パスワード管理 › エンドポイント上でのパスワードの同期 › Windows 上のパスワードの同期 › パスワード同期エージェントが機能するしくみ
パスワード同期エージェントが機能するしくみ
何らかの方法を使用して、Windows システム上でユーザのパスワードが変更されると、継承プロセスが開始されます。 パスワードを入力すると、以下の動作が行われます。
- Windows オペレーティング システムによって、パスワードがパスワード ポリシーに一致するかどうかが確認されます。 Windows がパスワードを受け入れない場合、変更リクエストは拒否され、エラー メッセージが表示されます。同期化を含めて、これ以降の動作は行われません。
- Windows システムがパスワード変更リクエストをパスワードの同期エージェントに渡します。パスワード品質チェックが設定されている場合、パスワードの同期エージェントがパスワードをプロビジョニング サーバにサブミットし、パスワード品質チェックが行われます。 パスワードが CA Identity Manager の品質ルールに一致しない場合、変更リクエストは拒否され、エラー メッセージが表示されます。 Windows パスワードは変更されず、同期も行われません。
- Windows と CA Identity Manager の両方の品質ルールに一致するパスワードは、パスワードの同期エージェントによって継承のためにプロビジョニング サーバへサブミットされます。
- CA Identity Manager はグローバル ユーザ パスワードを更新し、グローバル ユーザに関連するアカウントに新しいパスワードを継承します。
注: CA Identity Manager がリクエストを拒否した場合でも、表示されるエラー メッセージは Windows のパスワード ポリシーに基づくため、Windows と CA Identity Manager のパスワード ポリシーは同一であるか、一貫性を持たせる必要があります。
password_update_timeout 設定パラメータ(eta_pwdsync.conf)は、PSA が CA Identity Manager からのパスワード変更継承の確認を待機する時間を秒単位で指定します。 その間に PSA が確認を受信しない場合は、継承が成功した場合と同じように動作が進行し、パスワード変更継承が確認されなかったという警告がログ(eta_pwdsync.log)に記録されます。 パラメータの最小値はゼロ(0)で、これは PSA が確認を待機しないことを意味します。
Copyright © 2015 CA Technologies.
All rights reserved.
|
|