Active Directory のパスワード属性の選択
AIX®は、unix_authと ldap_authという2つの認証メカニズムをサポートしている。
unix_authでは、MicrosoftActive Directory(AD)のパスワードは暗号化されている必要があります。 認証時に、暗号化されたパスワードは AD から取り出され、ユーザーが入力したパスワードの暗号化形式と比較されます。 両方のパスワードが一致すると、認証は正常に終了します。 ldap_auth モードでは、 AIX は、ユーザーの ID と指定されたパスワードを使用して、サーバーへの LDAP バインド操作によってユーザーを認証します。 このバインド操作が正常に終了した場合に、ユーザーは認証されます。 AD では、複数のユーザー・パスワード属性をサポートします。 別の AIX 認証モードでは、別の AD ユーザー・パスワード属性が必要です。
unix_auth モード
- userPassword
- unixUserPassword
- msSFU30Password
AIX でのパスワード管理は、AD の複数のパスワード属性のために困難な場合があります。 UNIXクライアントがどのパスワード管理属性を使うべきかを知ることは、混乱を招く可能性がある。 AIX LDAP 属性マッピング機能を使用すると、必要に応じてパスワード管理をカスタマイズできます。
デフォルトでは、AIXはWindows 2000および2003上で動作するADに対してmsSFU30Password属性を使用し、Windows 2003R22ではuserPassword属性を使用する。 別のパスワードを使用する場合は、 /etc/security/ldap/sfu30user.map ファイル (Windows 2003 R2で AD を実行している場合は /etc/security/ldap/sfur2user.map ファイル) を変更する必要があります。 ワード spassword で始まる行を検索し、その行の 3 番目のフィールドを所望の AD パスワード属性名に変更してください。 詳しくは、「 LDAP 属性マッピング・ファイル・フォーマット」を参照してください。 変更後に mksecldap コマンドを実行して、 AIX LDAP クライアントを構成します。 AIX LDAP クライアントが既に構成されている場合は、 restart-secldapclntd コマンドを実行して secldapclntd デーモンを再始動し、変更を吸収します。
unix_auth モードでは、パスワードが Windows と UNIX の間で同期しなくなり、システムごとに異なるパスワードになる可能性があります。 これは、Windows が uncodepwd パスワード属性を使用するため、 AIX から Windows にパスワードを変更するときに発生します。 AIX passwd コマンドは、UNIX パスワードを Windows パスワードと同じになるようにリセットできます。 ただし、 AIX では、UNIX パスワードを AIXから変更するときに、Windows のパスワードを自動的に変更することはサポートされていません。
ldap_auth モード
Active Directory には unicodepwd パスワード属性もあります。 このパスワード属性は、Windows ユーザーを認証するために Windows システムによって使用されます。 unicodePwd パスワードは、AD へのバインド操作で使用しなければなりません。 unix_auth モードのもとで記述されたパスワードはいずれも、バインド操作では機能しません。 ldap_auth オプションがコマンド・ラインから指定されている場合は、mksecldap コマンドによって、マニュアル・ステップを必要としないクライアント構成時にパスワード属性が AD の unicodePwd 属性にマップされます。
AIX パスワードを unicodePwd 属性でマップすることにより、AD で定義されたユーザーは、同じパスワードを使用して Windows システムおよび AIX システムにログインできます。 AIX システムまたは Windows システムのいずれかからリセットされたパスワードは、 AIX システムと Windows システムの両方で有効です。