Novell Documentation: Identity Manager Drivers - パスワード同期のフィルタの設定

7.5 パスワード同期のフィルタの設定

ドライバは、1台のWindowsコンピュータだけで実行するよう設定する必要があります。

ただし、ドライバをインストールして設定したら、その他の各ドメインコントローラで次の作業を行います。

パスワードフィルタ(pwfilter.dllファイル)をインストールします。
パスワードをキャプチャするようレジストリを設定して、パスワードをIdentity Managerに送信できるようにします。

パスワードフィルタは、ドメインコントローラが起動されると自動的に開始されます。このフィルタでは、ユーザがWindowsクライアントを使用して行ったパスワード変更のキャプチャ、変更の暗号化、およびIdentity Managerデータストアを更新するためのドライバへの変更の送信が行われます。

NOTE:パスワード同期の設定については、『Novell Identity Manager 3.0管理ガイド』の「パスワード同期の実装」を参照してください。

パスワードフィルタの設定と管理を容易にするには、ドライバのインストール時にIdentity Manager PassSyncユーティリティをコントロールパネルに追加します。このユーティリティでは、使用するドメインコントローラのレジストリへのリモートアクセスを許可するかどうかに応じて、パスワードフィルタを設定する場合に次のどちらかを選択できます。

レジストリへのリモートアクセスを許可する場合: ドライバを実行する予定の1台のコンピュータから、Identity Manager PassSyncユーティリティを使用して、すべてのドメインコントローラのパスワードフィルタを設定します。

この方法では、1箇所からすべてのドメインコントローラを設定できます。

1台のコンピュータからすべてのドメインコントローラを設定する場合、Identity Manager PassSyncユーティリティで、設定に役立つ次の機能が提供されます。
- パスワード同期に使用するドメインを指定できる。
- ドメインのすべてのドメインコントローラを自動的に検出する。
- 各ドメインコントローラにpwfilter.dllをリモートでインストールできる。
- ドライバが実行しているコンピュータ上および各ドメインコントローラ上のレジストリを自動的に更新する。
- 各ドメインコントローラのフィルタのステータスを表示できる。
- ドメインコントローラをリモートで再起動できる。
  この機能は、パスワード同期に備えて初めてドメインを追加する場合に必要です。この理由は、パスワード変更をキャプチャするフィルタがDLLファイルで、ドメインコントローラの起動時に開始されるためです。
Section 7.5.1, 1台のコンピュータによるすべてのドメインコントローラのパスワードフィルタの設定を参照してください。
レジストリへのリモートアクセスを許可しない場合: 各ドメインコントローラで個別にパスワードフィルタを設定します。この操作を行うには、各ドメインコントローラで、ドライバファイルをインストールしてIdentity Manager PassSyncユーティリティを用意します。次に、各コンピュータでこのユーティリティを使用してパスワードフィルタをインストールし、レジストリを更新します。

Section 7.5.2, 各ドメインコントローラのパスワードフィルタの個別設定を参照してください。

7.5.1 1台のコンピュータによるすべてのドメインコントローラのパスワードフィルタの設定

この手順では、各ドメインコントローラにパスワードフィルタをインストールして設定する方法について説明します。操作はすべて、ドライバを実行している同じコンピュータから行います。

レジストリへのリモートアクセスを許可する場合は、この方法を採用してください。

フィルタを設定するには、ドメインコントローラを再起動する必要があるため、後でこの手順を実行するか、またはドメインコントローラを1つずつ再起動した方がよい場合があります。ドメインに複数のドメインコントローラがある場合は、パスワード同期を機能させる各ドメインコントローラにフィルタをインストールして再起動する必要がある点に留意してください。

ドメインコントローラ上およびActive Directory用のIdentity Managerドライバが実行するように設定されるコンピュータ上のポート135 (RPCエンドポイントマッパー)にアクセスできることを確認します。

NetBIOS over TCPを使用している場合は、次のポートも必要です。
- 137: NetBIOSネームサービス
- 138: NetBIOSデータグラムサービス
- 139: NetBIOSセッションサービス
ファイアウォールを使用すると、リモートからこれらのポートにアクセスできないようにすることができます。
ドライバをインストールするコンピュータで、［スタート］>［設定］>［コントロールパネル］をクリックします。
［Identity Manager PassSync］をダブルクリックします。

このユーティリティを初めて開くと、このコンピュータがIdentity Managerドライバのインストール先であるかどうかが尋ねられます。

環境設定を完了したら、リストからこのドメインを削除しない限り再びこのプロンプトは表示されません。
［はい］をクリックします。

［同期するドメイン］というラベルのリストが表示されます。
パスワード同期に使用するドメインを追加するには、［追加］をクリックします。

［ドメインの追加］ダイアログボックスが表示されます。
追加するドメイン名を指定または選択します。

ドロップダウンリストに既知のドメインが表示されます。
(オプション)ドメイン内のコンピュータを指定します。

［コンピュータ］編集ボックスを空白のままにすると、ローカルコンピュータが自動的に照会されます。したがって、ドメインコントローラでPassSyncを実行している場合は、名前を入力する必要はありません。PassSyncで、ローカルコンピュータ(この場合はドメインコントローラ)が照会され、ドメイン内のすべてのドメインコントローラのリストが(データベースから)取得されます。

ドメインコントローラにインストールしていない場合は、ドメイン内にあってドメインコントローラに到達できるコンピュータの名前を入力します。

PassSyncでドメインが見つからないことを示すエラーメッセージが表示される場合は、別の名前を入力します。
ドメインのDNS名を使用するかどうかを決定します。

DNS名により、高度な認証および大規模なインストール環境でドメインをより確実に検出するための機能が提供されます。ただし、選択肢は各自の環境によって異なります。
管理者権限でログインします。

Identity Manager PassSyncユーティリティで、該当するドメインのすべてのドメインコントローラが検出され、各ドメインコントローラにpwfilter.dllがインストールされます。また、ドライバを実行しているコンピュータ上および各ドメインコントローラ上のレジストリも自動的に更新されます。この操作には、数分かかる場合があります。

pwfilter.dllでは、ドメインコントローラが再起動されるまでパスワードの変更がキャプチャされません。Identity Manager PassSyncユーティリティを使用すると、すべてのドメインコントローラのリストおよびドメインコントローラのフィルタのステータスを参照できます。また、このユーティリティからドメインコントローラを再起動することもできます。
リスト内のドメインの名前をクリックして、［フィルタ］をクリックします。

このユーティリティで、すべてのドメインコントローラの名前およびそれぞれのフィルタのステータスが表示されます。

各ドメインコントローラのステータスには、再起動を必要とすることが示されます。ただし、ユーティリティでその自動タスクを完了するのに数分かかるので、その間はステータスが［不明］と表示される場合があります。
各ドメインコントローラを再起動します。

各自の環境でつじつまが合うようにドメインコントローラを一度に再起動してもかまいません。パスワード同期は、あらゆるドメインコントローラが再起動されるまでは完全に機能しないことに留意してください。
すべてのドメインコントローラのステータスが［稼動中］になっている場合は、パスワード同期をテストしてそれが機能していることを確認します。
さらにドメインを追加するには、［OK］をクリックしてドメインのリストに戻り、Step 6～Step 12を繰り返します。

7.5.2 各ドメインコントローラのパスワードフィルタの個別設定

この節に記載している手順では、各ドメインコントローラでパスワードフィルタをインストールおよび設定する方法を1つずつ説明します。

レジストリへのリモートアクセスを許可しない場合は、この方法を採用してください。

この手順では、ドライバをインストールしてIdentity Manager PassSyncユーティリティを用意します。次に、このユーティリティを使用してpwfilter.dllファイルをインストールし、使用するポートを指定して、Active Directory用のIdentity Managerドライバを実行しているホストコンピュータを指定します。

ドメインコントローラおよびActive Directory用のIdentity Managerドライバが実行するよう設定されているコンピュータの両方で使用可能なポートを確認します。
- 135: RPCエンドポイントマッパー
- 137: NetBIOSネームサービス
- 138: NetBIOSデータグラムサービス
- 139: NetBIOSセッションサービス
ドメインコントローラで、Identity Managerのインストールを利用して、Active Directory用のIdentity Managerドライバだけをインストールします。

ドライバをインストールすると、Identity Manager PassSyncユーティリティがインストールされます。
［スタート］>［設定］>［コントロールパネル］の順にクリックして、Identity Manager PassSyncユーティリティを検索します。
［Identity Manager PassSync］をダブルクリックします。

このユーティリティを初めて開くと、このコンピュータがIdentity Managerドライバのインストール先であるかどうかが尋ねられます。
［いいえ］をクリックします。

環境設定を完了したら、［Password Filter Properties (パスワードフィルタのプロパティ)］ダイアログボックスで、［削除］ボタンを使用してパスワードフィルタを削除しない限り再びこのプロンプトは表示されません。

［いいえ］をクリックすると、［Password Filter Properties (パスワードフィルタのプロパティ)］ダイアログボックスが開かれ、このドメインコントローラのパスワードフィルタが設定されていないことを示すステータスメッセージが表示されます。
［セットアップ］ボタンをクリックして、パスワードフィルタpwfilter.dllをインストールします。
［ポート］設定では、ダイナミックポートまたはスタティックポートを使用するかどうかを指定します。

ドメインコントローラのリモートプロシージャコール(RPC)をデフォルトと異なる設定にする場合に限り、スタティックポートオプションを使用します。
Identity Managerドライバの場所を指定して、［追加］ボタンをクリックします。次に、［パスワード同期フィルタ-ホストの追加］ダイアログボックスでIdentity Managerドライバを実行しているコンピュータのホスト名を指定して、［OK］をクリックします。

このステップは、パスワードフィルタにパスワード変更の送信先をわからせるために必要です。パスワードフィルタで、パスワード変更をキャプチャして、Identity Managerデータストアを更新するためにそうした変更をIdentity Managerドライバに送信する必要があります。
［Password Filter Proper (パスワードフィルタのプロパティ)］ダイアログボックスで、［OK］をクリックします。
ドメインコントローラを再起動して、パスワードフィルタのインストールを完了します。

各自の環境でつじつまが合うようにドメインコントローラを一度に再起動してもかまいません。パスワード同期は、あらゆるドメインコントローラがパスワードフィルタのインストール後に再起動されるまでは完全に機能しないことに留意してください。

インストールが完了してドメインコントローラが再起動されたら、ドメインコントローラの起動時に毎回パスワードフィルタが自動的にロードされます。
パスワードフィルタのステータスをもう一度チェックするには、［スタート］>［設定］>［コントロールパネル］をクリックして、［Identity Manager PassSync］ユーティリティをダブルクリックします。

ステータスが［稼動中］になっていることを確認します。
パスワード同期に使用するドメインコントローラごとにStep 2～Step 11を繰り返します。
すべてのドメインコントローラのステータスが［稼動中］になっている場合は、パスワード同期をテストしてそれが機能していることを確認します。