6.6. パスワード同期の管理
ユーザーエントリーの同期は、同期合意で設定されます。ただし、Active Directory と Identity Management の両方のパスワードは、通常のユーザー同期プロセスに含まれません。ユーザーアカウントの作成またはパスワードの変更時にパスワードを取り込み、同期された更新でそのパスワード情報を転送できるようにするには、別のクライアントが Active Directory サーバー上にインストールされる必要があります。
注記
パスワード同期クライアントはパスワード変更を取得し、Active Directory と IdM との間で同期します。これは、新しいパスワードまたはパスワードの更新を同期することを意味します。
IdM および Active Directory の両方にハッシュ化されたフォームに格納されている既存のパスワードは、Password Synchronization クライアントのインストール時に復号または同期できません。そのため、既存のパスワードは同期されません。ピアサーバー間の同期を開始するには、ユーザーパスワードを変更する必要があります。
6.6.1. パスワード同期のための Windows Server のセットアップ
パスワードの同期には、以下の点が必要になります。
- Active Directory が SSL で実行されている必要があります。注記エンタープライズルートモードで Microsoft Certificate System をインストールします。Active Directory は自動的に登録され、SSL サーバー証明書を取得します。
- パスワード同期サービスは、各 Active Directory ドメインコントローラーにインストールする必要があります。Windows からのパスワードを同期するには、PassSync サービスが暗号化されていないパスワードにアクセスし、安全な IdM 接続上でこれを同期する必要があります。ユーザーはパスワードを各ドメインコントローラー上で変更することができるため、PassSync サービスを各ドメインコントローラーにインストールする必要があります。
- パスワードポリシーは、IdM および Active Directory 側で同様に設定する必要があります。同期先で更新済みパスワードを受け取る際には、ソース上のポリシーに対してのみ検証が行われます。同期先での再検証は行われません。
Active Directory パスワードの複雑性ポリシーが有効になっていることを確認するには、Active Directory ドメインコントローラーで実行します。
> dsquery * -scope base -attr pwdProperties pwdProperties 1
属性
pwdProperties
の値が 1
に設定されている場合は、パスワードの複雑さポリシーがドメインに対して有効になります。
注記
グループポリシーで Organizational Units (ou) の逸脱したパスワード設定が定義されているかどうかわからない場合は、グループポリシー管理者に問い合わせてください。
ドメイン全体で Active Directory パスワードの複雑性設定を有効にするには、以下を実行します。
- コマンドラインから
gpmc.msc
を実行します。 を開きます。 - Group Policy Management Editor が自動的に開きます。
を開きます。 - Password must meet complexity requirements オプションを有効にし、保存します。