Sun Identity Manager Gateway のサービスアカウント

デフォルトでは、ゲートウェイサービスはローカルシステムアカウントとして実行されます。これは、「サービス」MMC スナップインで設定できます。

Exchange Server 2007 サポートが有効になっている Active Directory アダプタでゲートウェイが使用されている場合、ゲートウェイの実行に使用されるアカウントには特別な権限が必要です。

そのアカウントは、Exchange Server 2007 がインストールされているドメインにあるドメインアカウントである必要があります。使用されるアカウントは、標準 Exchange Server 2007 グループ Exchange Recipient Administrators のメンバーである必要もあります。このアカウントは、ゲートウェイによるすべての Exchange Server 2007 固有のアクションを実行します。リソースで指定された管理アカウントは使用されません。

許可されたゲートウェイアカウントでのこの制限は、Exchange Server 2007 API の制限に起因します。

これを正しく設定しないと、「PowerShell exception: Access to the address list service on all Exchange 2007 servers has been denied.」などの PowerShell エラーメッセージが表示されたあとに、スタックトレースが表示されます。

ゲートウェイをローカルシステム以外のアカウントとして実行する場合は、ゲートウェイサービスアカウントに「Act As Operating System」と「走査チェックのバイパス」のユーザー権限が必要です。ゲートウェイは、パススルー認証や、特定の状況でのパスワードの変更およびリセットに、これらの権限を使用します。

AD の管理の大部分は、リソース内で指定された管理アカウントを使用して行います。ただし、一部の操作はゲートウェイサービスアカウントで実行します。つまり、ゲートウェイサービスアカウントには、これらの操作を実行するための適切なアクセス権が必要です。現在、これに該当する操作は次のとおりです。

• ホームディレクトリの作成

• 実行中のアクション (前アクションと後アクションを含む)

Active Directory アダプタ 「認証のタイムアウト」リソース属性 (パススルー認証のみの場合) を使用すると、ゲートウェイ側で問題が発生してもアダプタが滞らずにすみます。

前アクションおよび後アクションのスクリプトを実行するときに、ゲートウェイに「プロセスレベルトークンの置き換え」の権限が必要な場合があります。この権限は、ゲートウェイが別のユーザー (リソース管理ユーザーなど) としてスクリプトのサブプロセスを実行しようとする場合に必要です。この場合、ゲートウェイプロセスには、そのサブプロセスに関連付けられたデフォルトのトークンを置き換える権限が必要です。

この権限がない場合は、サブプロセスの作成中に次のエラーが返されることがあります。

"Error creating process: A required privilege is not held by the client"

「プロセスレベルトークンの置き換え」権限は、デフォルトのドメインコントローラのグループポリシーオブジェクトと、ワークステーションおよびサーバーのローカルセキュリティーポリシーで定義されます。この権限をシステムに設定するには、「管理ツール」フォルダの「ローカルセキュリティーポリシー」アプリケーションを開き、「ローカルポリシー」>「ユーザー権利の割り当て」>「プロセスレベルトークンの置き換え」に移動します。