【IDM】パスワード同期機能の有効活用 その3 ~ unixUserPassword 属性から暗号化されたパスワードを取得する

本日、健康診断に行ってきました。健康診断…実は苦手でして… いい歳して恥ずかしい話ですが….子供のころから、わきの下とわき腹が弱いのです。なので苦手なのは心電図…それに輪をかけてつらかったのは「腹部エコー検査」なるもの…。なんか、先のツルツルのヤツを使って、わきの下とかわき腹をしつこいくらいにグリグリされました。これは、もう、拷問としか言いようがありません。 ということで、「わきの下とわき腹が弱いですが 何か?」 コミュニティを作り、医療機器業界に「わき腹非接触検査機器の開発」を働きかけると同時に、わきの下とわき腹がくすぐったくならない禁断の呪文を開発したいなぁと思う、今日この頃です。同士募集です。 それはさておき、以下の続きとなる その3 です。 【IDM】パスワード同期機能の有効活用 その1 ~ パスワード同期機能とは 【IDM】パスワード同期機能の有効活用 その2 ~ Windows Server 2008 でのパスワード同期機能のセットアップ 今回は、unixUserPassword 属性から、NIS用に暗号化されたパスワードを取り出します。msSFU30userPassword と違い、ちょっとコツがいります。 まずは、取り出しもとの unixUserPassword がいかなる特徴を持っているのか、見てみることにします。 ということで、スキーマツールを開きましょう。 Windows Server 2008 でのスキーマツールの開き方は従来通りです。以下のコマンドをコマンドプロンプトから入力後、mmc のツナップインに「Active Directory スキーマ」を追加してください。 c:>regsvr32 schmmgmt.dll スキーマツールを起動したら、属性一覧の中から「 unixUserPassword 」 を探して、プロパティを開いてみてください。 注意していただきたいのは、上記の赤丸の部分です。 オクテット文字列である 複数値である(戻り値がアレイ形式である) オクテット文字列とは、文字列を1文字ごとに8ビットのバイナリ形式で保存する形式です…うーん、あたりまえですね。説明よりも、以下をご覧ください。unixUserPassword 属性に格納されている値を ADSI Edit で表示したものです。  一見、何が格納されているかわからないですね。 上のバイナリ値の最初の「 01001101 」を 10進数に変換すると 77 になります。77…何か心当たりありませんか? 子供の頃に食べたアイスクリームのような….そう、「M」のアスキーコードです。 では、次の 00110111 はどうでしょう?10進にすれば…

7

【IDM】パスワード同期機能の有効活用 その2 ~ Windows Server 2008 でのパスワード同期機能のセットアップ

前回は、パスワード同期機能について簡単にお話しました。 【IDM】パスワード同期機能の有効活用 その1 ~ パスワード同期機能とは 今回は、Windows Server 2008 上で パスワード同期機能を使用するためのセットアップを行いましょう。 Windows Server 2008 上でパスワード同期機能を使用するには、はじめにサーバーマネージャの「役割の追加」から「Active Directory ドメイン サービス」をインストールし、ドメインコントローラとしてセットアップを完了しておく必要があります。 サーバーマネージャから「Active Directory ドメイン サービス」役割を追加 dcpromo を使用してドメインコントローラのインストールを行う 再起動 上記が完了したら、再度サーバーマネージャを起動し、以下のように「Active Directory ドメイン サービス」の関連サービスとして 「 UNIX 用 ID 管理」を追加します。 このとき、「パスワード同期」だけでなく、「NIS サーバー」「管理ツール」もあわせてインストールしてください。※NIS サーバーが必要ない場合には、あとから無効にできます インストールが完了すると、サーバーマネージャの「役割」には「UNIX用 Microsoft ID 管理」が表示されます。 次に、AD内部での パスワード同期を正しく動作させるために、以下の環境設定を行います。 [サーバーマネージャ] – [役割] – [Active Directory ドメイン サービス] – [UNIX用 Microsoft ID 管理]…

7

【IDM】パスワード同期機能の有効活用 その1 ~ パスワード同期機能とは

先日、薄暗い部屋で 掌(てのひら) をじっと見つめていたら「運命線」なるものが全く無いことに気づきました。ははぁん、どうりで… さて、話は変わりますが、「パスワード同期」機能 をご存知でしょうか? Active Directory と NIS のパスワードを双方向に、かつリアルタイム同期するという優れものですが、実際に運用で使用されている方は多くないようです。理由として、サポートされている OS のバージョンに制限があることや、場合によっては make しなおさなければならないといった部分で敷居が高いようです。 Windows Server 2003 以前 では、Service for UNIX をインストールすることでパスワード同期機能が使用可能になります。 Windows Services for UNIX 3.0 におけるパスワード同期http://www.microsoft.com/japan/technet/interopmigration/unix/sfu/psync.mspx Windows Server 2003 R2 および Windows Server 2008 以降では、「UNIX 用 ID 管理」を有効にすることでパスワード同期機能が使用可能になります。  Windows Server 2003 R2 – UNIX 用 ID 管理 : パスワード同期http://technet2.microsoft.com/WindowsServer/ja/library/bb1f0664-5f08-4a0c-b1cf-f7363e593c621041.mspx?mfr=true Windows Server 2003 R2 -…

8

【IDM】監査イベントを監視してユーザー管理を自動化するためのスクリプト(汎用版)

4月24日のセミナー「AD 次の一手」にて、「小規模なシステムの場合には、高価なパッケージではなくスクリプトレベルのプログラミングで同期を行うことも可能」というお話をしました。 セミナー資料にはスクリプトを掲載することができませんでしたが、ここに使用したスクリプトを掲載いたします。 以下のスクリプトは、DC001 というドメインコントローラに接続して、監査イベント 4720 と 5136 を待ち合わせるものです。VBscript で書かれていますので、拡張子を vbs として保存し、コマンドプロンプトから実行してください。 CScript xxxxx.vbs くれぐれも、あたまの CScript を忘れないでください。忘れると、ポップアップメッセージが大量に表示されることになります。もしくは、以下のコマンドで、事前にスクリプトのホストを cscript に変更しておきましょう。 Cscript //h:cscript ユーザー管理に関する監査イベントの詳細については、以下をご参照ください。  【Windows Server 2008】監査イベントの Event ID が変わりますhttp://blogs.technet.com/junichia/archive/2008/01/11/2008-id.aspx strDC = “DC001″UserAdmin = “”UserPassword = “” Rec = now & “,ドメインコントローラに接続します,” & “DC=” & strDCSet objLocator = CreateObject(“WbemScripting.SWbemLocator”)objLocator.Security_.Privileges.AddAsString “SeSecurityPrivilege”, TrueSet objService = objLocator.ConnectServer(DC, “root\cimv2”, UserAdmin, UserPassword)…

1

ILM "2" beta 2 のセットアップは .NET Framework 3.5 beta2 が必要

ILM “2” beta 2 の検証を行うために環境づくりをしていますが、以外に敷居が高く手こずり、たったいまセットアップを完了しました。 ILM “2” beta 2 のインストールガイドによれば、前提条件として以下の環境が要求されます。 Windows Server 2008 RC0 x64版 私は 日本語版 RC1 を使用しています。 IIS 7.0 役割の追加から追加すればOKです ASP.NET 2.0 IIS 7.0を追加しただけでは入りません。IISの役割の追加から、アプリケーション開発をインストールする必要があります。 .NET Framework 3.0 機能の追加からインストールします Windows SharePoint Service 3.0 with SP1 RC1 には WSS が含まれていません。ダウンロードセンターからダウンロードする必要があります。詳細は、以下をご覧ください。 2008:Windows Server 2008 RC1 の Windows SharePoint Service 3.0 はダウンロードセンターから  Microsoft .NET Framework 3.5 Beta2…


2008:auditpol で使用可能な subcategory の一覧を取得する

28日は久しぶりの IT Pro 道場でした。私は、高添スピーカーの補助としてオペレータを勤めたわけですが、操作担当といえども案外緊張するものです(笑)。 で、道場終了後にご質問をいただきましたので、この場を借りて回答させていただきます。 なお、監査については高添のblogでも触れられていますのでご一読ください。 http://blogs.technet.com/osamut/archive/2007/07/15/active-directory.aspxhttp://blogs.technet.com/osamut/archive/2007/07/15/windows-server-2008-active-directory.aspx 質問 auditpol で使用可能なsubcategoryの一覧を参照するにはどうしたらよいですか? 回答 /list パラメタを使用して category および subcategory 一覧を参照することができます。  ご質問の subcategory を参照するには、以下の通りに入力して実行します。  auditpol.exe /list /subcategory:* 実行したところ以下のような一覧を取得することができました。 システム  ←  category  セキュリティ状態の変更  ← subcategory  セキュリティ システムの拡張  システムの整合性  IPsec ドライバ  その他のシステム イベントログオン/ログオフ  ログオン  ログオフ  アカウント ロックアウト  IPsec メイン モード  IPsec クイック モード  IPsec 拡張モード  特殊なログオン  その他のログオン/ログオフ イベントオブジェクト アクセス  ファイル システム  レジストリ  カーネル オブジェクト  SAM  証明書サービス  生成されたアプリケーション  ハンドル操作  ファイルの共有  フィルタリング プラットフォーム パケットのドロップ  フィルタリング プラットフォームの接続  その他のオブジェクト アクセス イベント特権の使用  重要な特権の使用  重要でない特権の使用  その他の特権の使用イベント詳細追跡  プロセスの作成  プロセス終了  DPAPI アクティビティ  RPC イベントポリシーの変更  ポリシーの変更の監査  ポリシーの変更の認証  ポリシーの変更の承認  MPSSVC ルールレベル ポリシーの変更  フィルタリング プラットフォームのポリシー変更  その他のポリシー変更イベントアカウント管理  ユーザー アカウント管理  コンピュータ アカウント管理  セキュリティ グループ管理  配布グループの管理  アプリケーション グループ管理  その他のアカウント管理イベントDS アクセス  ディレクトリ サービス…

2

6月4日 道場で使用したスクリプト(ユーザー登録、OU作成、グループ作成)

6月4日のITPro道場に参加くださった皆様、および VBScript をこよなく愛しPowerShellになんか負けるか!という皆様へ ITPro道場当日に実行したスクリプトですが、せっかくですので、広く利用者のみなさんにも見ていただくために、こちらに掲載します。 #ITPro道場をご存じない方は、こちらをご覧ください ※スクリプト実行時の注意 スクリプトは「ここから」から「ここまで」をドラッグしてコピーし、メモ帳等のテキストエディタに貼り付けてください。先頭が「’(シングルクオーテーション)」で括られている行はコメント行ですので、削除しても問題ありません。ファイル名は何でも結構ですが、拡張子を vbs として保存していただければ動作します。実行するにあたり、事前に以下のように「cscript.exe」をスクリプトホストとして設定しておいてください。   ‘ ここから’ ‘ ************************************************************************************’ ドメインオブジェクトの取得’ ************************************************************************************’ まずはActive Directoryの最も基本的な情報であるドメインオブジェクト(objDomain)’ を取得します。’このオブジェクトを元に、様々な処理を行います。’ 以下の4行はお約束で、自分が参加しているドメインのオブジェクトが返されます。’ 自分が参加している以外のドメインオブジェクトが必要な場合には、DomainPath に’ 「 dc=microsoft,dc=com 」のようにドメインのDN(Distinguished Name)を指定してください。Set objRootDSE = GetObject(“ldap://RootDSE/”)DomainPath = objRootDSE.Get(“DefaultNamingContext”)containerADsPath = “LDAP://” & DomainPathSet objDomain = GetObject(containerADsPath) ‘ ************************************************************************************’ ITPro道場 OUの作成’ ************************************************************************************’ ユーザーID作成先の「いれもの」であるOU(Organizational Unit)を作成します’ 作成するOUの名前は「ITPro道場」です。’ スクリプトを見ていただくとわかるように、上で作成したドメインオブジェクト(objDomain)’ に対してCreateを行っています。’ はじめての方は、なんとなーくでよいので雰囲気をつかんでください。’ 以下の行により、objOU_Dojo というOUオブジェクトが作成されます。’ 以降、OUに対する処理は objOU_Dojo を使用します。Set objOU_Dojo…

2

ADFS + SiteMinder による WEB SSO 実現のためのステップバイステップドキュメントが公開

濃い話になってしまってすいません。 ADFS Step-by-Step Guide: Federation with CA SiteMinder Federation Security Services というドキュメントが公開されました。 ADFSは、Active Directory Federation Service の略で、2003R2 からサポートされた認証技術ですが、これについては既にご存知かと思います。 #Longhorn もとい Windows Server 2008 では、AD  FS というように、間に空白を入れて表記していますね。 ADFS は WS-Federation  Passive Requestor Profile (WS-F PRP) をサポートしたサービスで、異なる企業間で WEB ベースの相互認証を実現します。もちろん、WS-Federation に準拠した実装であれば、MS じゃなくても相互認証できるわけです。ってことは…WS-Federation 準拠システムだらけになれば、あの夢にまで見た SSO が現実的になるということです….が、実際には政治的なパワーも絡みますので、一朝一夕とはいかないようです。 …..とここまでは、ずいぶん前からアナウンスされてますのでご存知の方も多いかと思いますし、それなりに夢も持てる話題なのですが、ひとまず 「本当に相互接続できるの?」と懐疑的になっていらっしゃる方も多いかと…。 そんな疑問にお答えできるのが本ドキュメントです。 CA 社 の SiteMinder WebAccess Manager といえば 狭義のSSO だけでなく Role…

1

Identity & Access Solutions

皆さんもご存じのとおり、企業や大学のネットワーク上には多くのリソースが設置されています。多くの場合、それらは相互に連携していません。連携とは、「相互に認証しあったり、お互いの設定を引き継ぎあったり」といったことを指しています。そのため、利用者は複数のIDやパスワードを覚える必要がありますし、一方で管理者は複数のシステムのユーザーIDを準備し、かつリソースへのアクセス権を適切に設定しなければならないといった複雑な管理作業を強いられています。それらによるコストの増大やリスクは無視できないものとなっているわけです。 じゃ、こういう状況に対し、マイクロソフトはどう考えているのかといえば、こう考えています 効率的なユーザーIDの管理はビジネス上の最優先課題である でもって、その課題を以下の5つに分類しています。 ユーザーID情報の自動管理 対応プロダクト:Identity Lifecycle Manager 2007 (ILM 2007) ILM2007は、従来 Microsoft Identity Management Server 2003 と呼ばれていた製品の後継です。IM2007自身が中央のメタデータベースの役割を果たし、ルールやポリシーに従って周辺のディレクトリサーバやデータベース、アプリケーションサーバにID情報およびそれに関連したアクセス権情報を同期します。実際に同期を行うのは MA(Management Agent)と呼ばれるプログラムで、ILM2007が提供しているMAのほか、独自に作りこむこともできます。 データファイルの保護 対応プロダクト:Microsoft Windows Rights Management Services (RMS) PPTをお客様に送りたいけど編集や印刷は行ってほしくない…と思ったことはありませんか?仕方なくPDFに変換して送るといったことは、お客様を担当されているSEや営業さんであれば1度はあるはずです。RMSを使用すると、Office Systemで作成したデータファイルを暗号化するとともに、アクセス権の設定によって不正なアクセスから保護することができます。また、アクセスの種類として印刷や複製を制限したり、有効期限を設定することも可能です。 INFORMATION AUTHOR 所有者はRMSからライセンス認証を受け証明書が発行される(初回) 所有者がデータファイルに対してアクセス権と使用条件を設定して暗号化する。このときアクセス権と使用条件が記載された「ライセンス」がコンテンツに付加される。 ファイルの送信 Recipient 受け取ったファイルを開こうとすると、それに関連付いたアプリケーションはRMSクライアントモジュールを呼び出す。RMSクライアントはRMSサーバにアクセスし、ライセンス情報のチェックを行う。 チェックが完了し、許可されたユーザーであれば、あらかじめ「ライセンス」に書き込まれている範囲でデータを取り扱うことができる。 組織間のセキュアな連携 対応プロダクト:Microsoft Active Directory Federation Services (ADFS) Federationとは、連合とか連盟という意味です。ADFSは組織内および組織間、さらには企業間で効率的で安全なリソース管理を行い、Single SignOnを実現するための技術です。いうなれば、NTドメインの「信頼関係」という考え方を、エンタープライズレベルに拡大可能とした技術とでもいいましょうか。MS独自技術ではなく、WSS1.0 として策定された業界標準であり、Sun Microsystems社やIBM社なども、本仕様の策定に関わっています。つまり、MS製品間のみを対象としているのではなく、広くマルチベンダー間でのWEBベースSSOの実現を目的としたものなのです。 強化された認証 対応プロダクト:Windows Certificate Services (CS) おなじみの証明書発行サービスですね。Windowsが提供する証明書サービスを使用する利点は、Active Directoryと統合されているというところです。これにより、管理者はユーザーをキーとした各種属性に加え、証明書もActive…