Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.6. パスワード同期の管理

ユーザーエントリーの同期は、同期合意で設定されます。ただし、Active Directory と Identity Management の両方のパスワードは、通常のユーザー同期プロセスに含まれません。ユーザーアカウントの作成またはパスワードの変更時にパスワードを取り込み、同期された更新でそのパスワード情報を転送できるようにするには、別のクライアントが Active Directory サーバー上にインストールされる必要があります。
注記
パスワード同期クライアントはパスワード変更を取得し、Active Directory と IdM との間で同期します。これは、新しいパスワードまたはパスワードの更新を同期することを意味します。
IdM および Active Directory の両方にハッシュ化されたフォームに格納されている既存のパスワードは、Password Synchronization クライアントのインストール時に復号または同期できません。そのため、既存のパスワードは同期されません。ピアサーバー間の同期を開始するには、ユーザーパスワードを変更する必要があります。

6.6.1. パスワード同期のための Windows Server のセットアップ

パスワードの同期には、以下の点が必要になります。
  • Active Directory が SSL で実行されている必要があります。
    注記
    エンタープライズルートモードで Microsoft Certificate System をインストールします。Active Directory は自動的に登録され、SSL サーバー証明書を取得します。
  • パスワード同期サービスは、 Active Directory ドメインコントローラーにインストールする必要があります。Windows からのパスワードを同期するには、PassSync サービスが暗号化されていないパスワードにアクセスし、安全な IdM 接続上でこれを同期する必要があります。ユーザーはパスワードを各ドメインコントローラー上で変更することができるため、PassSync サービスを各ドメインコントローラーにインストールする必要があります。
  • パスワードポリシーは、IdM および Active Directory 側で同様に設定する必要があります。同期先で更新済みパスワードを受け取る際には、ソース上のポリシーに対してのみ検証が行われます。同期先での再検証は行われません。
Active Directory パスワードの複雑性ポリシーが有効になっていることを確認するには、Active Directory ドメインコントローラーで実行します。 
> dsquery * -scope base -attr pwdProperties
    pwdProperties
    1
属性 pwdProperties の値が 1 に設定されている場合は、パスワードの複雑さポリシーがドメインに対して有効になります。
注記
グループポリシーで Organizational Units (ou) の逸脱したパスワード設定が定義されているかどうかわからない場合は、グループポリシー管理者に問い合わせてください。
ドメイン全体で Active Directory パスワードの複雑性設定を有効にするには、以下を実行します。
  1. コマンドラインから gpmc.msc を実行します。
  2. Group Policy Management を選択します。
  3. Forest: ad.example.comDomainsad.example.com を開きます。
  4. Default Domain Policy エントリーを右クリックして、Edit を選択します。
  5. Group Policy Management Editor が自動的に開きます。
  6. Computer ConfigurationPoliciesWindows SettingsSecurity SettingsAccount PoliciesPassword Policy を開きます。
  7. Password must meet complexity requirements オプションを有効にし、保存します。