Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.6. パスワード同期の管理

ユーザーエントリーの同期が、同期合意と設定されている。ただし、Active Directory と Identity Management の両方のパスワードは、通常のユーザー同期プロセスの一部ではありません。ユーザーアカウントの作成またはパスワードの変更時にパスワードをキャプチャーするために、別のクライアントを Active Directory サーバー上にインストールしてから、そのパスワード情報を同期した更新で転送する必要があります。
注記
パスワード同期クライアントはパスワードの変更をキャプチャーし、Active Directory と IdM の間で同期します。つまり、新しいパスワードまたはパスワードの更新を同期します。
IdM および Active Directory の両方でハッシュ化されたフォームに保存されている既存のパスワードは、パスワード同期クライアントがインストールされていれば、復号化または同期できません。そのため、既存のパスワードは同期されません。ピアサーバー間の同期を開始するために、ユーザーパスワードを変更する必要があります。

6.6.1. パスワード同期のための Windows Server の設定

パスワードの同期には、以下の点が必要です。
  • Active Directory が SSL で実行されている必要があります。
    注記
    エンタープライズルートモードで Microsoft Certificate System をインストールします。Active Directory は自動的に登録され、SSL サーバー証明書を取得します。
  • パスワード同期サービスは、各 Active Directory ドメインコントローラーにインストールする必要があります。Windows からパスワードを同期するには、PassSync サービスで暗号化されていないパスワードにアクセスし、IdM へのセキュアな接続で同期する必要があります。ユーザーはすべてのドメインコントローラーでパスワードを変更できるため、各ドメインコントローラーに PassSync サービスをインストールする必要があります。
  • パスワードポリシーは、IdM および Active Directory 側でも同様に設定する必要があります。同期先が更新されたパスワードを受信すると、ソース上のポリシーと一致する場合にのみ検証されました。同期先で再度検証されません。
Active Directory パスワードの複雑さのポリシーが有効になっていることを確認するには、Active Directory ドメインコントローラーで実行します。
> dsquery * -scope base -attr pwdProperties
    pwdProperties
    1
attributepwdProperties の値が 1 に設定されている場合、ドメインに対するパスワードの複雑さのポリシーが有効になります。
注記
グループポリシーが組織単位(ou)のパスワード設定を定義するかどうか不明な場合は、グループポリシーの管理者に問い合わせてください。
ドメイン全体で Active Directory パスワードの複雑さ設定を有効にするには、以下を実行します。
  1. コマンドラインから gpmc.msc を実行します。
  2. Group Policy Management を選択します。
  3. Forest: ad.example.comドメインad.example.com を開きます。
  4. Default Domain Policy エントリーを右クリックし、Edit を選択します。
  5. Group Policy Management Editor が自動的に開きます。
  6. Computer ConfigurationPoliciesWindows SettingsSecurity SettingsAccount PoliciesPassword Policy を開きます。
  7. パスワードを有効にすると、複雑さの要件オプションが満たされ、保存する必要があります

6.6.2. パスワード同期のセットアップ

Windows パスワードを同期するために、Active Directory ドメインのすべてのドメインコントローラーにパスワード同期サービスをインストールします。
  1. RedHat-PassSync-*.msi ファイルを Active Directory ドメインコントローラーにダウンロードします。
    1. カスタマーポータルにログインします。
    2. ページ上部の Downloads をクリックします。
    3. 製品リストから Red Hat Enterprise Linux を選択します。
    4. Red Hat Enterprise Linux 6 または Red Hat Enterprise Linux 7 およびアーキテクチャーの最新版を選択します。
    5. Download Now ボタンをクリックして、Active Directory ドメインコントローラーのアーキテクチャー用の Download WinSync インストーラー をダウンロードします。
  2. MSI ファイルをダブルクリックしてインストールします。
  3. パスワード同期セットアップ画面画面が表示されますNext を押して、インストールを開始します。
  4. IdM サーバーへの接続を確立するための情報を入力します。
    • ホスト名およびセキュアなポート番号を含む IdM サーバー接続情報。
    • Active Directory が IdM マシンへの接続に使用するシステムユーザーのユーザー名。このアカウントは、同期が IdM サーバーに設定されている場合に自動的に設定されます。デフォルトのアカウントは uid=passsync,cn=sysaccounts,cn=etc,dc=example,dc=com です。
    • 同期合意の作成時に --passsync オプションに設定されるパスワード。
    • IdM サーバーの people サブツリーの検索ベース。Active Directory サーバーは、ldapsearch またはレプリケーション操作と似た IdM サーバーに接続するため、IdM サブツリーでユーザーアカウントを検索する場所を知っている必要があります。ユーザーサブツリーは cn=users,cn=accounts,dc=example,dc=com です。
    • 証明書トークンはこの時点では使用されないため、このフィールドは空白にする必要があります。
    Next に進み 、完了 してパスワード同期をインストールします。
  5. IdM サーバーの CA 証明書を PassSync 証明書ストアにインポートします。
    1. IdM サーバーの CA 証明書を からダウンロードします。
    2. IdM CA 証明書を Active Directory サーバーにコピーします。
    3. パスワード同期データベースに IdM CA 証明書をインストールします。以下に例を示します。
      cd "C:\Program Files\Red Hat Directory Password Synchronization"
      
      certutil.exe -d . -A -n "IPASERVER.EXAMPLE.COM IPA CA" -t CT,, -a -i ipaca.crt
  6. Windows マシンを再起動して、パスワード同期を開始します。
    注記
    Windows マシンは再起動されている必要があります。再起動しないと、PasswordHook.dll は有効にされず、パスワードの同期は機能しません。
  7. 既存のアカウントのパスワードを同期する必要がある場合は、ユーザーパスワードをリセットします。
    注記
    パスワード同期クライアントはパスワードの変更をキャプチャーし、Active Directory と IdM の間で同期します。つまり、新しいパスワードまたはパスワードの更新を同期します。
    IdM および Active Directory の両方でハッシュ化されたフォームに保存されている既存のパスワードは、パスワード同期クライアントがインストールされていれば、復号化または同期できません。そのため、既存のパスワードは同期されません。ピアサーバー間の同期を開始するために、ユーザーパスワードを変更する必要があります。
パスワード同期アプリケーションのインストール時におけるパスワード同期の初回の試行は、Directory Server と Active Directory 同期ピア間の SSL 接続により常に失敗します。 証明書およびキーデータベースを作成するためのツールは.msi でインストールされます。
パスワードの同期クライアントは、IdM 管理グループのメンバーのパスワードを同期できません。これは、たとえば、パスワード同期エージェントや、ユーザー管理者がトップレベルの管理者のパスワードを変更しないようにすることを目的とした動作です。
注記
パスワードは、パスワードポリシーと一致する同期ソースでのみ検証されます。Active Directory 「パスワード同期のための Windows Server の設定」

このページには機械翻訳が使用されている場合があります (詳細はこちら)。