test

Sun Java System Directory Server Enterprise Edition 6.3 インストールガイド

idsync コマンドの使用

idsync コマンドとサブコマンドを使用して Identity Synchronization for Windows コマンド行ユーティリティーを実行します。

注 –

idsync コマンドは、引数を Directory Server に送信する前に、すべての DN 値引数 (バインド DN やサフィックス名など) をそのウィンドウに対して指定された文字セットから UTF-8 に変換します。

サフィックス名にエスケープ文字として円記号を使用しないでください。

UTF-8 文字を Solaris 上と Linux 上で指定するには、端末ウィンドウに UTF-8 に基づいたロケールが必要です。環境変数の LC_CTYPELANG.are を正しく設定する必要があります。

特に別途記載されていないかぎり、次のいずれかの方法でサブコマンドとともに idsync コマンドを実行できます。

表 A–4 idsync サブコマンドのクイックリファレンス

サブコマンド 

目的 

certinfo

設定と SSL 設定に基づいて証明書情報を表示します (「certinfo の使用」を参照)

changepw

Identity Synchronization for Windows 設定パスワードを変更します (「changepw の使用」を参照)

importcnf

エクスポートした Identity Synchronization for Windows バージョン 1.0 設定 XML ドキュメントをインポートします (「importcnf の使用」を参照)

prepds

Identity Synchronization for Windows で使用するように Sun Java System Directory Server ソースを準備します (「prepds の使用」参照)

printstat

インストール/設定プロセスを完了するために必要な手順のリストを表示します。また、インストールされたコネクタ、システムマネージャー、および Message Queue の状態も表示します (「printstat の使用」を参照)

resetconn

設定ディレクトリのコネクタの状態をアンインストール済みにリセットします (「resetconn の使用」を参照)

resync

インストールプロセスの一環として、既存のユーザーまたはグループをリンクおよび再同期したり、ディレクトリを事前に生成したりします (「resync の使用」を参照)

groupsync

あるディレクトリソースから別のディレクトリソースへのユーザーとグループ間のグループ情報を同期します (「groupsync の使用」を参照)

accountlockout

Directory Server と Active Directory ソース間のアカウントロックアウトとロックアウト解除を同期します (「accountlockout の使用」を参照)

dspluginconfig

指定されたホスト上でディレクトリサーバープラグインを設定および設定解除します (「dspluginconfig の使用」を参照)

startsync

同期を開始します (「startsync の使用」を参照)

stopsync

同期を停止します (「stopsync の使用」を参照)

certinfo の使用

certinfo サブコマンドを使用して 設定と SSL 設定に基づいて証明書情報を表示できます。この情報は、各コネクタおよび/またはディレクトリサーバープラグインの証明書データベースに追加する必要のある証明書の決定に役立ちます。

証明書情報を表示するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync certinfo コマンドを入力します。

idsync certinfo [bind-DN] -w bind-password | - 
[-h Configuration Directory-hostname] [-p Configuration Directory-port-no] 
[-s rootsuffix] -q configuration_password [-Z] 
[-P cert-db-path] [-m secmod-db-path]
注 –

certinfo サブコマンドはコネクタおよび Directory Server の証明書データベースへアクセスできないため、リストされている必要な一部の手順はすでに実行されている場合があります。

次に例を示します。

idsync certinfo -w admin-password -q configuration-password
注 –

certinfo 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。

changepw の使用

changepw サブコマンドを使用して Identity Synchronization for Windows 設定パスワードを変更できます。

ProcedureIdentity Synchronization for Windows の設定パスワードを変更する

  1. Identity Synchronization for Windows プロセス (システムマネージャー、セントラルロガー、コネクタ、コンソール、インストーラ/アンインストーラなど) をすべて停止します。

  2. プロセスをすべて停止したあと、設定ディレクトリを ldif にエクスポートして、ou=Services ツリーをバックアップします。

  3. 次のようにidsync changepw コマンドを入力します。

    idsync changepw [-D bind-DN] -w bind-password | - 
[-h Configuration Directory-hostname] [-p Configuration Directory-port-no] 
[-s rootsuffix] -q configuration_password 
[-Z] [-P cert-db-path] [-m secmod-db-path] 
-b new password | - [-y]

    次に例を示します。


    idsync changepw -w admin password -q old config password -b -q new config password

    次の引数は、changepw に固有です。

    引数 

    説明 

    -b password

    新しい設定パスワードを指定します。- 値はパスワードを標準入力 (STDIN) から読み取ります。

    [-y]

    コマンドの確認を求めるプロンプトメッセージを出力しません。 

  4. 端末ウィンドウに表示されるメッセージに応答します。次にその例を示します。


    本当に設定パスワードの変更を行いますか (y/n)? yes
システムを再起動する前に -
$PSWHOME/resources/SystemManagerBootParams.cfg ファイルを編集で、
「deploymentPassword」の値を変更します。

成功

  5. システムを再起動する前に、SystemManagerBootParams.cfg ファイルを変更してください。

    $PSWHOME\resources (ここで $PSWHOME は isw-installation ディレクトリ) 内の SystemManagerBootParams.cfg ファイルには、システムマネージャーが設定ディレクトリへの接続に使用する設定パスワードが含まれます。

    たとえば、次のようにパスワードを変更できます。

    変更前: Parameter name="manager.configReg.deploymentPassword" value=" oldpassword"/

    変更後: Parameter name="manager.configReg.deploymentPassword" value= "newpassword "/

  6. プログラムがエラーを報告した場合は、「changepw の使用」ldif を使用して設定ディレクトリを復元し、再試行してください。エラーのもっとも一般的な理由は、設定ディレクトリをホストしている Directory Server がパスワードの変更中に使用できなくなることです。

importcnf の使用

コア (第 5 章「コアのインストール」) をインストールしたあと、idsync importcnf サブコマンドを使用して、コア設定情報を含むエクスポートされた Identity Synchronization for Windows バージョン 1.0 または 1.1 (SP1) 設定 XML ファイルをインポートします。

バージョン 1.0 の設定 XML ファイルをインポートするには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、idsync importcnf コマンドを次のように入力します。

idsync importcnf [-D bind-DN] -w bind-password | - 
[-h Configuration Directory-hostname] [-p Configuration Directory-port-no] 
[-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] 
[-m secmod-db-path] -f filename [-n]

次に例を示します。

idsync importcnf -w admin_password -q configuration_password -f  "MyConfig.cfg"

次の引数は importcnf に固有です。

表 A–5 idsync importcnf の引数

引数 

説明 

-f filename

設定 XML ドキュメントの名前を指定します。 

-n

実際の変更を行わずに操作の影響をプレビューできるようにセーフモードで実行します。 

注 –

その他の importcnf 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。

バージョン 1.0 の設定 XML ファイルをインポートしたあと、同期するために prepds をすべての Directory Server ソース上で実行します (「prepds の使用」のコネクタとサブコンポーネントを参照)。

prepds の使用

コンソールまたは prepds サブコマンドを使用して Identity Synchronization for Windows が使用する Sun Java System Directory Server ソースを準備します。ディレクトリサーバーコネクタをインストールする前に、prepds を実行してください。

idsync prepds サブコマンドを実行すると、適切な ACI が cn=changelog エントリに提供されます。このエントリは旧バージョン形式の変更ログデータベースのルートノードです。

Identity Synchronization for Windows が使用する 優先マスター Directory Server を準備する場合は、ディレクトリマネージャー 証明書を指定します。

ディレクトリマネージャーユーザーは、Directory Server インスタンスのあらゆる場所へのフル アクセス権を持つ Directory Server の特別なユーザーです。ACI はディレクトリマネージャーユーザーには適用されません。

たとえば、ディレクトリマネージャーのみが旧バージョン形式の変更ログデータベースへのアクセス制御を設定できます。これが、優先マスターサーバーに対して Identity Synchronization for Windows がディレクトリマネージャーの証明書を必要とする理由の 1 つです。

注 –

優先 Sun ディレクトリソースの旧バージョン形式の更新履歴ログデータベースを再作成する場合、デフォルトのアクセス制御設定が適用されるとディレクトリサーバーコネクタはデータベースの内容を読み込めません。

旧バージョン形式の変更ログデータベースのアクセス制御設定を復元するには、idsync prepds を実行するか、またはコンソールで適切な Sun ディレクトリソースを選択して「Directory Server の準備」ボタンをクリックします。

指定した時間のあと、変更ログのエントリを自動的に削除する (または切り取る) ようシステムを設定できます。コマンド行から cn=Retro Changelog Plug-in, cn=plugins, cn=confignsslapd-changelogmaxage 設定属性を変更します。

nsslapd-changelogmaxage: IntegerTimeunit

引数の意味はそれぞれ次のとおりです。

使用するホストとサフィックスを知る必要があるため、idsync prepds を実行する前に必ず Identity Synchronization for Windows 設定を計画してください。

ディレクトリサーバーコネクタとプラグインがすでにインストール、設定、同期されている Directory Server のサフィックスで idsync prepds を実行すると、ディレクトリサーバーコネクタをインストールするかどうか尋ねるメッセージが表示されます。このメッセージは無視してください。

Sun Java System Directory Server ソースを準備するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync prepds コマンドを入力します。

単一ホストの場合: 

idsync prepds [-h <hostname>] [-p <port>] [-D <Directory Manager DN>] -w <password> 
-s <database suffix> [-x] [-Z] [-P <cert db path>] [-m <secmod db path>]

複数ホストの場合: 

idsync prepds -F <filename of Host info> -s <root suffix> [-x] [-Z] 
[-P <cert db path>][-m <secmod db path>] [-3]

次に例を示します。

isw-hostname\bin>idsync prepds -F isw-hostname\samples\Hosts.xml \
-s ou=isw_data
注 –

prepds サブコマンドの場合のみ、次の表で説明するように -h-p-D-w、および -s 引数が再定義されています。さらに、-q 引数は該当しません。

「prepds の使用」では、idsync prepds に固有の引数について説明します。

表 A–6 prepds の引数

引数 

説明 

-h name

優先ホストとして機能する Directory Server インスタンスの DNS 名を指定します。 

-p port

優先ホストとして機能する Directory Server インスタンスのポート番号を指定します。(デフォルトは 389。)

-j name (オプション)

副ホストとして機能する Directory Server インスタンスの DNS 名を指定します (Sun Java System Directory Server 5 2004Q2 マルチマスターレプリケーション (MMR) 環境に該当)。 

-r port (オプション)

副ホストとして機能する Directory Server のポートを指定します (Sun Java System Directory Server 5 2004Q2 マルチマスターレプリケーション (MMR) 環境に該当)。(デフォルトは 389。)

-D dn

優先ホストのディレクトリマネージャーユーザーの識別名を指定します。 

-w password

優先ホストのディレクトリマネージャーユーザーのパスワードを指定します。- 値はパスワードを標準入力 (STDIN) から読み取ります。

-E admin-DN

副ホストのディレクトリマネージャーユーザーの識別名を指定します。 

-u password

副ホストのディレクトリマネージャーユーザーのパスワードを指定します。- 値はパスワードを標準入力 (STDIN) から読み取ります。

-s rootsuffix

インデックスの追加に使用するルートサフィックス (ユーザーを同期するルートサフィックス) を指定します。 

: 優先および副ホストのデータベース名は変わることがありますが、サフィックスは変わりません。このため、プログラムは各ホストのデータベース名を見つけて、それをインデックスの追加に使用できます。

-x

dspswuserlink 属性の等価インデックスおよびプレゼンスインデックスをデータベースに追加しません。

-F filename of Host info

複数ホスト環境の場合、ホスト情報を含むファイル名を指定します。 

(たとえば、優先マスター、副マスター、および 2 つのコンシューマのある) レプリケートされた環境で idsync prepds を実行している場合、優先マスターと副マスターに対して idsync prepds を 1 度だけ実行します。

Procedureidsync prepds を実行する

  1. Directory Server のレプリケーションが起動し、実行されていることと確認します (該当する場合)。

  2. 次のように、コンソールまたはコマンド行から idsync prepds を実行します。


    idsync prepds -h M1.example.com -p 389 -j M2.example.com -r 389.

    M1 上で idsync prepds コマンドを実行すると、次の処理を行うことができます。

    • RCL を有効化および拡張してより多くの属性を取得する (dspswuserlink など)。

      RCL は M1 上でのみ必要です。

    • スキーマを拡張する。

    • ACI で uid=pswconnector,suffix user を追加する。

    • インデックス指定が完了するまで Directory Server を一時的に読み取り専用モードにする dspswuserlink 属性にインデックスを追加する。

      停止時間を避けるためにインデックスは後で追加することができますが、ディレクトリサーバーコネクタをインストールするにインデックスを追加する必要があります。

    M2 にインデックスを追加する。

    注 –

    • レプリケーションによって Identity Synchronization for Windows がスキーマ情報と uid=pswconnector を優先マスターから副マスターと 2 つのコンシューマに確実にコピーします。

    • ディレクトリサーバーコネクタを 1 度インストールしてください。ディレクトリサーバープラグインはすべてのディレクトリにインストールします。

    • インデックス指定は、優先マスターと副マスターでのみ必要です。レプリケーションはインデックス指定設定を優先マスターから副マスターに転送しません。

printstat の使用

printstat サブコンポーネントを使用して次を実行できます。

resetconn の使用

resetconn サブコマンドを使用して、設定ディレクトリのコネクタの状態をアンインストール済みにリセットできます。たとえば、ハードウェアの障害によってコネクタをアンインストールできない場合、resetconn を使用してコネクタの状態をアンインストール済みに変更すると、そのコネクタを再インストールできます。

注 –

resetconn サブコマンドは、ハードウェアやアンインストーラの障害時にのみ使用することを目的としています。

コマンド行からコネクタの状態をリセットするには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync resetconn コマンドを入力します。

idsync resetconn [-D bind-DN] -w bind-password\> | - 
[-h Configuration Directory-hostname] [-p Configuration Directory-port-no] 
[-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] 
[-m secmod-db-path] -e directory-source-name [-n]

次に例を示します。

idsync resetconn -w admin password -q configuration_password -e "dc=example,dc=com"

「prepds の使用」では、resetconn に固有の引数について説明します。

表 A–7 idsync resetconn の引数

引数 

説明 

-e dir-source

リセットするディレクトリソースの名前を指定します。 

-n

実際の変更を行わずに操作の影響をプレビューできるようにセーフモードで実行します。 

注 –

idsync printstat を使用してディレクトリソースの名前を見つけることができます。

その他の resetconn 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。

resync の使用

resync サブコマンドを使用して既存のユーザーで配備をブートストラップできます。このコマンドは、管理者が指定したマッチングルールを使用して、次を実行します。

注 –

ユーザーのリンクと同期の詳細については、第 3 章「製品の理解」を参照してください。

既存のユーザーを再同期してディレクトリに事前に生成するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて次のように idsync resync コマンドを入力します。

idsync resync [-D bind-DN] -w bind-password | - 
[-h Configuration Directory-hostname] [-p Configuration Directory-port-no] 
[-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] 
[-m secmod-db-path] [-n] [-f xml filename for linking] [-k] [-a ldap-filter] 
[-l sul-to-sync] [-o Sun | Windows] [-c] [-x] 
[-u][-i ALL_USERS | NEW_USERS | NEW_LINKED_USERS]

次に例を示します。

idsync resync -w admin password -q configuration_password

「resync の使用」では、resync に固有の引数について説明します。

表 A–8 idsync resync の使用

引数 

意味

-f filename

Identity Synchronization for Windows によって提供される指定された XML 設定ファイルの 1 つを使用して、リンクされていないユーザーエントリ間にリンクを作成します (付録 B 「Identity Synchronization for Windows LinkUsers XML ドキュメントの例」を参照)。

-k

リンクしていないユーザー間にリンクを作成するだけです (ユーザーを作成したり、既存のユーザーを変更したりすることはない)。 

-a ldap-filter

同期するエントリを制限するための LDAP フィルタを指定します。フィルタは、再同期動作のソースに適用されます。たとえば、idsync resync -o Sun -a "uid=*" を指定すると、uid 属性を持つすべての Directory Server ユーザーが Active Directory と同期します。

-l sul-to-sync

再同期する個別の同期ユーザーリスト (SUL) を指定します。 

: 複数の SUL ID を指定して複数の SUL を再同期できます。SUL ID を指定しない場合は、使用している SUL のすべてが再同期されます。

-o (Sun | Windows)

再同期動作のソースを指定します。 

  • Sun: Windows エントリの属性値を Sun Java System Directory Server のディレクトリソースエントリの対応する属性値に設定します。

  • Windows: Sun Java System Directory Server エントリの属性値を Windows ディレクトリソースエントリの対応する属性値に設定します。

    (デフォルトは Windows)

-c

対応するユーザーが宛先で見つからない場合にユーザーエントリを自動的に作成します。 

  • Active Directory または Windows NT で作成されたユーザーに対してランダムにパスワードを生成します。

  • Directory Server で作成したユーザーに対して特別なパスワード値 ((PSWSYNC) *INVALID PASSWORD*) を自動的に作成します (-i オプションを指定しないかぎり)。

-i (ALL_USERS | NEW_USERS | NEW_LINKED_USERS)

Sun ディレクトリソースで同期するユーザーエントリのパスワードをリセットし、次にユーザーパスワードが必要なときに、これらのユーザーに対して現在のドメイン内でのパスワード同期を実行します。 

  • ALL_USERS: 同期されたすべてのユーザーに対してオンデマンドパスワード同期が実行されます。

  • NEW_USERS: 新しく作成されたユーザーのみに対してオンデマンドパスワード同期が実行されます。

  • NEW_LINKED_USERS: 新しく作成されたユーザーと新しくリンクされたユーザーすべてに対してオンデマンドパスワード同期が実行されます。

-u 

オブジェクトキャッシュを更新するだけです。エントリは変更しません。 

この引数は、Windows ディレクトリソースのユーザーエントリのローカルキャッシュのみを更新します。これによって、既存の Windows ユーザーが Directory Server で作成されるのを防ぎます。この引数を使用する場合、Windows ユーザーエントリは Directory Server ユーザーエントリと同期されません。この引数は、再同期ソースが Windows の場合のみ有効です。 

-x 

ソースエントリに一致しないすべての宛先ユーザーエントリを削除します。 

-n

実際の変更を行わずに操作の影響をプレビューできるようにセーフモードで実行します。 

注 –

groupsync の使用

groupsync サブコマンドを使用して Active Directory と Directory Server 間でグループを同期できます。

グループの同期を有効または無効にするには、idsync groupsync コマンドを入力します。

次に例を示します。

idsync groupsync -{e/d} -D <bind DN> -w <bind password> [-h <CD hostname>] 
[-p <CD port no>] -s <rootsuffix> [-Z] -q <configuration password> -t <AD group type>
表 A–9 groupsync の引数

引数 

意味 

-{e/d}

グループの同期を有効にする場合は e、無効にする場合は d を選択します。 

-t 

Active Directory でグループタイプを指定します。たとえば、「distribution」または「security」のいずれかを選択できます。 

accountlockout の使用

accountlockout サブコマンドを使用して Active Directory と Directory Server 間のアカウントのロックアウトとロックアウト解除を同期できます。

アカウントのロックアウトを有効または無効にするには、idsync accountlockout コマンドを入力します。

次に例を示します。

idsync accountlockout -{e/d} -D <Directory Manager DN> -w <bind-password> 
-h <Configuration Directory-hostname> -p <Configuration Directory-port-no> 
-s <rootsuffix> [-Z] [-P <cert db path>] [-m <secmod db path>] 
-q <configuration password> -t <max lockout attempts>
表 A–10 accountlockout の引数

引数 

意味 

-{e/d}

アカウントロックアウトの同期を有効にする場合は e、無効にする場合は d を選択します。 

-t 

Active Directory コネクタが実行するロックアウトの最大試行回数を指定します。 

dspluginconfig の使用

dspluginconfig サブコマンドを使用して、指定された Directory Server データソースでディレクトリサーバープラグインを設定または設定解除できます。

ディレクトリサーバープラグインを設定または設定解除するには、idsync dspluginconfig コマンドを入力します。

次に例を示します。

idsync dspluginconfig -{C/U} -D <bind DN> -w <bind password | -> 
[-h <CD hostname>] [-p <CD port no>] [-s <configuration suffix>] 
[-Z] [-P <cert db path>] [-m <secmod db path> ] [-d <ds plugin hostname>] 
[-r <ds plugin port>] [-u <ds plugin user>] [-x <ds plugin user password>] 
[-o <database suffix>]  [-q <configuration password | ->]
表 A–11 dspluginconfig の引数

引数 

意味 

-{C/U}

ディレクトリサーバープラグインを設定する場合は C、設定解除する場合は U を選択します。 

-d 

プラグインを設定する必要のある Directory Server データソースのホスト名 

-r 

プラグインを設定する必要のある Directory Server データソースのポート番号 

-u 

プラグインを設定する必要のある Directory Server データソースの管理者 

-x 

プラグインを設定する必要のある Directory Server データソースの管理者のパスワード 

-o 

Directory Server データソースのデータサフィックス。 

startsync の使用

startsync サブコマンドを使用して、コマンド行から同期を開始できます。

同期を開始するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync startsync コマンドを入力します。

idsync startsync [-D bind-DN] -w bind-password | - 
[-h Configuration Directory-hostname] [-p Configuration Directory-port-no] 
[-s rootsuffix] -q configuration_password [-Z] 
[-P cert-db-path] [-m secmod-db-path]

次に例を示します。

idsync startsync -w admin password -q configuration_password

「startsync の使用」では、startsync に固有の引数について説明します。

表 A–12 idsync startsync の引数

引数 

説明 

[-y]

コマンドの確認を求めるプロンプトメッセージを出力しません。 

注 –

その他の startsync 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。

stopsync の使用

stopsync サブコマンドを使用して、コマンド行から同期を停止できます。

同期を停止するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync stopsync コマンドを入力します。

idsync stopsync [-D bind-DN] -w bind-password | - 
[-h Configuration Directory-hostname] [-p Configuration Directory-port-no] 
[-s rootsuffix] -q configuration_password [-Z] 
[-P cert-db-path] [-m secmod-db-path]

次に例を示します。

idsync stopsync -w admin password -q configuration_password
注 –

stopsync 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。