Identity Manager AD password sync

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Identity Manager AD password sync

Сообщение Walery » 19 янв 2007, 15:47

Люди добрые, помогите чем можете, а то меня этот Identity Manager... :)

Предыстория такова: поставил OES SP2, для того, чтобы перевести пользователей с AD, на OES поставил Identity Manager из Identity_Manager_3_0_1_Bundle_Edition.iso, на PDC AD поднял PassSync, после небольших боев со всем этим через rug поставил все патчи на OES, перевел на eDir 8.8 и обновил все, что можно было в IDM, в итоге - пользователи со всеми своими атрибутами синхронизируются без проблем, за исключением паролей. Синхронизацию паролей выставлял согласно документации на IDM, в частности пункт "5.8 Implementing Password Synchronization", сценарии 2 и 3 (через Distribution Password и Universal Password), при синхронизации ошибок никаких не возникает, в iManager при Check Password Status на любом пользователе пишет Synchronized, при этом при попытке залогинится NWClient 4.9SP3 говорит, что неправильный пароль, судя по ошибке, которая пишется в ndstrace (-1642) пароль таки действительно неправильный.
Собственно вопрос: может кто-то уже сталкивался с такой ситуацией и знает, в чем может быть дело?
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Сообщение Damm » 06 фев 2007, 00:43

поставить log level минимум 3 и внимательно изучить логи на предмет ошибок
CLP10
Аватара пользователя
Damm
 
Сообщения: 135
Зарегистрирован: 18 май 2004, 02:19
Откуда: SE9

Сообщение Walery » 06 фев 2007, 10:31

Damm писал(а):поставить log level минимум 3 и внимательно изучить логи на предмет ошибок


Так в том-то и дело, что нет ошибок - в trace log пишет, что пароли синхронизированы... после более глубокого копания выяснил, что ставится пароль по-умолчанию - @Dirxml
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Сообщение Андрей Тр. aka RH » 06 фев 2007, 10:38

Walery писал(а):
Damm писал(а):поставить log level минимум 3 и внимательно изучить логи на предмет ошибок


Так в том-то и дело, что нет ошибок - в trace log пишет, что пароли синхронизированы... после более глубокого копания выяснил, что ставится пароль по-умолчанию - @Dirxml

А откуда оно берет этот пароль по умолчанию, из политик же ? Если 3 не помогает можно поставить 4 :) Можно и выше, только это уже не имеет смысла.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Walery » 06 фев 2007, 11:40

Андрей Тр. aka RH писал(а):А откуда оно берет этот пароль по умолчанию, из политик же ? Если 3 не помогает можно поставить 4 :) Можно и выше, только это уже не имеет смысла.


Конечно из политик, я понимаю, что при создании пользователя оно может ставить начальный пароль из политик, но вот почему оно не ставит потом реальный пароль? Кстати, 4-й тоже не помог, ошибок не наблюдается :(
Обнаружил, что в случае смены пароля в AD он нормально синхронизируется с eDir - может так и надо, и при начальной синхронизации пароли не должны устанавливаться?
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Сообщение Андрей Фисенко » 06 фев 2007, 12:55

Walery писал(а): при начальной синхронизации пароли не должны устанавливаться?

Совершенно верно. Пароли устанавливаются при их ПЕРВОЙ СМЕНЕ пользователем. Именно поэтому ракомендуют включать в политике требование сменить пароль.
Андрей Фисенко, Представитель Novell по Сибири и Дальнему Востоку
Изображение
Андрей Фисенко
 
Сообщения: 1308
Зарегистрирован: 05 июн 2002, 08:13
Откуда: Красноярск

Сообщение Walery » 06 фев 2007, 15:29

Андрей Фисенко писал(а):Совершенно верно. Пароли устанавливаются при их ПЕРВОЙ СМЕНЕ пользователем. Именно поэтому ракомендуют включать в политике требование сменить пароль.


Жалко... в таком случае придется оставить все как есть и заставлять пользователей менять пароль к eDir при первом входе :(
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Сообщение Damm » 06 фев 2007, 19:25

Walery писал(а):Жалко... в таком случае придется оставить все как есть и заставлять пользователей менять пароль к eDir при первом входе :(


при первой миграции IDMу неоткуда взять этот пароль, потому как его просто не существует в природе

весьма незначительное неудобство, имхо
CLP10
Аватара пользователя
Damm
 
Сообщения: 135
Зарегистрирован: 18 май 2004, 02:19
Откуда: SE9

Сообщение linked » 03 мар 2007, 00:53

Damm писал(а):при первой миграции IDMу неоткуда взять этот пароль, потому как его просто не существует в природе


Точнее, пароль лежит в хэше MAD, а брутфорсить IDM не научили :)

Walery писал(а):Жалко... в таком случае придется оставить все как есть и заставлять пользователей менять пароль к eDir при первом входе

Синхронизировать можно и до первого входа eDir. Достаточно отметить чекбоксы "change on next logon" руками или скриптом в MAD, и sync пройдет при следующем входе в систему.
linked
 
Сообщения: 11
Зарегистрирован: 16 дек 2006, 21:47
Откуда: От винта!


Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1