on 01-05-2018 5:26 PM
Hola,
Primero, gracias por la ayuda que me puedan brindar.
He implementado IDM 8.0 y configurado la integración con mi directorio activo. Puedo leer y crear usuarios en mi Identity Store (que automaticamente se replican a mi AD y viceversa). Todo funciona correctamente.
Tambien he configurado todos los requerimientos de Password Self-Service y funciona perfecto, puedo acceder por "https://myhost:50001/idm", "https://myhost:50001/idm/pwdreset", "https://myhost:50001/idm/admin". A través de esas URL puedo configurar y actualizar mis 5 preguntas y respuestas con normalidad. Tambien puedo acceder y restablecer mi password o el de cualquiera de mis usuarios sin problemas. He podido comprobar despues, que puedo acceder a windows o a los servicios de IDM con el password nuevo sin problemas.
Hasta aquí, he seguido la documentación de IDM y LogonHelp para implementación al pie de la letra, y en teoría, mi escenario está listo para que Logon Help funcione como herramienta de restablecimiento de password en Windows, en la interface de inicio de sesión. Lo anterior quiere decir que tambien he importado en mi AD el ADM de LogonHelp y he realizado en mi GPO la configuración indicada. Esta se despliega correctamente a los 3 clientes Windows en los que he probado con Sistemas Operativos "Windows 7", "Windows 8.1" y "Windows 10".
Sin embargo con toda la configuración que he mencionado y que a través de las URL funciona, en el cliente LogonHelp no funciona correctamente, pidiendome el ID, las respuestas a las preguntas de seguridad y un nuevo password, generando posteriormente el siguiente error: "Could not reset password; check whether security answers are correct and whether password meets the security policy".
De acuerdo al error que se genera, realicé la prueba configurando exactamente la misma palabra como respuesta a mis 5 preguntas y el error persiste.
Luego, en la Security Policy de Identity Management, retiré toda complejidad de password, aceptando lo que el usuario quiera ingresar como password, de igual manera realicé lo mismo en mi AD, configurando la politica de contraseñas a minima complejidad. La prueba en las URL de IDM restableciendo el password con una complejidad minima funciona, pero en LogonHelp, en las 3 maquinas me sigue mostrando el mismo error.
Entiendo que el cliente de LogonHelp logra conectar a IDM por que cuando ingreso el ID de un usuario que no existe ni en el UME ni en el LDAP (AD), el error que se muestra es: "Could not connect to IDM server", pero si ingreso un usuario que sí existe, el error es: "Could not reset password; check whether security answers are correct and whether password meets the security policy".
Revisando el log de LogonHelp en mis PC clientes, encuentro el siguiente error:
The retrieving of the sequrity questions for user 'america' returned empty response or the execution of one of the methods - CWinHttpHelper::SendRequest or CLowCommon::ConvertAsciiToUnicode returned error.
He seguido las recomendaciones que se indican en las siguientes URL:
https://archive.sap.com/discussions/thread/3420629 https://archive.sap.com/discussions/thread/3596392
Pero el error persiste.
He dejado en un documento de Google Drive, todo el paso a paso descrito:
https://drive.google.com/file/d/1Lw7zIlNX0YBlKJo9DFKIYHltRIUIf2qL/view?usp=sharing
En el documento se puede observar tambien el log del cliente LogonHelp, una captura del Dispactcher funcionando correctamente y la Sincronización tambien ejecutandose con normalidad sin errores.
De nuevo muchas gracias por la ayuda que me puedan aportar.
Saludos,
Paul Andres Pedroza Martinez
https://launchpad.support.sap.com/#/notes/1806098
Temporarily disabling the new protection mechanism (until all REST clients have been updated)
If you cannot update all relevant REST clients immediately, temporarily disable the new protection mechanism and thus switch back to the previous mechanism. If you decide to do this, make sure that you apply all possible measures to protect the REST interface against this kind of attack. Especially refer to "Limiting access to the REST interface to certain hosts" below.
To switch back from the new to the previous protection mechanism, do the following:
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.
User | Count |
---|---|
110 | |
12 | |
11 | |
6 | |
5 | |
4 | |
4 | |
3 | |
3 | |
3 |
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.