【IDM】Active Directory から OpenLDAP への パスワードの同期 その 4 ~Ldap ブラウザでパスワードの変更結果を検証する

※2008/08/29 Tech・Ed会場にてリンク切れを指摘していただきましたので修正いたしました。(汗)

ある調べごとがあり、「'watch node'」 という単語を 某検索エンジンに放り込んだところ、以下の表示が。

もしかして: 'watch nude'  

し、し、しっ、失礼なっっっ! 

それはともかく Active Directory とのパスワード同期シリーズ の続きです。過去の記事は以下を参照してください。あとでまとめサイト作って公開します。

今回は Windows から OpenLDAP に接続して、本当に値が変わったかどうかを GUI で確認する方法について紹介します。

まずはLDAP Browser を用意するわけですが、今回は SOFTERRA社の LDAP Browser を使わせていただくことにします。

# ADSI Edit を使おうとしたのですが、認証がうまく通らず...どなたか成功された方いらっしゃいませんか?

LDAP Browser は LDAPのGUI管理ツールである LDAP Administrator の機能限定版として、無償でダウンロードが可能です。

SOFTERRA 社
https://www.softerra.com/ 

ダウンロードサイト
https://www.softerra.com/download.htm

ダウンロードしたら、とりあえずインストールしましょう。インストール自体は簡単に行えます。

インストールの完了後 LDAP Browser を起動し環境設定を行います。

OpenLDAP の環境は以下を想定します。

  • OpenLDAP サーバー : fedora01.example-fedora01.jp
  • OpenLDAP上のユーザー :uid=testuser01,ou=People,dc=example-fedora,dc=jp
  • OpenLDAPの管理ユーザー: cn=Manager,dc=example-fedora,dc=jp
  • OpenLDAPの管理ユーザーのパスワード :password

環境設定の手順を以下に示します。

1. [Browser Root] を右クリックして New Profile を選択

2. ウィザードに沿って設定

Host Information 画面

Host: OpenLDAPがインストールされているホスト名 - fedora01.example-fedora.jp
Port:389 (もし変えているようであれば変更後の値)
Protocol Version:3
Base DN: 検索する基点となるパス - dc=example-fedora,dc=jp

Credentials 画面

User DN: OpenLDAPに接続するユーザー

この部分に OpenLDAP 管理者(cn=Manager,dc=example-fedora,dc=jp )を指定すれば、すべてのオブジェクトをくまなく参照することが可能です。
今回は、管理者ではなくパスワードの変更対照となるユーザー(uid=testuser01,ou=People,dc=example-fedora,dc=jp )を指定することにします。こうすることで、パスワード変更後に接続できなくなることを確認することができます。

Password: テストユーザーの現在のパスワード

以上を入力したら[完了] ボタンで終了です。

3. 設定が正しければ、テストユーザーが見える範囲の情報が参照できるはずです。

4. テストユーザーのパスワードを、こちのスクリプトを使用して変更してみます

5. Ldap Brorserの表示をリフレッシュしてみると、以下のように接続エラーとなるはずです

(クリックして拡大)
※すみません。画像が間違えていましたので差し替えます。

6. プロファイルを右クリックして Properties を開き、Credentials 画面で変更後のパスワードを再設定すれば正しく接続できるはずです

さて、LDAP Browser は、もちろん、Active Directory に対しても使用可能です。

(クリックして拡大)

Active Directory には、ADSI Edit があるのに、わざわざ Ldap Browser を使う意味があるのか?という疑問もあるでしょう。実は「少しだけ」ですがあるんです。

上の画面を見ていただいてもわかるとおり、LDAP Browser では、オブジェクトを選択したとき、右側のペインに参照可能な属性が表示されます。 この「参照可能な」というのがミソなのです。

Active Directory は LDAP という性質上(という言い方は語弊があるかな)、規定では自分以外のユーザーの属性も参照可能です。Outlook 等のアドレス帳を Active Directory に設定すると、Active Directory に格納されているユーザーの属性情報を参照することができます。これは、多くの属性が「 Authenticated Users : Read 」に設定されているためであり、規定の動作です。しかし、属性の種類によっては公開したくないものもあるかもしれません。

こうした問題を回避するには、属性ごとにアクセス権を設定してあげる必要があります(これについては後日解説します)。

アクセス権の設定後、本当に見えなくなっているかどうかを確認するには、ADSI Edit のようにオブジェクトごとにプロパティ画面を開かなければならないツールよりも、LDAP Browser のように右側のペインに即表示されるもののほうが使いやすいことは間違いありません。

状況に応じて使い分けてみてください。