密码同步代理如何运行

密码管理 › 同步端点上的密码 › Windows 的密码同步 › 密码同步代理如何运行

密码同步代理如何运行

当全局用户使用任何方式在 Windows 系统上更改其密码时，都会开始传播过程。输入密码之后，将发生以下内容：

Windows 操作系统进行检查以确保密码符合其密码策略。如果 Windows 不接受该密码，更改请求将被拒绝，出现一条错误消息，且不会进行进一步操作（包括同步）。
然后 Windows 系统将该密码更改请求移交给 CA Identity Manager 密码同步代理，如果配置了密码质量检查，该代理则会将该密码提交给配给服务器以进行密码质量检查。如果该密码不符合 CA Identity Manager 质量规则，更改请求将被拒绝，且出现一条错误消息。该 Windows 密码保持不变，且不会进行同步。
符合 Windows 和 CA Identity Manager 质量规则的密码会被密码同步代理提交到配给服务器进行传播。
之后 CA Identity Manager 更新该全局用户密码，并将该新密码传播到与该全局用户关联的部分或全部帐户。

注意：Windows 和 CA Identity Manager 的密码策略必须相同或一致，因为显示的错误消息是基于 Windows 密码策略的，即使 CA Identity Manager 拒绝了该请求也是如此。

password_update_timeout 配置参数 (eta_pwdsync.conf) 指定 PSA 等待来自 CA Identity Manager 服务器的密码 - 更改 - 传播确认的时间长度（以秒为单位）。如果 PSA 在这段时间没收到确认，则会像传播成功一样继续，并记录一条警告 (eta_pwdsync.log)，说明无法验证该密码更改传播。该参数的最小值是零 (0)，表示 PSA 不等待确认。有关详细信息，请参阅配给管理器帮助中的“eta_pwdsync.conf--Configure Password Synchronization Agent”。