【IDM】パスワード同期機能の有効活用 その2 ~ Windows Server 2008 でのパスワード同期機能のセットアップ


前回は、パスワード同期機能について簡単にお話しました。



【IDM】パスワード同期機能の有効活用 その1 ~ パスワード同期機能とは


今回は、Windows Server 2008 上で パスワード同期機能を使用するためのセットアップを行いましょう。


Windows Server 2008 上でパスワード同期機能を使用するには、はじめにサーバーマネージャの「役割の追加」から「Active Directory ドメイン サービス」をインストールし、ドメインコントローラとしてセットアップを完了しておく必要があります。



  • サーバーマネージャから「Active Directory ドメイン サービス」役割を追加

  • dcpromo を使用してドメインコントローラのインストールを行う

  • 再起動

上記が完了したら、再度サーバーマネージャを起動し、以下のように「Active Directory ドメイン サービス」の関連サービスとして 「 UNIX 用 ID 管理」を追加します。


このとき、「パスワード同期」だけでなく、「NIS サーバー」「管理ツール」もあわせてインストールしてください。
※NIS サーバーが必要ない場合には、あとから無効にできます



インストールが完了すると、サーバーマネージャの「役割」には「UNIX用 Microsoft ID 管理」が表示されます。


次に、AD内部での パスワード同期を正しく動作させるために、以下の環境設定を行います。


[サーバーマネージャ] - [役割] - [Active Directory ドメイン サービス] - [UNIX用 Microsoft ID 管理] - [パスワード同期] を右クリックして、コンテキストメニューから「プロパティ」を選択すると、以下の画面が表示されます。


画面下部の「キーの生成」をクリックして、キーをリセットしてください。



次に、「構成」タブに切り替え、「Winodws から NIS(Active Directory)へのパスワード同期」を有効にします。これにより、パスワード変更時に unixUserPassword にパスワードが同期されます。



 


次に、以下の画面のように、NISサーバーを右クリックして「UNIXパスワードの暗号化」を選択します。



以下の画面が表示されるので、暗号化の形式を選択してください。



以上でパスワード同期機能の設定は完了です。


NISサーバーが必要ない場合には、「Server for NIS」サービスを無効にしてしまって問題ありません。


 


簡単に動作確認をしてみましょう。


「Active Directory ユーザーとコンピュータ」を使用して、新しいユーザーを作成します。


その際、必ず「UNIX属性」を設定してください。この設定がなされていない場合には、パスワードの同期は行われません。



ここで...もしプライマリグループの設定が行えない場合には、はじめに プライマリグループ自身(ここでは Domain Users) にもUNIX属性を設定してください。


設定が完了したら、パスワードを変更してみましょう。


方法はなんでもかまいません。コマンドプロンプトから、net user testuser01 password と入力してもOKです。


パスワードが正常に変更できたら、ユーザーのプロパティから「属性エディタ」タブを選択します。



※属性エディタタブが表示されていない場合には、「Active Directory ユーザーとコンピュータ」の「表示」メニューで「拡張機能」を有効にしてください


属性の一覧から unixUserPassword を探すと、以下のように表示されているはずです。以下のパスワードは、MD5 で暗号化されています。



いかがでしょうか。ここまではうまくいきましたか?


次回は、スクリプトを使用して、unixUserPassword から暗号化されたパスワードを取り出します。


 

Comments (7)

  1. 匿名 より:

    昔、「おしいれのぼうけん」ていう絵本がありました。いまでもトラウマです…ねずみばぁさん…。 そんなノスタルジックな想いはともかく、現実に戻って OpenLDAP にパスワードを同期する方法について考察します。

  2. 匿名 より:

    同僚の安納さんのブログで、Active Directory と Unix/Linux のパスワードの同期機能について、Windows Server 2008 での方法が詳しく書かれています。 【IDM】パスワード同期機能の有効活用

  3. 匿名 より:

    ある調べごとがあり、「’watch node’」 という単語を 某検索エンジンに放り込んだところ、以下の表示が。 もしかして: ‘watch nude ‘ し、し、しっ、失礼なっっっ! それはともかく、Active

  4. 匿名 より:

    本日、健康診断に行ってきました。健康診断…実は苦手でして… いい歳して恥ずかしい話ですが….子供のころから、わきの下とわき腹が弱いのです。なので苦手なのは心電図…それに輪をかけてつらかったのは「腹部エコー検査」なるもの…。なんか、先のツルツルのヤツを使って、わきの下とかわき腹をしつこいくらいにグリグリされました。これは、もう、拷問としか言いようがありません。

  5. 匿名 より:

    ある調べごとがあり、「’watch node’」 という単語を 某検索エンジンに放り込んだところ、以下の表示が。 もしかして: ‘watch nude ‘ し、し、しっ、失礼なっっっ! それはともかく

  6. 匿名 より:

    Software Disign 2009年3月号 からいらしたみなさん、こんにちは。 Appendix 「Active Directory の基礎知識」の「UNIX用ID管理」のインストール手順を、このページで補足いたします。

  7. 匿名 より:

    【IDM】パスワード同期機能の有効活用 その1 ~ パスワード同期機能とは 【IDM】パスワード同期機能の有効活用 その2 ~ Windows Server 2008 でのパスワード同期機能のセットアップ

Skip to main content