Sun Java System Directory Server Enterprise Edition 6.3 インストールガイド

オブジェクトの有効化と無効化の設定と同期

「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けると、Directory Server と Active Directory のソース間でオブジェクトの有効化と無効化 (Active Directory では有効無効) を同期させることができます。


注 –

有効化と無効化を Windows NT ディレクトリソースと同期させることはできません。


図 6–42 オブジェクトの有効化と無効化の同期

このパネルでは、有効化および無効化されたオブジェクトを検出して Sun と Active Directory の間でそれらを同期させる方法を指定します。

Procedureオブジェクトの有効化と無効化を同期させる

  1. 「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けます。

  2. 次のいずれかのオプションを有効にして、Identity Synchronization for Windows でオブジェクトの有効化と無効化を検出し、同期させる方法を指定します。

Directory Server ツールとの相互運用

Directory Server コンソールまたはコマンド行ツールを使用してオブジェクトを有効化または無効化する場合は、このオプションを選択します。このオプションを選択すると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。また、ほかのロール (cn=nsdisabledrole, database suffix など)、またはほかのロール内に入れ子にされたロール (cn=nsdisabledrole, database suffixcn=nsmanageddisabledrole, database suffix など) を使用して無効化されたオブジェクトも検出できなくなります。


注 –

「Directory Server ツールと相互運用」オプションを有効にすると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。さらに、ほかのロールによって無効にされたオブジェクトも検出できなくなります。

たとえば、cn=nsdisabledrole, database suffix などのロール、またはほかのロール内で入れ子にされている cn=nsdisabledrole, database suffix cn=nsmanageddisabledrole, database suffix などのロールがこれに該当します。


「Directory Server ツールとの相互運用」の表に、「Directory Server ツールと相互運用」オプションを有効にした場合に Identity Synchronization for Windows がオブジェクトの有効化と無効化どのようにを検出し、同期させるかを示します。

表 6–1 Directory Server ツールとの相互運用

有効化 

無効化 

Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールが削除された場合にのみ有効化を検出します。

Identity Synchronization for Windows は、エントリの nsroledn 属性に cn=nsmanageddisabledrole, database suffix ロールが含まれる場合にのみ無効化を検出します。

Active Directory からのオブジェクト有効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールを削除することでオブジェクトを有効化します。

Active Directory からのオブジェクト無効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトに cn=nsmanageddisabledrole, database suffix ロールを追加することでオブジェクトを無効化します。

Directory Server の nsAccountLock 属性の直接修正

Directory Server の有効化と無効化が Directory Server のオペレーショナル属性 nsAccountLock に基づく場合は、この方法を使用します。


注 –

「Directory Server の nsAccountLock 属性を直接修正」オプションを有効にすると、Identity Synchronization for Windows では、Directory Server コンソールまたはコマンド行ユーティリティーを使用して有効化または無効化されたオブジェクトが検出されなくなります。


この属性は、オブジェクトの状態を次のように制御します。

表 6–2 Directory Server の nsAccountLock 属性の直接修正

有効化 

無効化 

Identity Synchronization for Windows は、nsAccountLock 属性が true に設定されている場合にのみ、無効化されたオブジェクトを検出します。

Identity Synchronization for Windows は、nsAccountLock 属性に値がないか、または false に設定されている場合にのみ、有効化されたオブジェクトを検出します。

Active Directory からのオブジェクト無効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を削除します。

Active Directory からのオブジェクト有効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を true に設定します。

Directory Server のカスタムメソッドの使用

Directory Server の有効化と無効化が Sun Java System Access Manager (従来の Sun JES Identity Server) などの外部アプリケーションによって排他的に制御される場合は、この方法を使用します。

Directory Server のカスタムメソッドを設定する場合は、次の方法を指定します。


注 –

「Directory Server のカスタムメソッドを使用」オプションを有効にすると、ディレクトリへのアクセスが Access Manager などの外部アプリケーションによって制御されている場合を除き、Identity Synchronization for Windows はオブジェクトをディレクトリからロックアウトできなくなります。


有効化と無効化のカスタムメソッドを設定するには、「設定」ボタンをクリックして「Directory Server のカスタムメソッドの設定」ダイアログボックスを表示します。

図 6–43 有効化と無効化のカスタムメソッドの設定

このダイアログボックスでは、無効化属性を指定し、プログラムがオブジェクトの状態を検出および設定するときに使用できる値を指定します。

このダイアログボックスには次の機能があります。

ProcedureDirectory Server と Active Directory の間でオブジェクトの状態を検出し、同期するように Identity Synchronization for Windows を設定する

  1. 「アクティブ化状態の属性」ドロップダウンリストから属性を選択します。

  2. 「新規」ボタンをクリックし、表の「値」列に値を追加します。

  3. 「値」列の各エントリと同じ行の「状態」列をクリックし、表示されるドロップダウンリストから「有効」または「無効」を選択します。

    図 6–44 状態の選択

    状態を選択します。

    たとえば、Access Manager を使用している場合は、次のように指定します。

  4. 「アクティブ化状態の属性」ドロップダウンリストから inetuserstatus 属性を選択します。

  5. 「新規」ボタンをクリックし、表の「値」列に activeinactive、および deleted の各属性値を入力します

  6. 各値に対応する「状態」列をクリックし、次のように、「有効」または「無効」を選択します。

    • 値なし」: 有効

    • active」: 有効

    • inactive」: 無効

    • deleted」: 無効

    • ほかのすべての値」: 無効

    「Directory Server のカスタムメソッドの使用」では、この inetuserstatus の例に基づいて、「Directory Server のカスタムメソッドを使用」オプションを有効にした場合に Identity Synchronization for Windows が有効化と無効化の検出と同期を行う方法を説明します。

    値 

    状態 

    結果 

    値なし

    有効 

    inetuserstatus 属性が存在しないか、または値を持たない場合に、有効なオブジェクトとして検出されます。

    active

    有効 

    属性値が active の場合に、有効なオブジェクトとして検出されます。

    inactive

    無効 

    属性値が inactive の場合に、無効なオブジェクトとして検出されます。

    deleted

    無効 

    属性値が deleted の場合に、無効なオブジェクトとして検出されます。

    ほかのすべての値:

    無効 

    属性が持つ値が表に指定されていない場合に、無効なオブジェクトとして検出されます。 

    有効化と無効化の設定

    「値」と「状態」の表を設定すると、「有効化される値」「無効化される値」のドロップダウンリストが自動的に次のように生成されます。

    • 「有効化される値」リストには、状態が「有効」のすべての値が含まれます (「値なし」「active」など)。

    • 「無効化される値」リストには、状態が「無効」のすべての値が含まれます (「inactive」「deleted」 など)。

    • 「ほかのすべての値」の値はどちらのリストにも含まれません。

      Active Directory から同期されるオブジェクトを Identity Synchronization for Windows が有効化または無効化する方法を指定するには、「有効化される値」と「無効化される値」のいずれかまたは両方のドロップダウンリストから値を選択します。

    • 有効化される値」: オブジェクトの有効化状態を制御します。

      • 値なし」: オブジェクトに「active」の値が含まれていない場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。

      • active」: オブジェクトに「active」の値が含まれている場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。

    • 無効化される値」: オブジェクトの有効化状態を制御します。

      • inactive」または「deleted」: Identity Synchronization for Windows は Directory Server 側のオブジェクトの状態を無効に設定します。

      • なし」: 有効な設定ではありません。値を選択してください。


      注 –

      無効化される値を指定してください。指定しない場合、設定は無効となります。


      設定が完了した「Directory Server のカスタムメソッドの設定」ダイアログボックスの図を次に示します。

    図 6–45 設定が完了したダイアログボックスの例

    設定が完了した「Directory Server のカスタムメソッドの設定」ダイアログボックスの例