6.6. パスワード同期の管理

ユーザーエントリーの同期は、同期合意で設定されます。ただし、Active Directory と Identity Management の両方にあるパスワードは通常のユーザー同期プロセスの一部として組み込まれてはいません。ユーザーアカウントの作成またはパスワードの変更時にパスワードを取り込み、同期更新でそのパスワード情報を転送できるようにするには、別のクライアントが Active Directory サーバー上にインストールされる必要があります。

注記

パスワード同期クライアントはパスワードの変更を取り込み、Active Directory と IdM 間でこれらの変更を同期します。つまり、そのクライアントは新規パスワードまたはパスワード更新を同期します。
パスワード同期クライアントがインストールされている場合には、IdM と Active Directory の両方のハッシュ化形式で保存されている既存のパスワードについては、暗号化を解除したり、同期したりすることができないため、既存のパスワードは同期されません。ピアサーバー間の同期を開始するにはユーザーパスワードを変更する必要があります。

6.6.1. パスワード同期のための Windows Server のセットアップ

パスワードの同期には、以下の点が必要になります。
  • Active Directory が SSL で実行されていること。

    注記

    Enterprise Root Mode で Microsoft 証明書システムをインストールします。次に Active Directory はその SSL サーバー証明書を取得するために自動的に登録されます。
  • パスワード同期サービスが Active Directory ドメインコントローラーでインストールされていること。Windows からのパスワードを同期するには、PassSync サービスが暗号化されていないパスワードにアクセスし、安全な IdM 接続上でこれを同期する必要があります。ユーザーはパスワードを各ドメインコントローラー上で変更することができるため、PassSync サービスを各ドメインコントローラーにインストールする必要があります。
  • IdM と Active Directory 側でパスワードポリシーが同様に設定されていること。同期先で更新済みパスワードを受け取る際には、ソース上のポリシーに対してのみ検証が行われます。同期先での再検証は行われません。
Active Directory パスワードの複雑性ポリシーが有効になっていることを確認するには、Active Directory ドメインコントローラーで以下を実行します。
> dsquery * -scope base -attr pwdProperties
    pwdProperties
    1
pwdProperties1 に設定されていれば、そのドメインのパスワード複雑性が有効になっています。

注記

グループポリシーが Organizational Units (ou) の逸脱パスワード設定を定義しているかどうかが不明な場合は、グループポリシーの管理者に問い合わせてください。
ドメイン全体に対して Active Directory パスワードの複雑性設定を有効にするには、以下の手順に従います。
  1. コマンドラインから gpmc.msc を実行します。
  2. Group Policy Management を選択します。
  3. Forest: ad.example.comDomainsad.example.com を開きます。
  4. Default Domain Policy エントリーを右クリックして、Edit を選択します。
  5. Group Policy Management Editor が自動的に開きます。
  6. Computer ConfigurationPoliciesWindows SettingsSecurity SettingsAccount PoliciesPassword Policy を開きます。
  7. Password must meet complexity requirements オプションを有効にし、保存します。

6.6.2. パスワード同期のセットアップ

Windows パスワードを同期するために、Active Directory ドメインのすべてのドメインコントローラーにパスワード同期サービスをインストールします。
  1. PassSync.msi ファイルを Active Directory マシンにダウンロードします。
    1. カスタマーポータルにログインします。
    2. 左上の ダウンロード リンクをクリックします。
    3. Red Hat Enterprise Linux を選択します。
    4. Red Hat Enterprise Linux 6 または Red Hat Enterprise Linux 7 のバージョンとアーキテクチャーを選択します。
    5. 「今すぐダウンロードする」ボタンをクリックして PassSync Installer をダウンロードします。

    注記

    Red Hat Enterprise Linux アーキテクチャーの種類を問わず、利用できる 2 つの PassSync パッケージがあります。1 つは 32-bit Windows サーバー用で、もう 1 つは 64-bit 用です。お使いの Windodws プラットフォームに適したパッケージを選択するようにしてください。
  2. Password Synchronization MSI ファイルをダブルクリックして、これをインストールします。
  3. Password Synchronrization Setup 画面が表示されます。Next を押して、インストールを開始します。
  4. 以下の情報を入力し、IdM サーバーへの接続を設定します。
    • ホスト名およびセキュアなポート番号を含む IdM サーバー接続情報。
    • Active Directory マシンに接続するために IdM が使用するシステムユーザーのユーザー名。このアカウントは、同期が IdM サーバー上に設定される場合に自動的に設定されます。デフォルトのアカウントは uid=passsync,cn=sysaccounts,cn=etc,dc=example,dc=com です。
    • 同期合意の作成時に --passsync オプションに設定されるパスワード。
    • IdM サーバー上の People サブツリーの検索ベース。Active Directory サーバーは、IdM またはレプリケーション操作の場合と同様に ldapsearch サーバーに接続します。そのため、IdM サブツリーのどこでユーザーアカウントを検索できるかを認識している必要があります。ユーザーサブツリーは cn=users,cn=accounts,dc=example,dc=com です。
    • 証明書トークンはこの時点では使用されないため、このフィールドは空白にする必要があります。
    Next を押してから Finish を押し、Password Synchronization をインストールします。
  5. IdM サーバーの CA 証明書を PassSync 証明書ストアにインポートします。
    1. IdM サーバーの CA 証明書を http://ipa.example.com/ipa/config/ca.crt からダウンロードします。
    2. IdM CA 証明書を Active Directory サーバーにコピーします。
    3. IdM CA 証明書をパスワード同期データベースにインストールします。以下が例になります。
      cd "C:\Program Files\Red Hat Directory Password Synchronization"
      
      certutil.exe -d . -A -n "IPASERVER.EXAMPLE.COM IPA CA" -t CT,, -a -i ipaca.crt
  6. Windows マシンを再起動して、Password Synchronization を開始します。

    注記

    Windows マシンは再起動されている必要があります。再起動しないと PasswordHook.dll は有効にされず、パスワードの同期は機能しません。
  7. 既存のアカウントのパスワードを同期する必要がある場合、ユーザーパスワードをリセットします。

    注記

    パスワード同期クライアントはパスワードの変更を取り込み、Active Directory と IdM 間でこれらの変更を同期します。つまり、そのクライアントは新規パスワードまたはパスワード更新を同期します。
    パスワード同期クライアントがインストールされている場合には、IdM と Active Directory の両方のハッシュ化形式で保存されている既存のパスワードについては、暗号化を解除したり、同期したりすることができないため、既存のパスワードは同期されません。ピアサーバー間の同期を開始するにはユーザーパスワードを変更する必要があります。
パスワード同期アプリケーションのインストール時におけるパスワード同期の初回の試行は、Directory Server と Active Directory 同期ピア間の SSL 接続により常に失敗します。証明書およびキーデータベースを作成するためのツールは .msi でインストールされます。
パスワード同期クライアントは、IdM admin グループのメンバーのパスワードは同期できません。これは、例えば、パスワード同期エージェントや低レベルのユーザー管理者によるトップレベルの管理者のパスワードを変更できないようにするためのものです。

注記

パスワードは、同期ソースにおいてパスワードポリシーに対して一致するかについてのみ検証されます。Active Directory パスワードの複雑性ポリシーを検証、有効にする方法については、「パスワード同期のための Windows Server のセットアップ」 を参照してください。