Страница 1 из 1

Identity Manager AD password sync

СообщениеДобавлено: 19 янв 2007, 15:47
Walery
Люди добрые, помогите чем можете, а то меня этот Identity Manager... :)

Предыстория такова: поставил OES SP2, для того, чтобы перевести пользователей с AD, на OES поставил Identity Manager из Identity_Manager_3_0_1_Bundle_Edition.iso, на PDC AD поднял PassSync, после небольших боев со всем этим через rug поставил все патчи на OES, перевел на eDir 8.8 и обновил все, что можно было в IDM, в итоге - пользователи со всеми своими атрибутами синхронизируются без проблем, за исключением паролей. Синхронизацию паролей выставлял согласно документации на IDM, в частности пункт "5.8 Implementing Password Synchronization", сценарии 2 и 3 (через Distribution Password и Universal Password), при синхронизации ошибок никаких не возникает, в iManager при Check Password Status на любом пользователе пишет Synchronized, при этом при попытке залогинится NWClient 4.9SP3 говорит, что неправильный пароль, судя по ошибке, которая пишется в ndstrace (-1642) пароль таки действительно неправильный.
Собственно вопрос: может кто-то уже сталкивался с такой ситуацией и знает, в чем может быть дело?

СообщениеДобавлено: 06 фев 2007, 00:43
Damm
поставить log level минимум 3 и внимательно изучить логи на предмет ошибок

СообщениеДобавлено: 06 фев 2007, 10:31
Walery
Damm писал(а):поставить log level минимум 3 и внимательно изучить логи на предмет ошибок


Так в том-то и дело, что нет ошибок - в trace log пишет, что пароли синхронизированы... после более глубокого копания выяснил, что ставится пароль по-умолчанию - @Dirxml

СообщениеДобавлено: 06 фев 2007, 10:38
Андрей Тр. aka RH
Walery писал(а):
Damm писал(а):поставить log level минимум 3 и внимательно изучить логи на предмет ошибок


Так в том-то и дело, что нет ошибок - в trace log пишет, что пароли синхронизированы... после более глубокого копания выяснил, что ставится пароль по-умолчанию - @Dirxml

А откуда оно берет этот пароль по умолчанию, из политик же ? Если 3 не помогает можно поставить 4 :) Можно и выше, только это уже не имеет смысла.

СообщениеДобавлено: 06 фев 2007, 11:40
Walery
Андрей Тр. aka RH писал(а):А откуда оно берет этот пароль по умолчанию, из политик же ? Если 3 не помогает можно поставить 4 :) Можно и выше, только это уже не имеет смысла.


Конечно из политик, я понимаю, что при создании пользователя оно может ставить начальный пароль из политик, но вот почему оно не ставит потом реальный пароль? Кстати, 4-й тоже не помог, ошибок не наблюдается :(
Обнаружил, что в случае смены пароля в AD он нормально синхронизируется с eDir - может так и надо, и при начальной синхронизации пароли не должны устанавливаться?

СообщениеДобавлено: 06 фев 2007, 12:55
Андрей Фисенко
Walery писал(а): при начальной синхронизации пароли не должны устанавливаться?

Совершенно верно. Пароли устанавливаются при их ПЕРВОЙ СМЕНЕ пользователем. Именно поэтому ракомендуют включать в политике требование сменить пароль.

СообщениеДобавлено: 06 фев 2007, 15:29
Walery
Андрей Фисенко писал(а):Совершенно верно. Пароли устанавливаются при их ПЕРВОЙ СМЕНЕ пользователем. Именно поэтому ракомендуют включать в политике требование сменить пароль.


Жалко... в таком случае придется оставить все как есть и заставлять пользователей менять пароль к eDir при первом входе :(

СообщениеДобавлено: 06 фев 2007, 19:25
Damm
Walery писал(а):Жалко... в таком случае придется оставить все как есть и заставлять пользователей менять пароль к eDir при первом входе :(


при первой миграции IDMу неоткуда взять этот пароль, потому как его просто не существует в природе

весьма незначительное неудобство, имхо

СообщениеДобавлено: 03 мар 2007, 00:53
linked
Damm писал(а):при первой миграции IDMу неоткуда взять этот пароль, потому как его просто не существует в природе


Точнее, пароль лежит в хэше MAD, а брутфорсить IDM не научили :)

Walery писал(а):Жалко... в таком случае придется оставить все как есть и заставлять пользователей менять пароль к eDir при первом входе

Синхронизировать можно и до первого входа eDir. Достаточно отметить чекбоксы "change on next logon" руками или скриптом в MAD, и sync пройдет при следующем входе в систему.