Synchronizace hesel mezi doménou MS Windows a CzechIdM

CzechIdM umožňuje snadno měnit hesla v doméně MS Windows ať už je doména realizována v rámci MS Active Directory nebo na Sambě. V opačném směru – z domény do CzechIdM zatím předávání hesel nebylo možné (jiné atributy se běžně přebírají).

Synchronizace hesla z domény do CzechIdM umožní přímou změnu hesel ve všech aplikacích napojených na CzechIdM pouhou změnou z MS Windows tak jak jsou uživatelé heslo měnit standardně.

Dialog změny hesla ve Windows 7

V podnikové síti používají uživatelé větší množství aplikací, v každé aplikaci mají svůj účet a samozřejmě své heslo. Často se uživatelé snaží udržet ve všech aplikacích stejné heslo. V případě změny expirovaného hesla ve Windows čeká uživatele „kolečko“ se změnou hesel na všech dalších účtech. Nasazením CzechIdM získají uživatelé možnost snadné změny hesel ze samoobslužného webového rozhraní. Uživatelé si mohou z jednoho místa změnit heslo zároveň do všech aplikací spravovaných z CzechIdM.

Aby se uživatel nemusel pro změnu hesla přihlašovat do CzechIdM začali jsme pracovat na pluginu pro synchronizaci hesel přímo z domény MS Windows. Stačí aby si uživatel změnil heslo ve Windows a heslo bude automaticky zpropagováno do CzechIdM kde se provede (v závislosti na nastavení) automatická změna v aplikacích kde má uživatel účet.

Synchronizaci hesla připravujeme tak aby fungovala jak pro doménu postavenou nad MS Active Directory tak i nad Sambou. Na straně CzechIdM využijeme existující rozhraní webových služeb. Na straně domény využijeme standardního rozhraní operačního systému –  v případě domény MS Active Directory budeme používat password filter, u Samby budeme mít vlastní PAM modul.

Požadavky, které bude synchronizace splňovat:

  • Předání hesla uživatelského účtu z domény MS Windows do CzechIdM
  • Validace hesla proti politice hesel v CzechIdM
  • Instalace a konfigurace pouze v CzechIdM a na doménovém řadiči. Na straně klientských stanic nebude žádná změna.