A Novell começou com o Netware com um banco de dados de usuários chamado Bindery. A senha então como agora era baseada em pares de chaves RSA Privada / Pública.
Com o NDS no Netware 4.0, eles mantinham o mesmo método básico de senha e é razoavelmente seguro.
Com o eDirectory (para o qual o NDS foi renomeado, em torno da versão 8.x do eDirectory, que estava em torno do período do Netware 6.x) eles precisavam suportar senhas reversíveis, o que definitivamente não é um par de chaves RSA.
Eles precisavam disso para suporte a NFS, SMB e AFP. Como o SMB usa hashing MD4 ou MD5, o NFS usa MD5 ou MD4 (nunca consigo manter esses dois diretos e basicamente não importa). O Mac usa dois números aleatórios para auth e requer uma senha de texto claro para comparação.
A primeira tentativa foi chamada de Simple Password, que foi uma boa primeira tentativa, mas não resolveu todos os problemas.
A segunda tentativa é a Senha Universal, que parece ter funcionado muito bem. UP é armazenado em um atributo oculto (ele é protegido da mesma maneira que a chave privada é protegida no eDir e bastante difícil de obter acesso também).
Quando sua confusão surgiu, se UP NÃO foi implementado por meio de um método de login ou algo semelhante, ele foi incorporado ao eDirectory como parte da funcionalidade básica de senha, assim como os pares de chaves RSA não são um método de login, mas sim construído em.
Houve um método de login com Senha Aprimorada antes que o Simple / UP aparecesse para tentar implementar algumas das funcionalidades necessárias, mas essa também não era a melhor abordagem.
De qualquer forma, para habilitar a Senha Universal, (não habilitada por padrão), você precisa criar uma política de senha (usando o iManager como notas do TheDave1022) e atribuí-la.
Existem algumas sutilezas em como ele herda. Você pode atribuir uma política ao objeto Política de Login no contêiner Segurança (na Raiz da árvore) e isso se aplica a todos os objetos com uma senha na árvore. Agradável e fácil.
Você pode aplicá-lo na maioria dos objetos contêineres (bem, não em objetos País, como eu me lembro, embora eu saiba como resolver isso agora. O, OU, os tipos mais comuns funcionam perfeitamente) e se aplicará a todas as crianças diretas.
Para herdar mais de um nível, a OU / O precisa ser um limite de partição do eDirectory.
O nível mais baixo de atribuição substitui as atribuições mais altas. Portanto, atribua o mais estrito ao objeto Login Policy.Security para toda a árvore, depois uma política mais sensata para as pessoas que você gosta no contêiner Friends.users.acme para facilitar suas vidas.
Então você tem o bozo que torna sua vida um inferno na Contabilidade, então atribua uma nova política ao Bozo.Accounting.people.acme e faça-o exigir uma senha de 92 caracteres, com 6 caracteres não-ASCII.
Ou qualquer coisa.
Uma vez que você tenha ativado, qualquer alteração de senha feita através de um cliente habilitado para NMAS irá configurar UP (e Simple, e NDS, se sua política diz para sincronizar com todas as senhas. Opções fáceis de alterar conforme necessário).
Um cliente habilitado para NMAS é um usuário com o Client 32 com o NMAS (Novell Modular Authentication Services, uma parte padrão da instalação do cliente, a menos que você especificamente não escolha também), o iManager, todos os aplicativos LDAP que fazem alterações de senha desde o LDAP da Novell o serviço está habilitado para NMAS. Clientes CIFS / AFP contra o serviço CIFS / AFP OES (Netware ou Linux kernel). (OES 1 usava o Samba, que eu acho que não estava habilitado para NMAS, mas o OES2 usa uma porta do serviço Netware CIFS, que é mais escalável que o Samba).
Então, basicamente, o único caso de um cliente não compatível com NMAS é o Cliente 32 que você especificamente não instalou o NMAS nele.
Há mais um caso de erro conhecido, que é uma instalação mais antiga do ConsoleOne, onde há um arquivo NMAS.DLL na estrutura de diretório C1. Isso é uma sobra e precisa ser removido.
Uma opção na política de senha é "Permitir que o administrador recupere senhas" e, em seguida, especificar um usuário específico permitido. Então você pode usar a realmente excelente Ferramenta de diagnóstico de senha universal do Jim Willeke que mostrará a você qual é a senha também (Se permitido pela política), se corresponder à senha do NDS, à senha simples e muito mais material de diagnóstico. Difícil de trabalhar sem isso!