idsync resync のオプション
idsync resync コマンドでは、次のオプションを使用できます。
表 8–2 idsync resync の使用法
|
引数
|
意味
|
|
-a <ldap-filter>
|
同期されるエントリを制限するように LDAP フィルタを指定します。フィルタは、再同期操作のソースに適用されます。たとえば idsync resync -o Sun -a "usid=*" と指定すると、uid 属性を持つすべての Directory Server ユーザーが Active Directory に同期されます。
|
|
-l <sul-to-sync>
|
再同期する個別の同期ユーザーリスト (SUL) を指定します。
注: 複数の SUL ID を指定して複数の SUL を再同期できます。SUL ID を指定しない場合は、使用している SUL のすべてが再同期されます。
|
|
-o (Sun | Windows)
|
再同期動作のソースを指定します。
|
|
-c
|
対応するユーザーが宛先で見つからない場合にユーザーエントリを自動的に作成します。
-
Active Directory または Windows NT で作成されたユーザーに対して、暗号でセキュリティー保護されたパスワードをランダムに生成します。
-
-i オプションを指定しない限り、Directory Server で作成されたユーザーに対して、特別なパスワード値 ({PSWSYNC} *INVALID PASSWORD*) を自動的に作成します
注: その方向で作成を設定していない場合であっても、Identity Synchronization for Windows はユーザーを作成しようとします。たとえば、Windows から Sun への同期 (またはその逆方向) を Identity Synchronization for Windows で設定していない場合でも、-c 引数を指定すれば Identity Synchronization for Windows は見つからなかったユーザーを作成しようとします。
|
|
-i (ALL_USERS | NEW_USERS |)
|
Sun ディレクトリソースで同期されたユーザーエントリのパスワードをリセットします。次回ユーザーパスワードが必要になったときに、それらのユーザーに対して現在のドメイン内でパスワード同期が実行されます。
|
|
-u
|
オブジェクトキャッシュを更新します。
この引数は、Windows ディレクトリソースのみでユーザーエントリのローカルキャッシュを更新します。既存の Windows ユーザーは Directory Server で作成されません。この引数を使用する場合、Windows ユーザーエントリは Directory Server ユーザーエントリと同期されません。この引数は、再同期ソースが Windows の場合のみ有効です。
|
|
-x
|
ソースエントリに一致しないすべての宛先ユーザーエントリを削除します。
|
|
-n
|
実際の変更を行わずに操作の影響をプレビューできるようにセーフモードで実行します。
|
表 8–3 idsync resync によって Directory Server でユーザーのパスワードが無効になるか
|
|
Active Directory と Directory Server にユーザーのエントリがあり、リンクされている場合。
|
Active Directory と Directory Server にユーザーのエントリがあり、リンクされていない場合。
|
Active Directory にユーザーのエントリがあるが、Directory Server にはない場合。
|
|
-i ALL_USERS
|
はい
|
はい
|
はい
|
|
-i NEW_USERS
|
いいえ
|
いいえ
|
はい
|
|
No -i value
|
いいえ
|
いいえ
|
いいえ
|
次の表に、さまざまな引数を組み合わせたときの結果について例を示します。– h、-p、-D、-w、-、および -s 引数は、デフォルトであり、簡潔にするため省略しています。
表 8–4 idsync resync の使用例
|
引数
|
結果
|
idsync resync
|
resync の使用法の説明を表示します。
|
idsync resync -i ALL_USERS
|
すべてのユーザーのパスワードを無効にし、オンデマンドパスワード同期を実行します (Active Directory 環境のみで有効)。
混在環境 (Active Directory と NT ドメインの両方) では、明示的に Active Directory SUL を示してください。
|
idsync resync -c -i NEW_USERS
|
Directory Server で見つからなかったユーザーを作成し、それらのユーザーのパスワードを無効にしてオンデマンドパスワード同期を実行します。このコマンドを使用すると、既存の Windows ユーザーが空の Directory Server インスタンスに生成されます。
|
idsync resync -c -l SUL_sales
-l SUL_finance
|
SUL_sales SUL および SUL_finance SUL のみについて、すべての既存の Active Directory ユーザーを Directory Server に作成します。ただしオンデマンドパスワード同期は実行されません。
|
idsync resync -n
|
セーフモードで実行し、変更を実際には行わずに resync 操作の影響を確認できるようにします。
|
idsync resync -o Sun
-a "(sn=Smith)"
|
Windows で、姓 (sn) が Smith であるすべての Directory Server ユーザーを同期します。
|
idsync resync -u
|
Windows コネクタのみのオブジェクトキャッシュを更新して、既存のユーザーが Directory Server で作成されないようにします。実際に同期されるユーザーはありません。
|
idsync resync -f link.cfg
|
link.cfg ファイルで指定されたリンク条件に基づいて、リンクされていないユーザーをリンクします。Identity Synchronization for Windows はユーザーを作成または変更しませんが、新しくリンクされるユーザーの Directory Server パスワードは Active Directory ユーザーのパスワードに設定されます。
|
注 –
idsync resync を使用してユーザーをリンクするときは、インデックスが作成された属性を操作に使用するようにしてください。インデックスが作成されていない属性は、パフォーマンスに影響を与える可能性があります。
UserMatchingCriteria セットに複数の属性があり、それらのうち少なくとも 1 つでインデックスが作成されていれば、パフォーマンスはおそらく許容できます。ただし、UserMatchingCriteria でインデックスが作成された属性がない場合、大きなディレクトリではパフォーマンスが許容できなくなります。
