製品レビュー：企業ユーザーのためのSFU 3.5活用ガイダンス　第3回　NISサーバとパスワード同期機能（後編）　3．パスワード同期機能の運用とトラブル・シューティング

製品レビュー
企業ユーザーのためのSFU 3.5活用ガイダンス

第3回　NISサーバとパスワード同期機能（後編）

3．パスワード同期機能の運用とトラブル・シューティング

たかはしもとのぶ <monyo@home.monyo.com>
2004/06/23

　ここまでは、パスワード同期を動作させるうえで、必要最低限の機能について説明した。以下実際に運用を行う場合に、知っておくべき設定について説明を補足しておく。

パスワード同期の暗号化キーの変更

　デフォルトの暗号化キーは既知のもののため、実際に運用を行う際には必ず変更する。暗号化キーを変更する場合、Windows側では先の「パスワード同期の設定画面」もしくは「UNIXマシン固有のパスワード同期設定」の画面で暗号化キーを変更する。同期対象のUNIXマシン上では、同じ値を/etc/sso.confファイル中のENCRYPT_KEYパラメータに設定する。

パスワード同期を行うユーザーの制限

　ここまでの設定では、基本的にUNIX上に存在するすべてのアカウントについてパスワードの同期が行われるため、例えばrootのパスワードもWindows側のrootというアカウントのパスワードを変更すると、同期して変更されてしまう。

　セキュリティ上これは問題である。実際に運用を行ううえでは、システムが使っているアカウントなどについてはパスワード同期の対象から外す必要がある。

　UNIX側で制御を行う場合は、/etc/sso.confファイルのSYNC_USERSパラメータを使用する。デフォルトでは

SYNC_USERS=all

となっているため、すべてのユーザーのパスワードが同期される設定になっている。

　これを変更して、例えばmonyoとnorikoを許可し、marikoを許可しないといった場合は、以下のように指定する。

SYNC_USERS=+monyo,+noriko,-mariko

　このように、SYNC_USERSに含まれていないアカウントや、名前の前に「-（マイナス記号）」が指定されたアカウントのパスワード同期は無効になる。基本的にはrootやbin、 admなど、システムが使っているアカウントは同期対象に含めるべきではない。

　Windows側では、PasswordPropAllowおよびPasswordPropDenyというグループのメンバーを構成することで、パスワード同期を有効にするユーザーを制御することが可能である。

　PasswordPropDenyにはパスワード同期を無効にするユーザーやグループを、PasswordPropAllowにはパスワード同期を有効にするアカウントをそれぞれ含める。

　デフォルトではPasswordPropDenyグループのみが作成され、AdministratorやそのほかAdministrator権限のあるアカウントがメンバーとして自動的に追加されている。PasswordPropAllowグループは作成されていないが、この場合はすべてのアカウントがメンバーとして含まれるのと同様の動作になる。なお両方のグループに含まれるアカウントのパスワード同期は無効になる。

NISサーバとの連携によるパスワード同期

　同期対象のUNIX上でNISマスタ・サーバが動作しており、NIS上のユーザーのパスワードを同期させたい場合は、/etc/sso.confにUSE_NIS=1という指定を含め、NIS_UPDATE_PATHの値を適切に設定すればよい。

パスワード同期のトラブル・シューティング

　前述したように、パスワード同期はサポートされるUNIX側のバージョンがかなり制限されている。トラブルが発生した場合は原因の切り分けのため、マイクロソフト社が動作を確認している、やや古いバージョンのOSで確認することを強く推奨したい。

　そのほかの失敗要因としては、同期先のOSのパスワード・ポリシーに合致しないパスワード変更を行ってしまうケースが挙げられる。これについてはイベント・ログやsyslogへの出力を確認することである程度の確認ができる。また同期先のOS上でパスワードが変更できるかどうかを確認してみるなども有効だろう。

　問題が発生した場合、前述の［詳細なログを有効にする］というチェック・ボックスをオンにしておけば、アプリケーション・ログに次のような出力が行われる。

イベント・ログへの出力

パスワード同期などの結果は、イベント・ログに記録される。

		［アプリケーションログ］に記録される。
		記録されたパスワード同期の結果。

　イベントID＝4098が同期処理の開始、ID＝4097が同期成功を意味するメッセージになる。またイベントID＝8224は、アカウントが無効になっているなど、ID＝8243はパスワードが短すぎる、ID＝8196は同期失敗を示すメッセージになっている。

　パスワード同期は、デフォルトでは30秒間隔をおいて3回試行を行うので、エラーも通常3回ずつ同じものが出力される。

　UNIX側のsyslogには次のような出力が行われる。これらを参考にしてトラブル・シューティングを行ってほしい。

※syslogの例



Nov 28 05:02:18 rh9 ssod:[6591]: Failed to update password Error:  ERROR User: pass1

Nov 28 05:02:18 rh9 ssod:[6520]: reached in signal handler

Nov 28 05:04:47 rh9 ssod:[6596]: Successfully updated password via PAM User:  pass1

Nov 28 05:04:47 rh9 ssod:[6520]: reached in signal handler

Nov 28 05:11:24 rh9 passwd: Error in connecting to host Host:  192.168.135.130 Error:  Connection refused

Nov 28 05:11:24 rh9 passwd: Password for user failed to sync User:  monyo

Nov 28 05:21:44 rh9 ssod:[6646]: Successfully updated password via PAM User:  monyo

Nov 28 05:21:44 rh9 ssod:[6520]: reached in signal handler

　筆者の環境では/var/log/messagesへ出力が行われたが、ログが出力されるファイル名などは、/etc/syslog.confの設定により異なる可能性がある。

INDEX
	［製品レビュー］企業ユーザーのためのSFU 3.5活用ガイダンス
	第3回　NISサーバとパスワード同期機能（後編）
	1．NISマップの管理
	2．パスワード同期機能
	3．パスワード同期機能の運用とトラブル・シューティング

　製品レビュー

Windows Server Insider フォーラム新着記事

Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる （2017/7/27）
　AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう
Azure Storage ExplorerでStorageを手軽に操作する （2017/7/24）
　エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう
Win 10でキーボード配列が誤認識された場合の対処 （2017/7/21）
　キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう
Azure Web AppsでWordPressをインストールしてみる （2017/7/20）
　これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた！まずはWordPressをインストールしてみる