株式会社セシオス

LISMとFedora Directory ServerのPassSyncを使用して、Windowsログオン画面から行われたActive Directoryのパスワード変更を他のシステムにリアルタイムで同期します。

今回は、Active DirectoryとOpenLDAPのパスワードを同期する方法について解説します。OpenLDAP以外にも様々なシステムをLISMと連携させることで、各システムのパスワードを一括して変更することが可能となります。

環境

• Active Directory：　Windows Server 2003 32bit
• OpenLDAP：　CentOS 5
• LISM：　CentOS 5

OpenLDAPの設定

ユーザ情報をOpenLDAPに登録します。今回は例として以下の情報を登録します。 LDAPの属性として、ntUserDomainIdが必要になりますので、事前にOpenLDAPのスキーマを拡張して、ntUserDomainIdを使用できるようにして下さい。

dn: cn=user01,ou=people,dc=example,dc=com
objectClass: Person
objectClass: extendedPerson # ntUserDomainId用に拡張したオブジェクトクラス
cn: user01
sn: user01
ntUserDomainId: user01

PassSyncの設定

以下のURLからPassSyncをダウンロードし、Windows Server 2003にインストールします。

http://directory.fedoraproject.org/docs/389ds/download.html

今回使用したバージョンのPassSyncは64bit版のWindows Server 2003では動作しませんので、必ず32bit版を使用して下さい。

LISMサーバとの接続設定

PassSyncの設定画面で各パラメータの設定を行います。

• Host Name：　LISMサーバのホスト名
• Port Number：　LISMサーバのldapsのポート番号
• User Name：　LISMサーバへのBind DN
• Password：　LISMサーバへのBind用パスワード
• Cert Token：　PassSyncのCert DB用パスワード
• Search Base：　LISMサーバのユーザを検索する際のベースDN

PassSyncの証明書設定

Cert DBを作成します。

cd “C:\Program Files\Red Hat Directory Password Synchronization”
certutil.exe -d . -N

LISMのサーバ証明書をPassSyncに登録します。

pk12util.exe -d . -i test.p12

サーバ証明書はLISMサーバ上で以下のコマンドを実行してP12形式に変換して下さい。

# openssl pkcs12 -export -in /etc/pki/tls/certs/test.crt -inkey /etc/pki/tls/private/test.key -name test -out test.p12

LISMサーバに対して”trusted peer”のステータスを与えます。

certutil.exe -d . -M -n test -t “P,P,P”

PassSyncサービスの開始

メニューから、「管理ツール」-「サービス」を選択し、PassSyncのサービスを開始します。

以降、ユーザuser01がWindowsログオン画面からパスワードを変更すると、Active DirectoryとOpenLDAPのパスワードが同時に変更されます。