Vorheriges Thema: Konfiguration alternativer Server für den Agenten für die KennwortsynchronisierungNächstes Thema: Kennwortqualitätsprüfung auf Kontoebene

Kennwort-ManagementSynchronisieren von Kennwörtern auf EndpunktenKennwortsynchronisierung unter WindowsFunktionsweise des Agenten für die Kennwortsynchronisierung

Funktionsweise des Agenten für die Kennwortsynchronisierung

Der Propagierungsprozess beginnt, wenn globale Benutzer unter Verwendung einer beliebigen Methode auf einem Windows-System ihre Kennwörter ändern. Nach der Eingabe des Kennworts, passiert das Folgende:

  1. Das Windows-Betriebssystem führt Prüfungen durch, um sicherzustellen, dass das Kennwort die Kennwortrichtlinie erfüllt. Wenn Windows das Kennwort nicht akzeptiert, wird der Änderungsantrag abgelehnt, eine Fehlermeldung wird angezeigt, und es werden keine weiteren Maßnahmen, einschließlich Synchronisierung, unternommen.
  2. Das Windows-System übergibt den Kennwortänderungsantrag an den Agenten für die Kennwortsynchronisierung CA IdentityMinder, der bei konfigurierter Kennwortqualitätsprüfung das Kennwort an den Bereitstellungsserver sendet, um die Kennwortqualitätsprüfung durchzuführen. Wenn das Kennwort die Qualitätsregeln von CA IdentityMinder nicht erfüllt, wird der Änderungsantrag abgelehnt, und eine Fehlermeldung wird angezeigt. Das Windows-Kennwort wird nicht geändert und es wird keine Synchronisierung durchgeführt.
  3. Ein Kennwort, das die Qualitätsregeln von Windows und CA IdentityMinder erfüllt, wird vom Agenten für die Kennwortsynchronisierung an den Bereitstellungsserver zur Propagierung gesendet.
  4. CA IdentityMinder aktualisiert das Kennwort des globalen Benutzers und verbreitet das neue Kennwort an einige oder alle Konten, die dem globalen Benutzer zugeordnet sind.

Hinweis: Die Kennwortrichtlinien für Windows und CA IdentityMinder müssen identisch oder konsistent sein, weil die angezeigten Fehlermeldungen auf der Kennwortrichtlinie von Windows basieren, selbst dann, wenn CA IdentityMinder den Antrag ablehnt.

Der Konfigurationsparameter "password_update_timeout" (eta_pwdsync.conf) legt fest, wie lange (in Sekunden) der PSA auf die Bestätigung der Kennwortänderung vom CA IdentityMinder-Server wartet. Wenn während dieser Zeit keine Bestätigung empfangen wird, fährt der PSA fort, als wäre die Propagierung erfolgreich verlaufen. Eine Warnung wird protokolliert (eta_pwdsync.log), dass die Propagierung der Kennwortänderung nicht verifiziert werden konnte. Der Mindestwert für den Parameter ist Null (0), d. h. der PSA wartet nicht auf eine Bestätigung. Weitere Informationen hierzu finden Sie in der Hilfe zu eta_pwdsync.conf--Konfigurieren des Agenten für die Kennwortsynchronisierung im Bereitstellungs-Manager.