Active Directory とのパスワードの同期
Windows 2000 でのデフォルトのパスワードポリシーは Windows 2003 で変更され、強力なパスワードがデフォルトで要求されます。
Identity Synchronization for Windows のサービスでは、たとえば Directory Server から Active Directory に対する resync -c の実行時のように、パスワードを持たないエントリの作成が必要なことがあります。したがって、Active Directory (Windows 2000 または 2003 の場合) または Directory Server でパスワードポリシーが有効な場合は、ユーザー作成エラーが発生することがあります。
Active Directory または Directory Server でパスワードポリシーを無効にする必要はありませんが、パスワードポリシーの要求に関連した問題を理解してください。
Windows 2003 Server Standard または Enterprise Edition 上の Active Directory とパスワードを同期する場合は、次のインストールの情報が重要です。
-
Windows にインストールする場合は、Active Directory コネクタを Solaris OS、Red Hat Linux、または Windows にインストールできます。
注 –Active Directory コネクタは、Windows 2000 と Windows 2003 Server の両方の Active Directory と連携します。
-
Windows 2003 でディレクトリソース、グローバルカタログ、および同期ユーザーリストを作成する手順は、Windows 2000 の Active Directory での手順と同じです。
-
Windows Server 2003 では、デフォルトのパスワードポリシーで強力なパスワードが要求されますが、これは Windows 2000 でのデフォルトのパスワードポリシーと異なります。
パスワードポリシーの要求
この節では、Windows 2000、Windows 2003 Server、および Sun Java System Directory Server の Active Directory のパスワードポリシーが同期の結果に与える影響について説明します。
そのトポロジで要求されるパスワードポリシーを満たす Active Directory (または Directory Server) でユーザーを作成する場合は、ユーザーを 2 つのシステム間で適切に作成および同期することができます。両方のディレクトリソースでパスワードポリシーが有効な場合、パスワードは両方のディレクトリソースのポリシーを満たす必要があり、そうでないと同期されたユーザー作成は失敗します。
-
Active Directory でパスワードポリシー機能を有効にする場合は、Directory Server で同様の設定または同一のパスワードポリシーを有効にするようにしてください。
-
Active Directory と Directory Server の両方で一貫性のあるパスワードポリシーを作成できない場合は、パスワードおよびユーザー作成で信頼できるソースであるとみなすディレクトリソースでパスワードポリシーを有効にするようにしてください。ただし、一部のパスワードポリシー設定が原因で、ユーザーが想定どおりに作成できないことがあります。
注 –Identity Synchronization for Windows はパスワードの期限切れを同期しません。
この節の内容は次のとおりです。
Directory Server のパスワードポリシー
Directory Server パスワードポリシーに違反するパスワードを使用して Active Directory でユーザーを作成すると、それらのユーザーは Directory Server で作成および同期されますが、エントリはパスワードなしで作成されます。パスワードは新しいユーザーが Directory Server にログインするまで設定されません (ログインでオンデマンドパスワード同期がトリガーされる)。この時点では、パスワードが Directory Server パスワードポリシーに違反しているため、ログインは失敗します。
この状態から回復するには、次のいずれかを行います。
-
Active Directory への次回ログイン時に、ユーザーにパスワードを変更してもらいます。
-
Active Directory でユーザーパスワードを変更し、新しいパスワードが Directory Server パスワードポリシーの要件を満たすようにします。
Active Directory パスワードポリシー
Active Directory パスワードポリシーと一致しない Active Directory でユーザーを作成する場合、それらのユーザーは、Directory Server で作成されます。
-
Active Directory では、実際にユーザーを「一時的に」作成し、パスワードがパスワードポリシーの要件を満たさない場合にエントリを削除します。従って、Active Directory コネクタはこの一時的な追加を確認して、Directory Server にユーザーを作成します。ユーザーは Directory Server でパスワードを持たないため、そのユーザーとしてはだれもログインできません。また、これらのエントリは Active Directory で有効なエントリにリンクされません。削除が Active Directory から Directory Server へ同期されると、一時的に作成されたユーザーが自動的に削除されます。
-
ユーザーは、パスワードなしで Directory Server に作成されます。Directory Server は、エントリにパスワードが含まれていないかぎり、ユーザーの作成でパスワードポリシーを要求しません。
この状況から回復するには、Active Directory から Directory Server へ削除を同期することが推奨されます。または、ユーザーを Directory Server から削除してから、Active Directory パスワードポリシーに従うパスワードを使用して Active Directory にユーザーを追加できます。この方法では確実に、ユーザーが Directory Server で作成されて、適切にリンクされます。Directory Server ユーザーが Active Directory にはじめてログインしてパスワードを変更すると、そのパスワードは無効化されます。
-
ユーザーを Directory Server から削除せずに Active Directory ユーザーを新しいパスワードで再度追加しようとすると、ユーザーはすでに Directory Server に存在するため、Directory Server への追加は失敗します。エントリはリンクされないため、2 つの個別のアカウントをリンクするために idsync resync コマンドを実行してください。
idsync resync コマンドを実行する場合は、Directory Server のエントリにリンクされた Active Directory のアカウントのパスワードをリセットしてください。パスワードをリセットすると、Directory Server でそれらのパスワードが無効になり、次回ユーザーが新しい Active Directory パスワードを使用して Directory Server に対して認証を求めるときにオンデマンド同期が行われて Directory Server パスワードが更新されます。
パスワードなしのアカウントの作成
再同期のような特定の状況では、Identity Synchronization for Windows はパスワードなしでアカウントを作成します。
Directory Server
Identity Synchronization for Windows がパスワードなしで Directory Server にエントリを作成するときは、userpassword 属性を {PSWSYNC}*INVALID*PASSWORD* に設定します。パスワードがリセットされるまで、ユーザーは Directory Server にログインできません。例外は、resync を -i NEW_USERS または NEW_LINKED_USERS オプションを指定して実行するときです。この場合、resync によって新しいユーザーのパスワードは無効になり、次回ユーザーがログインするときにオンデマンドパスワード同期がトリガーされます。
Active Directory
Identity Synchronization for Windows がパスワードなしで Active Directory にエントリを作成するときは、Active Directory パスワードポリシーを満たすようにランダムに選択された、強力なパスワードにユーザーのパスワードを設定します。この場合、警告メッセージがログに記録され、パスワードがリセットされるまでユーザーは Active Directory にログインできません。
Identity Synchronization for Windows の操作時に発生する可能性のあるシナリオの一部を次の表に示します。
この節では、パスワードポリシーが同期および再同期に与える影響について説明します。
これらの表は、すべての可能な設定シナリオを説明することを目的としていません。システムの設定はさまざまであるためです。この情報をガイドラインとして使用することで、パスワードが確実に同期され続けるようにすることができます。
表 4–3 パスワードポリシーが同期動作に与える影響|
シナリオ |
結果 |
||||
|---|---|---|---|---|---|
|
ユーザーの元の作成場所 |
ユーザーがパスワードポリシーを満たす場所 |
ユーザーの作成場所 |
|||
|
Directory Server |
Active Directory |
Directory Server |
Active Directory |
説明 |
|
|
Active Directory |
可 |
可 |
可 |
可 | |
|
可 |
不可 |
可 (「説明」を参照) |
不可 |
ユーザーは Directory Server に作成されます。ただし、削除が Active Directory から Directory Server へ同期される場合、このユーザーはただちに削除されます。 「Active Directory パスワードポリシー」の情報を参照してください。 |
|
|
不可 |
可 |
可 |
可 |
「Active Directory パスワードポリシー」の情報を参照してください。 |
|
|
不可 |
不可 |
可 (「説明」を参照) |
不可 |
ユーザーは Directory Server に作成されます。ただし、削除が Active Directory から Directory Server へ同期される場合、このユーザーはただちに削除されます。 「Active Directory パスワードポリシー」の情報を参照してください。 |
|
|
Directory Server |
可 |
可 |
可 |
可 | |
|
可 |
不可 |
可 |
不可 | ||
|
不可 |
可 |
不可 |
不可 | ||
|
不可 |
不可 |
不可 |
不可 | ||
表 4–4 パスワードポリシーが再同期動作に与える影響
|
シナリオ |
結果 |
||
|---|---|---|---|
|
Resync コマンド |
ユーザーがパスワードポリシーを満たす場所 |
||
|
Directory Server |
Active Directory |
||
|
resync -c -o Sun |
N/A |
可 |
ユーザーは Active Directory に作成されますが、ログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
|
N/A |
不可 |
ユーザーは Active Directory に作成されますが、ログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
|
|
resync -c -i NEW_USERS | NEW_LINKED_USERS |
可 |
N/A |
ユーザーは Directory Server に作成され、ユーザーのパスワードはユーザーの最初のログイン時に設定されます。 「パスワードなしのアカウントの作成」を参照してください。 |
|
不可 |
N/A |
ユーザーは Directory Server に作成されますが、パスワードが Directory Server パスワードポリシーに違反しているため、ログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
|
|
resync -c |
可 |
N/A |
ユーザーは Directory Server に作成されますが、新しいパスワード値が Active Directory または Directory Server で設定されるまでログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
|
不可 |
N/A |
ユーザーは Directory Server に作成されますが、新しいパスワード値が Active Directory または Directory Server で設定されるまでログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
|
パスワードポリシーの例
この節では、Active Directory および Directory Server のパスワードポリシーの例について説明します。
Directory Server のパスワードポリシー
-
ユーザーはリセット後にパスワードを変更する必要があります
-
ユーザーはパスワードを変更することができます
-
20 個のパスワードを履歴に保存します
-
パスワードの有効期限は 30 日です
-
パスワードの有効期限が切れる 5 日前に警告を送信します
-
パスワード構文を確認します: パスワードは最短 7 文字です
Active Directory パスワードポリシー
-
パスワードの履歴を記録する: 20 日
-
パスワードの有効期間: 30 日
-
パスワードの変更禁止期間: 0 日
-
最小パスワード長: 7 文字
-
パスワードは、複雑さの要件を満たす必要がある: 有効
エラーメッセージ
コアシステムのセントラルロガーの audit.log ファイルで、次のエラーメッセージを確認します。
Unable to update password on DS due to password policy during on-demand synchronization: |
WARNING 125 CNN100 hostname "DS Plugin (SUBC100): unable to update password of entry ’cn=John Doe,ou=people,o=sun’, reason: possible conflict with local password policy" |
注 –
Windows 2003 のパスワードポリシーの詳細は、http://www.microsoft.com/japan/technet/windowsserver/2003/technologies/directory/activedi rectory/stepbystep/strngpw.mspx を参照してください。
Sun Java System Directory Server のパスワードポリシーの詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の第 8 章「Directory Server のパスワードポリシー」を参照してください。
- © 2010, Oracle Corporation and/or its affiliates