【IDM】パスワード同期機能の有効活用 その2 ~ Windows Server 2008 でのパスワード同期機能のセットアップ
前回は、パスワード同期機能について簡単にお話しました。
【IDM】パスワード同期機能の有効活用 その1 ~ パスワード同期機能とは
今回は、Windows Server 2008 上で パスワード同期機能を使用するためのセットアップを行いましょう。
Windows Server 2008 上でパスワード同期機能を使用するには、はじめにサーバーマネージャの「役割の追加」から「Active Directory ドメイン サービス」をインストールし、ドメインコントローラとしてセットアップを完了しておく必要があります。
- サーバーマネージャから「Active Directory ドメイン サービス」役割を追加
- dcpromo を使用してドメインコントローラのインストールを行う
- 再起動
上記が完了したら、再度サーバーマネージャを起動し、以下のように「Active Directory ドメイン サービス」の関連サービスとして 「 UNIX 用 ID 管理」を追加します。
このとき、「パスワード同期」だけでなく、「NIS サーバー」「管理ツール」もあわせてインストールしてください。
※NIS サーバーが必要ない場合には、あとから無効にできます
インストールが完了すると、サーバーマネージャの「役割」には「UNIX用 Microsoft ID 管理」が表示されます。
次に、AD内部での パスワード同期を正しく動作させるために、以下の環境設定を行います。
[サーバーマネージャ] - [役割] - [Active Directory ドメイン サービス] - [UNIX用 Microsoft ID 管理] - [パスワード同期] を右クリックして、コンテキストメニューから「プロパティ」を選択すると、以下の画面が表示されます。
画面下部の「キーの生成」をクリックして、キーをリセットしてください。
次に、「構成」タブに切り替え、「Winodws から NIS(Active Directory)へのパスワード同期」を有効にします。これにより、パスワード変更時に unixUserPassword にパスワードが同期されます。
次に、以下の画面のように、NISサーバーを右クリックして「UNIXパスワードの暗号化」を選択します。
以下の画面が表示されるので、暗号化の形式を選択してください。
以上でパスワード同期機能の設定は完了です。
NISサーバーが必要ない場合には、「Server for NIS」サービスを無効にしてしまって問題ありません。
簡単に動作確認をしてみましょう。
「Active Directory ユーザーとコンピュータ」を使用して、新しいユーザーを作成します。
その際、必ず「UNIX属性」を設定してください。この設定がなされていない場合には、パスワードの同期は行われません。
ここで...もしプライマリグループの設定が行えない場合には、はじめに プライマリグループ自身(ここでは Domain Users) にもUNIX属性を設定してください。
設定が完了したら、パスワードを変更してみましょう。
方法はなんでもかまいません。コマンドプロンプトから、net user testuser01 password と入力してもOKです。
パスワードが正常に変更できたら、ユーザーのプロパティから「属性エディタ」タブを選択します。
※属性エディタタブが表示されていない場合には、「Active Directory ユーザーとコンピュータ」の「表示」メニューで「拡張機能」を有効にしてください
属性の一覧から unixUserPassword を探すと、以下のように表示されているはずです。以下のパスワードは、MD5 で暗号化されています。
いかがでしょうか。ここまではうまくいきましたか?
次回は、スクリプトを使用して、unixUserPassword から暗号化されたパスワードを取り出します。
