Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.6.2. 设置密码同步

在 ActiveActive Directorynbsp;Directory 域中的每个域控制器上安装密码同步服务,以同步 Windows 密码。
  1. RedHat-PassSync-*.msi 文件下载到 Active Directory 域控制器:
    1. 登录客户门户网站。
    2. 单击页面顶部的 Downloads。
    3. 选择 Red Hat Enterprise Linuxnbsp;Hat Enterprise Red Hat Enterprise Linuxnbsp;Linux from the product list.
    4. 选择 Red Hat Enterprise Linuxnbsp 的最新版本;Hat Enterprise Linuxnbsp;Linux 6 或 Red Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Hat Enterprise Linuxnbsp;Linux 7 and architecture.
    5. 在 ActiveActive Directorynbsp;Directory 域控制器架构中下载 WinSync Installer,方法是点 Download Now 按钮。
  2. 双击MSI 文件进行安装。
  3. 此时将显示 Password Synchronrization Setup 窗口。按下一步开始安装
  4. 填写信息以建立与 IdM 服务器的连接。
    • IdM 服务器连接信息,包括主机名和安全端口号。
    • ActiveActive Directorynbsp;Directory 用来连接到 IdM 机器的系统用户的用户名。当 IdM 服务器上配置同步时,此帐户会自动配置。默认帐户为uid=passsync,cn=sysaccounts,cn=etc,dc=example,dc=com.
    • 同步协议创建时在 --passsync 选项中设置的密码。
    • IdM 服务器上的 People 子树的搜索基础。ActiveActive Directorynbsp;Directory 服务器连接到与 ldapsearch 或 replication 操作类似的 IdM 服务器,因此它必须知道在 IdM 子树中查找用户帐户的位置。用户子树为 cn=users,cn=accounts,dc=example,dc=com
    • 此时不使用证书令牌,因此该字段应当留空。
    按下一步 ,然后完成以安装密码同步
  5. 将 IdM 服务器的 CA 证书导入到 PassSync 证书存储中。
    1. http://ipa.example.com/ipa/config/ca.crt 下载 IdM 服务器的 CA 证书。
    2. 将 IdM CA 证书复制到 ActiveActive Directorynbsp;Directory 服务器。
    3. 在 Password Synchronization 数据库中安装 IdM CA 证书。例如: 
      cd "C:\Program Files\Red Hat Directory Password Synchronization"

certutil.exe -d . -A -n "IPASERVER.EXAMPLE.COM IPA CA" -t CT,, -a -i ipaca.crt
  6. 重新启动 Windows 计算机以启动密码同步。
    注意
    必须重新引导 Windows 机器。如果不重新启动,PasswordHook.dll 则未启用,密码同步将无法正常工作。
  7. 如果应当同步现有帐户的密码,请重置用户密码。
    注意
    密码同步客户端捕获密码更改,然后在 ActiveActive Directorynbsp;Directory 和 IdM 之间同步它们。这意味着它将同步新密码或密码更新。
    现有密码以 IdM 和 ActiveActive Directorynbsp 的散列形式存储;Directory,当安装 Password Synchronization 客户端时,无法解密或同步现有密码。必须更改用户密码,以启动对等服务器之间的同步。
安装 Password Synchronization 应用时第一次尝试同步密码始终会失败,因为 DirectoryDirectory 服务器nbsp;Server 和 Active Directory 同步实体之间的 SSL 连接将始终失败。 创建证书和密钥数据库的工具与.msi 一起安装。
密码同步客户端无法同步 IdM admin 组的成员的密码。这种行为旨在防止密码同步代理或低级用户管理员更改顶级管理员的密码。
注意
仅在同步源上验证密码,以匹配密码策略。要验证并启用 ActiveActive Directorynbsp;Directory 密码复杂性策略,请参阅 第 6.6.1 节 “设置 Windows Server for Password Synchronization”