Udostępnij za pośrednictwem


Zarządzanie hasłami programu Microsoft Identity Manager 2016

Zarządzanie hasłami dla wielu kont użytkowników jest jedną z złożoności zarządzania środowiskiem przedsiębiorstwa z wieloma źródłami danych. Program Microsoft Identity Manager 2016 (MIM) udostępnia dwa rozwiązania do zarządzania hasłami:

  • Synchronizacja haseł — używa usługi powiadamiania o zmianie hasła (PCNS), aby przechwycić zmiany haseł z usługi Active Directory i propagować je do innych połączonych źródeł danych.

  • Zarządzanie zmianami haseł oparte na użytkownikach — korzysta z instrumentacji zarządzania Windows (WMI) za pośrednictwem internetowych pomocy technicznej i samoobsługowych aplikacji resetowania haseł.

Korzystając z synchronizacji haseł i zarządzania zmianami haseł opartymi na użytkownikach, można wykonywać następujące czynności:

  • Zmniejsz liczbę różnych haseł, które użytkownicy muszą zapamiętać.

  • Jednocześnie ustaw lub zmień hasła w wielu kontach użytkownika na to samo hasło.

  • Zezwalaj użytkownikom na zmianę własnych haseł w usłudze Active Directory i wypychanie zmiany hasła do innych systemów.

  • Eliminowanie ryzyka utworzenia dodatkowego magazynu haseł lub poświadczeń.

  • Zsynchronizuj hasła w wielu źródłach danych przy użyciu usługi Active Directory jako autorytatywnego źródła.

  • Wykonywanie operacji zarządzania hasłami w czasie rzeczywistym niezależnie od operacji programu MIM.

Rozszerzenia haseł

Agenci zarządzania dla serwerów katalogów domyślnie obsługują operacje zmiany haseł i ustawiania. W przypadku agentów zarządzania łącznością opartych na plikach, bazach danych i rozszerzalnych, które domyślnie nie obsługują zmian haseł i ustawiania haseł, można utworzyć bibliotekę dynamicznego linku rozszerzenia haseł platformy .NET (DLL). Biblioteka DLL rozszerzenia haseł platformy .NET jest wywoływana za każdym razem, gdy zostanie wywołana zmiana hasła lub wywołanie zestawu dla dowolnego z tych agentów zarządzania. Ustawienia rozszerzenia hasła są konfigurowane dla tych agentów zarządzania w programie Synchronization Service Manager. Aby uzyskać więcej informacji na temat konfigurowania rozszerzeń haseł, zobacz dokumentację dla deweloperów programu FIM.

Zarządzanie hasłami jest domyślnie obsługiwane przez agentów zarządzania dla: Za pomocą rozszerzenia hasła zarządzanie hasłami jest również obsługiwane w agentach zarządzania dla:
Active Directory Pliki tekstowe pary atrybut-wartość
Active Directory Lightweight Directory Services (ADLDS) Rozdzielane pliki tekstowe
IBM Directory Server Directory Services Markup Language (DSML)
Lotus Notes Rozszerzalna łączność
Novell eDirectory Pliki tekstowe o stałej szerokości
Serwery katalogów Sun i Netscape Uniwersalna baza danych IBM DB2
Format wymiany danych LDAP (LDIF)
Microsoft SQL Server
Baza danych Oracle

Synchronizacja haseł

Synchronizacja haseł współpracuje z usługą powiadamiania o zmianie hasła (PCNS) w domenie usługi Active Directory i umożliwia automatyczne propagowanie zmian haseł pochodzących z usługi Active Directory do innych połączonych źródeł danych. Program MIM to umożliwia uruchomienie jako serwera wywołania procedury zdalnej (RPC), który nasłuchuje powiadomienia o zmianie hasła z kontrolera domeny usługi Active Directory. Po odebraniu i uwierzytelnieniu żądania zmiany hasła jest ono przetwarzane przez program MIM i propagowane do odpowiednich agentów zarządzania.

Ważne

Synchronizacja haseł dwukierunkowych nie jest obsługiwana przez program MIM. Skonfigurowanie dwukierunkowej synchronizacji haseł może utworzyć pętlę, która będzie zużywać zasoby serwera i mieć potencjalnie negatywny wpływ zarówno na usługę Active Directory, jak i program MIM.

Usługa PCNS działa na każdym kontrolerze domeny usługi Active Directory. Systemy odbierające powiadomienia o hasłach są nazywane obiektami docelowymi. Przed wysłaniem powiadomień o haśle należy skonfigurować serwer MIM jako element docelowy usługi PCNS w usłudze Active Directory. Konfiguracja usługi PCNS musi definiować grupę dołączania i opcjonalnie grupę wykluczeń. Te grupy służą do ograniczania przepływu poufnych haseł z domeny. Na przykład aby wysyłać hasła dla wszystkich użytkowników, ale nie wysyłać haseł administracyjnych, możesz użyć użytkowników domeny jako grupy dołączania, a administratorzy domeny jako grupy wykluczeń. Aby uzyskać więcej informacji na temat konfigurowania usługi powiadamiania o zmianie hasła, zobacz Using Password Synchronization

Składniki związane z procesem synchronizacji haseł to:

  • usługa powiadamiania o zmianie hasła (Pcnssvc.exe)— usługa powiadamiania o zmianie hasła jest uruchamiana na kontrolerze domeny i jest odpowiedzialna za odbieranie powiadomień o zmianie hasła z lokalnego filtru haseł, kolejkowanie ich dla serwera docelowego z uruchomionym programem MIM i używanie RPC do dostarczania powiadomień. Usługa szyfruje hasło i zapewnia, że hasło pozostanie bezpieczne do momentu pomyślnego dostarczenia go na serwer docelowy z uruchomionym programem MIM.

  • główna nazwa usługi (SPN) — nazwa SPN jest właściwością obiektu konta w usłudze Active Directory, która jest używana przez protokół Kerberos do wzajemnie uwierzytelnienia usługi PCNS i obiektu docelowego. Nazwa SPN gwarantuje, że usługa PCNS uwierzytelnia się na poprawnym serwerze z uruchomionym programem MIM i że żadna inna usługa nie może otrzymywać powiadomień o zmianie hasła. Nazwa SPN jest tworzona i przypisywana przy użyciu narzędzia setspn.exe. Aby uzyskać więcej informacji na temat konfigurowania nazwy SPN, zobacz Using Password Synchronization (Korzystanie z synchronizacji haseł).

  • Filtr powiadomień o zmianie hasła (Pcnsflt.dll) — filtr haseł jest używany do uzyskiwania haseł w postaci zwykłego tekstu z usługi Active Directory. Ten filtr jest ładowany przez urząd zabezpieczeń lokalnych (LSA) na każdym kontrolerze domeny systemu Windows Server uczestniczącym w dystrybucji haseł na serwerze docelowym z uruchomionym programem MIM. Po zainstalowaniu filtru i ponownym uruchomieniu kontrolera domeny filtr zaczyna otrzymywać powiadomienia o zmianie hasła dla zmian haseł pochodzących z tego kontrolera domeny. Filtr powiadomień o hasłach jest uruchamiany jednocześnie z innymi filtrami uruchomionymi na kontrolerze domeny.

  • narzędzie konfiguracji usługi powiadamiania o zmianie hasła (Pcnscfg.exe) — narzędzie pcnscfg.exe służy do zarządzania parametrami konfiguracji usługi powiadamiania o zmianie hasła przechowywanymi w usłudze Active Directory i konserwowania ich. Te parametry konfiguracji, takie jak definiowanie serwerów docelowych, interwał ponawiania próby kolejki haseł i włączanie lub wyłączanie serwera docelowego, są używane podczas uwierzytelniania i wysyłania powiadomień haseł do serwera docelowego z uruchomionym programem MIM. Konfiguracja usługi jest przechowywana w usłudze Active Directory, dlatego konieczne jest tylko zaktualizowanie konfiguracji na jednym kontrolerze domeny. Usługa Active Directory replikuje zmianę do wszystkich innych kontrolerów domeny.

  • serwera zdalnego wywołania procedury (RPC) na serwerze z uruchomionym programem MIM — po włączeniu synchronizacji haseł serwer RPC na serwerze z uruchomionym programem MIM umożliwia odbieranie powiadomień z usługi powiadamiania o zmianie hasła. RPC dynamicznie wybiera zakres portów do użycia. Jeśli program MIM musi komunikować się z lasem usługi Active Directory za pośrednictwem zapory, musisz otworzyć zakres portów.

  • biblioteki DLL rozszerzenia haseł — biblioteka DLL rozszerzenia haseł umożliwia zaimplementowanie operacji ustawiania lub zmieniania haseł za pomocą rozszerzenia reguł dla dowolnej bazy danych, rozszerzalnej łączności lub agenta zarządzania opartego na plikach. Jest to realizowane przez utworzenie atrybutu szyfrowanego tylko do eksportu o nazwie "export_password", który nie istnieje w połączonym katalogu, ale może być dostępny i ustawiony w rozszerzeniach reguł aprowizacji lub może być używany podczas przepływu atrybutów eksportu. Aby uzyskać więcej informacji na temat konfigurowania rozszerzeń haseł, zobacz dokumentacja dla deweloperów programu FIM.

Przygotowywanie do synchronizacji haseł

Przed skonfigurowaniem synchronizacji haseł dla środowiska programu MIM i usługi Active Directory sprawdź następujące kwestie:

  • Program MIM jest instalowany zgodnie z instrukcjami instalacji.

  • Agenci zarządzania połączonych źródeł danych, które mają być zarządzane na potrzeby synchronizacji haseł, są już tworzone, a obiekty są pomyślnie przyłączane i synchronizowane.

Aby skonfigurować synchronizację haseł:

  • Rozszerz schemat usługi Active Directory, aby dodać klasy i atrybuty niezbędne do zainstalowania i uruchomienia usługi powiadamiania o zmianie hasła (PCNS).

  • Zainstaluj usługę PCNS na każdym kontrolerze domeny.

  • Skonfiguruj nazwę główną usługi (SPN) w usłudze Active Directory dla konta usługi MIM.

  • Skonfiguruj usługę PCNS do komunikowania się z docelową usługą MIM.

  • Skonfiguruj agentów zarządzania dla połączonych źródeł danych, które mają być zarządzane na potrzeby synchronizacji haseł.

  • Włącz synchronizację haseł w programie MIM.

Aby uzyskać więcej informacji na temat konfigurowania synchronizacji haseł, zobacz Using Password Synchronization (Korzystanie z synchronizacji haseł).

Proces synchronizacji haseł

Proces synchronizowania żądania zmiany hasła z kontrolera domeny usługi Active Directory z innymi połączonymi źródłami danych jest pokazany na poniższym diagramie:

  1. Użytkownik inicjuje żądanie zmiany hasła, naciskając Ctrl+Alt+Del. Żądanie zmiany hasła, w tym nowe hasło, jest wysyłane do najbliższego kontrolera domeny.

  2. Kontroler domeny rejestruje żądanie zmiany hasła i powiadamia filtr powiadomienia o zmianie hasła (Pcnsflt.dll).

  3. Filtr powiadomień o zmianie hasła przekazuje żądanie do usługi powiadamiania o zmianie hasła (PCNS).

  4. Usługa PCNS weryfikuje żądanie zmiany hasła, a następnie uwierzytelnia nazwę główną usługi (SPN) przy użyciu protokołu Kerberos i przekazuje żądanie zmiany hasła w zaszyfrowanym wywołaniu RPC do serwera docelowego programu MIM.

  5. Program MIM weryfikuje źródłowy kontroler domeny, a następnie używa nazwy domeny do lokalizowania agenta zarządzania, który obsługuje tę domenę, i używa informacji o koncie użytkownika w żądaniu zmiany hasła w celu zlokalizowania odpowiedniego obiektu w przestrzeni łącznika.

  6. Korzystając z informacji o tabeli sprzężenia, program MIM określa agentów zarządzania, którzy otrzymują zmianę hasła, i wypycha do nich zmianę hasła.

Zabezpieczenia synchronizacji haseł

Rozwiązano następujące problemy z zabezpieczeniami synchronizacji haseł:

  • Uwierzytelnianie ze źródła hasła — po odebraniu powiadomienia o zmianie hasła uwierzytelnianie Kerberos odbywa się przez program MIM, a także źródłowy kontroler domeny, aby upewnić się, że zarówno odbiorca, jak i nadawca są prawidłowe. Po otrzymaniu powiadomienia o zmianie hasła program MIM gwarantuje, że obiekt wywołujący ma konto w kontenerze Kontrolery domeny domeny, do którego należy.

  • Synchronizacja haseł nie powiodła się w docelowym źródle danych z powodu niezabezpieczonego połączenia — jeśli agent zarządzania został skonfigurowany tak, aby wymagał bezpiecznego połączenia, ale nie został wykryty, synchronizacja zakończy się niepowodzeniem. Synchronizacja nadal występuje, jeśli agent zarządzania został skonfigurowany tak, aby zezwalał na niezabezpieczone połączenia. Zezwalanie na połączenia niezabezpieczone powinno być włączone tylko po zbadaniu i zrozumieniu zaangażowanych zagrożeń.

  • Bezpieczny magazyn haseł — program MIM tymczasowo przechowuje tylko zaszyfrowane hasła. Wszystkie hasła odebrane przez program MIM podczas operacji powiadamiania o zmianie hasła są szyfrowane natychmiast po wprowadzeniu procesu programu MIM. Po pomyślnym wysłaniu ich do docelowego połączonego źródła danych zostaną odszyfrowane, a pamięć przechowującą hasło zostanie natychmiast wyczyszczone. Jeśli operacja nie powiedzie się zapisać w docelowym połączonym źródle danych, zaszyfrowane hasło jest przechowywane do momentu próby wykonania wszystkich ponownych prób, a następnie zostanie wyczyszczone z pamięci.

  • Bezpieczne kolejki haseł — hasła przechowywane w kolejkach haseł USŁUGI PCNS są szyfrowane do momentu ich dostarczenia.

Scenariusze odzyskiwania błędów synchronizacji haseł

Najlepiej, gdy użytkownik zmieni hasło, zmiana jest synchronizowana bez błędów. W poniższych scenariuszach opisano sposób odzyskiwania programu MIM po typowych błędach synchronizacji:

  • Powiadomienie o nieudanym haśle z usługi Active Directory do programu MIM — może się to zdarzyć, jeśli sieć nie działa lub serwer z uruchomionym programem MIM jest niedostępny. Powiadomienie o zmianie hasła pozostaje w kolejce lokalnie na kontrolerze domeny przez usługę PCNS. Usługa PCNS ponownie odcięła powiadomienie zgodnie z konfiguracją interwału ponawiania prób.

  • Nieudana synchronizacja haseł z docelowym źródłem danych — może to również wystąpić, jeśli sieć nie działa lub docelowe źródło danych jest niedostępne. Powiadomienie o zmianie hasła jest kolejkowane i ponawiane zgodnie z konfiguracją agenta zarządzania w celu ponawiania próby i interwału ponawiania prób. Wszystkie hasła są szyfrowane podczas ich przechowywania na potrzeby ponawiania próby i usuwane po pomyślnym zakończeniu operacji lub osiągnięciu limitów ponawiania prób.

  • Aktywowanie ciepłego serwera rezerwowego z uruchomionym programem MIM po awarii — w przypadku awarii serwera podstawowego z uruchomionym programem MIM można skonfigurować ciepły serwer rezerwowy na potrzeby synchronizacji haseł i aktywować go bez utraty zmian haseł. Aby uzyskać więcej informacji, zobacz MIISactivate: Server Activation Tool

Niektóre błędy są na tyle poważne, że żadna ilość ponownych prób prawdopodobnie nie spowoduje pomyślnej operacji. W takich przypadkach rejestrowane jest zdarzenie błędu i proces jest zatrzymany. Następujące zdarzenia nie są ponawiane:

Zdarzenie Dotkliwość Opis
6919 Informacja Nie wykonano operacji zestawu synchronizacji haseł, ponieważ sygnatura czasowa była nieaktualna.
6921 Błąd Operacja zestawu synchronizacji haseł nie została przetworzona, ponieważ zarządzanie hasłami nie jest włączone w docelowym agencie zarządzania.
6922 Błąd Operacja zestawu synchronizacji haseł nie została przetworzona, ponieważ zarządzanie hasłami nie jest skonfigurowane na docelowym agencie zarządzania.
6923 Ostrzeżenie Operacja zestawu synchronizacji haseł nie została przetworzona, ponieważ nie można odnaleźć obiektu przestrzeni łącznika docelowego w połączonym katalogu.
6927 Błąd Operacja zestawu synchronizacji haseł nie powiodła się, ponieważ hasło nie spełnia zasad haseł systemu docelowego.
6928 Błąd Operacja zestawu synchronizacji haseł nie powiodła się, ponieważ rozszerzenie hasła dla docelowego agenta zarządzania nie jest skonfigurowane do obsługi operacji zestawu haseł.

Zarządzanie zmianami haseł opartymi na użytkownikach

Program MIM udostępnia dwie aplikacje internetowe korzystające z instrumentacji zarządzania Windows (WMI) do resetowania haseł. Podobnie jak w przypadku synchronizacji haseł, zarządzanie hasłami jest aktywowane podczas konfigurowania agenta zarządzania w projektancie agentów zarządzania. Aby uzyskać informacje na temat zarządzania hasłami i usługi WMI, zobacz dokumentację dla deweloperów programu MIM.

Program MIM tworzy dwie grupy zabezpieczeń podczas instalacji, które obsługują operacje zarządzania hasłami:

  • FIMSyncBrowse — członkowie tej grupy mają uprawnienia do zbierania informacji o kontach użytkownika podczas wykonywania operacji wyszukiwania za pomocą zapytań WMI.

  • FIMSyncPasswordSet — członkowie tej grupy mają uprawnienia do wykonywania operacji wyszukiwania kont, ustawiania haseł i zmiany haseł przy użyciu interfejsów zarządzania hasłami w usłudze WMI.