6.5. 同期合意の管理
6.5.1. 同期合意の作成
同期合意は、Active Directory ドメインへの 接続 を作成するため、IdM サーバー上では ipa-replica-manage connect コマンドを使用して作成します。Active Directory に対して暗号化された接続を確立するため、IdM は Windows CA 証明書を信頼する必要があります。
- root 証明局 (CA) の証明書は IdM サーバーにコピーします。
- Active Directory CA 証明書が自己署名されている場合は、以下を実行します。
- Windows サーバーで Active Directory CA 証明書をエクスポートします。
- Super key+R のキーボードの組み合わせを押して、実行 ダイアログを開きます。
- certsrv.msc と入力し、 をクリックします。
- ローカルの認証局の名前を右クリックし、Properties を選択します。
- 全般 タブで、CA certificates フィールドでエクスポートする証明書を選択し、 をクリックします。
- 詳細 タブで、 をクリックして 証明書のエクスポートウィザード を起動します。
- Base-64 encoded X.509 (.CER) を選択します。をクリックしてから、
- エクスポートされたファイルに適切なディレクトリーおよびファイル名を指定します。をクリックして証明書をエクスポートし、 をクリックします。
- エクスポートされた証明書を IdM サーバーマシンにコピーします。
- Active Directory CA 証明書が外部 CA により署名されている場合は、以下を行います。
- どの証明書が CA root 証明書かを見つけるには、証明書チェーンを表示します。
# openssl s_client -connect adserver.example.com:636 CONNECTED(00000003) depth=1 C = US, O = Demo Company, OU = IT, CN = Demo CA-28 verify error:num=20:unable to get local issuer certificate verify return:0 --- Certificate chain 0 s:/C=US/O=Demo Company/OU=IT/CN=adserver.example.com i:/C=US/O=Demo Company/OU=IT/CN=Demo CA-1 1 s:/C=US/O=Demo Company/OU=IT/CN=Demo CA-1 i:/C=US/O=Demo Company/OU=IT/CN=Demo Root CA 2
上記の例では、Active Directory サーバーの CA 証明書は、CN=Demo Root CA 2
で署名されたCN=Demo CA-1
で署名されています。つまり、CN=Demo Root CA 2
が root CA であることが分かります。 - CA 証明書を IdM サーバーにコピーします。
- IdM サーバー上の既存の Kerberos 資格情報を削除します。
$ kdestroy
- ipa-replica-manage コマンドを使用して Windows 同期合意を作成します。これには、
--winsync
オプションが必要です。パスワードとユーザーアカウントを同期する場合は、--passsync
オプションも使用して、パスワード同期に使用するパスワードを設定します。--binddn
オプションおよび--bindpw
オプションを指定すると、IdM が Active Directory サーバーへの接続に使用する Active Directory サーバー上のシステムアカウントにユーザー名およびパスワードを設定します。$ ipa-replica-manage connect --winsync \ --binddn cn=administrator,cn=users,dc=example,dc=com \ --bindpw Windows-secret \ --passsync secretpwd \ --cacert /etc/openldap/cacerts/windows.cer \ adserver.example.com -v
--winsync
: Windows の同期合意として指定します。--bindDN
: IdM は、Active Directory アカウントのこの DN を使用してリモートディレクトリーにバインドし、属性を同期します。--bindpw
: 同期アカウントのパスワード。--cacert
: 以下への完全パスおよびファイル名。- Active Directory CA 証明書 (CA が自己署名されている場合)
- 外部 CA 証明書 (Active Directory CA が外部 CA によって署名されている場合)
--win-subtree
: 同期するユーザーが含まれる Windows ディレクトリーサブツリーの DN。デフォルト値はcn=Users,$SUFFIX
です。AD_server_name
: Active Directory ドメインコントローラーの完全修飾ドメイン名 (FQDN)。
- プロンプトが出されたら、Directory Manager のパスワードを入力します。
- 任意。「パスワード同期のセットアップ」 に説明されているようにパスワードの同期を設定します。パスワード同期クライアントがない場合、ユーザー属性はピアサーバー間で同期されますが、パスワードは同期されません。注記パスワード同期クライアントはパスワード変更を取得し、Active Directory と IdM との間で同期します。これは、新しいパスワードまたはパスワードの更新を同期することを意味します。IdM および Active Directory の両方にハッシュ化されたフォームに格納されている既存のパスワードは、Password Synchronization クライアントのインストール時に復号または同期できません。そのため、既存のパスワードは同期されません。ピアサーバー間の同期を開始するには、ユーザーパスワードを変更する必要があります。