Назад | Перейти на главную страницу

Как настроить синхронизацию паролей между двумя доменами Active Directory с помощью Microsoft Identity Manager PCNS?

У меня есть два домена с двусторонними доверительными отношениями (выборочная аутентификация). Microsoft Identity Manager установлен, настроен и «Служба уведомлений об изменении пароля» настроена и правильно доставляет изменения пароля с запросами RPC в целевую службу FIMSyncronization (проверка подлинности Kerberos также работает правильно).

В MIM настроены два агента управления AD: один для «исходного» домена, а другой для «целевого».

Какие атрибуты и правила соединения / проецирования необходимо настроить, чтобы разрешить синхронизацию паролей на «исходном» агенте и «целевом» агенте?

Официальная документация по этому поводу неясна, и все примеры в Интернете не дают никаких подсказок относительно необходимых правил / атрибутов / сопоставления для синхронизации паролей.

Плюс атрибут unicodePwd записывается только в Active Directory, и, похоже, в Metaverse нет какого-либо соответствующего атрибута для хранения этого хэша пароля.

Как правило, у вас будет правило проекции в исходном MA для создания объекта в метавселенной вместе с хотя бы одним потоком атрибутов импорта для индексированного атрибута - скажем, sAMAccountName, employeeID и т. Д.

У вас также будет одно правило соединения в вашем целевом MA, чтобы связать целевые учетные записи с объектами метавселенной, созданными вашим исходным MA.

После того, как учетные записи будут связаны и служба синхронизации паролей получит уведомление о новом пароле, пароль будет отправлен на адресат без необходимости в дополнительных потоках атрибутов.