Rubrique précédente: Configuration de serveurs secondaires pour l'agent de synchronisation du mot de passeRubrique suivante: Contrôle de qualité de mot de passe au niveau compte

Gestion des mots de passeSynchronisation des mots de passe sur des terminauxSynchronisation de mots de passe sur WindowsFonctionnement de l'agent de synchronisation du mot de passe

Fonctionnement de l'agent de synchronisation du mot de passe

Le processus de propagation commence lorsque les utilisateurs globaux modifient leurs mots de passe sur un système Windows. Une fois le mot de passe saisi, les événements suivants se produisent.

  1. Le système d'exploitation Windows vérifie que le mot de passe est conforme à la stratégie de mot de passe définie. Si Windows refuse le mot de passe, la demande de modification est rejetée, un message d'erreur s'affiche et aucune autre action n'est entreprise (y compris la synchronisation).
  2. Le système Windows transmet la demande de modification du mot de passe à l'agent de synchronisation du mot de passe CA IdentityMinder, qui l'envoie éventuellement au serveur de provisionnement à des fins de contrôle de qualité du mot de passe. Si le mot de passe ne respecte pas les règles de qualité d'CA IdentityMinder, la demande de modification est rejetée et un message d'erreur s'affiche. Le mot de passe Windows reste inchangé et aucune synchronisation n'est effectuée.
  3. L'agent de synchronisation du mot de passe envoie un mot de passe conforme aux règles de qualité de Windows et d'CA IdentityMinder au serveur de provisionnement en vue de sa propagation.
  4. CA IdentityMinder met à jour le mot de passe d'utilisateur global et propage le nouveau mot de passe vers une partie ou l'ensemble des comptes associés à l'utilisateur global.

Remarque : Vos stratégies de mot de passe pour Windows et CA IdentityMinder doivent être identiques ou cohérentes. En effet, les messages d'erreur s'affichent en fonction de la stratégie de mot de passe de Windows, même si CA IdentityMinder rejette la demande.

Le paramètre de configuration password_update_timeout (eta_pwdsync.conf) spécifie le délai (en secondes) pendant lequel l'agent de synchronisation du mot de passe attend la confirmation de propagation de la modification du mot de passe reçue du serveur CA IdentityMinder. Si l'agent de synchronisation du mot de passe ne reçoit pas de confirmation avant l'expiration du délai, il agit comme si la propagation s'était correctement déroulée et consigne un avertissement (eta_pwdsync.log) indiquant l'impossibilité de vérifier la propagation du mot de passe modifié. La valeur minimum de ce paramètre, zéro (0), indique que l'agent de synchronisation du mot de passe n'attend pas la confirmation. Pour plus d'informations, reportez-vous à la rubrique eta_pwdsync.conf--Configuration de l'agent de synchronisation du mot de passe dans l'aide du gestionnaire de provisionnement.