Поделиться через

Управление паролями с помощью Microsoft Identity Manager 2016

  • Статья

Управление паролями нескольких учетных записей пользователей — одна из сложностей, возникающих при управлении корпоративной средой с множеством источников данных. Microsoft Identity Manager 2016 (MIM) предоставляет два решения для управления паролями.

  • Синхронизация паролей — использует службу уведомлений о смене паролей (PCNS) для получения сведений о смене паролей из Active Directory и распространении их в других подключенных источниках данных.

  • Управление сменой паролей пользователей — использует инструментарий управления Windows (WMI) для веб-службы технической поддержки и приложений для самостоятельного сброса пароля.

Использование синхронизации паролей и управления сменой паролей пользователей позволяет решить следующие задачи:

  • сокращение количества паролей, которые необходимо помнить пользователям;

  • задание одного и того же пароля для нескольких учетных записей пользователя;

  • предоставление пользователям возможности менять свои пароли в Active Directory и передавать сведения о смене паролей в другие системы;

  • устранение необходимости в создании дополнительного хранилища паролей или учетных данных;

  • синхронизация паролей между несколькими источниками данных с помощью Active Directory в качестве заслуживающего доверия источника;

  • выполнение операций управления паролями в режиме реального времени вне зависимости от операций MIM.

Расширения паролей

Агенты управления для серверов каталогов по умолчанию поддерживают операции смены и задания паролей. Для агентов управления файлами, базами данных и расширенными подключениями, которые по умолчанию не поддерживают операции смены и задания паролей, можно создать библиотеку динамической компоновки (DLL) расширения паролей .NET. Библиотека DLL расширения паролей .NET вызывается при каждой операции смены или задания пароля для любого из агентов управления. Параметры расширения паролей для этих агентов управления настраиваются в Synchronization Service Manager. Дополнительные сведения о настройке расширений паролей см. в справочнике разработчика FIM.

Управление паролями поддерживается по умолчанию в агентах управления для: Благодаря расширению паролей управление паролями также поддерживается в агентах управления для:
Active Directory Текстовые файлы пары «атрибут-значение»
Службы Active Directory облегченного доступа к каталогам (ADLDS) Текстовые файлы с разделителями
Сервер каталогов IBM DSML
Lotus Notes Extensible Connectivity
Novell eDirectory. Текстовые файлы с фиксированной шириной
Серверы каталогов Sun и Netscape Универсальная база данных IBM DB2
Формат обмена данными LDAP (LDIF)
Microsoft SQL Server
Oracle Database

Синхронизация паролей

Синхронизация паролей работает со службой уведомлений о смене паролей в домене Active Directory и обеспечивает автоматическое распространение сведений о смене паролей из Active Directory в другие подключенные источники данных. Для этого MIM использует сервер удаленного вызова процедур (RPC), который прослушивает уведомления о смене паролей от контроллера домена Active Directory. Когда запрос на смену пароля поступает и проходит проверку подлинности, он обрабатывается диспетчером MIM и передается соответствующим агентам управления.

Важно!

MIM не поддерживает двустороннюю синхронизацию паролей. Настройка двусторонней синхронизации паролей может привести к созданию цикла, который будет потреблять ресурсы сервера и может оказать негативное влияние на Active Directory и MIM.

PCNS выполняется на каждом контроллере домена Active Directory. Системы, получающие уведомления о паролях, называются целевыми. Перед отправкой уведомлений о паролях серверы MIM необходимо настроить в Active Directory как целевые системы PCNS. В конфигурации PCNS должна быть определена группа включения и при необходимости группа исключения. Эти группы служат для ограничения потока конфиденциальных паролей из домена. Например, чтобы отправлять пароли всех пользователей, кроме администраторов, можно выбрать группу "Пользователи домена" в качестве группы включения, а группу "Администратора домена" — в качестве группы исключения. Дополнительные сведения о настройке службы уведомлений о смене паролей см. в разделе Использование синхронизации паролей

Ниже перечислены компоненты, участвующие в процессе синхронизации паролей.

  • Служба уведомлений о смене паролей (Pcnssvc.exe) — служба уведомлений о смене паролей выполняется в контроллере домена и отвечает за получение уведомлений о смене паролей от локального фильтра паролей, помещая их в очередь для целевого сервера MIM и используя RPC для доставки уведомлений. Служба шифрует пароли и обеспечивает их безопасность, пока они не будут доставлены на целевой сервер MIM.

  • Имя субъекта-службы — имя субъекта-службы представляет собой свойство объекта учетной записи в Active Directory, которое используется протоколом Kerberos для взаимной проверки подлинности PCNS и целевой системы. Имя субъекта-службы обеспечивает проверку подлинности PCNS на соответствующем сервере MIM и гарантирует, что другие службы не смогут получать уведомления о смене паролей. Имя субъекта-службы создается и назначается с помощью средства setspn.exe. Дополнительные сведения о настройке имени субъекта-службы см. в разделе "Использование синхронизации паролей".

  • Фильтр уведомлений о смене паролей (Pcnsflt.dll) — фильтр паролей служит для получения паролей в виде обычного текста из Active Directory. Он загружается локальной системой безопасности (LSA) в каждом контроллере домена Windows Server, участвующем в распространении паролей на конечном сервере MIM. После установки фильтра и перезапуска контроллера домена фильтр начинает получать уведомления о смене паролей от этого контроллера домена. Фильтр уведомлений о смене паролей выполняется параллельно с другими фильтрами в контроллере домена.

  • Программа настройки службы уведомлений о смене паролей (Pcnscfg.exe) — служебная программа pcnscfg.exe используется для управления параметрами конфигурации службы уведомлений о смене паролей, хранящимися в Active Directory. Эти параметры конфигурации, которые определяют, помимо прочего, конечные серверы, интервал повторного опроса очереди паролей и включение конечных серверов, используются при проверке подлинности и отправке уведомлений о смене паролей на конечный сервер MIM. Конфигурация службы хранится в Active Directory, поэтому изменить ее достаточно только в одном контроллере домена. Active Directory реплицирует изменения во все остальные контроллеры домена.

  • Сервер удаленного вызова процедур (RPC) на сервере MIM — при включении синхронизации паролей на сервере MIM запускается сервер RPC, который позволяет получать уведомления от службы уведомлений о смене паролей. RPC динамически выбирает используемый диапазон портов. Если диспетчер MIM должен обмениваться данными с лесом Active Directory через брандмауэр, необходимо открыть диапазон портов.

  • Библиотека DLL расширения паролей — библиотека DLL расширения паролей позволяет реализовать операции задания или смены паролей посредством расширения правил для любого агента управления на основе базы данных, расширенного подключения или файлов. Для этого создается доступный только для экспорта зашифрованный атрибут export_password, который не существует в подключенном каталоге, но к которому можно обращаться и который можно задавать в расширениях правил подготовки, а также использовать в потоке атрибутов экспорта. Дополнительные сведения о настройке расширений паролей см. в справочнике разработчика FIM.

Подготовка к синхронизации паролей

Перед настройкой синхронизации паролей для среды MIM и Active Directory проверьте, выполнены ли приведенные ниже условия.

  • Диспетчер MIM установлен согласно инструкциям.

  • Агенты управления для подключенных источников данных, для которых должна выполняться синхронизация паролей, уже созданы, и соответствующие объекты успешно присоединены и синхронизированы.

Чтобы настроить синхронизацию паролей, выполните указанные ниже действия.

  • Расширьте схему Active Directory, добавив классы и атрибуты, необходимые для установки и запуска службы уведомлений о смене паролей (PCNS).

  • Установите службу PCNS в каждом контроллере домена.

  • Настройте в Active Directory имя субъекта-службы для учетной записи службы MIM.

  • Настройте взаимодействие службы PCNS с целевой службой MIM.

  • Настройте агенты управления для подключенных источников данных, для которых должна выполняться синхронизация паролей.

  • Включите синхронизацию паролей в MIM.

Дополнительные сведения о настройке синхронизации паролей см. в разделе "Использование синхронизации паролей".

Процесс синхронизации паролей

Процесс синхронизации запроса на смену пароля из контроллера домена Active Directory с другими подключенными источниками данных показан на приведенной ниже схеме.

  1. Пользователь инициирует запрос на изменение пароля, нажав клавиши CTRL+ALT+DEL. Запрос на изменение пароля, включая новый пароль, отправляется на ближайший контроллер домена.

  2. Контроллер домена регистрирует запрос на смену пароля и сообщает о нем фильтру уведомлений о смене паролей (Pcnsflt.dll).

  3. Фильтр уведомлений о смене паролей передает запрос службе уведомлений о смене паролей (PCNS).

  4. Служба PCNS проверяет запрос на смену пароля, а затем проверяет подлинность имени субъекта-службы (SPN) посредством Kerberos и перенаправляет запрос на смену пароля в виде зашифрованного RPC на конечный сервер MIM.

  5. MIM проверяет исходный контроллер домена, а затем использует доменное имя для определения агента управления, который обслуживает этот домен, и с помощью сведений об учетной записи пользователя в запросе на смену пароля находит соответствующий объект в пространстве соединителя.

  6. С помощью таблицы присоединения диспетчер MIM определяет агенты управления, которые должны получить сведения о смене пароля, и передает им эти сведения.

Защита синхронизации паролей

Для обеспечения безопасности синхронизации паролей были приняты указанные ниже меры.

  • Проверка подлинности из источника пароля — при получении уведомления о смене пароля выполняется проверка подлинности Kerberos как в MIM, так и в исходном контроллере домена для подтверждения действительности получателя и отправителя. При получении уведомления о смене пароля MIM проверяет, имеет ли вызывающий объект учетную запись в контейнере "Контроллеры домена" домена, к которому он относится.

  • Сбой синхронизации паролей с конечным источником данных из-за небезопасного подключения — если для агента управления настроено обязательное использование безопасного подключения, но оно не обнаружено, синхронизация завершается сбоем. Если для агента управления разрешено использование небезопасных подключений, синхронизация производится. Разрешать небезопасные подключения следует только после оценки связанных с этим рисков.

  • Безопасное хранение паролей — зашифрованные пароли хранятся в MIM временно. Все пароли, получаемые диспетчером MIM в процессе операций уведомления о смене пароля, шифруются, как только ни поступают на обработку в MIM. При успешной отправке пароля в подключенный источник данных он расшифровывается, а область памяти, в которой он хранился, очищается. Если произвести запись в подключенный источник данных не удается, зашифрованный пароль сохраняется до тех пор, пока не будет исчерпано максимальное количество повторных попыток, после чего он удаляется из памяти.

  • Безопасные очереди паролей — пароли, хранящиеся в очередях паролей PCNS, остаются зашифрованными, пока не будут доставлены.

Сценарии восстановления после ошибок синхронизации паролей

В идеале, когда пользователь меняет пароль, изменение должно синхронизироваться без ошибок. Ниже описывается, как диспетчер MIM осуществляет восстановление после типичных ошибок синхронизации.

  • Сбой передачи уведомления о смене пароля из Active Directory в MIM — причиной может быть отключение сети или недоступность сервера MIM. Уведомление о смене пароля помещается службой PCNS в локальную очередь в контроллере домена. Служба PCNS пытается отправить уведомление повторно в соответствии с заданным интервалом.

  • Сбой синхронизации паролей с конечным источником данных — причиной может быть отключение сети или недоступность конечного источника данных. Уведомление о смене пароля помещается в очередь. Попытки его повторной отправки производятся в соответствии с конфигурацией агента управления. Все пароли хранятся в зашифрованном виде и удаляются после успешного завершения операции или исчерпания числа повторных попыток.

  • Активация резервного сервера MIM после сбоя — на случай сбоя основного сервера MIM можно настроить резервный сервер для синхронизации паролей и активировать его без потери сведений о смене паролей. Дополнительные сведения см. в разделе MIISactivate: средство активации сервера.

Некоторые ошибки настолько серьезны, что успешное выполнение операции маловероятно вне зависимости от числа повторных попыток. В таком случае событие ошибки записывается в журнал и процесс останавливается. В случае следующих событий повторные попытки не производятся.

Событие Статус Описание
6919 Сведения Не удалось выполнить операцию установки синхронизации паролей в связи с устаревшей отметкой времени.
6921 Ошибка Операция установки синхронизации паролей не обработана, так как в целевом управляющем агенте не включено управление паролями.
6922 Ошибка Операция установки синхронизации паролей не обработана, так как в целевом управляющем агенте не настроено управление паролями.
6923 Предупреждение Операция установки синхронизации паролей не была выполнена, так как в подключенном каталоге не удалось обнаружить целевой объект пространства соединителя.
6927 Ошибка Ошибка операции установки синхронизации паролей; пароль не соответствует политике паролей целевой системы.
6928 Ошибка Ошибка операции установки синхронизации паролей; расширение пароля целевого управляющего агента не настроено для поддержки операций установки паролей.

Управление сменой паролей пользователями

MIM предоставляет два веб-приложения, которые используют инструментарий управления Windows (WMI) для сброса паролей. Так же как и в случае с синхронизацией паролей, управление паролями активируется при настройке агента управления в Management Agent Designer. Сведения об управлении паролями и WMI см. в справочнике разработчика MIM.

Во время установки MIM создаются две группы безопасности, которые предназначены для поддержки операций управления паролями.

  • FIMSyncBrowse — члены этой группы имеют разрешение на сбор сведений об учетных записях пользователей при выполнении операций поиска с помощью запросов WMI.

  • FIMSyncPasswordSet — члены этой группы имеют разрешение на выполнение операций поиска учетных записей, задания паролей и смены паролей с помощью интерфейсов управления паролями в WMI.