我正在寻找有关如何在 Novell 上制作“通用”密码的说明。在我的 eDirectory 树下的 consoleone 中,我单击属性,在 Login Methods 下有几个密码:NDS、Enhanced 和 Simple。Unix、Groupwise 和 Restrictions 下也有密码。
出于习惯,我们一直在限制下更改我们的密码,但我们不知道这实际上是在更改什么密码。人们可以使用该密码登录 Netware/eDirectory 和他们的 Groupwise 电子邮件帐户。
最近我们发现更改简单密码允许简单密码和在限制下更改的密码都可以工作。如果我们选择所有用户并更改简单密码,我们基本上可以为自己创建一个管理员密码。这是最好的途径吗?
Novell 从 Netware 开始使用名为 Bindery 的用户数据库。当时的密码和现在一样基于 RSA 私钥/公钥对。
使用 Netware 4.0 中的 NDS,他们保留了相同的基本密码方法,并且相当安全。
使用 eDirectory(NDS 被重命名为 eDirectory 的 8.x 版,大约是 Netware 6.x 的时间框架),他们需要支持可逆密码,而 RSA 密钥对肯定不支持。
他们需要这个来支持 NFS、SMB 和 AFP。因为 SMB 使用 MD4 或 MD5 散列,NFS 使用 MD5 或 MD4 (我永远无法保持这两个直接,基本上也无所谓)。Mac 使用两种方式的随机数进行身份验证,并且需要明文密码才能进行比较。
第一次尝试是一个叫做简单密码的东西,这是一个很好的第一次尝试,但并没有解决所有问题。
第二次尝试是通用密码,似乎效果很好。UP 存储在一个隐藏属性中(它的保护方式与私钥在 eDir 中的保护方式非常相似,并且也很难访问)。
出现困惑的地方是,UP 不是通过登录方法等实现的,它作为基本密码功能的一部分内置在 eDirectory 中,就像 RSA 密钥对不是登录方法而是内置的一样。
在 Simple/UP 出现之前有一种增强密码登录方法来尝试实现一些所需的功能,但这也不是最好的方法。
无论如何,要启用通用密码(默认情况下未启用),您需要创建一个密码策略(使用 iManager 作为 TheDave1022 注释),并分配它。
它的继承方式有一些微妙之处。您可以将策略分配给安全容器(位于树的根)中的登录策略对象,该策略适用于树中具有密码的每个对象。好,易于。
您可以将它应用于大多数容器对象(我记得不是 Country 对象,尽管我想我现在知道如何解决这个问题。O,OU,最常见的类型工作得很好),它将适用于所有直接孩子们。
为了使其继承多于一层,OU/O 必须是 eDirectory 分区边界。
最低级别的分配会覆盖任何更高级别的分配。因此,为整个树分配最严格的 Login Policy.Security 对象,然后在 Friends.users.acme 容器中为您喜欢的人制定更合理的策略,以使他们的生活更轻松。
然后你有一个让你的会计生活陷入困境的博佐,所以为 Bozo.Accounting.people.acme 分配一个新策略,让他需要 92 个字符的密码,6 个非 ASCII 字符。
管他呢。
启用它后,通过启用 NMAS 的客户端完成的任何密码更改都将设置为 UP(以及 Simple 和 NDS,如果您的策略说要同步到所有这些密码。根据需要更改的简单选项)。
启用 NMAS 的客户端是具有 NMAS(Novell 模块化身份验证服务,客户端安装的默认部分,除非您也没有特别选择)、iManager、所有执行密码更改的 LDAP 应用程序的用户,因为 Novell 的 LDAP 服务是 NMAS启用。针对 OES(Netware 或 Linux 内核)CIFS/AFP 服务的 CIFS/AFP 客户端。(OES 1 使用 Samba,我认为它没有启用 NMAS,但 OES2 使用 Netware CIFS 服务的一个端口,它比 Samba 更具可扩展性)。
所以基本上没有启用 NMAS 的客户端的唯一情况是客户端 32,您专门没有在其上安装 NMAS。
还有一个已知的错误案例,即较旧的 ConsoleOne 安装,其中 C1 目录结构中有一个 NMAS.DLL 文件。那是剩余的,需要删除。
密码策略中的一个选项是“允许管理员检索密码”,然后指定允许的特定用户。然后,您可以使用 Jim Willeke 真正出色的通用密码诊断工具,该工具也会显示密码设置(如果策略允许),是否与 NDS 密码匹配,以及简单密码和更多诊断内容。没有它很难工作!
通用密码通过 iManager 设置。如果您没有安装它,请访问 Novell 网站并下载最新版本并安装。登录 iManager 后,您需要转到密码,然后是密码策略。创建新密码策略并将其分配给用户或容器。
在下一次密码更改时,用户现在应该有关联的新密码策略。您将在控制台一中的受限选项卡中看到您的设置。(将新策略设置为具有稍微不同的测试设置可能是一件好事)。
我相信您需要将 NMAS 作为 Novell 客户端的一部分安装,以便密码重置以通过 ConsoleOne 正常工作。
如果您的站点尚未启用 UP(即您有一个长期的 Novell 安装),那么您将需要确保您的环境是干净的——相对较新版本的 eDir——8.7.3.10 或 8.8.5,服务器证书良好且未过期,服务器操作系统已修补,DNS 和 SLP 配置正确,每台服务器都有一个 DNS 地址,eDirectory 树是健康的,等等 - 在您打开它之前。您还需要为用户提供密码策略,并且第一次设置 UP,用户可能必须更改他们的密码,以便将他们写入 UP 存储而不仅仅是 NDS 密码存储。
您可以将 ConsoleOne 与 UP(而不是 iManager)一起使用,但您需要将其修补到最新版本以使其完全支持 UP。
通过 Novell Patchfinder 获取补丁:http: //download.novell.com/patch/finder/
通用密码文档位于: http ://www.novell.com/documentation/password_management33/ (我强烈建议阅读它。UP 是现代 Novell 网络的必需品,但首次实施确实需要一些规划。)