Freigeben über

【IDM】パスワード同期機能の有効活用 その2 ~ Windows Server 2008 でのパスワード同期機能のセットアップ

  • Artikel

前回は、パスワード同期機能について簡単にお話しました。

【IDM】パスワード同期機能の有効活用 その1 ~ パスワード同期機能とは

今回は、Windows Server 2008 上で パスワード同期機能を使用するためのセットアップを行いましょう。

Windows Server 2008 上でパスワード同期機能を使用するには、はじめにサーバーマネージャの「役割の追加」から「Active Directory ドメイン サービス」をインストールし、ドメインコントローラとしてセットアップを完了しておく必要があります。

  • サーバーマネージャから「Active Directory ドメイン サービス」役割を追加
  • dcpromo を使用してドメインコントローラのインストールを行う
  • 再起動

上記が完了したら、再度サーバーマネージャを起動し、以下のように「Active Directory ドメイン サービス」の関連サービスとして 「 UNIX 用 ID 管理」を追加します。

このとき、「パスワード同期」だけでなく、「NIS サーバー」「管理ツール」もあわせてインストールしてください。
※NIS サーバーが必要ない場合には、あとから無効にできます

インストールが完了すると、サーバーマネージャの「役割」には「UNIX用 Microsoft ID 管理」が表示されます。

次に、AD内部での パスワード同期を正しく動作させるために、以下の環境設定を行います。

[サーバーマネージャ] - [役割] - [Active Directory ドメイン サービス] - [UNIX用 Microsoft ID 管理] - [パスワード同期] を右クリックして、コンテキストメニューから「プロパティ」を選択すると、以下の画面が表示されます。

画面下部の「キーの生成」をクリックして、キーをリセットしてください。

次に、「構成」タブに切り替え、「Winodws から NIS(Active Directory)へのパスワード同期」を有効にします。これにより、パスワード変更時に unixUserPassword にパスワードが同期されます。

 

次に、以下の画面のように、NISサーバーを右クリックして「UNIXパスワードの暗号化」を選択します。

以下の画面が表示されるので、暗号化の形式を選択してください。

以上でパスワード同期機能の設定は完了です。

NISサーバーが必要ない場合には、「Server for NIS」サービスを無効にしてしまって問題ありません。

 

簡単に動作確認をしてみましょう。

「Active Directory ユーザーとコンピュータ」を使用して、新しいユーザーを作成します。

その際、必ず「UNIX属性」を設定してください。この設定がなされていない場合には、パスワードの同期は行われません。

ここで...もしプライマリグループの設定が行えない場合には、はじめに プライマリグループ自身(ここでは Domain Users) にもUNIX属性を設定してください。

設定が完了したら、パスワードを変更してみましょう。

方法はなんでもかまいません。コマンドプロンプトから、net user testuser01 password と入力してもOKです。

パスワードが正常に変更できたら、ユーザーのプロパティから「属性エディタ」タブを選択します。

※属性エディタタブが表示されていない場合には、「Active Directory ユーザーとコンピュータ」の「表示」メニューで「拡張機能」を有効にしてください

属性の一覧から unixUserPassword を探すと、以下のように表示されているはずです。以下のパスワードは、MD5 で暗号化されています。

いかがでしょうか。ここまではうまくいきましたか?

次回は、スクリプトを使用して、unixUserPassword から暗号化されたパスワードを取り出します。

Comments

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    January 01, 2003
    同僚の安納さんのブログで、Active Directory と Unix/Linux のパスワードの同期機能について、Windows Server 2008 での方法が詳しく書かれています。 【IDM】パスワード同期機能の有効活用

  • Anonymous
    January 01, 2003
    ある調べごとがあり、「'watch node'」 という単語を 某検索エンジンに放り込んだところ、以下の表示が。 もしかして: 'watch nude ' し、し、しっ、失礼なっっっ! それはともかく、Active

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    January 01, 2003
    ある調べごとがあり、「'watch node'」 という単語を 某検索エンジンに放り込んだところ、以下の表示が。 もしかして: 'watch nude ' し、し、しっ、失礼なっっっ! それはともかく

  • Anonymous
    January 01, 2003
    Software Disign 2009年3月号 からいらしたみなさん、こんにちは。 Appendix 「Active Directory の基礎知識」の「UNIX用ID管理」のインストール手順を、このページで補足いたします。

  • Anonymous
    January 01, 2003
    【IDM】パスワード同期機能の有効活用 その1 ~ パスワード同期機能とは 【IDM】パスワード同期機能の有効活用 その2 ~ Windows Server 2008 でのパスワード同期機能のセットアップ