Sun Java System Directory Server Enterprise Edition 6.3 インストールガイド

idsync resync の使用

この節では、同期プロセス、idsync resync サブコマンドを使用するための適切な構文、およびプロセスが正常に完了したことの確認方法について説明します。ここで説明する内容は、次のとおりです。

ユーザーまたはグループの再同期

2 つのディレクトリソースが同期しなくなったときは、ユーザーエントリを再同期します。idsync resync コマンドを使用して、2 つのディレクトリソースでユーザーとユーザーグループの作成、およびユーザーとユーザーグループの属性の同期を行います。具体的には、idsync resync コマンドを使用して、既存の Active Directory または Windows NT SAM ドメインユーザーを空の Directory Server に生成することができます。

idsync resync コマンドは、次のいずれの方法でも使用できます。

Directory Server および Windows にユーザーが存在する場合は、idsync resync コマンドを実行してそれらのユーザーを同期します。
既存のユーザーを Directory Server に同期しない場合は、-u 引数を指定して idsync resync を実行し、オブジェクトキャッシュのみを更新し、Windows のエントリを Directory Server に同期しないようにします。
既存の Windows ユーザーがあり、idsync resync を実行しない場合は、これらのユーザーに対する変更は伝播することもしないこともあります。フロー設定によっては、これらのユーザーが Directory Server に自動的に作成されることもあります。idsync resync コマンドをすでに実行した場合でも、このコマンドをもう一度実行してください。

注 –

パスワードを同期するために idsync resync コマンドを使用できません。ただし Active Directory 環境でオンデマンドパスワード同期を強制するために Directory Server パスワードを無効化する場合を除きます。

グループ同期機能が有効な場合は、ユーザーとそのユーザーに関連付けられたグループの両方が、設定されたデータソース間で同期されます。グループ同期で resync コマンドを使用するときは、追加オプションは必要ありません。

ユーザーのリンク

Active Directory および Directory Server にユーザーを入力して、同期の開始前に Active Directory および Directory Server のコネクタをインストールしたら、idsync resync コマンドを使用して、すべての既存ユーザーが 2 つのディレクトリソース間で必ずリンクされているようにしてください。

リンクとは次のことを意味します。Identity Synchronization for Windows では、次の一意で不変の識別子を格納することにより、Directory Server と Windows の同じユーザーを関連付けます。

各 Directory Server ユーザーエントリの dspswuserlink 属性
各 Active Directory ユーザーの objectguid 属性
各 Windows NT SAM ユーザーのドメイン名と RID の組み合わせ

これらの不変な識別子を使用することで、Identity Synchronization for Windows では uid や cn などほかの重要な識別子を同期できます。dspswuserlink 属性は、次のときに生成されます。

Identity Synchronization for Windows が Directory Server に新しいユーザーを作成したとき (新しいユーザーが Windows から同期されたか idsync resync -c を実行したあと)
Identity Synchronization for Windows が Windows に新しいユーザーを作成したとき (新しいユーザーが Directory Server から同期されたか idsync resync -c -o Sun を実行したあと)
この章で説明するように、idsync resync -c -f を実行して Directory Server と Windows にすでに存在するエントリをリンクしたとき。

既存ユーザーをリンクするには、2 つのディレクトリ間でユーザーを一致させるルールを指定します。たとえば、2 つのディレクトリでユーザーエントリをリンクするには、姓と名の両方を、両方のディレクトリエントリで一致させます。

ユーザーエントリのリンクとデータ競合の解決は、科学的というよりも技術的に説明されることがあります。相対するディレクトリソースの 2 ユーザーを idsync resync サブコマンドでリンクできないのには多くの理由があり、その大半はリンクされるディレクトリ内のデータの一貫性に起因します。

idsync resync を使用する 1 つの方針は、-n 引数を使用することです。この場合、セーフモードで実行されるため、実際には変更せずに操作の影響を確認できます。セーフモードで実行することにより、ユーザーマッチング条件の最適な組み合わせが見つかるまで、リンク条件を少しずつ調整できます。

ただし、リンクの正確さとリンクの範囲を通して実現されるバランスがあることに注意するようにしてください。

たとえば両方のディレクトリソースに従業員 ID または社会保障番号が含まれている場合に、この番号だけを含むリンク条件から開始するとします。リンクの正確さを向上させるには、条件に姓の属性も含めるべきだと考えるかもしれません。しかし、ID 単独では一致するエントリが、データ内の姓の値に整合性がないために一致しなくなり、そのためにリンクが失われる可能性があります。リンクできなかったエントリのデータをきれいにする作業を実行する必要が生じます。

注 –

グループ同期が有効な場合、グループはユーザーのリンク方法と同様の方法でリンクされます。

idsync resync のオプション

idsync resync コマンドでは、次のオプションを使用できます。

表 8–2 idsync resync の使用法


引数	意味
`-a <ldap-filter>`	同期されるエントリを制限するように LDAP フィルタを指定します。フィルタは、再同期操作のソースに適用されます。たとえば `idsync resync -o Sun -a "usid=*"` と指定すると、`uid` 属性を持つすべての Directory Server ユーザーが Active Directory に同期されます。
`-l <sul-to-sync>`	再同期する個別の同期ユーザーリスト (SUL) を指定します。注: 複数の SUL ID を指定して複数の SUL を再同期できます。SUL ID を指定しない場合は、使用している SUL のすべてが再同期されます。
`-o (Sun \| Windows)`	再同期動作のソースを指定します。 Sun: Windows エントリの属性値を Sun Java System Directory Server のディレクトリソースエントリの対応する属性値に設定します。 Windows: Sun Java System Directory Server エントリの属性値を Windows ディレクトリソースエントリの対応する属性値に設定します。 (デフォルトは Windows)
`-c`	対応するユーザーが宛先で見つからない場合にユーザーエントリを自動的に作成します。 Active Directory または Windows NT で作成されたユーザーに対して、暗号でセキュリティー保護されたパスワードをランダムに生成します。 `-i` オプションを指定しない限り、Directory Server で作成されたユーザーに対して、特別なパスワード値 (`{PSWSYNC}` *`INVALID PASSWORD`*) を自動的に作成します注: その方向で作成を設定していない場合であっても、Identity Synchronization for Windows はユーザーを作成しようとします。たとえば、Windows から Sun への同期 (またはその逆方向) を Identity Synchronization for Windows で設定していない場合でも、-c 引数を指定すれば Identity Synchronization for Windows は見つからなかったユーザーを作成しようとします。
`-i (ALL_USERS \| NEW_USERS \|)`	Sun ディレクトリソースで同期されたユーザーエントリのパスワードをリセットします。次回ユーザーパスワードが必要になったときに、それらのユーザーに対して現在のドメイン内でパスワード同期が実行されます。 `ALL_USERS`: 同期されたすべてのユーザーに対してオンデマンドパスワード同期が実行されます。 `NEW_USERS`: 新しく作成されたユーザーのみに対してオンデマンドパスワード同期が実行されます。
-u	オブジェクトキャッシュを更新します。この引数は、Windows ディレクトリソースのみでユーザーエントリのローカルキャッシュを更新します。既存の Windows ユーザーは Directory Server で作成されません。この引数を使用する場合、Windows ユーザーエントリは Directory Server ユーザーエントリと同期されません。この引数は、再同期ソースが Windows の場合のみ有効です。
-x	ソースエントリに一致しないすべての宛先ユーザーエントリを削除します。
`-n`	実際の変更を行わずに操作の影響をプレビューできるようにセーフモードで実行します。

表 8–3 idsync resync によって Directory Server でユーザーのパスワードが無効になるか


	Active Directory と Directory Server にユーザーのエントリがあり、リンクされている場合。	Active Directory と Directory Server にユーザーのエントリがあり、リンクされていない場合。	Active Directory にユーザーのエントリがあるが、Directory Server にはない場合。
`-i ALL_USERS`	はい	はい	はい
`-i NEW_USERS`	いいえ	いいえ	はい
No -i value	いいえ	いいえ	いいえ

次の表に、さまざまな引数を組み合わせたときの結果について例を示します。– h、-p、-D、-w、-、および -s 引数は、デフォルトであり、簡潔にするため省略しています。

表 8–4 idsync resync の使用例


引数	結果
idsync resync	`resync` の使用法の説明を表示します。
idsync resync -i ALL_USERS	すべてのユーザーのパスワードを無効にし、オンデマンドパスワード同期を実行します (Active Directory 環境のみで有効)。混在環境 (Active Directory と NT ドメインの両方) では、明示的に Active Directory SUL を示してください。
idsync resync -c -i NEW_USERS	Directory Server で見つからなかったユーザーを作成し、それらのユーザーのパスワードを無効にしてオンデマンドパスワード同期を実行します。このコマンドを使用すると、既存の Windows ユーザーが空の Directory Server インスタンスに生成されます。
idsync resync -c -l SUL_sales -l SUL_finance	SUL_sales SUL および SUL_finance SUL のみについて、すべての既存の Active Directory ユーザーを Directory Server に作成します。ただしオンデマンドパスワード同期は実行されません。
idsync resync -n	セーフモードで実行し、変更を実際には行わずに `resync` 操作の影響を確認できるようにします。
idsync resync -o Sun -a "(sn=Smith)"	Windows で、姓 (`sn`) が Smith であるすべての Directory Server ユーザーを同期します。
idsync resync -u	Windows コネクタのみのオブジェクトキャッシュを更新して、既存のユーザーが Directory Server で作成されないようにします。実際に同期されるユーザーはありません。
idsync resync -f link.cfg	`link.cfg` ファイルで指定されたリンク条件に基づいて、リンクされていないユーザーをリンクします。Identity Synchronization for Windows はユーザーを作成または変更しませんが、新しくリンクされるユーザーの Directory Server パスワードは Active Directory ユーザーのパスワードに設定されます。

注 –

idsync resync を使用してユーザーをリンクするときは、インデックスが作成された属性を操作に使用するようにしてください。インデックスが作成されていない属性は、パフォーマンスに影響を与える可能性があります。

UserMatchingCriteria セットに複数の属性があり、それらのうち少なくとも 1 つでインデックスが作成されていれば、パフォーマンスはおそらく許容できます。ただし、UserMatchingCriteria でインデックスが作成された属性がない場合、大きなディレクトリではパフォーマンスが許容できなくなります。