LDAP に接続するときは、管理者アカウント CN=Directory Manager を使用するのではなく、Identity Manager サービスアカウントを作成するようにしてください。LDAP Directory Server 管理ツールを使用して、各ベースコンテキストで ACI (アクセス制御命令) によってアクセス権を設定します。
ACI でのアクセス権をソースに基づいて設定します。アダプタからアイデンティティー情報の源泉となるソースに接続する場合は、読み取り、検索、および (場合によっては) 比較のアクセス権のみを設定します。アダプタを書き戻し用に使用する場合は、書き込みと (場合によっては) 削除のアクセス権を設定します。
更新履歴ログの監視にアカウントを使用する場合は、cn=changelog で ACI も作成するようにしてください。更新履歴ログのエントリに対しては書き込みも削除もできないため、アクセス権は読み取りと検索のみに設定するとよいでしょう。
LDAP アダプタは、別名を管理できます。ただし、getUser の呼び出しが実行される場合、別名が逆参照されて、アダプタは参照先オブジェクトを返します。結果として、アダプタは別名オブジェクト自体の属性を検索しません。
これは、JNDI のデフォルトが次の設定になっているために発生します。
java.naming.ldap.derefAliases=always
このプロパティーは、次の行が含まれる jndi.properties ファイルを作成することでグローバルに変更できます。
java.naming.ldap.derefAliases=never
jndi.properties ファイルは、Java ライブラリパス ($WSHOME/WEB-INF/classes など) に配置する必要があります。変更を有効にするために、アプリケーションサーバーを再起動します。
同期ポリシーを編集するときは、「変更者フィルタ」フィールドの値を指定してください。標準の値は、このアダプタで使用される管理者の名前です。管理者の名前を入力すると、無限ループが発生することを防ぐことができます。エントリの形式は、cn=Directory Manager です。