属性は、ユーザーエントリを説明する情報を保持します。各属性は、1 つのラベルと 1 つ以上の値があり、属性値として格納可能な情報の種類について標準の構文に従います。
属性はコンソールから定義できます。第 6 章「コアリソースの設定」を参照してください。
Identity Synchronization for Windows は、重要および作成ユーザー属性を次のように同期します。
重要属性。指定された変更同期設定に従って、属性が変更されたときは常に Directory Server ディレクトリと Windows ディレクトリの間で同期されます。
作成属性。指定されたオブジェクト作成同期設定に従って、新しいユーザーが作成されるときは常に Directory Server ディレクトリと Windows ディレクトリの間で同期されます。
必須の作成属性とは、対象ディレクトリで作成アクションを正常に完了するために「必須」であるとみなされる属性です。たとえば、Active Directory では、作成時に cn と samaccountname の両方が有効な値であることが期待されます。Directory Server では user オブジェクトクラスの inetorgperson を設定している場合、Identity Synchronization for Windows では、cn および sn が作成の必須属性であることが期待されます。
元のディレクトリから伝播される属性に値がない場合のみ、作成属性のデフォルトによってデフォルト値で対象ディレクトリの作成属性が更新されます。作成属性のデフォルトは、別の属性値を基にすることができます。「パラメータ化された属性のデフォルト値」を参照してください。
重要属性は、作成属性として自動的に同期されますが、逆は自動的に同期されません。作成属性は、ユーザー作成時のみ同期されます。
Identity Synchronization for Windows では、作成属性に対して別の作成属性または重要属性を使用して、パラメータ化されたデフォルト値を作成できます。
パラメータ化されたデフォルト属性値を作成するには、式文字列で既存の作成属性または重要属性の名前の前後にパーセント記号を付けて囲みます (%attribute_name%)。たとえば、homedir=/home/%uid% または cn=%givenName%. %sn% のようにします。
これらの属性のデフォルト値を作成するときは、次のガイドラインに従ってください。
作成式で複数の属性を使用することはできますが (cn=%givenName% %sn%)、%attribute_name% の属性は単一の値を持つ必要があります。
A=0 の場合、B は、デフォルト値 1 つだけを持つことができます。
パーセント記号を通常の文字として使用する場合は、円記号 (\\) を使用します 。たとえば diskUsage=0\\% のようにします。
循環式の置換条件を持つ式は使用しないでください (たとえば sn=%uid% および uid= %sn%)。
同期する属性を定義したら、Directory Server と Active Directory/Windows NT システムの間で属性名をマッピングし、相互に属性を同期できるようにします。たとえば Sun の inetorgperson 属性を Active Directory の user 属性にマッピングします。
重要属性と作成属性の両方で属性マップを使用し、それぞれのディレクトリタイプのすべての「必須の作成属性」で属性マップを設定してください。