Provisioning generovaných hesel na pam účty

Chci nastavit, aby PAM identity s heslem spravovaným mimo linku IdM a cyberakr měly zakázanou změnu hesle, tedy pokud si uživatel zresetuje hesla na svých účtech, je potřeba aby IdM neposílalo nová hesla na systémy, jejichž hesla spravuje PAM. K zastavení takových provisioningů hesel slouží právě PamCheckProvisioningPasswordProcessor.

Ve skutečnosti jde o dva procesory. První z nich, PamSetGeneratePasswordProperyOnPasswordGenerateProcessor nastavuje vybraným událostem flag SHOULD_BE_CHECKED. Tento flag je pak jako součást event.properties předán provisioning událestem, které z tohoto eventu vzniknou. PamCheckProvisioningPasswordProcessor pak kontroluje provisioning události, které mají nastavený SHOULD_BE_CHECKED flag a pokud patří k uživateli a účtu spravovaným systémem PAM, vyhodí výjimku.

Se správně nakonfigurovanými a aktivními procesory si uživatel zkusí resetovat hesla na všech svých systémech. Něktěré účty jsou spravované PAM, některé nejsou. Po kliknutí na tlačítko "generate new password" se vygenerují nová hesla jen na non-pam účty a vpravo nahoře se objeví hlášky informující uživatele o tom, které účty mají nově vygenerovaná hesla.

Procesoru PamSetGeneratePasswordPropertyOnPasswordGenerateProcessor je potřeba nastavit, které události má odchytávat.

idm.sec.pam.processor.pam-set-is-generate-property-on-password-generate.eventTypes=PASSWORD,PASSWORD_GENERATE

Dále je třeba konfigurovat IdentityPasswordProvisioningProcessor tak, aby reagoval ne generování nového hesla, tedy nastavit

idm.sec.acc.processor.identity-password-provisioning-processor.eventTypes=…,PASSWORD_GENERATE,…,

viz https://wiki.czechidm.com/tutorial/adm/modules_pwdreset#password_generating