Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
先日、薄暗い部屋で 掌(てのひら) をじっと見つめていたら「運命線」なるものが全く無いことに気づきました。ははぁん、どうりで...
さて、話は変わりますが、「パスワード同期」機能 をご存知でしょうか?
Active Directory と NIS のパスワードを双方向に、かつリアルタイム同期するという優れものですが、実際に運用で使用されている方は多くないようです。理由として、サポートされている OS のバージョンに制限があることや、場合によっては make しなおさなければならないといった部分で敷居が高いようです。
Windows Server 2003 以前 では、Service for UNIX をインストールすることでパスワード同期機能が使用可能になります。
Windows Services for UNIX 3.0 におけるパスワード同期
https://www.microsoft.com/japan/technet/interopmigration/unix/sfu/psync.mspxWindows Server 2003 R2 および Windows Server 2008 以降では、「UNIX 用 ID 管理」を有効にすることでパスワード同期機能が使用可能になります。
Windows Server 2003 R2 - UNIX 用 ID 管理 : パスワード同期
https://technet2.microsoft.com/WindowsServer/ja/library/bb1f0664-5f08-4a0c-b1cf-f7363e593c621041.mspx?mfr=trueWindows Server 2003 R2 - パスワード同期 ステップバイステップ
https://technet2.microsoft.com/WindowsServer/ja/library/70fd1e7b-902d-4d4b-af7a-c3f55a5577851041.mspx?mfr=trueWindows Server 2008 UNIX との相互運用性 - パスワード同期
https://www.microsoft.com/japan/technet/windowsserver/2008/library/6fe7d2b8-70a0-4a67-9128-cc3639fc7fd7.mspx?mfr=true
では、NIS が存在しない場合、パスワード同期機能に使い道は無いのか?
いえいえ、そうではありません。使わなければ損をするほどもったいない話です。
ちょっとの知識と工夫で、大きな効果を得ることができます。
パスワード同期機能は、大きく分けて以下の3つのコンポーネントから構成されています。
- pswdsync.dll (Windows Server 上で動作)
- Single Sign-on Daemon (SSOD) (UNIX コンピュータ側で動作)
- pam_sso.so (UNIX コンピュータ側にインストールされる pam)
この中で、pswdsync.dll がWindows Server 側のキーとなるコンポーネントです。
パスワード同期機能のしかるべき環境設定が完了後、Windows ユーザーによってパスワードが変更されると、pswdsync.dll は変更したパスワードを横取りし、UNIXコンピュータ側の SSOD に渡します。その後 SSOD によってパスワードが書き込まれることで Windows と UNIX のパスワードが同期されます。
さて、面白いのはここからです。
このとき Windows Server 上に NIS Server (Server for NIS)がインストールされていると、Active Directory 上にも 一般的に NIS で使用されるパスワード(crypt or MD5) が保存されます。
Windows Server 2000 / 2003 :msSFU30UserPassword
Winodws Server 2003 R2 / 2008 :unixUserPassword
これがどんな効果をもたらすか。
もうお気づきのとおりですね。Active Directory から UNIX用に暗号化されたパスワードがゲットできてしまうのです。
では、ゲットできると何がうれしいか...
たとえば、生パスワードを取得して暗号化するといった手間を省き、OpenLDAP に直接パスワードを書き込むことができます。つまり、「同期」が可能となるわけです(もちろん、OpenLDAP側の暗号化形式を合わせておく必要があるわけですが)。
以下の画面は、Windows Server 2008 上で参照した あるユーザーの unixUserPassword 属性です。MD5 で暗号化されていることがわかると思います。

いかがでしょう。ちょっと興味がわきましたか?興味がわいた方は次回にご期待ください。
Comments
Anonymous
January 01, 2003
The comment has been removedAnonymous
January 01, 2003
Software Disign 2009年3月号 からいらしたみなさん、こんにちは。 Appendix 「Active Directory の基礎知識」の「UNIX用ID管理」のインストール手順を、このページで補足いたします。Anonymous
January 01, 2003
ある調べごとがあり、「'watch node'」 という単語を 某検索エンジンに放り込んだところ、以下の表示が。 もしかして: 'watch nude ' し、し、しっ、失礼なっっっ! それはともかく、ActiveAnonymous
January 01, 2003
前回は、パスワード同期機能について簡単にお話しました。 【IDM】パスワード同期機能の有効活用 その1 ~ パスワード同期機能とは 今回は、Windows Server 2008 上で パスワード同期機能を使用するためのセットアップを行いましょう。Anonymous
January 01, 2003
The comment has been removedAnonymous
January 01, 2003
【IDM】パスワード同期機能の有効活用 その1 ~ パスワード同期機能とは 【IDM】パスワード同期機能の有効活用 その2 ~ Windows Server 2008 でのパスワード同期機能のセットアップAnonymous
January 01, 2003
ある調べごとがあり、「'watch node'」 という単語を 某検索エンジンに放り込んだところ、以下の表示が。 もしかして: 'watch nude ' し、し、しっ、失礼なっっっ! それはともかくAnonymous
January 01, 2003
同僚の安納さんのブログで、Active Directory と Unix/Linux のパスワードの同期機能について、Windows Server 2008 での方法が詳しく書かれています。 【IDM】パスワード同期機能の有効活用