Identity Synchronization for Windows のコマンド行ユーティリティーには、既存のユーザーまたはグループで配備をブートストラップする idsync resync サブコマンドが用意されています。このコマンドは、管理者固有のマッチングルールを使用して、既存エントリのリンク、遠隔ディレクトリの内容で空のディレクトリに生成、または 2 つの既存のユーザーおよびグループの入力の間で属性値 (パスワードを含む) の一括同期を行います
この章では、idsync resync サブコマンドを使用して新しい Identity Synchronization for Windows インストールで既存のユーザーおよびグループを同期する方法について説明します。また、同期およびサービスを開始および停止する手順についても説明します。ここで説明する内容は、次のとおりです。
既存ユーザーを同期する前に、コアおよびコネクタのインストールを完了してください。
idsync resync サブコマンドの詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。
「既存のユーザーおよびユーザーグループの同期」では、既存のユーザーおよびグループの入力に基づいて実行するインストール後の手順について概要を説明します。
ユーザーの存在場所 |
インストール後の手順 | ||
---|---|---|---|
Windows |
Directory Server |
既存ユーザーを同期 |
既存ユーザーを同期しない |
いいえ |
いいえ |
なし |
なし |
いいえ |
はい |
idsync resync -o Sun -c を実行して既存の Directory Server ユーザーを Windows に作成します。 |
なし |
はい |
いいえ |
idsync resync -c を実行して既存の Windows ユーザーを Directory Server に作成します。 |
idsync resync -u を実行してコネクタのユーザーエントリのローカルキャッシュに生成します。 |
はい |
はい |
idsync resync -f <filename > -k を実行してユーザーだけをリンクし、次に idsync resync -o Sun を実行して既存のユーザーを Directory Server から再同期します。 |
idsync resync -u を実行してコネクタのユーザーエントリのローカルキャッシュに生成します。 |
グループ同期が有効な場合、グループはユーザーの同期方法と同様の方法で同期されます。
この節では、同期プロセス、idsync resync サブコマンドを使用するための適切な構文、およびプロセスが正常に完了したことの確認方法について説明します。ここで説明する内容は、次のとおりです。
2 つのディレクトリソースが同期しなくなったときは、ユーザーエントリを再同期します。idsync resync コマンドを使用して、2 つのディレクトリソースでユーザーとユーザーグループの作成、およびユーザーとユーザーグループの属性の同期を行います。具体的には、idsync resync コマンドを使用して、既存の Active Directory または Windows NT SAM ドメインユーザーを空の Directory Server に生成することができます。
idsync resync コマンドは、次のいずれの方法でも使用できます。
Directory Server および Windows にユーザーが存在する場合は、idsync resync コマンドを実行してそれらのユーザーを同期します。
既存のユーザーを Directory Server に同期しない場合は、-u 引数を指定して idsync resync を実行し、オブジェクトキャッシュのみを更新し、Windows のエントリを Directory Server に同期しないようにします。
既存の Windows ユーザーがあり、idsync resync を実行しない場合は、これらのユーザーに対する変更は伝播することもしないこともあります。フロー設定によっては、これらのユーザーが Directory Server に自動的に作成されることもあります。idsync resync コマンドをすでに実行した場合でも、このコマンドをもう一度実行してください。
パスワードを同期するために idsync resync コマンドを使用できません。ただし Active Directory 環境でオンデマンドパスワード同期を強制するために Directory Server パスワードを無効化する場合を除きます。
グループ同期機能が有効な場合は、ユーザーとそのユーザーに関連付けられたグループの両方が、設定されたデータソース間で同期されます。グループ同期で resync コマンドを使用するときは、追加オプションは必要ありません。
Active Directory および Directory Server にユーザーを入力して、同期の開始前に Active Directory および Directory Server のコネクタをインストールしたら、idsync resync コマンドを使用して、すべての既存ユーザーが 2 つのディレクトリソース間で必ずリンクされているようにしてください。
リンクとは次のことを意味します。Identity Synchronization for Windows では、次の一意で不変の識別子を格納することにより、Directory Server と Windows の同じユーザーを関連付けます。
これらの不変な識別子を使用することで、Identity Synchronization for Windows では uid や cn などほかの重要な識別子を同期できます。dspswuserlink 属性は、次のときに生成されます。
Identity Synchronization for Windows が Directory Server に新しいユーザーを作成したとき (新しいユーザーが Windows から同期されたか idsync resync -c を実行したあと)
Identity Synchronization for Windows が Windows に新しいユーザーを作成したとき (新しいユーザーが Directory Server から同期されたか idsync resync -c -o Sun を実行したあと)
この章で説明するように、idsync resync -c -f を実行して Directory Server と Windows にすでに存在するエントリをリンクしたとき。
既存ユーザーをリンクするには、2 つのディレクトリ間でユーザーを一致させるルールを指定します。たとえば、2 つのディレクトリでユーザーエントリをリンクするには、姓と名の両方を、両方のディレクトリエントリで一致させます。
ユーザーエントリのリンクとデータ競合の解決は、科学的というよりも技術的に説明されることがあります。相対するディレクトリソースの 2 ユーザーを idsync resync サブコマンドでリンクできないのには多くの理由があり、その大半はリンクされるディレクトリ内のデータの一貫性に起因します。
idsync resync を使用する 1 つの方針は、-n 引数を使用することです。この場合、セーフモードで実行されるため、実際には変更せずに操作の影響を確認できます。セーフモードで実行することにより、ユーザーマッチング条件の最適な組み合わせが見つかるまで、リンク条件を少しずつ調整できます。
ただし、リンクの正確さとリンクの範囲を通して実現されるバランスがあることに注意するようにしてください。
たとえば両方のディレクトリソースに従業員 ID または社会保障番号が含まれている場合に、この番号だけを含むリンク条件から開始するとします。リンクの正確さを向上させるには、条件に姓の属性も含めるべきだと考えるかもしれません。しかし、ID 単独では一致するエントリが、データ内の姓の値に整合性がないために一致しなくなり、そのためにリンクが失われる可能性があります。リンクできなかったエントリのデータをきれいにする作業を実行する必要が生じます。
グループ同期が有効な場合、グループはユーザーのリンク方法と同様の方法でリンクされます。
idsync resync コマンドでは、次のオプションを使用できます。
表 8–2 idsync resync の使用法表 8–3 idsync resync によって Directory Server でユーザーのパスワードが無効になるか
Active Directory と Directory Server にユーザーのエントリがあり、リンクされている場合。 |
Active Directory と Directory Server にユーザーのエントリがあり、リンクされていない場合。 |
Active Directory にユーザーのエントリがあるが、Directory Server にはない場合。 |
|
---|---|---|---|
-i ALL_USERS |
はい |
はい |
はい |
-i NEW_USERS |
いいえ |
いいえ |
はい |
No -i value |
いいえ |
いいえ |
いいえ |
次の表に、さまざまな引数を組み合わせたときの結果について例を示します。– h、-p、-D、-w、-、および -s 引数は、デフォルトであり、簡潔にするため省略しています。
表 8–4 idsync resync の使用例
idsync resync を使用してユーザーをリンクするときは、インデックスが作成された属性を操作に使用するようにしてください。インデックスが作成されていない属性は、パフォーマンスに影響を与える可能性があります。
UserMatchingCriteria セットに複数の属性があり、それらのうち少なくとも 1 つでインデックスが作成されていれば、パフォーマンスはおそらく許容できます。ただし、UserMatchingCriteria でインデックスが作成された属性がない場合、大きなディレクトリではパフォーマンスが許容できなくなります。
すべての idsync resync 操作の結果は、resync.log という名前の特殊なセントラルログに報告されます。このログには、正しくリンクされて同期されたユーザー、リンクに失敗したユーザー、および以前にリンクされたユーザーのすべてが一覧表示されます。
あらかじめ存在する特殊な Active Directory ユーザー (Administrator や Guest など) は、このログに失敗として記録されることがあります。
同期の起動および停止によって個別の Java プロセス、デーモン、またはサービスは起動または停止されません。同期を起動すると、同期を停止しても操作は一時停止するだけです。同期を再起動すると、同期が停止した時点から再開され、変更は失われません。
Sun Java System Server コンソールのナビゲーション区画で、Identity Synchronization for Windows インスタンスを選択します。
Identity Synchronization for Windows 区画が表示されたら、右上の「開く」ボタンをクリックします。
要求されたら、設定パスワードを入力します。
「タスク」タブを選択します。
idsync startsync および idsync stopsync コマンド行ユーティリティーを使用して同期を起動および停止することもできます。詳細な手順については、「startsync の使用」および 「stopsync の使用」を参照してください
グループを再同期するには、コンソールまたはコマンド行インタフェースを使用してグループ同期機能を有効にします。
グループ同期機能を有効にする方法については、「グループ同期の設定」を参照してください
Identity Synchronization for Windows および Message Queue は、Solaris および Linux ではデーモンとして、Windows ではサービスとしてインストールされます。これらのプロセスは、システムのブート時に自動的に起動しますが、次のようにして手動で起動および停止することもできます。
Solaris の場合: コマンド行から、次のように入力します。
Linux の場合: コマンド行から、次のように入力します。
Windows の場合:
Windows の「スタート」メニューから次の操作を実行します。
「スタート」->「設定」->「コントロール パネル」->「管理ツール」を選択します。
「管理ツール」ダイアログボックスが表示されたら、「サービス」アイコンをダブルクリックして「サービス」ダイアログボックスを開きます。
メニューバーから「Identity Synchronization for Windows」を選択し、次に「操作」->「開始」(または「停止」) を選択します。iMQ ブローカについて繰り返します。
コマンド行から net コマンドを入力してサービスを制御します。
Identity Synchronization for Windows デーモン/サービスを停止したあとは、もう一度起動するまで 30 秒待機してください。コネクタが安全にシャットダウンするには数秒かかることがあります。