ユーザーのリンク
Active Directory および Directory Server にユーザーを入力して、同期の開始前に Active Directory および Directory Server のコネクタをインストールしたら、idsync resync コマンドを使用して、すべての既存ユーザーが 2 つのディレクトリソース間で必ずリンクされているようにしてください。
リンクとは次のことを意味します。Identity Synchronization for Windows では、次の一意で不変の識別子を格納することにより、Directory Server と Windows の同じユーザーを関連付けます。
これらの不変な識別子を使用することで、Identity Synchronization for Windows では uid や cn などほかの重要な識別子を同期できます。dspswuserlink 属性は、次のときに生成されます。
-
Identity Synchronization for Windows が Directory Server に新しいユーザーを作成したとき (新しいユーザーが Windows から同期されたか idsync resync -c を実行したあと)
-
Identity Synchronization for Windows が Windows に新しいユーザーを作成したとき (新しいユーザーが Directory Server から同期されたか idsync resync -c -o Sun を実行したあと)
-
この章で説明するように、idsync resync -c -f を実行して Directory Server と Windows にすでに存在するエントリをリンクしたとき。
既存ユーザーをリンクするには、2 つのディレクトリ間でユーザーを一致させるルールを指定します。たとえば、2 つのディレクトリでユーザーエントリをリンクするには、姓と名の両方を、両方のディレクトリエントリで一致させます。
ユーザーエントリのリンクとデータ競合の解決は、科学的というよりも技術的に説明されることがあります。相対するディレクトリソースの 2 ユーザーを idsync resync サブコマンドでリンクできないのには多くの理由があり、その大半はリンクされるディレクトリ内のデータの一貫性に起因します。
idsync resync を使用する 1 つの方針は、-n 引数を使用することです。この場合、セーフモードで実行されるため、実際には変更せずに操作の影響を確認できます。セーフモードで実行することにより、ユーザーマッチング条件の最適な組み合わせが見つかるまで、リンク条件を少しずつ調整できます。
ただし、リンクの正確さとリンクの範囲を通して実現されるバランスがあることに注意するようにしてください。
たとえば両方のディレクトリソースに従業員 ID または社会保障番号が含まれている場合に、この番号だけを含むリンク条件から開始するとします。リンクの正確さを向上させるには、条件に姓の属性も含めるべきだと考えるかもしれません。しかし、ID 単独では一致するエントリが、データ内の姓の値に整合性がないために一致しなくなり、そのためにリンクが失われる可能性があります。リンクできなかったエントリのデータをきれいにする作業を実行する必要が生じます。
注 –
グループ同期が有効な場合、グループはユーザーのリンク方法と同様の方法でリンクされます。
- © 2010, Oracle Corporation and/or its affiliates