Tema anterior: Configuración de servidores alternativos para el agente de sincronización de contraseñasTema siguiente: Comprobación de la calidad de las contraseñas de nivel de cuentas

Gestión de contraseñasSincronización de contraseñas en puntos finalesSincronización de contraseña en WindowsCómo funciona el agente de sincronización de contraseñas

Cómo funciona el agente de sincronización de contraseñas

El proceso de propagación comienza cuando los usuarios globales cambian su contraseña en un sistema Windows utilizando cualquier método. Una vez que se ha introducido la contraseña, ocurre lo siguiente:

  1. El sistema operativo Windows realiza una comprobación para asegurarse de que la contraseña cumple la política de contraseñas. Si Windows no acepta la contraseña, se rechazará la solicitud de cambio y no se llevará a cabo ninguna acción más, incluida la sincronización.
  2. El sistema Windows pasará la solicitud de cambio de contraseña al agente de sincronización de contraseñas de CA IdentityMinder, que, si está configurado para comprobación de la calidad de las contraseñas, enviará la contraseña al servidor de aprovisionamiento para que realice una comprobación de la calidad de la contraseña. Si la contraseña no cumple las reglas de calidad de CA IdentityMinder, la solicitud de cambio se rechazará y se mostrará un mensaje de error. La contraseña de Windows no se modificará, ni se producirá la sincronización.
  3. El agente de sincronización de contraseñas enviará una contraseña que cumpla las reglas de calidad de Windows e CA IdentityMinder al servidor de aprovisionamiento para propagación.
  4. CA IdentityMinder actualizará la contraseña de usuario global y propagará la nueva contraseña a todas las cuentas asociadas con el usuario global, o sólo a algunas.

Nota: Las políticas de contraseñas para Windows e CA IdentityMinder deben ser idénticas o coherentes porque los mensajes de error que se muestran se basan en la política de contraseñas de Windows, aunque CA IdentityMinder rechace la solicitud.

El parámetro de configuración password_update_timeout (eta_pwdsync.conf) especifica el tiempo (en segundos) que el PSA espera la confirmación de propagación-cambio-contraseña del servidor de CA IdentityMinder. Si el PSA no recibe ninguna confirmación durante ese tiempo, continuará como si la propagación hubiera sido correcta y registrará una advertencia (eta_pwdsync.log) que indicará que no se ha podido verificar la propagación del cambio de contraseña. El valor mínimo del parámetro es cero (0), lo que significa que el PSA no esperará la confirmación. Para obtener más información, consulte eta_pwdsync.conf--Configuración del agente de sincronización de contraseñas en la ayuda del agente de aprovisionamiento.