パスワード同期サービス UNIX 用 ID 管理における UNIX 側コンポーネントのインストール手順
ダウンロード
|
概要
パスワード同期サービスは、Windows ネットワークと UNIX ネットワークの両方で、セキュリティで保護されたパスワードの管理プロセスを簡略化することにより、これらのネットワークの統合を支援します。このサービスを使用すると、Windows アカウントと UNIX アカウント用に別のパスワードを使用したり、パスワードを変更することを覚えておく必要がなくなります。パスワード同期サービスが設定された Windows ベースのコンピュータまたはドメインでユーザーのパスワードが変更されると、そのユーザーがアカウントを持っているすべての UNIX ホストでも自動的にパスワードが変更されます。また、パスワード同期サービスは、ユーザーの UNIX パスワードが変更されたときに、そのユーザーの Windows パスワードを変更するように構成することもできます。
パスワード同期サービスが Windows から UNIX の方向で同期するように構成されている場合、パスワード同期サービスを実行している Windows ベースのコンピュータでパスワードが変更されると、パスワード同期サービスにより、そのユーザーのパスワードを UNIX コンピュータに同期させるかどうかが判断されます。パスワードを同期させる場合、このサービスでは、パスワードを暗号化し、Windows ベースのコンピュータと同期するように構成されている各コンピュータのパスワード同期デーモンに暗号化したパスワードを送信します。その後、ssod デーモンにより、パスワードが解読され、UNIX ホストでパスワードが変更されます。UNIX ホストが NIS マスタ サーバーで、その役割を果たすように構成されている場合、ssod デーモンにより、make コマンドが実行され、パスワードの変更が NIS ドメインに伝達されます。
パスワード同期サービスが UNIX から Windows の方向で同期するように構成されている場合、UNIX ホストで変更されたパスワードは、Windows ベースのコンピュータとドメインに同期されます。パスワード同期サービスの PAM モジュールでは、UNIX ホストで発生したパスワードの変更要求を傍受し、パスワードを暗号化して、UNIX ホストと同期するように構成されていて、パスワード同期サービスが実行されている Windows ベースのコンピュータにパスワードの変更要求を送信します。
詳細については、UNIX 用 ID 管理コンポーネントのヘルプ (UIM.chm) を参照してください。
インストール手順
1. | Windows Services for UNIX の CD-ROM に収録されている、以下のいずれかのソース バイナリ ファイルを、UNIX コンピュータの /usr/bin または /usr/local/bin にコピーし、ファイル名を ssod に変更します。ソース バイナリ ファイルの名前は、使用している UNIX のバージョンによって異なります。
| ||||||||
2. | ファイル転送プロトコル (FTP) などのバイナリ ファイルをコピーする方法を使用して、CR/LF (改行コード) のペアが壊れないようにし、UNIX CD-ROM の tar ファイルから Sso.cfg を UNIX コンピュータの /etc にコピーし、ファイル名を sso.conf に変更します。 | ||||||||
3. | テキスト エディタを使用して、sso.conf ファイルを開きます。 | ||||||||
4. | 既定の暗号キーを変更している場合は、次の行を変更して、新しい既定のキーを指定します。この値は、このコンピュータとパスワードを同期するすべてのドメイン コントローラで指定されている既定のキーと一致する必要があります。 ENCRYPT_KEY=encryptionKey | ||||||||
5. | 既定のポートを変更している場合は、次の行を変更して、新しいポートを指定します。この値は、このコンピュータとパスワードを同期するすべてのドメイン コントローラで指定されているポート番号と一致する必要があります。 PORT_NUMBER=portNumber | ||||||||
6. | 次の行を変更して、このコンピュータとパスワードを同期する各 Windows ドメインから、それぞれドメイン コントローラを 1 台ずつ指定します。Windows ドメイン コントローラでパスワード同期サービスを設定したときに、UNIX コンピュータに対して既定以外のポート番号や暗号化キーを指定した場合、該当箇所にそのポート番号または暗号化キーを指定します。既定のポート番号と暗号化キーを使用している場合、この値は空欄のままにしておきます。 SYNC_HOSTS=(domainController[, portNumber [, encryptionKey]]) この行の各エントリは、かっこ ( "(" と ")") で囲み、エントリ間にはスペースを挿入する必要があります。 | ||||||||
7. | コンピュータがネットワーク情報サービス (NIS) マスタ サーバーの場合に NIS ドメインでパスワードを同期させるには、次の行を以下のように変更して、NIS 同期を有効にします。 USE_NIS=1 必要に応じて、次の行を変更し、NIS のメイクファイルの場所を指定します。 NIS_UPDATE_PATH=makefilePath | ||||||||
8. | sso.conf ファイルに対する読み取り、または書き込みのアクセス許可をルート ユーザーにのみ設定し、その他のユーザーのアクセスは拒否します。 | ||||||||
9. | コンピュータで Linux を実行している場合は、/etc/pam.d/system-auth を /etc/pam.d/ssod にコピーします。 |
重要 : sso.conf ファイルには、暗号化キーや他の機密情報が含まれています。そのため、このファイルへのアクセスは、システム管理者に限定する必要があります。
注
| • | パスワード同期サービスでは、次のオペレーティング システムを実行している任意の UNIX コンピュータとの同期がサポートされています。
| ||||||||
| • | パスワード同期サービスを有効にし、UNIX を実行しているコンピュータでユーザーのパスワードを変更するには、このデーモン プログラムを UNIX コンピュータにインストールする必要があります。 |
