idsync コマンドとサブコマンドを使用して Identity Synchronization for Windows コマンド行ユーティリティーを実行します。
idsync コマンドは、引数を Directory Server に送信する前に、すべての DN 値引数 (バインド DN やサフィックス名など) をそのウィンドウに対して指定された文字セットから UTF-8 に変換します。
サフィックス名にエスケープ文字として円記号を使用しないでください。
UTF-8 文字を Solaris 上と Linux 上で指定するには、端末ウィンドウに UTF-8 に基づいたロケールが必要です。環境変数の LC_CTYPE と LANG.are を正しく設定する必要があります。
特に別途記載されていないかぎり、次のいずれかの方法でサブコマンドとともに idsync コマンドを実行できます。
Solaris の場合:
Linux の場合:
Windows の場合:
コマンドウィンドウを開き、cd と入力して install_path\isw-hostname \bin ディレクトリに移動します。
次のようにサブコマンドを 1 つ付けて idsync コマンドを実行します。
「idsync コマンドの使用」に idsync ユーティリティーのサブコマンドとその目的をすべてリストします。
サブコマンド |
目的 |
---|---|
設定と SSL 設定に基づいて証明書情報を表示します (「certinfo の使用」を参照) |
|
Identity Synchronization for Windows 設定パスワードを変更します (「changepw の使用」を参照) |
|
エクスポートした Identity Synchronization for Windows バージョン 1.0 設定 XML ドキュメントをインポートします (「importcnf の使用」を参照) |
|
Identity Synchronization for Windows で使用するように Sun Java System Directory Server ソースを準備します (「prepds の使用」参照) |
|
インストール/設定プロセスを完了するために必要な手順のリストを表示します。また、インストールされたコネクタ、システムマネージャー、および Message Queue の状態も表示します (「printstat の使用」を参照) |
|
設定ディレクトリのコネクタの状態をアンインストール済みにリセットします (「resetconn の使用」を参照) |
|
インストールプロセスの一環として、既存のユーザーまたはグループをリンクおよび再同期したり、ディレクトリを事前に生成したりします (「resync の使用」を参照) |
|
groupsync |
あるディレクトリソースから別のディレクトリソースへのユーザーとグループ間のグループ情報を同期します (「groupsync の使用」を参照) |
accountlockout |
Directory Server と Active Directory ソース間のアカウントロックアウトとロックアウト解除を同期します (「accountlockout の使用」を参照) |
dspluginconfig |
指定されたホスト上でディレクトリサーバープラグインを設定および設定解除します (「dspluginconfig の使用」を参照) |
同期を開始します (「startsync の使用」を参照) |
|
stopsync |
同期を停止します (「stopsync の使用」を参照) |
certinfo サブコマンドを使用して 設定と SSL 設定に基づいて証明書情報を表示できます。この情報は、各コネクタおよび/またはディレクトリサーバープラグインの証明書データベースに追加する必要のある証明書の決定に役立ちます。
証明書情報を表示するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync certinfo コマンドを入力します。
idsync certinfo [bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path]
certinfo サブコマンドはコネクタおよび Directory Server の証明書データベースへアクセスできないため、リストされている必要な一部の手順はすでに実行されている場合があります。
idsync certinfo -w admin-password -q configuration-password
certinfo 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。
changepw サブコマンドを使用して Identity Synchronization for Windows 設定パスワードを変更できます。
Identity Synchronization for Windows プロセス (システムマネージャー、セントラルロガー、コネクタ、コンソール、インストーラ/アンインストーラなど) をすべて停止します。
プロセスをすべて停止したあと、設定ディレクトリを ldif にエクスポートして、ou=Services ツリーをバックアップします。
次のようにidsync changepw コマンドを入力します。
idsync changepw [-D bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path] -b new password | - [-y]
idsync changepw -w admin password -q old config password -b -q new config password |
引数 |
説明 |
---|---|
-b password |
新しい設定パスワードを指定します。- 値はパスワードを標準入力 (STDIN) から読み取ります。 |
[-y] |
コマンドの確認を求めるプロンプトメッセージを出力しません。 |
端末ウィンドウに表示されるメッセージに応答します。次にその例を示します。
本当に設定パスワードの変更を行いますか (y/n)? yes システムを再起動する前に - $PSWHOME/resources/SystemManagerBootParams.cfg ファイルを編集で、 「deploymentPassword」の値を変更します。 成功 |
システムを再起動する前に、SystemManagerBootParams.cfg ファイルを変更してください。
$PSWHOME\resources (ここで $PSWHOME は isw-installation ディレクトリ) 内の SystemManagerBootParams.cfg ファイルには、システムマネージャーが設定ディレクトリへの接続に使用する設定パスワードが含まれます。
たとえば、次のようにパスワードを変更できます。
変更前: Parameter name="manager.configReg.deploymentPassword" value=" oldpassword"/
変更後: Parameter name="manager.configReg.deploymentPassword" value= "newpassword "/
プログラムがエラーを報告した場合は、「changepw の使用」の ldif を使用して設定ディレクトリを復元し、再試行してください。エラーのもっとも一般的な理由は、設定ディレクトリをホストしている Directory Server がパスワードの変更中に使用できなくなることです。
コア (第 5 章「コアのインストール」) をインストールしたあと、idsync importcnf サブコマンドを使用して、コア設定情報を含むエクスポートされた Identity Synchronization for Windows バージョン 1.0 または 1.1 (SP1) 設定 XML ファイルをインポートします。
バージョン 1.0 の設定 XML ファイルをインポートするには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、idsync importcnf コマンドを次のように入力します。
idsync importcnf [-D bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path] -f filename [-n]
idsync importcnf -w admin_password -q configuration_password -f "MyConfig.cfg"
次の引数は importcnf に固有です。
表 A–5 idsync importcnf の引数
引数 |
説明 |
---|---|
-f filename |
設定 XML ドキュメントの名前を指定します。 |
-n |
実際の変更を行わずに操作の影響をプレビューできるようにセーフモードで実行します。 |
その他の importcnf 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。
バージョン 1.0 の設定 XML ファイルをインポートしたあと、同期するために prepds をすべての Directory Server ソース上で実行します (「prepds の使用」のコネクタとサブコンポーネントを参照)。
コンソールまたは prepds サブコマンドを使用して Identity Synchronization for Windows が使用する Sun Java System Directory Server ソースを準備します。ディレクトリサーバーコネクタをインストールする前に、prepds を実行してください。
idsync prepds サブコマンドを実行すると、適切な ACI が cn=changelog エントリに提供されます。このエントリは旧バージョン形式の変更ログデータベースのルートノードです。
Identity Synchronization for Windows が使用する 優先マスター Directory Server を準備する場合は、ディレクトリマネージャー 証明書を指定します。
ディレクトリマネージャーユーザーは、Directory Server インスタンスのあらゆる場所へのフル アクセス権を持つ Directory Server の特別なユーザーです。ACI はディレクトリマネージャーユーザーには適用されません。
たとえば、ディレクトリマネージャーのみが旧バージョン形式の変更ログデータベースへのアクセス制御を設定できます。これが、優先マスターサーバーに対して Identity Synchronization for Windows がディレクトリマネージャーの証明書を必要とする理由の 1 つです。
優先 Sun ディレクトリソースの旧バージョン形式の更新履歴ログデータベースを再作成する場合、デフォルトのアクセス制御設定が適用されるとディレクトリサーバーコネクタはデータベースの内容を読み込めません。
旧バージョン形式の変更ログデータベースのアクセス制御設定を復元するには、idsync prepds を実行するか、またはコンソールで適切な Sun ディレクトリソースを選択して「Directory Server の準備」ボタンをクリックします。
指定した時間のあと、変更ログのエントリを自動的に削除する (または切り取る) ようシステムを設定できます。コマンド行から cn=Retro Changelog Plug-in, cn=plugins, cn=config の nsslapd-changelogmaxage 設定属性を変更します。
nsslapd-changelogmaxage: IntegerTimeunit
引数の意味はそれぞれ次のとおりです。
Integer は数字です。
Timeunit は、秒の場合は s、分の場合は m、時間の場合は h、日の場合はd、週の場合は w です。Integer 変数と Timeunit 変数の間には空白を挿入しません。
たとえば、nsslapd-changelogmaxage: 2d のようになります。
詳細は、『Sun Java System Directory Server 5 2004Q2 管理ガイド』の「レプリケーションの管理」の章を参照してください。
管理資格を使用して副サーバーを準備できます。
使用するホストとサフィックスを知る必要があるため、idsync prepds を実行する前に必ず Identity Synchronization for Windows 設定を計画してください。
ディレクトリサーバーコネクタとプラグインがすでにインストール、設定、同期されている Directory Server のサフィックスで idsync prepds を実行すると、ディレクトリサーバーコネクタをインストールするかどうか尋ねるメッセージが表示されます。このメッセージは無視してください。
Sun Java System Directory Server ソースを準備するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync prepds コマンドを入力します。
単一ホストの場合:
idsync prepds [-h <hostname>] [-p <port>] [-D <Directory Manager DN>] -w <password> -s <database suffix> [-x] [-Z] [-P <cert db path>] [-m <secmod db path>]
複数ホストの場合:
idsync prepds -F <filename of Host info> -s <root suffix> [-x] [-Z] [-P <cert db path>][-m <secmod db path>] [-3]
isw-hostname\bin>idsync prepds -F isw-hostname\samples\Hosts.xml \ -s ou=isw_data
prepds サブコマンドの場合のみ、次の表で説明するように -h、-p、-D、-w、および -s 引数が再定義されています。さらに、-q 引数は該当しません。
「prepds の使用」では、idsync prepds に固有の引数について説明します。
表 A–6 prepds の引数
引数 |
説明 |
---|---|
-h name |
優先ホストとして機能する Directory Server インスタンスの DNS 名を指定します。 |
-p port |
優先ホストとして機能する Directory Server インスタンスのポート番号を指定します。(デフォルトは 389。) |
-j name (オプション) |
副ホストとして機能する Directory Server インスタンスの DNS 名を指定します (Sun Java System Directory Server 5 2004Q2 マルチマスターレプリケーション (MMR) 環境に該当)。 |
-r port (オプション) |
副ホストとして機能する Directory Server のポートを指定します (Sun Java System Directory Server 5 2004Q2 マルチマスターレプリケーション (MMR) 環境に該当)。(デフォルトは 389。) |
-D dn |
優先ホストのディレクトリマネージャーユーザーの識別名を指定します。 |
-w password |
優先ホストのディレクトリマネージャーユーザーのパスワードを指定します。- 値はパスワードを標準入力 (STDIN) から読み取ります。 |
-E admin-DN |
副ホストのディレクトリマネージャーユーザーの識別名を指定します。 |
-u password |
副ホストのディレクトリマネージャーユーザーのパスワードを指定します。- 値はパスワードを標準入力 (STDIN) から読み取ります。 |
-s rootsuffix |
インデックスの追加に使用するルートサフィックス (ユーザーを同期するルートサフィックス) を指定します。 注: 優先および副ホストのデータベース名は変わることがありますが、サフィックスは変わりません。このため、プログラムは各ホストのデータベース名を見つけて、それをインデックスの追加に使用できます。 |
-x | |
-F filename of Host info |
複数ホスト環境の場合、ホスト情報を含むファイル名を指定します。 |
(たとえば、優先マスター、副マスター、および 2 つのコンシューマのある) レプリケートされた環境で idsync prepds を実行している場合、優先マスターと副マスターに対して idsync prepds を 1 度だけ実行します。
Directory Server のレプリケーションが起動し、実行されていることと確認します (該当する場合)。
次のように、コンソールまたはコマンド行から idsync prepds を実行します。
idsync prepds -h M1.example.com -p 389 -j M2.example.com -r 389. |
M1 上で idsync prepds コマンドを実行すると、次の処理を行うことができます。
RCL を有効化および拡張してより多くの属性を取得する (dspswuserlink など)。
RCL は M1 上でのみ必要です。
スキーマを拡張する。
ACI で uid=pswconnector,suffix user を追加する。
インデックス指定が完了するまで Directory Server を一時的に読み取り専用モードにする dspswuserlink 属性にインデックスを追加する。
停止時間を避けるためにインデックスは後で追加することができますが、ディレクトリサーバーコネクタをインストールする前にインデックスを追加する必要があります。
M2 にインデックスを追加する。
レプリケーションによって Identity Synchronization for Windows がスキーマ情報と uid=pswconnector を優先マスターから副マスターと 2 つのコンシューマに確実にコピーします。
ディレクトリサーバーコネクタを 1 度インストールしてください。ディレクトリサーバープラグインはすべてのディレクトリにインストールします。
インデックス指定は、優先マスターと副マスターでのみ必要です。レプリケーションはインデックス指定設定を優先マスターから副マスターに転送しません。
printstat サブコンポーネントを使用して次を実行できます。
インストールと設定のプロセスを完了するために実行する必要のある残りの手順のリストを表示する。
インストールしたコネクタ、システムマネージャー、および Message Queue の状態を印刷する。
可能な状態設定は次のとおりです。
「Uninstalled」:コネクタはインストールされていません。
「Installed」: コネクタはインストールされていますが、実行時設定をまだ受け取っていないため、同期の準備ができていません。
「Ready」: コネクタは同期の準備ができていますが、まだどのオブジェクトとも同期していません。
インストール済みのコネクタ、システムマネージャー、Message Queue の状態を印刷するには、端末ウィンドウ (またはコマンドウィンドウ) を開き、次のように idsync printstat コマンドを入力します。
idsync printstat [-D bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path]
idsync printstat -w admin password -q configuration password
resetconn サブコマンドを使用して、設定ディレクトリのコネクタの状態をアンインストール済みにリセットできます。たとえば、ハードウェアの障害によってコネクタをアンインストールできない場合、resetconn を使用してコネクタの状態をアンインストール済みに変更すると、そのコネクタを再インストールできます。
resetconn サブコマンドは、ハードウェアやアンインストーラの障害時にのみ使用することを目的としています。
コマンド行からコネクタの状態をリセットするには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync resetconn コマンドを入力します。
idsync resetconn [-D bind-DN] -w bind-password\> | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path] -e directory-source-name [-n]
idsync resetconn -w admin password -q configuration_password -e "dc=example,dc=com"
「prepds の使用」では、resetconn に固有の引数について説明します。
表 A–7 idsync resetconn の引数
引数 |
説明 |
---|---|
-e dir-source |
リセットするディレクトリソースの名前を指定します。 |
-n |
実際の変更を行わずに操作の影響をプレビューできるようにセーフモードで実行します。 |
idsync printstat を使用してディレクトリソースの名前を見つけることができます。
その他の resetconn 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。
resync サブコマンドを使用して既存のユーザーで配備をブートストラップできます。このコマンドは、管理者が指定したマッチングルールを使用して、次を実行します。
2 つの既存のユーザー入力間で属性値を一括同期する
(グループ同期機能を有効な場合) 既存のグループとグループに関連付けられたユーザーを一括同期する
ユーザーのリンクと同期の詳細については、第 3 章「製品の理解」を参照してください。
既存のユーザーを再同期してディレクトリに事前に生成するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて次のように idsync resync コマンドを入力します。
idsync resync [-D bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path] [-n] [-f xml filename for linking] [-k] [-a ldap-filter] [-l sul-to-sync] [-o Sun | Windows] [-c] [-x] [-u][-i ALL_USERS | NEW_USERS | NEW_LINKED_USERS]
idsync resync -w admin password -q configuration_password
「resync の使用」では、resync に固有の引数について説明します。
表 A–8 idsync resync の使用
引数 | |
---|---|
-f filename |
Identity Synchronization for Windows によって提供される指定された XML 設定ファイルの 1 つを使用して、リンクされていないユーザーエントリ間にリンクを作成します (付録 B 「Identity Synchronization for Windows LinkUsers XML ドキュメントの例」を参照)。 |
-k |
リンクしていないユーザー間にリンクを作成するだけです (ユーザーを作成したり、既存のユーザーを変更したりすることはない)。 |
-a ldap-filter |
同期するエントリを制限するための LDAP フィルタを指定します。フィルタは、再同期動作のソースに適用されます。たとえば、idsync resync -o Sun -a "uid=*" を指定すると、uid 属性を持つすべての Directory Server ユーザーが Active Directory と同期します。 |
-l sul-to-sync |
再同期する個別の同期ユーザーリスト (SUL) を指定します。 注: 複数の SUL ID を指定して複数の SUL を再同期できます。SUL ID を指定しない場合は、使用している SUL のすべてが再同期されます。 |
-o (Sun | Windows) |
再同期動作のソースを指定します。
|
-c |
対応するユーザーが宛先で見つからない場合にユーザーエントリを自動的に作成します。
|
-i (ALL_USERS | NEW_USERS | NEW_LINKED_USERS) |
Sun ディレクトリソースで同期するユーザーエントリのパスワードをリセットし、次にユーザーパスワードが必要なときに、これらのユーザーに対して現在のドメイン内でのパスワード同期を実行します。
|
-u |
オブジェクトキャッシュを更新するだけです。エントリは変更しません。 この引数は、Windows ディレクトリソースのユーザーエントリのローカルキャッシュのみを更新します。これによって、既存の Windows ユーザーが Directory Server で作成されるのを防ぎます。この引数を使用する場合、Windows ユーザーエントリは Directory Server ユーザーエントリと同期されません。この引数は、再同期ソースが Windows の場合のみ有効です。 |
-x |
ソースエントリに一致しないすべての宛先ユーザーエントリを削除します。 |
-n |
実際の変更を行わずに操作の影響をプレビューできるようにセーフモードで実行します。 |
使用状態を表示するには、引数なしで idsync resync を実行します。
resync 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。
既存のユーザーの再同期については、第 3 章「製品の理解」を参照してください。
resync を実行したあと、セントラル audit log の resync.log ファイルを確認します。エラー結果の場合は、『Sun Java System Directory Server Enterprise Edition 6.3 トラブルシューティングガイド』の第 7 章「Identity Synchronization for Windows のトラブルシューティング」を参照してください。
groupsync サブコマンドを使用して Active Directory と Directory Server 間でグループを同期できます。
グループの同期を有効または無効にするには、idsync groupsync コマンドを入力します。
次に例を示します。
idsync groupsync -{e/d} -D <bind DN> -w <bind password> [-h <CD hostname>] [-p <CD port no>] -s <rootsuffix> [-Z] -q <configuration password> -t <AD group type>表 A–9 groupsync の引数
引数 |
意味 |
---|---|
-{e/d} |
グループの同期を有効にする場合は e、無効にする場合は d を選択します。 |
-t |
Active Directory でグループタイプを指定します。たとえば、「distribution」または「security」のいずれかを選択できます。 |
accountlockout サブコマンドを使用して Active Directory と Directory Server 間のアカウントのロックアウトとロックアウト解除を同期できます。
アカウントのロックアウトを有効または無効にするには、idsync accountlockout コマンドを入力します。
次に例を示します。
idsync accountlockout -{e/d} -D <Directory Manager DN> -w <bind-password> -h <Configuration Directory-hostname> -p <Configuration Directory-port-no> -s <rootsuffix> [-Z] [-P <cert db path>] [-m <secmod db path>] -q <configuration password> -t <max lockout attempts>表 A–10 accountlockout の引数
引数 |
意味 |
---|---|
-{e/d} |
アカウントロックアウトの同期を有効にする場合は e、無効にする場合は d を選択します。 |
-t |
Active Directory コネクタが実行するロックアウトの最大試行回数を指定します。 |
dspluginconfig サブコマンドを使用して、指定された Directory Server データソースでディレクトリサーバープラグインを設定または設定解除できます。
ディレクトリサーバープラグインを設定または設定解除するには、idsync dspluginconfig コマンドを入力します。
次に例を示します。
idsync dspluginconfig -{C/U} -D <bind DN> -w <bind password | -> [-h <CD hostname>] [-p <CD port no>] [-s <configuration suffix>] [-Z] [-P <cert db path>] [-m <secmod db path> ] [-d <ds plugin hostname>] [-r <ds plugin port>] [-u <ds plugin user>] [-x <ds plugin user password>] [-o <database suffix>] [-q <configuration password | ->]表 A–11 dspluginconfig の引数
引数 |
意味 |
---|---|
-{C/U} |
ディレクトリサーバープラグインを設定する場合は C、設定解除する場合は U を選択します。 |
-d |
プラグインを設定する必要のある Directory Server データソースのホスト名 |
-r |
プラグインを設定する必要のある Directory Server データソースのポート番号 |
-u |
プラグインを設定する必要のある Directory Server データソースの管理者 |
-x |
プラグインを設定する必要のある Directory Server データソースの管理者のパスワード |
-o |
Directory Server データソースのデータサフィックス。 |
startsync サブコマンドを使用して、コマンド行から同期を開始できます。
同期を開始するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync startsync コマンドを入力します。
idsync startsync [-D bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path]
idsync startsync -w admin password -q configuration_password
「startsync の使用」では、startsync に固有の引数について説明します。
表 A–12 idsync startsync の引数
引数 |
説明 |
---|---|
[-y] |
コマンドの確認を求めるプロンプトメッセージを出力しません。 |
その他の startsync 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。
stopsync サブコマンドを使用して、コマンド行から同期を停止できます。
同期を停止するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync stopsync コマンドを入力します。
idsync stopsync [-D bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path]
idsync stopsync -w admin password -q configuration_password
stopsync 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。