Возможно ли сихронизировать пароль NDS и Universal.

[Доменика]

Возможно ли сихронизировать пароль NDS и Universal Password.
Как то так сложилось в дебри Simple и Universal Password не заглядовали и не заморачивались. Хотя наступившие обилие этих паролей пугает(напрягает) не подетски. Если взглянуть на свойство пользователя имеем
1. Пароль NDS(от же eDirectory) - это в методах регистрации
2. Enhanced Password - это в методах регистрации
3. Simple - это в методах регистрации
4. Universal Password
5. Ну и конечно в ограничениях пользователя можно сменить так же пароль.

Такое не навязчивое упрощение(уменьшение) количества информации для работы пользователей.
Так сложилось - появились службы использующие, то чего ранее не было - это Universal Password. Реально ли синхронизация - всё в одном флаконе?

[Владимир Горяев]

Возможно ли сихронизировать пароль NDS и Universal Password.

Да. Можно также удалить пароль NDS. Настраивается в политике паролей, непомню точно с какой версии NMAS.

[Владимир Горяев]

И еще. Мастер установки Universal Password помнится честно предупреждал, что нужда в Simple отпадает.

[Доменика]

То что можно, даже и сомнений не было. Скажите как?
И тут сразу вопрос - если имеется старый клиент, аля 4.83 или 3.32, где NMAS ещё не прижился, проблем не будет?

[Владимир Горяев]

В iManager-е, меню пароли. Сначала Установка универсального пароля, если нет его, а после можно создавать и править политики.
Насчет клиентов не скажу у меня везде 4.91SP2+постфиксы.

[Владимир Горяев]

Не, вру, там мастер был, а установка универсального пароля ето для юзеров. Что-то с памятью...

[Владимир Горяев]

Ну вот освежил память
http://support.novell.com/docs/Tids/Sol ... 91354.html

[Доменика]

Сейчас всё настроено и заведение нового пользователя каким-то чудным образом даёт нужный эффект и всё работает.
И что значить сихронизанция между Universal и eDirectory Password - мне не понятно, но утиля, которая требовала именно Universal Password великолепно справляется со своими функциями, хотя как и ранее только при создании пользователя и заводиться пароль для первого логина, а не лично и не конкретно Universal. И вот остальная арава пользователей в несколько сотен на низком старте. И им всем завести??? Так и хотелось, чтоб подкруть то ли в IDM то ли ещё где-то, о чём и не догадываюсь, чтоб без напрягов рядовых пользователей всё сделать плавно.

[Владимир Горяев]

Я думаю нужно удалить старую(ые) политику(и) и завести новую(ые), все должно устаканиться. Я так делал.

[Доменика]

Разрешите уточнить, чтоб поставить точки над i.

Для синхронизации небходимо:
1. Создать политику для Universal в iManager
2. Назначить эту политику на OU или O(чтоб всех сразу охватить)
3. И что-то такое происходит у нас, что Universal становиться зеркальным для пароля в NDS.

И всё..... Ни каких усилий и ничего особенного типа NDS-to-NDS Т.е. только политика даёт ЭФФЕКТ синхронизации, или что-то ещё. И синхронизация - это именно в eDirectory имееется два хеша и это именно два хранилища(поля) паролей пользователей которые синхронизируютя а могут И РАЗЛИЧАТЬСЯ.
Или всё таки это один пароль, но по разному называется или применяется. Т.е. расширение свойств для пароля(зависмость от строчный и прописных, уникальность, ....) и не более. Тогда непонятно почему не работает если всё так просто.

Не могли бы Вы своё Policy показать?
Или тоже что и ниже приведённое.

Options Enable Universal Password true
Enable the Advanced Password Rules true
Remove the NDS password when setting Universal Password false
Synchronize NDS password when setting Universal Password true
Synchronize Simple Password when setting Universal Password false
Synchronize Distribution Password when setting Universal Password true
Allow user agent to retrieve password true
Verify whether existing passwords comply with the password policy (verification occurs on login) false


Rules Allow user to initiate password change true
Require unique passwords false
Minimum number of characters in password 4
Maximum number of characters in password 12
Allow numeric characters in password true
Disallow numeric as first character false
Disallow numeric as last character false
Allow special characters in the password true
Disallow special character as first character false
Disallow special character as last character false

[Владимир Горяев]

0. Удалить старые политики.

Не могли бы Вы своё Policy показать?

Опции
Разрешить универсальный пароль true
Разрешить дополнительные правила паролей true
Удалить пароль NDS при установке универсального пароля false
Синхронизировать пароль NDS при установке универсального пароля true
Синхронизировать простой пароль при установке универсального пароля true
Синхронизировать пароль распространения при установке универсального пароля true
Разрешить агенту пользователя получать пароль true
Проверять, соответствуют ли существующие пароли политике паролей (проверка выполняется при регистрации) false


Правила
Разрешить пользователю инициировать смену пароля true
Необходим уникальный пароль false
Минимальное количество символов в пароле
Максимальное количество символов в пароле 12
Разрешить использование цифровых символов в пароле true
Запретить использование цифры в качестве первого символа false
Запретить использование цифры в качестве последнего символа false
Разрешить использование специальных символов в пароле true
Запретить использование специального символа в качестве первого символа false
Запретить использование специального символа в качестве последнего символа false

[Damm]

синхронизация UP -> NDS осуществляется политикой
синхронизация NDS -> UP осуществляется самим клиентом, если он NMAS-aware, в том случае если NDS и UP пароли не совпадают

единственная ситуация когда их значения могут оказаться разными, это если вы для смены пароля используете клиент который не умеет работать с NMAS

на новелле лежит утилита diagpwd, которая позволяет проверить текущий статус синхронизации паролей для конкретного юзера

кстати, UP - это не хэш, а reversible пароль

[Константин Ошмян]

И вот остальная арава пользователей в несколько сотен на низком старте. И им всем завести??? Так и хотелось, чтоб подкруть то ли в IDM то ли ещё где-то, о чём и не догадываюсь, чтоб без напрягов рядовых пользователей всё сделать плавно.

Доменика, извините - я не совсем понял, в чём именно у Вас сейчас проблема. Можете уточнить?

Насколько я понимаю механизм работы универсальных паролей, назначение политик приводит к тому, что у пользователей будут единые пароли после их смены, осуществляемой с рабочей станции, оснащённой соответствующим (поддерживающим NMAS) клиентом. Т.е. либо администратор со своей станции (с современным клиентом) ему пароль поменял, либо сам пользователь - со своей (когда пришло время, либо просто сам захотел, но для этого - опять же, клиент должен быть соответствующий). Таким образом, при наличии "срока годности" используемых паролей и современных клиентов на рабочих станциях всё со всеменем "устаканится", а просто так "проходиться" по всем существующим пользователям и делать какие-то манипуляции с их паролями никто не будет.

[Доменика]

Появилась острая необходимость иметь аккаунты пользователей на Win-сервере. Т.е. имеется приложение использующие DCOM, которое и потянуло за собой установку IDM и как следствие необходимость Universal Password.
Вот и идут усилия чтоб это работало. Основная проблема - зоопарк как техники так и операционок - наличие старых клиентов как 4.83(NT4) и так и 3.32.
Ранее всё работало с AccountManagmet 2. Но данный продукт AM2, ни как не хочет работать на Win2k3.

Как бы простое решение проблем - IDM, но ..... Вот и пляшем с бубном.
Хотя на форуме на Novell.com - было предложено какое-то глупое предложение - поднять CIFS,а сервер NetWare ввести в домен Win.