パスワード同期とは
パスワード同期では、Windows と UNIX の両方の環境で、セキュリティで保護されたパスワードの保守作業を簡略化することにより、Windows ネットワークと UNIX ネットワークの統合を支援します。ユーザーは、Windows アカウントと UNIX アカウント用に別々のパスワードを保守するという問題から解放されます。また、パスワードの変更作業を行うときに、パスワードが使用されているすべての場所を記憶しておく必要がなくなります。パスワード同期を使用すると、Windows ベースのコンピューターまたはドメインでユーザーのパスワードが変更されるたびに、そのユーザーがアカウントを持つすべての UNIX ホストでも自動的にパスワードを変更することができます。さらに、ユーザーの UNIX パスワードが変更されたら、そのユーザーの Windows パスワードを自動的に変更するように、パスワード同期を構成することもできます。
これによりパスワードを 1 台のコンピューターから管理できるようになり、個々のユーザーだけでなく管理者にとっても作業が簡略化されます。パスワード同期は柔軟性も備えており、管理者は特定のユーザーおよびコンピューターを、同期の対象から除外できます。パスワード同期では、スタンドアロンの Windows ベースのコンピューター (Windows 2000 Server が実行されていてドメインに属していないコンピューターなど) 上のパスワード、または Windows ベースのドメイン全体のパスワードを同期することができます。同様に、パスワード同期では、個々の UNIX ホスト上のパスワード、または NIS (ネットワーク情報サービス) ドメインの全コンピューター上のパスワードも管理できます。
パスワード同期の動作
パスワード同期では、TCP/IP ソケットを介して暗号化されたパスワードのみを送出することにより、パスワードを安全に伝達します。これにより、保護されていない方法 (スクリプトなど) を使用してパスワードをリモートで管理する必要がなくなります。さらに、パスワードは即座に同期されます。これは、パスワードの伝達をバッチで処理する rdist のような方法とは異なり、あるシステム上でパスワードが変更された時点と、影響を受けるその他の全システム上でそのパスワードが変更される時点の間に、問題になるほどの遅延が発生しないことを意味します。これにより、使用中のユーザーの混乱やフラストレーションは解消されます。重要なことは、ユーザーのネットワーク アクセスを阻止するためにパスワードの変更が必要な場合に、潜在的なセキュリティ リスクが取り除かれることです。Windows ベースのコンピューターと UNIX ホストのペアごとに異なる暗号化キーを使用すると、ネットワークのセキュリティをさらに強化できます。
パスワード同期は、次の 3 つのソフトウェア コンポーネントの組み合わせです。
-
1 台以上の Windows ベースのコンピューターで実行されるパスワード同期サービス
-
1 台以上の UNIX コンピューターで実行されるパスワード同期デーモン
-
1 台以上の UNIX コンピューターにインストールされた、パスワード同期のホット プラグ可能な認証モジュール (PAM)
パスワード同期が Windows から UNIX 側への同期用に構成され、パスワード同期を実行している Windows ベースのコンピューター上でパスワードが変更された場合、パスワード同期サービスでは、このユーザーのパスワードを UNIX コンピューター上で同期する必要があるかどうかを確認します。同期する場合は、パスワード同期サービスによってパスワードが暗号化され、Windows ベースのコンピューターと同期するように構成された各コンピューターのパスワード同期デーモンにパスワードが送信されます。そのデーモンではパスワードの暗号化が解除され、UNIX ホストのパスワードが変更されます。UNIX ホストが NIS マスター サーバーになっている場合、構成によっては、デーモンによって make が実行され、パスワードの変更が NIS ドメイン全体に伝達されます。
パスワード同期が UNIX から Windows 側への同期用に構成されている場合、UNIX ホストで変更されたパスワードは、Windows ベースのコンピューターおよびドメインで同期されます。パスワード同期 PAM モジュールでは、UNIX ホスト上でパスワード変更要求を受信し、そのパスワードを暗号化し、同期の対象として構成された Windows ベースのコンピューター上で実行されているパスワード同期サービスにそのパスワード変更要求を送信することにより、同期を実現します。