使用上の注意

ここでは、Active Directory コネクタの使用に関連する依存関係と制限について示します。説明する内容は次のとおりです。

• パスワード履歴の確認

• Active Sync の設定

• パススルー認証用のドメインの指定

パスワード履歴の確認

エンドユーザーが自分のパスワードを変更するときに Active Directory アカウントのパスワード履歴を確認するには、AD パスワードを入力する必要があります。AD リソースでこの機能を有効にするには、「リソースパラメータ」ページで「変更時にユーザーがパスワードを入力」チェックボックスにチェックマークを付け、WS_USER_PASSWORD 属性をタイプを encrypted にしてアカウント属性に追加します。WS_USER_PASSWORD は、Identity Manager ユーザー属性およびリソースユーザー属性として追加する必要があります。

Active Sync の設定

Active Sync は常に同じドメインコントローラに接続する必要があるので、「子ドメインの検索」リソースパラメータが選択されていない場合は、特定のドメインコントローラのホスト名を指定するように LDAP ホスト名を設定します。「子ドメインの検索」オプションが選択されている場合は、「Sync Global Catalog Server」に特定のグローバルカタログサーバーを設定する必要があります。

新しいドメインコントローラに切り替えたときに発生する繰り返しイベントの数を制限する方法については、第 52 章Active Directory Synchronization Failoverを参照してください。

パススルー認証用のドメインの指定

デフォルト設定では、ユーザー ID とパスワードのみを送信することによって、パススルー認証が実現されます。これらの 2 つの属性は、w2k_user および w2k_password として、リソースオブジェクトの XML の AuthnProperties 要素で設定されます。ドメイン指定がない場合は、コネクタサーバーで既知の全ドメインが検索され、ユーザーを含むドメイン内のユーザー認証が試みられます。

信頼されたマルチドメイン環境では、次の 2 つの状況が考えられます。

• すべてのドメインに同期されたユーザー/パスワードの組み合わせが含まれる。

• ユーザー/パスワードの組み合わせがドメインに依存する。

ユーザー/パスワードの組み合わせが同期される場合は、Active Directory リソースが共通リソースとなるように設定します。共通リソースの設定については、『Business Administrator's Guide』を参照してください。

グローバルカタログにはフォレスト間の情報は含まれていないため、信頼される複数のドメインと Active Directory フォレストを含む環境では、これらの設定のいずれかを使用した認証に失敗する可能性があります。ドメイン数がロックアウトのしきい値よりも大きい場合は、ユーザーが不正なパスワードを入力すると、ユーザーのドメインでアカウントがロックアウトされる可能性もあります。

ユーザーがドメインに存在し、パスワードが同期されない場合は、ドメインでログインに失敗します。

1 つの Login Module Group で、ドメイン情報用に複数のデータソースを使用することはできません。