Novell 密码

Novell 密码

我想了解一下如何在 Novell 上设置“通用”密码。在 consoleone 中,在我的 eDirectory 树下,我单击属性,在“登录方法”下有多个密码:NDS、增强型和简单型。在 Unix、Groupwise 和限制下也有密码。

限制页面

出于习惯,我们一直在“限制”下更改密码,但我们不知道这实际上更改的是什么密码。人们可以使用该密码登录 Netware/eDirectory 及其 Groupwise 电子邮件帐户。

最近我们发现,更改简单密码可以让简单密码和在限制下更改的密码都起作用。如果我们选择所有用户并更改简单密码,我们基本上可以为自己创建一个管理员密码。这是最好的方法吗?

答案1

Novell 最初使用 Netware 和一个名为 Bindery 的用户数据库。当时和现在一样,密码都是基于 RSA 私钥/公钥对。

在 Netware 4.0 中,NDS 保留了相同的基本密码方法,而且相当安全。

使用 eDirectory(NDS 更名为 eDirectory,大约在 eDirectory 8.x 版本,大约在 Netware 6.x 时间范围内)时,他们需要支持可逆密码,而 RSA 密钥对肯定不支持。

他们需要这个来支持 NFS、SMB 和 AFP。因为 SMB 使用 MD4 或 MD5 哈希,NFS 使用 MD5 或 MD4(我永远无法把这两个分开,而且这基本上也不重要)。Mac 使用双向随机数进行身份验证,并要求使用明文密码进行比较。

第一次尝试是所谓的简单密码,这是一个很好的尝试,但并没有解决所有的问题。

第二次尝试是通用密码,似乎效果很好。UP 存储在隐藏属性中(其保护方式与 eDir 中保护私钥的方式非常相似,而且也很难访问)。

让您感到困惑的是,UP 不是通过登录方法或类似方法实现的,而是作为基本密码功能的一部分内置于 eDirectory 中,就像 RSA 密钥对不是登录方法而是内置的一样。

在 Simple/UP 出现之前,曾有一种增强密码登录方法尝试实现一些所需的功能,但这也不是最好的方法。

无论如何,要启用通用密码(默认情况下未启用),您需要创建一个密码策略(使用 iManager 作为 TheDave1022 的注释),并分配它。

继承方式有一些微妙之处。您可以为安全容器(位于树的根部)中的登录策略对象分配一个策略,该策略将应用于树中每个带有密码的对象。简单又方便。

您可以将它应用于大多数容器对象(我记得不是 Country 对象,尽管我认为我现在知道如何解决这个问题。O、OU,最常见的类型都可以很好地工作),并且它将应用于所有直接子对象。

为了使其继承多个级别,OU/O 必须是 eDirectory 分区边界。

最低级别的分配将覆盖任何更高级别的分配。因此,为整个树的 Login Policy.Security 对象分配最严格的策略,然后为您喜欢的 Friends.users.acme 容器中的人员分配更合理的策略,以使他们的生活更轻松。

然后你遇到了一个让你在会计部门的生活变得地狱般的笨蛋,所以为 Bozo.Accounting.people.acme 分配一个新策略并让他要求使用 92 个字符的密码,其中包含 6 个非 ASCII 字符。

管他呢。

一旦启用它,通过启用 NMAS 的客户端所做的任何密码更改都将设置 UP(以及 Simple 和 NDS,如果您的策略表示要同步到所有这些密码。可根据需要轻松更改选项)。

启用 NMAS 的客户端是具有 NMAS(Novell 模块化身份验证服务,客户端安装的默认部分,除非您特别选择不这样做)、iManager 和所有执行密码更改的 LDAP 应用程序的客户端 32 用户,因为 Novell 的 LDAP 服务启用了 NMAS。针对 OES(Netware 或 Linux 内核)CIFS/AFP 服务的 CIFS/AFP 客户端。(OES 1 使用 Samba,我认为它没有启用 NMAS,但 OES2 使用 Netware CIFS 服务的端口,它比 Samba 更具可扩展性)。

因此基本上,未启用 NMAS 的客户端的唯一情况是客户端 32,您没有在其上安装 NMAS。

还有一个已知的错误案例,即较旧的 ConsoleOne 安装,其中 C1 目录结构中有一个 NMAS.DLL 文件。这是残留文件,需要删除。

密码策略中的一个选项是“允许管理员检索密码”,然后指定允许的特定用户。然后您可以使用 Jim Willeke 真正出色的通用密码诊断工具它将向您显示密码设置的内容(如果策略允许),是否与 NDS 密码匹配,以及简单密码和更多诊断信息。没有它很难工作!

答案2

通用密码是通过 iManager 设置的。如果您尚未安装,请访问 novell 网站并下载最新版本并安装。登录 iManager 后,您需要转到密码,然后转到密码策略。创建新的密码策略并将其分配给用户或容器。

在下次更改密码时,用户现在应该已关联了新的密码策略。您将在控制台 1 中的受限选项卡中看到您的设置。(将新策略设置为略有不同的设置以进行测试可能是件好事)。

我相信您需要将 NMAS 安装为 Novell 客户端的一部分,以便通过 ConsoleOne 正确进行密码重置。

答案3

如果您的站点尚未启用 UP(即您有一个长期的 Novell 安装),那么在打开它之前,您需要确保您的环境是干净的(相对较新的 eDir 版本 - 8.7.3.10 或 8.8.5,服务器证书良好且未过期,服务器操作系统已修补,DNS 和 SLP 配置正确,每个服务器都有一个 DNS 地址,eDirectory 树是健康的,等等。等等。您还需要为用户提供密码策略,并且首次设置 UP 时,用户可能必须更改他们的密码,以便将密码写入 UP 存储而不仅仅是 NDS 密码存储。

您可以将 ConsoleOne 与 UP(而不是 iManager)一起使用,但需要将其修补到最新版本才能使其完全支持 UP。

通过 Novell Patchfinder 获取补丁: http://download.novell.com/patch/finder/

通用密码文档位于: http://www.novell.com/documentation/password_management33/ (我强烈建议阅读它。UP 对于现代 Novell 网络来说是必备的,但首次实施确实需要一些规划。)

相关内容