Identity Synchronization for Windows 6.0 をインストールする前、または Sun Java System Identity Synchronization for Windows 1 2004Q3 SP1 からバージョン 6.0 に移行する前に、インストールおよび設定プロセスを理解してください。
Identity Synchronization for Windows のインストール要件については、『Sun Java System Directory Server Enterprise Edition 6.3 リリースノート』の第 5 章「Identity Synchronization for Windows の修正されたバグと既知の問題点」を参照してください。
Identity Synchronization for Windows は、フランス語、ドイツ語、スペイン語、日本語、韓国語、簡体字中国語、繁体字中国語でインストールすることもできます。すべての言語が同じ配布にバンドルされています。
Identity Synchronization for Windows で多言語をサポートする場合は、UTF-8 エンコーディングを使用してください。
この章の内容は次のとおりです。
この節では、Identity Synchronization for Windows の単一ホストインストール手順について説明します。
一部のコンポーネントは、特定の順序でインストールします。そのため、すべてのインストール手順を注意深く読むようにしてください。
Identity Synchronization for Windows には実行手順リストが用意されており、インストールおよび設定プロセスを通して表示されます。この情報パネルには、製品のインストールおよび設定を成功させるために従う必要のあるすべての手順が表示されます。
インストールおよび設定のプロセスが進むにつれて、リストで完了したすべての手順が図 6–2 に示すようにグレー表示されます。
この節の残りの部分では、インストールおよび設定のプロセスの概要について説明します。
コアをインストールすると、次のコンポーネントがインストールされます。
Sun Java System Administration Server。ディレクトリサーバープラグインを設定し、管理フレームワークを提供します。
セントラルロガー。中央の場所にすべての監査およびエラーのロギング情報を集中化します。
システムマネージャー。設定の更新をコネクタに動的に配信し、各コネクタの状態を保守します。
コアをインストールする手順については、第 5 章「コアのインストール」で説明します。
コアをインストールしたらコンソールを使用して、同期されるディレクトリソースなど配備の特性のすべてを集中化された場所から初期設定します。
ディレクトリリソースを設定する手順については、第 6 章「コアリソースの設定」を参照してください。
ディレクトリサーバーコネクタをインストールする前に、同期されている優先および副 Directory Server のそれぞれについて Sun Java System Directory Server ソースを準備してください。
このタスクはコンソールから実行することも、idsync prepds サブコマンドを使用してコマンド行から実行することもできます。
Directory Server を準備する手順については、「Sun ディレクトリソースの準備」で説明します。
トポロジで設定されているディレクトリの数に応じて、任意の数のコネクタをインストールできます。コンソールとインストールプログラムの両方で、同期されるディレクトリとコネクタを関連付けるためにディレクトリラベルが使用されます。次の表に、ラベルの命名規則を示します。
表 4–1 ラベルの命名規則表 4–2 ラベルの命名例
コネクタ名 |
ディレクトリソース |
CNN100 |
ou=isw_data1 の SunDS1 |
CNN101 |
AD1 |
CNN102 |
ou-isw_data2 の SunDS1 |
CNN103 |
SunDS2 |
コネクタをインストールおよび設定する手順については、第 5 章「コアのインストール」を参照してください。
コネクタ、プラグイン、およびサブコンポーネントをインストールしたら、既存ユーザーの配備をブートストラップするために idsync resync コマンド行ユーティリティーを実行してください。このコマンドは、管理者が指定したマッチングルールを使用して、次の処理を実行します。
既存のエントリをリンクする (ユーザーをリンクする詳細については、「ユーザーのリンク」を参照)
リモートディレクトリの内容で空のディレクトリに生成する
Windows ディレクトリと Directory Server ディレクトリの両方のエントリが一意に識別されて、相互にリンクされている場合に、2 つの既存ユーザーの入力の間でパスワードを含む属性値を一括同期する
配備で既存ユーザーを同期する手順については、第 8 章「既存のユーザーおよびユーザーグループの同期」を参照してください。
製品をインストールしたら、次の操作を含む製品の配備を設定します。
同期されるディレクトリおよびグローバルカタログの設定
属性の変更およびオブジェクトの有効化/無効化に関する同期設定の指定
グループ同期の設定の指定
アカウントのロックアウトおよびロックアウト解除の同期設定の指定
(オプション) 設定されたディレクトリ間でユーザーエントリを作成および削除する同期設定の指定
この節では、次の設定要素について概念の概要を説明します。
ディレクトリ
同期設定
オブジェクトクラス
属性および属性マッピング
同期ユーザーリスト
関連する設定手順の一部については、第 6 章「コアリソースの設定」で説明します。
1 つ以上の Sun Java System Directory Server での単一ルートサフィックス (サフィックス/データベース)
Windows 2000 または Windows 2003 Server Active Directory フォレストでの単一 Active Directory ドメイン
単一 Windows NT ドメイン
ディレクトリタイプごとに任意の数を設定できます。
同期設定を使用して、オブジェクトの作成、オブジェクトの削除、パスワードなどの属性の変更が Directory Server ディレクトリと Windows ディレクトリの間で伝播する方向を制御します。同期フローオプションは次のとおりです。
Directory Server から Active Directory/Windows NT
Active Directory/Windows NT から Directory Server
双方向
Active Directory および Windows NT が含まれる設定では、Windows NT と Directory Server の間、および Active Directory と Directory Server の間の作成または変更で、異なる同期設定を指定する設定を保存することはできません。
リソースを設定するときは、オブジェクトクラスに基づいて同期するエントリを指定します。オブジェクトクラスは、どの属性が Directory Server と Active Directory の両方で同期できるかを決定します。
オブジェクトクラスは、Windows NT には該当しません。
Identity Synchronization for Windows では、2 種類のオブジェクトクラスをサポートします。
Structural オブジェクトクラス。選択された Directory Server から作成または同期される各エントリには、1 つ以上の Structural オブジェクトクラスが必要です。ドロップダウンメニューから Structural オブジェクトクラスを選択します。Directory Server では inetorgperson、Active Directory では User がデフォルトです。
Auxiliary オブジェクトクラス。
オブジェクトクラスおよび属性を設定する手順については、第 6 章「コアリソースの設定」を参照してください。
属性は、ユーザーエントリを説明する情報を保持します。各属性は、1 つのラベルと 1 つ以上の値があり、属性値として格納可能な情報の種類について標準の構文に従います。
属性はコンソールから定義できます。第 6 章「コアリソースの設定」を参照してください。
Identity Synchronization for Windows は、重要および作成ユーザー属性を次のように同期します。
重要属性。指定された変更同期設定に従って、属性が変更されたときは常に Directory Server ディレクトリと Windows ディレクトリの間で同期されます。
作成属性。指定されたオブジェクト作成同期設定に従って、新しいユーザーが作成されるときは常に Directory Server ディレクトリと Windows ディレクトリの間で同期されます。
必須の作成属性とは、対象ディレクトリで作成アクションを正常に完了するために「必須」であるとみなされる属性です。たとえば、Active Directory では、作成時に cn と samaccountname の両方が有効な値であることが期待されます。Directory Server では user オブジェクトクラスの inetorgperson を設定している場合、Identity Synchronization for Windows では、cn および sn が作成の必須属性であることが期待されます。
元のディレクトリから伝播される属性に値がない場合のみ、作成属性のデフォルトによってデフォルト値で対象ディレクトリの作成属性が更新されます。作成属性のデフォルトは、別の属性値を基にすることができます。「パラメータ化された属性のデフォルト値」を参照してください。
重要属性は、作成属性として自動的に同期されますが、逆は自動的に同期されません。作成属性は、ユーザー作成時のみ同期されます。
Identity Synchronization for Windows では、作成属性に対して別の作成属性または重要属性を使用して、パラメータ化されたデフォルト値を作成できます。
パラメータ化されたデフォルト属性値を作成するには、式文字列で既存の作成属性または重要属性の名前の前後にパーセント記号を付けて囲みます (%attribute_name%)。たとえば、homedir=/home/%uid% または cn=%givenName%. %sn% のようにします。
これらの属性のデフォルト値を作成するときは、次のガイドラインに従ってください。
作成式で複数の属性を使用することはできますが (cn=%givenName% %sn%)、%attribute_name% の属性は単一の値を持つ必要があります。
A=0 の場合、B は、デフォルト値 1 つだけを持つことができます。
パーセント記号を通常の文字として使用する場合は、円記号 (\\) を使用します 。たとえば diskUsage=0\\% のようにします。
循環式の置換条件を持つ式は使用しないでください (たとえば sn=%uid% および uid= %sn%)。
同期する属性を定義したら、Directory Server と Active Directory/Windows NT システムの間で属性名をマッピングし、相互に属性を同期できるようにします。たとえば Sun の inetorgperson 属性を Active Directory の user 属性にマッピングします。
重要属性と作成属性の両方で属性マップを使用し、それぞれのディレクトリタイプのすべての「必須の作成属性」で属性マップを設定してください。
Directory Server ディレクトリと Windows ディレクトリの両方で同期される特定ユーザーを定義するには、同期ユーザーリスト (SUL) を作成します。これらの定義により、平坦なディレクトリ情報ツリー (DIT) から階層型のディレクトリツリーへの同期が可能になります。
同期ユーザーリストの定義には、次の概念が使用されます。
ベース DN (Windows NT には該当しない)。別の SUL がより具体的である場合やフィルタによって除外されない場合に、その DN 内のすべてのユーザーが含まれます。
フィルタ。ユーザーのエントリ内の属性を使用して、ユーザーを同期から除外するか、同じベース DN を持つユーザーを複数の SUL に分割します。このフィルタは、LDAP フィルタ構文を使用します。
作成式 (Windows NT には該当しない)。新しいユーザーの作成先 DN を構築します。たとえば cn=%cn%,ou=sales,dc=example, dc=com としたときに、%cn% は、既存のユーザーエントリの cn の値で置換されます。作成式は、ベース DN で終わらせます。
SUL には 2 つの定義が含まれ、それぞれの定義ではディレクトリタイプのトポロジに関連して同期されるユーザーのグループを識別します。
一方の 定義では、同期される Directory Server ユーザーを識別します (たとえば ou=people, dc=example, dc=com)。
もう一方の定義では、同期される Windows ユーザーを識別します (たとえば cn=users, dc=example, dc=com)。
SUL の作成を準備する場合は、次の点を確認してください。
同期するユーザー。
同期から除外するユーザー。
新しいユーザーの作成先。
SUL を作成する詳細については、付録 D 「Identity Synchronization for Windows の同期ユーザーリストの定義と設定」を参照してください。
Windows 2000 でのデフォルトのパスワードポリシーは Windows 2003 で変更され、強力なパスワードがデフォルトで要求されます。
Identity Synchronization for Windows のサービスでは、たとえば Directory Server から Active Directory に対する resync -c の実行時のように、パスワードを持たないエントリの作成が必要なことがあります。したがって、Active Directory (Windows 2000 または 2003 の場合) または Directory Server でパスワードポリシーが有効な場合は、ユーザー作成エラーが発生することがあります。
Active Directory または Directory Server でパスワードポリシーを無効にする必要はありませんが、パスワードポリシーの要求に関連した問題を理解してください。
Windows 2003 Server Standard または Enterprise Edition 上の Active Directory とパスワードを同期する場合は、次のインストールの情報が重要です。
Windows にインストールする場合は、Active Directory コネクタを Solaris OS、Red Hat Linux、または Windows にインストールできます。
Active Directory コネクタは、Windows 2000 と Windows 2003 Server の両方の Active Directory と連携します。
Windows 2003 でディレクトリソース、グローバルカタログ、および同期ユーザーリストを作成する手順は、Windows 2000 の Active Directory での手順と同じです。
Windows Server 2003 では、デフォルトのパスワードポリシーで強力なパスワードが要求されますが、これは Windows 2000 でのデフォルトのパスワードポリシーと異なります。
この節では、Windows 2000、Windows 2003 Server、および Sun Java System Directory Server の Active Directory のパスワードポリシーが同期の結果に与える影響について説明します。
そのトポロジで要求されるパスワードポリシーを満たす Active Directory (または Directory Server) でユーザーを作成する場合は、ユーザーを 2 つのシステム間で適切に作成および同期することができます。両方のディレクトリソースでパスワードポリシーが有効な場合、パスワードは両方のディレクトリソースのポリシーを満たす必要があり、そうでないと同期されたユーザー作成は失敗します。
Active Directory でパスワードポリシー機能を有効にする場合は、Directory Server で同様の設定または同一のパスワードポリシーを有効にするようにしてください。
Active Directory と Directory Server の両方で一貫性のあるパスワードポリシーを作成できない場合は、パスワードおよびユーザー作成で信頼できるソースであるとみなすディレクトリソースでパスワードポリシーを有効にするようにしてください。ただし、一部のパスワードポリシー設定が原因で、ユーザーが想定どおりに作成できないことがあります。
Identity Synchronization for Windows はパスワードの期限切れを同期しません。
この節の内容は次のとおりです。
Directory Server パスワードポリシーに違反するパスワードを使用して Active Directory でユーザーを作成すると、それらのユーザーは Directory Server で作成および同期されますが、エントリはパスワードなしで作成されます。パスワードは新しいユーザーが Directory Server にログインするまで設定されません (ログインでオンデマンドパスワード同期がトリガーされる)。この時点では、パスワードが Directory Server パスワードポリシーに違反しているため、ログインは失敗します。
この状態から回復するには、次のいずれかを行います。
Active Directory への次回ログイン時に、ユーザーにパスワードを変更してもらいます。
Active Directory でユーザーパスワードを変更し、新しいパスワードが Directory Server パスワードポリシーの要件を満たすようにします。
Active Directory パスワードポリシーと一致しない Active Directory でユーザーを作成する場合、それらのユーザーは、Directory Server で作成されます。
Active Directory では、実際にユーザーを「一時的に」作成し、パスワードがパスワードポリシーの要件を満たさない場合にエントリを削除します。従って、Active Directory コネクタはこの一時的な追加を確認して、Directory Server にユーザーを作成します。ユーザーは Directory Server でパスワードを持たないため、そのユーザーとしてはだれもログインできません。また、これらのエントリは Active Directory で有効なエントリにリンクされません。削除が Active Directory から Directory Server へ同期されると、一時的に作成されたユーザーが自動的に削除されます。
ユーザーは、パスワードなしで Directory Server に作成されます。Directory Server は、エントリにパスワードが含まれていないかぎり、ユーザーの作成でパスワードポリシーを要求しません。
この状況から回復するには、Active Directory から Directory Server へ削除を同期することが推奨されます。または、ユーザーを Directory Server から削除してから、Active Directory パスワードポリシーに従うパスワードを使用して Active Directory にユーザーを追加できます。この方法では確実に、ユーザーが Directory Server で作成されて、適切にリンクされます。Directory Server ユーザーが Active Directory にはじめてログインしてパスワードを変更すると、そのパスワードは無効化されます。
ユーザーを Directory Server から削除せずに Active Directory ユーザーを新しいパスワードで再度追加しようとすると、ユーザーはすでに Directory Server に存在するため、Directory Server への追加は失敗します。エントリはリンクされないため、2 つの個別のアカウントをリンクするために idsync resync コマンドを実行してください。
idsync resync コマンドを実行する場合は、Directory Server のエントリにリンクされた Active Directory のアカウントのパスワードをリセットしてください。パスワードをリセットすると、Directory Server でそれらのパスワードが無効になり、次回ユーザーが新しい Active Directory パスワードを使用して Directory Server に対して認証を求めるときにオンデマンド同期が行われて Directory Server パスワードが更新されます。
再同期のような特定の状況では、Identity Synchronization for Windows はパスワードなしでアカウントを作成します。
Identity Synchronization for Windows がパスワードなしで Directory Server にエントリを作成するときは、userpassword 属性を {PSWSYNC}*INVALID*PASSWORD* に設定します。パスワードがリセットされるまで、ユーザーは Directory Server にログインできません。例外は、resync を -i NEW_USERS または NEW_LINKED_USERS オプションを指定して実行するときです。この場合、resync によって新しいユーザーのパスワードは無効になり、次回ユーザーがログインするときにオンデマンドパスワード同期がトリガーされます。
Identity Synchronization for Windows がパスワードなしで Active Directory にエントリを作成するときは、Active Directory パスワードポリシーを満たすようにランダムに選択された、強力なパスワードにユーザーのパスワードを設定します。この場合、警告メッセージがログに記録され、パスワードがリセットされるまでユーザーは Active Directory にログインできません。
Identity Synchronization for Windows の操作時に発生する可能性のあるシナリオの一部を次の表に示します。
この節では、パスワードポリシーが同期および再同期に与える影響について説明します。
これらの表は、すべての可能な設定シナリオを説明することを目的としていません。システムの設定はさまざまであるためです。この情報をガイドラインとして使用することで、パスワードが確実に同期され続けるようにすることができます。
表 4–3 パスワードポリシーが同期動作に与える影響
シナリオ |
結果 |
||||
---|---|---|---|---|---|
ユーザーの元の作成場所 |
ユーザーがパスワードポリシーを満たす場所 |
ユーザーの作成場所 |
|||
Directory Server |
Active Directory |
Directory Server |
Active Directory |
説明 |
|
Active Directory |
可 |
可 |
可 |
可 | |
可 |
不可 |
可 (「説明」を参照) |
不可 |
ユーザーは Directory Server に作成されます。ただし、削除が Active Directory から Directory Server へ同期される場合、このユーザーはただちに削除されます。 「Active Directory パスワードポリシー」の情報を参照してください。 |
|
不可 |
可 |
可 |
可 |
「Active Directory パスワードポリシー」の情報を参照してください。 |
|
不可 |
不可 |
可 (「説明」を参照) |
不可 |
ユーザーは Directory Server に作成されます。ただし、削除が Active Directory から Directory Server へ同期される場合、このユーザーはただちに削除されます。 「Active Directory パスワードポリシー」の情報を参照してください。 |
|
Directory Server |
可 |
可 |
可 |
可 | |
可 |
不可 |
可 |
不可 | ||
不可 |
可 |
不可 |
不可 | ||
不可 |
不可 |
不可 |
不可 |
表 4–4 パスワードポリシーが再同期動作に与える影響
シナリオ |
結果 |
||
---|---|---|---|
Resync コマンド |
ユーザーがパスワードポリシーを満たす場所 |
||
Directory Server |
Active Directory |
||
resync -c -o Sun |
N/A |
可 |
ユーザーは Active Directory に作成されますが、ログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
N/A |
不可 |
ユーザーは Active Directory に作成されますが、ログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
|
resync -c -i NEW_USERS | NEW_LINKED_USERS |
可 |
N/A |
ユーザーは Directory Server に作成され、ユーザーのパスワードはユーザーの最初のログイン時に設定されます。 「パスワードなしのアカウントの作成」を参照してください。 |
不可 |
N/A |
ユーザーは Directory Server に作成されますが、パスワードが Directory Server パスワードポリシーに違反しているため、ログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
|
resync -c |
可 |
N/A |
ユーザーは Directory Server に作成されますが、新しいパスワード値が Active Directory または Directory Server で設定されるまでログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
不可 |
N/A |
ユーザーは Directory Server に作成されますが、新しいパスワード値が Active Directory または Directory Server で設定されるまでログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
この節では、Active Directory および Directory Server のパスワードポリシーの例について説明します。
ユーザーはリセット後にパスワードを変更する必要があります
ユーザーはパスワードを変更することができます
20 個のパスワードを履歴に保存します
パスワードの有効期限は 30 日です
パスワードの有効期限が切れる 5 日前に警告を送信します
パスワード構文を確認します: パスワードは最短 7 文字です
パスワードの履歴を記録する: 20 日
パスワードの有効期間: 30 日
パスワードの変更禁止期間: 0 日
最小パスワード長: 7 文字
パスワードは、複雑さの要件を満たす必要がある: 有効
コアシステムのセントラルロガーの audit.log ファイルで、次のエラーメッセージを確認します。
Unable to update password on DS due to password policy during on-demand synchronization: |
WARNING 125 CNN100 hostname "DS Plugin (SUBC100): unable to update password of entry ’cn=John Doe,ou=people,o=sun’, reason: possible conflict with local password policy" |
Windows 2003 のパスワードポリシーの詳細は、http://www.microsoft.com/japan/technet/windowsserver/2003/technologies/directory/activedi rectory/stepbystep/strngpw.mspx を参照してください。
Sun Java System Directory Server のパスワードポリシーの詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の第 8 章「Directory Server のパスワードポリシー」を参照してください。
Directory Server から Windows Active Directory へパスワードの変更を伝播させる計画を立てている場合は、SSL を使用するように各 Active Directory を設定し、高度暗号化パックをインストールしてください。
Active Directory で LDAP over SSL を有効にしている場合は、Identity Synchronization for Windows Active Directory コネクタインストーラが Active Directory コネクタの SSL を自動的に設定できます。証明書は、次の URL で説明されているように、Microsoft 証明書サービスのエンタープライズルート認証局から自動的に取得できます。
http://support.microsoft.com/kb/247078/ja
ただし、技術メモ http://support.microsoft.com/default.aspx?scid=kb;en-us;321051 で説明されているように、LDAP over SSL はより簡単に設定できます。
この場合、SSL 通信を行うために信頼できる証明書が必要であると判断したときは、「Active Directory コネクタでの SSL の有効化」で説明するように、コネクタの証明書データベースに証明書を手動でインストールします。
この節では、インストールおよび設定の概要、および Identity Synchronization for Windows の配備時の選択内容の詳細について説明します。この節で説明するすべての情報を確認のうえ、インストールプロセスを開始する前にインストールチェックリストを完成してください。
設定ディレクトリのホストおよびポート。Identity Synchronization for Windows 設定情報が格納される Directory Server インスタンスの設定ディレクトリのホストおよびポートを指定します。
設定ディレクトリのポートとして SSL ポートを指定できます。その場合は、インストールプロセス時に SSL のポートを指定してください。
ルートサフィックス。設定ディレクトリのルートサフィックスを指定します。すべての設定情報がこのサフィックスの下に格納されます。
設定パスワード。機密性のある設定情報を保護するためのセキュアなパスワードを指定します。
ファイルシステムディレクトリ。Identity Synchronization for Windows をインストールする場所を指定します。コアは Directory Server 管理サーバーと同じディレクトリにインストールしてください。
未使用のポート番号。Message Queue インスタンス用に利用可能なポート番号を指定します。
管理サーバー。管理サーバー管理者が Directory Server にすでに存在する場合は、そのユーザー名およびパスワードを指定します。
Sun Java System ディレクトリスキーマ。設定ディレクトリからロードする Directory Server データを指定します。
ユーザーオブジェクトクラス (Directory Server のみ)。ユーザータイプを判断するために使用されるユーザーオブジェクトクラスを指定します。Identity Synchronization for Windows は、このオブジェクトクラスに基づいて、パスワード属性を含む属性のリストを派生します。このリストは、スキーマから生成されます。
同期される属性。Directory Server と Windows のディレクトリソースの間で 同期されるユーザーエントリ属性を指定します。
変更、作成、および削除のフロー。変更、作成、および削除が Directory Server と Windows のディレクトリソースの間で伝播する方法を指定します。
グローバルカタログ。グローバルカタログ (Active Directory のトポロジおよびスキーマ情報のリポジトリ) を指定します。
Active Directory スキーマコントローラ。Windows グローバルカタログから取得される Active Directory スキーマソースの完全修飾ドメイン名 (FQDN) を指定します。
設定ディレクトリ。Identity Synchronization for Windows 設定を格納する Directory Server を指定します。
Active Directory ソース。Active Directory ドメインを同期するために使用するソースを指定します。
Windows NT のプライマリドメインコントローラ。同期する Windows NT ドメイン、および各ドメインのプライマリドメインコントローラの名前を指定します。
同期ユーザーリスト。LDAP DIT およびフィルタ情報を使用して、Directory Server、Active Directory、および Windows NT で同期されるユーザーを指定します。
Sun Java System Directory Server。同期されるユーザーを格納する Directory Server インスタンスを指定します。
コネクタおよびディレクトリサーバープラグインをインストールするときは、次の情報を指定します。
設定ディレクトリのホストおよびポート。Identity Synchronization for Windows 設定情報が格納される Directory Server インスタンスの設定ディレクトリのホストおよびポートを指定します。
ルートサフィックス。設定ディレクトリのルートサフィックスを指定します。コアのインストール時に指定したルートサフィックスを使用します。
設定パスワード。機密性のある設定情報を保護するためのセキュアなパスワードを指定します。
ファイルシステムディレクトリ。Identity Synchronization for Windows をインストールする場所を指定します。同じマシンにインストールされるすべてのコンポーネントは、インストールパスを同じにします。
ディレクトリソース。コネクタまたはプラグインをインストールするディレクトリソースを指定します。
Directory Server および Windows NT のコネクタをインストールする場合は、未使用のポートを指定します。
ディレクトリサーバーコネクタおよびプラグインをインストールする場合は、そのコネクタおよびプラグインに対応する Directory Server のホスト、ポート、および資格を指定します。
Identity Synchronization for Windows では、idsync スクリプトで次のサブコマンドを使用して、コマンド行からさまざまなタスクを実行できます。
changepw — Identity Synchronization for Windows 設定パスワードを変更します。
prepds — Identity Synchronization for Windows が使用できるように Sun Java System Directory Server ソースを準備します。
printstat — インストールされているコネクタ、システムマネージャー、および Message Queue の状態を出力します。
インストールプロセスを完了するために実行する必要のあるインストールおよび設定の残りの手順を表示するために printstat コマンドを使用することもできます。
resetconn — ハードウェアまたはアンインストーラのエラー時のみ、設定ディレクトリのコネクタの状態をアンインストール済みにリセットします。
resync — インストールプロセスの一環として、既存ユーザーを再同期およびリンクしたり、ディレクトリを事前に生成したりします。
dspluginconfig — ディレクトリサーバープラグインを設定または設定解除します。
groupsync — グループの同期を有効または無効にします。
accountlockout — アカウントのロックアウト機能を有効または無効にします。
stopsync — 同期を停止します。
これらのユーティリティーの詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。
これらのチェックリストを使用して、インストールプロセスを準備してください。Identity Synchronization for Windows をインストールする前に、チェックリストを印刷して適切な情報を記録します。
表 4–5 コアのインストールチェックリスト
必要な情報 |
エントリ |
---|---|
設定ディレクトリのホストおよびポート | |
設定ディレクトリのルートサフィックス (たとえば dc=example,dc=com) | |
Identity Synchronization for Windows をインストールするファイルシステムディレクトリ | |
設定 Directory Server の管理者の名前およびパスワード | |
機密性のある設定情報を保護するためのセキュアな設定パスワード | |
Message Queue インスタンス用のポート番号 | |
管理サーバーのユーザー名およびパスワード |
表 4–6 コアの設定チェックリスト
必要な情報 |
エントリ |
---|---|
Directory Server スキーマサーバー | |
Directory Server ユーザー構造および Auxiliary オブジェクトクラス | |
同期される属性 | |
ユーザーエントリ作成のフロー | |
ユーザーエントリ変更のフロー | |
ユーザーエントリ有効化および無効化のフロー | |
ユーザーエントリ削除のフロー | |
Sun Java System Directory Server ディレクトリソース | |
Active Directory | |
同期ユーザーリスト | |
Windows ソースフィルタの作成式 | |
Sun Java System ソースフィルタの作成式 | |
管理サーバーのユーザー名およびパスワード |
コネクタおよびディレクトリサーバープラグインのインストールチェックリスト
必要な情報 |
エントリ |
---|---|
設定ディレクトリのホストおよびポート | |
設定ディレクトリのルートサフィックス | |
コネクタをインストールするファイルシステムディレクトリ | |
設定 Directory Server の管理者の名前およびパスワード | |
機密性のある設定情報を保護するためのセキュアな設定パスワード | |
ディレクトリソース | |
Directory Server および Windows NT 用の未使用ポート | |
コネクタおよびプラグインに対応する Directory Server のホスト、ポート、および資格 |
ユーザーのリンクのチェックリスト
必要な情報 |
エントリ |
---|---|
リンクされる同期ユーザーリスト。 | |
同等のユーザーを一致させるために使用する属性 | |
再同期チェックリスト
必要な情報 |
エントリ |
---|---|
同期ユーザーリストの選択 | |
同期ソース | |
対応するユーザーが宛先のディレクトリソースに見つからない場合にユーザーエントリを自動的に作成するか | |
Directory Server パスワードを無効にするか | |