リソースを設定する際の注意事項
ここでは、Identity Manager で使用する、次のコネクタベースの Active Directory リソースを設定する手順を説明します。
-
コネクタサーバーの場所
-
コネクタサーバーのサービスアカウント
コネクタサーバーの場所
「LDAP ホスト名」リソース属性が設定されていない場合、コネクタはディレクトリに対してサーバーレスバインドを実行します。サーバーレスバインドが機能するためには、ドメイン内にあって、管理対象のドメインまたはディレクトリを「認識している」システム上に、コネクタサーバーをインストールする必要があります。コネクタが管理するすべての Windows ドメインは、同じフォレストに所属している必要があります。フォレスト境界を越えるドメインの管理はサポートされていません。複数のフォレストがある場合は、各フォレストに少なくとも 1 つのコネクタをインストールしてください。
「LDAP ホスト名」リソース属性は、コネクタに特定の DNS ホスト名または IP アドレスとバインドするように指示します。これはサーバーレスバインドとは正反対です。ただし、LDAP ホスト名では、必ずしも特定のドメインコントローラを指定する必要はありません。AD ドメインの DNS 名を使用できます。コネクタの DNS サーバーが、その DNS 名に対して複数の IP アドレスを返すように設定されている場合、そのうちの 1 つがディレクトリバインドに使用されます。これによって単一のドメインコントローラに依存する必要がなくなります。
パススルー認証や前アクションと後アクションを含む一部の操作では、コネクタサーバーがドメインのメンバーであることが求められます。
コネクタサーバーのサービスアカウント
デフォルトでは、コネクタサーバーはローカルシステムアカウントとして実行されます。これは、「サービス」MMC スナップインで設定できます。
コネクタサーバーをローカルシステム以外のアカウントで実行する場合は、コネクタサーバーのサービスアカウントに「Act As Operating System」および「走査チェックのバイパス」ユーザー権限が必要です。ゲートウェイは、パススルー認証や、特定の状況でのパスワードの変更およびリセットに、これらの権限を使用します。
AD の管理の大部分は、リソース内で指定された管理アカウントを使用して行います。ただし、一部の操作はコネクタサーバーのサービスアカウントで実行します。つまり、コネクタサーバーのサービスアカウントに、これらの操作を実行するための適切なアクセス権が必要です。現在、これに該当する操作は次のとおりです。
前アクションおよび後アクションのスクリプトを実行するときに、コネクタサーバーに「プロセスレベルトークンの置き換え」の権限が必要な場合があります。この権限は、コネクタサーバーが別のユーザー (リソース管理ユーザーなど) としてスクリプトのサブプロセスを実行しようとする場合に必要です。この場合、コネクタサーバーのプロセスには、そのサブプロセスに関連付けられたデフォルトのトークンを置き換える権限が必要です。
この権限がない場合は、サブプロセスの作成中に次のエラーが返されることがあります。
"Error creating process: A required privilege is not held by the client"
「プロセスレベルトークンの置き換え」権限は、デフォルトのドメインコントローラのグループポリシーオブジェクトと、ワークステーションおよびサーバーのローカルセキュリティーポリシーで定義されます。この権限をシステムに設定するには、「管理ツール」フォルダの「ローカルセキュリティーポリシー」アプリケーションを開き、「ローカルポリシー」>「ユーザー権利の割り当て」>「プロセスレベルトークンの置き換え」に移動します。
- © 2010, Oracle Corporation and/or its affiliates