FIM : configurer Microsoft Password Change Notification Service (PCNS)

Cet article décrit comment configurer PCNS (Password Change Notification Service) dans une infrastructure Microsoft.

PCNS permet de synchroniser les mots de passe réinitialisés depuis Active Directory (AD) vers Forefront Identity Manager (FIM). FIM, propage ensuite le mot de passe sur les Management Agent configurés.

Prérequis et recommandations

La première étape consiste à installer PCNS sur les contrôleurs de domaine.

Pour cela, je vous invite à suivre l'article suivant : FIM : installer Microsoft Password Change Notification Service (PCNS)

 

Configuration de PCNS sur le DC

La première étape consiste à placer le Service Principal Name (SPN).

Voici la commande à passer :

setspn -A PCNSCLNT/srv-fimengine.main.consulting.com main\svc_fimsync

 

Il est nécessaire de réaliser la même commande si vous disposez d'un second serveur FIM (PRA / Haute Dispo en mode dégradé...).

Vérifiez la bonne création du SPN, soit en ligne de commande, soit directement en interface graphique.

setspn -L main\svc_fimsync

 

La prochaine étape consiste à configurer PCNS afin de lui indiquer le serveur FIM cible ainsi que les groupe à inclure et à exclure pour le service de synchronisation de mot de passe :

pcnscfg.exe addTarget /N:FIMENGINE /A:srv-fimengine.main.consulting.com /S:PCNSCLNT/srv-fimengine.main.consulting.com /FI:"Domain Users" /FE:"Domain Admins" /f:3

 

Dans cette exemple, je synchroniserai les mots de passe pour les Utilisateurs du domaine et le FQDN de mon serveur FIM est srv-fimengine.main.consulting.com. Je veille à exclure le synchronisation des mots de passe pour les comptes présents dans le groupe Administrateurs du domaine.

Voila la liste des arguments :

Parameter

Description

/N

Unique name of the target

/A

FQDN of the target

/S

SPN of the target (that you added above)

/FI

The filter inclusion group. Note that this is a group and not an organizational unit.

/FE

Filters groups whose passwords you don’t want synchronized (“Domain Admins" for example)

/F

User name format delivered to the target (1 = FQDN)

/I

Keep-alive interval in seconds

/WL

Logs a warning if the queue reaches or exceeds this length

/WI

Interval to log the queue length warning in minutes

 

Le connecteur entre AD et FIM est maintenant opérationnel. Le connecteur est créé dans un conteneur Active Directory et vous pouvez vérifier cela en allant dans (dans mon cas) : CN=Password Change Notification Service, CN=System,DC=main, DC=consulting, DC=com

 

 

 

Configuration de PCNS dans FIM

Nous allons maintenant configurer PCNS dans le moteur de synchronisation de FIM.

Dans un premier temps, il est nécessaire de configurer le MA Active Directory qui sera à l'origine de la synchronisation des mots de passe.

Activez l'option password synchronization settings en le configurant comme vous le souhaitez (notamment le fait de débloquer un compte automatiquement après le reset du password).

 

Il est ensuite nécessaire de sélectionner les différents MA cible qui propagerons le mot de passe. Dans cette exemple, le mot de passe est uniquement synchronisé avec mon annuaire AD LDS (Installer une instance AD LDS [Installation unique]).

Une fois que cela est fait, validez les changement réalisés sur ce MA.

 

 

Configurez maintenant le MA AD LDS (là ou sera pousser le mot de passe réinitialiser). Il est nécessaire de cocher l'option Enable password management.

 

 

Si nous retournons sur Active Directory, nous pouvons vérifier que l'option est bien activée sur le MA AD LDS.

 

 

Il faut encore activer l'option Password Synchronization qui se trouve dans les options de la metaverse.

 

 

 

 Test

Nous allons maintenant réaliser une réinitialisation de mot de passe.

 

Vous pouvez valider que le mot de passe a bien été pris en compte par PCNS en regardant le journal d'événement.

 

 

Je vais ensuite valider la propagation de mon mot de passe sur mon annuaire AD LDS. Pour cela j'utilise le programme ldp.exe.

 

 

Je récupère le DN de mon utilisateur afin de réaliser le BIND.

 

 

Je peux bien me connecter avec mon nouveau mot de passe :)

Mon service de synchronisation de mot de passe est maintenant entièrement opérationnel.

 

Bonne lecture et n'hésitez pas à commenter  ;)

Joris


Please publish modules in offcanvas position.