TIM - Active Directory Password Sync - Recursion control

Décidemment, la documentation IBM n'est pas un modèle du genre.

Récemment, nous avons été confrontés chez un client a un gros souci de synchronisation de mot de passe multiple, depuis Active Directory vers ITIM, cela fonctionnait correctement, mais dans le sens ITIM -> AD, les logs montraient le message :

Connect To Windows Active Directory Adapter Registry is disabled. Can not determine source of password change.
Wed Jun 06 16:52:43 00000284 This may lead to infinite password change cycle. You can use server side recurssion control.
Wed Jun 06 16:52:43 00000284 Sending request to server...
Wed Jun 06 16:52:43 00000284 User: ukr0007093  TargetDN: erservicename=AD-SERVICE,ou=UKR,ou=MYCOMP,o=IAM
Wed Jun 06 16:52:43 00000284 Response: <SYNCH_PSWDS_RESP code="failure" desc="CTGIME012E The password does not meet the requirements of the password rule. The following error occurred.
Error: CTGIMH020E The new password cannot be the same as any previously used passwords. "/>

Dans de nombreux endroits on parle du "server side recursion control", mais jamais de l'endroit où celà se paramètre.

Finalement, c'est un collègue Ukrainien qui m'a mis sur la piste, via l'URL : http://www-304.ibm.com/support/docview.wss?uid=swg1IZ73806

C'est dans le fichier <ITIM_HOME>/data/enRole.properties qu'il faut toucher, pour mettre la ligne :

enrole.passwordsynch.enabledonresource=true

Ceci remplace toutes les manipulations à faire dans la base de registre du contrôleur AD, tel que le décrit la note du support IBM : http://www-304.ibm.com/support/docview.wss?uid=swg21174730

On peut également fixer le temps (en secondes) pendant lequel on considère que le changement qui provient d'une source est du fait d'une synchronisation de mot de passe

## Specifies the maximum duration in seconds between a password change
## request sent from ITIM to remote agent, and recieving a reverse password
## synch request from the plugin installed on the remote resource.
## Default: 60 (sec)
enrole.passwordsynch.toleranceperiod=60

La documentation d'installation du Plug-In ne mentionne à aucun endroit ce paramétrage ; elle continue à lister les modifications dans la base de registre...

Addendum

Ce nouveau paramétrage n'est pris en compte que pour les plug-in 5.1. J'ai eu le cas récemment d'un utilisateur qui avait 2 comptes AD : l'un sur un contrôleur Windows 2008, avec le plug-in 5.1 et l'autre sur un contrôleur de domaine Windows 2003, avec un plug-in 4.6 pré-existant, que nous avons juste re-paramétré pour qu'il pointe sur le serveur ITIM 5.1

Résultat : un changement de mot de passe sur le serveur Windows 2008 a déclenché un cycle de changement de mots de passe en boucle. L'AD 2003 a reçu le mot de passe, l'a transmis à ITIM, qui l'a transmis à l'AD2008, qui a remonté le mot de passe, etc.

Si ce genre de situation est rare (2 comptes AD sur des serveurs différents), cela risque à terme de devoir nous pousser à réinstaller le plug-in 5.1 sur tous les serveurs (300 environ), ce que nous pensions éviter...

 

Catégorie: 

Tag: