【IDM】パスワード同期機能の有効活用その2 ～ Windows Server 2008 でのパスワード同期機能のセットアップ

前回は、パスワード同期機能について簡単にお話しました。

【IDM】パスワード同期機能の有効活用その1 ～パスワード同期機能とは

今回は、Windows Server 2008 上でパスワード同期機能を使用するためのセットアップを行いましょう。

Windows Server 2008 上でパスワード同期機能を使用するには、はじめにサーバーマネージャの「役割の追加」から「Active Directory ドメインサービス」をインストールし、ドメインコントローラとしてセットアップを完了しておく必要があります。

上記が完了したら、再度サーバーマネージャを起動し、以下のように「Active Directory ドメインサービス」の関連サービスとして「 UNIX 用 ID 管理」を追加します。

このとき、「パスワード同期」だけでなく、「NIS サーバー」「管理ツール」もあわせてインストールしてください。
※NIS サーバーが必要ない場合には、あとから無効にできます

インストールが完了すると、サーバーマネージャの「役割」には「UNIX用 Microsoft ID 管理」が表示されます。

次に、AD内部でのパスワード同期を正しく動作させるために、以下の環境設定を行います。

[サーバーマネージャ] - [役割] - [Active Directory ドメインサービス] - [UNIX用 Microsoft ID 管理] - [パスワード同期] を右クリックして、コンテキストメニューから「プロパティ」を選択すると、以下の画面が表示されます。

画面下部の「キーの生成」をクリックして、キーをリセットしてください。

次に、「構成」タブに切り替え、「Winodws から NIS（Active Directory）へのパスワード同期」を有効にします。これにより、パスワード変更時に unixUserPassword にパスワードが同期されます。

次に、以下の画面のように、NISサーバーを右クリックして「UNIXパスワードの暗号化」を選択します。

以下の画面が表示されるので、暗号化の形式を選択してください。

以上でパスワード同期機能の設定は完了です。

NISサーバーが必要ない場合には、「Server for NIS」サービスを無効にしてしまって問題ありません。

簡単に動作確認をしてみましょう。

「Active Directory ユーザーとコンピュータ」を使用して、新しいユーザーを作成します。

その際、必ず「UNIX属性」を設定してください。この設定がなされていない場合には、パスワードの同期は行われません。

ここで...もしプライマリグループの設定が行えない場合には、はじめにプライマリグループ自身（ここでは Domain Users）にもUNIX属性を設定してください。

設定が完了したら、パスワードを変更してみましょう。

方法はなんでもかまいません。コマンドプロンプトから、net user testuser01 password と入力してもOKです。

パスワードが正常に変更できたら、ユーザーのプロパティから「属性エディタ」タブを選択します。

※属性エディタタブが表示されていない場合には、「Active Directory ユーザーとコンピュータ」の「表示」メニューで「拡張機能」を有効にしてください

属性の一覧から unixUserPassword を探すと、以下のように表示されているはずです。以下のパスワードは、MD5 で暗号化されています。

いかがでしょうか。ここまではうまくいきましたか？

次回は、スクリプトを使用して、unixUserPassword から暗号化されたパスワードを取り出します。

【IDM】パスワード同期機能の有効活用 その2 ～ Windows Server 2008 でのパスワード同期機能のセットアップ