Я ищу разъяснения относительно того, как я должен делать «универсальный» пароль для Novell. В consoleone под деревом eDirectory я нажимаю «Свойства», а в разделе «Методы входа» есть несколько паролей: NDS, Enhanced и Simple. Также есть пароли в Unix, Groupwise и Restrictions.
По привычке мы меняем наши пароли в разделе «Ограничения», но мы не знаем, какой пароль на самом деле меняется. Люди могут использовать этот пароль для входа в Netware / eDirectory и в свои учетные записи электронной почты Groupwise.
Недавно мы обнаружили, что изменение простого пароля позволяет работать как простому паролю, так и измененному в разделе «Ограничения». Если мы выберем всех пользователей и изменим простой пароль, мы сможем создать для себя пароль администратора. Это лучший путь для этого?
Novell начала с Netware с пользовательской базы данных Bindery. В то время, как и сейчас, пароль основывался на парах закрытого и открытого ключей RSA.
В NDS в Netware 4.0 они сохранили тот же базовый метод паролей, и он достаточно безопасен.
В eDirectory (то, что NDS было переименовано примерно в версии 8.x eDirectory, что было примерно во временном интервале Netware 6.x) им требовалось поддерживать обратимые пароли, чего пара ключей RSA определенно не является.
Им это нужно для поддержки NFS, SMB и AFP. Поскольку SMB использует хеширование MD4 или MD5, NFS использует MD5 или MD4 (я никогда не смогу сохранить их в прямом смысле слова, и это в принципе не имеет значения). Mac использует двустороннее случайное число для аутентификации и требует пароля в виде открытого текста для сравнения.
Первой попыткой было что-то под названием «Простой пароль», которая была хорошей первой попыткой, но не решила всех проблем.
Вторая попытка - универсальный пароль, который, кажется, сработал довольно хорошо. UP хранится в скрытом атрибуте (он защищен так же, как закрытый ключ защищен в eDir, и получить доступ тоже довольно сложно).
Если у вас возникла путаница, это связано с тем, что UP НЕ реализуется с помощью метода входа в систему или чего-то подобного, он встроен в eDirectory как часть базовой функциональности пароля, так же как пары ключей RSA не являются методом входа, а скорее встроены.
До того, как появился Simple / UP, для попытки реализовать некоторые из необходимых функций существовал метод входа в систему с расширенным паролем, но это тоже был не лучший подход.
В любом случае, чтобы включить универсальный пароль (не включен по умолчанию), вам необходимо создать политику паролей (используя iManager в качестве заметок TheDave1022) и назначить ее.
Есть некоторые тонкости в том, как он наследуется. Вы можете назначить политику для объекта «Политика входа» в контейнере «Безопасность» (в корне дерева), и она будет применяться ко всем объектам с паролем в дереве. Легко и приятно.
Вы можете применить его практически к любому объекту-контейнеру (ну, не к объектам Country, насколько я помню, хотя я думаю, что знаю, как обойти это сейчас. O, OU, наиболее распространенные типы работают отлично), и он будет применяться ко всем прямым дети.
Для наследования более чем одного уровня OU / O должно быть границей раздела eDirectory.
Самый низкий уровень назначения отменяет любые более высокие назначения. Так что назначьте строжайше объекту Login Policy.Security для всего дерева, а затем более разумную политику для людей, которые вам нравятся в контейнере Friends.users.acme, чтобы облегчить их жизнь.
Затем у вас есть болван, который превращает вашу жизнь в ад в бухгалтерском учете, поэтому назначьте новую политику для Bozo.Accounting.people.acme и заставьте его требовать пароль из 92 символов с 6 символами, отличными от ASCII.
Или как там.
После того, как вы его включите, любые изменения паролей, сделанные через клиента с поддержкой NMAS, будут настроены (и Simple, и NDS, если ваша политика предписывает синхронизировать со всеми этими паролями. Простые варианты изменения по мере необходимости).
Клиент с поддержкой NMAS - это пользователь с клиентом 32 с NMAS (Novell Modular Authentication Services, часть установки клиента по умолчанию, если вы специально не выбрали этого), iManager, все приложения LDAP, которые изменяют пароль, поскольку служба LDAP Novell - это NMAS. включен. Клиенты CIFS / AFP против службы CIFS / AFP OES (ядро Netware или Linux). (OES 1 использовал Samba, который, как мне кажется, НЕ был включен NMAS, но OES2 использует порт службы Netware CIFS, которая более масштабируема, чем Samba).
Таким образом, единственный случай клиента без поддержки NMAS - это клиент 32, на котором вы специально не устанавливали NMAS.
Еще один известный случай ошибки - это более старая установка ConsoleOne, в которой в структуре каталогов C1 есть файл NMAS.DLL. Это остатки, и их нужно удалить.
Один из вариантов политики паролей - «Разрешить администратору получать пароли», а затем указать конкретного пользователя, которому разрешено. Тогда вы можете использовать поистине превосходный Инструмент диагностики универсального пароля это также покажет вам, какой пароль установлен (если это разрешено политикой), соответствует ли он паролю NDS, простому паролю и многому другому. Без этого сложно работать!
Универсальный пароль настраивается через iManager. Если он у вас не установлен, перейдите на сайт novell, скачайте последнюю версию и установите. После входа в iManager вам нужно будет перейти в раздел «Пароли», затем «Политики паролей». Создайте новую политику паролей и назначьте ее пользователю или контейнеру.
При следующей смене пароля с пользователем теперь должна быть связана новая политика паролей. Вы увидите в первой консоли, на вкладке с ограничениями - ваши настройки. (Может быть, было бы неплохо установить для новой политики несколько иные настройки для тестирования).
Я считаю, что вам необходимо установить NMAS как часть клиента novell, чтобы сброс пароля работал правильно через ConsoleOne.
Если на вашем сайте еще не включено UP (т. Е. У вас есть давняя установка Novell), вам нужно убедиться, что ваша среда чистая - относительно новые версии eDir - 8.7.3.10 или 8.8.5, сертификаты серверов исправны и не просрочены, ОС сервера исправлена, DNS и SLP настроены правильно, и у каждого сервера есть DNS-адрес, дерево eDirectory исправно и т. д. и т. д. - прежде чем вы его включите. Вы также захотите предоставить пользователям политики паролей, и для настройки UP в первый раз пользователям, возможно, придется изменить свои пароли, чтобы они записывались в хранилище UP, а не только в хранилище паролей NDS.
Вы можете использовать ConsoleOne с UP (вместо iManager), но вам нужно будет исправить его до последней версии, чтобы он был полностью осведомлен о UP.
Получите исправления через Novell Patchfinder: http://download.novell.com/patch/finder/
Документация по универсальному паролю находится по адресу: http://www.novell.com/documentation/password_management33/ (Я настоятельно рекомендую прочитать его. UP является обязательным условием для современных сетей Novell, но первая реализация требует некоторого планирования.)