日本語フォーラム

いつもコミュニティでご支援いただき、ありがとうございます。

ClarePassをADドメインへ参加させ、認証ソースとして設定をしています。

今回、認証ソースとしているADユーザー(CN)のパスワード変更を予定しているのですが

その際にClearPass側で考慮しなければいけないことを教えていただけないでしょうか。

ADユーザー(CN)のパスワードを変更した後、ClearPass側で認証ソースの設定画面から

Bind DNのパスワード部分を新しい変更後のものにして保存する必要があると理解しています。

ユーザーへの影響としては、パスワード変更後からClearPass側で認証ソース設定を更新して

新しい情報が同期されるまで新規ユーザー接続ができない状態になる理解です。

新規ユーザー接続ができない状態をできるだけ避けたい場合には

別のADユーザーを作りそちらを認証ソースに設定してあげる

旧パスワードをもったADユーザーは削除で影響時間を最小にすることができると考えたのですがいかがでしょうか。

検討違いなことを言っていたら申し訳ありません。

間違った方法である場合ご指摘いただき、正しい手順を教えてください。

-------------------------------------------

↓画像の赤枠部分の設定のご質問かと理解しました。

ご認識の通り、AD側でこのパスワードが変更されると認証が失敗してしまいます。
記載頂いた方法でも問題ないと思いますが、以下の方法はどうでしょうか。

・新しい認証ソースを作成し、異なるADユーザで同じADに対して接続
・サービス設定側の認証ソースで、２つ目の認証ソースとして新しい認証ソースを追加
すると、既存認証ソースADへの接続が失敗しても新規認証ソースADにFailoverして認証を継続することが可能です。
以下イメージです。

ただし、Bind DNに指定するユーザはAD側ではパスワード変更の必要のないサービスアカウントを指定するのがベストプラクティスにはなります。

------------------------------
Stephane Kazuki Chartrand
HPE Aruba Networking
------------------------------