS Passwortrichtlinien erzwungen oder ignoriert werden sollen 5 Sofern zutreffend Wenn Sie festgelegt haben dass Passwortrichtlinien erzwungen werden sollen m ssen Sie auch angeben ob Identity Manager das Passwort des verbundenen Systems zur cksetzen soll wenn es nicht regelkonform ist 6 Optional W hlen Sie gegebenenfalls Folgendes aus Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen Denken Sie daran dass das Attribut Internet Email Adresse im Benutzerobjekt in eDirectory mit einem Wert belegt sein muss damit Email Benachrichtigungen gesendet werden k nnen 134 Novell Identity Manager 3 0 Administrationshandbuch Email Benachrichtigungen sind nicht invasiv d h sie haben keinerlei Auswirkungen auf die Verarbeitung des XML Dokuments das die Email ausgel st hat Tritt beim Versand der Email Be
353. n nennen Anzeigen von Identity Manager Prozessen 2 222 cee eee eee eee 2 12 1 2 12 2 2 12 3 Hinzuf gen von Trace Stufen in Designer 0 0 0 een ee nen Hinzuf gen von Trace Stufen in iManager 200 cee eee eee Erfassen von Identity Manager Prozessen in einer Datei 3 Einrichten eines verbundenen Systems BELDIICK het a ce era Rent eee ee ee Sichere D tentransfers sec ee eae u eee dee ea ee nen 3 1 3 2 19 19 20 20 21 21 22 22 22 23 23 23 26 27 28 29 30 31 32 36 36 38 38 40 41 2 3 2 1 Serverzertifikat erstellen 2 2222 ccuen eee eee 48 3 2 2 Selbstsigniertes Zertifikat exportieren 222 20eee seen een 48 3 3 Einrichten von Remote Loadern 0 cette eee 49 3 3 1 Installieren von Remote Loadern 2 2222 cect tte 50 3 3 2 Konfigurieren des Remote Loader 0 0 cece ete 53 3 4 Konfigurieren der Identity Manager Treiber zur Verwendung mit Remote Loadern 67 3 4 1 Einen neuen Treiber importieren und konfigurieren 2222er seen 68 3 4 2 Einen vorhandenen Treiber konfigurieren 1 2 0 0 2220er eeee ernennen 69 3 4 3 Erstellen eines Keystore 22 2 2 edb eck Br ee kb ee te ke nk Be 71 4 Erstellen von Richtlinien 73 5 Passwortsynchronisierung mit verbundenen Systemen 75 Sl Uberblick ex s shan und a ohn een eat at A Ng 75 5 1 1 Allgemeines zu Passwortern 0 0 0 ett ae 75 5 1 2 Wa
354. n sind die im bcc Feld der SMTP Nachricht aufgef hrt werden Das lt bcc gt Element ist optional Alle lt bcc gt Elemente k nnen nur jeweils eine Email Adresse enthalten G 5 lt from gt Das lt from gt Element ist dem lt mail gt Element untergeordnet Das lt from gt Element enth lt die Email Adresse des Absenders der Email Das lt from gt Element ist optional Wenn das lt from gt Element nicht vorhanden ist wird die standardm ige Absenderadresse verwendet die ber die Parameter des Service Treibers f r manuelle Aufgaben zur Verf gung gestellt wird Service Treiber f r manuelle Aufgaben lt mail gt Element 333 G 6 lt reply to gt Das lt reply to gt Element ist dem lt mail gt Element untergeordnet Das lt reply to gt Element enth lt die Email Adresse der Entit t an die die Antworten auf die SMTP Nachricht adressiert werden Das lt reply to gt Element ist optional G 7 lt subject gt Das lt subject gt Element ist dem lt mail gt Element untergeordnet Anhand seines Inhalts wird der Betreff der SMTP Nachricht festgelegt Das lt subject gt Element ist nicht obligatorisch seine Verwendung wird jedoch aus nahe liegenden Gr nden empfohlen G8 lt message gt Das lt message gt Element ist dem lt mail gt Element untergeordnet Anhand seines Inhalts wird der Nachrichtentext der SMTP Nachricht erstellt Mindestens ein lt message gt Element ist obligatorisch M glicherweise werden mehrere lt
355. n soll Wenn nicht wird das lt password gt Ele ment ausgeschlossen Diese Richtlinie verwendet den GCV publish password to nds F gt Nutzlastdaten ein die in der Engine zum Zwecke der Email Benachrichtigung durchgereicht werden Position in der Treiberkonfiguration Name der Passwortsynchronisierungsrichtlin Auswirkung der Richtlinie le Password Sub Add Password Payload F gt Nutzlastdaten ein die in der Engine zum Zwecke der Email Benachrichtigung durchgereicht werden Im Herausgeber Eingabetransformationsrichtliniensatz ben tigte Richtlinien Wir empfehlen die Email Benachrichtigungsrichtlinie Password Pub Sub an die letzte Stelle zu setzen wenn die Eingabetransformation mehrere Richtlinien enth lt Tabelle 5 8 Im Herausgeber Eingabetransformationsrichtliniensatz ben tigte Richtlinien Position in der Treiberkonfiguration Name der Passwortsynchronisierungsrichtlin Auswirkung der Richtlinie le Herausgeber Eingabetransforma tion Password Pub Sub Email Notifi cations Wenn die Passwort Nutzlast daten durchgereicht werden und der Status ein Problem erkennen lasst wird eine Email an den Benutzer gesendet Die Email wird an die im Attribut fur die Internet Email Adresse in eDirec tory enthaltene Email Adresse des Benutzers gesendet Diese Richtlinie verwendet den GCV notify user on password dist failure um festzustellen ob Email Benachrichtigungen gesen
356. n von mehreren Anwendungen in einem zentralen Datenspeicher speichern kann Nach der Protokollierung von Ereignisdaten k nnen Sie basierend auf den protokollierten Ereignissen Benachrichtigungen ausl sen und detaillierte Berichte und benutzerdefinierte Abfragen ausf hren Protokollierung und Berichterstellung mit Novell Audit 247 Die folgende Abbildung bietet eine bersicht ber die Architektur von Novell Audit Abbildung 10 1 bersicht ber die Architektur Sicherer Protokollserver Anwendungen Ereignisse Plattform ngan TCP IP In dieser Abbildung ist Identity Manager eine der Anwendungen die den Platform Agent Plattformagent verwenden um dem Novell Audit Secure Logging Server sicherer Protokollserver Ereignisse zu melden 10 3 Einrichten von Novell Audit Wie im berblick beschrieben besteht Novell Audit aus zwei Hauptkomponenten Plattformagent e Sicherer Protokollserver Der Plattformagent ist die Komponente die mit Identity Manager ausgef hrt wird um Ereignisse an den sicheren Protokollserver zu kommunizieren Die Komponente wird zusammen mit Identity Manager installiert Der sichere Protokollserver ist die Komponente die Ereignisdaten von Identity Manager und anderen Anwendungen empf ngt Sie wird separat von Identity Manager als Teil von Novell Audit 1 0 3 installiert 248 Novell Identity Manager 3 0 Administrationshandbuch 10 3 1 Einrichten des Plattformagenten Der Plattform
357. n von Email Benachrichtigungen bei nicht erfolgter Passwortsynchronisierung 6 Testen Sie die Passwortsynchronisierung e berzeugen Sie sich davon dass das Identity Manager Passwort an die von Ihnen angegebenen Systeme verteilt wird e berzeugen Sie sich davon dass die von Ihnen angegebenen verbundenen Systeme Passw rter gegen ber Identity Manager ver ffentlichen Tipps zur Probleml sung finden Sie in Abschnitt 5 8 Implementierung der Passwortsynchronisierung auf Seite 115 5 6 Upgrade von Version 1 0 der Passwortsynchronisierung Dieses Verfahren ist nur f r vorhandene Identity Manager Treiber f r Active Directory und NT Domain erforderlich die zusammen mit Version 1 0 der Passwortsynchronisierung verwendet werden Die genaue Einhaltung dieses Verfahrens beim Upgraden von Version 1 0 der Passwortsynchronisierung ist von gr ter Wichtigkeit Eine entsprechende Anleitung finden Sie in den Treiber Implementierungshandb chern zu den Identity Manager Treibern f r Active Directory und NT Domain unter Identity Manager Drivers http www novell com documentation dirxmldrivers index htm Passwortsynchronisierung mit verbundenen Systemen 105 5 7 Upgrade bestehender Treiberkonfigurationen zur Unterst tzung der Passwortsynchronisierung In diesem Abschnitt wird erkl rt wie bestehende Treiberkonfigurationen um Unterst tzung f r die Identity Manager Passwortsynchronisierung erweitert werden k nnen anstatt di
358. nachrichtigung ein Fehler auf wird der Vorgang nur dann wiederholt wenn die Operation selbst wiederholt wird Debug Meldungen zu Email Benachrichtigungen werden trotzdem in die Trace Datei geschrieben Treiberkonfiguration 1 Stellen Sie sicher dass die erforderlichen Passwortsynchronisierungsrichtlinien f r das Identity Manager Skript in den Treiberkonfigurationen aller Treiber enthalten sind die an der Passwortsynchronisierung teilnehmen sollen Die Richtlinien m ssen sich in der Treiberkonfiguration an der richtigen Stelle und in der richtigen Reihenfolge befinden Eine Aufstellung der Richtlinien finden Sie in Abschnitt 5 3 4 In der Treiberkonfiguration ben tigte Richtlinien auf Seite 94 Die Identity Manager Beispielkonfigurationen enthalten die Richtlinien bereits Wenn Sie einen vorhandenen Treiber upgraden m chten k nnen Sie die Richtlinien wie in Abschnitt 5 7 Upgrade bestehender Treiberkonfigurationen zur Unterst tzung der Passwortsynchronisierung auf Seite 106 beschrieben hinzuf gen 2 Stellen Sie den Filter f r das Attribut nspmDistributionPassword richtig ein e Auf dem Herausgeberkanal setzen Sie den Treiberfilter auf gnorieren f r das Attribut uspmDistributionPassword f r alle Objektklassen e Auf dem Abonnentenkanal setzen Sie den Treiberfilter auf Benachrichtigen f r das Attribut nspmDistributionPassword f r alle Objektklassen die Passwort nderungen abonnieren sollen
359. nager Treiber das NDS Passwort anstelle des Verteilungspassworts berpr ft Hilfreiche DSTrace Befehle DXML Zum Anzeigen der Regelverarbeitung durch Identity Manager und m glicher Fehlermeldungen DVRS Zum Anzeigen der Meldungen des Identity Manager Treibers AUTH Zum Anzeigen der nderungen am NDS Passwort 5 8 4 Szenario 3 Synchronisieren des Identit tsdepots und der verbundenen Systeme mit Aktualisierung des Verteilungspassworts durch Identity Manager In diesem Szenario aktualisiert Identity Manager das Verteilungspasswort direkt und l sst NMAS entscheiden wie die anderen Passw rter des Identit tsdepots synchronisiert werden sollen Jedes verbundene System kann Passw rter an Identity Manager ver ffentlichen wenn auch nicht alle Systeme das tats chliche Passwort des Benutzers bereitstellen k nnen So kann beispielsweise Active Directory das tats chliche Passwort eines Benutzers an Identity Manager ver ffentlichen Obwohl PeopleSoft kein Passwort aus dem System bereitstellt kann es ein Ausgangspasswort bereitstellen das in einer Richtlinie in der Treiberkonfiguration erstellt wurde z B unter Verwendung der Mitarbeiter ID oder des Nachnamens Nicht alle Treiber k nnen Passwort nderungen von Identity Manager abonnieren Weitere Informationen hierzu finden Sie in Abschnitt 5 2 Unterst tzung von verbundenen Systemen bei der Passwortsynchronisierung auf Seite 86 Vor und Nachteile von Szenario 3
360. nalit t ber dirxml_remote rdxml oder dirxml_jremote bereit Dirxml_remote Dirxml remote ist eine Programmdatei die die Kommunikation der Metaverzeichnis Engine mit dem unter Windows ausgef hrten Identity Manager Treiber erm glicht Die Remote Loader Konsole verwendet dirxml_ remote exe Wenn Sie dirxml remote exe ohne weitere Parameter von der Befehlszeile aus starten wird der Anwendungsassistent des Remote Loader gestartet Wenn Sie dirxml_ remote exe mit weiteren Parameter angeben wird der Remote Loader gestartet 46 Novell Identity Manager 3 0 Administrationshandbuch Rdxml Rdxml ist eine Programmdatei die die Kommunikation der Metaverzeichnis Engine mit den unter Solaris Linux oder AIX Umgebungen ausgef hrten Identity Manager Treibern erm glicht Rdxml unterst tzt native Treiber und Java Treiber Dirxml_jremote Dirxml_jremote ist ein reiner Java Remote Loader Er wird zum Datenaustausch zwischen der auf dem Server aktiven Metaverzeichnis Engine und den Identity Manager Treibern verwendet die an einem anderen Standort ausgef hrt werden auf dem rdxml oder Dirxml_jremote nicht aktiviert ist Er sollte auf jedem System mit einer kompatiblen JRE 1 4 0 Minimum 1 4 2 oder h her empfohlen und Java Sockets ausgef hrt werden k nnen wird offiziell jedoch nur von den folgenden Systemen unterst tzt HP UX e AS 400 e OS 390 e z OS berblick Wichtigste Aufgaben F r die Arbeit mit dem Remote Loader m ssen Sie
361. name Heart Beat gt 10 lt pub heartbeat interval gt Tipp Wenn der Treiber nach dem Neustart kein Heartbeat Dokument generiert pr fen Sie die Position des Treiberparameters in der XML Datei 7 Speichern Sie die nderungen und stellen Sie sicher dass der Treiber angehalten und neu gestartet wird Wenn Sie den Treiberparameter hinzugef gt haben k nnen Sie das Zeitintervall in der grafischen Ansicht bearbeiten Sie k nnen f r das Zeitintervall aber auch eine Referenz auf einen Globalkonfigurationswert GCV erstellen Der Treiber Heartbeat kann wie andere Globalkonfigurationswerte auf Treibersatzebene festgelegt werden d h es ist in diesem Fall nicht n tig ihn f r jedes einzelne Treiberobjekt festzulegen Wenn ein Treiber keinen bestimmten Globalkonfigurationswert hat aber der Treibersatz hat einen solchen Wert bernimmt der Treiber den entsprechenden Wert aus dem Treibersatz Im Folgenden finden Sie ein Beispiel f r ein Heartbeat Statusdokument das vom Notes Treiber gesendet wurde lt nds dtdversion 2 0 ndsversion 8 x gt lt source gt lt product build 20031112 1037 instance blackcap version 2 0 gt DirXML Driver for Lotus Notes lt product gt lt contact gt Novell Inc lt contact gt lt source gt lt input gt lt status level success type heartbeat gt lt input gt lt nds gt Verwalten von Identity Manager Treibern 37 2 12 Anzeigen von Identity Manager Prozessen Verwenden S
362. nd von Richtlinien auf dem Abonnentenkanal auf die gleiche Weise erstellt wie das lt mail gt Element Die Dokumentation f r com novell nds dirxml driver manualtask CommandHandler und viele weitere Utility und Support Klassen finden Sie in den Javadocs die im Lieferumfang des Treibers enthalten sind Die Javadocs befinden sich im Distributions Image in der Datei manual_task_docs zip 1 1 Erstellen von URLs zur Verwendung mit dem Webserver des Herausgeberkanals Zur sicheren Verwendung des Herausgeberkanal Webservers des Treibers ist es erforderlich dass zur Erstellung der URL die in die Benachrichtigung eingef gt werden soll Utility Klassen verwendet werden F r diese Aufgabe ist com novell nds dirxml driver manualtask URLData geeignet Service Treiber f r manuelle Aufgaben Benutzerdefinierte Element 351 Der Beispielcode in SampleCommandHandler java veranschaulicht diesen Prozess 1 2 Erstellen von Nachrichtendokumenten anhand von Formatvorlagen und Schablonendokumenten Es bietet sich an dieselbe Methode zur Erstellung von Dokumenten zu verwenden wie die SMTP Behandlungsroutine Bei dieser Methode handelt es sich um eine Kombination aus Formatvorlagen Schablonendokumenten und Ersetzungsdaten Sie m ssen hierzu die Formatvorlagen und Schablonendokumente abrufen und den Formatvorlagen Prozessor per Programm aufrufen Der Beispielcode in SampleCommandHandler java veranschaulicht diesen Prozess
363. ndbuch und den anderen Teilen der Dokumentation dieses Produkts Bitte verwenden Sie die Funktion f r Benutzerkommentare unten auf jeder Seite der Online Dokumentation oder geben Sie Ihre Kommentare unter http www novell com documentation feedback html ein Aktualisierungen f r Dokumentationen Die aktuellste Version dieses Dokuments finden Sie auf der Website zur Identity Manager Dokumentation http www novell com documentation Zus tzliche Dokumentation Weitere Informationen zum Installieren und Aufr sten von Identity Manager finden Sie im dentity Manager 3 0 Installation Guide Identity Manager 3 0 Installationshandbuch Weitere Informationen und Dokumentationen zu Identity Manager Richtlinien und Filtern finden Sie im Policy Builder and Driver Customization Guide Handbuch zum Richtlinien Builder und zur Treiberanpassung Die Dokumentation zur Design und Implementierungspraxis finden Sie im Designer for Identity Manager 3 Administration Guide Designer f r Identity Manager Administrationshandbuch Weitere Informationen zu Passwortrichtlinien zur Passwort Selbstbedienung und zum Verwalten von Passw rtern finden Sie im Password Management Administration Guide http www novell com documentation Administrationshandbuch zur Passwortverwaltung Die Dokumentation zur Verwendung der Identity Manager Treiber finden Sie auf der Website zur Dokumentation f r Identity Manager Treiber http www novell com documentation id
364. ne Fehlermel dung gespeichert ist Fehler und Warnmel Durch diese Option werden alle Ereignisse mit dem Status Error dungen protokollieren Fehler oder Warning Warnmeldung sowie benutzerdefinierte Ereig nisse protokolliert Wenn diese Option ausgew hlt ist empfangen Sie nur Ereignisse mit den Dezimal IDs 196646 und 196647 bei denen im ersten Textfeld eine Fehler oder Warnmeldung gespeichert ist Protokollierung und Berichterstellung mit Novell Audit 251 Option Beschreibung Bestimmte Ereign isse protokollieren Nur die letzte Pro tokollzeit aktuali sieren Protokollierung aus Protokollierung in Treibersatz Abon nenten und Heraus geberprotokollen deaktivieren Maximale Anzahl der Eintr ge im Protokoll Mit dieser Option k nnen Sie bestimmte zu protokollicronde Ereignisse in einer Liste ausw hlen Klicken Sie auf das Symbol um Ereignisse auszuw hlen Benutzerdefinierte Ereignisse werden immer protokolliert Wenn Sie au er Fehler oder Warnmeldungen auch andere Ereignisse protokollieren m chten m ssen Sie diese in dieser Liste ausw hlen Bei Auswahl dieser Option m ssen Sie auch Fehler und Warnhinweise ausw hlen wenn Sie diese weiterhin protokollieren m chten Eine Liste aller verf gbaren Ereignisse finden Sie unter Identity Manager Ereign isse auf Seite 254 Es werden nur benutzerdefinierte Ereignisse protokolliert Wenn ein Ereignis auftritt wird die letzte Protokol
365. ne vom Abonnentenkanal versendete URL vom Abonnentenkanal an den Herausgeberkanal weitergeleitet Eine nderung der Datenelemente in der URL stellt eine Sicherheitsbedrohung dar Wenn z B die responder dn Werte in der vom Abonnentenkanal zur Verf gung gestellten URL in der URL die an den Webserver des Herausgeberkanals weitergeleitet wird durch den DN eines anderen Benutzers ersetzt werden k nnte dadurch ein unbefugter Benutzer Daten in eDirectory ndern Damit sichergestellt ist dass die Daten in der bertragenen URL den urspr nglichen Daten vom Abonnentenkanal entsprechen werden gesch tzte Daten bereitgestellt Gesch tzte Daten sind Daten die aus Gr nden der Sicherheit nicht ge ndert werden k nnen Diese Daten sind je nach Konfiguration unterschiedlich enthalten aber immer Datenelemente vom Typ responder dn sowie Elemente die den eDirectory Objekten entsprechen deren Werte ge ndert werden m ssen Service Treiber f r manuelle Aufgaben Ersetzungsdaten 319 Datenelemente werden durch Verschl sselung der Originalwerte gesch tzt Diese verschl sselten Werte werden anschlie end in einer URL Query Zeichenkette platziert Wenn der Webserver des Herausgeberkanals die verschl sselten Werte empf ngt entschl sselt der Herausgeberkanal die Werte und vergleicht sie mit den unverschl sselten Datenelementen die von einer HTTP GET oder HTTP POST Anforderung zur Verf gung gestellt werden Wenn eine Instanz eines Datenel
366. ned Entitlement definiert Sie m ssen nur dann einen Anzeigenamen angeben wenn dieser sich vom RDN der Berechtigung unterscheiden soll Die Zeile f r die Konfliktl sung enth lt die Einstellung union d h die Berechtigung kann die zugewiesenen Werte zusammenf hren Die Berechtigungsbeschreibung lautet This will show Administrator defined Values Das multi value Attribut ist auf true eingestellt d h die Berechtigung kann einen Wert auch mehrmals zuweisen In diesem Beispiel handelt es sich bei den Werten um mit Buchstaben gekennzeichnete Firmengeb ude Building A bis Building F Anschlie end k nnen Benutzer oder definierte Aufgabenmanager ber einen Berechtigungsclient wie z B eine RBE Aufgabe in iManager oder ber die Benutzeranwendung die Geb udeinformationen angeben die in eine externe Anwendung wie z B Novell eDirectory aufgenommen werden Beispiel 4 Vom Administrator definierte Berechtigungen Ohne Listen Das vierte Beispiel ist eine vom Administrator definierte Berechtigung die den Administrator zur Eingabe eines Werts zwingt bevor die Berechtigung ein Ereignis erteilen oder entziehen kann Diese Art von Berechtigung k nnen Sie verwenden wenn Ihnen zum Zeitpunkt der Erstellung noch nicht alle Informationen vorliegen und Sie daher keine Aufgabenliste erstellen k nnen lt xml version 1 0 encoding UTF 8 gt lt entitlement conflict resolution priority description There will be no
367. neingabe in eDirectory oder in eine Anwendung bestehen Denkbar sind auch Szenarios in denen z B ein Administrator benachrichtigt wird dass ein neues Benutzerobjekt erstellt wurde oder ein Benutzer Daten eines Objekts ge ndert hat usw Das Konfigurieren des Service Treibers f r manuelle Aufgaben besteht in der Regel aus dem Konfigurieren zweier separater aber miteinander verwandter Subsysteme die Richtlinien und Email Schablonen des Abonnentenkanals einerseits und die Schablonen und Richtlinien des Webservers auf dem Herausgeberkanal andererseits Dar ber hinaus m ssen Treiberparameter wie z B der Name des SMTP Servers der Port des Webservers usw konfiguriert werden Dieser Abschnitt umfasst Abschnitt 8 2 1 Installation auf Seite 223 e Abschnitt 8 2 2 berblick auf Seite 224 e Abschnitt 8 2 3 Konfiguration auf Seite 231 Abschnitt 8 2 4 Weitere Informationen auf Seite 240 8 2 1 Installation e Installation Der Service Treiber f r manuelle Aufgaben wird bei der Installation der Option Metaverzeichnis Server durch das Installationsprogramm von Identity Manager automatisch installiert e Plattformen Der Treiber l uft auf den von Identity Manager und dem Remote Loader unterst tzten Plattformen Verwalten von Engine Services 223 e Aktivierung Der Treiber muss nicht separat aktiviert werden Wenn Sie die Metaverzeichnis Engine aktivieren wird dieser Treiber ebenfalls aktiviert
368. nen Sie die Metaverzeichnis Engine in einer Umgebung und einen Identity Manager Treiber auf einem Server in einer anderen Umgebung ausf hren Es ist beispielsweise nicht m glich den Active Directory Treiber auf einem NetWare Server auszuf hren Die Metaverzeichnis Engine kann auf dem NetWare Server und der Remote Loader auf einem Active Directory Server ausgef hrt werden Szenario Separate Server Die Metaverzeichnis Engine wird auf einem NetWare Server ausgef hrt Der Identity Manager Treiber f r Active Directory muss ebenfalls ausgef hrt werden Dieser Treiber kann jedoch nicht auf einem NetWare Server sondern muss in einer Active Directory Umgebung ausgef hrt werden Sie installieren und f hren den Remote Loader auf einem Windows 2003 Server aus Der Remote Loader bietet einen Kommunikationskanal zwischen dem Active Directory Treiber und der Metaverzeichnis Engine Szenario Nicht Host Die Metaverzeichnis Engine l uft unter Solaris Es muss eine Kommunikationsverbindung zum NIS System bestehen auf dem Sie Benutzerkonten bereitstellen m chten Die Metaverzeichnis Engine wird in der Regel nicht vom System gehostet Der Remote Loader und der Identity Manager Treiber f r NIS werden auf dem NIS System installiert Der auf dem NIS System installierte Remote Loader f hrt den NIS Treiber aus und erm glicht den Datenaustausch zwischen der Metaverzeichnis Engine und dem NIS Treiber Identity Manager 3 stellt die Remote Loader Funktio
369. nfiihrungsstelle SD DinaL nwoExtension v Semak lt m m O Identit tsdepot z 3 Wiederholen Sie f r jeden Treiber den Sie zur Unterst tzung der Passwortsynchronisierung aktualisieren m chten Schritt 2 auf Seite 107 unter Treiber in das Format von Identity Manager 3 konvertieren bis Schritt 2 in diesem Abschnitt Filtereinstellungen ndern Der Treiber verf gt jetzt ber das neue Treiberschnittstellenmodul das erforderliche Identity Manager Format und die anderen Elemente die in der Treiberkonfiguration erforderlich sind damit die Passwortsynchronisierung unterst tzt wird Treibermanifest GCVs Passwortsynchronisierungsrichtlinien und Filtereinstellungen Sehen Sie in den Implementierungshandb chern zu den einzelnen Treibern nach ob zus tzliche Schritte oder Informationen zum Einrichten der Identity Manager Passwortsynchronisierung erforderlich sind Siehe Identity Manager Drivers http www novell com documentation lg dirxmldrivers index htm Aktivieren Sie das universelle Passwort f r Benutzer indem Sie Passwortrichtlinien mit aktiviertem universellem Passwort erstellen Informationen hierzu finden Sie im Kapitel Creating Password Policies im Password Management Administration Guide http www novell com documentation password _management index html Administrationshandbuch zur Passwortverwaltung Beachten Sie bitte die zus tzlichen Arbeitsschritte im Kapitel NetWare 6 5 Only Re Creati
370. ng ber ltere Dienstprogramme nutzen m ssen k nnen Sie den Helpdesk Benutzern versuchsweise eine andere Passwortrichtlinie zuweisen Auf diese Weise k nnen andere Optionen f r die Synchronisierung des universellen Passworts festgelegt werden Probleme bei der Anmeldung an einem anderen verbundenen System das Passw rter abonniert Dieser Abschnitt befasst sich mit der Fehlersuche in Situationen in denen ein verbundenes System Passw rter gegen ber Identity Manager ver ffentlicht ein anderes verbundenes System das ebenfalls Passw rter ver ffentlicht jedoch anscheinend keine nderungen von dem anderen System mitgeteilt bekommt Bei dieser Konstellation spricht man auch von einem sekund ren verbundenen System weil das zweite verbundene System die Passw rter ber Identity Manager vom ersten verbundenen System erh lt Aktivieren Sie in DSTrace die Einstellungen DXML und DVRS um sich die Regelverarbeitung durch Identity Manager und m gliche Fehlermeldungen ansehen zu k nnen Stellen Sie die Identity Manager LDAP Trace Stufe f r den Treiber auf 3 ein Stellen Sie sicher dass auf der Seite Passwortsynchronisierung die Option Identity Manager akzeptiert Passw rter Herausgeberkanal ausgew hlt ist Stellen Sie sicher dass in der Passwortrichtlinie die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren nicht ausgew hlt ist Identity Manager verwendet das Verteilungspasswort um P
371. ng Universal Password Assignments des Password Management Administration Guide Administrationshandbuch zur Passwortverwaltung wenn Sie das universelle Passwort bisher mit NetWare 6 5 verwendet haben Zur Vereinfachung der Administration empfiehlt es sich Passwortrichtlinien einer m glichst hohen Ebene im Baum zuzuweisen 112 Novell Identity Manager 3 0 Administrationshandbuch Auf der Seite Konfigurationsoptionen k nnen Sie mithilfe bestimmter Optionen festlegen wie NMAS die verschiedenen Passwortarten synchronisieren soll Bei den meisten Implementierungen funktionieren die Standardeinstellungen Weitere Informationen finden Sie in der Online Hilfe zu dieser Seite Szenarios f r die Verwendung der Passwortsynchronisierung und das Einbinden von Passwortrichtlinien finden Sie in Abschnitt 5 8 Implementierung der Passwortsynchronisierung auf Seite 115 NMAS Passwortrichtlinien werden baumspezifisch zugewiesen Die Passwortsynchronisierung hingegen wird pro Treiber konfiguriert Treiber werden serverspezifisch installiert und k nnen nur Benutzer verwalten die sich in einer Master oder Lese Schreibreproduktion befinden Damit eine Passwortsynchronisierung die gew nschten Ergebnisse liefert m ssen Sie sicherstellen dass die Container in der Master oder Lese Schreibreproduktion auf dem Server auf dem die Treiber f r die Passwortsynchronisierung aktiv sind den Containern entsprechen f r die Sie Passwortrichtli
372. ng der Del egiertendefinition auf Tritt bei erfolgreichem L schen der Delegier tendefinition auf Tritt bei fehlerhaftem L schen der Delegier tendefinition auf Tritt bei erfolgreicher Erstellung des Verf g barkeitsstatus auf Tritt bei fehlerhafter Erstellung des Verf g barkeitsstatus auf Tritt bei erfolgreichem L schen des Verf g barkeitsstatus auf Tritt bei fehlerhaftem L schen des Verf g barkeitsstatus auf Tabelle C 25 Workflow Felder Originator Title Target Title und Subtarget Title EventID Description Originator Title Target Title Subtarget Title 31520 Workflow_Error Initiator ID 31521 Workflow_Started Initiator ID 31522 Workflow_Forwarded Initiator ID Recipient Process Name 31523 Workflow_Reassigned Initiator ID Recipient Process Name 306 Novell Identity Manager 3 0 Administrationshandbuch EventID Description Originator Title Target Title Subtarget Title 31524 Workflow_Approved Initiator ID Recipient Process Name 31525 Workflow_Refused Initiator ID Recipient Process Name 31526 Workflow_Ended Initiator ID Recipient Process Name 31527 Workflow_Claimed Initiator ID Recipient Process Name 31528 Workflow_Unclaimed Initiator ID Recipient Process Name 31529 Workflow_Denied Initiator ID Recipient Process Name 3152A Workflow_Completed Initiator ID Recipient Process Name 3152B Workflow_Timedout Initiator ID Recipient Process Name 3152C User_Message Initiator ID Author 3152D Provision_Error Initiat
373. ngen erm glichen die Passwortsynchronisierung in beide Richtungen wenn diese vom verbundenen System unterst tzt wird Sie k nnen die Einstellungen an Ihre Gesch ftsrichtlinien f r die autorisierte Quelle f r Passw rter anpassen Wenn ein verbundenes System Passw rter z B nur abonnieren jedoch nicht ver ffentlichen soll w hlen Sie nur die Option Anwendung akzeptiert Passw rter Abonnentenkanal 4 Stellen Sie sicher dass die Option Verteilungspasswort f r die Passwortsynchronisierung verwenden nicht aktiviert ist In diesem Szenario aktualisiert Identity Manager das universelle Passwort direkt Das Verteilungspasswort wird weiterhin f r die Verteilung von Passw rtern an verbundene Systeme verwendet es wird jedoch anstelle von Identity Manager von NMAS ber das universelle Passwort aktualisiert 5 Optional W hlen Sie gegebenenfalls Folgendes aus Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen Denken Sie daran dass das Attribut Internet Email Adresse des eDirectory Benutzerobjekts in mit einem Wert belegt sein muss damit Email Benachrichtigungen gesendet werden k nnen 124 Novell Identity Manager 3 0 Administrationshandbuch Email Benachrichtigungen sind nicht invasiv d h sie haben keinerlei Auswirkungen auf die Verarbeitung des XML Dokuments das das Versenden der Email ausgel st hat Tritt beim Versand der Email Benachrichtigung ein Fehler auf wird der Vorgang nur dann wiederho
374. ngen sind in der Passwortrichtlinie f r das Synchronisieren des universellen Passworts mit den anderen Passw rtern festgelegt Abbildung 5 9 Wie NMAS mit dem von Identity Manager empfangenen Passwort verf hrt Identity NDS Be rfolgreich fehlgeschlagen fehlgeschlagen Passwortsynchronisierung mit verbundenen Systemen 127 Probleme bei der Anmeldung im Identit tsdepot e Aktivieren Sie in DSTrace die Einstellungen 4UTH DXML und DVRS Abbildung 5 10 DSTrace Befehle Agent Buffers que AUMN Audit kulk Authentication Emulator Inbound rtual at N WAN Traffic Mgr Detail NN Conn Tr st Producer Domain PKI Information HTTP NICIExt SSTR et Ire jacklink Detail DRLD DRL Detail rch Detail e berzeugen Sie sich davon dass das Element lt password gt oder lt modify password gt an Identity Manager bergeben wird W hrend diese Optionen aktiviert sind beobachten Sie den Trace Bildschirm um sicherzustellen dass sie bergeben werden e berzeugen Sie sich davon dass das Passwort gem den Regeln der Passwortrichtlinie g ltig ist e berpr fen Sie die Konfiguration und Zuweisung der NMAS Passwortrichtlinie Weisen Sie die Richtlinie versuchsweise einem Benutzer direkt zu um sicherzustellen dass die korrekte Richtlinie verwendet wird e Stellen Sie sicher dass auf der Seite Passwortsynchronisierung f r den Treiber die Option DirXML akzeptiert Passw rter ausgew hlt ist e Stellen Sie
375. ngestellten Dokuments angeordnet werden Sowohl der Abonnenten als auch der Herausgeberkanal des Service Treibers f r manuelle Aufgaben erstellen Dokumente anhand von Schablonen Der Abonnentenkanal erstellt Emails und der Herausgeberkanal erstellt Webseiten und XDS Dokumente Der dynamische Teil eines Dokuments wird ber Ersetzungsdaten zur Verf gung gestellt Ersetzungsdaten auf dem Abonnentenkanal werden von den Abonnentenkanalrichtlinien z B von der Befehlstransformationsrichtlinie zur Verf gung gestellt Ersetzungsdaten auf dem Herausgeberkanal werden dem Webserver in Form von HTTP Daten zur Verf gung gestellt URL Daten und HTTP POST Daten Der Service Treiber f r manuelle Aufgaben kann automatisch bestimmte dem Service Treiber f r manuelle Aufgaben bekannte Daten z B die Adresse des Webservers zur Verf gung stellen Die Schablonen werden von XSLT Formatvorlagen verarbeitet Diese Formatvorlagen sind nicht zu verwechseln mit Formatvorlagen die in den Abonnenten oder Herausgeberkan len als DirXML Richtlinien verwendet werden Verwalten von Engine Services 225 Die Ersetzungsdaten werden der XSLT Formatvorlage als Parameter zur Verf gung gestellt Nach der Verarbeitung der Formatvorlage wird ein XML HTML oder Textdokument ausgegeben das als Text einer Email einer Webseite oder einer bertragung an DirXML auf dem Herausgeberkanal verwendet wird Ersetzungsdaten werden anhand einer URL in einer Email vom Abonnente
376. nien mit aktiviertem universellem Passwort zugewiesen haben Durch Zuweisung einer Passwortrichtlinie an den Partitionsstammcontainer kann sichergestellt werden dass die Passwortrichtlinie allen in diesem Container und seinen Untercontainern enthaltenen Benutzern zugewiesen wird 5 7 4 4 Schritt Einrichten des Transfers f r die Passwortsynchronisierung berzeugen Sie sich davon dass der Passwort Transfer auf allen verbundenen Systemen wie gew nscht konfiguriert ist 1 2 Klicken Sie in iManager auf Passw rter gt Passwortsynchronisierung Durchsuchen Sie einen Baum oder Container nach Treibern f r verbundene Systeme die Sie verwalten m chten Funktionen und Aufgaben Passwortsynchronisierung P Identit tsmanager Diese Liste enth lt Treiber f r verbund ne und deren aktuelle Ein f r die Passwortsynchronisierung Klicken Sie auf den Namen um die Einstellungen zu g Funktionsbasierte i ander Berechtigungen eachten Sie dass bei Anderu etroffene Treiber neu gestartet wird En Verbundene Systeme GERIDMTREE a Identity Manager N Identity Manager akzeptiert A d kzeptiert P x erst or anne lame erver Der nwendung akzeptiert Passw rter sek 1 NO041 AL 2K3 NDS y aktiviert Y aktiviert Bereitstellungsanforderungen 1 a ee Active Directory NO041 AL 2K3 NDS V aktiviert V aktiviert Passwortstatus berpr
377. nisierung basiert auf Iden die die Funktion sieren von nadLoginName ist im tity Manager Richtlinien in der Treiberkonfigura zur Passwort Identity Manager Treiber enthalten tion Der Treiber fuhrt die Aufgaben aus die er synchro von der Metaverzeichnis Engine erhalt und die nisierung enthalt sich aus der Logik der Richtlinien ergeben Das Treibermanifest die Globalkonfigurationswerte und die Treiberfiltereinstellungen m ssen auch die Passwortsynchronisierung unterst tzen Sie sind in der Beispiel Treiberkonfiguration enthalten k nnen aber auch zu einem vorhan denen Treiber hinzugef gt werden Weitere Informationen hierzu finden Sie in Abschnitt 5 7 Upgrade bestehender Treiberkonfigurationen zur Unterst tzung der Passwortsynchro nisierung auf Seite 106 Agenten Ein separates Software Modul Es werden keine Agenten installiert Die Funk tionalitat ist jetzt im Treiber enthalten 5 1 4 Funktionen der Identity Manager Passwortsynchronisierung Die Identity Manager Passwortsynchronisierung ist bidirektional Identity Manager akzeptiert einerseits Passw rter die von verbundenen Systemen an ihn gesendet werden und bergibt andererseits Passw rter an verbundene Systeme die wiederum von diesen akzeptiert werden Akzeptieren von Passw rtern von verbundenen Systemen auf Seite 79 Verteilen von Passw rtern an verbundene Systeme auf Seite 80 e Durchsetzen von Passwortrichtlinien im Datenspeicher und auf ve
378. nkanal an den Herausgeberkanal bergeben Die URL enth lt einen Abfrageteil in dem die Ersetzungsdatenelemente enthalten sind Der Service Treiber f r manuelle Aufgaben enth lt im Lieferumfang vordefinierte Formatvorlagen mit denen Schablonen verarbeitet werden k nnen um Email HTML und XDS Dokumente zu erstellen Wenn zus tzliche Verarbeitungsoptionen gew nscht werden k nnen weitere benutzerdefinierte Formatvorlagen geschrieben werden Es ist auch eine erweiterte Methode f r die Erstellung von Dokumenten verf gbar bei der nur eine XSLT Formatvorlage und Ersetzungsdaten verwendet werden Bei dieser Methode werden keine Schablonen einbezogen In diesem Handbuch wird jedoch angenommen dass die Methode verwendet wird bei der Schablonen einbezogen werden da sie einfacher zu konfigurieren ist und ohne XSLT Programmierkenntnisse verwaltet werden kann Schablonen In diesem Abschnitt werden Schablonen f r die Erstellung von Dokumenten beschrieben wie sie im Service Treiber f r manuelle Aufgaben verwendet werden Schablonen sind XML Dokumente die von einer Formatvorlage verarbeitet werden um ein Ausgabedokument zu erzeugen Das Ausgabedokument kann in den Formaten XML HTML oder einfacher Text erzeugt werden bzw in jedem anderen Format das mit XSLT erzeugt werden kann Mit Schablonen k nnen auf dem Abonnentenkanal Text f r Emails und auf dem Herausgeberkanal dynamische Webseiten und XDS Dokumente erzeugt werden Schablon
379. nktionen und Aufgaben Objekt bearbeiten TestDr Alle Kategorien Benutzer 1g Identity Manager Globalkonfiqurationswerte eDirectory Verwaltung Pro erun Objekt bearbeiten Statusproto koll Objekt erstellen Aktivierung Objekt kopieren ae f Objekt l schen Anden Allgemein Objekt umbenennen Partitionsinformationen Objekt verschieben Sonstiges Je nach iManager Version k nnen Sie die Optionen in einer Dropdown Liste oder auf einer Registerkarte ausw hlen 2 W hlen Sie Bestimmte Ereignisse protokollieren Objekt bearbeiten TestDriverSet novell Protokollierumfang yj Protokollierumfang O Fehler protokollieren Fehler und Warnmeldungen protokollieren Bestimmte Ereignisse protokollieren EA Nur die letzte Protokollzeit aktualisieren Protokollierung aus C Protokollierung in Treibersatz Abonnenten und Herausgeberprotokollen deaktivieren Maximale Anzahl der Eintr ge im Protokoll 50 500 50 3 1 cken Sie zum Ausw hlen bestimmter Ereignisse auf das Symbol f r die Protokollereignisse i 218 Novell Identity Manager 3 0 Administrationshandbuch 4 W hlen Sie auf der Ereignisseite Folgendes aus Oo Oo m m Oo m m Oo Oo o m Oo m Suchen Modifizieren Verkn pfung hinzuf gen Passwort pr fen Synchronisieren Wert hinzuf gen bei Hinzuf gung Benutzerdefinierter Vorgang Anfangliches Dokument Ereignis Eingabezuordnun
380. nn das Verteilungspasswort nicht mit dem universellen Passwort bereinstimmt da die entsprechende Einstellung in der NMAS Passwortrichtlinie deaktiviert ist K nnen Sie Passw rter im Tunnel Modus an verbundene Systeme bertragen die das Verteilungspasswort verwenden ohne dass dies Auswirkungen auf das universelle Passwort oder das NDS Passwort hat Beachten Sie dass beim Tunneling nur Passw rter zwischen verbundenen Systemen synchronisiert werden Wenn das Tunneling aktiviert ist wird das Identit tsdepot universelle Passwort nicht festgelegt Weitere Informationen zu den verschiedenen eDirectory Passw rtern finden Sie im Novell Modular Authentication Services NMAS 2 3 Administration Guide http www novell com documentation nmas23 index html Novell Modular Authentication Services NMAS 2 3 Administrationshandbuch Beispiele zu den verschiedenen Methoden der Passwortsynchronisierung in Identity Manager finden Sie in Abschnitt 5 8 Implementierung der Passwortsynchronisierung auf Seite 115 5 1 2 Was versteht man unter einer bidirektionalen Passwortsynchronisierung Bei einer bidirektionalen Passwortsynchronisierung akzeptiert Identity Manager einerseits Passw rter von verbundenen Systemen die Sie angegeben haben und verteilt andererseits Passw rter an diese verbundenen Systeme Ob die Passwortsynchronisierung in beide Richtungen auf einem bestimmten verbundenen System m glich ist h ngt von den Eins
381. nn der Treiber neu startet Gibt das Cache Limit f r den Treiber an Legt das Cache Limit f r den Treiber fest Verarbeitet ein XML Dokument das einen Abfrage befehl enth lt Erstellen Sie an Hand der Novell nds dtd http developer novell com ndk doc dirxml dirxmlbk ref ndsdtd query html das XML Dokument das einen Abfragebefehl enthalt Legt das Anwendungspasswort fest Dies ist das Passwort des Benutzerkontos das Sie zur Authen tifizierung beim verbundenen System verwenden L scht das Anwendungspasswort Legt das Remote Loader Passwort fest Mit dem Remote Loader Passwort wird der Zugriff auf die Remote Loader Instanz kontrolliert Weitere Informationen finden Sie in Kapitel 3 Einrichten eines verbundenen Systems auf Seite 45 L scht das Remote Loader Passwort Option Beschreibung sendcommand lt Treiber DN gt lt Eingabedatein ame gt lt Ausgabedateiname gt setlogevents lt dn gt lt Ganzzahl gt clearlogevents lt DN gt setdriverset lt Treibersatz DN gt cleardriverset getversion initdriver object lt DN gt setnamedpassword lt Treiber DN gt lt Name gt lt Passwort gt Beschreibung clearnamedpassword lt Treiber DN gt lt Name gt clearallnamedpaswords lt Treiber DN gt Verarbeitet ein XDS Befehlsdokument Geben Sie das XDS Befehlsdokument als Eing abedatei an Beispiele NetWare sys files user xml Windows c files user xml Linux
382. nsame Nutzung von eDirectory und NICI Daten eingegangen Folgende Bedingungen werden vorausgesetzt e Sie verwenden f r die Daten und die Konfiguration von NICI eDirectory und Identity Manager die Standard Installationsverzeichnisse Die Identity Manager Daten werden nicht getrennt von eDirectory Daten behandelt weil sich die relevanten Identity Manager und eDirectory Daten am gleichen Ort befinden e Sie sind mit dem Installationsvorgang von eDirectory und Identity Manager vertraut e Sie verwenden ein Cluster mit zwei Knoten Hochverf gbarkeit 241 Ein Cluster mit zwei Knoten ist die am weitesten verbreitete Konfiguration die f r Hochverf gbarkeit verwendet wird Die in diesem Abschnitt beschriebenen Konzepte k nnen jedoch leicht zu einem Cluster mit n Knoten erweitert werden Dieser Abschnitt umfasst e Abschnitt 9 1 1 Installation von eDirectory auf Seite 242 e Abschnitt 9 1 2 Installation von Identity Manager auf Seite 242 e Abschnitt 9 1 3 Gemeinsame Nutzung von NICI Daten auf Seite 242 e Abschnitt 9 1 4 Freigabe von eDirectory und Identity Manager Daten auf Seite 243 Abschnitt 9 1 5 Aspekte hinsichtlich des Identity Manager Treibers auf Seite 245 9 1 1 Installation von eDirectory Hinweis NICI wird als Teil des eDirectory Installationsvorgangs installiert 1 Installieren Sie eDirectory auf dem prim ren Clusterknoten 2 Konfigurieren Sie eDirectory auf dem prim ren Clus
383. ntainer in der Master oder Lese Schreibreproduktion auf dem Server auf dem die Treiber f r die Passwortsynchronisierung aktiv sind den Containern entsprechen f r die Sie Passwortrichtlinien mit aktiviertem universellem Passwort zugewiesen haben Durch Zuweisung einer Passwortrichtlinie an den Partitionsstammcontainer kann sichergestellt werden dass die Passwortrichtlinie allen in diesem Container und seinen Untercontainern enthaltenen Benutzern zugewiesen wird 5 4 5 Einrichten der Email Benachrichtigung F hren Sie die folgenden Schritte aus wenn Sie die Email Benachrichtigungsfunktion nutzen m chten e Richten Sie den Email Server mit der Aufgabe Benachrichtigungskonfiguration in iManager ein e ndern Sie gegebenenfalls die Email Schablonen mit der Aufgabe Benachrichtigungskonfiguration in iManager e Stellen Sie sicher dass das Attribut Internet Email Adresse f r die im Identit tsdepot enthaltenen Benutzer hinterlegt wurde Befolgen Sie die Anweisungen in Abschnitt 5 12 Konfigurieren der Email Benachrichtigung auf Seite 156 5 5 Konfigurieren und Synchronisieren eines neuen Treibers Wenn Sie Version 1 0 des Passwortsynchronisierungsmoduls in Ihrer Umgebung noch nicht eingesetzt haben und einen Treiber erstellen oder eine vorhandene Konfiguration durch eine neue Identity Manager Konfiguration ersetzen m chten m ssen Sie zun chst die Identity Manager Passwortsynchronisierung einrichten 1
384. ntegrierte Behandlungsroutine Weitere Informationen zu benutzerdefinierten Behandlungsroutinen finden Sie in Anhang I service Treiber f r manuelle Aufgaben Benutzerdefinierte Element Behandlungsroutinen auf dem Abonnentenkanal auf Seite 351 Herausgebereinstellungen In diesem Abschnitt werden die Einstellungen f r den Herausgeberkanal beschrieben Zus tzliche Servlets Wenn dieser Parameter angegeben wird besteht er aus einer durch Whitespaces getrennten Liste mit Java Klassennamen Jeder Klassenname ist eine benutzerdefinierte Klasse die Javax servlet http HttpServer erweitert Benutzerdefinierte Servlets k nnen zur Erweiterung der Funktionalit t des Webservers des Herausgeberkanals verwendet werden Weitere Informationen zu benutzerdefinierten Servlets finden Sie in Anhang J Service Treiber f r manuelle Aufgaben Benutzerdefinierte Servlets f r den Herausgeberkanal auf Seite 355 Abonnentenkanalrichtlinien Die Konfiguration der Abonnentenkanalrichtlinien h ngt davon ab welchen Zweck eine bestimmte Installation mit dem Service Treiber f r manuelle Aufgaben erf llen m chte Es gibt jedoch bestimmte Richtlinien die von Nutzen sein k nnen In der Regel ist die Befehlstransformationsrichtlinie der beste Ort zum Erstellen eines lt mail gt Elements das an den Abonnentenkanal gesendet wird Die Ursache hierf r ist dass der Hauptteil der DirXML Engine Verarbeitung bereits abgeschlossen ist wenn Befeh
385. ntity Manager geh ren mehrere vorkonfigurierte Treiber die bereits Berechtigungen und Richtlinien f r die Implementierung von Berechtigungen enthalten Zudem sind diese Treiber so konfiguriert dass sie den Datenverkehr auf Berechtigungsaktivit ten berwachen Sie haben dann die M glichkeit die bereitgestellten Richtlinien zu berpr fen Diese Richtlinien unterst tzen Berechtigungen indem sie das Attribut DirXML EntitlementRef kontrollieren und Berechtigungen erteilen oder entziehen Der Berechtigungs Service Treiber aktualisiert das Attribut DirXML EntitlementRef nur wenn eine der folgenden Situationen eintritt Sie verwenden die Aufgabe Mitgliedschaft neu bewerten Sie geben an in welchem Teil des Baums die Benutzer neu bewertet werden sollen Ein Benutzer wird verschoben Ein Benutzer wird umbenannt Ein beliebiges f r die Mitgliedschaft in einer Berechtigungsrichtlinie verwendetes Attribut wird ge ndert Anhand von Berechtigungsrichtlinien k nnen Sie Berechtigungen auf verbundenen Systemen und Rechte im Identit tsdepot erteilen F r verbundene Systeme k nnen folgende Berechtigungen vergeben werden Konten Mitgliedschaft in Email Verteilerlisten Gruppenmitgliedschaft Attribute f r die entsprechenden Objekte in verbundenen Systemen die mit von Ihnen angegebenen Werten belegt sind Platzierung Andere individuell angepasste Berechtigungen Einige Optionen die Sie mithilfe von Berechtig
386. nur eine dieser Adressen berwachen soll Die folgenden drei Optionen sind verf gbar address Adressnummer address localhost Verwenden Sie diesen Parameter nicht Wenn Sie den Parameter address nicht verwenden berwacht der Remote Loader alle lokalen IP Adressen Beispiel address 137 65 134 83 Ein bedingter Parameter Wenn Sie SSL ausf hren und den Remote Loader f r die Kommunikation mit einem nativen Treiber ben tigen geben Sie Folgendes ein rootfile trusted certname Option Kurzform Parameter Beschreibung Keystore storepass Keystore Passwort Bedingte Parameter Wird nur f r Identity Manager Anwendungsschnittstellenmodule in JAR Dateien ver wendet Gibt den Dateinamen des Java Keystores an der das Herkunftsverb rgungszertifikat des Herausgebers des Zertifikats enth lt das vom Remote Schnittstellenmodul verwendet wird Dies ist in der Regel die Zertifi zierungsstelle des eDirectory Baums der das Remote Schnittstellenmodul hostet Wenn Sie SSL ausf hren und den Remote Loader f r die Kommunikation mit einem Java Treiber ben tigen geben Sie ein Schl ssel Wert Paar ein keystore keystorename storepass pass word Wird nur f r Identity Manager Anwendungsschnittstel lenmodule in JAR Dateien verwendet Gibt das Pass wort f r den Java Keystore an der im Parameter keystore festgelegt ist Beispiel storepass MeinPasswort Diese Option gilt
387. nz verwendet die als Win32 Dienst ausgef hrt wird Dies wird beim Instal lieren einer Instanz als Dienst automatisch einger ichtet Beispiel service install serv uninstall Diese Option ist nicht f r rdxml oder den Java Remote Loader verf gbar Gibt das Passwort der Remote Loader Instanz und das Passwort des Identity Manager Treiberobjekts des Remote Schnittstellenmoduls an mit dem der Remote Loader kommuniziert Das erste Passwort im Argument ist das Passwort f r den Remote Loader Das zweite Passwort in den optionalen Argumenten ist das Passwort f r das Identity Man ager Treiberobjekt das mit dem Remote Schnittstel lenmodul auf dem Metaverzeichnis Server verkn pft ist Es m ssen entweder beide oder keine Pass w rter angegeben werden Wenn kein Passwort angegeben wird fordert der Remote Loader zur Eingabe der Passw rter auf Dies ist eine Konfigura tionsoption Mithilfe dieser Option wird die Remote Loader Instanz mit den angegebenen Passw rtern konfiguriert Es wird jedoch weder ein Identity Man ager Anwendungsschnittstellenmodul geladen noch mit anderen Loader Instanzen kommuniziert Beispiel setpasswords novell4 staccato3 sp novell4 staccato3 Konfigurationsoptionen f r einen Remote Loader 283 Option Kurzform Parameter Beschreibung storepass Keystore Pass Wird nur f r Identity Manager Anwendungsschnitts wort tellenmodule in JAR Dateien verwendet Gibt das Passwort f r den Java Keystore a
388. o novell cn ablake ou users ou idm sam ple Jeff o novell cn ablake ou users ou idm sam ple Jeff o novell cn ablake ou users ou idm sam ple Jeff o novell User Name cn ablake ou users ou idm sam ple Jeff o novell cn ablake ou users ou idm sam ple Jeff o novell User Name cn ablake ou users ou idm sam ple Jeff o novell cn ablake ou users ou idm sam ple Jeff o novell cn ablake ou users ou idm sam ple Jeff o novell cn ablake ou users ou idm sam ple Jeff o novell User Name cn 7 0u users ou idm sam pl e gatest o novell cn f ou users ou idm sam pl e qatest o novell cn ablake ou users ou idm sam ple Jeff o novell Action Entitlem ent Provisioning Activity ENTITLEMENT Entitlem ent Provisioning Activity ENTITLEMENT Entitlem ent P rovisioning Activity Entitlem ent Provisioning Activity Action Entitlem ent Provisioning Activity Entitlem ent Prowisioning Activity Action Entitlem ent Provisioning Activity Entitlem ent Provisioning Activity Entitlem ent Provisioning Activity Entitlem ent Provisioning Activity Action Entitlem ent Provisioning Activity Entitlem ent Provisioning Activity ENTITLEMENT Resource Provisioning Report Identity Manager Ereignisse und Berichte 313 Abbildung C 4 Specific User Audit Trail 1 Novell Audit Report for Identity Manager i fi j J Report Last Modified 10 13 2005 Specific User Audit Trail Report Generated On 10 13 2005 Report Period
389. och dass Fehler beim ndern von Richtlinien zum Problem werden k nnen Die mit Identity Manager gelieferten Treiberkonfigurationen verwenden die ungef hrlichsten Einstellungen Sie sollten sich ber die Verwendung von GCVs im Klaren sein um keine Datenverluste zu riskieren Wir empfehlen beispielsweise niemals delete l schen als Wert f r die GCV zu verwenden die das Entziehen einer Kontoberechtigung interpretiert Als weitere Datenschutzma nahme wird der Treiber beim Bearbeiten oder Erstellen von Berechtigungsrichtlinien deaktiviert damit keine nderungen wirksam werden solange Sie die Bearbeitung der Richtlinien noch nicht abgeschlossen haben Sobald Sie fertig sind k nnen Sie den Treiber ber die Schaltfl che Neustart in der Schnittstelle Berechtigungsrichtlinien manuell neu starten Wenn gleichzeitig ein anderer Benutzer die Berechtigungsrichtlinien bearbeitet und Sie den Berechtigungs Service Treiber ber die Schaltfl che Neustart neu zu starten versuchen werden Sie ebenso aufgefordert den Treiber erst dann neu zu starten wenn der andere Benutzer alle seine nderungen vorgenommen hat 6 10 3 Passwortsynchronisierung und Berechtigungen Die Passwortsynchronisierung wird bei Treibern mit funktionsbasierten Berechtigungen auf die gleiche Weise verwaltet wie bei anderen Treibern siehe Passwortsynchronisierung mit verbundenen Systemen auf Seite 75 Erstellung und Verwendung von Berechtigungen 211 212 Nove
390. og settings from the Driver Set Protokolleinstellungen vom Treibersatz verwenden w hlen Sie Log specific events Bestimmte Ereignisse protokollieren und klicken Sie anschlie end auf OK 3 Klicken Sie auf das Symbol Zu protokollierende Ereignisse ausw hlen 4 W hlen Sie die zu protokollierenden Ereignisse aus und klicken Sie anschlie end auf OK 222 Novell Identity Manager 3 0 Administrationshandbuch Verwalten von Engine Services Die folgenden Treiber werden nur f r Services der Metaverzeichnis Engine verwendet nicht f r externe verbundene Systeme Diese Treiber werden automatisch bei der Installation von Identity Manager installiert Abschnitt 8 1 Berechtigungs Service Treiber auf Seite 223 e Abschnitt 8 2 Service Treiber f r manuelle Aufgaben auf Seite 223 8 1 Berechtigungs Service Treiber Weitere Informationen hierzu finden Sie unter Kapitel 6 Erstellung und Verwendung von Berechtigungen auf Seite 173 8 2 Service Treiber f r manuelle Aufgaben Der Service Treiber f r manuelle Aufgaben dient dazu einen oder mehrere Benutzer dar ber in Kenntnis zu setzen dass ein Datenereignis aufgetreten und m glicherweise eine Aktion des Benutzers erforderlich ist In einem Szenario in dem es um die Bereitstellung f r Mitarbeiter geht kann das Datenereignis beispielsweise im Erstellen eines neuen Benutzerobjekts und die Aktion des Benutzers in der Zuteilung einer B ronummer durch eine entsprechende Date
391. ollten Die folgende Abbildung zeigt hierf r ein Beispiel Abbildung 5 7 Synchronisieren der Attribute f r den privaten und den ffentlichen Schl ssel Klasse hinzuf gen Attribut bearb L schen Filter kopieren von Schablone festlegen ee a Klassenname User a gt siteLocation Attributname Attributinformationen a is Anwendungsname lt gt Surname fa lt gt Telephone Number i KEDA teletexTerminalldentifier Ver ffentlichen amp Synchronisieren telexNumb amp nn O Ignorieren Timezone O Benachrichtigen MD title Y O Zur cksetzen lt b tollFreePhoneNumber D Abonnieren ur D synchronisieren E lt gt uniquelD D Ignorieren KED vehiclelnformation gt O Benachrichtigen SP vorktorcen 3 O Zur cksetzen ED 5 Zusammenfihrungsstelle GD pubic key v Standard v Fehlersuche bei Szenario 1 e Aktivieren Sie die Option DSTrace e Kontrollieren Sie den Treiberfilter um sicherzustellen dass die Attribute ffentlicher Schl ssel und Privater Schl ssel nicht ignoriert sondern synchronisiert werden Beachten Sie auch die Tipps in Abschnitt 5 13 Fehlersuche bei der Passwortsynchronisierung auf Seite 169 5 8 3 Szenario 2 Synchronisieren unter Verwendung des universellen Passworts Mit Identity Manager k nnen Sie ein Passwort aus einem verbundenen System mit dem universellen Passwort im Identit tsdepot synchronisieren Wenn da
392. onen und Aufgaben Passwortrichtlinie A E Sp eDirectory Verwaltung eDirectory Wartung z Funktionsbasierte Berechtigungen Aktivieren Sie die Passworteinstellungen f r Ihre Richtlinie ber die Kontrollk stchen Gruppen M Universelles Passwort aktivieren E Helpdesk M Erweiterte Passwortregeln aktivieren E Identity Manager Synchronisierung des universellen Passworts Identity Mansger berblick NDS Passwort bei Auswahl des universellen Passworts entfernen j Identity 7 NDS Passwort bei Auswahl des universellen Passworts synchronisieren Manager Dienstprogramme e g Konfiguration f r Bereitstellungsanforderungen LDAP NMAS Novell Zertifikatszugriff a Partitions und Reproduktionsverwaltung a Novell Certificate Server a Einfaches Passwort bei Auswahl des universellen Passworts synchronisieren bruf des universellen Passworts IM V Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren A 7 Benutzer darf Passwort abrufen Administrator darf Passw rter abrufen Authentifizierung berpr fen ob vorhandene Passw rter der Passwortrichtlinie entsprechen erfolgt bei der Anmeldung Passw rter Hinweis thr Netzwerk muss m glicherweise f r das universelle Passwort vorbereitet werden Passwortstatus berpr fe Her rderungss tze Informationen zur Vorbereitung des Netzwerks au
393. onfiguration enthalten k nnen aber auch wie in Abschnitt 5 7 Upgrade bestehender Treiberkonfigurationen zur Unterst tzung der Passwortsynchronisierung auf Seite 106 beschrieben hinzugef gt werden 2 Klicken Sie in iManager auf Identity Manager gt Identity Manager Uberblick 3 Suchen Sie den gew nschten Treibersatz oder w hlen Sie einen Container aus der den Treibersatz enth lt 4 Klicken Sie auf der Seite Identity Manager Treiber berblick auf das Symbol f r den Treiber 160 Novell Identity Manager 3 0 Administrationshandbuch 5 Klicken Sie auf ein Eingabetransformations oder Ausgabetransformationssymbol Identity Manager Treiber berblick Treiber Active Directory TesatDriverSet novell Aktivierung erforderlich bis 1 Mai 2006 5 FO _rueaalihre auf Caran Einf gen _ Entfernen Bearbeiten Umbenennen L schen Exportieren Aus Identit tsdepot mig 6 W hlen Sie eine Richtlinie aus und klicken Sie anschlie end auf Bearbeiten 7 Klicken Sie auf eine Regel 8 Geben Sie das Passwort f r den SMTP Server in den Regeln an die Aktionen vom Typ Email aus Schablone senden beinhalten Wenn Sie beispielsweise die Beispiel Treiberkonfigurationen verwenden m ssen Sie die folgenden Passwortsynchronisierungsrichtlinien ndern Richtliniensatz Richtlinienname Regelname Eingabetransformation Password Pub Sub Email Email senden wenn beim Notifications Passwortabonne
394. or ID Recipient Process Name 3152E Provision_Submitted Initiator ID Recipient Process Name 3152F Provision_Success Initiator ID Recipient Process Name 31530 Provision_Failure Initiator ID Recipient Process Name 31531 Provision_Granted Initiator ID Recipient Process Name 31532 Provision_Revoked Initiator ID Recipient Process Name 31533 Workflow_Retracted Initiator ID Recipient Process Name Tabelle C 26 Workflow Felder Text Title Text2 Title und Text3 Title EventID Description Text1 Title Text2 Title Text3 Title 31520 Workflow_Error Activity Process ID Error Message 31521 Workflow_Started Activity Process ID 31522 Workflow_Forwarded Activity Process ID 31523 Workflow_Reassigned Activity Process ID 31524 Workflow_Approved Activity Process ID Secondary User 31525 Workflow_Refused Activity Process ID Secondary User 31526 Workflow_Ended Activity Process ID 31527 Workflow_Claimed Activity Process ID Secondary User 31528 Workflow_Unclaimed Activity Process ID Secondary User 31529 Workflow_Denied Activity Process ID Secondary User 3152A Workflow_Completed Activity Process ID 3152B Workflow_Timedout Activity Process ID 3152C User_Message Message Identity Manager Ereignisse und Berichte 307 EventID Description Text1 Title Text2 Title Text3 Title 3152D Provision_Error Activity Process ID Error Message 3152E Provision_Submitted Activity Process ID 3152F Provision_Success Activity Process ID 31530 Provision_Failure Activity Process ID
395. orderlich ist auf demselben Server reproduziert werden der auch den f r das Synchronisieren der Passw rter zust ndigen Treiber enth lt Wie auch bei anderen Treiberfunktionen kann der Treiber nur Benutzer verwalten die sich in einer Master oder Lese Schreibreproduktion auf demselben Server befinden Stellen Sie sicher dass SSL zwischen Webserver und Identit tsdepot richtig konfiguriert ist Falls schon beim Erstellen eines Benutzers gemeldet wird dass das Passwort nicht regelkonform ist das Passwort im Identit tsdepot jedoch korrekt hinterlegt ist entspricht das Passwortsynchronisierung mit verbundenen Systemen 169 Standardpasswort in der Treiberrichtlinie m glicherweise nicht der f r diesen Benutzer geltenden Passwortrichtlinie Im folgenden Szenario wird der Active Directory Treiber verwendet Bei einem anderen Treiber w re diese Situation jedoch auch denkbar Bereitstellen eines Ausgangspassworts Sie m chten dass der Active Directory Treiber das Ausgangspasswort f r einen Benutzer bereitstellt wenn der Treiber im Identit tsdepot ein neues Benutzerobjekt als passendes Gegenst ck zu einem Benutzer in Active Directory erstellt Die Beispielkonfiguration f r den Active Directory Treiber sendet das Ausgangspasswort in einem von der Benutzererstellung getrennten Vorgang Dar ber hinaus enth lt die Beispielkonfiguration auch eine Richtlinie die ein Standardpasswort f r einen Benutzer bereitstellt wenn Active Directory
396. ort abrufen Administrator darf Passw rter abrufen Novell Certificate Server Novell Zertifikatszueriff SOUR ECC berpr fen ob vorhandene Passw rter der Passwortrichtlinie entsprechen erfolgt bei der Anmeldung a Partitions und Reproduktionsverwaltung E Passw rter Passwortstatus berpr fen Herausforderungss tze Informationen zur Vorbereitung des Netzwerks auf das universelle Passwortrichtlinien Passwort finden Sie unter Password Management Administration Passwortsynchronisierung Guide Richtlinienzuweisungen anzeigen Universelles Passwort festlegen Email Serveroptionen Email Schablonen bearbeiten Hinweis Ihr Netzwerk muss m glicherweise f r das universelle Passwort vorbereitet werden ae OK __Abbrechen _ Anwenden e Universelles Passwort aktivieren e NDS Passwort bei Auswahl des universellen Passworts synchronisieren Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren Da Identity Manager das Verteilungspasswort abruft um Passw rter an verbundene Systeme zu verteilen ist eine Passwortsynchronisierung in beide Richtungen nur m glich wenn diese Option ausgew hlt ist 4 Bei der Verwendung von erweiterten Passwortregeln m ssen Sie sicherstellen dass diese nicht im Widerspruch zu den Passwortrichtlinien auf den verbundenen Systemen stehen die Passw rter abonnieren Einstellungen f r die Passwortsynchronisierung 1 Klicken
397. ortrichtlinien mit aktiviertem universellem Passwort zugewiesen haben Durch Zuweisung einer Passwortrichtlinie an den Partitionsstammcontainer kann sichergestellt werden dass die Passwortrichtlinie allen in diesem Container und seinen Untercontainern enthaltenen Benutzern zugewiesen wird Hilfreiche DSTrace Befehle DXML Zum Anzeigen der Regelverarbeitung durch Identity Manager und m glicher Fehlermeldungen DVRS Zum Anzeigen der Meldungen des Identity Manager Treibers AUTH Zum Anzeigen der nderungen am NDS Passwort DCLN Zum Anzeigen von Meldungen des NDS DClient Passwortsynchronisierung mit verbundenen Systemen 171 172 Novell Identity Manager 3 0 Administrationshandbuch Erstellung und Verwendung von Berechtigungen Mit Identity Manager k nnen Sie Daten zwischen verbundenen Systemen synchronisieren Anhand von Berechtigungen k nnen Sie Kriterien f r eine Person oder Gruppe erstellen Wenn diese Kriterien erf llt sind l sen sie ein Ereignis aus das den Zugriff auf Gesch ftsressourcen innerhalb des verbundenen Systems erteilt oder entzieht Dadurch erhalten Sie eine weitere Kontroll und Automatisierungsebene f r das Erteilen und Entziehen von Ressourcen Das Funktionieren von Berechtigungen ist von zwei Aspekten abh ngig dem Erstellen und dem Verwalten der Berechtigung Berechtigungen werden ber iManager oder ber Designer erstellt Klicken Sie zum Erstellen einer Berechtigung in iManager unter dem Titel Identit
398. ory Account Mgr Approve 5 minute 2 retry TA Enable Active Directory Account Mer Approve 5 minute 2 retry TA Enable Active Directory Account Mer Approve 5 minute 2 retry TA Enable Active Directory Account Mer Approve 5 minute 2 retry TA Enable Active Directory Account Mer Approve 5 minute 2 retry TA Enable Active Directory Account Mgr Approve 5 minute 2 retry TA Enable Active Directory Account Mer Approve No Timeout Enable Active Directory Account Mer Approve No Timeout Entitlement Provisioning Activity Entitlement Provisioning Activity Entitlement Provisioning Activity ENTITLEMENT Entitlement Provisioning Activity ENTITLEMENT Entitlement Provisioning Activity Entitlement Provisioning Activity Entitlement Provisioning Activity ENTITLEMENT Entitlement Provisioning Activity ENTITLEMENT Entitlement Provisioning Activity Entitlement Provisioning Activity ENTITLEMENT Entitlement Provisioning Activity User Provisioning Report Service Treiber f r manuelle Aufgaben Ersetzungsdaten Ersetzungsdaten sind Teil von XML Dokumenten die als Schablonen zum Erstellen von Emails Webseiten und XDS Dokumenten verwendet werden Die eigentliche Ersetzung erfolgt durch die Verarbeitung des Schablonendokuments mit einer XSLT Formatvorlage die die Ersetzung als Teil der Erstellung des Ausgabedokuments durchf hrt Ersetzungsdaten werden dem Service Treiber f r man
399. ove value J Reset Attributes ws J Input J Placement J Output Mapping J Driver Filter Migrate Request IV Engine Errors V Warning T Other Remove Move I Query schema I Change password J Clear Attribute Merge Entry I Add value on modify vs J Output I Create Matching User Agent Request J Password Sync 4 W hlen Sie die zu protokollierenden Ereignisse aus und klicken Sie anschlie end auf OK Protokollierung von Ereignissen f r einen Treiber 1 Klicken Sie in Designer mit der rechten Maustaste auf einen Treiber und w hlen Sie Properties Eigenschaften PM Properties for Delimited Text type filter text 7 1 General 2 Global Configuration Ye 3 Driver Log Level 4 Driver Configuration 5 Driver Manifest 6 Named Passwords 7 iManager Icon 8 Trace 9 Documentation 3 Driver Log Level IV Use log settings From the Driver Set r Disabled C oq errors Turn logging off og errors and warnings og specific events Only update last log time Maximum number of entries in the log 50 500 i 50 Sicherheit Best Practices 221 2 W hlen Sie Driver Log Level Protokollierumfang f r Treiber und anschlie end Log Specific Events Bestimmte Ereignisse protokollieren Sie k nnen auch die Einstellungen f r den Treibersatz akzeptieren und anschlie end auf OK klicken Deaktivieren Sie anderenfalls die Option Use l
400. owser an den Webserver Die URL gibt die Formatvorlage die Schablone und die Ersetzungsdaten an die f r die Erstellung einer dynamischen Webseite die blicherweise ein HTML Formular enth lt verwendet werden Der Webserver erstellt eine HTML Seite indem er die Schablone mit der Formatvorlage und den Ersetzungsdaten verarbeitet Die HTML Seite wird an den Webbrowser des Benutzers als die Ressource zur ckgegeben auf die sich die URL bezieht Im Browser wird die HTML Seite angezeigt und der Benutzer gibt die angeforderten Informationen ein Der Browser sendet eine HTTP POST Anforderung die die eingegebenen Informationen und andere Informationen erh lt die von der URL in der Email stammen Der DN des Benutzers der die Email beantwortet und das Benutzerpasswort m ssen in den POST Daten enthalten sein Der Webserver authentifiziert den Benutzer ber dessen DN und das Passwort Wenn bei der Authentifizierung ein Fehler auftritt wird als Ergebnis der POST Anforderung eine Webseite mit einer Fehlermeldung zur ckgegeben Die Fehlermeldung kann ber eine in den POST Daten angegebene Formatvorlage und eine Schablone erstellt werden Bei erfolgreicher Authentifizierung wird die Verarbeitung fortgesetzt Der Webserver erstellt mit der in den POST Daten angegebenen Formatvorlage und Schablone ein XDS Dokument Das XDS Dokument wird auf dem Herausgeberkanal an Identity Manager gesendet Das Ergebnis der bertragung d
401. password OmMWATIAABWNHE 34 Novell Identity Manager 3 0 Administrationshandbuch 10 Initialize new driver object 11 Passwords operations 12 Cache operations 99 Exit Enter choice Geben Sie 11 f r Passwortvorg nge ein Es wird eine Liste mit folgenden Optionen angezeigt Select a password operation Set shim password Reset shim password Set named password Clear named password s List named passwords Exit ook WN EF Enter choice Optional Geben Sie 5 ein um die Liste der vorhandenen benannten Passw rter anzuzeigen Die Liste der vorhandenen benannten Passw rter wird angezeigt In diesem Schritt k nnen Sie sicherstellen dass Sie das richtige Passwort entfernen 7 Geben Sie 4 ein um ein oder mehrere benannte Passw rter zu entfernen 8 Geben Sie an der folgenden Eingabeaufforderung No ein um ein einzelnes benanntes 10 Passwort zu entfernen Do you want to clear all named passwords yes no Geben Sie den Namen des zu l schenden benannten Passworts an der folgenden Eingabeaufforderung ein Enter password nane Wenn Sie den Namen des zu l schenden Passworts eingegeben haben wird wieder das Men f r Passwortvorg nge angezeigt Select a password operation Set shim password Reset shim password Set named password Clear named password s List named passwords Exit Oot WN EF Enter choice Optional Geben Sie 5 ein um die Liste der vor
402. passwort Passwort immer akzeptieren Passwortrichtlinien ignorieren Anwendung akzeptiert Passw rter Abonnentenkanal Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen Dar ber hinaus m ssen Sie sicherstellen dass die Informationen f r die SMTP Authentifizierung in den Treiberrichtlinien enthalten sind e Abschnitt 5 12 1 Voraussetzungen auf Seite 157 e Abschnitt 5 12 2 Den SMTP Server f r das Senden von Email Benachrichtigungen einrichten auf Seite 158 Einrichten von Email Schablonen f r Benachrichtigungen auf Seite 159 e Abschnitt 5 12 4 Bereitstellen von SMTP Authentifizierungsdaten in Treiberrichtlinien auf Seite 160 e Abschnitt 5 12 5 Hinzuf gen eigener Platzhalter Tags zu Email Benachrichtigungsschablonen auf Seite 162 e Abschnitt 5 12 6 Senden von Email Benachrichtigungen an den Administrator auf Seite 168 Abschnitt 5 12 7 bersetzen von Email Benachrichtigungsschablonen auf Seite 169 5 12 1 Voraussetzungen DO Stellen Sie sicher dass das Attribut Internet EMail Address f r die im Identit tsdepot enthaltenen Benutzer hinterlegt wurde 0 Bei Verwendung von Email Benachrichtigungen f r die Passwortsynchronisierung m ssen Sie sicherstellen dass die Treiberrichtlinien f r die Passwortsynchronisierung das Passwort f r den SMTP Server enthalten Weitere Informationen hierzu finden Sie in Abschnitt 5 12 4 Bereitstellen
403. pielschablone wird zur Erzeugung eines einfachen Texts fiir eine Email verwendet lt form text xmlns form http www novell com dirxml manualtask form gt Dear SmanagerS This message is to inform you that your new employ Sgiven name surname has been hired You need to assign a room number for this individual Use the following link to do this url Thank you The HR Department lt form text gt Das Element lt form text gt ist erforderlich da Schablonen XML Dokumente sein m ssen Das Element lt form text gt wird bei der Schablonenverarbeitung entfernt Die folgende Schablone wird zur Erzeugung eines HTML Formulars verwendet das als Webseite zur Dateneingabe verwendet wird lt html xmins form http www novell com dirxml manualtask form gt lt head gt lt title gt Enter room number for Ssubject name lt title gt lt head gt lt body gt lt link href novdocmain css rel style sheet type text css gt lt br gt lt br gt lt br gt lt br gt lt form class myform METHOD POST ACTION Surl baseS process template xsl gt lt table cellpadding 5 cellspacing 10 border 1 align center gt lt tr gt lt td gt lt input TYPE hidden name template value post form xml gt lt input TYPE hidden name subject name value subject nameS gt lt input TYPE hidden name association value Sassociation gt lt input TYPE hidden name
404. pre defined list gt lt values multi valued false gt lt entitlement gt In diesem Beispiel lautet der Name der Berechtigung Admin defined keine Liste und die Berechtigung verwendet diesen Namen als Anzeigename weil kein Eintrag f r einen Anzeigenamen definiert ist Auch hier gilt f r das Konfliktl sungsattribut die Standardeinstellung priority Dies bedeutet dass die RBE mit der h chsten Priorit t den Wert festlegt wenn die Berechtigung von der Funktion Funktionsbasierte Berechtigungen verwendet wird Sie k nnen anschlie end ber einen Berechtigungsclient wie z B eine RBE Aufgabe in iManager oder ber die Benutzeranwendung die Geb udeinformationen angeben die in eine externe Anwendung wie z B Novell eDirectory aufgenommen werden 6 4 7 Abschlie en der Berechtigungserstellung Die Beispiele f r das Erstellen und Verwenden von Berechtigungen haben die ersten beiden Schritte dieses Verfahrens veranschaulicht siehe Abschnitt 6 2 Erstellen von Berechtigungen berblick auf Seite 174 Schritt 1 beinhaltet das Anlegen einer Checkliste mit den Zielen die Sie mit den Berechtigungen verfolgen In Schritt 2 schreiben Sie die Berechtigungen mit denen die Ziele in der Checkliste umgesetzt werden sollen Schritt 3 das Erstellen von Richtlinien f r den Identity Manager Treiber w rde den Rahmen dieses Kapitels sprengen Informationen zum Erstellen und Bearbeiten von Richtlinien finden Sie im Policy Build
405. r SQL Anweisungen oder ber Crystal Decisions Reports Oracle und MySQL Datenspeicher abfragen kann oder jede andere Datenbank die ODBC Treiber unterst tzt Befolgen Sie die Anweisungen im Novell Audit Administration Guide Novell Audit Administrationshandbuch wenn Sie auf das Novell Audit iManager Plugin zugreifen oder Novell Audit Report einrichten m chten Dieses Handbuch ist auf der Novell Audit Website http www novell com documentation nsureaudit verf gbar 10 5 1 Identity Manager Berichte Identity Manager enth lt eine Reihe von Crystal Decisions Reports rpt die das Sammeln von Informationen zu den g ngigen Operationen in Identity Manager vereinfachen Diese Berichte befinden sich auf der Installations CD von Identity Manager Nachdem Sie Novell Audit Report konfiguriert haben k nnen diese Berichte neben den anderen benutzerdefinierten Abfragen und Berichte ausgef hrt werden Unter Working with Reports in Novell Audit Report http www novell com documentation nsureaudit nsureaudit data alsn2fj html im Novell Audit 1 0 3 Administration Guide Novell Audit 1 0 3 Administrationshandbuch finden Sie Informationen dar ber wie diese Berichte in Novell Audit Report eingesetzt werden k nnen Beispiele dieser Berichte finden Sie in Abschnitt C 11 Berichte auf Seite 310 im Anhang C Identity Manager Ereignisse und Berichte auf Seite 289 10 5 2 Anzeigen von Identity Manager Ereignissen 1 Klicken Sie i
406. r dass die Administratoren und Helpdesk Mitarbeiter dar ber Bescheid wissen dass ConsoleOne das universelle Passwort nur unterst tzt wenn es auf einem NetWare 6 5 Server oder h her eingesetzt wird oder wenn es auf einem Computer verwendet wird auf dem der neueste Novell Client installiert ist Stellen Sie sicher dass den Administratoren und Helpdesk Mitarbeitern die Besonderheiten bei der Verwendung von Dienstprogrammen bekannt sind die nur NDS Passw rter unterst tzen Solche Dienstprogramme k nnen zur Anmeldung verwendet werden nicht jedoch zum ndern von Passw rtern Dadurch kann eine Passwortdivergenz vermieden werden Der Novell Modular Authentication Services NMAS 3 0 Administration Guide http www novell com documentation nmas30 index html Novell Modular Authentication Services 3 0 Administrationshandbuch enth lt einen Verweis auf eine TID die Informationen zur Unterst tzung des universellen Passworts durch bestimmte Dienstprogramme enth lt 102 Novell Identity Manager 3 0 Administrationshandbuch 5 4 4 Abgleichen der Container NMAS Passwortrichtlinien werden baumspezifisch zugewiesen Die Passwortsynchronisierung hingegen wird pro Treiber konfiguriert Treiber werden serverspezifisch installiert und k nnen nur Benutzer verwalten die sich in einer Master oder Lese Schreibreproduktion befinden Damit eine Passwortsynchronisierung die gew nschten Ergebnisse liefert m ssen Sie sicherstellen dass die Co
407. r Dienstprogramme Schablonen Nach Namen sortieren z a Konfiguration fiir Betreff Name Zuletzt ge ndert Bereitstellungsanforderungen 7 Your password hint request Forgot Hint 25 01 2006 14 34 LDAP 7 Your password request Forgot Password 25 01 2006 14 34 E NMAS I Notice of Password Reset Failure Password Reset Fail 25 01 2006 14 34 Novell Certificate Server 7 Notice of Password Set Failure Password Set Fail 25 01 2006 14 34 NosolE Zortifikatszugrift T Notice of Password Synchronization Failure Password Sync Fail 25 01 2006 14 34 Partitions und isioni Qe ener ar Provisioning Approval Reproduktionsverwaltun I Provisioning Approval Notification Completed Notification 25 01 2006 15 06 E Passw rter New Provisioning Request Provisioning Notification 25 01 2006 15 06 Passwortstatus berpr fen Herausforderungssatze Passwortrichtlinien Passwortsynchronisierung Richtlinienzuweisungen anzeigen Universelles Passwort festlegen Email Serveroptionen Email Schablonen bearbeiten 2 Bearbeiten Sie die Schablonen nach Ihren Vorstellungen Beachten Sie dass zus tzliche Schritte erforderlich sein k nnen wenn Sie Platzhalter Tags hinzuf gen m chten Befolgen Sie die Anweisungen in Abschnitt 5 12 5 Hinzuf gen eigener Platzhalter Tags zu Email Benachrichtigungsschablonen auf Seite 162 Passwortsynchronisierung mit verbundenen Systemen 159 3 Starten Sie die Identity Manager Treiber neu die mit den nderungen aktualisiert werden
408. r Eintr ge im Protokoll 50 500 6 Wenn Sie die Einstellung vorgenommen haben klicken Sie auf OK Protokollgr e f r einen Treiber definieren 1 W hlen Sie in iManager Identity Manager gt Identity Manager berblick und klicken Sie auf Weiter 2 W hlen Sie das Treibersatzobjekt aus und klicken Sie auf Suchen Protokollierung und Berichterstellung mit Novell Audit 261 3 Klicken Sie auf die obere rechte Ecke des Treibersymbols und w hlen Sie anschlie end Eigenschaften bearbeiten Treibersatz DriverSet South novell Treiber starter R Aktuellen Status abfragen rOSOW etsenschaften bearbeite wy Active Directory entitlement Active Direct ee B 4 W hlen Sie Protokollierumfang auf der Registerkarte Identity Manager Objekt bearbeiten Active Directory TestDriverSet novell KENNST Server Variablen Allgemein onfigur Protokollierumfang Protokolleinstellungen des Treibersatzes TestDriverSet novell verwenden Folgende Protokolleinstellungen entstammen dem Treibersatz und k nnen auf dieser Seite nicht geandert werden Um die Treibersatzeinstellungen zu ndern klicken Sie hier Fehler protokollieren Fehler und Warnmeldungen protokollieren Bestimmte Ereignisse protokollieren EA Nur die letzte Protokollzeit aktualisieren Protokollierung aus Protokollierung in Treibersatz Abonnenten und Herausgeberprotokollen deaktivieren Maximale Anzahl der
409. r Keystore Datei Dieser Parameter wird zusammen mit Keystore Passwort Name des Zertifikats Schl sselalias und Zertifikatspasswort Schl sselpasswort f r die Angabe einer Java Keystore Datei verwendet die ein Zertifikat und einen Schl ssel enth lt die vom Webserver des Herausgeberkanals f r SSL verwendet werden Verwalten von Engine Services 233 Wenn dieser Parameter angegeben wird verwendet der Webserver des Herausgeberkanals SSL f r die Verarbeitung von HTTP Anforderungen Wenn der Parameter Name des KMO einen Wert enth lt werden dieser und ihm zugeordnete Parameter ignoriert Aus Sicherheitsgr nden wird die Verwendung von SSL empfohlen weil eDirectory Passw rter bei Verwendung des Webservers des Herausgeberkanals in HTTP POST Daten bergeben werden Keystore Passwort Mit diesem Parameter wird das Passwort f r die Java Keystore Datei festgelegt die durch den Parameter Name der Keystore Datei festgelegt ist Name des Zertifikats Schl sselalias Mit diesem Parameter wird der Name des Zertifikats festgelegt das in der Java Keystore Datei verwendet werden soll die durch den Parameter Name der Keystore Datei festgelegt ist Zertifikatspasswort Schl sselpasswort Mit diesem Parameter wird das Passwort f r das Zertifikat festgelegt das durch den Parameter Name des Zertifikats Schl sselalias festgelegt ist Abonnenteneinstellungen In diesem Abschnitt werden die
410. r akzeptieren und ein Ausgangspasswort f r einen neuen Benutzer einrichten oder ein vorhandenes Passwort ndern oder beides Weitere Informationen hierzu finden Sie in Abschnitt 5 2 Unterst tzung von verbundenen Systemen bei der Passwortsynchronisierung auf Seite 86 5 1 3 Vergleich zwischen Version 1 0 der Passwortsynchronisierung und der Identity Manager Passwortsynchronisierung Tabelle 5 1 Vergleich Passwortsynchronisierung 1 0 und Identity Manager Passwortsynchronisierung Passwortsynchronisierung 1 0 Passwortsynchronisierung mit Identity Manager 2 und 3 Produktzustel Separates Produkt nicht im Liefer Teil von Identity Manager nicht separat lung umfang von Identity Manager erh ltlich enthalten Passwortsynchronisierung mit verbundenen Systemen 77 Passwortsynchronisierung 1 0 Passwortsynchronisierung mit Identity Manager 2 und 3 Plattformen In einem Iden tit tsdepot ver wendetes Passwort Hauptfunktional itat fur unter Windows ver bundene Sys teme LDAP Anderun gen Novell Client nadLoginName Attribut Active Directory e NT Domain e eDirectory NDS Passwort nicht reversibel Das Senden von Passw rtern an Identity Manager um das Iden tit tsdepot Passwort mit dem Win dows Passwort zu synchronisieren Auf den folgenden Plattformen wird die bidirek tionale Passwortsynchronisierung vollst ndig unterst tzt e Active Directory e eDirectory e NIS N
411. r einen separaten Baum verf gt 9 1 3 Gemeinsame Nutzung von NICI Daten NICI stellt Verschl sselungsdienste zur Verf gung die von eDirectory Identity Manager und Novell Client Anwendungen verwendet werden Wenn NICI in Verbindung mit eDirectory 242 Novell Identity Manager 3 0 Administrationshandbuch verwendet wird stellt NICI serverspezifische Schl ssel zur Verf gung Diese serverspezifischen Schl ssel m ssen auf allen Clusterknoten auf denen eDirectory als Clusterdienst ausgef hrt wird identisch sein Es gibt zwei M glichkeiten f r die Freigabe von NICI Daten Die NICI Daten im gemeinsam genutzten Speicher des Clusters ablegen Der Nachteil dieser Methode liegt darin dass Anwendungen die auf NICI angewiesen sind nur dann auf einem Clusterknoten funktionieren wenn der Knoten auch den gemeinsam genutzten Speicher hostet e Die NICI Daten vom prim ren Server in den lokalen Speicher des sekund ren Servers kopieren So kopieren Sie die NICI Daten 1 Benennen Sie var novell nici auf dem sekund ren Clusterknoten um z B var novell nici sav 2 Kopieren Sie das Verzeichnis var novell nici vom prim ren Clusterknoten auf den sekund ren Clusterknoten Sie k nnen hierzu scp verwenden oder eine tar Datei des var novell nici Verzeichnisses auf dem prim ren Knoten erstellen sie auf den sekund ren Knoten bertragen und dort entpacken 9 1 4 Freigabe von eDirectory und Identity Manager Daten eDirectory speic
412. r funktionsbasierte Berechtigungen und f r Workflow basierte Bereitstellungsberechtigungen gelten 2 222m ccc ee nenn 210 6 10 1 Steuerung der Bedeutung des Erteilens oder Entziehens von Berechtigungen 210 4 6 10 2 Verhindern von Datenverlusten 0 0 0c eee 211 6 10 3 Passwortsynchronisierung und Berechtigungen 0 00 eee eee eee 211 7 Sicherheit Best Practices 213 7 1 Verwenden Von SSL ii 2s riir Bere Pie Be Ferne eee er oe 213 7 2 Gesicherter Z g Zach er He ib haha AR ee ba 213 7 3 Verwalten von Passw rtern 2 2 2220 oeeeneee een ernennen 214 7 4 Erstellen von Richtlinien f r sichere Passw rter 222222 ee een een ern 215 7 5 Sicherheit auf verbundenen Systemen 2 22 00 e cece rennen 216 76 Designer f r Identity Manager 222 H naana 216 7 7 Best Practices bei der Einrichtung von Sicherheitsma nahmen 0005 217 7 8 berwachung von nderungen an sicherheitsrelevanten Daten 2222220 217 7 8 1 Protokollierung von Ereignissen ber iManager 222222 218 7 8 2 Protokollierung von Ereignissen Uber den Designer 0000 0s 219 8 Verwalten von Engine Services 223 8 1 Berechtigungs Service Treiber tenes 223 8 2 Service Treiber f r manuelle Aufgaben 2 22 22 eeee rennen ernennen 223 8 2 1 Installation Sah gle open ase Noe 2g Sane oe BEE E hie A Mahi c tate iad lan E AAA E EN 223
413. r88 data fbachifb html eDirectory Rechte im Novell eDirectory 8 8 Administration Guide Novell eDirectory 8 8 Administrationshandbuch berblick ber die Identity Manager 3 0 Architektur 15 1 2 7 Herausgeber und Abonnentenkan le Identity Manager Treiber enthalten zwei Kan le f r die Verarbeitung von Daten den Herausgeberkanal und den Abonnentenkanal Der Herausgeberkanal sendet Ereignisse vom verbundenen System an das Identit tsdepot Der Abonnentenkanal sendet Ereignisse vom Identit tsdepot an das verbundene System Jeder Kanal enth lt eigene Richtlinien f r die Verarbeitung und Transformation von Daten Abbildung 1 5 Herausgeber und Abonnentenkan le in Designer LDAP Directory IDM Yault Abbildung 1 6 Herausgeber und Abonnentenkan le in iManager Treiber Active Directory TestDriverSet novell 1 2 8 Ereignisse und Befehle Die Unterscheidung von Ereignissen und Befehlen in Identity Manager ist wichtig Wenn ein Ereignis an einen Treiber gesendet wird handelt es sich um einen Befehl Wenn das Ereignis an Identity Manager gesendet wird handelt es sich um eine Benachrichtigung Wenn der Treiber eine Ereignisbenachrichtigung an Identity Manager sendet informiert er Identity Manager ber eine 16 Novell Identity Manager 3 0 Administrationshandbuch nderung die im verbundenen System aufgetreten ist Die Metaverzeichnis Engine ermittelt anschlie end anhand konfigurierbarer Regeln welche Befehle sofern
414. rbundenen Systemen auf Seite 80 Beispielsituationen f r die Synchronisierung von Passw rtern auf Seite 81 Benachrichtigen von Benutzern wenn bei der Passwortsynchronisierung Fehler aufgetreten sind auf Seite 82 berpr fen des Passwortsynchronisierungsstatus eines Benutzers auf Seite 82 Akzeptieren von Passw rtern von verbundenen Systemen Wie bei fr heren Versionen von DirXML und Identity Manager kann jedes verbundene System ein Passwort ber das Identit tsdepot ver ffentlichen Sie legen fest von welchen verbundenen Systemen Identity Manager Passw rter akzeptiert Sie k nnen au erdem ausw hlen ob Identity Manager das Passwort f r Benutzer aktualisieren soll die sich in demselben Identit tsdepot befinden in dem Identity Manager l uft oder ob es nur als Kanal oder Tunnel f r die Synchronisierung der Passw rter zwischen verbundenen Systemen fungieren soll Dadurch ist es m glich das Identit tsdepot Passwort und das Passwort das von Identity Manager an die verbundenen Systeme verteilt wird voneinander zu trennen Einige verbundene Systeme AD andere Identit tsdepots NT und NIS k nnen das aktuelle Passwort des Benutzers bereitstellen d h wenn ein Benutzer das Passwort auf einem verbundenen Passwortsynchronisierung mit verbundenen Systemen 79 System ndert kann es von Identity Manager synchronisiert und an andere verbundene Systeme weitergeleitet werden Bei anderen ver
415. rc dn 30026 DirXML Error Error Message 30027 DirXML Warning Warning message 30028 Custom Operation 30029 Clear Attribute src dn Event ID 3002A Add Value Modify Entry Value src dn Event ID 3002B Remove Value Value src dn Event ID 3002C Merge Entries Object type Channel Association 3002D Get Named Password Password Name Event ID 3002E Reset Attributes 3002F Add Value Add Entry Value src dn Event ID Tabelle C 3 Engine Ereignis Felder Valuel Title Value2 Title und Value3 Title EventID Description Value Title Value2 Title Value3 Title 30001 Status Success 30002 Status Retry 30003 Status Warning 30004 Status Error 30005 Status Fatal 30006 Status Other 30007 Search Result 30008 Add Entry Result 30009 Delete Entry Result 3000A Modify Entry Result 3000B Rename Entry Result 3000C Move Entry Result 3000D Add Association Result Identity Manager Ereignisse und Berichte 293 EventID Description Value Title Value2 Title Value3 Title 3000E Remove Association Result 3000F Query Schema Result 30010 Check Password 30011 Check Object Password 30012 Change Password Result 30013 Sync Result 30014 Input XML Document 30015 Input Transformation Document 30016 Output Transformation Document 30017 Event Transformation Document 30018 Placement Rule Trans formation Document 30019 Create Rule Transforma tion Document 3001A Input Mapping Rule Transformation Docu ment 3001B Output Mapping Rule Transformation Docu men
416. rchgef hrt Retry Wiederholen EV_LOG_STATUS_RETRY 2 Warning Warnhinweis EV_LOG_STATUS_WARNING 3 Error Fehler EV_LOG_STATUS_ERROR 4 Fatal Schwerwiegend EV_LOG_STATUS_FATAL 5 Benutzerdefiniert EV_LOG_STATUS_OTHER 6 Im folgenden Beispiel wird ein Novell Audit Ereignis 0x004 und valuel 7777 mit der Ebene EV_LOG_STATUS_ERROR generiert lt xsl message gt lt status level error textl This would be text1 value 7777 gt This data would be in the blob and in text 2 since no value is specified for text2 in the attributes lt status gt lt xsl message gt Im folgenden Beispiel wird ein Novell Audit Ereignis 0x004 und valuel 7778 mit der Ebene EV_LOG STATUS ERROR generiert lt xsl message gt lt status level error textl This would be text1 text2 This would be text2 valuel 7778 gt This data would be in the blob only for this case Since a value for text2 is specified in the attributes lt status gt lt xsl message gt 10 4 3 eDirectory Objekte Dieser Abschnitt enthalt Details zu den Novell eDirectory Attributen die Protokolldaten speichern Es ist nicht notwendig diese Attribute direkt zu ndern weil diese Objekte entsprechend Ihrer Auswahl in iManager automatisch konfiguriert werden Die Identity Manager Ereignisse die Sie protokollieren m chten sind im DirXML LogEvent Attribut des Treibersatzobjekts oder des Treiberobjekts gespeichert Das Attribut ist eine mehrwertige Ganzzahl Jeder Wert iden
417. rdname der Formatvorlage process_template xsl Email Schablonen des Abonnentenkanals Email Schablonen sind XML Dokumente die h ufig verwendeten Text und Ersetzungs Token enthalten Email Schablonen werden zur Erzeugung des Texts einer Email verwendet Allgemeine Informationen zu Schablonen finden Sie in Abschnitt Schablonen auf Seite 226 Die in einer Email Schablone verwendeten Ersetzungs Token geben die lt item gt Elemente vor die als untergeordnete Elemente des lt replacement data gt Elements zur Verf gung gestellt werden m ssen das von der Abonnentenkanalrichtlinie erstellt wurde die das lt mail gt Element erstellt Wenn z B die Email Schablone ber das Ersetzungs Token employee name verf gt muss ein lt item name employee name gt Element in den Ersetzungsdaten f r das lt message gt Element vorhanden sein Wenn das Element mit dem Mitarbeiternamen nicht vorhanden ist enth lt der Nachrichtentext der Email an der Stelle die das Ersetzungs Token in der Schablone einnimmt keinen Text Email Schablonen k nnen zur Generierung von Nachrichtentexten im Format einfacher Text HTML oder XML verwendet werden Wenn eine Email Schablone eine Nachricht mit einfachem unformatiertem Text generiert muss diese von einer Formatvorlage verarbeitet werden in der als Ausgabetyp einfacher Text angegeben ist Wenn in der Formatvorlage nicht einfacher Text als Ausgabetyp angegeben ist tritt unerw nscht
418. rdneten Aktionssatz der a enn die Bedingungen zutreffen __Entfernen Speichem unter Einf gen Na amp F r jede Knotensatz Entfernte Berechtigung UserAccount Aktionen Zielobjekt l schen Verkn pfung entfernen when before Verknipfung Verknipfungl Vveto einlegen amp F r jede Knotensatz Berechtigung Hinzugefiigt UserAccount Aktionen Zielattributwert festlegen Login Disabled false O18 User Account Entitlement change Disable Option OOH Check User modify for group membership being granted or revoked OOH Check User modify for Exchange mailbox being granted or revoked OK _ _Abbrechen_ __Anwenden_ bertrage Daten von 172 22 10 89 172 22 10 89 9 6 W hlen Sie zum Anzeigen des eigentlichen XML Codes hinter den Richtlinien im Dropdown Listenfeld die Option XML bearbeiten aus Standardm ig ist in diesem Listenfeld die Option Identity Manager Richtlinie aktiviert Informationen zum Erstellen und Bearbeiten von Richtlinien finden Sie im Policy Builder and Driver Customization Guide Handbuch zum Richtlinien Builder und zur Treiberanpassung Das Erstellen von Richtlinien f r einen bestimmten Treiber ist im dazugeh rigen http www novell com documentation dirxmldrivers index html Identity Manager Treiberhandbuch beschrieben 7 F hren Sie zum Anzeigen der bei entsprechend vorkonfigurierten Treibern verf gbaren Berechtigungen in diesem Beispiel Active Directory Schri
419. re Instanzen dargestellt Hinweis Der Wert f r das Verkn pfungsformat ist f r jedes externe System eindeutig festgelegt sodass sich Format und Syntax je nach abgefragtem externen System unterscheiden Ein weiteres Beispiel ist die Exchange Postfach Berechtigung lt xml version 1 0 encoding UTF 8 gt lt entitlement conflict resolution union description The Exchange Mailbox Entitlement grants or denies an Exchange mailbox for the user in Microsoft Exchange display name Exchange Mailbox Entitlement name ExchangeMailbox gt lt values gt lt query app gt lt query xml gt lt nds dtd version 2 0 gt lt input gt lt query class name msExchPrivateMDB dest dn CN Configuration scope subtree gt lt search class class name msExchPrivateMDB gt lt read attr attr name Description gt lt read attr attr name CN gt lt query gt lt input gt lt nds gt lt query xml gt lt result set gt lt display name gt lt token attr attr name CN gt lt display name gt lt description gt lt token attr attr name Description gt lt description gt lt ent value gt lt token srce dn gt lt ent value gt lt result set gt lt query app gt Erstellung und Verwendung von Berechtigungen 191 lt values gt lt entitlement gt In diesem Beispiel verwendet die Exchange Postfach Berechtigung das Attribut union Zusammenf hrung zur Konfliktl
420. re Instanzen des Remote Loader voneinander indem Sie f r jede Remote Loader Instanz unterschiedliche Verbind ungs und Befehls Ports angeben Beispiel connection port 8091 rootfile server1 pem conn port 8091 rootfile server1 pem Option Kurzform Parameter Beschreibung Kurzbeschrei bung description desc help kein java j kein javadebugport jdp Portnummer Keystore Geben Sie eine kurze Beschreibungszeichenkette z B SAP an die f r den Titel des Trace Fensters und f r die Novell Audit Protokollierung verwendet wird Beispiel description SAP desc SAP Die Remote Loader Konsole schreibt lange Formen in die Konfigurationsdateien Sie k nnen entweder eine lange Form z B description oder eine kurze Form z B desc verwenden Zeigt Hilfe Informationen an Beispiel help Gibt an dass f r eine Java Schnittstellenmodulin stanz Passw rter festgelegt werden m ssen Diese Option ist nur in Verbindung mit der Option setpass words hilfreich Wenn class mit setpasswords angegeben wird ist diese Option nicht erforderlich Gibt an dass die Remote Loader Instanz das Java Debugging auf dem angegebenen Port aktivieren soll Dies ist hilfreich f r Entwickler von Identity Man ager Anwendungsschnittstellenmodulen Beispiel javadebugport 8080 jdp 8080 Bedingte Parameter Wird nur f r Identity Manager Anwendungsschnittstellenmodule in JAR Dateie
421. rectory DriverSet South Novell A fA Ein Berechtigungsobjekt darf nur innerhalb eines DirXML Driver Objekts erstellt werden Y Zus tzliche Eigenschaften definieren OK Schlie en Erstellung und Verwendung von Berechtigungen 187 3 Wenn die Option Zus tzliche Eigenschaften definieren ausgew hlt ist wird die Seite XML Editor zum Definieren der gew nschten Elemente der Berechtigung angezeigt hitps 11 72 22 10 89 Novell iManager Mozilla Firefox DirXML Berechtigung uildingfloors active Directory 4 Klicken Sie auf XML Bearbeitung aktivieren um die Elemente zur Berechtigung hinzuzuf gen Hinweis Es wird davon abgeraten den Namen einer Berechtigung zu ndern Wenn Sie den Namen der Berechtigung nachtr glich ndern m ssen Sie auch alle Verweise in den Richtlinien ndern in denen die Berechtigung implementiert ist Der Name der Berechtigung wird in der Richtlinie in den Attributen Ref und Result gespeichert 6 4 6 Beispielberechtigungen zum leichteren Erstellen eigener Berechtigungen Sie k nnen zwei Arten von Berechtigungen erstellen Berechtigungen mit Werten und ohne Werte Berechtigungen mit Werten beziehen diese Werte aus einer externen Abfrage Sie k nnen vom Administrator oder frei definiert sein Nachstehend finden Sie vier Beispiele f r die beiden Berechtigungsarten die Sie erstellen k nnen Hinweis Wenn Sie e
422. reibermanifest beschriebene M glichkeiten zur Passwortsynchronisierung Im Treibermanifest ist dokumentiert ob ein verbundenes System die folgenden Funktionen der Passwortsynchronisierung unterst tzt e bergabe des tats chlichen Benutzerpassworts an Identity Manager e Akzeptieren eines Passworts von Identity Manager Das Manifest unterscheidet nicht ob die Erstellung eines Ausgangspassworts oder nderungen an einem bestehenden Passwort akzeptiert werden e Zul ssigkeit der Passwort berpr fung auf dem verbundenen System durch Identity Manager um den Status der Passwortsynchronisierung eines Benutzers ermitteln zu k nnen Hinweis Das Treibermanifest wird vom Entwickler des Treibers oder vom Identity Manager Experten geschrieben der die Treiberkonfiguration erstellt Eine Bearbeitung des Manifests durch einen Netzwerkverwalter ist nicht vorgesehen Im Treibermanifest sind die tats chlichen M glichkeiten des Treiberschnittstellenmoduls und der Konfiguration dokumentiert Das blo e Ab ndern des Manifests ndert nichts an der Funktionalit t des Treibers Zur Erweiterung der Funktionalit t muss das Treiberschnittstellenmodul das verbundene System oder die Treiberkonfiguration erweitert werden Die mit Identity Manager gelieferten Beispiel Treiberkonfigurationen enthalten Eintr ge im Treibermanifest Informationen dazu wie Sie diese Eintr ge in vorhandene Treiber einbinden k nnen finden Sie in Abschnitt 5 7 Upgrade best
423. reignisoptionen zur ck 99 Exit Beendet das Men f r Protokollereignisvorg nge Tabelle A 6 Protokollereignisse f r Treibers tze und Treiber Optionen 1 Status success Status Erfolgreich Status retry Status Wiederholen Status warning Status Warnmeldung Status error Statusfehler 2 3 4 5 Status fatal Status Gravierend 6 Status other Status Sonstiges 7 Query elements Elemente vom Typ Abfragen 8 Add elements Elemente vom Typ Hinzuf gen 9 Remove elements Elemente vom Typ Entfernen 10 Modify elements Elemente vom Typ ndern 11 Rename elements Elemente vom Typ Umbenennen 12 Move elements Elemente vom Typ Verschieben 13 Add association elements Elemente vom Typ Verkniipfung hinzuf gen DirXML Befehlszeilenprogramm 273 Optionen 14 Remove association elements Elemente vom Typ Verkn pfung entfernen 15 Query schema elements Elemente vom Typ Schema abfragen 16 Check password elements Elemente vom Typ Passwort berpr fen 17 Check object password elements Elemente vom Typ Objektpasswort berpr fen 18 Modify password elements Elemente vom Typ Passwort ndern 19 Sync elements Elemente vom Typ Synchronisieren 20 Pre transformed XDS document from shim Vortransformiertes XDS Dokument vom Schnittstellen modul 21 Post input transformation XDS document XDS Dokument vom Typ Nach Eingabetransformation 2
424. ren Sie fort mit Abschnitt 3 2 2 Selbstsigniertes Zertifikat exportieren auf Seite 48 3 2 2 Selbstsigniertes Zertifikat exportieren 1 Klicken Sie in iManager auf eDirectory Administration gt Objekt bearbeiten 2 Wechseln Sie zur Zertifizierungsstelle im Sicherheitscontainer w hlen Sie sie aus und klicken Sie anschlie end auf OK Z AKRANES TREE CA Die Zertifizierungsstelle CA ist nach dem Baumnamen Treename CA Security benannt 48 Novell Identity Manager 3 0 Administrationshandbuch 3 Klicken Sie auf die Registerkarte Zertifikate w hlen Sie Eigensigniertes Zertifikat und klicken Sie anschlie end auf Exportieren Allgemein 7 7717 775 CRL Konfiguration Identity Manager ffentliches Schl sselzertifikat Eigensigniertes Zertifikat OU Organizational CA O IDM USTREE O NICI Licensed CA CN NICI Machine Unique CA Montag 23 Januar 2006 14 01 05 Subjektname Ausstellername Giltigkeitsdatum Ablaufdatum Samstag 23 Januar 2016 14 01 05 Zertifikatsstatus Auf Validieren klicken Details _ Exportieren berpr fen _ Ersetzen 4 W hlen Sie im Assistenten zum Exportieren von Zertifikaten Nein und klicken Sie anschlie end auf Weiter Der private Schl ssel soll nicht mit dem Zertifikat exportiert werden 5 W hlen Sie Datei in Base64 Format z B akranes tree CA b64 und klicken Sie anschlie end auf Weiter Zertifikat exportieren Ausgabeformat Wahlen Sie ein Ausg
425. rensschritten oben beschrieben Sie k nnen z B folgende Platzhalter Tags hinzuf gen e Ausgangs oder Zielattribute f r den Benutzer Anders als beim Einf gen von Tags in Email Schablonen des Typs Passwort vergessen funktioniert ein solches Tag nicht automatisch wenn es denselben Namen wie ein Attribut des Benutzerobjekts im Identit tsdepot hat Wie bei allen Tags in Email Benachrichtigungsschablonen zur Passwortsynchronisierung m ssen Sie das Tag auch in der Richtlinie definieren die auf die Email Schablone verweist e Ein Globalkonfigurationswert e Ein XPATH Ausdruck In diesen Punkten unterscheiden sich Tags f r die Passwortsynchronisierung von Tags in der Schablone Passwort vergessen die ausschlie lich als Platzhalter f r eDirectory Benutzerattribute dienen Anders als beim Einf gen von Tags in Email Schablonen des Typs Passwort vergessen mit der obligatorischen Verwendung des exakten Namens eines eDirectory Benutzerattributs k nnen Sie die Platzhalter Tags beliebig benennen solange der Tag Name mit dem Namen identisch ist der zum Definieren des Tags in den Richtlinien verwendet wurde die auf die Email Schablone verweisen Suchen Sie zum Definieren der Tags in einer Richtlinie alle Richtlinien die auf die betreffende Email Benachrichtigungsschablone verweisen und verwenden Sie dann den Richtlinien Builder zum Einf gen der Tags Bearbeiten Sie in jeder Richtlinie s mtliche Regeln die auf die Schab
426. rget Title 31440 Create_Entity User Name Entity DN Entity Definition Tabelle C 21 Felder des Portlets Erstellen Triggers Event ID Description Triggers 31440 Create_Entity Tritt auf wenn ein Objekt erstellt wird C 9 Sicherheitskontext Die Tabellen enthalten die Sicherheitsereignisse die mit Novell Audit protokolliert werden k nnen Tabelle C 22 Sicherheitskontext Felder Originator Title Target Title und Text Title EventID Description Originator Title Target Title Text1 Title 31540 Create_Proxy_Definition_Success Initiator ID Definition Detail 31541 Create _Proxy_Definition_Failure Initiator ID Definition Detail 31542 Update_Proxy_Definition_Success Initiator ID Definition Detail 31543 Update_Proxy_Definition_Failure Initiator ID Definition Detail 31544 Delete_Proxy_Definition_Success Initiator ID Definition Detail 31545 Delete_Proxy_Definition_Failure Initiator ID Definition Detail 31546 Create_Delegatee_Definition_Success Initiator ID Definition Detail 31547 Create_Delegatee_Definition_Failure Initiator ID Definition Detail 31548 Update_Delegatee_Definition_Success Initiator ID Definition Detail 304 Novell Identity Manager 3 0 Administrationshandbuch EventID Description Originator Title Target Title Text1 Title 31549 Update_Delegatee_Definition_Failure Initiator ID Definition Detail 3154A Delete_Delegatee_Definition Success Initiator ID Definition Detail 3154B Delete_Delegatee_Definition_Failure Initiator ID Def
427. rkflow neu zugeor dnet wird 31524 Workflow_Approved String Tritt auf wenn der Workflow genehmigt wird 31525 Workflow_Refused String Tritt auf wenn der Workflow abgelehnt wird 31526 Workflow_Ended Tritt auf wenn der Workflow beendet wird 31527 Workflow_Claimed String Tritt auf wenn der Workflow beans prucht wird 31528 Workflow_Unclaimed String 31529 Workflow_Denied String Tritt auf wenn der Workflow zur ckgew iesen wird 3152A Workflow_Completed Tritt auf wenn der Workflow abgeschlos sen wird 3152B Workflow_Timedout Tritt auf wenn es beim Workflow eine Zeit berschreitung gibt 3152C User_Message 3152D Provision_Error String Viele Elemente k nnen dieses Ereignis ausl sen 3152E Provision_Submitted 3152F Provision_Success 31530 Provision_Failure 31531 Provision_Granted 31532 Provision_Revoked 31533 Workflow_Retracted String Tritt auf wenn der Workflow zur ckge zogen wird Identity Manager Ereignisse und Berichte 309 C 11 Berichte Im Folgenden finden Sie Beispiele f r Novell Audit Berichte Es k nnen folgende Berichte ausgef hrt werden e Administrative Action Report e Historical Approval Flow Report e Resource Provisioning Report e Specific User Audit Trail e Specific User Provisioning e User Provisioning 310 Novell Identity Manager 3 0 Administrationshandbuch Abbildung C 1 Administrative Action Report Novell Audit Report for Identity Manager Administrative Action Report
428. rm glicht die Best tigung von Passw rtern auf Basis der NMAS Passwortrichtlinie Erm glicht Email Benachrichtigungen bei fehler haften Passwortoperationen z B wenn ein aus dem verbundenen System eingehendes Passwort nicht der Passwortrichtlinie entspricht Unterst tzt die Aufgabe Passwortstatus ber pr fen in iManager wenn das universelle Pass wort mit dem Verteilungspasswort synchronisiert wird und das verbundene System Passwortpr fun gen unterst tzt NMAS erzwingt die erweiterten Passwortregeln in den Passwortrichtlinien wenn die Regeln aktiviert sind Wenn ein aus dem verbundenen System eingehendes Passwort nicht regelkonform ist wird eine Fehlermeldung erzeugt Wenn die entsprech ende Option aktiviert ist erhalten Sie eine Email Benachrichtigung Wenn Sie nicht m chten dass die Regeln der Passwortrichtlinie erzwungen werden k nnen Sie die Option Erweiterte Passwortregeln aktivieren in der NMAS Passwortrichtlinie deaktivieren Das Zur cksetzen von Passwortern im verbun denen System ist bei dieser Methode nicht m glich da das Verteilungspasswort und das universelle Passwort unter Umst nden nicht identisch sind in Abh ngigkeit von den Einstellungen in den Pass wortrichtlinien Das Diagramm zu diesem Szenario zeigt folgenden Verlauf 1 Passworter treffen tiber Identity Manager ein 2 Identity Manager verwendet NMAS fiir die direkte Aktualisierung des universellen Passworts 3 NM
429. rn sind 1 Das Unternehmen stellt einen neuen Mitarbeiter ein Die Daten des neuen Mitarbeiters werden in das HR System des Unternehmens eingegeben 2 Der Identity Manager Treiber f r das HR System erstellt ein neues Benutzerobjekt in eDirectory Zu den Benutzerattributen geh ren Given Name Surname und manager 3 An den Abonnentenkanal des Service Treibers f r manuelle Aufgaben wird f r das neue Benutzerobjekt folgendes lt add gt Ereignis bertragen lt nds dtdversion 1 1 ndsversion 8 6 gt lt input gt lt add class name User src dn PERIN TAO novell Provo Joe srce entry id 281002 timestamp 1023314433 2 gt lt add attr attr name Surname gt lt value type string gt the Intern lt value gt lt add attr gt lt add attr attr name Given Name gt lt value type string gt Joe lt value gt lt add attr gt lt add attr attr name manager gt lt value type dn gt PERIN TAO novell Provo phb lt value gt lt add attr gt lt add gt lt input gt lt nds gt a Die Richtlinie zur Abonnenten Befehlsumwandlung verwendet den manager DN Wert um eDirectory nach der Email Adresse des Managers und den DN seines Assistenten abzufragen b Wenn der Manager einen Assistenten hat erstellt die Abonnenten Befehlsumwandlung eine Abfrage an eDirectory nach der Email Adresse seines Assistenten c Die Abonnenten Befehlsumwandlung erstellt ein lt mail gt
430. ro nisierung sofort ausgef hrt Verarbeitet ein XML Dokument das einen Abfrage befehl enth lt Enter filename of XDS query document Geben Sie den Dateinamen des XDS Abfragedokuments ein Erstellen Sie an Hand der Novell nds dtd http developer novell com ndk doc dirxml dirxmlbk ref ndsdtd query html das XML Dokument das einen Abfragebefehl enthalt Beispiele NetWare sys files query xml Windows c files query xml Linux files query xml Vorgang Beschreibung 8 Submit XDS command document to driver Verarbeitet ein XDS Befehlsdokument Enter filename of XDS command document Geben Sie den Dateinamen des XDS Befehlsdo kuments ein Beispiele NetWare sys files user xml Windows c files user xml Linux files user xml Enter name of file for response Geben Sie den Namen der Datei f r Antworten ein Beispiele NetWare sys files user log Windows c files user log Linux files user log 9 Check object password berpr ft ob ein Objektpasswort im verbundenen System einem Treiber zugeordnet ist Es stimmt mit dem eDirectory Passwort des Objekts berein Verteilungspasswort wird mit dem universellen Passwort verwendet Enter user name Benutzernamen eingeben 10 Initialize new driver object F hrt eine interne Initialisierung der Daten f r ein neues Treiberobjekt aus Dies dient nur zu Testzwecken 11 Passwords operations Es gibt neun Passwortoptionen Eine Beschreibung dieser
431. roduct version 2 0 gt Identity Manager lt product gt lt contact gt Novell Inc lt contact gt lt source gt lt output gt lt status event id wfmod level success gt lt status gt lt output gt lt nds gt k Der Webserver f gt dem Ersetzungsdatendokument das item Element post status und m glicherweise das item Element post status message hinzu Das hinzugef gte Datenelement ist fett gedruckt lt replacement data gt lt item name room number gt cubicle 1234 lt item gt lt item name template gt post form xml lt item gt lt item name response template gt post response xml lt item gt lt item name auth template gt auth _response xml lt item gt lt item name association gt 45f0e3 ee45e07709 T 192 168 0 1 lt item gt lt item name password is sensitive true gt lt content suppressed lt item gt lt item name protected data gt rO0OABXNyABlgqYXZheC5JjJ cnlwdG8uU2VhbGVKT2JqZWNOPJY9psO3VHACA ARbAA11bmNVZGVkUGFyYW1ZAAACWOJbABBIlbmNyeXBOZWRDb250ZWS0OCOB AAFM AAlwYXJhbXNBbGA0OABJMamF2YS9sYW5SnLINOcmluZzztMAAdZZWFSOWxncOB AAJ AcHVyAAJbogzzF GGCFTQAGAAeHAAAAAPMAOECIrIZ11G O3BAGEKAXEAFGAEAAAAUMU SoFRkebvh2d5SqalF91ttjRY5lyyw5t FifOuDdYikYiDbOJb6607S0dPHJOzeVgub ptiIvGqaEQOE B DkY i4VoVjUSXS3 a8fiXB8moMdPtLJ GyE8QiwbT4xbkOy48i02k99F2vGmlenRpSP6dD31kZ13dpJ0mGgq2yL eFaynKyqnjkHLMexcqD8W1VooaRl1k2RPk5SVDYvC802bn220KKbOnSRMSYIPSOI WzZx00JVcnVVytOAANOOkVOABBOOkVXaXRoTUQLOWS
432. ronisieren verbundener Systeme aber nicht eines Identit tsdepots mit Aktualisierung des Verteilungspassworts durch Identity Manager auf Seite 142 beschrieben 154 Novell Identity Manager 3 0 Administrationshandbuch 5 11 berpr fen des Passwortsynchronisierungsstatus eines Benutzers Sie k nnen feststellen ob das Verteilungspasswort eines bestimmten Benutzers mit dem Passwort im verbundenen System identisch ist 1 Klicken Sie in iManager auf Passw rter gt Passwortstatus berpr fen ADMIN Tal Sammungseigent merzuanft Hga Ei fa N Funktionen und Aufgaben amp Passwortstatus berpr fen Ale Kategorien x y Identity Manager A Dienstprogramme Benutzer zur Status berpr fung der Passwortsynchronisierung angeben Konfiguration f r Einzelnes Objekt ausw hlen Einfache Auswahl F Erntacne use Bereitstellungsanforderungen P Name des Benutzer Objekts LDAP aH NMAS Novell Certificate Server OK Abbrechen Novell Zertifikatszugriff y Partitions und Reproduktionsverwaltung Passw rter Passwortstatus berpr fen Herausforderungssatze Passwortrichtlinien Passwortsynchronisierung Richtlinienzuweisungen anzeigen Universelles Passwort festlegen Email Serveroptionen Email Schablonen bearbeiten PBX Rechte H Schema v 2 W hlen Sie einen Benutzer aus Die Aufgabe Passwortstatus berpr fen bewirkt dass der Treiber die Aktion Objektpasswort
433. rotected data enth lt die vom Abonnentenkanal erstellten verschl sselten Daten Auf dem Abonnentenkanal wird dieses item Element automatisch zur Verf gung gestellt Auf dem Herausgeberkanal wird das item Element protected data f r eine HTTP GET Anforderung von der URL Query Zeichenkette und f r eine HTTP POST Anforderung von den POST Daten zur Verf gung gestellt Es wird in der Regel von der HTTP GET Anforderung an die Webseite bergeben Dort wird die HTTP POST Anforderung ber ein Ersetzungs Token in der Schablone generiert die zur Erstellung der Antwort auf HTTP GET verwendet wird Beispiel lt INPUT TYPE hidden NAME protected data VALUE protected data gt D 2 3 lt url data gt Auf dem Abonnentenkanal ist das Element lt url data gt dem Element lt replacement data gt untergeordnet das sich unterhalb des lt message gt Elements befindet Es enth lt lt item gt Elemente die zur Erzeugung der URL und verwandter Datenelemente der Schablone zur Verf gung gestellt werden die zur Erstellung der Email verwendet wird Es enth lt au erdem das lt url query gt Element URLs bestehen aus f nf Teilen die der Service Treiber f r manuelle Aufgaben verwenden kann 1 Ein Schema wie http https oder ftp 2 Ein Host wie z B www novell com oder 192 168 0 1 3 Eine Portnummer Hierbei handelt es sich um einen Doppelpunkt gefolgt von einer Ganzzahl z B 80 oder 8180 4 Eine Datei oder Re
434. rsuch eine Gruppenmitgliedschaftsberechtigung zu erteilen oder zu entziehen ignoriert Sie m ssen genau wissen was Sie mit Identity Manager erreichen m chten Nur dann k nnen Sie Zugriffsm glichkeiten auf Ressourcen verbundener Systeme sinnvoll erteilen oder entziehen Bei der Planung und Verwendung von Berechtigungen k nnen Ihnen die vier folgenden Schritte helfen 1 Machen Sie sich klar was Sie in Ihrer Gesch ftssituation erreichen m chten Sie k nnen alles nur Denkbare mit Identity Manager entwickeln und implementieren Bevor Sie jedoch etwas implementieren das noch nicht definiert ist m ssen Sie genau wissen was Sie vorhaben Erstellen Sie eine nummerierte Liste der gew nschten Ziele 2 Definieren Sie eine Berechtigung f r einen einzelnen Punkt in Ihrer Liste Sie k nnen Berechtigungen mit und ohne Wert erstellen Berechtigungen mit Werten beziehen diese Werte aus einer externen Abfrage Sie k nnen vom Administrator oder frei definiert sein Entsprechende Beispiele finden Sie in Abschnitt 6 4 6 Beispielberechtigungen zum leichteren Erstellen eigener Berechtigungen auf Seite 188 174 Novell Identity Manager 3 0 Administrationshandbuch 3 F gen Sie Richtlinien zum Identity Manager Treiber hinzu um die von Ihnen entworfene Berechtigung zu implementieren Damit Sie eine Richtlinie f r einen Identity Manager Treiber erstellen k nnen m ssen Sie mit XSLT oder DirXML Skripten mit der bernahme und Verarbeitung von
435. rvice Nein Nein Nein Nein Treiber Service Treiber f r Nein Nein Nein Nein manuelle Aufgaben 5 3 Voraussetzungen f r die Passwortsynchronisierung Damit die Passwortsynchronisierung funktioniert m ssen folgende Voraussetzungen erf llt sein Unterst tzung eines universellen Passworts auf Seite 89 Im Treibermanifest beschriebene M glichkeiten zur Passwortsynchronisierung auf Seite 90 e Steuerung der Passwortsynchronisierung ber Globalkonfigurationswerte auf Seite 90 In der Treiberkonfiguration ben tigte Richtlinien auf Seite 94 Filter die auf dem verbundenen System installiert sein m ssen zum Erfassen von Passw rtern auf Seite 99 F r Benutzer erstellte NMAS Passwortrichtlinien auf Seite 99 NMAS Anmeldemethoden auf Seite 99 5 3 1 Unterst tzung eines universellen Passworts F r die Passwortsynchronisierung mit verbundenen Systemen ben tigt Identity Manager ein universelles Passwort Informationen hierzu finden Sie in den folgenden Abschnitten Deploying Universal Password Bereitstellung eines universellen Passworts im Password Management Administration Guide http www novell com documentation password management index html Administrationshandbuch zur Passwortverwaltung Passwortsynchronisierung mit verbundenen Systemen 89 e Abschnitt 5 4 3 Vorbereitungen f r die Verwendung des universellen Passworts auf Seite 101 5 3 2 Im T
436. rvice ausgef hrt wird Treiber ist lokal remote Remote lt lt Zur ck Weiter gt gt Abbrechen Fertig stellen 3 Geben Sie einen Remote Hostnamen und Port ein SAP HR 1 von 1 Der Treiberhersteller hat zum Import dieser Treiberkonfigurationsdatei die Angabe der folgenden Informationen angefordert Ein zeigt erforderliche Informationen an Geben Sie den Hostnamen oder die IP Adresse und Portnummer des Computers an auf dem der Remote Loader Service f r diesen Treiber installiert wurde und jetzt l uft Der Standardport ist 8090 Hostname oder P Adresse und Port 744 PHH AH HRP HH Remote Hostname und Port 8090 68 Novell Identity Manager 3 0 Administrationshandbuch 4 Geben Sie ein Passwort f r das Treiberobjekt ein und best tigen Sie es Das Passwort des Treiberobjekts wird vom Remote Loader f r die Authentifizierung beim Identity Manager Server verwendet Es muss sich dabei um das gleiche Passwort handeln das als Passwort des Treiberobjekts beim Identity Manager Remote Loader angegeben ist Treiberpasswort Passwort erneut eingeben su 5 Geben Sie das Remote Loader Passwort ein best tigen Sie es und klicken Sie anschlie end auf Weiter Das Remote Loader Passwort wird verwendet um den Zugriff auf die Remote Loader Instanz zu steuern Es muss sich dabei um das gleiche Passwort handeln das als Passwort des Remote Loader Service beim Identi
437. rwalten von Engine Services 235 Falls als Ergebnis von Modify Befehlen f r dem Treiber zugeordnete Objekte Email Benachrichtigungen erzeugt werden m ssen Abfragen f r Optionen erstellt werden die nicht im Modify Befehl enthalten sind Senden von Befehlen an den Abonnentenkanal blockieren Wenn Emails von anderen Ereignissen als Add Ereignissen erzeugt werden sollen muss zugelassen werden dass Add Ereignisse f r diese zu berwachenden Objekte den Abonnentenkanal erreichen k nnen Wenn zugelassen wird dass Add Ereignisse den Abonnentenkanal erreichen hat dies die Erzeugung eines Verkn pfungswerts zur Folge der vom Abonnentenkanal an Identity Manager zur ckgegeben wird Es ist wichtig dass f r eDirectory Objekte die von den Richtlinien des Service Treibers f r manuelle Aufgaben berwacht werden sollen eine Verkn pfung zum Service Treiber f r manuelle Aufgaben besteht Nur f r Objekte mit einer definierten Verkn pfung werden Ereignisse zum L schen Umbenennen und Verschieben an den Treiber weitergeleitet Dar ber hinaus werden Modify Ereignisse f r Objekte ohne eine Verkn pfung nach der Ereignistransformation des Abonnentenkanals in Add Ereignisse konvertiert Alle anderen Befehle zum ndern Verschieben Umbenennen und L schen sollten von der Befehlstransformationsrichtlinie blockiert werden um zu verhindern dass sie den Abonnentenkanal erreichen Der Abonnentenkanal verarbeitet nur lt Add gt und lt mail gt Befe
438. rzu finden Sie im Abschnitt zu den benannten Passw rtern im dentity Manager Driver for Lotus Notes Implementation Guide Identity Manager Treiber f r Lotus Notes Implementierungshandbuch Dieser Abschnitt umfasst e Abschnitt 2 9 1 Konfigurieren benannter Passw rter in Designer auf Seite 29 e Abschnitt 2 9 2 Konfigurieren benannter Passw rter in iManager auf Seite 30 Abschnitt 2 9 3 Verwenden benannter Passw rter in Treiberrichtlinien auf Seite 31 e Abschnitt 2 9 4 Konfigurieren benannter Passw rter mit dem DirXML Befehlszeilenprogramm auf Seite 32 2 9 1 Konfigurieren benannter Passw rter in Designer 1 Klicken Sie mit der rechten Maustaste auf das gew nschte Treiberobjekt und w hlen Sie Eigenschaften 2 W hlen Sie Benanntes Passwort und klicken Sie auf Neu Bu Named Passwords c Display Name m Enter password Re enter password 3 Geben Sie unter Name den Namen des benannten Passworts an 4 Geben Sie unter Display Name Anzeigename den Anzeigenamen des benannten Passworts an Verwalten von Identity Manager Treibern 29 5 Geben Sie das benannte Passwort ein und best tigen Sie es durch eine erneute Eingabe 6 Klicken Sie zweimal auf OK 2 9 2 Konfigurieren benannter Passw rter in iManager 1 Klicken Sie in iManager auf Identity Manager gt Identity Manager berblick 2 Suchen Sie den gew nschten Treibersatz oder w hlen Sie einen Container aus der
439. rzu finden Sie in den Javadocs J 3 SampleServlet java Quellcode f r ein Beispiel Servlet ist im Lieferumfang des Treibers enthalten Der Quellcode befindet sich im Distributions Image in der Datei manualtask_driver_docs zip Das Servlet ist in der Klasse com novell nds dirxml driver manualtask samples SampleServlet implementiert Das Beispiel Servlet akzeptiert eine HTTP GET Anforderung f r alle Ressourcen mit der Endung sample Die Query Zeichenkette der HTTP URL muss die item Elemente dest dn attr name und value enthalten Das Servlet authentifiziert den Benutzer und sendet anschlie end ber den Herausgeberkanal des Treibers eine nderungsanforderung an Identity Manager Service Treiber f r manuelle Aufgaben Benutzerdefinierte Servlets f r den 355 J 3 1 Kompilieren der SampleServlet Klasse Sie k nnen zum Kompilieren der SampleServlet Klasse jeden beliebigen Java 2 Compiler verwenden Sie m ssen nxsl jar dirxml jar collections jar und ManualTaskServiceBase jar im Klassenpfad des Java Compilers ablegen J 3 2 Austesten der SampleServlet Klasse Importieren Sie die Konfiguration zum Raumnummer Beispiel f r den Treiber Kompilieren Sie die SampleServlet Klasse und platzieren Sie die resultierende Klassendatei in eine jar Datei Speichern Sie die jar Datei im DirXML jar Dateiverzeichnis f r die Plattform auf der Sie den Treiber ausf hren Bearbeiten Sie die
440. s Positions Token an Standard 0 Enter event id value of first transaction record to delete optional Geben Sie die Ereignis ID des ersten zu l schenden Transaktionsdat ensatzes ein optional Enter number of transaction records to delete default 1 Geben Sie die Anzahl der Tran saktionsdatens tze ein die zu l schen sind Standard 1 Beendet das aktuelle Men Sie gelangen zur ck zu den Treiberoptionen Tabelle A 5 Protokollereignisvorg nge Vorgang Beschreibung 1 Set driver set log events Erm glicht das Protokollieren von Treibersatzereig nissen mit Novell Audit Sie k nnen 49 Ereign istypen zum Protokollieren ausw hlen Eine Liste dieser Optionen finden Sie in Tabelle A 6 auf Seite 273 Geben Sie die Nummer des Ereignistyps ein den Sie protokollieren m chten Wenn Sie die Ereign istypen ausgew hlt haben geben Sie 99 ein um die Auswahl zu best tigen 2 Reset driver set log events Setzt alle Protokollereignisoptionen zur ck 3 Set driver log events Erm glicht das Protokollieren von Treiberereignis sen mit Novell Audit Sie k nnen 49 Ereignistypen zum Protokollieren ausw hlen Eine Liste dieser Optionen finden Sie in Tabelle A 6 auf Seite 273 Geben Sie die Nummer des Ereignistyps ein den Sie protokollieren m chten Wenn Sie die Ereign istypen ausgew hlt haben geben Sie 99 ein um die Auswahl zu best tigen 4 Reset driver log events Setzt alle Protokolle
441. s Servers an auf dem der Treiber installiert ist Geben Sie das Passwort des angegebenen Benutzers an Geben Sie eine Portnummer an wenn der Stan dardport nicht verwendet wird Bei der Ausf hrung eines Befehls werden sehr wenige Informationen angezeigt Bei der Ausf hrung eines Befehls werden ausf hrli che Informationen angezeigt Zeigt das Hilfemen an Zeigt das Hilfemen an DirXML Befehlszeilenprogramm 275 Option Beschreibung Aktionen start lt Treiber DN gt stop lt Treiber DN gt getstate lt Treiber DN gt getstartoption lt Treiber DN gt setstartoption lt Treiber DN gt lt disabled man vallauto gt lt resync noresync gt getcachelimit lt Treiber DN gt setcachelimit lt Treiber DN gt lt 0 oder positive Ganz zahl gt migrateapp lt Treiber DN gt lt Dateiname gt setshimpassword lt Treiber DN gt lt Passwort gt clearshimpassword lt Treiber DN gt lt Passwort gt setremoteloaderpassword lt Treiber DN gt lt Pass wort gt lt clearremoteloaderpassword lt Treiber DN gt 276 Novell Identity Manager 3 0 Administrationshandbuch Startet den Treiber Stoppt den Treiber Gibt den Status des Treibers an wird ausgef hrt oder angehalten Gibt die Startoption des Treibers an Dient zum Festlegen der Startoptionen f r den Treiber wenn der Server neu gestartet wird Legt zudem fest ob die Objekte neu synchronisiert wer den m ssen we
442. s keine Synchronisierung des NDS Passworts mit dem universellen Passwort vorgesehen ist wird immer gemeldet dass die Passw rter nicht synchronisiert wurden Das Verteilungspasswort und das Passwort auf dem verbundenen System k nnen durchaus synchronisiert sein die Task Passwortstatus berpr fen liefert jedoch erst dann ein korrektes Ergebnis wenn das NDS Passwort und das Verteilungspasswort mit dem universellen Passwort synchronisiert wurden 5 12 Konfigurieren der Email Benachrichtigung Mit iManager Tasks k nnen Sie den Email Server festlegen und die Email Benachrichtigungsschablonen anpassen Email Schablonen werden bereitgestellt um den Funktionen Passwortsynchronisierung und Passwortselbstbedienung das Senden automatisch erstellter Emails an Benutzer zu erm glichen Diese Schablonen werden nicht von Ihnen erstellt Sie werden vielmehr von der Anwendung bereitgestellt die sie verwendet Bei den Email Schablonen handelt es sich um Schablonenobjekte im Identit tsdepot die im Sicherheitscontainer abgelegt werden der sich in der Regel im Stammordner des Baums befindet Obwohl es sich um Objekte des Identit tsdepots handelt sollten Sie diese nur mit iManager bearbeiten Es handelt sich um ein modulares Framework Beim Hinzuf gen neuer Anwendungen die diese Email Schablonen verwenden k nnen gleichzeitig auch die Schablonen installiert werden ber die Optionen in iManager legen Sie fest ob Emails ge
443. s name User src dn not applicable gt lt association gt SassociationS lt association gt lt modify attr attr name roomNumber gt lt remove all values gt lt add value gt lt value gt room number lt value gt lt add value gt lt modify attr gt lt modify gt lt input gt lt nds gt Ersetzungs Token Bei den von Zeichen umschlossenen Elementen in den Beispielen handelt es sich um Ersetzungs Token Beispielsweise wird das Token manager durch den Namen des Managers ersetzt Ersetzungs Token k nnen entweder in Text oder in XML Attributwerten angezeigt werden siehe im ersten Beispiel den href Wert innerhalb des Elements lt a gt 228 Novell Identity Manager 3 0 Administrationshandbuch Ersetzungsdaten Ersetzungsdaten bestehen aus Strings die anstelle der Ersetzungs Token im Ausgabedokument das aus einer Schablone erzeugt wird angezeigt werden Ersetzungsdaten werden entweder von Daten des Abonnentenkanals HTTP Daten des Herausgeberkanals oder automatisch vom Treiber zur Verf gung gestellt Ein zus tzlicher Ersetzungsdatentyp wird von eDirectory ber den Identity Manager abgerufen Abfragedaten Ersetzungsdaten werden in Anhang D Service Treiber f r manuelle Aufgaben Ersetzungsdaten auf Seite 319 genauer beschrieben Abonnentenkanaldaten Es gibt zwei Typen von Ersetzungsdaten f r den Abonnentenkanal Der erste Typ besteht aus den Ersetzungswerten die in Schablonen zur Email Erstellung f r
444. s universelle Passwort aktualisiert wird kann auch das NDS Passwort das Verteilungspasswort oder das einfache Passwort aktualisiert werden in Abh ngigkeit von den Einstellungen in der NMAS Passwortrichtlinie Jedes verbundene System kann Passw rter an Identity Manager ver ffentlichen wenn auch nicht alle Systeme das tats chliche Passwort des Benutzers bereitstellen k nnen So kann beispielsweise Active Directory das tats chliche Passwort eines Benutzers an Identity Manager ver ffentlichen Obwohl PeopleSoft kein Passwort aus dem System bereitstellt kann es ein Ausgangspasswort bereitstellen das in einer Richtlinie in der Treiberkonfiguration erstellt wurde z B unter Verwendung der Mitarbeiter ID oder des Nachnamens Nicht alle Treiber k nnen Passwort nderungen von Identity Manager abonnieren Weitere Informationen hierzu finden Sie in Abschnitt 5 2 Unterst tzung von verbundenen Systemen bei der Passwortsynchronisierung auf Seite 86 e Vor und Nachteile von Szenario 2 auf Seite 120 Passwortsynchronisierung mit verbundenen Systemen 119 Einrichten von Szenario 2 auf Seite 121 Fehlersuche bei Szenario 2 auf Seite 126 Vor und Nachteile von Szenario 2 Tabelle 5 12 Vorteile Synchronisieren unter Verwendung des universellen Passworts Vorteile Nachteile Erm glicht die Synchronisierung von Passw rtern zwischen dem Identit tsdepot und dem verbun denen System in beiden Richtungen E
445. s versteht man unter einer bidirektionalen Passwortsynchronisierung 76 5 1 3 _ Vergleich zwischen Version 1 0 der Passwortsynchronisierung und der Identity Manager Passwortsynchronisierung 222222220 ee een een nenn 77 5 1 4 Funktionen der Identity Manager Passwortsynchronisierung 4 79 5 1 5 berblick ber den Datenfluss bei der Passwortsynchronisierung 83 5 1 6 Anzeige von Abbildungen 2 222 22neee een ren 84 5 2 Unterst tzung von verbundenen Systemen bei der Passwortsynchronisierung 86 5 2 1 Systeme die die bidirektionale Passwortsynchronisierung unterst tzen 86 5 2 2 Systeme die Passw rter von Identity Manager akzeptieren 87 5 2 3 Systeme die keine Passw rter akzeptieren oder bereitstellen 88 5 2 4 Systeme die keine Passwortsynchronisierung unterst tzen 2 22 2202 89 5 3 Voraussetzungen f r die Passwortsynchronisierung 000 seen rennen 89 5 3 1 Unterst tzung eines universellen Passworts 2 2222er nee ernennen 89 5 3 2 Im Treibermanifest beschriebene M glichkeiten zur Passwortsynchronisierung 90 5 3 3 Steuerung der Passwortsynchronisierung ber Globalkonfigurationswerte 90 5 3 4 In der Treiberkonfiguration ben tigte Richtlinien 2222202 seen 94 5 3 5 Filter die auf dem verbundenen System installiert sein m ssen zum Erfassen von Passw rter esce fesse cenione porden area
446. sO3VHACAARbAA 11bmNvZGVkUGFyYW1zdAAACWO IbABBlbmNyeXBOZWRDb250ZWSOCOB AAFMAAlw YXJhbXNBbGdOABUMamF2YS9sYW5nL1NOcm1uZztMAAdzZWFsQWxncQBt AAJ4cH VyAAJbOqzzF gGCFTgAgAAeHAAAAA PMAOECEIBROhGPj xEAGEKGXEAfgAEAAAA uMSFqzHXwtMx8DkRCzkK1046sEz1u51o3MDvHn 3 fE6SphHr3Hgj1i4Jp3ruk H7y6dXvcu7igq21Vs 906iZVz1jTIJX jjIRrVZ1R5JOuRNhk8 JHFZ8FhgsmilAH Fs61k4WmyEcmy fWmfqfBVeThr3Avwcim6ranS5Mm2U5i 9Z DBR13pIAobMpwy kMaz4 G9e6o0ovBsiPdp6jSPzbFxcgALI2AMBh4hf9jnx7zOU9UVd9gxXtaE2rRO0 AANQQKVOABBOQOkKVXaXROTUQIQWSKREVT lt item gt lt item name url query gt template form template xml amp amp responder dn 5CPERIN Service Treiber f r manuelle Aufgaben Datenfluss Szenario bei Einstellung eines neuen 339 TAOS 5Cnovells5Cprovo s5Cphb amp responder An 5CPERIN TAOS 5Cnovells5Cprovo 5Ccarol amp subject name JoetthetIntern amp association 1671b2 3Aee4246a561 3A T E FES3A192 168 0 l amp amp protected data rO0ABXNyABlqYXZheC5JcnlwdG8uU2VhbGVKT2JqZWNOPJY9psO3VHACAA RbAA1 lbmNvZGVKUGFyYW1 zdAACW0 JbABBlbmNyeXB0ZWRDbD2502ZW50cQOBS2BAAF MAAlwYXJhbXNBbGA0OABJMamF2YS9sYWSnLINOcmluZztMAAdZZWFSOWxncOB 2B AAJACHVyAAJbOgZZFS32F9QGCFTGAgAASHAAAAAPMAOECEIBROhGPJxEAgEKdXEAFf gGAEAAAAUMS FqzHXwtMx8DkRCzkK1046sEz1u5103MDvHn 2B3 2BfE6SphHr3Hg jl1i14Jp3rUkH7y6dXvcu7iq21Vs 2B90612VZ1JTIJX 32FJ JRrVZIRSJouRNhk8J HFZ8SFhgsmiIAH 2FFs61lk4AWmyEcmYfWmfgfBVeThr3Avwcim6sranS5Mm2U5192 2FDBR13pIAobMpwWYkMaz4 2BG
447. sen damit eine Authentifizierung m glich ist Tabelle A 1 Optionen des interaktiven Modus Option Beschreibung 1 Start driver 2 Stop driver 3 Driver operations 4 Driver set operations 5 Log events operations 6 Get DirXML version 99 Quit 266 Novell Identity Manager 3 0 Administrationshandbuch Startet den Treiber Gibt es mehr als einen Treiber wird jeder Treiber mit einer Nummer aufgelistet Geben Sie die Nummer des Treibers ein den Sie starten m chten Stoppt den Treiber Gibt es mehr als einen Treiber wird jeder Treiber mit einer Nummer aufgelistet Geben Sie die Nummer des Treibers ein den Sie stoppen m chten Listet die f r den Treiber verf gbaren Vorg nge auf Gibt es mehr als einen Treiber wird jeder Treiber mit einer Nummer aufgelistet Geben Sie die Nummer des Treibers ein dessen verf gbare Vorg nge Sie sehen m chten Die verf gbaren Vorg nge finden Sie in Tabelle A 2 auf Seite 267 Listet die f r den Treibersatz verf gbaren Vorg nge auf e 1 Treibersatz mit Server verkn pfen e 2 Verkn pfung von Treibersatz mit Server l sen 99 Exit Listet die zum Protokollieren von Ereignissen mit Novell Audit verf gbaren Vorg nge auf Eine Bes chreibung dieser Optionen finden Sie in Tabelle A 5 auf Seite 273 Gibt die installierte Version von Identity Manager an Beendet das DirXML Befehlszeilenprogramm Abbildung A 2 Treiberoptionen ate art opt
448. sendet werden oder nicht In Verbindung mit der Funktion Passwort vergessen werden Email Benachrichtigungen nur gesendet wenn Sie eine der folgenden Aktionen der Funktion Passwort vergessen ausw hlen durch die das Senden einer Email ausgel st wird Das Senden eines Passworts oder eines Passworthinweises an den Benutzer per Email Siehe Providing Users with Forgotten Password Self Service im Password Management Administration Guide http www novell com documentation password management index html Administrationshandbuch zur Passwortverwaltung Wenn Sie die Option Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen ausw hlen wird die Passwortsynchronisierung so konfiguriert dass Emails nur bei 156 Novell Identity Manager 3 0 Administrationshandbuch Passwortsynchronisierungsfehlern und nur bei den von Ihnen festgelegten Treibern gesendet werden Abbildung 5 16 Passwortsynchronisierung konfigurieren Treiber ndern Active Directory TestDriverSet novell Passwortsynchronisierung Y F r Server NO041 AL 2K3 NDS novell Identity Manager akzeptiert Passw rter Herausgeberkanal C Verteilungspasswort f r die Passwortsynchronisierung verwenden Passwort nur akzeptieren wenn es der Passwortrichtlinie des Benutzers entspricht Wenn Passwort nicht der Richtlinie entspricht Passwortrichtlinie auf dem verbundenen System erzwingen durch Zur cksetzen des Benutzerpassworts auf das Verteilungs
449. server gesendet wird als unverschl sselten responder dn Wert seinen DN von eDirectory responder dn PERIN TAO novell wally Des Weiteren bertr gt er auch sein eigenes Passwort in den POST Daten damit die Authentifizierung durch den Webserver erfolgreich verl uft Wenn die HTTP POST Daten jedoch beim Webserver des Herausgeberkanals eingehen wird der Wert PERIN TAO novell wally in den verschl sselten gesch tzten Daten nicht gefunden und die POST Anforderung wird zur ckgewiesen D 2 XML Elemente Im Folgenden werden die Elemente erl utert aus denen ein Ersetzungsdatendokument besteht Wenn f r ein Element keine XML Attribute beschrieben werden sind diese f r das entsprechende Attribut nicht zul ssig 320 Novell Identity Manager 3 0 Administrationshandbuch D 2 1 lt replacement data gt Das Element lt replacement data gt kann an folgenden Stellen angezeigt werden 1 Als untergeordnetes Element des lt message gt Elements unterhalb eines lt mail gt Elements des Abonnentenkanals Der Service Treiber f r manuelle Aufgaben verarbeitet das zur Verf gung gestellte lt replacement data gt Element zu einem eigenst ndigen lt replacement data gt Element das bei der Schablonenverarbeitung verwendet wird Das Element wird wie folgt verarbeitet a Wurde f r das umschlie ende lt mail gt Element ein association Wert erstellt wird den Ersetzungsdaten ein lt item name association gt Element hinzugef
450. sich die von Novell mitgelieferte DTD Dokumenttypdefinition f r Berechtigungen sowie einige XML Beispiele f r das Erstellen von Berechtigungen ansehen die auf der DTD basieren Dieser Abschnitt umfasst Abschnitt 6 4 1 Vom Active Directory Treiber bei der Aktivierung von Berechtigungen beigesteuerte Komponenten auf Seite 179 Abschnitt 6 4 2 Die Berechtigungs Dokumenttypdefinition DTD von Novell auf Seite 183 Abschnitt 6 4 3 Erl uterung der Berechtigungs DTD auf Seite 184 Abschnitt 6 4 4 Erstellen von Berechtigungen mit Designer auf Seite 187 Abschnitt 6 4 5 Erstellen und Bearbeiten von Berechtigungen in iManager auf Seite 187 Abschnitt 6 4 6 Beispielberechtigungen zum leichteren Erstellen eigener Berechtigungen auf Seite 188 Abschnitt 6 4 7 Abschlie en der Berechtigungserstellung auf Seite 193 178 Novell Identity Manager 3 0 Administrationshandbuch 6 4 1 Vom Active Directory Treiber bei der Aktivierung von Berechtigungen beigesteuerte Komponenten Die Struktur des AD Treibers wird bei Aktivierung der Unterst tzung f r Berechtigungen folgenderma en ver ndert Hinzuf gen des Attributs DirXML EntitlementRef zum Treiberfilter Das Attribut DirXML EntitlementRef gestattet es dem Treiberfilter den Datenfluss auf Berechtigungsaktivit ten zu berwachen Erstellen einer Benutzerkontoberechtigung ber die Benutzerkontoberechtigung wird dem Benutzer in Act
451. sicher dass in der Passwortrichtlinie die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren ausgew hlt ist Probleme bei der Anmeldung an einem anderen verbundenen System das Passw rter abonniert Dieser Abschnitt befasst sich mit der Fehlersuche in F llen in denen ein verbundenes System Passw rter gegen ber Identity Manager ver ffentlicht aber ein anderes verbundenes System das Passw rter ver ffentlicht keine nderungen von dem anderen System mitgeteilt bekommt Bei dieser Konstellation spricht man auch von einem sekund ren verbundenen System weil das 128 Novell Identity Manager 3 0 Administrationshandbuch zweite verbundene System die Passw rter ber Identity Manager vom ersten verbundenen System erh lt e Aktivieren Sie in DSTrace die Einstellungen DXML und DVRS um sich die Regelverarbeitung durch Identity Manager ansehen zu k nnen Stellen Sie die Identity Manager LDAP Trace Stufe f r den Treiber auf 3 ein Stellen Sie auf der Seite Passwortsynchronisierung sicher dass die Option dentity Manager akzeptiert Passw rter ausgew hlt ist berpr fen Sie den Treiberfilter um sicherzustellen dass das Attribut nspmDistributionPassword korrekt eingestellt ist siehe Schritt 2 auf Seite 125 berzeugen Sie sich davon dass das lt password gt f r ein Add oder lt modi fy password gt Element an das verbundene System gesendet wird Beobachten Sie zur Kontro
452. spiel aus dem Sie eigene Berechtigungen ableiten k nnen An die nachfolgende Erkl rung der DTD schlie en sich vier Beispiele f r das Erstellen von Berechtigungen in diesem XML Format mit iManager an Wenn Ihnen die XML Formatierung nicht liegt K nnen Sie in Designer Ihre Berechtigungen mit dem Assistenten f r Berechtigungen auf einfachere Weise erstellen Berechtigungs DTD von Novell KLAR KK KKK KKKK KKK KKK KKK KKK KKK KKK KK KKK KKK KKK KKK KK KK KK KK KK KKK KK KK KK KK KH HD lt DirXML Entitlements DTD lt Novell Inc lt 1800 South Novell Place lt Provo UT 84606 6194 lt Version 1 0 0 lt Copyright 2005 Novell Inc All rights reserved gt lt KKEKKKKKKKKKKKKKKKKKK KKK KKKKKK KKK KKK KKK KKK AK AK A TH A KA FH KK KKK KA A A A KH U gt lt l Entitlement definition stored in the XmlData attribute of a DirXML Entitlement object gt lt ELEMENT entitlement values gt lt ATTLIST entitlement conflict resolution priority union priority display name CDATA REQUIRED description CDATA REQUIRED gt lt ELEMENT values query app value t gt lt ATTLIST values multi valued rue false true gt lt ELEMENT value PCDATA gt lt ELEMENT query app uery xml result set gt lt ELEMENT query xml ANY gt lt ELEMENT result set isplay name description ent value gt lt ELEMENT display name token ttr token src dn token association gt lt ELEMENT ent value token
453. ssourcenangabe Dies ist in der Regel ein Dateiname der Pfadangaben enthalten kann z B stylesheets process_template xsl 5 Eine Query Zeichenkette Hierbei handelt es sich um eine Sammlung von Name Wert Paaren die durch amp Zeichen voneinander getrennt sind z B template form_template xml amp protected data AabABJKEL Vordefinierte lt item gt Namen unter lt url data gt lt item gt Elemente unterhalb des lt url data gt Elements werden ignoriert sofern sie nicht zu den nachfolgend aufgef hrten Typen geh ren Alle diese Elemente sind optional Service Treiber f r manuelle Aufgaben Ersetzungsdaten 323 file Dieses Element gibt den Dateiteil der URL an Wenn es mit dem Webserver des Herausgeberkanals verwendet wird gibt das item Element file die Formatvorlage an mit der die HTML Startseite erstellt werden soll die beim Aufruf der URL angezeigt wird Wenn es nicht auf dem Webserver des Herausgeberkanals sondern auf einem anderen Server verwendet wird gibt das item Element file den Namen der Ressource an auf die die URL verweist Ist dieses file Element nicht vorhanden wird standardm ig auf process_template xsl verwiesen scheme Optionales item Element unterhalb des lt url data gt Elements Sofern vorhanden gibt es das URL Schema an z B http oder ftp Dieses item Element wird in der Regel nur verwendet wenn die URL nicht auf den Webserver des Herausgeberkanals sondern auf einen anderen Server ver
454. sswort vergessen und kodierten Passworts und dessen Verwend Passwortselbstbedienung k nnen weiter ung f r mehr als eine Anwendung ohne die hin in dem Ma e verwendet werden wie sie Hash Kodierung umkehren zu m ssen f r das NDS Passwort unterst tzt werden nicht jedoch in Verbindung mit dem ein fachen Passwort Da die Aufgabe Universelles Passwort fes tlegen vom universellen Passwort abh ngig ist kann der Administrator mit dieser Auf gabe kein Benutzerpasswort im Identit tsde pot festlegen 148 Novell Identity Manager 3 0 Administrationshandbuch Abbildung 5 15 Synchronisieren mit dem NDS Passwort Verteilungs passwort NDS Passwort Einfaches u Passwort Identity verbundenes system Manager mit hashkodierten oder Klartextpassw rtern Verbundenes System mit Authentifizierung ber LDAP Szenario 5 einrichten Konfiguration der Passwortrichtlinie auf Seite 149 Einstellungen f r die Passwortsynchronisierung auf Seite 149 Treiberkonfiguration auf Seite 150 Konfiguration der Passwortrichtlinie Bei dieser Methode wird f r Benutzer keine Passwortrichtlinie ben tigt Das universelle Passwort kann nicht verwendet werden Einstellungen f r die Passwortsynchronisierung Bei diesem Szenario verwenden Sie Identity Manager Script um das Attribut SAS Login Configuration direkt zu bearbeiten Das bedeutet dass die auf der Seite Passwortsynchronisierung
455. ssworts synchronisieren I Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren Abruf des universellen Passworts M Benutzer darf Passwort abrufen Administrator darf Passw rter abrufen Authentifizierung berpr fen ob vorhandene Passw rter der Passwortrichtlinie entsprechen erfolgt bei der Anmeldung Hinweis Ihr Netzwerk muss m glicherweise f r das universelle Passwort vorbereitet werden Informationen zur Vorbereitung des Netzwerks auf das universelle Passwort finden Sie unter Password Management Administration Guide OK __Abbrechen _ Anwenden 2 Vervollst ndigen Sie die anderen Einstellungen der Passwortrichtlinie nach Bedarf Die anderen Passworteinstellungen in der Passwortrichtlinie sind optional Einstellungen f r die Passwortsynchronisierung Verwenden Sie die gleichen Einstellungen wie unter Einstellungen f r die Passwortsynchronisierung in Abschnitt 5 8 4 Szenario 3 Synchronisieren des Identit tsdepots und der verbundenen Systeme mit Aktualisierung des Verteilungspassworts durch Identity Manager auf Seite 130 Treiberkonfiguration Verwenden Sie die gleichen Einstellungen wie unter Treiberkonfiguration in Abschnitt 5 8 4 Szenario 3 Synchronisieren des Identit tsdepots und der verbundenen Systeme mit Aktualisierung des Verteilungspassworts durch Identity Manager auf Seite 130 Fehlersuche bei Szenario 4 Wenn
456. st zu stoppen Sie geben ein ung ltiges Passwort ein Der Remote Loader wird trotzdem gestoppt Das Passwort wird vom Remote Loader zwar abgelehnt da es jedoch in diesem Fall nicht erforderlich ist wird es vom Remote Loader ignoriert Wenn Sie den Remote Loader als Anwendung und nicht als Dienst ausf hren wird das Passwort verwendet 3 4 Konfigurieren der Identity Manager Treiber zur Verwendung mit Remote Loadern Sie k nnen einen neuen Treiber konfigurieren oder einen vorhandenen Treiber f r die Kommunikation mit dem Remote Loader aktivieren In diesem Abschnitt erhalten Sie allgemeine Informationen dar ber wie Sie Treiber f r die Kommunikation mit dem Remote Loader Einrichten eines verbundenen Systems 67 konfigurieren Ausf hrliche und treiberspezifische Informationen finden Sie im Implementierungshandbuch des jeweiligen Treibers Abschnitt 3 4 1 Einen neuen Treiber importieren und konfigurieren auf Seite 68 e Abschnitt 3 4 2 Einen vorhandenen Treiber konfigurieren auf Seite 69 Abschnitt 3 4 3 Erstellen eines Keystore auf Seite 71 3 4 1 Einen neuen Treiber importieren und konfigurieren 1 Importieren bzw erstellen und konfigurieren Sie einen neuen Treiber in Novell iManager 2 Bl ttern Sie an das Ende der Konfigurationsoptionen und w hlen Sie Remote in der Dropdown Liste aus Klicken Sie anschlie end auf Weiter M chten Sie dass dieser Treiber lokal oder remote mit dem Remote Loader Se
457. starten Sie den Assistenten 1 Klicken Sie in iManager auf Identity Manager gt Identity Manager berblick 2 W hlen Sie den Treibersatz aus der den zu konvertierenden Treiber enth lt und klicken Sie anschlie end auf Suchen Verwalten von Identity Manager Treibern 21 3 Klicken Sie auf das Symbol f r den zu konvertierenden Treiber Sie werden aufgefordert den Treiber in das neue Format zu konvertieren 4 F hren Sie die Schritte des Assistenten aus um die Konvertierung abzuschlie en 2 4 Starten Stoppen oder Neustart eines Treibers 1 Klicken Sie in iManager auf Identity Manager gt Identity Manager berblick 2 Wechseln Sie zu dem Treibersatz der den Treiber enth lt und klicken Sie auf Suchen 3 Klicken Sie auf die obere rechte Ecke des Treibersymbols dessen Status Sie ndern m chten und klicken Sie dann auf Treiber starten wenn der Treiber angehalten ist oder auf Treiber anhalten wenn er ausgef hrt wird 2 5 Treiberparameter Die Eigenschaften der einzelnen Treiber enthalten Treiberparameter In diesen Parametern werden treiberspezifische Informationen gespeichert In diesen Parametern werden Informationen wie das Polling Intervall die Authentifizierungsmethode die Verwendung von SSL oder das Einrichten eines Heartbeats f r den Treiber gespeichert 2 6 Globalkonfigurationswerte Globalkonfigurationswerte Global configuration values abgek rzt GCVs sind mit Treiberparametern vergleichbare Einstellungen
458. stellen Wenn Sie Berechtigungen bisher mit Identity Manager 2 x verwendet haben und diese Berechtigungen jetzt mit Identity Manager 3 nutzen m chten m ssen Sie die Option Berechtigungen aufr sten unter Identity Manager Dienstprogramme ausf hren 6 2 2 Aktivieren von Berechtigungen bei anderen Identity Manager Treibern Sie k nnen auch weiterhin Berechtigungen bei Identity Manager Treibern verwenden die nicht entsprechend vorkonfiguriert sind Um die Unterst tzung von Berechtigungen durch den Treiber zu aktivieren f gen Sie das Attribut DirXML EntitlementRef zum Treiberfilter hinzu Dazu gehen Sie wie folgt vor 1 W hlen Sie Identity Manager gt Identity Manager Uberblick 2 Wechseln Sie zu dem Treibersatz der den Treiber enth lt und klicken Sie anschlie end auf Suchen 3 W hlen Sie das Treiberobjekt auf der Seite Identity Manager berblick aus dem angezeigten Treibersatz aus Entitlements Service Driver UserApplication 176 Novell Identity Manager 3 0 Administrationshandbuch 4 Doppelklicken Sie im Treibersatz auf den gew nschten Treiber um die Treiberseite zu ffnen Klicken Sie auf das Symbol Treiberfilter rechts neben dem Identit tsdepot rot eingekreist 5 W hlen Sie auf der Filterseite Attribut hinzuf gen bl ttern Sie nach unten und w hlen Sie Alle Attribute anzeigen W hlen Sie das Attribut DirXML EntitlementRef und klicken Sie auf OK W hlen Sie die Attribute die zum Filt
459. stemen 91 Abschnitt 5 7 Upgrade bestehender Treiberkonfigurationen zur Unterst tzung der Passwortsynchronisierung auf Seite 106 So bearbeiten Sie Globalkonfigurationswerte 1 Klicken Sie in iManager auf Passw rter gt Passwortsynchronisierung 2 Suchen Sie nach einem Treiber Nachdem Sie angegeben haben wo Sie nach Treibern des verbundenen Systems suchen m chten wird in iManager eine bersicht ber die verf gbaren Einstellungen f r den Passwort Transfer zwischen allen gefundenen Systemtreibern und iManager angezeigt jonen und Aufgaben Identit tsmanager ja Funktionsbasierte Berechtigungen amp Identity Manager a Identity Manager Dienstprogramme ja Konfiguration f r Bereitstellungsanforderungen E Passw rter Passwortstatus berpr fen Herausforderungss tze Passwortrichtlinien Passwortsynchronisierung Richtlinienzuweisungen anzeigen Universelles Passwort festlegen Email Serveroptionen Email Schablonen bearbeiten PBX Passwortsynchronisierung Diese Liste enth lt Treiber f r verbundene Systeme und deren aktuelle Einstellungen f r die Passwortsynchronisierung Klicken Sie auf den Namen um die Einstellungen zu ndern Beachten Sie dass bei nderungen der betroffene Treiber neu gestartet wird Identity Manager akzeptiert Name Server Anwendung akzeptiert Passw rter Passw rter Mi N0041 AL 2K3 NDS Y akt
460. stemen wie gew nscht konfiguriert ist 5a Klicken Sie in iManager auf Passw rter gt Passwortsynchronisierung und suchen Sie die Treiber f r die verbundenen Systeme die Sie verwalten m chten 104 Novell Identity Manager 3 0 Administrationshandbuch 5b berpr fen Sie die aktuellen Einstellungen f r den Passwort Transfer Hierbei handelt es sich um eine grafische Benutzeroberfl che f r die Globalkonfigurationswerte GCV Klicken Sie zum Bearbeiten eines GCV auf den Namen eines Treibers Sie k nnen die folgenden Einstellungen bearbeiten Entgegennahme von Passw rtern aus diesem System durch Identity Manager Das Passwort das von Identity Manager aktualisiert werden soll direkte Aktualisierung des universellen Passworts oder direkte Aktualisierung des Verteilungspassworts Identity Manager kontrolliert den Einstiegspunkt d h das von Identity Manager aktualisierte Passwort NMAS kontrolliert in Abh ngigkeit von den Einstellungen in den Konfigurationsoptionen den Passwort Transfer zwischen den einzelnen Passwortarten Beachten Sie hierzu die Abbildung zu Schritt 3 auf Seite 104 Das Erzwingen der Passwortrichtlinie f r den Benutzer bei Passwort nderungen die an Identity Manager bergeben werden Das Erzwingen der Passwortrichtlinie f r den Benutzer auf dem verbundenen System durch Zur cksetzen von Passw rtern die nicht regelkonform sind Die Annahme von Passw rtern durch dieses verbundene System Das Sende
461. swort auf das universelle Passwort auf Seite 100 Hilfe f r Benutzer beim ndern von Passw rtern auf Seite 100 Vorbereitungen f r die Verwendung des universellen Passworts auf Seite 101 Abgleichen der Container auf Seite 103 Einrichten der Email Benachrichtigung auf Seite 103 5 4 1 Umstellen der Benutzer vom NDS Passwort auf das universelle Passwort Wenn Sie das universelle Passwort mit einer Passwortrichtlinie f r eine Benutzergruppe aktivieren muss das universelle Passwort f r jeden Benutzer hinterlegt werden Wenn Sie das NDS Passwort bisher ber die Passwortsynchronisierung aktualisiert haben m ssen Sie f r die Umstellung der Benutzerpassw rter einige Vorbereitungen treffen Durch eine der folgenden Ma nahmen k nnen Sie bewirken dass die Benutzer ein universelles Passwort erstellen und somit den bergang zur Verwendung des universellen Passworts erm glichen Wenn Sie den Novell Client verwenden stellen Sie den Novell Client bereit der das universelle Passwort unterst tzt Der Novell Client wird zur Identity Manager Passwortsynchronisierung nicht ben tigt Nachdem Sie den Novell Client bereitgestellt haben wird das NDS Passwort bei der n chsten Anmeldung eines Benutzers am Novell Client noch vor der Hash Kodierung abgefangen und als universelles Passwort hinterlegt Siehe Planning Login and Change Password Methods for your Users Planung von Methoden zur Anmeldung und Passwort nder
462. synchronisierung mit verbundenen Systemen 151 5 9 2 Einrichten von Passwortsynchronisierungsfiltern f r NIS Der Identity Manager Treiber f r NIS 3 0 unterst tzt drei Datenspeicher f r die UNIX Authentifizierung Dateien NIS und NIS Ein PAM Modul bernimmt das Erfassen der Passw rter und ihre bergabe an den Identity Manager Treiber f r NIS Die Implementierung des PAM Moduls f r den NIS Treiber ist im dentity Manager Driver for NIS Implementation Guide Identity Manager Treiber f r NIS Implementierungshandbuch unter Identity Manager Drivers http www novell com documentation lg dirxmldrivers index html beschrieben 5 10 Verwalten der Passwortsynchronisierung Einrichten des Passwort Transfers zwischen den Systemen auf Seite 152 Durchsetzen von Passwortrichtlinien auf verbundenen Systemen auf Seite 154 eDirectory Passwort vom synchronisierten Passwort getrennt halten auf Seite 154 5 10 1 Einrichten des Passwort Transfers zwischen den Systemen So zeigen Sie die Einstellungen der Systeme f r die Annahme oder das Ver ffentlichen von Passw rtern an 1 Klicken Sie in iManager auf Passw rter gt Passwortsynchronisierung 2 Suchen Sie nach Treibern f r die verbundenen Systeme ADMIN onein Sammlungseigent merzugriff m e ga SE N eg an BES EEE NE S nn Alle Kategorien x a Ait der Passwortsynchronisierung k nnen Sie P Verbundene Systeme suchen w rter mite
463. t 3001C Matching Rule Transfor mation Document 3001D Command Transforma tion Document 3001E Publisher Filter Transfor mation Document 3001F User Agent Request Result 30020 Resync Driver Result 30021 Migrate 30022 Driver Start State 30023 Driver Stop State 30024 Password Sync Result 30025 Password Reset 30026 DirXML Error Code 30027 DirXML Warning Code 294 Novell Identity Manager 3 0 Administrationshandbuch EventID Description Value Title Value2 Title Value3 Title 30028 Custom Operation 30029 Clear Attribute Result 3002A Add Value Modify Entry Result 3002B Remove Value Result 3002C Merge Entries 3002D Get Named Password Result 3002E Reset Attributes 3002F Add Value Add Entry Result Tabelle C 4 Engine Ereignis Felder Data Type und Triggers EventID Description Data Type Triggers 30001 Status Success XML Document Viele verschiedene Ereignisse k nnen das Ereignis Status Success Status Erfolgreich ausl sen Es bedeutet in der Regel dass ein Vorgang erfolgre ich ausgef hrt wurde 30002 Status Retry XML Document Viele verschiedene Ereignisse k nnen das Ereignis Status Retry Status Wiederholen ausl sen Es bedeutet dass ein Vorgang nicht abgeschlossen wurde und zu einem sp teren Zeitpunkt erneut ausgef hrt wer den muss 30003 Status Warning XML Document Viele verschiedene Ereignisse k nnen das Ereignis Status Warning Status Warnmel dung ausl sen
464. t Die Ersetzungs Token werden durch die Werte der zugeh rigen lt item gt Elemente aus dem Ersetzungsdatendokument ersetzt lt html xmlns form http www novell com dirxml manualtask form gt lt head gt lt head gt lt body gt lt link href cid css 1 rel style sheet type text css gt lt p gt Dear manager lt p gt lt p gt This message is to inform you that your new employee lt b gt Sgiven nameS surname lt b gt has been hired lt p gt lt p gt Please assign a room number for this individual Click lt a 340 Novell Identity Manager 3 0 Administrationshandbuch href Surl gt Here lt a gt to do this lt p gt lt p gt Thank you lt br gt HR lt br gt HR Department lt p gt lt body gt lt html gt Im Folgenden ist die erzeugte Email abgebildet Die Ersetzungs Token wurden durch die Werte der zugeh rigen lt item gt Elemente aus dem Ersetzungsdatendokument ersetzt lt html gt lt head gt lt META http equiv Content Type content text html charset UTF 8 gt lt head gt lt body gt lt link href cid css 1 rel style sheet type text css gt lt p gt Dear J Stanley lt p gt lt p gt This message is to inform you that your new employee lt b gt Joe the Intern lt b gt has been hired lt p gt lt p gt Please assign a room number for this individual Click lt a href https 192 168 0 1 8180 process template xsl template form template xml amp r
465. t Identity Manager berblick und klicken Sie auf Weiter 2 W hlen Sie das Treibersatzobjekt aus und klicken Sie auf Suchen 250 Novell Identity Manager 3 0 Administrationshandbuch 3 Klicken Sie auf den Namen des Treibersatzes Die Seite Objekt bearbeiten wird angezeigt Treibersatz QriverSet South novel Identit ts crosoft depot x i Active Directory entitlement Active Directory 4 W hlen Sie Protokollierumfang auf der Registerkarte Identity Manager Objekt bearbeiten DriverSet South novell E OUNTO Allgemein Globalkonfigurationswerte rrotokolierumfang Statusprotokoll Aktivierung Versch Verkn pfungen Protokollierumfang gt Fehler protokollieren Fehler und Warnmeldungen protokollieren Bestimmte Ereignisse protokollieren EM Nur die letzte Protokollzeit aktualisieren OO Oo O Protokollierung aus m Protokollierung in Treibersatz Abonnenten und Herausgeberprotokollen deaktivieren Aaximale Anzahl der Eintr ge im Protokoll 50 500 jo 5 W hlen Sie die passende Protokollierungsoption f r Ihre Umgebung Option Beschreibung Fehler protokollieren Dies ist der Standard Protokollierumfang Mit dieser Option werden alle Ereignisse mit dem Status Error Fehler sowie benutzerdefinierte Ereignisse protokolliert Wenn diese Option ausgew hlt ist empfangen Sie nur Ereignisse mit der Dezimal ID 196646 bei denen im ersten Textfeld ei
466. t Jeder Standard Tag in einer Email Schablone ist auch in jeder Regel der Passwortsynchronisierungsrichtlinie definiert die die Email Schablone verwendet Der Tag UserGivenName ist beispielsweise einer der Standard Tags in der Email Schablone Password Set Fail Festlegen des Passworts fehlgeschlagen Eine Richtlinie mit der Bezeichnung Email bei fehlerhaften Passwortver ffentlichungen senden verweist in der Aktion DoSendEmailFromTemplate auf diese Email Schablone Diese Regel wird in einer Richtlinie verwendet um einen Benutzer zu benachrichtigen wenn bei der Passwortsynchronisierung ein Fehler aufgetreten ist Das gleiche UserGivenName Tag wird in dieser Regel als Element vom Typ arg string definiert Wie in diesem Beispiel erl utert muss jedes neue Tag sowohl in der Email Schablone als auch in den Richtlinienregeln definiert sein die auf die Email Schablone verweisen damit die Metaverzeichnis Engine wei wie sie das Platzhalter Tag beim Senden der Email an den Benutzer durch die entsprechenden Daten ersetzen soll Sie k nnen sich dabei an den Tags in den mitgelieferten Identity Manager Treiberkonfigurationen orientieren Beachten Sie dabei Folgendes e Die in den Email Schablonen enthaltenen Platzhalter Tags hei en im Kontext des Richtlinien Builders Token Sie sollten den Richtlinien Builder verwenden um das Definieren der Argument Strings f r Platzhalter Tags zu vereinfachen wie in den Verfah
467. t xml v Treiberkonfiguration vom Client importieren XML Datei Datei __ Durchsuchen Neuen Treiber erstellen Name 5 Geben Sie einen Namen f r das Berechtigungs Service Treiberobjekt ein oder bernehmen Sie den Standardnamen und klicken Sie auf Weiter Entitlements Service Driver Treiber Der Treiberher nden Informationen Der Name des Treibers in der Treiberkonfigurationsdatei ist Entitlements Service Driver Geben Sie den Namen ein den Sie fiir diesen Treiber benutzen wollen Treibername Vorhandene Treiber Entitlements Service Driver lt Vorhandenen Treiber zur Aktualisierung ausw hlen w Die passende Treiberkonfigurationsdatei wird automatisch ausgew hlt Geben Sie einen Namen f r das Treiberobjekt ein oder bernehmen Sie die Vorgabe 196 Novell Identity Manager 3 0 Administrationshandbuch 6 Es wird empfohlen Sicherheits quivalenzen zu definieren und Verwaltungsfunktionen auszuschlie en F gen Sie zu beiden Objekten den Benutzer Admin hinzu und klicken Sie auf Weiter 7 berpr fen Sie die Zusammenfassung und klicken Sie auf Fertig stellen Das Treiberschnittstellenmodul f r den Berechtigungstreiber wird standardm ig bei der Installation installiert Die Konfigurationsdatei des Berechtigungstreibers wird standardm ig installiert wenn Sie die Identity Manager Plugins auf dem iManager Server installieren Nachdem Sie den Assistenten
468. t hat 184 Novell Identity Manager 3 0 Administrationshandbuch Wenn eine Berechtigung nur einen Wert besitzt m ssen Konflikte ber die Priorit t gel st werden da eine Zusammenf hrung union von Werten dazu f hren w rde dass mehr als ein Wert zugewiesen wird Derzeit verwenden funktionsbasierte Berechtigungen dieses Attribut In Zukunft werden m glicherweise auch Workflow basierte Berechtigungen dieses Attribut verwenden display name CDATA REQUIRED description CDATA REQUIRED Der tats chliche Name einer Berechtigung soll nicht immer in der Berechtigung angezeigt werden Die Attribute display name Anzeigename und description Beschreibung geben an was dem Benutzer angezeigt wird In Designer gibt es eine Option mit der Sie einen Anzeigenamen ausw hlen k nnen der vom eigentlichen Namen der Berechtigung abweicht lt ELEMENT values query app value gt lt ATTLIST values multi valued true false true Das Element lt values gt Werte ist optional und zeigt an dass eine Berechtigung Werte besitzt Wenn Sie dieses Element nicht verwenden bedeutet dies dass die Berechtigung nicht mit einem Wert belegt ist Eine Berechtigung die die Zugeh rigkeit zu einer Verteilerliste erteilt ist ein Beispiel f r eine mit Werten belegte Berechtigung Eine Berechtigung die ein Konto in einer Anwendung erteilt etwa die Benutzerkontoberechtig
469. t sein Kann mit verbundenen Depots verwendet werden auf denen eDirectory 8 6 2 oder h her l uft e NMAS 2 3 ist nicht erforderlich Setzt die grundlegenden Passworteinschr nkun gen durch die f r das NDS Passwort festgelegt werden k nnen Mit dieser Methode k nnen Passw rter zwischen Identit tsdepots synchronisiert werden Eine Syn chronisierung von Passw rtern gegen ber anderen verbundenen Systemen ist nicht m glich F hrt keine Aktualisierung des universellen Pass worts oder des Verteilungspassworts durch Da diese Methode NMAS nicht verwendet k nnen Passw rter nicht mit erweiterten Passwortregeln in Richtlinien f r Passw rter validiert werden die aus einem anderen Identit tsdepot stammen Da diese Methode NMAS nicht verwendet k nnen keine Passw rter im verbundenen Identit tsdepot zur ckgesetzt werden die der NMAS Passwor trichtlinie nicht entsprechen Bei fehlgeschlagener Passwortsynchronisierung erfolgt keine Email Benachrichtigung Der Aufruf der Funktion Passwortstatus ber pr fen aus iManager heraus wird nicht unterst tzt F r diese Funktion wird das Verteilungspasswort ben tigt Passwortsynchronisierung mit verbundenen Systemen 117 Das folgende Diagramm zeigt dass der Identity Manager Treiber f r eDirectory wie in DirXML 1 x verwendet werden kann um das NDS Passwort zwischen zwei Identit tsdepots zu synchronisieren In diesem Szenario wird NMAS nicht verwendet
470. t werden ten Passwortregeln nicht aktiviert sind werden keine Passwortrichtlinien erzwungen und Pass w rter auf verbundenen Systemen k nnen nicht zur ckgesetzt werden Das Diagramm zu diesem Szenario zeigt folgenden Verlauf 1 Passw rter treffen ber Identity Manager ein 2 Identity Manager geht ber NMAS um das Verteilungspasswort direkt zu aktualisieren 3 Identity Manager verwendet das Verteilungspasswort auch um Passw rter an verbundene Systeme zu bergeben die Sie f r das Akzeptieren von Passw rtern konfiguriert haben Entscheidend bei diesem Szenario ist dass in der NMAS Passwortrichtlinie die Option Verteilungspasswort bei Auswahl des universellen Passworts synchronisieren deaktiviert ist Da das Verteilungspasswort nicht mit dem universellen Passwort synchronisiert wird synchronisiert Identity Manager Passw rter zwischen verbundenen Systemen ohne dass dies Auswirkungen auf Passw rter im Identit tsdepot hat Passwortsynchronisierung mit verbundenen Systemen 143 Obwohl in diesem Diagramm gleich mehrere Systeme mit Identity Manager verbunden sind gilt es zu beachten dass die Einstellungen f r die Treiber jedes verbundenen Systems einzeln festgelegt werden m ssen Abbildung 5 14 Tunneling mit Aktualisierung des Verteilungspassworts durch Identity Manager Identity S Manager 1 Verteilungs passwort NDS Passwort Einfaches Passwort Einrichten von Szenario 4 Damit Sie
471. t zu verteilen F r die Identity Manager Passwortsynchronisierung wird auch das Verteilungspasswort verwendet Wie beim universellen Passwort kann auch beim Verteilungspasswort eine Richtlinie erzwungen werden Weitere Informationen zur Verwendung der Passwortsynchronisierung finden Sie unter Implementierung der Passwortsynchronisierung auf Seite 115 Sie k nnen eine oder mehrere dieser Beispielsituationen verwenden um den Erfordernissen in Ihrer Umgebung gerecht zu werden Passwortsynchronisierung mit verbundenen Systemen 81 Synchronisieren von Passw rtern unter Windows ohne den Novell Client F r die Passwortsynchronisierung mit Active Directory und NT Domain wird kein Novell Client mehr ben tigt Benachrichtigen von Benutzern wenn bei der Passwortsynchronisierung Fehler aufgetreten sind Im Abschnitt Durchsetzen von Passwortrichtlinien im Datenspeicher und auf verbundenen Systemen wird beschrieben dass Identity Manager Passwortrichtlinien erzwingen kann indem von verbundenen Systemen stammende nicht regelkonforme Passw rter abgelehnt werden Mit der Funktion der Email Benachrichtigung k nnen Sie festlegen dass der Benutzer per Email benachrichtigt wird wenn seine Passwort nderung nicht erfolgreich war Szenario Sie haben Identity Manager so konfiguriert dass von NT Domain eingehende Passw rter abgelehnt werden wenn sie nicht Ihrer Passwortrichtlinie entsprechen Sie haben die Funktion der Email Benachrichtigung
472. ted Entity Updated Entity Updated Entity Deleted Entity Created Abbildung C 2 Historical Approval Flow Report Novell Audit Report for Identity Manager Report Last Modified 10 13 2005 Report Generated On 10 13 2005 Tote pages 17 Historical Approval Flow Report Total Events 351 Report Period 10 13 2005 8 46 17AM WorkFlow Event fecedbe80a3d4 ab d83c9476a1b576ea2 Date Time 9 12 2005 9 12 2005 9712 2005 9 12 2005 9712 2005 9 12 2005 3 20 42PM 3 20 43P M 3 25 43P M 3 30 44P M 3 30 44P M 3 30 44P M Action Workflow Started Workflow Forwarded Workflow Reassigned Workflow Forwarded Workflow Ended Workflow Denied Initiator ID cn ablake ou users ou idm sam pl e Jeff o novell Workflow Administrator Unclaimed Workflow Administrator Workflow Administrator System WorkFlow Event fc6d74b 12682 43b 3beac52261439dea0 Date Time 9 28 2005 97 28 2005 9 28 2005 9 28 2005 9 28 2005 9428 2005 9 28 2005 9 26 2005 9 28 2005 9 28 2005 9 28 2005 9 26 2005 9 28 2005 1 12 19PM 12 22P M 12 23P M 12 23P M 12 23P M 12 23P M 12 23P M 12 23PM 12 23P M 12 27PM 12 27PM 12 27PM 12 27PM Pagetoft 312 Novell Identity Manager 3 0 Administrationshandbuch Action Workflow Started Workflow Forwarded Workflow Forwarded Workflow Forwarded Workflow Forwarded Workflow Forwarded Wor
473. tellungen auf dem verbundenen System ab 76 Novell Identity Manager 3 0 Administrationshandbuch Einige verbundene Systeme akzeptieren neue und ge nderte Passw rter von Identity Manager und k nnen auch das aktuelle Passwort des Benutzers an Identity Manager bergeben Die nachfolgend aufgef hrten verbundenen Systeme unterst tzen die bidirektionale Passwortsynchronisierung von Identity Manager e Active Directory Novell eDirectory Network Information Services NIS NT Domain Bei diesen verbundenen Systemen k nnen Benutzer das Passwort auf einem der Systeme ndern und es anschlie end ber Identity Manager auf den anderen Systemen synchronisieren Wenn Sie mit den erweiterten Passwortregeln in Ihren NMAS Passwortrichtlinien arbeiten ist es jedoch sinnvoller dass die Benutzer die Passw rter in der iManager Selbstbedienungskonsole ndern Dies ist der beste Ort f r Passwort nderungen da hier alle Regeln die das Benutzerpasswort erf llen muss aufgelistet werden Da andere verbundene Systeme das aktuelle Benutzerpasswort nicht weiterleiten k nnen wird auf diesen Systemen die bidirektionale Passwortsynchronisierung nicht vollst ndig unterst tzt Mit der Definition von Richtlinien innerhalb der Treiberkonfiguration k nnen sie jedoch Daten bereitstellen die zum Erstellen von Passw rtern verwendet werden k nnen und diese an Identity Manager senden Verschiedene andere Systeme k nnen Passw rter von Identity Manage
474. ten einige vordefinierte Tags um Ihnen das Personalisieren der Benachrichtigung f r den Benutzer zu erleichtern Sie haben aber auch die M glichkeit eigene Tags hinzuzuf gen Welche Tags Sie hinzuf gen k nnen h ngt von der Anwendung ab von der die Email Schablone verwendet werden soll Hinzuf gen von Platzhalter Tags zu Email Benachrichtigungsschablonen des Typs Passwortsynchronisierung auf Seite 162 Hinzuf gen von Platzhalter Tags zu Email Benachrichtigungsschablonen des Typs Passwort vergessen auf Seite 168 Hinzuf gen von Platzhalter Tags zu Email Benachrichtigungsschablonen des Typs Passwortsynchronisierung Sie k nnen Platzhalter Tags in Email Benachrichtigungsschablonen einf gen Diese Tags funktionieren allerdings erst wenn Sie in den Regeln s mtlicher Passwortsynchronisierungsrichtlinien die auf die betreffenden Email Benachrichtigungsschablonen verweisen definiert sind Bei Verwendung einer Aktion vom Typ DoSendEmailFromTemplate m ssen alle in der Schablone enthaltenen Platzhalter Tags als untergeordnete arg strings Elemente der Aktion definiert sein 162 Novell Identity Manager 3 0 Administrationshandbuch Identity Manager stellt beispielsweise Standard Platzhalter Tags zur Verf gung die in den Email Benachrichtigungsschablonen enthalten sind Au erdem stellt Identity Manager in den Treiberkonfigurationen Standardrichtlinien f r die Passwortsynchronisierung berei
475. terknoten Erstellen Sie auf dem prim ren Clusterknoten einen neuen Baum oder installieren Sie den Server in einem vorhandenen Baum Benennen Sie den eDirectory Server verwenden Sie hierzu aber nicht den Namen des UNIX Servers Verwenden Sie anstelle eines Namens der f r einen Clusterknoten geeignet ist einen allgemeinen Namen f r das Cluster 3 Installieren Sie auf dem sekund ren Clusterknoten dieselbe Version von eDirectory Konfigurieren Sie eDirectory nicht auf dem sekund ren Clusterknoten Der sekund re Knoten verf gt nicht ber einen separaten Baum 9 1 2 Installation von Identity Manager 1 Installieren Sie Identity Manager ber die Metaverzeichnis Server Option auf dem prim ren Clusterknoten Der Installationsvorgang installiert die Identity Manager Dateien und konfiguriert den eDirectory Baum f r die Verwendung mit Identity Manager 2 Installieren Sie auf dem zweiten Clusterknoten dieselbe Version von Identity Manager Verwenden Sie hierzu den Schalter f r den sekund ren Cluster und geben Sie Folgendes ein dirxml platform bin DCLUSTER _INSTALL true W hlen Sie w hrend der Installation die Metaverzeichnis Server Option Wenn der Schalter f r den sekund ren Cluster verwendet wird werden die Identity Manager Dateien installiert ohne dabei den Versuch zu unternehmen eine zus tzliche Konfiguration von eDirectory vorzunehmen Eine Konfiguration ist nicht erforderlich weil der sekund re Knoten nicht be
476. tifikate e SSL CertificateIP SSL CertificateDNS 2 Exportieren Sie das selbstsignierte Zertifikat 3 2 1 Serverzertifikat erstellen 1 Klicken Sie in Novell iManager auf Novell Certificate Server gt Create Server Certificate Serverzertifikat erstellen Assistent f r die Erstellung von Serverzertifikaten a9 Willkommen beim Assistenten f r die Erstellung von Serverzertifikaten Wahlen Sie den Server aus dem das Zertifikat zugeh ren soll Server NOO41 AL 2K3 NDS novell 8 Kurzname des Zertifikats remotecert Erstellungsmethode Standard iStandardparameter O Benutzerdefiniert Angabe der Parameter durch Benutzer Importieren erm glicht die Angabe von Schl sseln und Zertifikaten durch eine PKCS12 Datei 2 W hlen Sie den Server aus der Eigent mer des Zertifikats sein soll und geben Sie dem Zertifikat einen Kurznamen z B remotecert Wichtig Vermeiden Sie die Verwendung von Leerzeichen in den Kurznamen der Zertifikate Beispiel Verwenden Sie remotecert anstatt remote cert Notieren Sie sich au erdem den Kurznamen des Zertifikats Sie ben tigen diesen Kurznamen f r den KMO Namen in den Remote Verbindungsparametern des Treibers 3 Behalten Sie die Erstellungsmethode Standard bei und klicken Sie anschlie end auf Weiter berpr fen Sie die Zusammenfassung klicken Sie auf Fertig stellen und anschlie end auf Schlie en Das Serverzertifikat wurde erstellt Fah
477. tifiziert eine zu protokollierende Ereignis ID 258 Novell Identity Manager 3 0 Administrationshandbuch Vor der Protokollierung eines Ereignisses gleicht die Engine den aktuellen Ereignistyp mit dem Inhalt dieses Attributs ab Auf diese Weise wird ermittelt ob ein Ereignis zu protokollieren ist oder nicht Bei fr heren Versionen von Identity Manager wurde das DirXML DriverTraceLevel Attribut zum Einrichten des Protokollierumfangs verwendet Der Protokollierumfang wurde f r jedes Treiberobjekt angegeben da die Vererbung nicht unterst tzt wurde In den Nachfolgeversionen von Identity Manager 2 k nnen Treiberobjekte diese Informationen vom Treibersatzobjekt erben Das DirXML DriverTraceLevel Attribut eines Treiberobjekts hat bei der Ermittlung der Protokolleinstellungen die h chste Priorit t Wenn ein Treiberobjekt kein DirXML DriverTraceLevel Attribut enth lt verwendet die Engine die Protokolleinstellungen des bergeordneten Treibersatzobjekts 10 5 Abfragen und Berichterstellung Novell Audit bietet zwei Werkzeuge f r Abfragen auf Ereignisse in der Novell Audit Datenbank das Novell Audit iManager Plugin und Novell Audit Report LReport Das Novell Audit iManager Plugin ist eine webbasierte JDBC Anwendung f r Datenbankabfragen mit der Sie unter Verwendung von Dropdown Listen und Makros auf einfache Art Abfragen erstellen und speichern k nnen Novell Audit Report ist eine Windows basierte ODBC konforme Anwendung mit der man be
478. tionen f r einen Remote Loader auf Seite 279 module m Modulname Gibt das Modul an in dem das zu hostende Iden tity Manager Anwendungsschnittstellenmodul enthalten ist Bei einem nativen Treiber k nnen Sie beispiels weise eine der folgenden Optionen angeben module c Novell Remote Loader Exchange5Shim dil m c Novell Remote Loader Exchange5Shim dil oder module usr lib dirxml NISDriverShim so m usr lib dirxml NISDriverShim so Die Option module verwendet ein rootfile Zerti fikat Die Optionen module und class schlie en sich gegenseitig aus 9 Geben Sie der Datei einen Namen und speichern Sie sie Sie k nnen einige Einstellungen ndern w hrend der Remote Loader l uft Informationen zu diesen Einstellungen finden Sie unter Anhang B Konfigurationsoptionen f r einen Remote Loader auf Seite 279 Parameter Beschreibung commandport Gibt eine Instanz des Remote Loader an config Gibt eine Konfigurationsdatei an javadebugport Gibt an dass die Remote Loader Instanz das Java Debugging auf dem angegebenen Port aktivieren soll password Erm glicht die bergabe von Befehlen Einrichten eines verbundenen Systems 63 Parameter Beschreibung service Installiert eine Instanz als Service Nur Windows tracechange ndert die Trace Stufe tracefilechange Andert den Namen der Trace Datei in die geschrieben wird unload Entladt die Remote Loader Instanz
479. tionen in Identity Manager Wenn Sie eine vorhandene Treiberkonfiguration nicht ersetzen sondern aktualisieren m ssen Sie die Konfiguration um bestimmte Richtlinien erg nzen Weitere Informationen finden Sie in Abschnitt 5 7 Upgrade bestehender Treiberkonfigurationen zur Unterst tzung der Passwortsynchronisierung auf Seite 106 Damit die Passwortsynchronisierung funktioniert m ssen sich diese Richtlinien in der Treiberkonfiguration an der richtigen Stelle befinden Im Herausgeber Befehlsumwandlungssatz ben tigte Richtlinien auf Seite 94 Im Herausgeber Eingabetransformationsrichtliniensatz ben tigte Richtlinien auf Seite 97 Im Richtliniensatz f r Abonnenten Befehlsumwandlung ben tigte Richtlinien auf Seite 97 Im Abonnenten Ausgabetransformationsrichtliniensatz ben tigte Richtlinien auf Seite 98 Im Herausgeber Befehlsumwandlungssatz ben tigte Richtlinien Die in der Spalte Name der Passwortsynchronisierungsrichtlinie aufgef hrten Richtlinien m ssen in der angegebenen Reihenfolge vorhanden sein Zudem m ssen diese als letzte Richtlinien im Richtliniensatz f r Herausgeber Befehlsumwandlungen enthalten sein 94 Novell Identity Manager 3 0 Administrationshandbuch Tabelle 5 7 Im Herausgeber Befehlsumwandlungssatz ben tigte Richtlinien Passwortsynchronisierung mit verbundenen Systemen 95 Position in der Treiberkonfiguration Name der Passwortsynchronisierungsrichtlin Auswirkung der
480. titlementRef des Identity Manager Treiberobjekts siehe Abschnitt 6 2 2 Aktivieren von Berechtigungen bei anderen Identity Manager Treibern auf Seite 176 wenn nicht bereits geschehen 2 Installieren Sie den Berechtigungs Service Treiber Entitlement xml wie in Abschnitt 6 6 Erstellen eines Berechtigungs Service Treiberobjekts auf Seite 196 beschrieben 3 Erstellen Sie funktionsbasierte Berechtigungsrichtlinien in iManager wie in Abschnitt 6 7 Erstellen von Berechtigungsrichtlinien auf Seite 197 beschrieben 6 5 1 Funktionsweise des Berechtigungs Service Treibers Funktionsbasierte Berechtigungen h ngen vom Berechtigungs Service Treiber Entitlement xm1 ab Bei diesem Treiber handelt es sich um einen Service der Engine der berwacht ob f r Benutzer eine Mitgliedschaft in einer Berechtigungsrichtlinie besteht Wenn ein Benutzer die dynamischen Mitgliedschaftskriterien einer dynamischen Gruppe in einer 194 Novell Identity Manager 3 0 Administrationshandbuch Berechtigungsrichtlinie erf llt oder ihr statistisch angeh rt aktualisiert der Berechtigungs Service Treiber im Attribut DirXML EntitlementRef Informationen zu diesem Benutzerobjekt F r die in Abschnitt 6 2 1 Identity Manager Treiber mit Vorkonfigurationen die Berechtigungen unterst tzen auf Seite 175 aufgelisteten Systeme k nnen Sie Berechtigungen beim Importieren der Identity Manager Treiberkonfiguration aktivieren Zu Ide
481. tlinien Builder und zur Treiberanpassung Erstellen von Richtlinien 73 74 Novell Identity Manager 3 0 Administrationshandbuch Passwortsynchronisierung mit verbundenen Systemen Abschnitt 5 1 berblick auf Seite 75 Abschnitt 5 2 Unterst tzung von verbundenen Systemen bei der Passwortsynchronisierung auf Seite 86 Abschnitt 5 3 Voraussetzungen f r die Passwortsynchronisierung auf Seite 89 Abschnitt 5 4 Vorbereitungen zur Nutzung der Identity Manager Passwortsynchronisierung und des universellen Passworts auf Seite 100 Abschnitt 5 5 Konfigurieren und Synchronisieren eines neuen Treibers auf Seite 103 Abschnitt 5 6 Upgrade von Version 1 0 der Passwortsynchronisierung auf Seite 105 Abschnitt 5 7 Upgrade bestehender Treiberkonfigurationen zur Unterst tzung der Passwortsynchronisierung auf Seite 106 Abschnitt 5 8 Implementierung der Passwortsynchronisierung auf Seite 115 Abschnitt 5 9 Einrichten von Passwortfiltern auf Seite 151 Abschnitt 5 10 Verwalten der Passwortsynchronisierung auf Seite 152 Abschnitt 5 11 berpr fen des Passwortsynchronisierungsstatus eines Benutzers auf Seite 155 Abschnitt 5 12 Konfigurieren der Email Benachrichtigung auf Seite 156 Abschnitt 5 13 Fehlersuche bei der Passwortsynchronisierung auf Seite 169 5 1 berblick Identity Manager erm glicht eine Passwortsynchronisierung in beide Richtungen
482. tribut hinzuf gen 41 Clear attribute Attribut l schen 274 Novell Identity Manager 3 0 Administrationshandbuch Optionen 42 Add value Wert hinzuf gen 43 Remove value Wert entfernen 44 Merge entire Eintr ge zusammenf hren 45 Get named password Benanntes Passwort abrufen 46 Unknown Unbekannt 47 Unknown Unbekannt 48 User defined IDs Benutzerdefinierte IDs 99 Accept checked items Markierte Elemente akzeptieren A 2 Befehlszeilenmodus Der Befehlszeilenmodus erm glicht Ihnen die Verwendung von Skript oder Stapeldateien In Tabelle A 7 auf Seite 275 sind die verschiedenen Optionen aufgelistet Sie m ssen bei der Verwendung der Befehlszeilenoptionen entscheiden welche Elemente Sie ben tigen und diese dann in einem Befehl zusammenfassen Beispiel dxcmd user admin headquarters host 10 0 0 1 password nOvell start test driverset headquarters Mit diesem Befehl wird der Treiber gestartet Tabelle A 7 Befehlszeilenoptionen Option Beschreibung Konfiguration user lt Benutzername gt host lt Hostname oder IP Adresse gt password lt Benutzerpasswort gt port lt Portnummer gt q lt automatischer Modus gt v lt ausf hrlicher Modus gt lt diese Nachricht anzeigen gt help lt diese Nachricht anzeigen gt Geben Sie den Namen eines Benutzers mit admin istrativen Rechten f r die Treiber an die Sie testen m chten Geben Sie die IP Adresse de
483. tstellenmodul hostet ist der Befehls Port der Port ber den eine andere Remote Loader Instanz mit der Instanz kommuniziert die das Schnittstellenmodul hostet Wenn die Remote Loader Instanz einen Befehl an eine Instanz sendet die ein Anwendungsschnittstellenmodul hostet ist der Befehls Port der Port der von der Host Instanz berwacht wird Wenn kein Port angegeben ist wird standardm ig Befehls Port 8000 verwendet Durch die Angabe unterschiedlicher Verbindungs und Befehls Ports k nnen auf dem Server auf dem unterschiedliche Treiberinstanzen gehostet werden mehrere Instanzen des Remote Loader ausgef hrt werden Beispiel commandport 8001 cp 8001 Gibt eine Konfigurationsdatei an Die Konfigurations datei kann bis auf config beliebige Befehlszeile noptionen enthalten Die an der Befehlszeile angegebenen Optionen haben Vorrang vor den in der Konfigurationsdatei angegebenen Optionen Beispiel config config txt Gibt die Verbindungsparameter f r die Verbindung zum Metaverzeichnis Server an auf dem das Iden tity Manager Remote Schnittstellenmodul aus gef hrt wird Die Standardverbindungsmethode f r den Remote Loader ist TCP IP mit SSL Der TCP IP Standardport f r diese Verbindung ist 8090 Es k nnen mehrere Instanzen des Remote Loader auf demselben Server ausgef hrt werden Jede Instanz des Remote Loader hostet eine separate Anwend ungsschnittstellenmodulinstanz des Identity Man ager Sie unterscheiden mehre
484. tt 1 bis Schritt 4 durch W hlen Sie dabei in der Treibermitte das Symbol Alle Berechtigungen anzeigen rot eingekreist Identity Manager Treiber berblick Treiber Active Directory TestDriverSet novell 8 Klicken Sie auf der Seite Berechtigungen verwalten auf den Namen der Berechtigung um die Berechtigung im XML Viewer zu ffnen Klicken Sie zum Bearbeiten des Berechtigungscodes auf XML Bearbeitung aktivieren 182 Novell Identity Manager 3 0 Administrationshandbuch Der Active Directory Treiber mit aktivierten Berechtigungen enth lt drei Berechtigungen Benutzerkonto Gruppe und Exchange Mail Abbildung 6 1 Im AD Treiber vorkonfigurierte Berechtigungen https 11172 22 10 89 Berechtigungen verwalten Frameset Mozilla Firefox amp Berechtigungen verwalten Berechtigung Hinzuf gen L schen Umbenennen Aktuskiaren o Name F D Es geMaibox Die Ex Sie k nnen sich Beispiele aus dem XML Code f r diese Berechtigungen in Abschnitt 6 4 6 Beispielberechtigungen zum leichteren Erstellen eigener Berechtigungen auf Seite 188 ansehen 6 4 2 Die Berechtigungs Dokumenttypdefinition DTD von Novell Einige Berechtigungen sind bei Treibern mit aktivierter Unterst tzung f r Berechtigungen bereits vordefiniert Sie k nnen diese Berechtigungen verwenden oder eigene Berechtigungen in iManager oder Designer erstellen Die folgende Berechtigungs DTD von Novell dient als Bei
485. ty Manager Remote Loader angegeben ist Remote Passwort Passwort erneut eingeben 6 Erstellen Sie einen sicherheits quivalenten Benutzer klicken Sie auf Weiter und danach auf Fertig stellen 3 4 2 Einen vorhandenen Treiber konfigurieren Geben Sie die f r die Verbindung zum Remote Loader erforderlichen Parameter f r das Treiberobjekt an 1 Klicken Sie in Novell iManager auf Identity Manager gt Identity Manager berblick 2 W hlen Sie den Treiber aus den Sie bearbeiten m chten Treiber starten Aktuellen Status abfragen Eigenschaften bearbeiten Abbrechen 3 Klicken Sie auf das Symbol f r den Treiberstatus und anschlie end auf Eigenschaften bearbeiten Einrichten eines verbundenen Systems 69 4 Aktivieren Sie unter Treibermodul die Option Verbindung zu Remote Loader aufbauen ETS ETETT Server Variablen Allgemein Treiberkonfiguration Globalkonfi Protokollierumfang Treiber Ima rationswerte Benannte Passw rter herheitsaquivalenzen Filter Filter Treibermodul Java O Nativ Verbindung zu Remote Loader aufbauen 5 Geben Sie im Abschnitt Authentifizierung Parameter f r den Remote Loader ein Authentifizierung NO41 W2K3 U5S1 NDS novell Authentifizierungs ID cn admin novell Authentifizierungskontext 172 22 10 79 389 Verbindungsparameter f r Remote Loader Treib
486. uelle Aufgaben durch verschiedene Mechanismen auf dem Abonnenten und Herausgeberkanal zur Verf gung gestellt Abonnentenkanal Die Ersetzungsdaten werden als Teil des lt mail gt Elements zur Verf gung gestellt Ein Teil der Ersetzungsdaten wird m glicherweise in Form von URL Daten zur Verf gung gestellt Wenn URL Daten zur Verf gung gestellt werden werden sie verarbeitet vervollst ndigt und durch automatische Datenelemente ersetzt siehe Anhang E Service Treiber f r manuelle Aufgaben Automatische Ersetzungsdatenelemente auf Seite 327 e Wenn im lt mail gt Element angegeben ist dass ein Wert f r association gebildet werden soll d h das lt mail gt Element verf gt ber ein src dn Attribut wird ein automatisches Datenelement namens association zu den Ersetzungsdaten hinzugef gt Herausgeberkanal Ersetzungsdaten werden in den HTTP URL Daten und den HTTP POST Daten zur Verf gung gestellt e Bevor die Ersetzungsdaten zur Schablonenverarbeitung verwendet werden erhalten sie automatische URL Ersetzungsdatenelemente Ersetzungsdaten liegen bei der Schablonenverarbeitung als XML Dokument vor Das Ersetzungsdatendokument wird an die Formatvorlage weitergeleitet die die Schablone als Parameter namens replacement data verarbeitet Das XML Dokument wird direkt von der Formatvorlage verarbeitet wenn keine Schablone verwendet wird D 1 Datensicherheit Datenelemente werden ber ei
487. uery Zeichenkette siehe lt url query gt zum Abschnitt mit den gesch tzten Daten hinzugef gt werden soll Wenn das protect Attribut vorhanden ist muss es auf den Wert yes gesetzt sein Vordefinierte lt item gt Namen Bestimmte lt item gt Elemente haben entweder auf dem Abonnenten oder dem Herausgeberkanal oder auf beiden Kan len eine vordefinierte Bedeutung template Der Herausgeberkanal verarbeitet den Wert des template Elements als Namen des Schablonendokuments das bei der Generierung einer Antwort auf eine HTTP GET Anforderung verwendet werden soll Der Wert wird in den URL Query Daten platziert wenn lt item name template gt auf dem Abonnentenkanal als untergeordnetes Element des lt url query gt Elements angezeigt wird Auf diese Weise wird der Name des Schablonendokuments das bei der Beantwortung der HTTP GET Anforderung verwendet werden soll an den Webserver des Herausgeberkanals bergeben Service Treiber f r manuelle Aufgaben Ersetzungsdaten 321 responder dn Der Herausgeberkanal verwendet den Wert des responder dn item Elements in den HTTP POST Daten als den DN des eDirectory Objekts anhand dessen das in den HTTP POST Daten enthaltene Passwort best tigt wird Der Webserver weist alle HTTP POST Anforderungen zur ck die keinen Wert f r responder dn und password enthalten Dar ber hinaus wird die Anforderung zur ckgewiesen wenn in den HTTP POST Daten kein item El
488. uf gen f llen Sie die Felder aus und klicken Sie auf OK Benanntes Passwort bearbeiten Microsoft Internet Explorer amp Benanntes Passwort Mit benannten sw rtern k nnen Sie mehrere P rter f r einen Treiber sicher ablegen Anstatt ein P or Klartext in einer Treiberrichtlinie abzulegen k nnen Sie per Richtlinienkonfigurie benanntes Passwort anfordern Name Anzeigename Passwort eingeben Passwort wiederholen 6 Geben Sie einen Namen einen Anzeigenamen und ein Passwort ein und klicken Sie zweimal auf OK Beachten Sie dass Sie mithilfe dieser Funktion auch andere Informationen z B den Benutzernamen sicher speichern k nnen 7 Es wird folgende Meldung angezeigt M chten Sie den Treiber neu starten damit Ihre nderungen wirksam werden OK Ja Abbrechen Nein Klicken Sie auf OK 8 Klicken Sie zum Entfernen eines benannten Passworts auf Entfernen Das Passwort wird entfernt ohne dass Sie diesen Vorgang best tigen m ssen 2 9 3 Verwenden benannter Passw rter in Treiberrichtlinien Verwenden des Richtlinien Builder auf Seite 31 e Verwenden von XSLT auf Seite 32 Verwenden des Richtlinien Builder Mit dem Richtlinien Builder k nnen Sie ein benanntes Passwort aufrufen Erstellen Sie eine neue Regel und w hlen Sie Benanntes Passwort als Bedingung Sie legen eine Aktion abh ngig davon fest ob das benannte Passwort verf gbar ist oder nicht Das folgende Beispiel
489. ulare verwendet werden Der zur Qualifizierung der Elemente verwendete Namespace ist http www novell com dirxml manualtask form In diesem Dokument und in den im Lieferumfang des Service Treibers f r manuelle Aufgaben enthaltenen Beispielschablonen wird das Pr fix form verwendet Alle Aktionselemente auf die in diesem Abschnitt nicht speziell eingegangen wird werden bei der Schablonenverarbeitung von der Formatvorlage entfernt sofern die Formatvorlage nicht benutzerdefiniert ist Durch dieses Verhalten wird z B die Verwendung eines form text Elements f r die Daten einer Email mit einfachem Text erm glicht wodurch die Schablone zu g ltiger XML wird F 1 lt form input gt Das lt form input gt Element wird zur Erzeugung von einem oder mehreren HTML INPUT Elementen verwendet sofern ein oder mehrere Ersetzungsdatenelemente vorhanden sind Die Anzahl der erstellten INPUT Elemente entspricht der Anzahl der Ersetzungsdatenelemente mit dem Namen der durch das Namensattribut des Elements lt form input gt angegeben wird Attribute Name ber dieses Attribut wird der Name der Ersetzungsdatenelemente festgelegt die zur Erstellung der INPUT Elemente verwendet werden Der Attributwert wird als Wert des Namensattributs des erstellten INPUT Elements verwendet type oder TYPE Dieses Attribut gibt den Wert des Attributs type der erstellten INPUT Elemente an value Wenn der Wert des Attributs value
490. ung des Active Directory Treibers ist ein Beispiel f r eine Berechtigung die nicht mit Werten belegt ist Berechtigungen die mit Werten belegt sind beziehen ihre Werte aus drei Quellen Eine dieser Quellen ist die externe Anwendung vorgegeben durch das Element lt query app gt Die zweite Quelle ist eine vordefinierte durchnummerierte Werteliste ein oder mehrere lt value gt Elemente Die dritte Quelle ist der Client der Berechtigung ein lt values gt Element ohne bergeordnete lt value gt Elemente Diese Beispiele veranschaulichen die Funktionsweise von Werten Mit Werten belegte Berechtigungen k nnen ein oder mehrwertig sein Standardm ig sind solche Berechtigungen mehrwertig F r das Erzwingen dieser Einschr nkung ist der Client der Berechtigung zust ndig lt ELEMENT value PCDATA gt Berechtigungswerte sind typenlose Zeichenketten lt ELEMENT query app query xml result set gt Wenn Werte von einer externen Anwendung bezogen werden sollen z B von einer Email Verteilerliste m ssen Sie mit dem Element lt que ry xm1 gt eine Anwendungsabfrage festlegen Verwenden Sie zum Exrahieren der Ergebnisse aus der Abfrage das Element lt result set gt In Beispiel 2 Anwendungsabfrageberechtigung Externe Abfrage auf Seite 189 finden Sie dazu zwei Beispiele lt ELEMENT query xml ANY gt XML Abfragen sind XDS formatiert Der Befehl lt query xm
491. ung f r Benutzer im Password Management Administration Guide Administrationshandbuch zur Passwortverwaltung Wenn Sie den Novell Client nicht verwenden fordern Sie die Benutzer auf sich tiber die iManager Selbstbedienungskonsole anzumelden Durch diese Anmeldemethode wird das universelle Passwort hinterlegt Wechseln Sie zum Zugriff auf die iManager Selbstbedienungskonsole in das Verzeichnis nps auf dem iManager Server Beispiel https www myiManager com nps Fordern Sie die Benutzer auf sich tiber einen beliebigen Service anzumelden der die Authentifizierung ber einen LDAP Server durchf hrt der das universelle Passwort unterst tzt Die Anmeldung kann beispielsweise ber ein Firmenportal erfolgen 5 4 2 Hilfe f r Benutzer beim ndern von Passw rtern Wenn ein Benutzer ein Passwort in iManager in der iManager Selbstbedienungskonsole oder im Novell Client ndert werden die erweiterten Passwortregeln aus der NMAS Passwortrichtlinie angezeigt Dadurch kann der Benutzer problemlos ein regelkonformes Passwort erstellen Je nach Konfiguration des Passwort Transfers kann ein Benutzer ein Passwort auf einem verbundenen System ndern woraufhin das Passwort mit Identity Manager und anderen 100 Novell Identity Manager 3 0 Administrationshandbuch verbundenen Systemen synchronisiert wird Die erweiterten Passwortregeln werden auf den verbundenen Systemen jedoch nicht angezeigt wenn der Benutzer ein Passwort ndert W
492. ungen U eDirectory 8 7 3 oder h her 0 Identity Manager 2 oder 3 QO Ein Berechtigungs Service Treiber Jeder Treibersatz in dem Berechtigungen verwendet werden sollen muss einen Berechtigungs Service Treiber enthalten Dazu ist eine sehr einfache einmalige Konfiguration jedes Treibersatzes erforderlich U Eine Treiberkonfiguration die Berechtigungen unterst tzt Bevor Sie Berechtigungen mit einem verbundenen System verwenden k nnen m ssen Sie einen der folgenden Schritte ausf hren e Importieren Sie die Identity Manager Treiberkonfiguration f r den Treiber und geben Sie an dass die Unterst tzung von Berechtigungen im Treiber aktiviert ist e Aktivieren Sie die Unterst tzung von Berechtigungen durch den Treiber Dazu gehen Sie wie folgt vor a Erstellen Sie Berechtigungen mit iManager oder Designer vorzugsweise Designer b F gen Sie das Attribut DirXML EntitlementRef wie in Abschnitt 6 2 2 Aktivieren von Berechtigungen bei anderen Identity Manager Treibern auf Seite 176 beschrieben zum Treiberfilter hinzu c Erstellen Sie Richtlinien um die in Schritt 1 erstellten Berechtigungen zu implementieren 6 4 Erstellen von Berechtigungen in XML mit iManager Zum besseren Verst ndnis der wichtigsten Bestandteile einer Berechtigung lohnt sich ein Blick auf die Berechtigungen und Richtlinien in einem der mit Unterst tzung f r Berechtigungen vorkonfigurierten Treiber Active Directory AD Dazu sollten Sie
493. ungen achten m ssen lt ELEMENT entitlement values gt Das Element der Stammebene lautet lt entitlement gt Es kann ein einzelnes optionales untergeordnetes Element vom Typ lt values gt enthalten Daran schlie t sich die Attributliste mit den Attributen conflict resolution display name und description an Das Attribut conflict resolution Konfliktl sung verwendet die Attributwerte priority Priorit t oder union Zusammenf hrung conflict resolution priority union priority Funktionsbasierte Berechtigungen verwenden das Attribut f r Konfliktl sung um festzulegen wie bei mehrfacher Anwendung einer mit Werten belegten Berechtigung auf dasselbe Objekt vorzugehen ist Beispiel Benutzer U ist Mitglied von Berechtigungsrichtlinie A und Berechtigungsrichtlinie B die beide auf die gleiche mit Werten jedoch mit unterschiedlichen Wertes tzen belegte Berechtigung E verweisen Berechtigung E der Berechtigungsrichtlinie A besitzt einen Wertesatz a b c Berechtigung E der Berechtigungsrichtlinie B besitzt ebenfalls einen Wertesatz c d e Das Konfliktl sungsattribut entscheidet welcher Wertesatz f r Benutzer U gelten soll Wenn union eingestellt ist werden Benutzer U beide Wertes tze a b c d e zugewiesen Wenn priority eingestellt ist wird Benutzer U nur ein Wertesatz zugewiesen abh ngig davon welche Berechtigungsrichtlinie die h here Priorit
494. ungen erstellen k nnen werden in den Treiberkonfigurationen veranschaulicht bei denen die Unterst tzung f r Berechtigungen aktiviert ist Da je Treibersatz ein Berechtigungs Service Treiber verwendet wird kann eine Berechtigungsrichtlinie nur Benutzer verwalten die sich in einer Lese Schreib oder in einer Masterreproduktion auf dem Server befinden der dem betreffenden Treibersatz zugeordnet ist Die Funktionalit t von funktionsbasierten Berechtigungsrichtlinien richtet sich nach Identity Manager Damit Sie verbundene Systeme verwalten k nnen m ssen die Identity Manager Treiber installiert und richtig konfiguriert sein ebenso die Identity Manager Plugins Um m gliche Konflikte zwischen zugewiesenen Berechtigungsrichtlinien und Identity Manager Treiberkonfigurationen zu vermeiden sollten Sie Ihre Gesch ftsrichtlinien im Auge behalten und darauf achten wie diese mithilfe von Identity Manager umgesetzt werden Identity Manager Berechtigungsrichtlinien und Richtlinien in einer Treiberkonfiguration d rfen sich beim Verwalten von Attributen nicht berschneiden oder zueinander in Konflikt stehen Erstellung und Verwendung von Berechtigungen 195 6 6 Erstellen eines Berechtigungs Service Treiberobjekts Damit Sie Berechtigungsrichtlinien erstellen k nnen ben tigen Sie ein Berechtigungs Service Treiberobjekt Sie m ssen pro Treibersatz eines dieser Objekte erstellen Wenn kein solches Objekt vorhanden ist werden Sie aufgeford
495. users ou idm sam ple o novell cn ablake ou users ou idm sam ple o novell Action Entity Updated Entity Updated Ad ministretiveActionSub rpt Pege t of t 316 Novell Identity Manager 3 0 Administrationshandbuch Specific User Audit Trait Abbildung C 7 Specific User Provisioning Report Novell Audit Report for Identity Manager Report Last Modified 10 13 2005 Report Generated On 10 13 2005 Totel pages 2 Specific User Provisioning Report Report Period 10 13 2005 8 50 28AM Total Events 32 User ID cn ablake ou users ou idmsam ple Jeff o novell Provisioning Event Date Time Resource Action Provision Granted 9 28 2005 2 12 Enable Active Directory Account 2 Entitlement Provisioning Parallel Mgr HR Group No Activity Timeout Enable Active Directory Account 2 Entitlement Provisioning Parallel Mgr HR Group No Activity Tim eout Value Adder Mer Approve Entitlem ent Provisioning minute 1 retry TD Activity Value Adder Mer Approve ENTITLEMENT minute 1 retry TD Value Adder Mgr Approve Entitlement Provisioning minute 1 retry TD Activity Value Adder Mer Approve ENTITLEMENT minute 1 retry TD Value Adder Mer Approve Entitlem ent Provisioning minute 1 retry TD Activity Value Adder Mer Approve Entitlement Provisioning minute 1 retry TD Activity 9 12 2005 12 31 23PM Enable Active Directory Account Entitlement Provisioning Mer Approve 5 minute 2 retry Activity TA 9 12 2005 12 31 23PM Enable Act
496. uswahl des universellen Passworts synchronisieren Falsch Novell Certificate Server berpr fen ob vorhandene Passw rter der Passwortrichtlinie entsprechen erfolgt bei der Falsch Were Zar Anmeldung Partitions und Regeln Passwort nderung durch Benutzer zulassen Wahr Reproduktionsverwaltung Eindeutige Passw rter anfordern Falsch Panw rter Mindestzahl der Zeichen im Passwort 4 Posnwortrtatur Uberorufen H chstzahl der Zeichen im Passwort 2 Heraustorderemecatae Numerische Zeichen in Passw rtern zulassen Wahr Passwortrichtiinien Erstes Zeichen darf nicht numerisch sein Falsch Parnwortnmehrontsieruns Letztes Zeichen darf nicht numerisch sein Falsch Enten nun en mean Sonderzeichen im Passwort zulassen Wahr mals da oe um Erstes Zeichen darf kein Sonderzeichen sein Falsch Eat Sanmm satknnn Letztes Zeichen darf kein Sonderzeichen sein Falsch Imai schabonen bearbeiten PBX Passwort vergessen Aktiviert Falsch Sie k nnen die Richtlinie der gesamten Baumstruktur durch Auswahl des Objekts Login Policy Anmelderichtlinie im Sicherheitscontainer einem Partitionsstammcontainer einem Container oder einem bestimmten Benutzer zuweisen Es empfiehlt sich Passwortrichtlinien einer m glichst hohen Ebene im Baum zuzuweisen um die Verwaltung zu vereinfachen 122 Novell Identity Manager 3 0 Administrationshandbuch 4 In der Passwortrichtlinie m ssen folgende Optionen ausgew hlt sein Alle Kategorien Benutzer Funkti
497. w rter synchronisiert wurden Hilfreiche DSTrace Befehle DXML Zum Anzeigen der Regelverarbeitung durch Identity Manager und m glicher Fehlermeldungen DVRS Zum Anzeigen der Meldungen des Identity Manager Treibers AUTH Zum Anzeigen der nderungen am NDS Passwort DCLN Zum Anzeigen von Meldungen des NDS DClient 5 8 6 Szenario 5 Synchronisieren von Anwendungspassw rtern mit dem einfachen Passwort Dieses Szenario stellt eine Spezialverwendung der Funktionen f r die Passwortsynchronisierung dar Mit Identity Manager und NMAS k nnen Sie ein Passwort aus einem verbundenen System direkt mit dem einfachen Passwort des Identit tsdepots synchronisieren Wenn das verbundene System nur Hash kodierte Passw rter liefert k nnen Sie diese mit dem einfachen Passwort synchronisieren ohne die Hash Kodierung umkehren zu m ssen Danach k nnen sich andere Anwendungen gegen ber dem Identit tsdepot unter Verwendung dieses Passworts im Klartext oder Hash kodiert ber LDAP oder den Novell Client authentifizieren wobei die NMAS Komponenten so konfiguriert sind dass sie das einfache Passwort als Anmeldemethode verwenden Passwortsynchronisierung mit verbundenen Systemen 147 Wenn das Passwort auf dem verbundenen System im Klartext vorliegt kann es in dieser Form vom verbundenen System aus im Speicherbereich des Identit tsdepots f r einfache Passw rter ver ffentlicht werden Wenn das verbundene System nur Hash kodierte Passw rter bere
498. weist Wenn das scheme Element nicht vorhanden ist wird je nach Konfiguration des Webservers des Herausgeberkanals standardm ig auf http oder https als URL Schema verwiesen host Optionales item Element unterhalb des lt url data gt Elements Sofern vorhanden gibt es den URL Host an Dieses item Element wird in der Regel nur verwendet wenn die URL nicht auf den Webserver des Herausgeberkanals sondern auf einen anderen Server verweist Wenn das host item Element nicht angezeigt wird wird der URL Host standardm ig auf die IP Adresse des Servers gesetzt auf dem der Service Treiber f r manuelle Aufgaben ausgef hrt wird d h auf die IP Adresse des Webservers des Herausgeberkanals port Optionales item Element unterhalb des lt url data gt Elements Sofern vorhanden gibt es den Port f r die URL an Dieses item Element wird in der Regel nur verwendet wenn die URL nicht auf den Webserver des Herausgeberkanals sondern auf einen anderen Server verweist Wenn das port item Element nicht vorhanden ist wird der URL Port standardm ig auf den Port gesetzt auf dem der Webserver des Herausgeberkanals ausgef hrt wird D 2 4 lt url query gt Das lt url query gt Element ist dem lt url data gt Element untergeordnet Es enth lt lt item gt Elemente die zur Erzeugung des Abfrageteils der URL verwendet werden die per Email versendet wird Alle item Elemente die dem lt url query gt Element untergeordnet sin
499. wenn der Webserver ausgef hrt werden soll oder auf falsch wenn der Webserver nicht ausgef hrt werden soll 232 Novell Identity Manager 3 0 Administrationshandbuch Wenn der Service Treiber f r manuelle Aufgaben nur f r das Versenden von Emails ohne Antwort URL oder mit einer URL verwendet wird die auf eine andere Anwendung verweist sollte der HTTP Server nicht ausgef hrt werden um Systemressourcen zu sparen HTTP IP Adresse oder Hostname Mithilfe dieses Parameters k nnen Sie angeben welche der lokalen IP Adressen der Webserver des Herausgeberkanals f r die berwachung von HTTP Anforderungen verwenden soll Wird der Parameter HTTP IP Adresse oder Hostname leer gelassen berwacht der Webserver des Herausgeberkanals die Standard IP Adresse Dies ist ausreichend f r Server mit einer einzelnen IP Adresse Bei der Angabe einer IP Adresse in Punktnotation als Wert f r den Parameter berwacht der Webserver des Herausgeberkanals die angegebene Adresse auf HTTP Anforderungen Beachten Sie dass der f r den Parameter HTTP IP Adresse oder Hostname angegebene Wert von der Email Behandlungsroutine des Abonnentenkanals f r die Erstellung von URLs verwendet wird wenn der Hostname oder die Adresse nicht im Mail Befehlselement angegeben ist Wenn der Parameter HTTP Server verwenden wahrjfalsch auf falsch gesetzt ist kann der Parameter HTTP IP Adresse oder Hostname f r die Angabe der Adresse oder des
500. wort indem Sie es an der folgenden Eingabeaufforderung erneut eingeben Confirm password 10 Wenn Sie das Passwort eingegeben und best tigt haben wird wieder das Men f r Passwortvorg nge angezeigt W hlen Sie nach Abschluss dieses Vorgangs zweimal die Option 99 um das Men zu verlassen und das DirXML Befehlszeilenprogramm zu beenden Entfernen eines benannten Passworts mit dem DirXML Befehlszeilenprogramm Diese Option ist hilfreich wenn Sie zuvor erstellte benannte Passw rter nicht l nger ben tigen 1 Starten Sie das DirXML Befehlszeilenprogramm Weitere Informationen hierzu finden Sie in Anhang A DirXML Befehlszeilenprogramm auf Seite 265 2 Geben Sie Ihren Benutzernamen und das Passwort ein Es wird eine Liste mit folgenden Optionen angezeigt DirXML commands Start driver Stop driver Driver operations Driver set operations Log events operations Get DirXML version Quit ODOR WN ER Enter choice 3 Geben Sie 3 f r Treibervorg nge ein Es wird eine nummerierte Liste mit Treibern angezeigt A Geben Sie die Nummer des Treibers ein aus dem Sie ein benanntes Passwort entfernen m chten Es wird eine Liste mit folgenden Optionen angezeigt Select a driver operation for driver_name Start driver Stop driver Get driver state Get driver start option Set driver start option Resync driver Migrate from application into DirXML Submit XDS command document to driver Check object
501. wort nicht auf dem verbundenen System anmelden Identity Manager setzt das Passwort auf dem verbundenen System auf das Verteilungspasswort zur ck bei dem es sich in der Regel um das letzte vom Benutzer erstellte regelkonforme Passwort handelt 5 4 3 Vorbereitungen f r die Verwendung des universellen Passworts Eine Beschreibung der Vorbereitungen f r die Verwendung des universellen Passworts finden Sie im Kapitel Deploying Universal Password im Password Management Administration Guide http www novell com documentation password_management index html Administrationshandbuch zur Passwortverwaltung Einen Gro teil der ben tigten Informationen finden Sie in diesem Kapitel Wichtig in diesem Zusammenhang ist auch Folgendes e F r die Verwendung des universellen Passworts wird eDirectory 8 7 1 oder h her ben tigt NetWare 6 5 wird nicht ben tigt F r die Identity Manager Passwortsynchronisierung wird sowohl das universelle Passwort als auch das Verteilungspasswort ben tigt Das Verteilungspasswort ist das Depot von dem aus Identity Manager Passw rter an verbundene Systeme verteilt Wie beim universellen Passwort k nnen auch f r das Verteilungspasswort NMAS Richtlinien erzwungen werden Die mit Identity Manager gelieferten iManager Plugins beinhalten auch Plugins f r die Passwortverwaltung Mit diesen Plugins k nnen Sie Passwortrichtlinien erstellen und festlegen wie das universelle Passwort mit dem NDS Passwort dem
502. wurde sowie bis zu neun zus tzliche roll over Dateien Die Rollover Dateien werden benannt indem an den Namen der Haupt Trace Datei _n angeh ngt wird wobei 1 bis 9 g ltige Werte f r n sind Der Parameter f r die Gr e gibt die Anzahl der Byte an Geben Sie die Gr e mithilfe der Erweit erungen K M oder G f r Kilobyte Megabyte oder Gigabyte an Wenn die Trace Datei beim Starten des Remote Loader gr er als das angegebene Maximum ist dann beh lt die Trace Datei diese Gr e bei bis das Rollover ber alle 10 Dateien ausgef hrt wurde Beispiel tracefilemax 1000M tfm 1000M In diesem Beispiel darf die Trace Datei nicht gr er als 1 GB sein 8 Geben Sie die Klasse mit der Option class oder das Modul mit der Option module an 62 Novell Identity Manager 3 0 Administrationshandbuch Option Kurzform Parameter Beschreibung class cl Java Klassen Gibt den Java Klassennamen des zu hostenden name Identity Manager Anwendungsschnittstellenmoduls an Einen Java Treiber k nnen Sie beispielsweise mit einer der folgenden Optionen angeben class com novell nds dirxml driver Idap LDAPDriv erShim cl com novell nds dirxml driver Idap LDAP DriverShim Java verwendet zum Lesen von Zertifikaten einen Keystore Die Optionen class und module schlie en sich gegenseitig aus Eine Liste der Java Klassennamen finden Sie in Tabelle B 2 auf Seite 286 in Anhang B Konfigura tionsop
503. xt Option Kurzform Parameter Beschreibung tracefilemax unload window tfm Gr e kein on off Gibt die Maximalgr e an die die Trace Datei auf der Festplatte belegen darf Bei Angabe dieser Option wird die Trace Datei mit dem Namen verwen det der mit der Option tracefile angegeben wurde sowie bis zu neun zus tzliche Rollover Dateien Die Rollover Dateien werden benannt indem an den Namen der Haupt Trace Datei _n angeh ngt wird wobei 1 bis 9 g ltige Werte f r n sind Der Parameter f r die Gr e gibt die Anzahl der Byte an Geben Sie die Gr e mithilfe der Erweiter ungen K M oder G f r Kilobyte Megabyte oder Gigabyte an Wenn die Trace Datei beim Starten des Remote Loader gr er als das angegebene Maximum ist dann beh lt die Trace Datei diese Gr e bei bis das Rollover ber alle 10 Dateien ausgef hrt wurde Beispiel tracefilemax 1000M tfm 1000M In diesem Beispiel darf die Trace Datei nicht gr er als 1 GB sein Entl dt die Remote Loader Instanz Wenn der Remote Loader als Win32 Dienst ausgef hrt wird wird der Dienst durch diese Option gestoppt Beispiel unload u ffnet oder schlie t das Trace Fenster in einer Remote Loader Instanz Beispiel window on w off Diese Option ist nur auf Windows Plattformen ver f gbar Sie ist nicht f r den Java Remote Loader ver f gbar Konfigurationsoptionen f r einen Remote Loader 285 Opt
504. y Manager Dienstprogramme auf die Option Berechtigung erstellen Weitere Informationen hierzu finden Sie in Abschnitt 6 4 Erstellen von Berechtigungen in XML mit iManager auf Seite 178 Sie haben auch die M glichkeit Berechtigungen in Designer zu erstellen und in vorhandene Identity Manager Treiber zu implementieren In Designer erstellen Sie Berechtigungen mit der grafischen Oberfl che des Assistenten f r Berechtigungen der Sie Schritt f r Schritt durch den Vorgang leitet In iManager erstellen Sie Berechtigungen ber eine einfache Schnittstelle f gen jedoch unter Verwendung eines XML Editors zus tzliche Eigenschaften hinzu Wegen seiner grafischen Oberfl che wird Designer zum Erstellen und Bearbeiten von Berechtigungen empfohlen Nachdem Sie Berechtigungen erstellt oder die mit bestimmten Identity Manager Treibern mitgelieferten vorkonfigurierten Berechtigungen verwendet haben m ssen Sie die Berechtigungen verwalten Berechtigungen werden durch zwei Pakete oder Agenten verwaltet durch iManager ber funktionsbasierte Berechtigungsrichtlinien oder durch die Benutzeranwendung ber Workflow basierte Bereitstellung Bei funktionsbasierten Berechtigungsrichtlinien k nnen Sie Gesch ftsressourcen erteilen wenn die Kriterien erf llt sind Wenn beispielsweise ein Benutzer die Kriterien 1 2 und 3 erf llt wird der Benutzer bei einer funktionsbasierten Berechtigungsrichtlinie Mitglied der Gruppe H Erf llt der Benutzer hingeg
505. ystemen 123 3 Nehmen Sie Einstellungen f r den Treiber f r das verbundene System vor Objekt bearbeiten Active Directory TestDriverSet novell Passwortsynchronisierung x F r Server NO041 AL 2K3 NDS novell Identity Manager akzeptiert Passw rter Herausgeberkanal Verteilungspasswort f r die Passwortsynchronisierung verwenden Passwort nur akzeptieren wenn es der Passwortrichtlinie des Benutzers entspricht Wenn Passwort nicht der Richtlinie entspricht Passwortrichtlinie auf dern verbundenen System erzwingen durch Zur cksetzen des Benutzerpassworts auf das Verteilungspasswart Passwort immer akzeptieren Passwortrichtlinien ignorieren Anwendung akzeptiert Passw rter Abonnentenkanal Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen Stellen Sie sicher dass die folgenden Optionen ausgew hlt sind Identity Manager akzeptiert Passw rter Herausgeberkanal Wenn das Treibermanifest die Funktion password publish nicht enth lt wird auf der Seite eine entsprechende Meldung angezeigt Auf diese Weise wird dem Benutzer mitgeteilt dass keine Passw rter aus der Anwendung abgerufen werden k nnen und diese nur durch Erstellen eines Passworts mittels einer Richtlinie in der Treiberkonfiguration ver ffentlicht werden k nnen Anwendung akzeptiert Passw rter Abonnentenkanal Wenn das verbundene System Passw rter nicht akzeptiert wird die Option grau angezeigt Diese Einstellu
506. zeigen den eigentlichen XML Code der beim Erstellen von Berechtigungen entsteht Eine wesentlich einfachere Methode als den Code manuell zu erstellen bietet jedoch das mit Identity Manager gelieferte Dienstprogramm Designer Nachdem Sie im Modelliermodul von Designer einen Identity Manager Treiber zu einem Identit tsdepot hinzugef gt haben k nnen Sie in der berblicksansicht mit der rechten Maustaste auf den Treiber klicken und den Befehl Berechtigung hinzuf gen w hlen Der Assistent f r Berechtigungen fragt nach dem gew nschten Berechtigungstyp und f hrt Sie anschlie end durch den Erstellungsvorgang Weitere Informationen zur Verwendung des Assistenten f r Berechtigungen finden Sie im Designer for Identity Manager 3 Administration Guide Designer f r Identity Manager Administrationshandbuch 6 4 5 Erstellen und Bearbeiten von Berechtigungen in iManager Es wird empfohlen in Designer den Assistenten zum Erstellen von Berechtigungen zu verwenden Sie haben aber auch die M glichkeit Berechtigungen in iManager zu erstellen 1 W hlen Sie die Option zum Erstellen von Berechtigungen unter Identity Manager Dienstprogramme 2 Geben Sie auf der Seite Berechtigung erstellen den gew nschten Namen f r die Berechtigung ein und suchen Sie mit dem Objekt Browser das Identity Manager Treiberobjekt zu dem die Berechtigung geh rt F Berechtigung erstellen Name BuildingFloors Kontext Active Di
507. zeigt dass wenn die Verwalten von Identity Manager Treibern 31 Benutzerinformationen f r das benannte Passwort nicht verf gbar sind gegen das Ereignis ein Veto eingelegt wird Abbildung 2 1 Eine Richtlinie die ein benanntes Passwort verwendet Condition Group 1 Vif named password userinfo not available Verwenden von XSLT Das folgende Beispiel zeigt wie ein benanntes Passwort in XSLT in einer Treiberrichtlinie auf dem Abonnentenkanal referenziert wird lt xsl value of select query getNamedPassword srcQueryProcessor mynamedpassword xmlns query http www novell com java com novell nds dirxml driver XdsQueryProcessor gt 2 9 4 Konfigurieren benannter Passw rter mit dem DirXML Befehlszeilenprogramm Erstellen eines benannten Passworts mit dem DirXML Befehlszeilenprogramm auf Seite 32 Entfernen eines benannten Passworts mit dem DirXML Befehlszeilenprogramm auf Seite 34 Erstellen eines benannten Passworts mit dem DirXML Befehlszeilenprogramm 1 Starten Sie das DirXML Befehlszeilenprogramm Weitere Informationen hierzu finden Sie in Anhang A DirXML Befehlszeilenprogramm auf Seite 265 2 Geben Sie Ihren Benutzernamen und das Passwort ein Es wird eine Liste mit folgenden Optionen angezeigt DirXML commands Start driver Stop driver Driver operations Driver set operations Log events operations Get DirXML version Quit Ono BR WNH ER Enter choice
508. zer bei Passwortsynchronisierungsfehler per Email benachrichtigen Hinweis Dieses verbundene System stellt keine Passw rter zur Verf gung Um Passwortwerte zu erstellen muss eine Identity Manager Richtlinie definiert werden OK __Abbrechen _ Anwenden Auf der Seite Treiber ndern k nnen Sie einstellen ob eine Passwortrichtlinie f r Passw rter durchgesetzt werden soll die bei Identity Manager eingehen und ob eine Passwortrichtlinie auf dem Passwortsynchronisierung mit verbundenen Systemen 153 verbundenen System durch Zur cksetzen des Passworts aus dem verbundenen System durchgesetzt werden soll Bei den Einstellungen auf dieser Seite handelt es sich um Globalkonfigurationswerte GCVs die serverspezifisch gespeichert werden Weitere Informationen hierzu finden Sie in Abschnitt 5 3 3 steuerung der Passwortsynchronisierung ber Globalkonfigurationswerte auf Seite 90 5 10 2 Durchsetzen von Passwortrichtlinien auf verbundenen Systemen Bei Verwendung von erweiterten Passwortregeln und der Identity Manager Passwortsynchronisierung werden folgende Schritte empfohlen 1 Untersuchen Sie die Passwortrichtlinien der verbundenen Systeme 2 Stellen Sie sicher dass die erweiterten Passwortregeln mit den Passwortrichtlinien auf den verbundenen Systemen kompatibel sind 5 10 3 eDirectory Passwort vom synchronisierten Passwort getrennt halten Dieses Szenario ist in Abschnitt 5 8 5 Szenario 4 Tunneling Synch
509. zu k nnen Die Abfrage wird jedoch aufgrund der im Active Directory Treiber vorgefundenen Regeln und Richtlinien durchgef hrt Berechtigungsendkonsumenten verwenden die von der Abfrage abgerufenen Daten So wird beispielsweise der Berechtigungswert ent value ber das Attribut DirXML EntitlementRef an Identity Manager Richtlinien bergeben Der Anzeigename und die beschreibenden Informationen werden von iManager oder der Benutzeranwendung angezeigt und im Attribut DirXML SPCachedQuery gespeichert Beispiel 3 Vom Administrator definierte Berechtigung Mit Listen Das dritte Beispiel ist eine vom Administrator definierte Berechtigung die ein Ereignis zum Erteilen oder Entziehen erstellt nachdem Sie einen Listeneintrag ausgew hlt haben lt xml version 1 0 encoding UTF 8 gt lt entitlement conflict resolution union description This will show Administrator defined Values gt lt display name Admin defined Entitlement gt lt values multi valued true gt lt value gt Building A lt value gt lt value gt Building B lt value gt lt value gt Building C lt value gt lt value gt Building D lt value gt lt value gt Building E lt value gt lt value gt Building F lt value gt lt values gt lt entitlement gt 192 Novell Identity Manager 3 0 Administrationshandbuch In diesem Beispiel lautet der Name der Berechtigung Admin defined und der Anzeigename ist als Admin defi
Download Pdf Manuals
Related Search