リソースを設定する際の注意事項
ここでは、Identity Manager で使用する次の Active Directory リソースの設定手順を説明します。
Sun Identity Manager Gateway の場所
「LDAP ホスト名」リソース属性が設定されていない場合、ゲートウェイはディレクトリに対してサーバーレスバインドを実行します。サーバーレスバインドが機能するためには、ドメイン内にあって、管理対象のドメインまたはディレクトリを「認識している」システム上に、ゲートウェイをインストールしてください。ゲートウェイが管理するすべての Windows ドメインは、同じフォレストに所属している必要があります。フォレスト境界を越えるドメインの管理はサポートされていません。複数のフォレストがある場合は、各フォレストに少なくとも 1 つのゲートウェイをインストールしてください。
「LDAP ホスト名」リソース属性は、ゲートウェイに特定の DNS ホスト名または IP アドレスとバインドするように指示します。これはサーバーレスバインドとは正反対です。ただし、LDAP ホスト名では、必ずしも特定のドメインコントローラを指定する必要はありません。AD ドメインの DNS 名を使用できます。ゲートウェイシステムの DNS サーバーが、その DNS 名に対して複数の IP アドレスを返すように設定されている場合、そのうちの 1 つがディレクトリバインドに使用されます。これによって単一のドメインコントローラに依存する必要がなくなります。
パススルー認証や前アクションと後アクションを含む一部の操作では、ゲートウェイシステムがドメインのメンバーであることが求められます。
Sun Identity Manager Gateway のサービスアカウント
デフォルトでは、ゲートウェイサービスはローカルシステムアカウントとして実行されます。これは、「サービス」MMC スナップインで設定できます。
Exchange Server 2007 サポートが有効になっている Active Directory アダプタでゲートウェイが使用されている場合、ゲートウェイの実行に使用されるアカウントには特別な権限が必要です。
そのアカウントは、Exchange Server 2007 がインストールされているドメインにあるドメインアカウントである必要があります。使用されるアカウントは、標準 Exchange Server 2007 グループ Exchange Recipient Administrators のメンバーである必要もあります。このアカウントは、ゲートウェイによるすべての Exchange Server 2007 固有のアクションを実行します。リソースで指定された管理アカウントは使用されません。
許可されたゲートウェイアカウントでのこの制限は、Exchange Server 2007 API の制限に起因します。
これを正しく設定しないと、「PowerShell exception: Access to the address list service on all Exchange 2007 servers has been denied.」などの PowerShell エラーメッセージが表示されたあとに、スタックトレースが表示されます。
ゲートウェイをローカルシステム以外のアカウントとして実行する場合は、ゲートウェイサービスアカウントに「Act As Operating System」と「走査チェックのバイパス」のユーザー権限が必要です。ゲートウェイは、パススルー認証や、特定の状況でのパスワードの変更およびリセットに、これらの権限を使用します。
AD の管理の大部分は、リソース内で指定された管理アカウントを使用して行います。ただし、一部の操作はゲートウェイサービスアカウントで実行します。つまり、ゲートウェイサービスアカウントには、これらの操作を実行するための適切なアクセス権が必要です。現在、これに該当する操作は次のとおりです。
Active Directory アダプタ 「認証のタイムアウト」リソース属性 (パススルー認証のみの場合) を使用すると、ゲートウェイ側で問題が発生してもアダプタが滞らずにすみます。
前アクションおよび後アクションのスクリプトを実行するときに、ゲートウェイに「プロセスレベルトークンの置き換え」の権限が必要な場合があります。この権限は、ゲートウェイが別のユーザー (リソース管理ユーザーなど) としてスクリプトのサブプロセスを実行しようとする場合に必要です。この場合、ゲートウェイプロセスには、そのサブプロセスに関連付けられたデフォルトのトークンを置き換える権限が必要です。
この権限がない場合は、サブプロセスの作成中に次のエラーが返されることがあります。
"Error creating process: A required privilege is not held by the client"
「プロセスレベルトークンの置き換え」権限は、デフォルトのドメインコントローラのグループポリシーオブジェクトと、ワークステーションおよびサーバーのローカルセキュリティーポリシーで定義されます。この権限をシステムに設定するには、「管理ツール」フォルダの「ローカルセキュリティーポリシー」アプリケーションを開き、「ローカルポリシー」>「ユーザー権利の割り当て」>「プロセスレベルトークンの置き換え」に移動します。
不在メッセージ
outOfOfficeEnabled および outofOfficeMessage のアカウント属性を使用すると、不在時の自動返信機能を有効にして、不在メッセージを設定できます。これらは Exchange 2000 または 2003 アカウントで使用できます。これらの属性が設定されるのはアカウントの更新時のみで、アカウントの作成時には設定されません。
このアダプタでは、ゲートウェイマシン上に Messaging Application Programming Interface (MAPI) をインストールする必要があります。MAPI サブシステムをインストールするには、少なくとも 2 とおりの方法があります。もっとも単純な方法は、ゲートウェイマシン上に Microsoft Outlook クライアントをインストールすることです。この場合、これ以外の設定は必要ありません。
Messaging Application Programming Interface (MAPI) もう 1 つの方法は、Exchange Server CD にある Exchange System Management Tools をインストールすることです。この管理ツールは、通常の Exchange Server のコンポーネントとしてインストールされます。ただし、このインストールによって MAPI サブシステムのファイルはインストールされますが、これで設定が完了するわけではありません。
mapisvc.inf ファイル (通常は c:\winnt\system32 にある) には使用可能な MAPI サービスが格納されていますが、このファイルを更新して Exchange メッセージサービスのエントリを追加する必要があります。msems.inf ファイル (gateway zip ファイルに格納されている) に格納されているエントリは、Exchange メッセージサーバーを設定するために、mapisvc.inf ファイルにマージします。msems.inf ファイルは、メモ帳などのテキストエディタを使用して、手動で mapisvc.inf ファイルにマージできます。また、Microsoft Platform SDK には MergeIni.exe という名前のツールも用意されています。 これは Microsoft SDK\Bin ディレクトリの Windows Core SDK にあります。
MergeIni を実行するには、次のコマンドを使用します。
MergeIni msems.inf -m
Out of Office 属性は、msExchHideFromAddressLists 属性が有効になっている場合は取得できません。msExchHideFromAddressLists が true になっているときに、ユーザーフォームに Out of Office 属性を表示しようとしても、値は定義されません。サンプルの Active Directory ユーザーフォームには、msExchHideFromAddressLists が有効になっているときは Identity Manager に Out of Office 属性を表示させないロジックが組み込まれています。
Exchange Server 2007 では、ユーザーに対する Out Of Office メッセージの設定はサポートされていません。メッセージはユーザーエントリの一部として格納されなくなり、ユーザーのメールボックスの一部を形成します。Out of Office 返信を管理するには、エンドユーザーが Outlook または Outlook Web Access を使用することをお勧めします。
Exchange Server 2007 の要件
Exchange Server 2007 では、Exchange Management Shell を使用した API のプロビジョニングのみがサポートされています。このシェルでは、ユーザーとサーバーを管理およびプロビジョニングするコマンド行インタフェースが提供されます。このシェルは Microsoft Windows PowerShell 上でビルドされます。
ゲートウェイは、Microsoft Windows 32 ビット版オペレーティングシステムで実行する必要があります。さらに、ゲートウェイマシン上に次のアイテムをインストールする必要があります。
これらの要件については、次の節で詳細に説明します。
Microsoft Exchange Server 2007「管理ツール」、32 ビット
Exchange 管理シェルは、Exchange 用の管理ツールの一部です。Microsoft では、本稼働環境で 32 ビット版の Exchange Server 2007 を実行することはサポートされていません。管理ツールには、「Exchange Server 2007 システム要件」に記述したような例外があります。
ゲートウェイマシンには、32 ビット版の管理ツールのみをインストールします。64 ビット版のオペレーティングシステム上に 32 ビット版のツールをインストール、または両方の版のツールをインストールすると、予測不能な動作が発生する可能性があります。
32 ビット版の管理ツールは、次の Microsoft Web サイトからダウンロードできます。
http://go.microsoft.com/fwlink/?LinkID=82335
ダウンロードしてインストールするツールのバージョンは、残りの Exchange 環境にインストールされている Exchange Server 2007 バージョンと一致するようにしてください。
管理ツールのインストールを開始する前に、Microsoft Windows PowerShell 1.0 および Microsoft .NET 2.0 Framework がインストールされていることを確認してください。
インストールされている必要のあるパッケージは、次の 2 つです。
-
Microsoft Windows PowerShell 1.0
-
Microsoft .NET 2.0 Framework
Microsoft Windows PowerShell 1.0
Exchange 管理ツールは、Microsoft PowerShell の拡張 (またはスナップイン) として実装されます。現在は、PowerShell version 1.0 のみがサポートされ、サーバーにはこれをインストールする必要があります。
http://go.microsoft.com/fwlink/?LinkID=75790&clcid=0x09
PowerShell 環境では、メッセージのログがイベントビューアに記録されます。標準インストールされた PowerShell では、「PowerShell」と「Windows PowerShell」の 2 つのイベントログが作成されます。PowerShell イベントログは、ゲートウェイが PowerShell 実行時環境を作成するときに使用されます。書き込み操作がイベントログへの書き込みに失敗すると、PowerShell 環境は起動されず、ゲートウェイの PowerShell 関連のアクションは失敗します。この問題を防ぐには、イベントログを定期的に監視してクリーンアップするか、メッセージを上書きするように設定します。
Microsoft .NET 2.0
PowerShell を使用するには、Microsoft .NET 2.0 Framework をインストールする必要があります。この Framework はデフォルトでイントールされません。 次の場所にある Microsoft Download Center からインストールできます。
http://www.microsoft.com/downloads/details.aspx?familyid=0856EACB-4362- 4B0D-8EDD-AAB15C5E04F5
- © 2010, Oracle Corporation and/or its affiliates