検索

16.4.3. ステップ 3: 同期 ID を選択または作成

download PDF
Windows 同期の設定に使用するユーザーは 2 つあります。
  • 同期合意で指定された AD ユーザー。
    同期合意で指定されたユーザーは、Directory Server が AD にバインドして更新の送受信を行うエンティティーです。AD ユーザーは Domain Admins グループのメンバーであるか、同等の権限を持っている必要があります。また、ディレクトリーの変更を複製する権限が必要になります。
    AD でユーザーを追加し、権限を設定する方法は、Microsoft のドキュメントを参照してください。
  • Password Sync サービスで指定される Directory Server ユーザー。
    Password Sync サービスで参照されるユーザーは、同期サブツリー内のすべてのエントリーに対する読み取りおよび書き込みパーミッションを持っている必要があります。また、Password Sync がパスワード変更を更新できるように、Directory Server のパスワード属性への書き込みアクセス権が必要です。
注記
同期合意(サプライヤー DN)にユーザーが AD サーバーに存在する。Password Sync 設定にユーザーが Directory Server に存在する。
Directory Server で同期ユーザーを作成するには、以下を実行します。
  1. パスワードで cn=sync user,cn=config などの新規エントリーを作成します。以下に例を示します。
    # ldapmodify -a -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
    
    dn: cn=sync user,cn=config
    changetype: add
    objectClass: inetorgperson
    objectClass: person
    objectClass: top
    cn: sync user
    sn: SU
    userPassword: secret
    passwordExpirationTime: 20380119031407Z
  2. ユーザーパスワードの比較および書き込みのために同期ユーザーにアクセスを付与する ACI を設定します。
    ACI は、同期するサブツリーの上部に設定する必要があります。以下に例を示します。
    # ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x
    
    dn: ou=people,dc=example,dc=com
    changetype: modify
    add: aci
    aci: (targetattr="userPassword")(version 3.0;acl "password sync";allow (write,compare) userdn="ldap:///cn=sync user,cn=config";)
    セキュリティー上の理由から、Password Sync ユーザーは Directory Manager ではなく、同期されたサブツリーに含めることはできません。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.