Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.6.2. パスワード同期のセットアップ

Windows パスワードを同期するために、Active Directory ドメインのすべてのドメインコントローラーにパスワード同期サービスをインストールします。
  1. RedHat-PassSync-*.msi ファイルを Active Directory ドメインコントローラーにダウンロードします。
    1. カスタマーポータルにログインします。
    2. ページ上部の Downloads をクリックします。
    3. 製品リストから Red Hat Enterprise Linux を選択します。
    4. Red Hat Enterprise Linux 6 または Red Hat Enterprise Linux 7 およびアーキテクチャーの最新版を選択します。
    5. Active Directory ドメインコントローラーのアーキテクチャー用に WinSync installer をダウンロードするには、 Download Now ボタンをクリックします。
  2. MSI ファイルをダブルクリックしてインストールします。
  3. Password Synchronrization Setup 画面が表示されます。Next を押して、インストールを開始します。
  4. IdM サーバーへの接続を確立するための情報を入力します。
    • ホスト名およびセキュアなポート番号を含む ldM サーバー接続情報。
    • Active Directory が IdM マシンへの接続に使用するシステムユーザーのユーザー名。このアカウントは、同期が IdM サーバー上に設定される場合に自動的に設定されます。デフォルトのアカウントは uid=passsync,cn=sysaccounts,cn=etc,dc=example,dc=com です。
    • 同期合意の作成時に --passsync オプションに設定されたパスワード。
    • IdM サーバーの people サブツリーの検索ベース。Active Directory サーバーは、ldapsearch またはレプリケーション操作と似た IdM サーバーに接続するため、IdM サブツリーでユーザーアカウントを検索する場所を知っている必要があります。ユーザーサブツリーは cn=users,cn=accounts,dc=example,dc=com です。
    • 証明書トークンはこの時点では使用されないため、このフィールドは空白にする必要があります。
    Next を押してから Finish を押し、Password Synchronization をインストールします。
  5. IdM サーバーの CA 証明書を PassSync 証明書ストアにインポートします。
    1. IdM サーバーの CA 証明書を http://ipa.example.com/ipa/config/ca.crt からダウンロードします。
    2. IdM CA 証明書を Active Directory サーバーにコピーします。
    3. IdM CA 証明書をパスワード同期データベースにインストールします。以下は例になります。
      cd "C:\Program Files\Red Hat Directory Password Synchronization"
      
      certutil.exe -d . -A -n "IPASERVER.EXAMPLE.COM IPA CA" -t CT,, -a -i ipaca.crt
  6. Windows マシンを再起動して、Password Synchronization を開始します。
    注記
    Windows マシンは再起動されている必要があります。再起動しないと PasswordHook.dll は有効にされず、パスワードの同期は機能しません。
  7. 既存のアカウントのパスワードを同期する必要がある場合は、ユーザーパスワードをリセットします。
    注記
    パスワード同期クライアントはパスワード変更を取得し、Active Directory と IdM との間で同期します。これは、新しいパスワードまたはパスワードの更新を同期することを意味します。
    IdM および Active Directory の両方にハッシュ化されたフォームに格納されている既存のパスワードは、Password Synchronization クライアントのインストール時に復号または同期できません。そのため、既存のパスワードは同期されません。ピアサーバー間の同期を開始するには、ユーザーパスワードを変更する必要があります。
パスワード同期アプリケーションのインストール時におけるパスワード同期の初回の試行は、Directory Server と Active Directory 同期ピア間の SSL 接続により常に失敗します。証明書およびキーデータベースを作成するためのツールは .msi でインストールされます。
パスワード同期クライアントは、IdM admin グループのメンバーのパスワードは同期できません。これは、たとえば、パスワード同期エージェントや低レベルのユーザー管理者によるトップレベルの管理者のパスワードを変更できないようにするためのものです。
注記
パスワードは、同期ソースにおいてパスワードポリシーに対して一致するかについてのみ検証されます。Active Directory パスワードの複雑性ポリシーを確認し、有効にするには、「パスワード同期のための Windows Server のセットアップ」 を参照してください。