この節では、Identity Synchronization for Windows がユーザーオブジェクトの作成および双方向のパスワード変更操作を Directory Server ソースと Active Directory ソースの間で同期するときに使用する配備シナリオについて説明します。
Sun Java System Directory Server を実行しているマシン (ホスト名: corp.example.com)
Windows 2000 Server で Active Directory を実行しているマシン (ホスト名: sales.example.com)
このシナリオでは Windows NT を使用していませんが、Identity Synchronization for Windows では NT ドメインとの同期もサポートしています。
この配備シナリオで使用される同期の要件 (ノード構造と関連の属性値) を次の図に示します。
このシナリオでは、次のような 2 つの目標があります。
ユーザーのパスワードをユーザーサブツリー (Directory Server では ou=people、Active Directory では cn=users) 間で双方向に同期すること。つまり、ユーザーのパスワードが一方のディレクトリで変更されると、他方のディレクトリで関連ユーザーにパスワードの変更が同期されます。
たとえば Directory Server で ou=people コンテナの uid=Jsmith のパスワードを変更すると、新しいパスワードは Active Directory で cn=users コンテナの cn=James Smith に自動的に同期されます。
ユーザーオブジェクトの作成操作を Directory Server ピープルサブツリーから Active Directory ユーザーサブツリーへの方向のみで同期すること。
たとえば指定された一連の属性で新しいユーザー uid=WThompson を ou=People コンテナに作成する場合、Identity Synchronization for Windows は Active Directory で同じ属性を使用して新しいアカウント cn=William Thompson を cn=Users コンテナに作成します。
Identity Synchronization for Windows では、同じタイプの複数の同期ソースをサポートします。たとえば配備や複数の Active Directory ドメインで複数の Directory Server を使用できます。
作成、変更、および削除の同期設定は、ディレクトリの全体でグローバルであり、個々のディレクトリソースに対して指定することはできません。ユーザーオブジェクトの作成を Directory Server から Active Directory へ同期する場合、すべての Directory Server からインストール時に設定したすべての Active Directory ドメインや Windows NT ドメインにユーザーオブジェクトの作成が伝播します。
すべての製品コンポーネントを単一の Solaris システム上に物理的に配備して、Active Directory ドメインはコンポーネントがインストールされていない別の Active Directory ドメインコントローラに配置した様子を次の図に示します。
corp.example.com は、Solaris オペレーティングシステム上に Directory Server をインストールしたマシンです。同期される Directory Server インスタンスのルートサフィックスは dc=corp,dc=example,dc=com です。
このトポロジは次を含みます。
Identity Synchronization for Windows コアコンポーネント
Identity Synchronization for Windows ディレクトリサーバーコネクタ
Identity Synchronization for Windows ディレクトリサーバープラグイン
Identity Synchronization for Windows 設定ディレクトリ (同期される Directory Server インスタンスとは別の Directory Server インスタンス上にある)