15.6. パスワード同期の管理
ユーザーエントリーの同期が同期合意と設定されている。ただし、Active Directory と Identity Management の両方のパスワードは保存時にハッシュ化され、ユーザー同期プロセスの一部として復号化できません。ユーザーアカウントの作成またはパスワードの変更時にパスワードを取り込み、同期更新でそのパスワード情報を転送できるようにするには、別のクライアントが Active Directory サーバー上にインストールされる必要があります。
重要
IdM は現在、ユーザーアカウントの初期パスワード同期に対応していないことに注意してください。IdM にパスワードを同期するには、最初にパスワードを手動で変更する必要があります。
15.6.1. パスワード同期のための Windows Server のセットアップ
パスワードの同期には、以下の 2 つの項目が必要です。
パスワード同期サービスは、パスワードの変更を記録し、セキュアな接続で IdM エントリーに同期します。
- Active Directory が SSL で実行されている必要があります。
- パスワード同期サービスは、各 Active Directory ドメインコントローラーにインストールする必要があります。
ヒント
エンタープライズルートモードで Microsoft Certificate System をインストールします。Active Directory は自動的に登録され、SSL サーバー証明書を取得します。
- Active Directory パスワードの複雑さのポリシーが有効になっていることを確認し、パスワード同期サービスを実行します。
- コマンドライン
secpol.msc
から実行します。 - Password must meet complexity requirements オプションを有効にし、保存します。
- SSL がまだ有効になっていない場合は、Active Directory サーバーに SSL を設定します。LDAPS の設定に関する詳細は、http://support.microsoft.com/kb/321051 の Microsoft ナレッジベースを参照してください。
- プログラムの 追加/削除 の Windows コンポーネント セクションに認証局をインストールします。
- Enterprise Root CA オプションを選択します。
- Active Directory サーバーを再起動します。IIS Web サービスを実行している場合は、http://servername/certsrv を開いて CA 証明書にアクセスできます。
- SSL サーバー証明書を使用するように Active Directory サーバーを設定します。
- Active Directory の完全修飾ドメイン名を証明書サブジェクトとして使用し 、証明書要求
.inf
を作成します。たとえば、以下のようになります。;----------------- request.inf ----------------- [Version] Signature="$Windows NT$ [NewRequest] Subject = "CN=ad.server.example.com, O=Engineering, L=Raleigh, S=North Carolina, C=US" KeySpec = 1 KeyLength = 2048 Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ;-----------------------------------------------
.inf
リクエストファイルの詳細は、http://technet.microsoft.com/en-us/library/cc783835.aspx などの Microsoft ドキュメントを参照してください。 - 証明書要求を生成します。
certreq -new request.inf request.req
- Active Directory CA にリクエストを送信します。以下に例を示します。
certreq -submit request.req certnew.cer
注記コマンドラインツールがエラーメッセージを返す場合は、Web ブラウザーを使用して CA にアクセスし、証明書要求を送信します。IIS が実行されている場合、CA URL は http://servername/certsrv になります。 - 証明書要求を受け入れます。以下に例を示します。
certreq -accept certnew.cer
- サーバー証明書が Active Directory サーバーに存在していることを確認します。
- Directory Server から Active Directory に CA 証明書をインポートします。Trusted Root CA をクリックし、続いて Import をクリックして Directory Server CA 証明書を参照します。
- ドメインコントローラーを再起動します。