6.6. 管理密码同步
通过同步协议配置用户条目同步。但是,ActiveActive Directorynbsp 中的密码:Directory 和 IdentityIdentity Managementnbsp;Management 不是普通用户同步过程的一部分。必须在 ActiveActive Directorynbsp 上安装单独的客户端;Directory 服务器若要以用户帐户创建或密码捕获密码,然后使用同步更新转发该密码信息。
注意
密码同步客户端捕获密码更改,然后在 ActiveActive Directorynbsp;Directory 和 IdM 之间同步它们。这意味着它将同步新密码或密码更新。
现有密码以 IdM 和 ActiveActive Directorynbsp 的散列形式存储;Directory,当安装 Password Synchronization 客户端时,无法解密或同步现有密码。必须更改用户密码,以启动对等服务器之间的同步。
6.6.1. 设置 Windows Server for Password Synchronization
同步密码需要以下条件:
- Activeactive Directorynbsp;Directory 必须在 SSL 中运行。注意在企业根模式中安装 Microsoft 证书系统.Activeactive Directorynbsp;Directory 将自动注册来检索其 SSL 服务器证书。
- 密码同步服务必须安装到 每个 ActiveActive Directorynbsp;Directory 域控制器。要从 Windows 同步密码,PassSync 服务需要访问未加密的密码才能通过安全连接与 IdM 同步。由于用户可以在每个域控制器上更改密码,因此需要在每个域控制器上安装 PassSync 服务。
- 密码策略必须在 IdM 和 ActiveActive Directorynbsp;Directory 端设置相似。当同步目的地收到更新的密码时,它仅被验证为与源上的策略匹配。同步目的地上未重新验证它。
要验证 ActiveActive Directorynbsp;Directory 密码复杂性策略是否已启用,请在 ActiveActive Directorynbsp;Directory 域控制器上运行:
> dsquery * -scope base -attr pwdProperties
pwdProperties
1
如果将 attribute
pwdProperties 的值设为 1,则会为该域启用密码复杂性策略。
注意
如果您不确定组策略是否为组织单元定义了开发密码设置(注意),请询问您的组策略管理员。
启用 ActiveActive Directorynbsp;Directory 密码复杂性设置:
- 从命令行运行
gpmc.msc。 - 选择 。
- 右键单击 条目,再选择 。
- Group Policy Management Editor 会自动打开。
- 启用密码必须满足复杂性要求选项并保存。
