使用上の注意

ここでは、Active Directory リソースアダプタの使用に関連する依存関係と制限について示します。 説明する内容は次のとおりです。

• 「パスワード履歴の確認」

• 「Microsoft Exchange Server 2000 および 2003 のサポート」

• 「Exchange 2007 のサポート」

• 「Active Sync の設定」

• 「パススルー認証用のドメインの指定」

• 「ゲートウェイタイムアウト」

パスワード履歴の確認

エンドユーザーが自分のパスワードを変更するときに Active Directory アカウントのパスワード履歴を確認するには、AD パスワードを入力する必要があります。AD リソース上でこの機能を有効にするには、「変更時にユーザーがパスワードを入力」リソース属性を 1 に設定し、WS_USER_PASSWORD 属性のタイプを encrypted にしてアカウント属性に追加します。WS_USER_PASSWORD は、Identity Manager ユーザー属性およびリソースユーザー属性として追加する必要があります。

waveset.properties ファイル内の sources.ResourceName.hosts プロパティーを使用して、Active Sync を使用してリソースの同期を行うクラスタ内のホストを選択できます。ResourceName は、リソースオブジェクトの名前に置き換える必要があります。

Microsoft Exchange Server 2000 および 2003 のサポート

Microsoft Exchange Server 2000 および 2003 をサポートするには、次のアカウント属性を有効にします。

• homeMDB

• homeMTA

• mailNickname

• msExchHomeServerName

次のアカウント属性はデフォルトでスキーママップに表示され、Exchange アカウントの管理にも使用されます。

• garbageCollPeriod

• mDBOverHardQuotaLimit

• mDBOverQuotaLimit

• mDBStorageQuota

• mDBUseDefaults

Exchange Server の属性を管理するのに Active Directory リソースを使用していない場合、Identity Manager で Active Directory アカウントを正常にプロビジョニングするには、これらのアダプタのスキーママップからこれらの属性を削除する必要があります。

Exchange Server 2000/2003 と 2007 がインストールされた混合 Microsoft Exchange 環境は管理可能です。この Active Directory リソースが混合環境の管理に使用されず、Exchange Server 2007 のみが存在する場合は、前述の指示に従って、Exchange 属性をスキーマから削除します。

Active Directory アダプタは、プリンタ、コンピュータ、またはその他の Active Directory オブジェクトをサポートするように変更できます。次の例は、プリンタオブジェクトをサポートするように、該当する Java クラス内の XML コードを変更する方法を示しています。

<ObjectType name=’Printer’ icon=’group’>
    <ObjectClasses operator=’AND’>
       <ObjectClass name=’printQueue’/>
    </ObjectClasses>
    <ObjectFeatures>
       <ObjectFeature name=’create’/>
       <ObjectFeature name=’update’/>
       <ObjectFeature name=’delete’/>
    </ObjectFeatures>
    <ObjectAttributes idAttr=’distinguishedName’ displayNameAttr=’cn’ 
        descriptionAttr=’description’>
       <ObjectAttribute name=’cn’ type=’string’/>
       <ObjectAttribute name=’description’ type=’string’/>
       <ObjectAttribute name=’managedby’ type=’string’/>
       <ObjectAttribute name=’distinguishedName’ type=’string’/>
    </ObjectAttributes>
 </ObjectType>

プリンタオブジェクトをサポートするためには、少なくとも 1 つの新しいフォームを作成します。

Windows Active Directory リソースによって Exchange 2000 の連絡先を管理できるようにするには、オブジェクトクラスを contact に変更し、password、accountId、および expirePassword リソース属性を削除します。

Exchange 2007 のサポート

Microsoft Exchange Server 2007 は、Windows Server 2003 R2 または Windows Server 2003 Service Pack 1 以上でのみサポートされます。

Active Directory アダプタでは、デフォルトで Exchange 2007 電子メールアカウントは管理されません。これらのアカウントのサポートを有効にするには、次の操作を実行します。

• Exchange 2007 Support リソースパラメータを選択します。

• Exchange Recipient Administrators グループのメンバーであり、Windows ドメインにログインされているユーザーとして、ゲートウェイが動作していることを確認します。

• 次のアカウント属性をスキーママップに追加します。これらの属性の「必須」チェックボックスは選択しないでください。

属性名	説明
RecipientType (文字列)	リソースに対するユーザータイプ。Exchange 2007 対応のリソースでのアカウントの作成中に必要となります。指定可能な値は次のとおりです。  - User (Active Directory 専用ユーザー)  - UserMailbox (ローカルメール記憶領域を持つ Active Directory および Exchange ユーザー)  - MailUser (ローカルメール記憶領域を持たない Active Directory および Exchange ユーザー)  Active Directory 専用ユーザー (RecipientType = User) から Exchange ユーザータイプ (RecipientType UserMailbox または MailUser) への変更時を除いて、この属性は読み取り専用です。RecipientType を User に戻したり、MailUser を UserMailbox (およびその逆) に変更したりすることはできません。
Database (文字列)	ユーザーのメールボックスを格納するデータベース。この値は、Server\StorageGroup\MailboxDatabase の形式で指定する必要があります。RecipientType が UserMailbox に設定されている場合は、この属性は値を持つ必要があります。RecipientType のほかの値がある場合は、この属性は無視されます。
ExternalEmailAddress (文字列)	Exchange 組織外部の電子メールアドレス。この属性は、RecipientType MailUser に対して Exchange 組織で一意の値に設定する必要があります。RecipientType のほかの値がある場合は、この属性は無視されます。

Active Sync の設定

Active Sync は常に同じドメインコントローラに接続する必要があるので、「子ドメインの検索」リソースパラメータが選択されていない場合は、特定のドメインコントローラのホスト名を指定するように LDAP ホスト名を設定します。「子ドメインの検索」オプションが選択されている場合は、グローバルカタログホスト名フィールドに、特定のグローバルカタログサーバーを設定します。

新しいドメインコントローラに切り替えたときに発生する繰り返しイベントの数を制限する方法については、第 52 章Active Directory Synchronization Failoverを参照してください。

パススルー認証用のドメインの指定

デフォルト設定では、ユーザー ID とパスワードのみを送信することによって、パススルー認証が実現されます。これらの 2 つの属性は、w2k_user および w2k_password として、リソースオブジェクトの XML の AuthnProperties 要素で設定されます。ドメイン指定がない場合は、ゲートウェイで既知の全ドメインが検索され、ユーザーを含むドメイン内のユーザー認証が試みられます。

信頼されたマルチドメイン環境では、次の 2 つの状況が考えられます。

• すべてのドメインに同期されたユーザー/パスワードの組み合わせが含まれる。

• ユーザー/パスワードの組み合わせがドメインに依存する。

ユーザー/パスワードの組み合わせが同期される場合は、Active Directory リソースが共通リソースとなるように設定します。共通リソースの設定については、『Business Administrator's Guide』を参照してください。

ユーザー/パスワードの組み合わせがドメインに依存する場合、およびユーザーがドメイン情報を知るように要求される場合は、ログイン画面でドメイン情報を入力することをユーザーに許可できます。このオプションは、共通リソースを含む組み合わせで使用できます。

ログインページでドメインの入力をユーザーに許可するには、リソースオブジェクトの XML で <AuthnProperties> 要素に次のプロパティーを追加します。

<AuthnProperty name=’w2k_domain’ displayName=’Domain:’ formFieldType=’text’ 
dataSource=’user’ doNotMap=’true’/>

グローバルカタログにはフォレスト間の情報は含まれていないため、信頼される複数のドメインと Active Directory フォレストを含む環境では、これらの設定のいずれかを使用した認証に失敗する可能性があります。ドメイン数がロックアウトのしきい値よりも大きい場合は、ユーザーが不正なパスワードを入力すると、ユーザーのドメインでアカウントがロックアウトされる可能性もあります。

複数のゲートウェイ (フォレストごとに 1 つずつ) が配備されている場合にのみ、フォレスト間のユーザー管理が可能です。この場合、ユーザーがドメインを指定する必要がなく、アダプタごとに認証用に事前定義されたドメインを使用するようにアダプタを設定できます。これを実現するには、リソースオブジェクトの XML で <AuthnProperties> 要素に次の認証プロパティーを追加します。

<AuthnProperty name=’w2k_domain’ dataSource=’resource attribute’ 
value=’MyDomainName’/>

ユーザーを認証するドメインで MyDomainName を置き換えます。

ユーザーがドメインに存在し、パスワードが同期されない場合は、ドメインでログインに失敗します。

1 つの Login Module Group で、ドメイン情報用に複数のデータソースを使用することはできません。

ゲートウェイタイムアウト

Active Directory アダプタでは、RA_HANGTIMEOUT リソース属性を使用してタイムアウト値を秒単位で指定できます。この属性は、ゲートウェイに対する要求がタイムアウトしてハングしているとみなされるまでの時間を制御します。

次のように、この属性を Resource オブジェクトに手動で追加する必要があります。

<ResourceAttribute name=’Hang Timeout’ displayName=’com.waveset.adapter.RAMessages:
   RESATTR_HANGTIMEOUT’ type=’int’ description=’com.waveset.adapter.RAMessages:
   RESATTR_HANGTIMEOUT_HELP’ value=’NewValue’>
 </ResourceAttribute>

この属性のデフォルト値は 0 です。これは Identity Manager がハングした接続を確認しないことを表します。