同僚の安納さんのブログで、Active Directory と Unix/Linux のパスワードの同期機能について、Windows Server 2008 での方法が詳しく書かれています。

• 【IDM】パスワード同期機能の有効活用 その1
  ～ パスワード同期機能とは
• 【IDM】パスワード同期機能の有効活用 その2
  ～ Windows Server 2008 でのパスワード同期機能のセットアップ
• 【IDM】パスワード同期機能の有効活用 その3
  ～ unixUserPassword 属性から暗号化されたパスワードを取得する

私も大変興味のある分野ですので、さっそく試してみました。ブログに書かれている通りに進めていくと、簡単にセットアップできました。ID の統合を検討されている方は、この同期の手法は、 Linux/Unix のログイン認証を AD に統合するよりも、わかりやすくシンプルなので、まずはここから始めてみるのもいいかもしれませんね。

ところで、その３では Linux/Unix に同期される、暗号化されたパスワード文字列を、LDAP クエリーで取り出す方法が紹介されていますが、ここでは PowerShell 版を作ってみたいと思います。以下のようなパスワード文字列を取り出します。

まずは、Active Directory に LDAP で接続し、クエリの準備をします。

$domain = [adsi]"" 
$searcher = New-Object System.DirectoryServices.DirectorySearcher $domain 
$searcher.Filter = '(&(objectClass=User)(sAMAccountName=testuser001))'

カレントの ADSI オブジェクトを取得し ($domain)、検索のための DirectorySearcher オブジェクト を作成します ($searcher)。$searcher にフィルタを設定します。LDAP サーバーや、バインドするオブジェクトを指定する場合は、パスを指定してください。

$domain = [adsi]"LDAP://localhost/dc=example1,dc=jp"

$domain の中を見てみると、ディレクトリに関する情報が入っています。(以下、確認のための操作には、プロンプト PS C:\> を付けています。）

PS C:\> $domain | format-list *

objectClass                      : {top, domain, domainDNS}
distinguishedName                : {DC=example1,DC=jp}
instanceType                     : {5}
...(略)...

次に LDAP クエリを実行し、ユーザーオブジェクトを取得します。

$user = $searcher.FindOne()

$user の Properties プロパティに属性が入っていますので unixUserPassword の値を確認してみましょう。(DirectorySearcher の PropertiesToLoad プロパティに指定がない場合は、すべての属性が Properties に返されます。) unixUserPassword は複数値ですので、最初の値を取り出すため [0] を指定します。

PS C:\> $user.Properties.unixuserpassword[0] 
71 
121 
49 
110 
65 
77 
90 
105 
65 
88 
84 
102 
89

PS C:\> $user.Properties.unixuserpassword[0] | Get-Member 

   TypeName: System.Byte[] 

...(略)...

バイト列になっていますので、これを文字列に変換します。変換には、.NET Framework の System.Text のクラスが便利です。

$enc = new-object System.Text.UTF8Encoding 
$password = $enc.GetString($user.Properties.unixuserpassword[0])

このようにしてパスワード文字列を取り出すことができます。

PS C:\> $password
Gy1nAMZiAXTfY