15.6. パスワード同期の管理


ユーザーエントリーの同期が同期合意と設定されている。ただし、Active Directory と Identity Management の両方のパスワードは保存時にハッシュ化され、ユーザー同期プロセスの一部として復号化できません。ユーザーアカウントの作成またはパスワードの変更時にパスワードを取り込み、同期更新でそのパスワード情報を転送できるようにするには、別のクライアントが Active Directory サーバー上にインストールされる必要があります。
重要
IdM は現在、ユーザーアカウントの初期パスワード同期に対応していないことに注意してください。IdM にパスワードを同期するには、最初にパスワードを手動で変更する必要があります。

15.6.1. パスワード同期のための Windows Server のセットアップ

パスワードの同期には、以下の 2 つの項目が必要です。
  • Active Directory が SSL で実行されている必要があります。
  • パスワード同期サービスは、 Active Directory ドメインコントローラーにインストールする必要があります。
パスワード同期サービスは、パスワードの変更を記録し、セキュアな接続で IdM エントリーに同期します。
ヒント
エンタープライズルートモードで Microsoft Certificate System をインストールします。Active Directory は自動的に登録され、SSL サーバー証明書を取得します。
  1. Active Directory パスワードの複雑さのポリシーが有効になっていることを確認し、パスワード同期サービスを実行します。
    1. コマンドライン secpol.msc から実行します。
    2. セキュリティー設定 を選択します。
    3. アカウントポリシー を開き、パスワードポリシーを開きます。
    4. Password must meet complexity requirements オプションを有効にし、保存します。
  2. SSL がまだ有効になっていない場合は、Active Directory サーバーに SSL を設定します。LDAPS の設定に関する詳細は、http://support.microsoft.com/kb/321051 の Microsoft ナレッジベースを参照してください。
    1. プログラムの 追加/削除Windows コンポーネント セクションに認証局をインストールします。
    2. Enterprise Root CA オプションを選択します。
    3. Active Directory サーバーを再起動します。IIS Web サービスを実行している場合は、http://servername/certsrv を開いて CA 証明書にアクセスできます。
    4. SSL サーバー証明書を使用するように Active Directory サーバーを設定します。
      1. Active Directory の完全修飾ドメイン名を証明書サブジェクトとして使用し 、証明書要求 .inf を作成します。たとえば、以下のようになります。
        ;----------------- request.inf ----------------- 
        
        [Version] 
        
        Signature="$Windows NT$ 
        
        [NewRequest]
        
        Subject = "CN=ad.server.example.com, O=Engineering, L=Raleigh, S=North Carolina, C=US"
        KeySpec = 1 
        KeyLength = 2048 
        Exportable = TRUE 
        MachineKeySet = TRUE 
        SMIME = False 
        PrivateKeyArchive = FALSE 
        UserProtected = FALSE 
        UseExistingKeySet = FALSE 
        ProviderName = "Microsoft RSA SChannel Cryptographic Provider" 
        ProviderType = 12
        RequestType = PKCS10 
        KeyUsage = 0xa0 
        
        [EnhancedKeyUsageExtension] 
        
        OID=1.3.6.1.5.5.7.3.1 
        
        ;-----------------------------------------------
        .inf リクエストファイルの詳細は、http://technet.microsoft.com/en-us/library/cc783835.aspx などの Microsoft ドキュメントを参照してください。
      2. 証明書要求を生成します。
        certreq -new request.inf request.req
      3. Active Directory CA にリクエストを送信します。以下に例を示します。
        certreq -submit request.req certnew.cer
        注記
        コマンドラインツールがエラーメッセージを返す場合は、Web ブラウザーを使用して CA にアクセスし、証明書要求を送信します。IIS が実行されている場合、CA URL は http://servername/certsrv になります。
      4. 証明書要求を受け入れます。以下に例を示します。
        certreq -accept certnew.cer
      5. サーバー証明書が Active Directory サーバーに存在していることを確認します。
        File メニューで Add/Remove をクリックし、CertificatesPersonal>Certificates をクリックします。
      6. Directory Server から Active Directory に CA 証明書をインポートします。Trusted Root CA をクリックし、続いて Import をクリックして Directory Server CA 証明書を参照します。
    5. ドメインコントローラーを再起動します。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.