- No : 2111
- 公開日時 : 2013/03/26 18:37
-
印刷
【セルフメンテナンスツール】 パスワード同期の仕組みについて詳細が知りたい
パスワード同期の仕組みについて詳細が知りたい
- カテゴリー :
-
回答
【対象バージョン】 7.0.x , 7.2.x
IDAセルフメンテナンスでは以下[1][2]の2つのパスワード同期方式を提供しています。
[1]AD パスワード同期モード(v7.0.8より提供。特に理由がない限りこちらの方式を推奨します)
同期対象ディレクトリ)ActiveDirectory、LDAP、プラグイン対象ディレトリ
Windows からのパスワード変更時(初回ログオン時の変更要求や、パスワード有効期限超過に伴うパスワード変更操作時等)、指定された各種ディレクトリへパスワードの同期処理を行います。
本方式で運用することにより、以下のようなメリットがあります。
<ADパスワード同期モード方式のメリット>
1)ActiveDirectoryのパスワードポリシーをそのまま他のディレクトリパスワードに適用可能。
このことは見過ごされがちですが、重要です。つまり管理者はきめ細かい設定が可能なActiveDirectoryのパスワードポリシーのみを緻密(厳しい条件で)に管理しておくだけで、他のディレクトリパスワードもそれに準じたパスワードで設定されるようになります。
ActiveDirectoryのパスワードポリシーが他のディレクトリパスワードポリシーに較べて重要な点は、Windows起動時のログオン時に強制変更(変更しないとログオンすら許さない設定も可能ですので、ユーザーに必ずパスワード変更を強制できます)させることができる点にあります。
ADパスワード同期モード方式では、一番最初にActiveDirectoryのパスワード変更に成功した場合のみ、LDAP, プラグインの順番でパスワード変更を実行します(ActiveDirectoryのパスワード変更に失敗した場合は、何も行いません)。
前述しましたようにActiveDirectoryのパスワードポリシーのみを緻密(厳しい条件)にしてある前提であれば LDAP, プラグインのパスワード変更に失敗するケースはポリシーで拒絶されるケースはほとんど考えられず、ネットワーク的に接続できない等の障害が発生したようなケースに限定されます。
まれにそのような限定ケースが発生した場合、IDAからはユーザー・管理者に対して通知メールが届き、適切なリカバリ処理を行うことが可能になっています。
またこのような場合にロールバックを行うことについては、以下の理由で見合わせています。
理由)ActiveDirectoryに対しては既にパスワード変更が成立しているため、元のActiveDirectoryパスワードに再変更するというロールバック操作自体が新たなパスワード変更操作として認識されてしまいパスワードポリシー運用に影響を与える可能性があるため。
2)NotesやSmartOnのパスワード同期は、それぞれ標準の同期サービスを利用可能
「ADパスワード同期モード方式」ではNotesやSmartOnのパスワード同期の仕組みを直接提供していませんが、NotesやSmartOn側でActiveDirectoryのパスワード変更をそのまま反映させる仕組みを提供しており、それらと併用することで、ActiveDirectoryのパスワードポリシーの下でNotesやSmartOnのパスワードも管理することが可能です。
[2]Webブラウザからのパスワード変更モード(従来より提供している旧モード)
同期対象ディレクトリ)Notes、ActiveDirectory、SmartOn、LDAP、プラグイン
「Webブラウザからのパスワード変更方式」では、「ADパスワード同期モード方式」とは異なり、Notesのパスワードポリシーのみを緻密(厳しい条件で)に管理しておく運用を想定*注1)しており、他のディレクトリパスワードもそれに準じたパスワードで設定されるようになります。(ブラウザ上からの変更操作になりますので「ADパスワード同期モード方式」のようにWindows起動時のログオン時にパスワード強制変更させるような運用はできない点が弱みとなります)
-------------------------------------------------
注1)「Webブラウザからのパスワード変更方式」ではNotesのパスワード変更が必須ではありません。Notesのパスワードポリシーを基準にした運用が理想ですが、Notesのパスワードを変更対象にしない運用も可能です。本節では理想的な運用環境としてNotesのパスワードを変更対象とした運用を想定した説明となっておりますので予めご了承ください。
--------------------------------------------------
「Webブラウザからのパスワード変更方式」では、一番最初にNotesのパスワード変更に成功した場合のみ、LDAP, SmartOn,プラグイン,ActiveDirectoryの順番でパスワード変更を実行します(Notesのパスワード変更に失敗した場合は何も行いません)。
「ADパスワード同期モード方式」とは異なり、途中のどれかのディレクトリでパスワード変更に失敗した場合はそこで同期処理を中止し、以降のディレクトリに対しては変更処理を行いません。
ただしNotesのパスワードポリシーのみを緻密(厳しい条件にしてある前提であれば Notes以外のパスワード変更に失敗するケースはポリシーで拒絶されるケースはほとんど考えられず、ネットワーク的に接続できない等の障害が発生したようなケースに限定されます。
まれにそのような限定ケースが発生した場合、ユーザーのブラウザ画面上にパスワード変更に失敗したディレクトリ名とエラーメッセージが表示され、管理者はユーザーからの連絡を受けて管理者用ページのログ閲覧機能を利用してエラーの詳細情報を取得し適切なリカバリ処理を行うことが可能になっています。