Novell密码

Question

我正在寻找一些澄清，我应该如何去做一个“通用”密码的Novell。在我的eDirectory树下的控制台中，我单击属性，在登录方法下有几个密码: NDS，增强的和简单的。在Unix、Groupwise和限制条件下也有密码。

限制页

出于习惯，我们一直在限制下修改密码，但我们不知道这到底是在改变什么密码。人们可以使用这个密码登录到Netware/eDirectory和他们的Groupwise电子邮件帐户。

最近我们发现，更改简单密码既允许使用简单密码，也允许在限制条件下更改密码。如果我们选择所有用户并更改简单的密码，我们基本上可以为自己创建一个管理员密码。这是最好的方法吗？

Answer 1

Novell从Netware开始，它有一个名为Bin类库的用户数据库。当时和现在一样，密码是基于RSA私钥/公钥对的。

在Netware4.0中使用NDS时，它们保持了相同的基本密码方法，并且相当安全。

使用eDirectory ( NDS被重命名为eDirectory的版本8.x，也就是Netware6.x的时间框架)，他们需要支持可逆的密码，而RSA密钥对绝对不是。

他们需要NFS，SMB和AFP的支持。因为SMB使用MD4或MD5散列，所以NFS使用MD5或MD4 (我永远不能保持这两者的直线，基本上也不重要)。Mac使用双向随机数进行比较，并需要一个明文密码来进行比较。

第一次尝试称为简单密码，这是一个很好的第一次尝试，但没有解决所有的问题。

第二次尝试是通用密码，它似乎运行得很好。UP存储在一个隐藏属性中(它受到保护的方式与私有密钥在eDir中受到保护的方式基本相同，而且也很难获得访问)。

在出现混淆的地方，是UP不是通过Login方法实现的，或者类似的，它是作为基本密码功能的一部分内置到eDirectory中的，就像RSA密钥对不是登录方法，而是内置的。

在Simple/UP尝试实现一些所需的功能之前，有一个增强的密码登录方法，但这也不是最好的方法。

无论如何，要启用通用密码(默认情况下没有启用)，您需要创建一个密码策略(使用iManager作为TheDave1022注释)，并分配它。

它的继承方式有一些微妙之处。您可以将策略分配给安全容器中的Login策略对象(位于树的根处)，该策略适用于树中具有密码的每个对象。又好又轻松。

您可以将它应用于大多数容器对象(正如我所记得的那样，不是国家对象，尽管我现在知道如何解决这个问题。哦，OU，最常见的类型工作得很好)，它将适用于所有直接的孩子。

为了使其继承多个级别，OU/O必须是一个eDirectory分区边界。

最低级别的外派将覆盖任何较高的外派。因此，为整个树指定最严格的Login Policy.Security对象，然后为您喜欢的Friends.users.acme容器中的人提供更合理的策略，以使他们的生活更轻松。

然后你有一个让你的生活在会计地狱的笨蛋，所以给Bozo.Accounting.people.acme分配一个新的策略，让他需要92个字符密码，有6个非ASCII字符。

或者别的什么。

一旦启用了密码，通过启用NMAS的客户端所做的任何密码更改都将设置(如果您的策略要求同步到所有这些密码，则设置简单和NDS )。根据需要进行更改的简单选项)。

启用NMAS的客户端是具有NMAS (Novell模块身份验证服务，客户端安装的默认部分，除非您特别选择不太)的客户端32的用户，iManager，所有自Novell的LDAP服务启用以来进行密码更改的LDAP应用程序。CIFS/AFP客户端针对OES (Netware或Linux内核) CIFS/AFP服务。(OES 1使用Samba，我认为它没有启用NMAS，但是OES2使用Netware服务的一个端口，它比Samba更具可伸缩性)。

因此，基本上，启用非NMAS的客户端的唯一情况是客户端32，您没有在其上专门安装NMAS。

还有一个已知的错误案例，即一个较旧的ConsoleOne安装，其中C1目录结构中有一个NMAS.DLL文件。这是一个剩余物，需要移除。

密码策略中的一个选项是“允许管理员检索密码”，然后指定允许的特定用户。然后，您可以使用Jim真正优秀的通用密码诊断工具，它也将向您展示设置了什么密码(如果策略允许的话)，如果它与NDS密码匹配，以及简单的密码和更多的诊断工具。没有它很难工作！

Answer 2

通用密码是通过iManager设置的。如果您没有安装它，请转到novell网站下载最新版本并安装。一旦您登录到iManager，您将需要转到密码，然后密码策略。创建新的密码策略并将其分配给用户或容器。

在下一个密码更改时，用户现在应该有关联的新密码策略。您将在控制台1中，在“受限”选项卡中看到您的设置。(将新策略设置为稍微不同的测试设置可能是件好事)。

我相信您需要安装NMAS作为novell客户端的一部分，这样才能通过ConsoleOne正确地重新设置密码。

Answer 3

如果您的站点还没有启用(即您有一个长期的Novell安装)，那么在打开服务器之前，您需要确保您的环境是干净的--相对较新的eDir版本-- 8.7.3.10或8.8.5，服务器证书是好的而不是过期的，服务器OS被修补，DNS和SLP被正确配置，每个服务器都有一个DNS地址，eDirectory树等等。您还需要为用户提供密码策略，并且为了第一次设置，用户可能必须更改他们的密码，以便将其写入UP存储，而不仅仅是NDS密码存储。

您可以在UP中使用ConsoleOne (而不是iManager)，但是您需要将它修补到最新版本，以使它完全了解起来。

通过Novell获得补丁：http://download.novell.com/patch/finder/

通用密码文档位于：http://www.novell.com/documentation/password_管理33/ (我强烈建议阅读它)。对于现代Novell网络来说，UP是必须的，但是第一次实现确实需要一些计划。)