Windows NT リソースアダプタは、com.waveset.adapter.NTResourceAdapter クラスで定義されます。
ここでは、双方向に信頼された複数のドメイン間での、Windows NT のプロビジョニングについて説明します。単一のドメインから複数のドメインを管理する場合は、次の制約が適用されます。
この節では次の用語を使用します。
ゲートウェイドメイン - ゲートウェイマシンが所属するドメイン。
リソース管理アカウント - Identity Manager リソースで定義されている管理アカウント。
サービスアカウント - ゲートウェイサービスを実行しているアカウント。
次の信頼関係を確立する必要があります。
ゲートウェイドメインは、リソース管理アカウントが定義されている各ドメインを信頼する必要があります。
ゲートウェイはリソース管理アカウントを使用してローカルにログインします。したがって、そのドメインはアカウントが存在するドメインを信頼する必要があります。
ゲートウェイドメインは、パススルー認証を行う各ドメインを信頼する必要があります。
ゲートウェイはローカルにログインしてユーザーアカウントを認証します。したがって、そのドメインはこれらのアカウントのドメインを信頼する必要があります。
リソース管理アカウントは、アカウントの管理に使用する各ドメインの Account Operators グループのメンバーである必要があります。これらの各ドメインは、リソース管理アカウントを含むドメインを信頼する必要があります。
アカウントのドメインがローカルグループのドメインに信頼されていなければ、アカウントをローカルグループに追加することはできません。
サービスアカウントのドメインは、ゲートウェイドメインに信頼されている必要があります。
ゲートウェイサービスが開始されるときに、サービスアカウントのローカルログインが行われます。リソース管理アカウントのいずれかがサービスアカウントと異なる場合、またはドメインのいずれかでパススルー認証を実行する場合、サービスアカウントには、ゲートウェイドメインに「Act As Operating System」と「走査チェックのバイパス」のユーザー権限が必要です。これらの権限は、サービスアカウントで別のユーザーとしてログインするために必要です。
ホームディレクトリを作成する場合は、ディレクトリを作成するファイルシステム上で、リソース管理アカウントがディレクトリを作成できる必要があります。ホームディレクトリをネットワークドライブに作成する場合、リソース管理アカウントには、ゲートウェイプロセスの Temp または TMP 環境変数で定義されたファイルシステムか、これらの変数が定義されていない場合はゲートウェイプロセスの作業ディレクトリ (WINNT または WINNT\system32) に対して、書き込みアクセスが必要です。
前アクション、後アクション、またはリソースアクションを実行する場合、リソース管理アカウントには、ゲートウェイプロセスの TEMP または TMP 環境変数で定義されたファイルシステムか、これらの変数が定義されていない場合はゲートウェイプロセスの作業ディレクトリ (WINNT または WINNT\system32) に対して、読み取りと書き込みアクセスが必要です。
ゲートウェイはスクリプトとスクリプトの出力を、これらのディレクトリのいずれかに書き込みます。ディレクトリは記載されている順に選択されます。
ドメインごとに個別のリソースアダプタを設定します。同じゲートウェイホストを使用できます。
各ユーザーのドメイン固有のリソース属性 (ドメインと、場合によっては管理者とパスワード) をオーバーライドすることにより、単一のリソースを使用して複数のドメインを管理することもできます。
ドメインはそのドメイン自身を信頼するため、2 つのドメインが実際には同じである場合、一部の信頼関係は明示的にする必要がありません。
すべての管理対象ドメインのリソース管理アカウントに、同じアカウントを使用することができます。また、適切な信頼関係、グループメンバーシップ、およびユーザー権限を設定すれば、サービスアカウントにも同じアカウントを使用できます。
Windows NT アダプタに必要な追加のインストール手順はありません。
スクリプトゲートウェイでは、RA_HANGTIMEOUT リソース属性を使用してタイムアウト値を秒単位で指定できます。この属性は、ゲートウェイに対する要求がタイムアウトしてハングしているとみなされるまでの時間を制御します。次のように、この属性を Resource オブジェクトに手動で追加する必要があります。
この属性のデフォルト値は 0 です。これは Identity Manager がハングした接続を確認しないことを示します。
ここでは、サポートされる接続と特権の要件について説明します。
Identity Manager は、Sun Identity Manager Gateway を使用してこのアダプタと通信します。
管理者には、リソース上のユーザーとグループを作成および保守する権限が必要です。
次の表に、このアダプタのプロビジョニング機能の概要を示します。
機能 |
サポート状況 |
---|---|
アカウントの有効化/無効化 |
あり |
アカウントの名前の変更 |
あり |
パススルー認証 |
あり |
前アクションと後アクション |
あり |
データ読み込みメソッド |
|
Windows 2003 が Windows 2000 モードで動作している場合に、Active Directory のパススルー認証をサポートするには、次の管理特権が必要です。
ゲートウェイをユーザーとして実行するように設定する場合、Windows NT および Windows 2000/Active Directory リソースでパススルー認証を実行するには、このユーザーに「Act As Operating System」のユーザー権限が必要です。ユーザーには、「走査チェックのバイパス」ユーザー権限も必要ですが、この権限はデフォルトですべてのユーザーで有効になっています。
認証されるアカウントには、ゲートウェイシステム上で「ネットワーク経由でコンピュータへアクセス」ユーザー権限が必要です。
Identity Manager がユーザーの権限を更新するときに、セキュリティーポリシーが伝播されるまでに時間がかかる場合があります。ポリシーが伝達されたら、ゲートウェイを再起動します。
アカウント認証を実行する場合は、LOGON32_LOGON_NETWORK ログオンタイプと LOGON32_PROVIDER_DEFAULT ログオンプロバイダを指定して、LogonUser 関数を使用します。LogonUser 関数は、Microsoft Platform Software Development Kit で提供されています。
次の表に、Windows NT アカウント属性に関する情報を示します。
リソースユーザー属性 |
タブ/NT フィールド |
属性タイプ |
---|---|---|
AccountLocked |
全般/アカウントのロックアウト |
Boolean |
description |
全般/説明 |
String |
fullname |
全般/フルネーム |
String |
groups |
所属するグループ/所属するグループ |
String |
HomeDirDrive |
Profile Connect |
String |
HomeDirectory |
プロファイル/ローカルパス |
String |
LoginScript |
プロファイル/ログオンスクリプト |
String |
PasswordNeverExpires |
全般/パスワードを無期限にする |
Boolean |
Profile |
プロファイル/プロファイルパス |
String |
userPassword |
Password |
暗号化されています |
WS_PasswordExpired |
全般/ユーザーは次回ログオン時にパスワードの変更が必要 |
Boolean |
PasswordAge |
デフォルトでは表示されません。最後にパスワードを変更してからの時間を示します。実装するには、java.util.Date クラスを使用して値を人間が読める形式に変換します。 |
Int |
Identity Manager は次のオブジェクトをサポートします。
リソースオブェクト |
サポートされる機能 |
管理される属性 |
---|---|---|
Group |
作成、更新、削除 |
description、member |
$accountId$
Windows NT Create Group Form
Windows NT Update Group Form
NTForm.xml
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。
com.waveset.adapter.NTResourceAdapter