test

Sun Java System Directory Server Enterprise Edition 6.3 インストールガイド

第 8 章 既存のユーザーおよびユーザーグループの同期

Identity Synchronization for Windows のコマンド行ユーティリティーには、既存のユーザーまたはグループで配備をブートストラップする idsync resync サブコマンドが用意されています。このコマンドは、管理者固有のマッチングルールを使用して、既存エントリのリンク、遠隔ディレクトリの内容で空のディレクトリに生成、または 2 つの既存のユーザーおよびグループの入力の間で属性値 (パスワードを含む) の一括同期を行います

この章では、idsync resync サブコマンドを使用して新しい Identity Synchronization for Windows インストールで既存のユーザーおよびグループを同期する方法について説明します。また、同期およびサービスを開始および停止する手順についても説明します。ここで説明する内容は、次のとおりです。

注 –

既存ユーザーを同期する前に、コアおよびコネクタのインストールを完了してください。

idsync resync サブコマンドの詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。

「既存のユーザーおよびユーザーグループの同期」では、既存のユーザーおよびグループの入力に基づいて実行するインストール後の手順について概要を説明します。

既存のユーザーおよびグループの入力に基づくインストール後の手順

表 8–1 既存のユーザーの入力に基づくインストール後の手順

ユーザーの存在場所 

 

インストール後の手順 

 

Windows 

Directory Server 

既存ユーザーを同期 

既存ユーザーを同期しない 

いいえ 

いいえ 

なし 

なし 

いいえ 

はい 

idsync resync -o Sun -c を実行して既存の Directory Server ユーザーを Windows に作成します。

なし 

はい 

いいえ 

idsync resync -c を実行して既存の Windows ユーザーを Directory Server に作成します。

idsync resync -u を実行してコネクタのユーザーエントリのローカルキャッシュに生成します。

はい 

はい 

idsync resync -f <filename > -k を実行してユーザーだけをリンクし、次に idsync resync -o Sun を実行して既存のユーザーを Directory Server から再同期します。

idsync resync -u を実行してコネクタのユーザーエントリのローカルキャッシュに生成します。

注 –

グループ同期が有効な場合、グループはユーザーの同期方法と同様の方法で同期されます。

idsync resync の使用

この節では、同期プロセス、idsync resync サブコマンドを使用するための適切な構文、およびプロセスが正常に完了したことの確認方法について説明します。ここで説明する内容は、次のとおりです。

ユーザーまたはグループの再同期

2 つのディレクトリソースが同期しなくなったときは、ユーザーエントリを再同期します。idsync resync コマンドを使用して、2 つのディレクトリソースでユーザーとユーザーグループの作成、およびユーザーとユーザーグループの属性の同期を行います。具体的には、idsync resync コマンドを使用して、既存の Active Directory または Windows NT SAM ドメインユーザーを空の Directory Server に生成することができます。

idsync resync コマンドは、次のいずれの方法でも使用できます。

注 –

パスワードを同期するために idsync resync コマンドを使用できません。ただし Active Directory 環境でオンデマンドパスワード同期を強制するために Directory Server パスワードを無効化する場合を除きます。

グループ同期機能が有効な場合は、ユーザーとそのユーザーに関連付けられたグループの両方が、設定されたデータソース間で同期されます。グループ同期で resync コマンドを使用するときは、追加オプションは必要ありません。

ユーザーのリンク

Active Directory および Directory Server にユーザーを入力して、同期の開始前に Active Directory および Directory Server のコネクタをインストールしたら、idsync resync コマンドを使用して、すべての既存ユーザーが 2 つのディレクトリソース間で必ずリンクされているようにしてください。

リンクとは次のことを意味します。Identity Synchronization for Windows では、次の一意で不変の識別子を格納することにより、Directory Server と Windows の同じユーザーを関連付けます。

これらの不変な識別子を使用することで、Identity Synchronization for Windows では uidcn などほかの重要な識別子を同期できます。dspswuserlink 属性は、次のときに生成されます。

既存ユーザーをリンクするには、2 つのディレクトリ間でユーザーを一致させるルールを指定します。たとえば、2 つのディレクトリでユーザーエントリをリンクするには、姓と名の両方を、両方のディレクトリエントリで一致させます。

ユーザーエントリのリンクとデータ競合の解決は、科学的というよりも技術的に説明されることがあります。相対するディレクトリソースの 2 ユーザーを idsync resync サブコマンドでリンクできないのには多くの理由があり、その大半はリンクされるディレクトリ内のデータの一貫性に起因します。

idsync resync を使用する 1 つの方針は、-n 引数を使用することです。この場合、セーフモードで実行されるため、実際には変更せずに操作の影響を確認できます。セーフモードで実行することにより、ユーザーマッチング条件の最適な組み合わせが見つかるまで、リンク条件を少しずつ調整できます。

ただし、リンクの正確さとリンクの範囲を通して実現されるバランスがあることに注意するようにしてください。

たとえば両方のディレクトリソースに従業員 ID または社会保障番号が含まれている場合に、この番号だけを含むリンク条件から開始するとします。リンクの正確さを向上させるには、条件に姓の属性も含めるべきだと考えるかもしれません。しかし、ID 単独では一致するエントリが、データ内の姓の値に整合性がないために一致しなくなり、そのためにリンクが失われる可能性があります。リンクできなかったエントリのデータをきれいにする作業を実行する必要が生じます。

注 –

グループ同期が有効な場合、グループはユーザーのリンク方法と同様の方法でリンクされます。

idsync resync のオプション

idsync resync コマンドでは、次のオプションを使用できます。

表 8–2 idsync resync の使用法

引数 

意味

-a <ldap-filter>

同期されるエントリを制限するように LDAP フィルタを指定します。フィルタは、再同期操作のソースに適用されます。たとえば idsync resync -o Sun -a "usid=*" と指定すると、uid 属性を持つすべての Directory Server ユーザーが Active Directory に同期されます。

-l <sul-to-sync>

再同期する個別の同期ユーザーリスト (SUL) を指定します。 

: 複数の SUL ID を指定して複数の SUL を再同期できます。SUL ID を指定しない場合は、使用している SUL のすべてが再同期されます。

-o (Sun | Windows)

再同期動作のソースを指定します。 

  • Sun: Windows エントリの属性値を Sun Java System Directory Server のディレクトリソースエントリの対応する属性値に設定します。

  • Windows: Sun Java System Directory Server エントリの属性値を Windows ディレクトリソースエントリの対応する属性値に設定します。

    (デフォルトは Windows)

-c

対応するユーザーが宛先で見つからない場合にユーザーエントリを自動的に作成します。 

  • Active Directory または Windows NT で作成されたユーザーに対して、暗号でセキュリティー保護されたパスワードをランダムに生成します。

  • -i オプションを指定しない限り、Directory Server で作成されたユーザーに対して、特別なパスワード値 ({PSWSYNC} *INVALID PASSWORD*) を自動的に作成します

    : その方向で作成を設定していない場合であっても、Identity Synchronization for Windows はユーザーを作成しようとします。たとえば、Windows から Sun への同期 (またはその逆方向) を Identity Synchronization for Windows で設定していない場合でも、-c 引数を指定すれば Identity Synchronization for Windows は見つからなかったユーザーを作成しようとします。

-i (ALL_USERS | NEW_USERS |)

Sun ディレクトリソースで同期されたユーザーエントリのパスワードをリセットします。次回ユーザーパスワードが必要になったときに、それらのユーザーに対して現在のドメイン内でパスワード同期が実行されます。 

  • ALL_USERS: 同期されたすべてのユーザーに対してオンデマンドパスワード同期が実行されます。

  • NEW_USERS: 新しく作成されたユーザーのみに対してオンデマンドパスワード同期が実行されます。

-u 

オブジェクトキャッシュを更新します。 

この引数は、Windows ディレクトリソースのみでユーザーエントリのローカルキャッシュを更新します。既存の Windows ユーザーは Directory Server で作成されません。この引数を使用する場合、Windows ユーザーエントリは Directory Server ユーザーエントリと同期されません。この引数は、再同期ソースが Windows の場合のみ有効です。 

-x 

ソースエントリに一致しないすべての宛先ユーザーエントリを削除します。 

-n

実際の変更を行わずに操作の影響をプレビューできるようにセーフモードで実行します。 

表 8–3 idsync resync によって Directory Server でユーザーのパスワードが無効になるか
 

Active Directory と Directory Server にユーザーのエントリがあり、リンクされている場合。 

Active Directory と Directory Server にユーザーのエントリがあり、リンクされていない場合。 

Active Directory にユーザーのエントリがあるが、Directory Server にはない場合。 

-i ALL_USERS

はい 

はい 

はい 

-i NEW_USERS

いいえ 

いいえ 

はい 

No -i value

いいえ 

いいえ 

いいえ 

次の表に、さまざまな引数を組み合わせたときの結果について例を示します。– h-p-D-w-、および -s 引数は、デフォルトであり、簡潔にするため省略しています。

表 8–4 idsync resync の使用例

引数 

結果 

 
idsync resync

resync の使用法の説明を表示します。

 
idsync resync -i ALL_USERS

すべてのユーザーのパスワードを無効にし、オンデマンドパスワード同期を実行します (Active Directory 環境のみで有効)。 

混在環境 (Active Directory と NT ドメインの両方) では、明示的に Active Directory SUL を示してください。 

 
idsync resync -c -i NEW_USERS

Directory Server で見つからなかったユーザーを作成し、それらのユーザーのパスワードを無効にしてオンデマンドパスワード同期を実行します。このコマンドを使用すると、既存の Windows ユーザーが空の Directory Server インスタンスに生成されます。 

 
idsync resync -c -l SUL_sales
 -l SUL_finance

SUL_sales SUL および SUL_finance SUL のみについて、すべての既存の Active Directory ユーザーを Directory Server に作成します。ただしオンデマンドパスワード同期は実行されません。 

 
idsync resync -n

セーフモードで実行し、変更を実際には行わずに resync 操作の影響を確認できるようにします。

 
idsync resync -o Sun
 -a "(sn=Smith)"

Windows で、姓 (sn) が Smith であるすべての Directory Server ユーザーを同期します。

 
idsync resync -u

Windows コネクタのみのオブジェクトキャッシュを更新して、既存のユーザーが Directory Server で作成されないようにします。実際に同期されるユーザーはありません。 

 
idsync resync -f link.cfg

link.cfg ファイルで指定されたリンク条件に基づいて、リンクされていないユーザーをリンクします。Identity Synchronization for Windows はユーザーを作成または変更しませんが、新しくリンクされるユーザーの Directory Server パスワードは Active Directory ユーザーのパスワードに設定されます。

注 –

idsync resync を使用してユーザーをリンクするときは、インデックスが作成された属性を操作に使用するようにしてください。インデックスが作成されていない属性は、パフォーマンスに影響を与える可能性があります。

UserMatchingCriteria セットに複数の属性があり、それらのうち少なくとも 1 つでインデックスが作成されていれば、パフォーマンスはおそらく許容できます。ただし、UserMatchingCriteria でインデックスが作成された属性がない場合、大きなディレクトリではパフォーマンスが許容できなくなります。

セントラルログで結果の確認

すべての idsync resync 操作の結果は、resync.log という名前の特殊なセントラルログに報告されます。このログには、正しくリンクされて同期されたユーザー、リンクに失敗したユーザー、および以前にリンクされたユーザーのすべてが一覧表示されます。

注 –

あらかじめ存在する特殊な Active Directory ユーザー (Administrator や Guest など) は、このログに失敗として記録されることがあります。

同期の起動および停止

同期の起動および停止によって個別の Java プロセス、デーモン、またはサービスは起動または停止されません。同期を起動すると、同期を停止しても操作は一時停止するだけです。同期を再起動すると、同期が停止した時点から再開され、変更は失われません。

Procedure同期を起動または停止する

  1. Sun Java System Server コンソールのナビゲーション区画で、Identity Synchronization for Windows インスタンスを選択します。

  2. Identity Synchronization for Windows 区画が表示されたら、右上の「開く」ボタンをクリックします。

  3. 要求されたら、設定パスワードを入力します。

  4. 「タスク」タブを選択します。

    図 8–1 同期の起動および停止

    同期サービスを起動または停止します。

    • 同期を起動するには、「同期の起動」をクリックします。

    • 同期を停止するには、「同期の停止」をクリックします。

    注 –

    idsync startsync および idsync stopsync コマンド行ユーティリティーを使用して同期を起動および停止することもできます。詳細な手順については、「startsync の使用」および 「stopsync の使用」を参照してください

再同期されたユーザー/グループ

グループを再同期するには、コンソールまたはコマンド行インタフェースを使用してグループ同期機能を有効にします。

グループ同期機能を有効にする方法については、「グループ同期の設定」を参照してください

サービスの起動および停止

Identity Synchronization for Windows および Message Queue は、Solaris および Linux ではデーモンとして、Windows ではサービスとしてインストールされます。これらのプロセスは、システムのブート時に自動的に起動しますが、次のようにして手動で起動および停止することもできます。