LISMとFedora Directory ServerのPassSyncを使用して、Windowsログオン画面から行われたActive Directoryのパスワード変更を他のシステムにリアルタイムで同期します。
今回は、Active DirectoryとOpenLDAPのパスワードを同期する方法について解説します。OpenLDAP以外にも様々なシステムをLISMと連携させることで、各システムのパスワードを一括して変更することが可能となります。
ユーザ情報をOpenLDAPに登録します。今回は例として以下の情報を登録します。 LDAPの属性として、ntUserDomainIdが必要になりますので、事前にOpenLDAPのスキーマを拡張して、ntUserDomainIdを使用できるようにして下さい。
dn: cn=user01,ou=people,dc=example,dc=com
objectClass: Person
objectClass: extendedPerson # ntUserDomainId用に拡張したオブジェクトクラス
cn: user01
sn: user01
ntUserDomainId: user01
以下のURLからPassSyncをダウンロードし、Windows Server 2003にインストールします。
http://directory.fedoraproject.org/docs/389ds/download.html
今回使用したバージョンのPassSyncは64bit版のWindows Server 2003では動作しませんので、必ず32bit版を使用して下さい。
PassSyncの設定画面で各パラメータの設定を行います。
Cert DBを作成します。
cd “C:\Program Files\Red Hat Directory Password Synchronization”
certutil.exe -d . -N
LISMのサーバ証明書をPassSyncに登録します。
pk12util.exe -d . -i test.p12
サーバ証明書はLISMサーバ上で以下のコマンドを実行してP12形式に変換して下さい。
# openssl pkcs12 -export -in /etc/pki/tls/certs/test.crt -inkey /etc/pki/tls/private/test.key -name test -out test.p12
LISMサーバに対して”trusted peer”のステータスを与えます。
certutil.exe -d . -M -n test -t “P,P,P”
メニューから、「管理ツール」-「サービス」を選択し、PassSyncのサービスを開始します。
以降、ユーザuser01がWindowsログオン画面からパスワードを変更すると、Active DirectoryとOpenLDAPのパスワードが同時に変更されます。