LDAP アダプタを使用して LDAP パスワードを同期するには、次の作業を実行します。
LDAP リソースアダプタを設定します。
パスワード同期機能を有効にします。
パスワード同期をサポートするように LDAP リソースアダプタを設定するには、次の手順を使用します。
LDAP Password ActiveSync Form を Identity Manager にインポートします。このフォームは、$WSHOME/sample/forms/LDAPPasswordActiveSyncForm.xml で定義されています。
リソースの Active Sync ウィザードで、入力フォームを「LDAP Password ActiveSync Form」に設定します。
LDAP リソースアダプタでパスワード同期を有効にするために、Identity Manager にはカスタム JSP ページが用意されています。管理者はこのページで次の操作を行えます。
任意の LDAP リソースアダプタでパスワード同期を有効にする
パスワードキャプチャープラグインのインストールに必要な設定 LDIF ファイルを生成する
必要に応じて、パスワード暗号化キーおよびパスワード暗号化ソルトを再生成する。これはオプションの機能です。
LDIF ファイルは、次の 3 つのエントリで構成されます。
スキーマの変更。idmpasswd オペレーショナル属性の使用を許可するように Directory Server スキーマを更新します。
プラグインの定義。プラグインを Directory Server に登録し、プラグイン有効にします。
プラグインの設定。プラグインの基本的な設定を行います。たとえば、難読化されたパスワード暗号化キーは、この設定エントリに含まれます。
これらの機能を実装するには、次の手順を使用します。
Identity Manager の「パスワード同期の設定」ページを開きます。このページには、http://PathToIdentityManager/configure/passwordsync.jsp からアクセスします。
「リソース」メニューから、パスワードの同期に使用する LDAP リソースを選択します。
「アクション」メニューから、「パスワード同期の有効化」を選択します。
「OK」をクリックします。ページが再描画され、「アクション」メニューに新しい項目が表示されます。
「アクション」メニューから、「プラグイン設定 LDIF をダウンロードします」を選択します。
「OK」をクリックします。ページが再描画され、いくつかの新しいオプションが表示されます。
「Directory Server のバージョン」メニューからバージョンを選択します。
「オペレーティングシステムタイプ」メニューから、リソースのオペレーティングシステムを選択します。
「プラグインのインストールディレクトリ」フィールドに、プラグインをインストールするホスト上のディレクトリを入力します。
「OK」をクリックして、LDIF ファイルを生成およびダウンロードします。必要に応じて、ここで暗号化キーを再生成してもかまいません。
「アクション」メニューから、「暗号化キーを再生成します」を選択します。
「OK」をクリックします。暗号化パラメータが更新されます。
Directory Server ユーザーがデフォルトのオブジェクトクラス (person、organizationalPerson、または inetorgperson) を持たない場合は、「プラグイン設定 LDIF をダウンロードします」を選択したときに作成される LDIF ファイルを編集する必要があります。idm-objectclass 属性で指定したデフォルト値を、環境に実装されているオブジェクトクラスに置換する必要があります。これにより、プラグインはパスワードの変更をキャプチャーできるようになります。
たとえば、ユーザーが account、posixaccount、および shadowaccount オブジェクトクラスで定義されている場合、idm-objectclass 属性に指定されているデフォルト値を、これらのオブジェクトクラスのいずれか (複数可) で置換します。
たとえば、次のようにします。
idm-objectclass: account idm-objectclass: posixaccount |
複数値属性は、コンマ区切りの文字列で指定しないでください。一致させる idm-objectclass の値は、LDIF 設定に 1 行に 1 つずつ入力する必要があります。idm-objectclass 値のいずれかに一致するエントリに対してパスワードがキャプチャーされます。
パスワード同期を有効にしたら、リソースの Active Sync ウィザードパラメータページの「リソース固有の設定」ページに、次の属性が表示されます。
パスワード同期の有効化
パスワード暗号化キー
パスワード暗号化ソルト
「パスワード同期の有効化」フィールドのみ、このページで変更できます。暗号化属性は、JSP ページでのみ更新するようにしてください。