Microsoft Identity Manager 2016 Kennwortverwaltung
Das Verwalten von Kennwörtern für mehrere Benutzerkonten ist eine der Komplexitäten der Verwaltung einer Unternehmensumgebung mit mehreren Datenquellen. Microsoft Identity Manager 2016 (MIM) bietet zwei Lösungen für die Kennwortverwaltung:
Kennwortsynchronisierung – Verwendet den Benachrichtigungsdienst zur Kennwortänderung (PASSWORD Change Notification Service, PCNS), um Kennwortänderungen aus Active Directory zu erfassen und an andere verbundene Datenquellen weiterzuverbreiten.
Benutzerbasierte Kennwortänderungsverwaltung – Nutzt die Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) über webbasierte Helpdesk- und Self-Service-Kennwortzurücksetzungsanwendungen.
Mithilfe der Kennwortsynchronisierung und der benutzerbasierten Kennwortänderungsverwaltung können Sie:
Verringern Sie die Anzahl der verschiedenen Kennwörter, die Benutzer sich merken müssen.
Gleichzeitiges Festlegen oder Ändern von Kennwörtern in den mehreren Konten eines Benutzers auf dasselbe Kennwort.
Ermöglichen Sie Benutzern, ihre eigenen Kennwörter in Active Directory zu ändern und die Kennwortänderung an andere Systeme zu übertragen.
Vermeiden Sie das Risiko, ein zusätzliches Kennwort oder einen Anmeldeinformationsspeicher zu erstellen.
Synchronisieren Sie Kennwörter über mehrere Datenquellen hinweg, indem Sie Active Directory als autorisierende Quelle verwenden.
Durchführen von Kennwortverwaltungsvorgängen in Echtzeit, unabhängig von MIM-Vorgängen.
Kennworterweiterungen
Verwaltungs-Agents für Verzeichnisserver unterstützen Kennwortänderung und Festlegen von Vorgängen standardmäßig. Für dateibasierte, Datenbank- und erweiterbare Verbindungsverwaltungs-Agents, die kennwortänderungs- und Festlegenvorgänge standardmäßig nicht unterstützen, können Sie eine .NET-Kennworterweiterung dynamic-link library (DLL) erstellen. Die .NET-Kennworterweiterungs-DLL wird aufgerufen, wenn für jeden dieser Verwaltungs-Agents eine Kennwortänderung oder ein Anruf festgelegt wird. Kennworterweiterungseinstellungen sind für diese Verwaltungs-Agents im Synchronisierungsdienst-Manager konfiguriert. Weitere Informationen zum Konfigurieren von Kennworterweiterungen finden Sie in der FIM-Entwicklerreferenz.
| Die Kennwortverwaltung wird standardmäßig in den Verwaltungs-Agents für Folgendes unterstützt: | Durch die Verwendung einer Kennworterweiterung wird die Kennwortverwaltung auch in den Verwaltungs-Agents unterstützt für: |
|---|---|
| Active Directory | Textdateien für Attribut-Wert-Paare |
| Active Directory Lightweight Directory Services (ADLDS) | Textdateien mit Trennzeichen |
| IBM Directory Server | Directory Services Markup Language (DSML) |
| Lotus Notes | Erweiterbare Konnektivität |
| Novell eDirectory | Textdateien mit fester Breite |
| Sun- und Netscape-Verzeichnisserver | IBM DB2 Universal Database |
| LDAP-Datenaustauschformat (LDIF) | |
| Microsoft SQL Server | |
| Oracle-Datenbank |
Kennwortsynchronisierung
Die Kennwortsynchronisierung funktioniert mit dem Kennwortänderungsbenachrichtigungsdienst (PCNS) in einer Active Directory-Domäne und ermöglicht die automatische Weitergabe von Kennwortänderungen aus Active Directory an andere verbundene Datenquellen. MIM führt dies durch Ausführen als RPC-Server (Remote Procedure Call) durch, der eine Kennwortänderungsbenachrichtigung von einem Active Directory-Domänencontroller überwacht. Wenn die Kennwortänderungsanforderung empfangen und authentifiziert wird, wird sie von MIM verarbeitet und an die entsprechenden Verwaltungs-Agents weitergegeben.
Wichtig
Die bidirektionale Kennwortsynchronisierung wird von MIM nicht unterstützt. Durch die Konfiguration der bidirektionalen Kennwortsynchronisierung kann eine Schleife erstellt werden, die Serverressourcen verbraucht und potenziell negative Auswirkungen auf Active Directory und MIM hat.
PcNS wird auf jedem Active Directory-Domänencontroller ausgeführt. Die Systeme, die die Kennwortbenachrichtigungen erhalten, werden als Ziele bezeichnet. Ihr MIM-Server muss als PCNS-Ziel in Active Directory konfiguriert werden, bevor Kennwortbenachrichtigungen gesendet werden. Die PCNS-Konfiguration muss eine Einschlussgruppe und optional eine Ausschlussgruppe definieren. Diese Gruppen werden verwendet, um den Fluss vertraulicher Kennwörter aus der Domäne einzuschränken. Wenn Sie z. B. Kennwörter für alle Benutzer senden möchten, aber keine Administrativen Kennwörter senden möchten, können Sie "Domänenbenutzer" als Einschlussgruppe und Domänenadministratoren als Ausschlussgruppe verwenden. Weitere Informationen zum Konfigurieren des Kennwortänderungsbenachrichtigungsdiensts finden Sie unter Verwenden der Kennwortsynchronisierung
Die Komponenten, die am Kennwortsynchronisierungsprozess beteiligt sind, sind:
Kennwortänderungsbenachrichtigungsdienst (Pcnssvc.exe)– Der Benachrichtigungsdienst zur Kennwortänderung wird auf einem Domänencontroller ausgeführt und ist für den Empfang von Kennwortänderungsbenachrichtigungen aus dem lokalen Kennwortfilter verantwortlich, die Warteschlange für den Zielserver, auf dem MIM ausgeführt wird, und die Verwendung von RPC zum Übermitteln der Benachrichtigungen. Der Dienst verschlüsselt das Kennwort und stellt sicher, dass das Kennwort sicher bleibt, bis es erfolgreich an den Zielserver mit MIM übermittelt wird.
Dienstprinzipalname (SERVICE Principal Name, SPN) – Der SPN ist eine Eigenschaft für das Kontoobjekt in Active Directory, das vom Kerberos-Protokoll zum gegenseitigen Authentifizieren des PCNS und des Ziels verwendet wird. Der SPN stellt sicher, dass sich der PCNS beim richtigen Server authentifiziert, auf dem MIM ausgeführt wird, und dass kein anderer Dienst die Benachrichtigungen zur Kennwortänderung empfangen kann. Der SPN wird mithilfe des tools setspn.exe erstellt und zugewiesen. Weitere Informationen zum Konfigurieren des SPN finden Sie unter Verwenden der Kennwortsynchronisierung.
Benachrichtigungsfilter für Kennwortänderung (Pcnsflt.dll) – Der Kennwortfilter wird verwendet, um Nur-Text-Kennwörter aus Active Directory abzurufen. Dieser Filter wird von der lokalen Sicherheitsautorität (Local Security Authority, LSA) auf jedem Windows Server-Domänencontroller geladen, der an der Kennwortverteilung an einen Zielserver mit MIM teilnimmt. Nachdem der Filter installiert wurde und der Domänencontroller neu gestartet wurde, beginnt der Filter mit dem Empfangen von Kennwortänderungsbenachrichtigungen für Kennwortänderungen, die auf diesem Domänencontroller stammen. Der Kennwortbenachrichtigungsfilter wird gleichzeitig mit anderen Filtern ausgeführt, die auf dem Domänencontroller ausgeführt werden.
Konfigurationsdienst für den Kennwortänderungsdienst (Pcnscfg.exe) – Das Hilfsprogramm pcnscfg.exe dient zum Verwalten und Verwalten der Konfigurationsparameter des Kennwortänderungsdiensts, die in Active Directory gespeichert sind. Diese Konfigurationsparameter, z. B. das Definieren der Zielserver, das Wiederholungsintervall der Kennwortwarteschlange und das Aktivieren oder Deaktivieren eines Zielservers, werden beim Authentifizieren und Senden von Kennwortbenachrichtigungen an den Zielserver verwendet, auf dem MIM ausgeführt wird. Die Dienstkonfiguration wird in Active Directory gespeichert, daher ist es nur erforderlich, die Konfiguration auf einem Domänencontroller zu aktualisieren. Active Directory repliziert die Änderung auf alle anderen Domänencontroller.
REMOTE Procedure Call (RPC)-Server auf dem Server mit MIM- – Wenn die Kennwortsynchronisierung aktiviert ist, wird der RPC-Server auf dem Server gestartet, auf dem MIM ausgeführt wird, und ermöglicht es, Benachrichtigungen vom Kennwortänderungsbenachrichtigungsdienst zu empfangen. RPC wählt dynamisch einen zu verwendenden Portbereich aus. Wenn Sie miM für die Kommunikation mit der Active Directory-Gesamtstruktur über eine Firewall benötigen, müssen Sie einen Bereich von Ports öffnen.
DLL- der Kennworterweiterung – Die Kennworterweiterungs-DLL bietet eine Möglichkeit, Kennwortsatz- oder Änderungsvorgänge mithilfe einer Regelerweiterung für jede Datenbank, erweiterbare Konnektivität oder dateibasierte Verwaltungs-Agent zu implementieren. Dazu wird ein exportgeschütztes verschlüsseltes Attribut namens "export_password" erstellt, das nicht tatsächlich im verbundenen Verzeichnis vorhanden ist, aber in Bereitstellungsregelnerweiterungen aufgerufen und festgelegt werden kann oder während des Export-Attributflusses verwendet werden kann. Weitere Informationen zum Konfigurieren von Kennworterweiterungen finden Sie in der FIM Developer Reference.
Vorbereiten der Kennwortsynchronisierung
Bevor Sie die Kennwortsynchronisierung für Ihre MIM- und Active Directory-Umgebung einrichten, überprüfen Sie Folgendes:
MIM wird gemäß Installationsanweisungen installiert.
Verwaltungs-Agents für die verbundenen Datenquellen, die für die Kennwortsynchronisierung verwaltet werden sollen, werden bereits erstellt, und die Objekte werden erfolgreich verknüpft und synchronisiert.
So richten Sie die Kennwortsynchronisierung ein:
Erweitern Sie das Active Directory-Schema, um die Klassen und Attribute hinzuzufügen, die zum Installieren und Ausführen des Kennwortänderungsbenachrichtigungsdiensts (PASSWORD Change Notification Service, PCNS) erforderlich sind.
Installieren Sie pcNS auf jedem Domänencontroller.
Konfigurieren Sie den Dienstprinzipalnamen (SPN) in Active Directory für das MIM-Dienstkonto.
Konfigurieren Sie den PCNS für die Kommunikation mit dem MIM-Zieldienst.
Konfigurieren Sie die Verwaltungs-Agents für die verbundenen Datenquellen, die für die Kennwortsynchronisierung verwaltet werden sollen.
Aktivieren Sie die Kennwortsynchronisierung auf MIM.
Weitere Informationen zum Einrichten der Kennwortsynchronisierung finden Sie unter Verwenden der Kennwortsynchronisierung.
Kennwortsynchronisierungsprozess
Der Prozess der Synchronisierung einer Kennwortänderungsanforderung von einem Active Directory-Domänencontroller mit anderen verbundenen Datenquellen wird im folgenden Diagramm gezeigt:
Der Benutzer initiiert die Kennwortänderungsanforderung durch Drücken von STRG+ALT+ENTF. Die Anforderung zur Kennwortänderung, einschließlich des neuen Kennworts, wird an den nächstgelegenen Domänencontroller gesendet.
Der Domänencontroller zeichnet die Kennwortänderungsanforderung auf und benachrichtigt den Benachrichtigungsfilter zur Kennwortänderung (Pcnsflt.dll).
Der Benachrichtigungsfilter zur Kennwortänderung übergibt die Anforderung an den Benachrichtigungsdienst für Kennwortänderung (PASSWORD Change Notification Service, PCNS).
Der PCNS überprüft die Kennwortänderungsanforderung, authentifiziert dann den Dienstprinzipalnamen (SERVICE Principal Name, SPN) mithilfe von Kerberos und leitet die Kennwortänderungsanforderung in verschlüsseltem RPC an den MIM-Zielserver weiter.
MIM überprüft den Quelldomänencontroller und verwendet dann den Domänennamen, um den Verwaltungs-Agent zu finden, der diese Domäne verwaltet, und verwendet die Benutzerkontoinformationen in der Kennwortänderungsanforderung, um das entsprechende Objekt im Connectorbereich zu finden.
Mithilfe der Verknüpfungstabelleninformationen bestimmt MIM die Verwaltungs-Agents, die die Kennwortänderung erhalten, und verschiebt die Kennwortänderung an sie.
Kennwortsynchronisierungssicherheit
Die folgenden Sicherheitsbedenken bei der Kennwortsynchronisierung wurden behoben:
Authentifizierung von der Kennwortquelle – Wenn die Benachrichtigung zur Kennwortänderung empfangen wird, erfolgt die Kerberos-Authentifizierung von MIM sowie vom Quelldomänencontroller, um sicherzustellen, dass sowohl der Empfänger als auch der Absender gültig sind. Nach Erhalt einer Kennwortänderungsbenachrichtigung stellt MIM sicher, dass der Anrufer über ein Konto im Domänencontrollercontainer der Domäne verfügt, zu der er gehört.
Fehler bei der Kennwortsynchronisierung mit einer Zieldatenquelle aufgrund einer unsicheren Verbindung – Wenn der Verwaltungs-Agent so konfiguriert wurde, dass eine sichere Verbindung erforderlich ist, aber eine nicht erkannt wird, schlägt die Synchronisierung fehl. Die Synchronisierung erfolgt weiterhin, wenn der Verwaltungs-Agent so konfiguriert wurde, dass nicht unsichere Verbindungen zulässig sind. Das Zulassen von nicht sicheren Verbindungen sollte erst aktiviert werden, wenn sie die beteiligten Risiken untersuchen und verstehen.
Sichere Speicherung von Kennwörtern – MIM speichert nur vorübergehend verschlüsselte Kennwörter. Alle Kennwörter, die von MIM während eines Benachrichtigungsvorgangs zur Kennwortänderung empfangen werden, werden verschlüsselt, sobald sie den MIM-Prozess eingeben. Sobald sie erfolgreich an die verbundene Zieldatenquelle gesendet werden, werden sie entschlüsselt, und der Speicher, der das Kennwort speichert, wird sofort gelöscht. Wenn der Vorgang nicht in die mit dem Ziel verbundene Datenquelle schreiben kann, wird das verschlüsselte Kennwort gespeichert, bis alle Wiederholungsversuche versucht wurden, und anschließend aus dem Speicher gelöscht.
Sichere Kennwortwarteschlangen – Kennwörter, die in PCNS-Kennwortwarteschlangen gespeichert sind, werden verschlüsselt, bis sie übermittelt werden.
Fehlerwiederherstellungsszenarien für die Kennwortsynchronisierung
Wenn ein Benutzer ein Kennwort ändert, wird die Änderung idealerweise ohne Fehler synchronisiert. In den folgenden Szenarien wird beschrieben, wie MIM aus allgemeinen Synchronisierungsfehlern wiederhergestellt wird:
Fehlgeschlagene Kennwortbenachrichtigung von Active Directory zu MIM- – Dies kann auftreten, wenn das Netzwerk deaktiviert ist oder der Server, auf dem MIM ausgeführt wird, nicht verfügbar ist. Die Kennwortänderungsbenachrichtigung bleibt lokal auf dem Domänencontroller von PCNS in die Warteschlange gestellt. Der PCNS wiederholt die Benachrichtigung entsprechend der Konfiguration des Wiederholungsintervalls.
Fehlgeschlagene Kennwortsynchronisierung mit einer Zieldatenquelle – Dies kann auch auftreten, wenn das Netzwerk nicht verfügbar ist oder die Zieldatenquelle nicht verfügbar ist. Die Benachrichtigung zur Kennwortänderung wird in die Warteschlange eingereiht und entsprechend der Konfiguration des Verwaltungs-Agents für wiederholungsversuche und wiederholungsintervalle erneut versucht. Alle Kennwörter werden verschlüsselt, während sie für den Wiederholungsvorgang gespeichert und gelöscht werden, wenn der Vorgang erfolgreich ist oder die Wiederholungsgrenzwerte erreicht werden.
Aktivieren eines warm standby-Servers, auf dem MIM ausgeführt wird, nach einem Fehler – Im Falle eines Ausfalls des primären Servers, auf dem MIM ausgeführt wird, können Sie einen warm standby-Server für die Kennwortsynchronisierung konfigurieren und ohne Kennwortänderungen aktivieren. Weitere Informationen finden Sie unter MIISactivate: Server Activation Tool
Einige Fehler sind schwerwiegend genug, sodass wahrscheinlich keine Menge an Wiederholungen zu einem erfolgreichen Vorgang führt. In diesen Fällen wird ein Fehlerereignis protokolliert und der Prozess beendet. Die folgenden Ereignisse werden nicht wiederholt:
| Ereignis | Schweregrad | BESCHREIBUNG |
|---|---|---|
| 6919 | Informationen | Ein Vorgang für die Kennwortsynchronisierung wurde nicht ausgeführt, da der Zeitstempel veraltet war. |
| 6921 | Fehler | Der Vorgang für die Kennwortsynchronisierung wurde nicht verarbeitet, da die Kennwortverwaltung für den Zielverwaltungs-Agent nicht aktiviert ist. |
| 6922 | Fehler | Der Vorgang für die Kennwortsynchronisierung wurde nicht verarbeitet, da die Kennwortverwaltung nicht für den Zielverwaltungs-Agent konfiguriert ist. |
| 6923 | Warnung | Der Vorgang zum Synchronisierungssatz für die Kennwortsynchronisierung wurde nicht verarbeitet, da das Objekt für den Zielconnectorbereich nicht im verbundenen Verzeichnis gefunden wurde. |
| 6927 | Fehler | Fehler beim Synchronisierungssatzvorgang, da das Kennwort nicht der Kennwortrichtlinie des Zielsystems entspricht. |
| 6928 | Fehler | Fehler beim Vorgang zum Festlegen des Kennwortsynchronisierungsvorgangs, da die Kennworterweiterung für den Zielverwaltungs-Agent nicht für die Unterstützung von Kennwortsatzvorgängen konfiguriert ist. |
Benutzerbasierte Kennwortänderungsverwaltung
MIM stellt zwei Webanwendungen bereit, die die Windows-Verwaltungsinstrumentation (WMI) zum Zurücksetzen von Kennwörtern verwenden. Wie bei der Kennwortsynchronisierung aktivieren Sie die Kennwortverwaltung, wenn Sie den Verwaltungs-Agent im Verwaltungs-Agent-Designer konfigurieren. Informationen zur Kennwortverwaltung und WMI finden Sie in der MIM-Entwicklerreferenz.
MIM erstellt zwei Sicherheitsgruppen während der Installation, die speziell Kennwortverwaltungsvorgänge unterstützen:
FIMSyncBrowse – Mitglieder dieser Gruppe verfügen über die Berechtigung, Informationen zu den Konten eines Benutzers zu sammeln, wenn Suchvorgänge mit WMI-Abfragen ausgeführt werden.
FIMSyncPasswordSet – Mitglieder dieser Gruppe verfügen über die Berechtigung zum Ausführen von Kontosuche-, Kennwort- und Kennwortänderungsvorgängen mithilfe der Kennwortverwaltungsschnittstellen mit WMI.