次の図に示すように、Identity Synchronization for Windows は一連のコアコンポーネント、および任意の数の個々のコネクタとコネクタサブコンポーネントで構成されます。これらのシステムコンポーネントは、Sun Java System Directory Server (Directory Server) ディレクトリと Windows ディレクトリの間でパスワードおよびユーザー属性の更新を同期することに対応しています。
この節では、これらの Identity Synchronization for Windows コンポーネントについて定義し、説明します。
ウォッチドッグとは、個々のバックグラウンド Java プロセスを起動、再起動、および停止する、Identity Synchronization for Windows Java テクノロジベースのプロセス (Java プロセス) です。ウォッチドッグは、セントラルロガー、システムマネージャー、およびコネクタを起動および監視します。ウォッチドッグは、サブコンポーネント、Message Queue、または Identity Synchronization for Windows コンソールを監視しません。
ウォッチドッグは、コアコンポーネントをインストールした場所にインストールされ、SolarisTM ソフトウェアデーモン、Red Hat Linux デーモン、または Windows サービスとして起動できます。
Identity Synchronization for Windows をインストールするときは、先にコアコンポーネントをインストールしてから、使用している環境に合わせて設定します。
Identity Synchronization for Windows は、自身の設定データを Directory Server の 設定ディレクトリに格納します。設定ディレクトリはインストールされません。
コンソール、システムマネージャー、コマンド行ユーティリティー、およびインストーラのいずれも、次のような製品の設定データを設定ディレクトリで読み書きします。
各コンポーネントの健全性に関するインストール情報
ディレクトリ、ドメイン、コネクタ、およびディレクトリサーバープラグインの設定情報
コネクタの状態
ユーザーやグループの作成、削除、および属性変更の指示を記述した同期設定
同期される属性および Active Directory と Directory Server の間、または Windows NT と Directory Server の間の属性マッピング
各ディレクトリトポロジでの同期ユーザーリスト (SUL)
ログ設定
Identity Synchronization for Windows では、製品コンポーネントの設定および管理タスクのすべてを集中化するコンソールを提供しています。
コンソールを使用すると、次の操作を実行できます。
同期されるディレクトリソースを設定する
パスワードだけでなく、同期されるユーザーエントリ属性のマッピングを定義する
ディレクトリまたはドメイントポロジ内のユーザーおよび属性を同期の対象または対象外として指定する
システム状態を監視する
同期を開始および停止する
Identity Synchronization for Windows では、次のタスクをコマンド行から直接実行できるようにするコマンド行ユーティリティーも提供します。
設定および SSL (Secure Sockets Layer) 設定に基づいて証明書情報を表示する
Identity Synchronization for Windows の設定パスワードを変更する
指定された Directory Server ソースについてディレクトリサーバープラグインを設定する
Sun Java System Directory Server ソースを Identity Synchronization for Windows で使用できるように準備する
インストールまたは設定プロセスを完了させるために必要な手順を表示したり、インストール済みのコネクタ、システムマネージャー、および Message Queue の状態を表示したりする
設定ディレクトリでのコネクタの状態をアンインストール済みにリセットする
インストールプロセスの一環として、2 つのディレクトリで既存のユーザーを同期およびリンクしたり、ディレクトリを事前に生成したりする
アカウントのロックアウトを有効または無効にする
グループの同期を有効または無効にする
同期を開始および停止する
製品のコマンド行ユーティリティーの詳細とその使用方法については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。
Identity Synchronization for Windows システムマネージャーは、次の処理を実行する独立した Java プロセスです。
製品のバックエンドのネットワーク機能を利用して、コネクタに設定の更新を動的に配信する
各コネクタとコネクタのすべてのサブコンポーネントについて状態を維持する
2 つのディレクトリを最初に同期するときに使用される idsync resync 処理を調整する
コネクタは、遠隔の地域に広く分散されるようにインストールできます。そのため、すべてのロギング情報を集中化することには、管理上大きな価値があります。このように集中化することで、管理者は同期アクティビティーを監視したり、エラーを検出したり、システム全体の健全性を評価したりすることが一箇所から行えるようになります。
管理者は、セントラルロガーのログを使用して、次のようなタスクを実行できます。
システムが正常に実行していることを検証する
個々のコンポーネントやシステム全体の問題を検出して解決する
個々またはシステム全体の同期アクティビティーを監査する
ディレクトリソース間でユーザーのパスワードの同期を追跡する
監査ログ。システムの毎日のアクティビティーに関する情報を提供します。ユーザーのパスワードがディレクトリ間で同期されるといったイベントが含まれます。監査ログに記録される情報のレベルを制御するには、ログメッセージで提供される詳細度を増減させます。
エラーログ。深刻なエラーおよび警告であるとみなされる状況に関する情報が提供されます。エラーログのすべてのエントリは注目に値するため、エラーが記録されないようにすることはできません。エラー状況が発生すると、必ずエラーログに記載されます。
Identity Synchronization for Windows では、すべてのエラーログメッセージが監査ログにも書き込まれるため、ほかのイベントとの相関性がわかりやすくなります。
コネクタは、単一のデータソースタイプでの同期プロセスを管理する Java プロセスです。コネクタは、データソースでユーザーによる変更を検出し、Message Queue を介してこれらの変更をリモートコネクタに発行します。
Identity Synchronization for Windows では、次のディレクトリ固有のコネクタを提供します。これらのコネクタは、ディレクトリやドメイン間でユーザー属性およびパスワード更新を双方向に同期します。
ディレクトリサーバーコネクタ。Directory Server の単一ルートサフィックス (たとえば、サフィックス/データベース) をサポートします。
Active Directory コネクタ。Windows 2000 または Windows 2003 Server Active Directory ソースの単一インスタンスをサポートします。複数のコネクタを使用することで追加ドメインに対応できます。
Windows NT コネクタ。Windows NT の単一ドメインをサポートします。
ウォッチドッグは、コネクタをインストールした場所にインストールされ、コネクタを起動、再起動、および停止します。詳細については、「ウォッチドッグプロセス」を参照してください。
サブコンポーネントは、コネクタとは独立して実行される軽量プロセスまたはライブラリです。コネクタは、Directory Server や Windows NT の内部でパスワードを収集するといった遠隔からアクセスできないネイティブリソースにアクセスするためにサブコンポーネントを使用します。
次のコネクタサブコンポーネントは、同期されるディレクトリで設定またはインストールされ、暗号化された接続を介して対応するコネクタと通信します。
Active Directory コネクタは、サブコンポーネントを必要としません。
ディレクトリサーバープラグインは、ディレクトリサーバーコネクタのサブコンポーネントです。同期される Directory Server ごとにディレクトリサーバープラグインを設定します。
このプラグインには、次の機能があります。
Active Directory と Directory Server の間のユーザー属性およびパスワードの同期について、双方向サポートを提供する (「オンデマンドパスワード同期を使用した平文パスワードの取得」を参照)
これまで Identity Synchronization for Windows では、2 方向のマルチマスターレプリケーション (MMR) のみをサポートしていました。これからは N 方向の MMR 環境でもディレクトリサーバープラグインが機能します。
使用しているインストールで Windows NT SAM レジストリとの同期が必要な場合は、Identity Synchronization for Windows のインストールプログラムによって、Windows NT コネクタとともに次の項目がプライマリドメインコントローラ (PDC) にインストールされます。
変更検出機能。セキュリティーログを監視してユーザーエントリやパスワードの変更イベントを検出して、その変更をコネクタに渡します。
パスワードフィルタ DLL。Windows NT ドメインコントローラで行われたパスワードの変更を収集して、安全に NT コネクタに渡します。
Identity Synchronization for Windows では、パブリッシュ/サブスクライブモデルの持続的なメッセージキューメカニズムである Sun Java System Message Queue (Message Queue) を使用して、属性およびパスワードの変更をディレクトリソース間で伝播させます。Message Queue は、ディレクトリソースの同期を管理するコネクタに対して、管理情報および設定情報も配信します。
Message Queue は、Java Message Service オープン標準を実装した企業向けのメッセージングシステムです。この仕様では、Java アプリケーションが分散環境でメッセージを作成、送信、受信、および読み取る共通の方法を提供する、一連のプログラミングインタフェースを記述しています。
Message Queue は、共通のメッセージサービスを使用してメッセージを交換するメッセージの発行元とサブスクライバで構成されます。このサービスは、1 つ以上の専用のメッセージ ブローカから成ります。メッセージブローカはメッセージキューへのアクセス制御、アクティブな発行元およびサブスクライバに関する情報の維持、およびメッセージが配信されたことの確認を行います。
Message Queue は次の処理を行います。
コネクタ間の信頼関係を確立する
すべてのコンポーネントのセキュリティーアクセス制御を単純化する
エンドツーエンドでのパスワード暗号化を容易にする
すべてのパスワード更新メッセージが確実に配信されるようにする
コネクタ間通信での複雑さやセキュリティーリスクを低減する
中央当局が設定情報を配布できるようにする
集中化された場所ですべてのコネクタログの集約に対応できるようにする