Как настроить синхронизацию паролей между двумя доменами Active Directory с помощью Microsoft Identity Manager PCNS?
У меня есть два домена с двусторонними доверительными отношениями (выборочная аутентификация). Microsoft Identity Manager установлен, настроен, а служба уведомлений об изменении пароля настроена и правильно доставляет изменения пароля с RPC-запросами в целевую службу FIMSyncronization (проверка подлинности Kerberos также работает правильно).
В MIM настроены два агента управления AD: один для "исходного" домена, а другой для "целевого" домена.
Какие атрибуты и правила соединения / проекции необходимо настроить, чтобы разрешить синхронизацию паролей на "исходном" агенте и "целевом" агенте?
Официальная документация неясна по этому вопросу, и все примеры в Интернете не дают никаких подсказок относительно необходимых правил / атрибутов / сопоставления для синхронизации паролей.
Кроме того, атрибут "unicodePwd" предназначен только для записи в Active Directory, и, похоже, в Metaverse нет соответствующих атрибутов для хранения этого хэша пароля.
1 ответ
Как правило, у вас есть правило проекции в исходной MA для генерации объекта в метавселенной вместе с хотя бы одним потоком атрибута импорта в индексированный атрибут - скажем, sAMAccountName, employeeID и т. Д.
У вас также будет одно правило соединения в целевой МА, чтобы связать целевые учетные записи с объектами метавселенной, созданными вашей исходной МА.
Как только учетные записи будут связаны, и служба синхронизации паролей получит уведомление о новом пароле, пароль будет отправлен цели без необходимости в дополнительных потоках атрибутов.