複数の Windows ドメインを設定する

1. Active Directory east.example.com ドメインのユーザーは ou=people,dc=example,dc=com の Directory Server に同期します。

2. Active Directory west.example.com ドメインのユーザーは ou=people,dc=example,dc=com の Directory Server に同期します。

3. Windows NT NTEXAMPLE ドメインのユーザーは ou=people,dc=example,dc=com の Directory Server に同期します。

   Directory Server ユーザーを作成または変更する場合、(各 Directory Server SUL に同じベース DN、ou=people,dc=example,dc=com があるため) プログラムは SUL フィルタを使用してユーザーを同期する Windows ドメインを決定します。activedirectorydomainname 属性と user_nt_domain_name 属性によってこれらのフィルタの構築は簡単になります。

   フィルタをコンソールの「属性」タブから構築する

4. Directory Server の destinationindicator 属性を Active Directory の activedirectorydomainname 属性と Windows NT の user_nt_domain_name 属性にマップします。

5. 次の手順で各 Windows ドメインに SUL を 1 つ設定します。

   EAST_SUL

   Sun Java System Directory Server definition 
           Base DN:    ou=people,dc=example,dc=com
           Filter:    destinationindicator=east.example.com
           Creation Expression:  cn=%cn%,ou=people,dc=example,dc=com

   Active Directory definition (east.example.com)
           Base DN:    cn=users,dc=east,dc=example,dc=com
           Filter:     <none\>
           Creation Expression:  cn=%cn%,cn=users,dc=east,dc=example,dc=com

   WEST_SUL

   Sun Java System Directory Server definition
           Base DN:ou=people,dc=example,dc=com
           Filter:  destinationindicator=west.example.com
           Creation Expression: cn=%cn%,ou=people,dc=example,dc=com

   Active Directory definition (west.example.com)
           Base DN:  cn=users,dc=west,dc=example,dc=com
           Filter:<none\>
           Creation Expression:  cn=%cn%,cn=users,dc=west,dc=example,dc=com

   NT_SUL

   Sun Java System Directory Server definition
           Base DN:  ou=people,dc=example,dc=com
           Filter:  destinationindicator=NTEXAMPLE
           Creation Expression:  cn=%cn%,
           ou=people,dc=example,dc=com

   Windows NT definition (NTEXAMPLE)
           Base DN:  NA
           Filter:  <none\>
           Creation Expression:  NA

   各 Directory Server SUL 定義に同じベース DN と作成式があるが、フィルタは対応する Windows ユーザーエントリのドメインを示します。

   これらの設定で Directory Server のユーザーエントリを別の Windows ドメインと同期する方法について、次のテストケースでより詳しく説明します。

6. Active Directory east.example.com ドメインで cn=Jane Test,cn=users,dc=east,dc=example,dc=com を作成します。

7. Identity Synchronization for Windows は destinationindicator=east.example.com でユーザーエントリ cn=Jane Test,ou=people,dc=example,dc=com を Directory Server に作成します。

8. Directory Server で cn=Jane Test,ou=people,dc=example,dc=com エントリを変更します。

9. Jane Test の destinationindicator 属性は east.example.com であるため、彼女のエントリは EAST_SUL 同期ユーザーリストフィルタと一致し、変更は east.example.com Active Directory ドメインに同期します。

   この例は、Identity Synchronization for Windows が Windows からのユーザー作成を Directory Server に同期すると仮定しています。これ以外の場合、idsync resync コマンドを実行して destinationindicator 属性を設定できます。

   ---

   注 –

   複数の SUL のある配備で idsync resync -f を使用する場合、おそらくリンク設定ファイルで allowLinkingOutOfScope オプションを true に設定する必要があります。付録 B 「Identity Synchronization for Windows LinkUsers XML ドキュメントの例」を参照してください。

   ---

   この例は、inetorgperson、destinationIndicator の既存の属性を使用します。これは他の目的で使用される場合もあります。この属性がすでに使用されていたり、別のオブジェクトクラスを選択したりする場合は、ユーザーの Directory Server エントリのいくつかの属性を user_nt_domain_name および/または activedirectorydomainname 属性にマップしてください。この値を格納するよう選択した Directory Server 属性は、残りの属性マッピング設定に使用するオブジェクトクラスに含めます。

   このドメイン情報を格納するための使用していない属性がない場合は、新しいドメイン属性と Identity Synchronization for Windows で使用するその他の属性をすべてを格納する新しいオブジェクトクラスを作成してください。