Windows Active Directory コネクタ
1.0.0.3663
ここでは、Identity Manager で使用する、次のコネクタベースの Active Directory リソースを設定する手順を説明します。
コネクタサーバーの場所
コネクタサーバーのサービスアカウント
「LDAP ホスト名」リソース属性が設定されていない場合、コネクタはディレクトリに対してサーバーレスバインドを実行します。サーバーレスバインドが機能するためには、ドメイン内にあって、管理対象のドメインまたはディレクトリを「認識している」システム上に、コネクタサーバーをインストールする必要があります。コネクタが管理するすべての Windows ドメインは、同じフォレストに所属している必要があります。フォレスト境界を越えるドメインの管理はサポートされていません。複数のフォレストがある場合は、各フォレストに少なくとも 1 つのコネクタをインストールしてください。
「LDAP ホスト名」リソース属性は、コネクタに特定の DNS ホスト名または IP アドレスとバインドするように指示します。これはサーバーレスバインドとは正反対です。ただし、LDAP ホスト名では、必ずしも特定のドメインコントローラを指定する必要はありません。AD ドメインの DNS 名を使用できます。コネクタの DNS サーバーが、その DNS 名に対して複数の IP アドレスを返すように設定されている場合、そのうちの 1 つがディレクトリバインドに使用されます。これによって単一のドメインコントローラに依存する必要がなくなります。
パススルー認証や前アクションと後アクションを含む一部の操作では、コネクタサーバーがドメインのメンバーであることが求められます。
デフォルトでは、コネクタサーバーはローカルシステムアカウントとして実行されます。これは、「サービス」MMC スナップインで設定できます。
コネクタサーバーをローカルシステム以外のアカウントで実行する場合は、コネクタサーバーのサービスアカウントに「Act As Operating System」および「走査チェックのバイパス」ユーザー権限が必要です。ゲートウェイは、パススルー認証や、特定の状況でのパスワードの変更およびリセットに、これらの権限を使用します。
AD の管理の大部分は、リソース内で指定された管理アカウントを使用して行います。ただし、一部の操作はコネクタサーバーのサービスアカウントで実行します。つまり、コネクタサーバーのサービスアカウントに、これらの操作を実行するための適切なアクセス権が必要です。現在、これに該当する操作は次のとおりです。
前アクションおよび後アクションのスクリプトを実行するときに、コネクタサーバーに「プロセスレベルトークンの置き換え」の権限が必要な場合があります。この権限は、コネクタサーバーが別のユーザー (リソース管理ユーザーなど) としてスクリプトのサブプロセスを実行しようとする場合に必要です。この場合、コネクタサーバーのプロセスには、そのサブプロセスに関連付けられたデフォルトのトークンを置き換える権限が必要です。
この権限がない場合は、サブプロセスの作成中に次のエラーが返されることがあります。
"Error creating process: A required privilege is not held by the client"
「プロセスレベルトークンの置き換え」権限は、デフォルトのドメインコントローラのグループポリシーオブジェクトと、ワークステーションおよびサーバーのローカルセキュリティーポリシーで定義されます。この権限をシステムに設定するには、「管理ツール」フォルダの「ローカルセキュリティーポリシー」アプリケーションを開き、「ローカルポリシー」>「ユーザー権利の割り当て」>「プロセスレベルトークンの置き換え」に移動します。
コネクタサーバーの設定に関する最新情報については、https://identityconnectors.dev.java.net/connector server.html を参照してください。
ここでは、Active Directory コネクタの使用に関連する依存関係と制限について示します。説明する内容は次のとおりです。
パスワード履歴の確認
Active Sync の設定
パススルー認証用のドメインの指定
エンドユーザーが自分のパスワードを変更するときに Active Directory アカウントのパスワード履歴を確認するには、AD パスワードを入力する必要があります。AD リソースでこの機能を有効にするには、「リソースパラメータ」ページで「変更時にユーザーがパスワードを入力」チェックボックスにチェックマークを付け、WS_USER_PASSWORD 属性をタイプを encrypted にしてアカウント属性に追加します。WS_USER_PASSWORD は、Identity Manager ユーザー属性およびリソースユーザー属性として追加する必要があります。
Active Sync は常に同じドメインコントローラに接続する必要があるので、「子ドメインの検索」リソースパラメータが選択されていない場合は、特定のドメインコントローラのホスト名を指定するように LDAP ホスト名を設定します。「子ドメインの検索」オプションが選択されている場合は、「Sync Global Catalog Server」に特定のグローバルカタログサーバーを設定する必要があります。
新しいドメインコントローラに切り替えたときに発生する繰り返しイベントの数を制限する方法については、第 52 章Active Directory Synchronization Failoverを参照してください。
デフォルト設定では、ユーザー ID とパスワードのみを送信することによって、パススルー認証が実現されます。これらの 2 つの属性は、w2k_user および w2k_password として、リソースオブジェクトの XML の AuthnProperties 要素で設定されます。ドメイン指定がない場合は、コネクタサーバーで既知の全ドメインが検索され、ユーザーを含むドメイン内のユーザー認証が試みられます。
信頼されたマルチドメイン環境では、次の 2 つの状況が考えられます。
すべてのドメインに同期されたユーザー/パスワードの組み合わせが含まれる。
ユーザー/パスワードの組み合わせがドメインに依存する。
ユーザー/パスワードの組み合わせが同期される場合は、Active Directory リソースが共通リソースとなるように設定します。共通リソースの設定については、『Business Administrator's Guide』を参照してください。
グローバルカタログにはフォレスト間の情報は含まれていないため、信頼される複数のドメインと Active Directory フォレストを含む環境では、これらの設定のいずれかを使用した認証に失敗する可能性があります。ドメイン数がロックアウトのしきい値よりも大きい場合は、ユーザーが不正なパスワードを入力すると、ユーザーのドメインでアカウントがロックアウトされる可能性もあります。
ユーザーがドメインに存在し、パスワードが同期されない場合は、ドメインでログインに失敗します。
1 つの Login Module Group で、ドメイン情報用に複数のデータソースを使用することはできません。
ここでは、サポートされる接続と特権の環境について説明します。
ここでは、必要な Active Directory のアクセス許可とパスワードのリセット権の要件について説明します。
Active Directory リソース内で設定する管理アカウントには、Active Directory における適切なアクセス権が必要です。
表 57–1 Active Directory アクセス権
リソースオブジェクトの作成、削除、更新を実行する権限は期待するとおりのものです。アカウントには対応するオブジェクトタイプに対する作成権と削除権が必要で、ユーザーには、更新する必要のあるプロパティーに対する適切な読み取り/書き込み権が必要になります。
Active Directory (AD) のパススルー認証をサポートするための要件は、次のとおりです。
コネクタサーバーをユーザーとして実行するように設定する場合、そのユーザーアカウントには「Act As Operating System」および「走査チェックのバイパス」のユーザー権限が必要です。デフォルトでは、コネクタサーバーはローカルシステムアカウントとして実行され、このアカウントにはこれらの権限はすでに備わっています。また、「走査チェックのバイパス」ユーザー権限は、デフォルトですべてのユーザーに有効になっています。
ユーザー権限を更新する必要のある場合、更新されたセキュリティーポリシーが伝播されるまでに遅延が生じる可能性があります。ポリシーが伝達されたら、コネクタサーバーを再起動する必要があります。
認証されるアカウントには、コネクタサーバーで「ネットワーク経由でコンピュータへアクセス」のユーザー権限が必要です。
コネクタサーバーでは、LogonUser 関数に LOGON32_LOGON_NETWORK ログオンタイプおよび LOGON32_PROVIDER_DEFAULT ログオンプロバイダを設定して、パススルー認証を実行します。LogonUser 関数は、Microsoft Platform Software Development Kit で提供されています。
次の表に、このコネクタのプロビジョニング機能の概要を示します。
表 57–2 プロビジョニング機能
機能 |
サポート状況 |
---|---|
アカウントの有効化/無効化 |
あり |
アカウントの名前の変更 |
あり |
パススルー認証 |
あり |
前アクションと後アクション |
あり Active Directory リソースは、前アクションと後アクションをサポートしています。これらのアクションは、ユーザーが要求を作成、更新、および削除するときに、コネクタサーバーでバッチスクリプトを使用してアクティビティーを実行します。詳細は、第 50 章リソースへのアクションの追加を参照してください。 |
データ読み込みメソッド |
リソースから直接インポート リソースの調整 Active Sync |
属性の構文 (または型) は、通常、属性がサポートされるかどうかを決定します。一般に、Identity Manager は boolean 型、文字列型、および整数型の構文をサポートします。バイナリ文字列と、それに類似した構文はサポートされていません。
ここでは、サポートされるアカウント構文とサポートされないアカウント構文について説明します。
次の表に、Identity Manager でサポートされている Active Directory 構文を示します。
表 57–3 サポートされる構文のリスト
AD 構文 |
Identity Manager の構文 |
構文 ID |
OM ID |
ADS タイプ |
---|---|---|---|---|
Boolean |
Boolean |
2.5.5.8 |
1 |
ADSTYPE_BOOLEAN |
Enumeration |
String |
2.5.5.9 |
10 |
ADSTYPE_INTEGER |
Integer |
Int |
2.5.5.9 |
2 |
ADSTYPE_INTEGER |
DN String |
String |
2.5.5.1 |
127 |
ADSTYPE_DN_STRING |
Presentation Address |
String |
2.5.5.13 |
127 |
ADSTYPE_CASE_IGNORE_STRING |
IA5 String |
String |
2.5.5.5 |
22 |
ADSTYPE_PRINTABLE_STRING |
Printable String |
String |
2.5.5.5 |
19 |
ADSTYPE_PRINTABLE_STRING |
Numeric String |
String |
2.5.5.6 |
18 |
ADSTYPE_NUMERIC_STRING |
OID String |
String |
2.5.5.2 |
6 |
ADSTYPE_CASE_IGNORE_STRING |
Case Ignore String (teletex) |
String |
2.5.5.4 |
20 人 |
ADSTYPE_CASE_IGNORE_STRING |
Unicode String |
String |
2.5.5.12 |
64 |
ADSTYPE_OCTET_STRING |
Interval |
String |
2.5.5.16 |
65 |
ADSTYPE_LARGE_INTEGER |
LargeInteger |
String |
2.5.5.16 |
65 |
ADSTYPE_LARGE_INTEGER |
次の表に、Identity Manager でサポートされない Active Directory 構文を示します。
表 57–4 サポートされない Active Directory の構文
構文 |
構文 ID |
OM ID |
ADS タイプ |
---|---|---|---|
DN with Unicode string |
2.5.5.14 |
127 |
ADSTYPE_DN_WITH_STRING |
DN with binary |
2.5.5.7 |
127 |
ADSTYPE_DN_WITH_BINARY |
OR-Name |
2.5.5.7 |
127 |
ADSTYPE_DN_WITH_BINARY |
Replica Link |
2.5.5.10 |
127 |
ADSTYPE_OCTET_STRING |
NT Security Descriptor |
2.5.5.15 |
66 |
ADSTYPE_NT_SECURITY_DESCRIPTOR |
Octet String |
2.5.5.10 |
4 |
ADSTYPE_OCTET_STRING |
SID String |
2.5.5.17 |
4 |
ADSTYPE_OCTET_STRING |
UTC Time String |
2.5.5.11 |
23 |
ADSTYPE_UTC_TIME |
Object(Access-Point) |
2.5.5.14 |
127 |
n/a |
Identity Manager は、Replica Link 構文を使用する jpegPhoto および thumbnailPhoto アカウント属性をサポートしています。これ以外にもサポートされている Replica Link 属性があるかもしれませんが、それらはテストが完了していません。
ここでは、Identity Manager によってサポートされる Active Directory アカウント属性とサポートされない Active Directory アカウント属性を説明します。
次の表に、Identity Manager でサポートされるアカウント属性を示します。ほかの属性がサポートされる場合もあります。
これらの属性については、第 6 章Active Directoryを参照してください。
表 57–5 ACCOUNT オブジェクトクラスの属性
名前 |
属性タイプ |
作成 |
更新 |
複数値の許可 |
---|---|---|---|---|
sAMAccountName |
String |
あり |
なし |
なし |
givenName |
String |
あり |
あり |
なし |
sn |
String |
あり |
あり |
なし |
displayName |
String |
あり |
あり |
なし |
|
String |
あり |
あり |
なし |
telephoneNumber |
String |
あり |
あり |
なし |
employeeID |
String |
あり |
あり |
なし |
division |
String |
あり |
あり |
なし |
mobile |
String |
あり |
あり |
なし |
middleName |
String |
あり |
あり |
なし |
description |
String |
あり |
あり |
あり |
department |
String |
あり |
あり |
あり |
manager |
String |
あり |
あり |
あり |
title |
String |
あり |
あり |
あり |
initials |
String |
あり |
あり |
あり |
co |
String |
あり |
あり |
あり |
company |
String |
あり |
あり |
あり |
facsimileTelephoneNumber |
String |
あり |
あり |
あり |
homePhone |
String |
あり |
あり |
あり |
streetAddress |
String |
あり |
あり |
あり |
1 |
String |
あり |
あり |
あり |
st |
String |
あり |
あり |
あり |
postalCode |
String |
あり |
あり |
あり |
TerminalServicesInitialProgram |
String |
なし |
なし |
あり |
TerminalServicesWorkDirectory |
String |
あり |
あり |
あり |
AllowLogon |
Integer |
あり |
あり |
あり |
MaxConnectionTime |
Integer |
あり |
あり |
あり |
MaxDisconnectionTime |
Integer |
なし |
なし |
あり |
MaxIdleTime |
Integer |
あり |
あり |
あり |
ConnectClientDrivesAtLogon |
Integer |
なし |
なし |
あり |
ConnectClientPrintersAtLogon |
Integer |
なし |
なし |
あり |
DefaultToManPrinter |
Integer |
なし |
なし |
あり |
BrokenConnectionAction |
Integer |
なし |
なし |
あり |
ReconnectionAction |
Integer |
なし |
なし |
あり |
EnableRemoteControl |
Integer |
なし |
なし |
あり |
TerminalServicesProfilePath |
String |
なし |
なし |
あり |
TerminalServicesHomeDirectory |
String |
なし |
なし |
あり |
TerminalServicesHomeDrive |
String |
なし |
なし |
あり |
uSNChanged |
String |
なし |
なし |
あり |
ad_container |
String |
なし |
なし |
あり |
otherHomePhone |
String |
あり |
あり |
あり |
distinguishedName |
String |
なし |
なし |
あり |
objectClass |
String |
なし |
なし |
あり |
homeDirectory |
String |
あり |
あり |
あり |
PasswordNeverExpires |
Boolean |
あり |
あり |
あり |
表 57–6 GROUP オブジェクトクラスの属性
名前 |
属性タイプ |
作成 |
更新 |
複数値の許可 |
---|---|---|---|---|
cn |
String |
なし |
なし |
あり |
samAccountName |
String |
あり |
あり |
あり |
description |
String |
あり |
あり |
あり |
displayName |
String |
なし |
なし |
あり |
managedBy |
String |
あり |
あり |
あり |
|
String |
あり |
あり |
あり |
groupType |
Int |
あり |
あり |
あり |
objectClass |
String |
なし |
なし |
あり |
member |
String |
なし |
なし |
あり |
ad_container |
String |
なし |
なし |
あり |
表 57–7 organizationalUnit オブジェクトクラスの属性
名前 |
属性タイプ |
作成 |
更新 |
複数の属性の許可 |
---|---|---|---|---|
ou |
String |
なし |
なし |
なし |
displayName |
String |
なし |
なし |
なし |
Identity Manager は、次の Active Directory オブジェクトをサポートします。
表 57–8 サポートされる Active Directory オブジェクト
リソースオブェクト |
サポートされる機能 |
管理される属性 |
---|---|---|
Group |
作成、更新、削除 |
cn、samAccountName、description 、managedby、member、mail 、groupType、authOrig、name |
DNS Domain |
Find |
dc |
Organizational Unit |
作成、削除、検索 |
ou |
Container |
作成、削除、検索 |
cn、description |
リソースオブジェクト上で管理できる属性は、一般に、属性構文によって指示することもできます。これらのオブジェクトタイプの属性は、ユーザーアカウントの属性と類似しているので、同じようにサポートされています。
Windows Active Directory は、階層ベースのリソースです。アイデンティティーテンプレートによって、ユーザーが作成するディレクトリツリー内のデフォルトの場所が指定されます。デフォルトのアイデンティティーテンプレートは次のとおりです。
CN=$fullname$,CN=Users,DC=mydomain,DC=com
デフォルトのテンプレートを有効な値に置き換えてください。
ここでは、Active Directory リソースアダプタに用意されているサンプルフォームの一覧を示します。
Active Directory ActiveSync フォーム
Windows Active Directory コンテナ作成フォーム
Windows Active Directory グループ作成フォーム
Windows Active Directory 組織単位作成フォーム
Windows Active Directory Create Person Form
Windows Active Directory ユーザー作成フォーム
Windows Active Directory コンテナ更新フォーム
Windows Active Directory グループ更新フォーム
Windows Active Directory 組織単位更新フォーム
Windows Active Directory Update Person Form
Windows Active Directory ユーザー更新フォーム
ADUserForm.xml
ログとトレースの情報については、第 56 章アイデンティティーコネクタの概要を参照してください。