Utilisez Novell iManager pour ajuster les propriétés suivantes : niveau de consignation, fréquence d'interrogation, heure d'expiration des mots de passe, options de sécurité et options de démarrage.
Cette section contient les informations suivantes :
Le niveau de consignation détermine les types d'erreurs qui sont envoyées aux journaux d'état de DirXML, à DSTrace et à Nsure Audit. Pour plus d'informations sur Nsure Audit et sur Identity Manager, reportez-vous au manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d'administration de Novell Nsure Identity Manager 2).
Vous pouvez définir l'une des options suivantes :
Pour définir le niveau de consignation :
Dans iManager, sélectionnez Gestion DirXML > Présentation.
Sélectionnez l'ensemble de pilotes qui contient le pilote, cliquez sur l'icône du pilote pour afficher sa présentation, puis cliquez de nouveau sur l'icône pour modifier ses paramètres.
Cliquez sur le lien Niveau de consignation en haut de la page, sélectionnez un niveau, puis cliquez sur OK.
Au terme de chaque intervalle d'interrogation, le pilote relit le registre SAM en recherchant les utilisateurs nouveaux ou modifiés. Si vous définissez une fréquence d'interrogation trop rapide, tous les cycles de traitement disponibles s'épuisent. La fréquence d'interrogation minimale est de trois secondes, soit 3 000 millisecondes. La valeur recommandée est d'une minute, soit 60 000 millisecondes.
Dans iManager, sélectionnez Gestion DirXML > Présentation.
Sélectionnez l'ensemble de pilotes qui contient le pilote, cliquez sur l'icône du pilote pour afficher sa présentation, puis cliquez de nouveau sur l'icône pour modifier ses paramètres.
Sélectionnez une fréquence d'interrogation dans la liste, puis cliquez sur OK.
Pour optimiser les nouvelles tentatives de synchronisation des mots de passe après un échec, le pilote et le filtre des mots de passe ont été améliorés comme suit :
Lorsque le pilote recherche les modifications dans NT, il reçoit des événements d'ajout ou de modification pour les utilisateurs. Pour chacun de ces événements, le pilote vérifie dans le filtre qu'aucun mot de passe n'attend d'être synchronisé pour l'utilisateur. S'il y en a un, le pilote envoie le mot de passe à eDirectory, en tant qu'événement de modification pour l'utilisateur.
Si vous avez paramétré la synchronisation des mots de passe de sorte qu'un message électronique soit envoyé aux utilisateurs lorsque cette synchronisation n'aboutit pas, cette amélioration réduit le nombre de messages électroniques qu'un utilisateur peut recevoir.
Vous êtes invité à spécifier cet intervalle lorsque vous importez l'exemple de configuration du pilote.
Si vous ne spécifiez aucun intervalle, ou si le champ contient des caractères non valides, le paramètre par défaut est 60 minutes. Si l'intervalle spécifié est moins de deux fois supérieur à l'intervalle d'interrogation spécifié, le pilote le modifie pour qu'il soit au moins deux fois plus long que l'intervalle d'interrogation.
Pour en savoir plus sur l'importance de ces améliorations, reportez-vous aux informations suivantes.
Le pilote vérifie les modifications opérées auprès des utilisateurs NT en fonction de l'intervalle d'interrogation. Par contre, le filtre des mots de passe dépend des événements ; il transmet dont les modifications des mots de passe depuis NT vers le pilote dès qu'elles surviennent. Une fois que l'utilisateur a été créé dans eDirectory et qu'il correspond à un utilisateur NT, l'obtention d'une réponse immédiate sur la synchronisation des mots de passe est très utile. Cependant, du fait des différences entre l'interrogation et l'activité dépendant de l'événement, la synchronisation des mots de passe pour les nouveaux utilisateurs risque de ne pas être immédiate.
Les problèmes liés aux différences entre l'interrogation et l'activité dépendant de l'événement, ainsi que les pratiques de votre entreprise telles que la création de règles et les règles de mots de passe, peuvent mener aux scénarios suivants : cette liste explique de quelle manière l'heure d'expiration des mots de passe s'applique dans chaque cas.
Lors de l'intervalle d'interrogation qui suit, le pilote reçoit l'événement d'ajout du nouvel utilisateur ; en outre, il recherche dans le filtre tout mot de passe attendant d'être affecté au nouvel utilisateur. Le pilote envoie à eDirectory l'événement d'ajout de l'utilisateur, ainsi qu'un événement de modification de l'utilisateur pour synchroniser le mot de passe.
Dans ce cas, la synchronisation des mots de passe n'est retardée que d'un intervalle d'interrogation.
Dans ce cas, le paramètre Heure d'expiration des mots de passe n'a aucun effet.
Cependant, dans ce cas, le nouvel utilisateur n'est pas créé, même lorsque le pilote interroge NT à propos des modifications. En effet, il ne répond pas aux exigences de la règle de création.
La création du nouvel utilisateur et la synchronisation des mots de passe sont retardées jusqu'à ce que toutes les informations concernant l'utilisateur soient ajoutées dans NT ; la règle de création est ainsi respectée. Le pilote ajoute alors le nouvel utilisateur dans eDirectory, cherche dans le filtre tout mot de passe enregistré pour l'utilisateur, puis envoie un événement de modification de l'utilisateur pour synchroniser le mot de passe.
Le paramètre Heure d'expiration des mots de passe n'affecte le scénario que si l'intervalle s'est écoulé avant que les informations concernant l'utilisateur dans NT n'aient répondu aux critères de la règle de création. Si l'utilisateur répond à ces exigences et s'il est créé dans eDirectory après l'heure d'expiration des mots de passe, aucun mot de passe n'est disponible pour la synchronisation de NT vers eDirectory. Au lieu de cela, le mot de passe sera synchronisé à sa prochaine modification dans NT. Si la synchronisation des mots de passe est configurée pour un flux bidirectionnel des mots de passe, il est également possible de synchroniser le mot de passe depuis eDirectory vers NT lorsqu'un mot de passe est modifié dans eDirectory.
Si votre règle de création est restrictive et si quelques jours sont nécessaires pour la mise au point des informations concernant un nouvel utilisateur dans NT, vous pouvez choisir d'augmenter cet intervalle de manière appropriée. Les mots de passe sont ainsi enregistrés jusqu'à ce que l'utilisateur soit créé dans eDirectory.
Dans ce cas, le compte utilisateur correspondant n'est pas créé sous eDirectory et le pilote ne recherche pas le mot de passe dans le filtre. Une fois l'heure d'expiration des mots de passe atteinte, le filtre supprime de sa liste le mot de passe de l'utilisateur.
Dans ce cas, peu après la modification des mots de passe, l'utilisateur reçoit un courrier électronique spécifiant que la synchronisation des mots de passe a échoué. Si l'utilisateur remplace son mot de passe par un autre qui respecte la règle des mots de passe, la modification réussit. Si l'utilisateur ne change pas son mot de passe, celui-ci est enregistré par le filtre et le pilote ne le réessaye que lorsque l'objet utilisateur a été modifié. Lorsque l'heure d'expiration des mots de passe est atteinte, le mot de passe est supprimé du filtre et n'est plus réessayé.
La création d'un utilisateur doté de droits Lire/Écrire sur le domaine et sur le registre SAM facilite la gestion d'Identity Manager. Ce compte utilisateur est utilisé exclusivement par le pilote du domaine NT. Cet utilisateur doit être exclu de la synchronisation car son seul objectif est de fournir des droits au pilote du domaine NT. Une fois cet utilisateur créé, vous pouvez assigner son compte au pilote.
Pour configurer ces options de sécurité :
Dans iManager, sélectionnez Gestion DirXML > Présentation.
Sélectionnez l'ensemble de pilotes qui contient le pilote, cliquez sur l'icône du pilote pour afficher sa présentation, puis cliquez de nouveau sur l'icône pour modifier ses paramètres.
Cliquez sur Configuration du pilote en haut de la page, puis entrez les données appropriées dans les champs Authentification.
Vous pouvez définir le démarrage du pilote sur l'une des trois options suivantes :
Démarrage auto : le pilote démarre automatiquement chaque fois que le moteur DirXML démarre. Une fois le pilote configuré, il est conseillé d'utiliser cette option.
Manuel : le pilote ne démarre pas tant qu'il n'est pas lancé par l'intermédiaire de l'indicateur d'état sur l'icône du pilote. Si une erreur arrête le pilote, il doit être redémarré manuellement. Cette option est souvent utilisée pendant les cycles de modification et de test du pilote. Le moteur place en mémoire tampon les modifications à traiter lors du démarrage du pilote.
Désactivé : si le pilote est désactivé, le moteur DirXML ne met pas les événements en cache. Cependant, lors du démarrage du pilote, les modifications de données résultant des événements d'ajout ou de modification (des objets avec une association) sont synchronisées. Les modifications de données résultants des événements de suppression, de changement de nom ou de déplacement ne sont pas synchronisées.
Pour définir des options de démarrage :
Dans iManager, sélectionnez Gestion DirXML > Présentation.
Sélectionnez l'ensemble de pilotes qui contient le pilote, cliquez sur l'icône du pilote pour afficher sa présentation, puis cliquez de nouveau sur l'icône pour modifier ses paramètres.
Cliquez sur Configuration du pilote en haut de la page, puis sélectionnez une des trois options figurant sous Option de démarrage.