Red Hat Summit16.3. パスワードの同期
Directory Server エントリーのパスワード変更は、Password Sync ユーティリティーを使用して Active Directory エントリーのパスワード属性に同期できます。
パスワードの同期時に、パスワードポリシーは各同期ピアに対してローカルに強制されます。Directory Server でパスワードが変更すると、Directory Server の構文または最小長の要件が適用されます。変更したパスワードが Windows サーバーと同期すると、Windows パスワードポリシーが適用されます。パスワードポリシー自体は同期されません。
パスワード変更履歴やアカウントロックアウトカウンターなどの設定情報はローカルに保持され、同期できません。
同期用のパスワードポリシーを設定する場合は、以下の点を考慮してください。
- Password Sync ユーティリティーは、Directory Server と同期する Windows マシンにローカルにインストールする必要があります。
- Password Sync は、Windows マシンを 1 つの Directory Server にのみリンクできます。複数の Directory Server インスタンスと変更を同期するには、マルチマスターレプリケーション用に Directory Server を設定します。
- パスワードの有効期限の警告および時間、バインド試行の失敗、その他のパスワード関連の情報はサーバーごとにローカルで適用され、同期ピアサーバー間で同期されません。
- バインド動作は、すべてのサーバーで発生します。Directory Server サーバーおよび Active Directory サーバーの両方で、同じパスワードポリシーまたは同様のパスワードポリシーを作成してください。
- 同期用に作成されるエントリー (例: サーバーアイデンティティー) には有効期限のないパスワードが必要です。これらの特別なユーザーが期限切れにならないパスワードを持っていることを確認するために、Directory Server のエントリーに
passwordExpirationTime属性を追加し、それに 20380119031407Z の値 (有効範囲の一番上) を指定します。
Directory Server および Windows ユーザーとパスワードの同期の詳細は、16章Red Hat Directory Server と Microsoft Active Directory の同期 を参照してください。
