製品レビュー
企業ユーザーのためのSFU 3.5活用ガイダンス

第3回 NISサーバとパスワード同期機能(後編)

3.パスワード同期機能の運用とトラブル・シューティング

たかはしもとのぶ <monyo@home.monyo.com>
2004/06/23

 ここまでは、パスワード同期を動作させるうえで、必要最低限の機能について説明した。以下実際に運用を行う場合に、知っておくべき設定について説明を補足しておく。

パスワード同期の暗号化キーの変更

 デフォルトの暗号化キーは既知のもののため、実際に運用を行う際には必ず変更する。暗号化キーを変更する場合、Windows側では先の「パスワード同期の設定画面」もしくは「UNIXマシン固有のパスワード同期設定」の画面で暗号化キーを変更する。同期対象のUNIXマシン上では、同じ値を/etc/sso.confファイル中のENCRYPT_KEYパラメータに設定する。

パスワード同期を行うユーザーの制限

 ここまでの設定では、基本的にUNIX上に存在するすべてのアカウントについてパスワードの同期が行われるため、例えばrootのパスワードもWindows側のrootというアカウントのパスワードを変更すると、同期して変更されてしまう。

 セキュリティ上これは問題である。実際に運用を行ううえでは、システムが使っているアカウントなどについてはパスワード同期の対象から外す必要がある。

 UNIX側で制御を行う場合は、/etc/sso.confファイルのSYNC_USERSパラメータを使用する。デフォルトでは

SYNC_USERS=all

となっているため、すべてのユーザーのパスワードが同期される設定になっている。

 これを変更して、例えばmonyoとnorikoを許可し、marikoを許可しないといった場合は、以下のように指定する。

SYNC_USERS=+monyo,+noriko,-mariko

 このように、SYNC_USERSに含まれていないアカウントや、名前の前に「-(マイナス記号)」が指定されたアカウントのパスワード同期は無効になる。基本的にはrootやbin、 admなど、システムが使っているアカウントは同期対象に含めるべきではない。

 Windows側では、PasswordPropAllowおよびPasswordPropDenyというグループのメンバーを構成することで、パスワード同期を有効にするユーザーを制御することが可能である。

 PasswordPropDenyにはパスワード同期を無効にするユーザーやグループを、PasswordPropAllowにはパスワード同期を有効にするアカウントをそれぞれ含める。

 デフォルトではPasswordPropDenyグループのみが作成され、AdministratorやそのほかAdministrator権限のあるアカウントがメンバーとして自動的に追加されている。PasswordPropAllowグループは作成されていないが、この場合はすべてのアカウントがメンバーとして含まれるのと同様の動作になる。なお両方のグループに含まれるアカウントのパスワード同期は無効になる。

NISサーバとの連携によるパスワード同期

 同期対象のUNIX上でNISマスタ・サーバが動作しており、NIS上のユーザーのパスワードを同期させたい場合は、/etc/sso.confにUSE_NIS=1という指定を含め、NIS_UPDATE_PATHの値を適切に設定すればよい。

パスワード同期のトラブル・シューティング

 前述したように、パスワード同期はサポートされるUNIX側のバージョンがかなり制限されている。トラブルが発生した場合は原因の切り分けのため、マイクロソフト社が動作を確認している、やや古いバージョンのOSで確認することを強く推奨したい。

 そのほかの失敗要因としては、同期先のOSのパスワード・ポリシーに合致しないパスワード変更を行ってしまうケースが挙げられる。これについてはイベント・ログやsyslogへの出力を確認することである程度の確認ができる。また同期先のOS上でパスワードが変更できるかどうかを確認してみるなども有効だろう。

 問題が発生した場合、前述の[詳細なログを有効にする]というチェック・ボックスをオンにしておけば、アプリケーション・ログに次のような出力が行われる。

イベント・ログへの出力
パスワード同期などの結果は、イベント・ログに記録される。
  [アプリケーション ログ]に記録される。
  記録されたパスワード同期の結果。

 イベントID=4098が同期処理の開始、ID=4097が同期成功を意味するメッセージになる。またイベントID=8224は、アカウントが無効になっているなど、ID=8243はパスワードが短すぎる、ID=8196は同期失敗を示すメッセージになっている。

 パスワード同期は、デフォルトでは30秒間隔をおいて3回試行を行うので、エラーも通常3回ずつ同じものが出力される。

 UNIX側のsyslogには次のような出力が行われる。これらを参考にしてトラブル・シューティングを行ってほしい。

※syslogの例

Nov 28 05:02:18 rh9 ssod:[6591]: Failed to update password Error:  ERROR User: pass1
Nov 28 05:02:18 rh9 ssod:[6520]: reached in signal handler
Nov 28 05:04:47 rh9 ssod:[6596]: Successfully updated password via PAM User:  pass1
Nov 28 05:04:47 rh9 ssod:[6520]: reached in signal handler
Nov 28 05:11:24 rh9 passwd: Error in connecting to host Host:  192.168.135.130 Error:  Connection refused
Nov 28 05:11:24 rh9 passwd: Password for user failed to sync User:  monyo
Nov 28 05:21:44 rh9 ssod:[6646]: Successfully updated password via PAM User:  monyo
Nov 28 05:21:44 rh9 ssod:[6520]: reached in signal handler

 筆者の環境では/var/log/messagesへ出力が行われたが、ログが出力されるファイル名などは、/etc/syslog.confの設定により異なる可能性がある。End of Article

 

 INDEX
  [製品レビュー]企業ユーザーのためのSFU 3.5活用ガイダンス 
  第3回 NISサーバとパスワード同期機能(後編)
    1.NISマップの管理
    2.パスワード同期機能
  3.パスワード同期機能の運用とトラブル・シューティング
 
 製品レビュー


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間