パート III Identity Synchronization for Windows 付録
付録 A Identity Synchronization for Windows コマンド行ユーティリティーの使用
Identity Synchronization for Windows では、コマンド行からさまざまなタスクを実行できます。この付録では、Identity Synchronization for Windows コマンド行ユーティリティーを使用してさまざまなタスクを実行する方法について説明します。この節は次の項目から構成されています。
共通機能
Identity Synchronization for Windows コマンド行ユーティリティーは次の機能を共有します。
Idsync サブコマンドに共通の引数
この節では、ほとんどのコマンド行ユーティリティーに共通の引数 (オプション) について説明します。情報を次の表にまとめます。
-
Idsync サブコマンドに共通の引数idsync サブコマンド (prepds を除く) すべてと移行ツールに共通の次の引数について説明します。
-D bind-DN -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] [-Z] [-P cert-db-path] [-m secmod-db-path]
注 –括弧 [ ] はオプションの引数を示します。
Identity Synchronization for Windows インストールプログラムは、インストール中に指定した情報に基づいて自動的にデフォルト値を -h、-p、-D、および -s 引数に書き込みます。ただし、コマンド行に別の値を指定すると、デフォルト値をオーバライドできます。
複数バイト文字をサポートするために、Identity Synchronization for Windows は、コマンド行インタフェース (CLI) 環境ファイルの-s rootsuffix と -D bind-DN のデフォルト値を base64 で符号化します。rootsuffix のデフォルトは変更しないようにしてください。バインド DN のデフォルトは、コマンド行でオーバーライドするか、CLI 環境ファイル内の適切な base64 で符号化された値で更新できます。
-
SSL を使用して設定 Directory Server にアクセスするための共通の引数: Secure Socket Layer (SSL) を使用した設定 Directory Server への安全なアクセスについての情報を提供するオプションの引数について説明します。これらの引数は、すべての idsync サブコマンドと移行ツールにも共通です。
-
設定ディレクトリに関連する共通の引数: 設定ディレクトリに関連する引数について説明します。これらの引数は、複数の idsync サブコマンドと移行ツールに共通です。
|
引数 |
説明 |
|---|---|
|
-h Configuration Directory-hostname |
設定ディレクトリのホスト名を指定します。この引数は、デフォルトでコアインストール中に指定された値になります。 |
|
-p Configuration Directory-port |
設定ディレクトリの LDAP ポート番号を指定します。 |
|
-D bind-DN |
設定ディレクトリのバインド識別名 (DN) を指定します。この引数は、デフォルトでコアインストール中に指定された値になります。 |
|
-w bind-password | - |
設定ディレクトリのバインドパスワードを指定します。- 値はパスワードを標準入力 (STDIN) から読み取ります。 |
|
-s rootsuffix |
設定ディレクトリのルートサフィックスを指定します。ここで、ルートサフィックスは dc=example,dc=com のような識別名です。この引数は、デフォルトでコアインストール中に指定された値になります。 |
|
-q configuration_password | - |
設定パスワードを指定します。- 値はパスワードが標準入力 (STDIN) から読み取られることを意味します。 この引数は、prepds 以外のすべてのサブコマンドに必須です。 |
表 A–2 すべてのサブコマンドに共通の SSL 関連の引数
表 A–3 設定ディレクトリの引数
パスワードの入力
パスワード引数 (-w bind-password または -q configuration_password など) が必要な場合は常に、「-」引数を使用してパスワードプログラムに STDIN からパスワードを読み取るよう通知できます。
「-」値を複数のパスワードオプションに使用すると、引数の順序に基づいて idsync によってパスワードが求められます。
この場合、プログラムは bind-password が最初で configuration-password が次であることを期待します。
ヘルプの使用
次のコマンドの 1 つを使用して、 idsync またはそのサブコマンドの使用情報をコマンドコンソールに表示できます。
-
-help
-
--help
-
-?
使用情報の表示方法
-
idsync (有効なサブコマンドのリストを含む) については、コマンドプロンプトに前述のヘルプオプションの 1 つを入力して改行キーを押します。
-
サブコマンドについては、コマンドプロンプトでサブコマンドのあとにヘルプオプションを入力して改行キーを押します。
idsync コマンドの使用
idsync コマンドとサブコマンドを使用して Identity Synchronization for Windows コマンド行ユーティリティーを実行します。
注 –
idsync コマンドは、引数を Directory Server に送信する前に、すべての DN 値引数 (バインド DN やサフィックス名など) をそのウィンドウに対して指定された文字セットから UTF-8 に変換します。
サフィックス名にエスケープ文字として円記号を使用しないでください。
UTF-8 文字を Solaris 上と Linux 上で指定するには、端末ウィンドウに UTF-8 に基づいたロケールが必要です。環境変数の LC_CTYPE と LANG.are を正しく設定する必要があります。
特に別途記載されていないかぎり、次のいずれかの方法でサブコマンドとともに idsync コマンドを実行できます。
-
Solaris の場合:
-
Linux の場合:
-
Windows の場合:
-
コマンドウィンドウを開き、cd と入力して install_path\isw-hostname \bin ディレクトリに移動します。
-
次のようにサブコマンドを 1 つ付けて idsync コマンドを実行します。
「idsync コマンドの使用」に idsync ユーティリティーのサブコマンドとその目的をすべてリストします。
-
|
サブコマンド |
目的 |
|---|---|
|
設定と SSL 設定に基づいて証明書情報を表示します (「certinfo の使用」を参照) |
|
|
Identity Synchronization for Windows 設定パスワードを変更します (「changepw の使用」を参照) |
|
|
エクスポートした Identity Synchronization for Windows バージョン 1.0 設定 XML ドキュメントをインポートします (「importcnf の使用」を参照) |
|
|
Identity Synchronization for Windows で使用するように Sun Java System Directory Server ソースを準備します (「prepds の使用」参照) |
|
|
インストール/設定プロセスを完了するために必要な手順のリストを表示します。また、インストールされたコネクタ、システムマネージャー、および Message Queue の状態も表示します (「printstat の使用」を参照) |
|
|
設定ディレクトリのコネクタの状態をアンインストール済みにリセットします (「resetconn の使用」を参照) |
|
|
インストールプロセスの一環として、既存のユーザーまたはグループをリンクおよび再同期したり、ディレクトリを事前に生成したりします (「resync の使用」を参照) |
|
|
groupsync |
あるディレクトリソースから別のディレクトリソースへのユーザーとグループ間のグループ情報を同期します (「groupsync の使用」を参照) |
|
accountlockout |
Directory Server と Active Directory ソース間のアカウントロックアウトとロックアウト解除を同期します (「accountlockout の使用」を参照) |
|
dspluginconfig |
指定されたホスト上でディレクトリサーバープラグインを設定および設定解除します (「dspluginconfig の使用」を参照) |
|
同期を開始します (「startsync の使用」を参照) |
|
|
stopsync |
同期を停止します (「stopsync の使用」を参照) |
certinfo の使用
certinfo サブコマンドを使用して 設定と SSL 設定に基づいて証明書情報を表示できます。この情報は、各コネクタおよび/またはディレクトリサーバープラグインの証明書データベースに追加する必要のある証明書の決定に役立ちます。
証明書情報を表示するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync certinfo コマンドを入力します。
idsync certinfo [bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path]
注 –
certinfo サブコマンドはコネクタおよび Directory Server の証明書データベースへアクセスできないため、リストされている必要な一部の手順はすでに実行されている場合があります。
idsync certinfo -w admin-password -q configuration-password
注 –
certinfo 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。
changepw の使用
changepw サブコマンドを使用して Identity Synchronization for Windows 設定パスワードを変更できます。
Identity Synchronization for Windows の設定パスワードを変更する
-
Identity Synchronization for Windows プロセス (システムマネージャー、セントラルロガー、コネクタ、コンソール、インストーラ/アンインストーラなど) をすべて停止します。
-
プロセスをすべて停止したあと、設定ディレクトリを ldif にエクスポートして、ou=Services ツリーをバックアップします。
-
次のようにidsync changepw コマンドを入力します。
idsync changepw [-D bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path] -b new password | - [-y]
idsync changepw -w admin password -q old config password -b -q new config password
引数
説明
-b password
新しい設定パスワードを指定します。- 値はパスワードを標準入力 (STDIN) から読み取ります。
[-y]
コマンドの確認を求めるプロンプトメッセージを出力しません。
-
端末ウィンドウに表示されるメッセージに応答します。次にその例を示します。
本当に設定パスワードの変更を行いますか (y/n)? yes システムを再起動する前に - $PSWHOME/resources/SystemManagerBootParams.cfg ファイルを編集で、 「deploymentPassword」の値を変更します。 成功
-
システムを再起動する前に、SystemManagerBootParams.cfg ファイルを変更してください。
$PSWHOME\resources (ここで $PSWHOME は isw-installation ディレクトリ) 内の SystemManagerBootParams.cfg ファイルには、システムマネージャーが設定ディレクトリへの接続に使用する設定パスワードが含まれます。
たとえば、次のようにパスワードを変更できます。
変更前: Parameter name="manager.configReg.deploymentPassword" value=" oldpassword"/
変更後: Parameter name="manager.configReg.deploymentPassword" value= "newpassword "/
-
プログラムがエラーを報告した場合は、「changepw の使用」の ldif を使用して設定ディレクトリを復元し、再試行してください。エラーのもっとも一般的な理由は、設定ディレクトリをホストしている Directory Server がパスワードの変更中に使用できなくなることです。
importcnf の使用
コア (第 5 章「コアのインストール」) をインストールしたあと、idsync importcnf サブコマンドを使用して、コア設定情報を含むエクスポートされた Identity Synchronization for Windows バージョン 1.0 または 1.1 (SP1) 設定 XML ファイルをインポートします。
バージョン 1.0 の設定 XML ファイルをインポートするには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、idsync importcnf コマンドを次のように入力します。
idsync importcnf [-D bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path] -f filename [-n]
idsync importcnf -w admin_password -q configuration_password -f "MyConfig.cfg"
次の引数は importcnf に固有です。
表 A–5 idsync importcnf の引数|
引数 |
説明 |
|---|---|
|
-f filename |
設定 XML ドキュメントの名前を指定します。 |
|
-n |
実際の変更を行わずに操作の影響をプレビューできるようにセーフモードで実行します。 |
注 –
その他の importcnf 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。
バージョン 1.0 の設定 XML ファイルをインポートしたあと、同期するために prepds をすべての Directory Server ソース上で実行します (「prepds の使用」のコネクタとサブコンポーネントを参照)。
prepds の使用
コンソールまたは prepds サブコマンドを使用して Identity Synchronization for Windows が使用する Sun Java System Directory Server ソースを準備します。ディレクトリサーバーコネクタをインストールする前に、prepds を実行してください。
idsync prepds サブコマンドを実行すると、適切な ACI が cn=changelog エントリに提供されます。このエントリは旧バージョン形式の変更ログデータベースのルートノードです。
Identity Synchronization for Windows が使用する 優先マスター Directory Server を準備する場合は、ディレクトリマネージャー 証明書を指定します。
ディレクトリマネージャーユーザーは、Directory Server インスタンスのあらゆる場所へのフル アクセス権を持つ Directory Server の特別なユーザーです。ACI はディレクトリマネージャーユーザーには適用されません。
たとえば、ディレクトリマネージャーのみが旧バージョン形式の変更ログデータベースへのアクセス制御を設定できます。これが、優先マスターサーバーに対して Identity Synchronization for Windows がディレクトリマネージャーの証明書を必要とする理由の 1 つです。
注 –
優先 Sun ディレクトリソースの旧バージョン形式の更新履歴ログデータベースを再作成する場合、デフォルトのアクセス制御設定が適用されるとディレクトリサーバーコネクタはデータベースの内容を読み込めません。
旧バージョン形式の変更ログデータベースのアクセス制御設定を復元するには、idsync prepds を実行するか、またはコンソールで適切な Sun ディレクトリソースを選択して「Directory Server の準備」ボタンをクリックします。
指定した時間のあと、変更ログのエントリを自動的に削除する (または切り取る) ようシステムを設定できます。コマンド行から cn=Retro Changelog Plug-in, cn=plugins, cn=config の nsslapd-changelogmaxage 設定属性を変更します。
nsslapd-changelogmaxage: IntegerTimeunit
引数の意味はそれぞれ次のとおりです。
-
Integer は数字です。
-
Timeunit は、秒の場合は s、分の場合は m、時間の場合は h、日の場合はd、週の場合は w です。Integer 変数と Timeunit 変数の間には空白を挿入しません。
たとえば、nsslapd-changelogmaxage: 2d のようになります。
詳細は、『Sun Java System Directory Server 5 2004Q2 管理ガイド』の「レプリケーションの管理」の章を参照してください。
-
管理資格を使用して副サーバーを準備できます。
使用するホストとサフィックスを知る必要があるため、idsync prepds を実行する前に必ず Identity Synchronization for Windows 設定を計画してください。
ディレクトリサーバーコネクタとプラグインがすでにインストール、設定、同期されている Directory Server のサフィックスで idsync prepds を実行すると、ディレクトリサーバーコネクタをインストールするかどうか尋ねるメッセージが表示されます。このメッセージは無視してください。
Sun Java System Directory Server ソースを準備するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync prepds コマンドを入力します。
単一ホストの場合:
idsync prepds [-h <hostname>] [-p <port>] [-D <Directory Manager DN>] -w <password> -s <database suffix> [-x] [-Z] [-P <cert db path>] [-m <secmod db path>]
複数ホストの場合:
idsync prepds -F <filename of Host info> -s <root suffix> [-x] [-Z] [-P <cert db path>][-m <secmod db path>] [-3]
isw-hostname\bin>idsync prepds -F isw-hostname\samples\Hosts.xml \ -s ou=isw_data
注 –
prepds サブコマンドの場合のみ、次の表で説明するように -h、-p、-D、-w、および -s 引数が再定義されています。さらに、-q 引数は該当しません。
「prepds の使用」では、idsync prepds に固有の引数について説明します。
表 A–6 prepds の引数|
引数 |
説明 |
|---|---|
|
-h name |
優先ホストとして機能する Directory Server インスタンスの DNS 名を指定します。 |
|
-p port |
優先ホストとして機能する Directory Server インスタンスのポート番号を指定します。(デフォルトは 389。) |
|
-j name (オプション) |
副ホストとして機能する Directory Server インスタンスの DNS 名を指定します (Sun Java System Directory Server 5 2004Q2 マルチマスターレプリケーション (MMR) 環境に該当)。 |
|
-r port (オプション) |
副ホストとして機能する Directory Server のポートを指定します (Sun Java System Directory Server 5 2004Q2 マルチマスターレプリケーション (MMR) 環境に該当)。(デフォルトは 389。) |
|
-D dn |
優先ホストのディレクトリマネージャーユーザーの識別名を指定します。 |
|
-w password |
優先ホストのディレクトリマネージャーユーザーのパスワードを指定します。- 値はパスワードを標準入力 (STDIN) から読み取ります。 |
|
-E admin-DN |
副ホストのディレクトリマネージャーユーザーの識別名を指定します。 |
|
-u password |
副ホストのディレクトリマネージャーユーザーのパスワードを指定します。- 値はパスワードを標準入力 (STDIN) から読み取ります。 |
|
-s rootsuffix |
インデックスの追加に使用するルートサフィックス (ユーザーを同期するルートサフィックス) を指定します。 注: 優先および副ホストのデータベース名は変わることがありますが、サフィックスは変わりません。このため、プログラムは各ホストのデータベース名を見つけて、それをインデックスの追加に使用できます。 |
|
-x | |
|
-F filename of Host info |
複数ホスト環境の場合、ホスト情報を含むファイル名を指定します。 |
(たとえば、優先マスター、副マスター、および 2 つのコンシューマのある) レプリケートされた環境で idsync prepds を実行している場合、優先マスターと副マスターに対して idsync prepds を 1 度だけ実行します。
idsync prepds を実行する
-
Directory Server のレプリケーションが起動し、実行されていることと確認します (該当する場合)。
-
次のように、コンソールまたはコマンド行から idsync prepds を実行します。
idsync prepds -h M1.example.com -p 389 -j M2.example.com -r 389.
M1 上で idsync prepds コマンドを実行すると、次の処理を行うことができます。
-
RCL を有効化および拡張してより多くの属性を取得する (dspswuserlink など)。
RCL は M1 上でのみ必要です。
-
スキーマを拡張する。
-
ACI で uid=pswconnector,suffix user を追加する。
-
インデックス指定が完了するまで Directory Server を一時的に読み取り専用モードにする dspswuserlink 属性にインデックスを追加する。
停止時間を避けるためにインデックスは後で追加することができますが、ディレクトリサーバーコネクタをインストールする前にインデックスを追加する必要があります。
M2 にインデックスを追加する。
注 –-
レプリケーションによって Identity Synchronization for Windows がスキーマ情報と uid=pswconnector を優先マスターから副マスターと 2 つのコンシューマに確実にコピーします。
-
ディレクトリサーバーコネクタを 1 度インストールしてください。ディレクトリサーバープラグインはすべてのディレクトリにインストールします。
-
インデックス指定は、優先マスターと副マスターでのみ必要です。レプリケーションはインデックス指定設定を優先マスターから副マスターに転送しません。
-
printstat の使用
printstat サブコンポーネントを使用して次を実行できます。
-
インストールと設定のプロセスを完了するために実行する必要のある残りの手順のリストを表示する。
-
インストールしたコネクタ、システムマネージャー、および Message Queue の状態を印刷する。
可能な状態設定は次のとおりです。
-
「Uninstalled」:コネクタはインストールされていません。
-
「Installed」: コネクタはインストールされていますが、実行時設定をまだ受け取っていないため、同期の準備ができていません。
-
「Ready」: コネクタは同期の準備ができていますが、まだどのオブジェクトとも同期していません。
-
インストール済みのコネクタ、システムマネージャー、Message Queue の状態を印刷するには、端末ウィンドウ (またはコマンドウィンドウ) を開き、次のように idsync printstat コマンドを入力します。
idsync printstat [-D bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path]
idsync printstat -w admin password -q configuration password
-
resetconn の使用
resetconn サブコマンドを使用して、設定ディレクトリのコネクタの状態をアンインストール済みにリセットできます。たとえば、ハードウェアの障害によってコネクタをアンインストールできない場合、resetconn を使用してコネクタの状態をアンインストール済みに変更すると、そのコネクタを再インストールできます。
注 –
resetconn サブコマンドは、ハードウェアやアンインストーラの障害時にのみ使用することを目的としています。
コマンド行からコネクタの状態をリセットするには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync resetconn コマンドを入力します。
idsync resetconn [-D bind-DN] -w bind-password\> | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path] -e directory-source-name [-n]
idsync resetconn -w admin password -q configuration_password -e "dc=example,dc=com"
「prepds の使用」では、resetconn に固有の引数について説明します。
表 A–7 idsync resetconn の引数|
引数 |
説明 |
|---|---|
|
-e dir-source |
リセットするディレクトリソースの名前を指定します。 |
|
-n |
実際の変更を行わずに操作の影響をプレビューできるようにセーフモードで実行します。 |
注 –
idsync printstat を使用してディレクトリソースの名前を見つけることができます。
その他の resetconn 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。
resync の使用
resync サブコマンドを使用して既存のユーザーで配備をブートストラップできます。このコマンドは、管理者が指定したマッチングルールを使用して、次を実行します。
-
2 つの既存のユーザー入力間で属性値を一括同期する
-
(グループ同期機能を有効な場合) 既存のグループとグループに関連付けられたユーザーを一括同期する
注 –
ユーザーのリンクと同期の詳細については、第 3 章「製品の理解」を参照してください。
既存のユーザーを再同期してディレクトリに事前に生成するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて次のように idsync resync コマンドを入力します。
idsync resync [-D bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path] [-n] [-f xml filename for linking] [-k] [-a ldap-filter] [-l sul-to-sync] [-o Sun | Windows] [-c] [-x] [-u][-i ALL_USERS | NEW_USERS | NEW_LINKED_USERS]
idsync resync -w admin password -q configuration_password
「resync の使用」では、resync に固有の引数について説明します。
表 A–8 idsync resync の使用|
引数 | |
|---|---|
|
-f filename |
Identity Synchronization for Windows によって提供される指定された XML 設定ファイルの 1 つを使用して、リンクされていないユーザーエントリ間にリンクを作成します (付録 B 「Identity Synchronization for Windows LinkUsers XML ドキュメントの例」を参照)。 |
|
-k |
リンクしていないユーザー間にリンクを作成するだけです (ユーザーを作成したり、既存のユーザーを変更したりすることはない)。 |
|
-a ldap-filter |
同期するエントリを制限するための LDAP フィルタを指定します。フィルタは、再同期動作のソースに適用されます。たとえば、idsync resync -o Sun -a "uid=*" を指定すると、uid 属性を持つすべての Directory Server ユーザーが Active Directory と同期します。 |
|
-l sul-to-sync |
再同期する個別の同期ユーザーリスト (SUL) を指定します。 注: 複数の SUL ID を指定して複数の SUL を再同期できます。SUL ID を指定しない場合は、使用している SUL のすべてが再同期されます。 |
|
-o (Sun | Windows) |
再同期動作のソースを指定します。
|
|
-c |
対応するユーザーが宛先で見つからない場合にユーザーエントリを自動的に作成します。
|
|
-i (ALL_USERS | NEW_USERS | NEW_LINKED_USERS) |
Sun ディレクトリソースで同期するユーザーエントリのパスワードをリセットし、次にユーザーパスワードが必要なときに、これらのユーザーに対して現在のドメイン内でのパスワード同期を実行します。
|
|
-u |
オブジェクトキャッシュを更新するだけです。エントリは変更しません。 この引数は、Windows ディレクトリソースのユーザーエントリのローカルキャッシュのみを更新します。これによって、既存の Windows ユーザーが Directory Server で作成されるのを防ぎます。この引数を使用する場合、Windows ユーザーエントリは Directory Server ユーザーエントリと同期されません。この引数は、再同期ソースが Windows の場合のみ有効です。 |
|
-x |
ソースエントリに一致しないすべての宛先ユーザーエントリを削除します。 |
|
-n |
実際の変更を行わずに操作の影響をプレビューできるようにセーフモードで実行します。 |
注 –
-
使用状態を表示するには、引数なしで idsync resync を実行します。
-
resync 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。
-
既存のユーザーの再同期については、第 3 章「製品の理解」を参照してください。
resync を実行したあと、セントラル audit log の resync.log ファイルを確認します。エラー結果の場合は、『Sun Java System Directory Server Enterprise Edition 6.3 トラブルシューティングガイド』の第 7 章「Identity Synchronization for Windows のトラブルシューティング」を参照してください。
groupsync の使用
groupsync サブコマンドを使用して Active Directory と Directory Server 間でグループを同期できます。
グループの同期を有効または無効にするには、idsync groupsync コマンドを入力します。
次に例を示します。
idsync groupsync -{e/d} -D <bind DN> -w <bind password> [-h <CD hostname>]
[-p <CD port no>] -s <rootsuffix> [-Z] -q <configuration password> -t <AD group type>
表 A–9 groupsync の引数|
引数 |
意味 |
|---|---|
|
-{e/d} |
グループの同期を有効にする場合は e、無効にする場合は d を選択します。 |
|
-t |
Active Directory でグループタイプを指定します。たとえば、「distribution」または「security」のいずれかを選択できます。 |
accountlockout の使用
accountlockout サブコマンドを使用して Active Directory と Directory Server 間のアカウントのロックアウトとロックアウト解除を同期できます。
アカウントのロックアウトを有効または無効にするには、idsync accountlockout コマンドを入力します。
次に例を示します。
idsync accountlockout -{e/d} -D <Directory Manager DN> -w <bind-password>
-h <Configuration Directory-hostname> -p <Configuration Directory-port-no>
-s <rootsuffix> [-Z] [-P <cert db path>] [-m <secmod db path>]
-q <configuration password> -t <max lockout attempts>
表 A–10 accountlockout の引数|
引数 |
意味 |
|---|---|
|
-{e/d} |
アカウントロックアウトの同期を有効にする場合は e、無効にする場合は d を選択します。 |
|
-t |
Active Directory コネクタが実行するロックアウトの最大試行回数を指定します。 |
dspluginconfig の使用
dspluginconfig サブコマンドを使用して、指定された Directory Server データソースでディレクトリサーバープラグインを設定または設定解除できます。
ディレクトリサーバープラグインを設定または設定解除するには、idsync dspluginconfig コマンドを入力します。
次に例を示します。
idsync dspluginconfig -{C/U} -D <bind DN> -w <bind password | ->
[-h <CD hostname>] [-p <CD port no>] [-s <configuration suffix>]
[-Z] [-P <cert db path>] [-m <secmod db path> ] [-d <ds plugin hostname>]
[-r <ds plugin port>] [-u <ds plugin user>] [-x <ds plugin user password>]
[-o <database suffix>] [-q <configuration password | ->]
表 A–11 dspluginconfig の引数|
引数 |
意味 |
|---|---|
|
-{C/U} |
ディレクトリサーバープラグインを設定する場合は C、設定解除する場合は U を選択します。 |
|
-d |
プラグインを設定する必要のある Directory Server データソースのホスト名 |
|
-r |
プラグインを設定する必要のある Directory Server データソースのポート番号 |
|
-u |
プラグインを設定する必要のある Directory Server データソースの管理者 |
|
-x |
プラグインを設定する必要のある Directory Server データソースの管理者のパスワード |
|
-o |
Directory Server データソースのデータサフィックス。 |
startsync の使用
startsync サブコマンドを使用して、コマンド行から同期を開始できます。
同期を開始するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync startsync コマンドを入力します。
idsync startsync [-D bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path]
idsync startsync -w admin password -q configuration_password
「startsync の使用」では、startsync に固有の引数について説明します。
表 A–12 idsync startsync の引数|
引数 |
説明 |
|---|---|
|
[-y] |
コマンドの確認を求めるプロンプトメッセージを出力しません。 |
注 –
その他の startsync 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。
stopsync の使用
stopsync サブコマンドを使用して、コマンド行から同期を停止できます。
同期を停止するには、端末ウィンドウ (またはコマンドウィンドウ) を開いて、次のように idsync stopsync コマンドを入力します。
idsync stopsync [-D bind-DN] -w bind-password | - [-h Configuration Directory-hostname] [-p Configuration Directory-port-no] [-s rootsuffix] -q configuration_password [-Z] [-P cert-db-path] [-m secmod-db-path]
idsync stopsync -w admin password -q configuration_password
注 –
stopsync 引数の詳細については、「Idsync サブコマンドに共通の引数」を参照してください。
forcepwchg 移行ユーティリティーの使用
移行中にパスワードを変更したユーザーは、Windows NT および Directory Server で別のパスワードを持つことになります。forcepwchg ユーティリティーを使用して、Identity Synchronization for Windows バージョン 1.0 からバージョン 6.0 への移行プロセス中にパスワードを変更したユーザーにパスワードの変更を求めることができます。
注 –
forcepwchg ユーティリティーは Windows パッケージにのみ付属しています。
forcepwchg を使用する前に、次を確認する必要があります。
-
userpassword 属性に 7 ビット値を強制するための、Directory Server の 7 ビットチェックプラグインの設定を必ず解除してください。これには、Directory Server のコンソールを使用します。
-
認証に使用しているクライアントが値を使用しているロケールから UTF-8 に正しく変換する必要があります。(たとえば、Directory Server に付属の ldapsearch の -i オプション )。
forcepwchg コマンド行ユーティリティーを実行する
-
コマンドプロンプトウィンドウを開いて、移行を実行しているホスト上の Windows migration ディレクトリに移動します。コネクタ、変更検出機能 DLL、パスワードフィルタ DLL のような Identity Synchronization for Windows 1.0 NT コンポーネントを PDC ホストにインストールしてください。
-
migration ディレクトリから次のように入力します。
java -jar forcepwchg.jar [-n] [-a] [-t < time_specification\>]
forcepwchg.jar -n -a forcepwchg.jar -t 33m
「forcepwchg 移行ユーティリティーの使用」では、forcepwchg に固有の引数について説明します。
付録 B Identity Synchronization for Windows LinkUsers XML ドキュメントの例
この付録では、配備内の既存のユーザーをリンクする idsync resync サブコマンドで使用できる 2 つの XML 設定ドキュメントの例を紹介します。
次のファイルはどちらもコアをインストールした samples1 サブディレクトリに存在します。
-
「例 1: linkusers-simple.cfg」 (一般的な単純な設定の例)
-
「例 2: linkusers.cfg」 (リンク条件指定を最大限に活用するより複雑な設定の例)
環境に合わせて例を変更できます。両方のファイルに、複数の SUL でのユーザーのリンク方法を含む、ユーザーにリンクするために例を変更する方法を説明したコメントが含まれています。
例 1: linkusers-simple.cfg
<!--
Copyright 2004 Sun Microsystems, Inc. All rights reserved
使用はライセンス契約の条件に基づきます。
--\>
<!--
この xml ファイルは、コマンド行から Windows の
ユーザーと Sun Directory Server のユーザーをリンク
させるために使用します。これは -f オプションとして
「idsync resync」スクリプトに渡されます。これは、
同じログイン名を持つ、つまり Directory Server uid
属性が Active Directory samaccountname 属性と一致する、
SUL1 同期ユーザーリストのユーザーをリンクさせる
単純なファイルです。さらに複雑なマッチングルールに
ついては、linkusers.cfg の例を参照してください。
--\>
<UserLinkingOperationList\>
<UserLinkingOperation parent.attr="UserLinkingOperation"
sulid="SUL1"\>
<UserMatchingCriteria parent.attr="UserMatchingCriteria"\>
<AttributeMap parent.attr="AttributeMap"\>
<AttributeDescription parent.attr="SunAttribute"
name="uid"/\>
<AttributeDescription parent.attr="WindowsAttribute"
name="samaccountname"/\>
</AttributeMap\>
</UserMatchingCriteria\>
</UserLinkingOperation\>
</UserLinkingOperationList\>
|
例 2: linkusers.cfg
<?xml version ="1.0" encoding="UTF-8"?\>
<!--
Copyright 2004 Sun Microsystems, Inc.
All rights reserved
使用はライセンス契約の条件に基づきます。
--\>
<!--
この xml ファイルは、コマンド行から Windows の
ユーザーと Sun Directory Server のユーザーを
リンクさせるために使用します。これは -f オプション
として \qidsync resync\q スクリプトに渡されます。
--\>
<!--
次のパラメータ allowLinkingOutOfScope が true の場合、
Windows ユーザーを users\q 同期ユーザーリスト外の
Sun Directory Server ユーザーにリンクできます。
デフォルトは false です。
--\>
<UserLinkingOperationList allowLinkingOutOfScope="false"\>
<!--
UserLinkingOperation はリンクする単一の SUL の
設定をカプセル化します。これには、SUL ID と、
一致させる属性のリストが含まれます。リンク
させる各 SUL に対して個別の UserLinkingOperation を
指定してください。
--\>
<UserLinkingOperation parent.attr="UserLinkingOperation" sulid="SUL1"\>
<!--
UserMatchingCriteria は、リンクさせるユーザーに対して
一致する必要がある属性のリストをカプセル化します。--\>
<!--
この UserMatchingCriteria を使用して、2 人のユーザーを一致させる場合、
それらのユーザーは同じ givenName と同じ sn を持っている必要があります。--\>
<UserMatchingCriteria parent.attr="UserMatchingCriteria"\>
<AttributeMap parent.attr="AttributeMap"\>
<AttributeDescription parent.attr="SunAttribute" name="sn"/\>
<AttributeDescription parent.attr="WindowsAttribute" name="sn"/\>
</AttributeMap\> <AttributeMap parent.attr="AttributeMap"\>
<AttributeDescription parent.attr="SunAttribute" name="givenName"/\
<AttributeDescription parent.attr="WindowsAttribute"
name="givenName"/\> </AttributeMap\></UserMatchingCriteria\>
<!--
単一の SUL に対して複数の UserMatchingCriteria を
指定できます。これらは論理和として扱われます。この例では、
リンクさせるユーザーの (givenName\qs と sn\qs が一致する
(上記参照)) または (従業員 (Number|ID) が一致する) 必要が
あります。指定された属性、employeeNumber は DS 属性の
名前です。--\>
<!--
この UserMatchingCriteria は、employeeNumber が DS のインデックスが
作成された属性ではないためコメントアウトされています。
UserMatchingCriteria で使用される属性すべてについて、インデックスを
作成するようにしてください。
<UserMatchingCriteria parent.attr="UserMatchingCriteria"\>
<AttributeMap parent.attr="AttributeMap"\>
<AttributeDescription parent.attr=
"SunAttribute" name="employeeNumber"/\>
<AttributeDescription parent.attr=
"WindowsAttribute" name="employeeID"/\>
</AttributeMap\>
</UserMatchingCriteria\>
--\>
</UserLinkingOperation\>
<!--
複数の SUL がリンクされる場合、それぞれに対して個別の
UserLinkingOperation が指定されます。
ここで示すように、各 UserLinkingOperation は別の
UserMatchingCriteria を使用できます。この例では、SUL2
のユーザーは sn と employeeNumber が一致した場合にのみ
リンクされます。
注: 例の設定が単一の SUL しか持たないため、
この UserLinkingOperation は現在コメントアウト
されています。
<UserLinkingOperation parent.attr="UserLinkingOperation" sulid="SUL2"\>
<UserMatchingCriteria parent.attr="UserMatchingCriteria"\>
<AttributeMap parent.attr="AttributeMap"\>
<AttributeDescription parent.attr="SunAttribute" name="sn"/\>
<AttributeDescription parent.attr="WindowsAttribute" name="sn"/\>
</AttributeMap\>
<AttributeMap parent.attr="AttributeMap"\>
<AttributeDescription parent.attr=
"SunAttribute" name="employeeNumber"/\>
<AttributeDescription parent.attr=
"WindowsAttribute" name="employeeID"/\>
</AttributeMap\>
</UserMatchingCriteria\>
</UserLinkingOperation\>
--\>
</UserLinkingOperationList\>
|
付録 C Solaris 上での root 以外での Identity Synchronization for Windows サービスの実行
Solaris および Red Hat システムで Identity Synchronization for Windows サービスをインストールおよび実行するには、root 特権が必要です。
しかし、製品をインストールしたあと、root 以外のユーザーとしてプログラムサービスを実行できるようソフトウェアを設定できます。
root 以外のユーザーとしてのサービスの実行
注 –
root 以外としてサービスを実行するには、Identity Synchronization for Windows インスタンスディレクトリの下のすべてのディレクトリのアクセス権を変更します。デフォルトディレクトリは /var/opt/SUNWisw です。
root 以外のユーザーとしてサービスを実行する
Identity Synchronization for Windows サービスをインストールおよび実行するには root である必要がありますが、root 以外のユーザーとしてプログラムサービスを実行できるようソフトウェアを設定できます。
-
(省略可能) UNIX の useradd コマンドを使用して Identity Synchronization for Windows にユーザーアカウントを作成します。
nobody ユーザーを使用してサービスを実行することもできます。この手順の残りの例は、iswuser というユーザーを作成したと仮定しています。
-
Sun Java System ディレクトリサーバーコネクタをインストールするには、インストール時にコネクタに非特権ポートを選択します。
たとえば、1025 以上のポートを使用できます。サーバーが root 以外のユーザーとして実行されている場合、LDAP にはポート 1389 をお勧めします。LDAP over SSL にはポート 1636 をお勧めします。
注 –残りの手順のコマンドはすべて root として実行します。
-
コンポーネントをすべてインストールしたあと、次のコマンドを実行して Identity Synchronization for Windows を停止します。
/etc/init.d/isw stop
-
インスタンスディレクトリの所有権を更新してください。たとえば、製品を /var/opt/SUNWisw にインストールした場合は次のようになります。
chown -R iswuser /var/opt/SUNWisw
chown -R iswuser /opt/SUNWisw
-
テキストエディタで /etc/init.d/isw ファイルを開き、次の行を
"$EXEC_START_WATCHDOG" "$JAVA_PATH" "$INSTALL_DIR" "$CONFIG_DIR"
次の行で置き換えます。
su iswuser -c "$EXEC_START_WATCHDOG '$JAVA_PATH' '$INSTALL_DIR' '$CONFIG_DIR'"
-
/etc/init.d/isw start
-
次のコマンドを実行して、割り当てられたユーザーの userid を使用してコンポーネントが実行されていることを確認します。
ps -ef | grep iswuser
付録 D Identity Synchronization for Windows の同期ユーザーリストの定義と設定
この付録では、同期ユーザーリスト (SUL) の定義の補足情報を記載し、複数のドメインを設定する方法について説明します。ここで説明する内容は、次のとおりです。
同期ユーザーリストの定義の理解
同期ユーザーリスト (SUL) にはすべて、2 つの定義が含まれています。1 つは同期する Directory Server ユーザーを識別し、もう 1 つは同期する Windows ユーザーを識別します。
各定義は同期するディレクトリ内のユーザー、同期から除外するユーザー、新しいユーザーの作成場所を識別します。
注 –
Identity Synchronization for Windows コンソールを使用して選択したオブジェクトクラスによっても、同期されるユーザーが決まります。プログラムは、選択したオブジェクトクラスを持つこれらのユーザーのみを同期します。これには、選択したオブジェクトクラスのサブクラスを持つユーザーも含まれます。
たとえば、inetorgperson オブジェクトクラスは organizationalPerson オブジェクトクラスのサブクラスであるため、organizationalPerson オブジェクトクラスを選択すると、Identity Synchronization for Windows によってユーザーが inetorgperson オブジェクトクラスと同期されます。
「同期ユーザーリストの定義の理解」では、SUL 定義コンポーネントについて説明します。
表 D–1 SUL 定義コンポーネント
注 –
複数の Active Directory ドメインを持つ Sun Java System Directory Server でユーザーを同期するには、Active Directory ドメインごとに SUL を少なくとも 1 つ定義します。
グループ同期が有効になっている場合は、次のことを確認してください。
-
Active Directory でサポートされる作成式は cn=%cn% です。
-
作成式はユーザーとグループの両方に共通であるため、作成式にはグループオブジェクトクラスに属する有効な属性名を含めてください。
次に例を示します。
属性 sn は、Directory Server の groupofuniquenames オブジェクトクラスの一部ではありません。したがって、グループオブジェクトでは、次の作成式は無効になります。(ただし、ユーザーオブジェクトでは正しく機能する。)
cn=%cn%.%sn%
-
作成式に使用される属性には、作成されるすべてのユーザー/グループエントリの値を指定します。値が指定されないと、ユーザー/グループオブジェクトが同期されず、該当するメッセージがセントラルログに記録されます。
複数の SUL を定義した場合、各 SUL 定義を繰り返し一致させることで Identity Synchronization for Windows によって SUL 内のメンバーシップが決定されます。プログラムはより具体的なベース DN を持つ SUL 定義を最初に調べます。たとえば、プログラムは dc=example,dc=com の前に ou=sales,dc=example,dc=com に対する一致をテストします。
2 つの SUL 定義のベース DN が同じでフィルタが異なる場合、Identity Synchronization for Windows はどのフィルタを最初にテストするか自動的に決定できません。このため、ドメイン重複の解決機能を使用して 2 つの SUL 定義の順序を決定してください。ユーザーが SUL 定義のベース DN と一致したが、そのベース DN のいずれのフィルタも一致しない場合、ユーザーが具体性が低いベース DN のフィルタを一致させた場合でもプログラムはそのユーザーを同期から除外します。
複数の Windows ドメインの設定
複数の Windows ドメインが同じ Directory Server コンテナ (ou=people,dc=example,dc=com など) に同期するのをサポートするために、Identity Synchronization for Windows はドメイン情報を含む「合成」Windows 属性を使用します。
-
Active Directory ドメインの場合、Identity Synchronization for Windows は Directory Server にエントリを同期する前に Active Directory ドメイン名 (east.example.com など) に activedirectorydomainname 属性を設定します。
-
Windows NT ドメインの場合、Identity Synchronization for Windows は Directory Server にエントリを同期する前に Windows NT ドメイン名 (NTEXAMPLE など) に user_nt_domain_name 属性を設定します。
これらの属性は実際に Windows ユーザーエントリに表示されませんが、Identity Synchronization for Windows コンソールで同期に使用でき、Directory Server のユーザー属性にマップできます。Identity Synchronization for Windows がドメイン属性をマップすると、これらが同期の間に Directory Server エントリで設定され、同期ユーザーリスト (SUL) フィルタで使用できます。
次の例は、Identity Synchronization for Windows がこれらの属性を使用する方法を示しています。この例では、3 つの Windows ドメイン (2 つの Active Directory ドメインと 1 つの Windows NT ドメイン) が単一の Directory Server インスタンスと同期すると仮定してします。
複数の Windows ドメインを設定する
-
Active Directory east.example.com ドメインのユーザーは ou=people,dc=example,dc=com の Directory Server に同期します。
-
Active Directory west.example.com ドメインのユーザーは ou=people,dc=example,dc=com の Directory Server に同期します。
-
Windows NT NTEXAMPLE ドメインのユーザーは ou=people,dc=example,dc=com の Directory Server に同期します。
Directory Server ユーザーを作成または変更する場合、(各 Directory Server SUL に同じベース DN、ou=people,dc=example,dc=com があるため) プログラムは SUL フィルタを使用してユーザーを同期する Windows ドメインを決定します。activedirectorydomainname 属性と user_nt_domain_name 属性によってこれらのフィルタの構築は簡単になります。
-
Directory Server の destinationindicator 属性を Active Directory の activedirectorydomainname 属性と Windows NT の user_nt_domain_name 属性にマップします。
-
次の手順で各 Windows ドメインに SUL を 1 つ設定します。
EAST_SUL
Sun Java System Directory Server definition Base DN: ou=people,dc=example,dc=com Filter: destinationindicator=east.example.com Creation Expression: cn=%cn%,ou=people,dc=example,dc=comActive Directory definition (east.example.com) Base DN: cn=users,dc=east,dc=example,dc=com Filter: <none\> Creation Expression: cn=%cn%,cn=users,dc=east,dc=example,dc=comWEST_SUL
Sun Java System Directory Server definition Base DN:ou=people,dc=example,dc=com Filter: destinationindicator=west.example.com Creation Expression: cn=%cn%,ou=people,dc=example,dc=comActive Directory definition (west.example.com) Base DN: cn=users,dc=west,dc=example,dc=com Filter:<none\> Creation Expression: cn=%cn%,cn=users,dc=west,dc=example,dc=comNT_SUL
Sun Java System Directory Server definition Base DN: ou=people,dc=example,dc=com Filter: destinationindicator=NTEXAMPLE Creation Expression: cn=%cn%, ou=people,dc=example,dc=comWindows NT definition (NTEXAMPLE) Base DN: NA Filter: <none\> Creation Expression: NA各 Directory Server SUL 定義に同じベース DN と作成式があるが、フィルタは対応する Windows ユーザーエントリのドメインを示します。
これらの設定で Directory Server のユーザーエントリを別の Windows ドメインと同期する方法について、次のテストケースでより詳しく説明します。
-
Active Directory east.example.com ドメインで cn=Jane Test,cn=users,dc=east,dc=example,dc=com を作成します。
-
Identity Synchronization for Windows は destinationindicator=east.example.com でユーザーエントリ cn=Jane Test,ou=people,dc=example,dc=com を Directory Server に作成します。
-
Directory Server で cn=Jane Test,ou=people,dc=example,dc=com エントリを変更します。
-
Jane Test の destinationindicator 属性は east.example.com であるため、彼女のエントリは EAST_SUL 同期ユーザーリストフィルタと一致し、変更は east.example.com Active Directory ドメインに同期します。
この例は、Identity Synchronization for Windows が Windows からのユーザー作成を Directory Server に同期すると仮定しています。これ以外の場合、idsync resync コマンドを実行して destinationindicator 属性を設定できます。
注 –複数の SUL のある配備で idsync resync -f を使用する場合、おそらくリンク設定ファイルで allowLinkingOutOfScope オプションを true に設定する必要があります。付録 B 「Identity Synchronization for Windows LinkUsers XML ドキュメントの例」を参照してください。
この例は、inetorgperson、destinationIndicator の既存の属性を使用します。これは他の目的で使用される場合もあります。この属性がすでに使用されていたり、別のオブジェクトクラスを選択したりする場合は、ユーザーの Directory Server エントリのいくつかの属性を user_nt_domain_name および/または activedirectorydomainname 属性にマップしてください。この値を格納するよう選択した Directory Server 属性は、残りの属性マッピング設定に使用するオブジェクトクラスに含めます。
このドメイン情報を格納するための使用していない属性がない場合は、新しいドメイン属性と Identity Synchronization for Windows で使用するその他の属性をすべてを格納する新しいオブジェクトクラスを作成してください。
付録 E レプリケートされた環境での Identity Synchronization for Windows のインストールの注意点
Identity Synchronization for Windows 6.0 は単一のレプリケートされたサフィックスでユーザーの同期をサポートします。
注 –
この付録では、マルチマスターレプリケーション (MMR) 配備を設定およびセキュリティー保護するために使用する手順をまとめます。この情報は、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』から直接抜粋したもので、Identity Synchronization for Windows 固有の情報ではありません。
MMR 配備の設計と実装は、複雑です。配備の計画については 『Sun Java System Directory Server Enterprise Edition 6.3 配備計画ガイド』、配備の実装については 『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』を参照してください。
この付録の内容は次のとおりです。
レプリケーションの設定
注 –
マルチマスターレプリケーション (MMR) 環境では、Identity Synchronization for Windows によって特定の Sun ディレクトリソースに対して優先マスターおよび副マスターのサーバーを指定できます。
Directory Server は n とおりの MMR をサポートします (設定された任意の n 個のマスターでレプリケートされたデータベースを変更可能)。優先マスターでプラグインをインストールする場合、プラグインのインストール中に他のホストタイプを選択して、Directory Server インスタンスのパラメータを手動で入力する必要があります。
次の手順は、シングルサフィックスのレプリケーションを前提としています。複数のサフィックスをレプリケートしている場合は、各サーバーで並行して設定できます。つまり、各手順を繰り返して、複数のサフィックスでレプリケーションを設定できます。
レプリケーショントポロジを設定する
-
シングルマスターを除くすべてのサーバーでレプリケーションマネージャーのエントリを定義します (または、すべてのサーバーでデフォルトのレプリケーションマネージャーを使用する)。
-
専用コンシューマのレプリカが作成されるすべてのサーバーでは、次の処理を行います。
-
ハブを利用する場合は、ハブのレプリカが作成されるすべてのサーバーで次の処理を行います。
-
マスターレプリカが作成されるすべてのサーバーでは、次の処理を行います。
-
すべてのサプライヤレプリカで、次の順序でレプリケーションアグリーメントを設定します。
-
ハブレプリカとそのコンシューマとの間のレプリケーションアグリーメントを設定します。
-
マルチマスターレプリケーションでは、データのオリジナルコピーを含むマスターレプリカから順にすべてのマスターを初期化します。ハブとコンシューマレプリカを初期化します。
SSL を介したレプリケーションの設定
注 –
この手順で、参照はすべて『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の章にあります。
レプリケーション動作がすべて SSL 接続を介して実行されるようレプリケーションにかかわる Directory Server を設定する
-
サプライヤサーバーとコンシューマサーバーの両方を、SSL を使用するように設定します。
詳細は、第 11 章の「Managing Authentication and Encryption」を参照してください。
注 –-
サプライヤサーバー証明書が、SSL ハンドシェイク時にクライアントとして機能できない SSL サーバー専用証明書である場合、SSL を経由するレプリケーションは失敗します。
-
SSL を経由するレプリケーションは、現在のところ自己署名の証明書をサポートしていません。
-
-
コンシューマサーバー上のサフィックスに対してレプリケーションが設定されていない場合、第 8 章の「Enabling a Consumer Replica」を参照して有効にします。
-
第 8 章の「Advanced Consumer Configuration」の手順に従って、コンシューマ上で証明書のエントリの DN を別のレプリケーションマネージャーとして定義します。
-
サプライヤサーバー上のサフィックスに対してレプリケーションが設定されていない場合、第 8 章の「Enabling a Hub Replica」または「Enabling a Master Replica」を参照して有効にします。
-
サプライヤサーバーで新しいレプリケーションアグリーメントを作成し、セキュリティー保護された SSL ポート上のコンシューマに更新を送信します。詳細な手順については、第 8 章「Creating Replication Agreements」の手順に従ってください。セキュリティー保護されたポートをコンシューマサーバーに設定し、パスワードまたは証明書のどちらを使うかについて、SSL オプションを選択します。選択した SSL オプションの DN (レプリケーションマネージャーまたは証明書) を入力します。
レプリケーションアグリーメントの設定が完了すると、サプライヤはすべてのレプリケーション更新メッセージを SSL 経由でコンシューマに送信します。証明書を使用するオプションを選んだ場合は、証明書が利用されます。SSL のアグリーメント設定を使用してコンソールからカスタマーの初期化を行う場合も、セキュリティー保護された接続が使われます。
MMR 環境での Identity Synchronization for Windows の設定
MMR 環境で Identity Synchronization for Windows を設定する
-
Identity Synchronization for Windows コンソールからサフィックスを同期させる優先マスターと副マスターのサーバーを指定します。(「Sun Java System ディレクトリソースの作成」を参照)
トポロジで他の Directory Server についての情報を指定する必要はありません。
-
コンソールから、または idsync prepds コマンド行ユーティリティーを使用して優先マスターと副マスターのサーバーを準備します。(「Sun ディレクトリソースの準備」を参照)
コマンド行ユーティリティーを使用する場合は、優先サーバーと副サーバーの両方に対する引数を指定して、両方のサーバーを単一の呼び出しで準備する必要があります。
-
これらのディレクトリ間でレプリケートされるサフィックスのディレクトリサーバーコネクタをインストールします。(「ディレクトリサーバーコネクタのインストール」を参照)
-
優先マスター、副マスター、およびレプリケートされたサフィックスでユーザーを管理するその他すべての Directory Server インスタンスでディレクトリサーバープラグインを設定します (「dspluginconfig の使用」を参照)。
- © 2010, Oracle Corporation and/or its affiliates