製品をインストールしたら、次の操作を含む製品の配備を設定します。
同期されるディレクトリおよびグローバルカタログの設定
属性の変更およびオブジェクトの有効化/無効化に関する同期設定の指定
グループ同期の設定の指定
アカウントのロックアウトおよびロックアウト解除の同期設定の指定
(オプション) 設定されたディレクトリ間でユーザーエントリを作成および削除する同期設定の指定
この節では、次の設定要素について概念の概要を説明します。
ディレクトリ
同期設定
オブジェクトクラス
属性および属性マッピング
同期ユーザーリスト
関連する設定手順の一部については、第 6 章「コアリソースの設定」で説明します。
1 つ以上の Sun Java System Directory Server での単一ルートサフィックス (サフィックス/データベース)
Windows 2000 または Windows 2003 Server Active Directory フォレストでの単一 Active Directory ドメイン
単一 Windows NT ドメイン
ディレクトリタイプごとに任意の数を設定できます。
同期設定を使用して、オブジェクトの作成、オブジェクトの削除、パスワードなどの属性の変更が Directory Server ディレクトリと Windows ディレクトリの間で伝播する方向を制御します。同期フローオプションは次のとおりです。
Directory Server から Active Directory/Windows NT
Active Directory/Windows NT から Directory Server
双方向
Active Directory および Windows NT が含まれる設定では、Windows NT と Directory Server の間、および Active Directory と Directory Server の間の作成または変更で、異なる同期設定を指定する設定を保存することはできません。
リソースを設定するときは、オブジェクトクラスに基づいて同期するエントリを指定します。オブジェクトクラスは、どの属性が Directory Server と Active Directory の両方で同期できるかを決定します。
オブジェクトクラスは、Windows NT には該当しません。
Identity Synchronization for Windows では、2 種類のオブジェクトクラスをサポートします。
Structural オブジェクトクラス。選択された Directory Server から作成または同期される各エントリには、1 つ以上の Structural オブジェクトクラスが必要です。ドロップダウンメニューから Structural オブジェクトクラスを選択します。Directory Server では inetorgperson、Active Directory では User がデフォルトです。
Auxiliary オブジェクトクラス。
オブジェクトクラスおよび属性を設定する手順については、第 6 章「コアリソースの設定」を参照してください。
属性は、ユーザーエントリを説明する情報を保持します。各属性は、1 つのラベルと 1 つ以上の値があり、属性値として格納可能な情報の種類について標準の構文に従います。
属性はコンソールから定義できます。第 6 章「コアリソースの設定」を参照してください。
Identity Synchronization for Windows は、重要および作成ユーザー属性を次のように同期します。
重要属性。指定された変更同期設定に従って、属性が変更されたときは常に Directory Server ディレクトリと Windows ディレクトリの間で同期されます。
作成属性。指定されたオブジェクト作成同期設定に従って、新しいユーザーが作成されるときは常に Directory Server ディレクトリと Windows ディレクトリの間で同期されます。
必須の作成属性とは、対象ディレクトリで作成アクションを正常に完了するために「必須」であるとみなされる属性です。たとえば、Active Directory では、作成時に cn と samaccountname の両方が有効な値であることが期待されます。Directory Server では user オブジェクトクラスの inetorgperson を設定している場合、Identity Synchronization for Windows では、cn および sn が作成の必須属性であることが期待されます。
元のディレクトリから伝播される属性に値がない場合のみ、作成属性のデフォルトによってデフォルト値で対象ディレクトリの作成属性が更新されます。作成属性のデフォルトは、別の属性値を基にすることができます。「パラメータ化された属性のデフォルト値」を参照してください。
重要属性は、作成属性として自動的に同期されますが、逆は自動的に同期されません。作成属性は、ユーザー作成時のみ同期されます。
Identity Synchronization for Windows では、作成属性に対して別の作成属性または重要属性を使用して、パラメータ化されたデフォルト値を作成できます。
パラメータ化されたデフォルト属性値を作成するには、式文字列で既存の作成属性または重要属性の名前の前後にパーセント記号を付けて囲みます (%attribute_name%)。たとえば、homedir=/home/%uid% または cn=%givenName%. %sn% のようにします。
これらの属性のデフォルト値を作成するときは、次のガイドラインに従ってください。
作成式で複数の属性を使用することはできますが (cn=%givenName% %sn%)、%attribute_name% の属性は単一の値を持つ必要があります。
A=0 の場合、B は、デフォルト値 1 つだけを持つことができます。
パーセント記号を通常の文字として使用する場合は、円記号 (\\) を使用します 。たとえば diskUsage=0\\% のようにします。
循環式の置換条件を持つ式は使用しないでください (たとえば sn=%uid% および uid= %sn%)。
同期する属性を定義したら、Directory Server と Active Directory/Windows NT システムの間で属性名をマッピングし、相互に属性を同期できるようにします。たとえば Sun の inetorgperson 属性を Active Directory の user 属性にマッピングします。
重要属性と作成属性の両方で属性マップを使用し、それぞれのディレクトリタイプのすべての「必須の作成属性」で属性マップを設定してください。
Directory Server ディレクトリと Windows ディレクトリの両方で同期される特定ユーザーを定義するには、同期ユーザーリスト (SUL) を作成します。これらの定義により、平坦なディレクトリ情報ツリー (DIT) から階層型のディレクトリツリーへの同期が可能になります。
同期ユーザーリストの定義には、次の概念が使用されます。
ベース DN (Windows NT には該当しない)。別の SUL がより具体的である場合やフィルタによって除外されない場合に、その DN 内のすべてのユーザーが含まれます。
フィルタ。ユーザーのエントリ内の属性を使用して、ユーザーを同期から除外するか、同じベース DN を持つユーザーを複数の SUL に分割します。このフィルタは、LDAP フィルタ構文を使用します。
作成式 (Windows NT には該当しない)。新しいユーザーの作成先 DN を構築します。たとえば cn=%cn%,ou=sales,dc=example, dc=com としたときに、%cn% は、既存のユーザーエントリの cn の値で置換されます。作成式は、ベース DN で終わらせます。
SUL には 2 つの定義が含まれ、それぞれの定義ではディレクトリタイプのトポロジに関連して同期されるユーザーのグループを識別します。
一方の 定義では、同期される Directory Server ユーザーを識別します (たとえば ou=people, dc=example, dc=com)。
もう一方の定義では、同期される Windows ユーザーを識別します (たとえば cn=users, dc=example, dc=com)。
SUL の作成を準備する場合は、次の点を確認してください。
同期するユーザー。
同期から除外するユーザー。
新しいユーザーの作成先。
SUL を作成する詳細については、付録 D 「Identity Synchronization for Windows の同期ユーザーリストの定義と設定」を参照してください。