Rubrique précédente: Configuration de serveurs secondaires pour l'agent de synchronisation du mot de passeRubrique suivante: Contrôle de qualité de mot de passe au niveau compte

Gestion des mots de passeSynchronisation des mots de passe sur des terminauxSynchronisation de mots de passe sur WindowsFonctionnement de l'agent de synchronisation du mot de passe

Fonctionnement de l'agent de synchronisation du mot de passe

Le processus de propagation commence lorsque les utilisateurs globaux modifient leurs mots de passe sur un système Windows. Une fois le mot de passe saisi, les événements suivants se produisent.

  1. Le système d'exploitation Windows vérifie que le mot de passe est conforme à la stratégie de mot de passe définie. Si Windows refuse le mot de passe, la demande de modification est rejetée, un message d'erreur s'affiche et aucune autre action n'est entreprise (y compris la synchronisation).
  2. Le système Windows transmet la demande de modification du mot de passe à l'agent de synchronisation du mot de passe CA Identity Manager, qui l'envoie éventuellement au serveur de provisionnement à des fins de contrôle de qualité du mot de passe. Si le mot de passe ne respecte pas les règles de qualité d'CA Identity Manager, la demande de modification est rejetée et un message d'erreur s'affiche. Le mot de passe Windows reste inchangé et aucune synchronisation n'est effectuée.
  3. L'agent de synchronisation du mot de passe envoie un mot de passe conforme aux règles de qualité de Windows et d'CA Identity Manager au serveur de provisionnement en vue de sa propagation.
  4. CA Identity Manager met à jour le mot de passe d'utilisateur global et propage le nouveau mot de passe vers une partie ou l'ensemble des comptes associés à l'utilisateur global.

Remarque : Vos stratégies de mot de passe pour Windows et CA Identity Manager doivent être identiques ou cohérentes. En effet, les messages d'erreur s'affichent en fonction de la stratégie de mot de passe de Windows, même si CA Identity Manager rejette la demande.

Le paramètre de configuration password_update_timeout (eta_pwdsync.conf) spécifie le délai (en secondes) pendant lequel l'agent de synchronisation du mot de passe attend la confirmation de propagation de la modification du mot de passe reçue du serveur CA Identity Manager. Si l'agent de synchronisation du mot de passe ne reçoit pas de confirmation avant l'expiration du délai, il agit comme si la propagation s'était correctement déroulée et consigne un avertissement (eta_pwdsync.log) indiquant l'impossibilité de vérifier la propagation du mot de passe modifié. La valeur minimum de ce paramètre, zéro (0), indique que l'agent de synchronisation du mot de passe n'attend pas la confirmation. Pour plus d'informations, reportez-vous à la rubrique eta_pwdsync.conf--Configuration de l'agent de synchronisation du mot de passe dans l'aide du gestionnaire de provisionnement.