Identity Synchronization for Windows コアをインストールしたら、ただちにコアリソースの初期設定を行います。
この章では、コンソールを使用してコアリソースを追加および設定する方法について説明します。この章は、次の節で構成されています。
コアリソースを効率的に設定するため、Directory Server と Active Directory の設定および操作方法を理解しておきます。
これらのリソースは、特に明記されていないかぎり、特定の順序で設定する必要はありません。ただし、製品に精通するまでは、この章で説明する順序で設定を行う方が時間の節約となり、エラーも防止できます。
この節では、配備に必要なコアリソースを設定する手順について説明します。
Sun Java System サーバーコンソールウィンドウには、管理の対象となるすべてのサーバーおよびリソースの一覧と、システムに関する情報が表示されます。
Sun Java System サーバーコンソールにまだログインしていない場合は、図 5–9 を参照し、ログインしてください。
「サーバーとアプリケーション」タブのナビゲーションツリーで、Identity Synchronization for Windows インスタンスが属するサーバーグループが含まれているホスト名のノードを選択します。
「サーバーグループ」ノードを展開し、「Identity Synchronization for Windows」ノードを選択します。
情報パネルの内容が、Identity Synchronization for Windows とシステムに関する情報に切り替わります。
パネルの右上端にある「開く」ボタンをクリックします。
パネルの下部にある「編集」ボタンをクリックすると、サーバー名と説明を編集できます。
コアのインストール時に指定した設定パスワードの入力を求められます。パスワードを入力し、「OK」をクリックします。
次のような Identity Synchronization for Windows コンソールが表示されます。
「タスク」(デフォルト): このタブでは、Sun と Windows のシステム間の同期を起動および停止します。サービスの起動と停止については、「同期の起動および停止」を参照してください。
同期サービスの起動と停止を、Windows サービスの開始と停止と混同しないでください。
Windows サービスを開始または停止するときは、Windows の「スタート」メニューから「コントロール パネル」->「管理ツール」->「コンピュータの管理」->「サービスとアプリケーション」->「サービス」の順にアクセスします。
「設定」パネルは、次のタブから構成されます。
「属性」: このタブでは、システム間で同期させる属性を指定します。
「属性の修正」: このタブでは、パスワード、属性変更、およびオブジェクトの無効化をシステム間で伝播させる方法を指定します。
「オブジェクトの作成」: このタブでは、新しく作成されたパスワードと属性をシステム間で伝播させる方法、および同期時に Identity Synchronization for Windows が作成するオブジェクトの初期値を指定します。
「オブジェクトの削除」: このタブでは、削除されたパスワードと属性をシステム間で伝播させる方法を指定します。
少なくとも 1 つの Sun Java System Directory Server ディレクトリソースと、少なくとも 1 つの Windows サーバーディレクトリソース (Active Directory または Windows NT) を設定します。手順については、次の節を参照してください。
同期対象のソースに基づいて、次の順序でディレクトリソースを作成します。
少なくとも 1 つの Sun Java System ディレクトリソースと、少なくとも 1 つの Windows ディレクトリソース (Active Directory、NT SAM のいずれかまたは両方) を設定してください。
ナビゲーションツリーで「ディレクトリソース」ノードを選択して「ディレクトリソース」パネルを表示します。
各 Sun Java System ディレクトリソースは、複数のサーバーから構成されるレプリケーション環境に配備できるコネクタおよびプラグインセットと関連付けられています。ディレクトリサーバーコネクタでは、Windows ディレクトリソースから優先サーバー (マスター) に変更を同期できます。優先サーバーがダウンした場合は、優先サーバーが復帰するまで、副サーバーリスト内に設定されている順序に従って、副サーバーに変更がフェイルオーバーされます。Directory Server レプリケーションでは、優先サーバー (マスター) から、トポロジ内に設定されているその他の優先副サーバーに変更がレプリケートされます。どのディレクトリサーバープラグインでも Windows ディレクトリソースによるパスワード妥当性チェックが可能であり、ユーザーはどのサーバーからでもパスワードを変更できます。
「新規 Sun ディレクトリソース」ボタンをクリックして、「Sun Java System ディレクトリソースの定義」ウィザードを起動します。
既知の設定ディレクトリソースセットが照会され、既存のルートサフィックス (ネーミングコンテキストとも呼ばれる) が一覧に表示されます。
デフォルトでは、製品がインストールされている設定ディレクトリが認識され、その設定ディレクトリで認識されているルートサフィックスが一覧に表示されます。
一覧から、ユーザーが配置されているルートサフィックスを選択します。複数のルートサフィックスが表示される場合は、ユーザーが配置されているルートサフィックスを選択します。「次へ」をクリックします。
同期対象のルートサフィックスが、Identity Synchronization for Windows に登録されている設定ディレクトリと関連付けられていない場合は、次の手順に従って新しい設定ディレクトリを指定します。
「設定ディレクトリ」ボタンをクリックし、新しい設定ディレクトリを指定します。
「設定ディレクトリ」ダイアログボックス (手順 3) が表示されたら、「新規」ボタンをクリックして「新規設定ディレクトリ」ダイアログボックスを開きます。
次の情報を入力し、「OK」をクリックします。変更が保存され、ダイアログボックスが閉じます。
「ホスト」: 完全修飾ホスト名を入力します。
例: machine1.example.com
「ポート」: 有効な未使用の LDAP ポート番号を入力します。(デフォルトは 389)
Identity Synchronization for Windows で設定ディレクトリとの通信に SSL (Secure Socket Layer) を使用する場合は、「このポートに SSL を使用する」ボックスにチェックマークを付けます。
「ユーザー DN」: 管理者の (バインド) 識別名を入力します。たとえば、uid=admin,ou=Administrators,ou=TopologyManagement,o=NetscapeRoot のように指定します。
「パスワード」: 管理者のパスワードを入力します。
指定された設定ディレクトリが照会され、そのディレクトリが管理するすべてのディレクトリサーバーが特定されます。
Identity Synchronization for Windows では、Sun Java System Directory Server ソースごとに 1 つのルートサフィックスのみがサポートされます。
設定ディレクトリの編集と削除
「設定ディレクトリ」ダイアログボックスでは、次のように、設定ディレクトリの一覧を管理することもできます。
一覧から設定ディレクトリを選択し、「編集」ボタンをクリックします。「設定ディレクトリの編集」ダイアログが表示され、ホスト、ポート、セキュリティー保護されたポート、ユーザー名、パスワードの各パラメータを変更できます。
一覧から設定ディレクトリを選択して「削除」をクリックすると、そのディレクトリが一覧から削除されます。
「OK」をクリックして「設定ディレクトリ」ダイアログボックスを閉じます。新しく選択した設定ディレクトリのルートサフィックスが一覧に表示されます。
Directory Server ではデフォルトで、 マシンの DNS ドメインエントリのコンポーネントに対応するプレフィックスを持つルートサフィックスが作成されます。次の形式のサフィックスが使用されます。
dc=your_machine’s_DNS_domain_name
つまり、マシンのドメインが example.com であれば、サーバーのサフィックスを dc=example, dc=com に設定するようにします。選択したサフィックスで命名するエントリは、ディレクトリ内にすでに存在している必要があります。
ルートサフィックスを選択し、「次へ」をクリックします。
「優先サーバーの指定」パネルが表示されます (「Sun Java System ディレクトリソースの作成」を参照)。
Identity Synchronization for Windows は、優先 Directory Server を使用して、Directory Server マスターに加えられた変更を検出します。優先サーバーは、Windows システムで加えられた変更が Sun Java System Directory Server システムに適用される一次的な場所としても機能します。
優先マスターサーバーに障害が発生した場合は、優先サーバー (マスター) がオンラインに復帰するまで、副サーバーに変更を格納できます。
「既知のサーバーの選択」オプションを選択し、ドロップダウンリストからサーバー名を選択します。
リストには、稼働している Directory Server のみが表示されます。サーバーが一時的にダウンしている場合は、「ホスト名とポートを入力してサーバーを指定」オプションを選択し、サーバー情報を手動で入力します。
Directory Server が通信に SSL を使用するように設定する場合は、「セキュア通信に SSL を使用」ボックスを有効にします。ただし、この機能を有効にすると、インストール後に追加の設定手順が必要になります。詳細については、「Directory Server での SSL の有効化」を参照してください。
「ホスト名とポートを入力してサーバーを指定」オプションを選択し、サーバーのホスト名とポートを各テキストフィールドに入力します。
指定したポートで SSL を使用する場合は、「このポートに SSL を使用する」チェックボックスにチェックマークを付けます。
「次へ」をクリックして「二次サーバーを指定します。」パネルを表示します。
副サーバーを追加、編集、または削除できます。
副 Directory Server を指定するには、一覧からサーバー名を選択し、「次へ」をクリックします。
指定する Directory Server が稼働していない場合、サーバー名は一覧に表示されません。
Sun ディレクトリソースの優先サーバーと副サーバーの両方に、同じホスト名とポートを使用しないでください。
セキュリティー保護されたポート機能を有効にすると、インストール後に追加の設定手順が必要になります。詳細については、「Directory Server での SSL の有効化」を参照してください。
副サーバーを指定しない場合は、「次へ」をクリックしてください。
セキュリティーで保護された SSL 通信を使用する場合は、次の注意を読み、どちらか一方または両方のオプションにチェックマークを付けます。
ユーザーバインドまたはパスワード変更を行う各 Directory Server (マスター、レプリカ、またはハブ) にディレクトリサーバープラグインをインストールします。
ディレクトリサーバープラグインでパスワードと属性を Active Directory と同期させる場合は、ユーザーとそのパスワードを検索するために、プラグインを Active Directory にバインドします。また、プラグインによって、セントラルログと Directory Server のログにログメッセージが書き込まれます。デフォルトでは、これらの通信に SSL は使用されません。
チャネル通信のみを暗号化する場合、またはチャネル通信を暗号化し、証明書を使用して Directory Server とディレクトリサーバーコネクタの間で参加者の ID を確実に検証するには、「信頼できる SSL の証明書を要求」ボックスにチェックマークを付けます。
証明書を信頼しない場合は、チェックマークを外します。
Active Directory ディレクトリサーバープラグインと Active Directory の間の通信にセキュリティーで保護された SSL を使用する場合は、「プラグインと Active Directory の通信に SSL を使用」ボックスにチェックマークを付けます。
これらの機能を有効にすると、インストール後に追加設定が必要になります。「Directory Server での SSL の有効化」を参照してください。
各ディレクトリサーバープラグインとコネクタのいずれかまたは両方の証明書データベースに追加する証明書は、idsync certinfo コマンド行ユーティリティーを使用して確認できます。「certinfo の使用」を参照してください。
主 Directory Server と副 Directory Server がマルチマスターレプリケーション (MMR) 配備の一部である場合は、付録 E 「レプリケートされた環境での Identity Synchronization for Windows のインストールの注意点」を参照してください。
「拡張セキュリティーオプションの指定」パネルの設定が完了したら、「完了」をクリックします。
ナビゲーションツリーの「ディレクトリソース」の下に、選択したディレクトリソースが追加され、「Directory Server の準備を直ちに行いますか ?」ダイアログボックスが表示されます。
Identity Synchronization for Windows で使用できるように Directory Server を準備します。この作業は今実行しても、あとで実行してもかまいません。ただし、コネクタをインストールする前に Directory Server の準備を完了してください。コネクタのインストール手順については、第 7 章「コネクタのインストール」を参照してください。
Directory Server の準備をすぐに行う場合は「はい」をクリックしてウィザードを起動し、「Sun ディレクトリソースの準備」に進みます。
この作業をあとで行う場合は「いいえ」をクリックし、「Active Directory ソースの作成」に進みます。
この節では、Identity Synchronization for Windows で使用できるように Sun ディレクトリソースを準備する方法について説明します。
Directory Server の準備では次の作業を行います。
優先ホストで使用できるコネクタユーザーとユーザーアクセス制御インスタンスを作成する
コンソールを使用する代わりに idsync prepds コマンド行ユーティリティーを使用して Directory Server を準備することもできます。詳細については、「prepds の使用」を参照してください。
idsync prepds コマンド行ユーティリティーを使用して Directory Server を準備するには、使用するホストとサフィックスの把握とディレクトリマネージャーの資格が必要になります。
Directory Server の準備には、「Directory Server の準備」ウィザードを使用できます。
このウィザードにアクセスするには、次のいずれかの方法を使用します。
「Directory Server の準備を直ちに行いますか ?」ダイアログボックスが表示されたときに「はい」ボタンをクリックします。
「設定」タブの「Sun ディレクトリソース」パネルで「Directory Server の準備」ボタンをクリックします。
ディレクトリマネージャーアカウントの次の資格を入力します。
「ディレクトリマネージャーユーザー名」
「ディレクトリマネージャーパスワード」
副ホストを使用している場合は (MMR 構成)、「二次ホスト」オプションが設定可能になるので、これらのホストの資格も指定します。
入力が完了したら、「次へ」をクリックして「準備設定の指定」パネルを表示します。
警告メッセージを読み、Directory Server インデックスをすぐに作成するか、あとで作成するかを決めます。
データベースのサイズによっては、この処理に少し時間がかかることがあります。
データベースが読み取り専用モードの場合は、データベース内の情報を更新できません。
データベースをオフラインにすると、インデックスを高速に作成できます。
インデックスをすぐに作成するときは、「データベース <データベース名> のインデックスの作成」ボックスにチェックマークを付け、「次へ」をクリックします。
インデックスをあとで (手動またはもう一度ウィザードを実行して) 作成する場合は、「データベース <データベース名> のインデックスの作成」ボックスのチェックマークを外し、「次へ」をクリックします。
「準備状態」パネルが表示され、Directory Server の準備の進捗状況に関する情報が示されます。
メッセージ区画の下部に「成功」メッセージが表示されたら、「完了」をクリックします。
エラーメッセージが表示された場合は、指摘された問題を解決してから、操作を続行します。詳細については、エラーログ (「状態」タブを参照) を確認してください。
コンソールの「設定」タブに戻ります。ナビゲーションツリーで Sun ディレクトリソースノードを選択し、「Sun ディレクトリソース」パネルを表示します。
このパネルから、次のタスクを実行できます。
「サーバーの編集」: このボタンをクリックすると、「Sun Java System ディレクトリソースの定義」パネルが表示され、サーバーの設定パラメータを変更できます。操作方法については、「Sun Java System ディレクトリソースの作成」を参照してください。
優先 Sun ディレクトリソースの旧バージョン形式の更新履歴ログデータベースを再作成する場合、デフォルトのアクセス制御設定が適用されるとディレクトリサーバーコネクタはデータベースの内容を読み込めません。
新しい旧バージョン形式の更新履歴ログデータベースのアクセス制御設定を復元するには、idsync prepds を実行するか、またはコンソールで適切な Sun ディレクトリソースを選択して「Directory Server の準備」ボタンをクリックします。
「Directory Server の準備」: Directory Server を準備するときは、このボタンをクリックし、「Sun ディレクトリソースの準備」の操作手順に従います。
インデックスが削除された場合や、旧バージョン形式の更新履歴ログデータベースを失った場合など、最初にサーバーを準備したあとで Directory Server に変更が生じたときは、サーバーの準備を再度実行できます。
同期対象の Sun Java System Directory Server エンタープライズ内のユーザー入力ごとに Directory Server ディレクトリソースを追加します。
完了したら、少なくとも 1 つの Windows ディレクトリソースを作成します。
Active Directory ディレクトリソースを作成する場合は、「Active Directory ソースの作成」に進みます。
Windows NT ディレクトリソースを作成する場合は、「Windows NT SAM ディレクトリソースの作成」に進みます。
Active Directory ディレクトリソースは、ネットワーク上で同期させる Windows ドメインごとに追加するようにしてください。
Active Directory の各配備には、すべての Active Directory ドメインに適用されるグローバル情報がすべて記録されたグローバルカタログが、少なくとも 1 つあります。グローバルカタログにアクセスするには、デフォルトのアクセス権を変更していなければ、通常のユーザーに与えられている権限で十分です。
各 Active Directory サーバーをグローバルカタログとし、配備に複数のグローバルカタログを持たせることもできますが、指定が必要なグローバルカタログの数は 1 つだけです。
ネットワークに Windows Active Directory サーバーが存在する場合は、次の手順を実行します。
ナビゲーションツリーで「ディレクトリソース」ノードを選択し、「ディレクトリソース」パネルの「新規 Active Directory ソース」ボタンをクリックします。
「Windows グローバルカタログ」ダイアログボックスが表示されます。
次の情報を入力し、「OK」をクリックします。
「ホスト」: Active Directory フォレストのグローバルカタログを保持するマシンの完全修飾ホスト名を入力します。
例: machine2.example.com
「このポートに SSL を使用する」: Identity Synchronization for Windows でグローバルカタログとの通信に SSL ポートを使用する場合は、このオプションを有効にします。
「ユーザー DN」 : 管理者の (バインド) 完全修飾識別名を入力します。スキーマを参照し、システムで使用できる Active Directory ドメインを特定できる資格があれば、どのような DN でも指定できます。
「パスワード」: 指定したユーザーのパスワードを入力します。
次のような「Active Directory ソースの定義」ウィザードが表示されます。
Active Directory グローバルカタログが照会されて、存在するその他のドメインが特定され、それらのドメインが「ドメイン」の一覧に表示されます。
一覧から名前を選択して Active Directory ドメインを指定し、「OK」をクリックします。
使用するドメインが一覧に表示されない場合は、次の手順を使用して、そのドメインを認識するグローバルカタログを追加します。
「グローバルカタログ」ボタンをクリックして「グローバルカタログ」ウィザードを表示します。
「新規」ボタンをクリックします。
「Windows グローバルカタログ」ダイアログボックスが表示されるので、グローバルカタログのホスト名と、ディレクトリソースの資格 (手順 2 を参照) を入力し、「OK」をクリックします。
「グローバルカタログ」の一覧に新しいグローバルカタログとポートが表示されます。カタログ名を選択し、「OK」をクリックします。
さらにグローバルカタログ (ドメイン) をシステムに追加する場合は、これらの手順を繰り返します。
完了したら、「ドメインの選択」区画の「次へ」ボタンをクリックします。
「クレデンシャルの指定」パネルが表示されたら、「ユーザー DN」フィールドの値を確認します
管理者の識別名が「ユーザー DN」フィールドに自動的に入力されない場合、または自動入力された管理者の資格を使用しない場合は、ユーザー DN とパスワードを手動で入力します。
Active Directory ソースを設定するときは、Active Directory コネクタが Active Directory との接続に使用できるユーザー名とパスワードを指定します。
コネクタには特定のアクセス権が必要です。次に示すように、最小限の権限は、同期の方向によって異なります。
Active Directory から Directory Server への同期フローのみを設定する場合は、Active Directory コネクタ用に指定するユーザーには多くの特別な権限は必要ありません。通常のユーザーに、同期対象ドメインで「すべてのプロパティーを読み取る」権限が追加されているだけで十分です。
Directory Server から Active Directory への同期フローを設定する場合は、同期によって Active Directory 内のユーザーエントリが変更されるため、コネクタユーザーにはもっと多くの権限が必要になります。この設定では、コネクタユーザーは「フルコントロール」権限を持つユーザーか、または管理者グループのメンバーにします。
「次へ」をクリックし、「ドメインコントローラの指定」パネルを開きます。
このパネルでは、指定したドメイン内で同期するコントローラを選択します。ドメインコントローラの概念は、Directory Server の優先サーバーに似ています。
選択している Active Directory ドメインに複数のドメインコントローラがあるときは、同期のプライマリドメインコントローラ FSMO (Flexible Single Master Operation) ロールを持つドメインコントローラを選択します。
デフォルトでは、すべてのドメインコントローラで行われたパスワード変更はただちにプライマリドメインコントローラ FSMO ロール所有者にレプリケートされ、このドメインコントローラを選択すると、パスワード変更はただちに Identity Synchronization for Windows によって Directory Server と同期されます。
配備によっては、PDC との間に大きなネットワーク「距離」があるために同期が大幅に遅れるので、Windows レジストリに AvoidPdcOnWan 属性が設定されることがあります。詳細については、Microsoft サポート技術情報の記事 232690 を参照してください。
ドロップダウンリストからドメインコントローラを選択します。
Identity Synchronization for Windows コネクタがドメインコントローラとの通信にセキュリティー保護されたポートを使用するように設定する場合は、「セキュア通信に SSL を使用」ボックスにチェックマークを付けます。
Microsoft Certificate Server を使用する場合は、Active Directory コネクタに CA 証明書が自動的にインストールされます。それ以外の場合は、Active Directory コネクタに CA 証明書を手動で追加します (「Active Directory コネクタでの SSL の有効化」を参照)。初期設定後にフローの設定を変更する場合にも、この手順を適用します。
完了したら、「次へ」をクリックします。
「フェイルオーバーコントローラの指定」パネルが表示されます (「Active Directory ソースの作成」を参照)。このパネルでは、任意の数のフェイルオーバードメインコントローラを指定できます。
Active Directory コネクタが通信する Active Directory ドメインコントローラ は 1 つだけであるため、Identity Synchronization for Windows では、そのコネクタで適用されるフェイルオーバーの変更はサポートされません。ただし、ディレクトリサーバープラグインは、Directory Server のパスワード変更を検証するときに、任意の数のドメインコントローラと通信します。
Directory Server は、Active Directory ドメインコントローラへの接続を試行し、そのドメインコントローラが使用できない場合は、指定されたフェイルオーバードメインコントローラへの接続を繰り返し試行します。
「フェイルオーバーサーバー」の一覧から 1 つまたは複数のサーバー名を選択するか、または「すべてを選択」ボタンをクリックして一覧のすべてのサーバーを指定し、「次へ」をクリックします。
「拡張セキュリティーオプションの指定」パネルが表示されます。
「信頼できる SSL の証明書を要求」オプションは、「ドメインコントローラの指定」パネルで「セキュア通信に SSL を使用」ボックスを有効にした場合にのみアクティブ (選択可能な状態) になります。
「信頼できる SSL の証明書を要求」ボックスが無効になっている場合 (デフォルト設定)、Active Directory コネクタは SSL 経由で Active Directory に接続し、Active Directory から渡された証明書が信頼されているかどうかを検証しません。
このオプションを無効にすると、Active Directory 証明書データベースに Active Directory 証明書をインストールする必要がなくなるので、セットアップ手順が簡単になります。
「信頼できる SSL の証明書を要求」ボックスを有効にすると、Active Directory コネクタは SSL 経由で Active Directory に接続し、Active Directory から渡された証明書が信頼されているかどうかを検証します。
コネクタの証明書データベースに Active Directory 証明書を追加してください。手順については、「Active Directory 証明書のコネクタの証明書データベースへの追加」を参照してください。
「拡張セキュリティーオプション」パネルの設定が完了したら、「完了」をクリックします。
ナビゲーションツリーの「ディレクトリソース」の下に、新しく指定した Active Directory ディレクトリソースが追加されます。
その Active Directory ディレクトリソースノードを選択し、「Active Directory ソース」パネルを表示します。
このパネルから、次のタスクを実行できます。
「コントローラの編集」: このボタンをクリックすると、「ドメインコントローラの指定」パネルが再度開き、ドメインコントローラの設定パラメータを変更できます。操作方法については、「Active Directory ソースの作成」を参照してください。
「再同期間隔」: Active Directory コネクタが変更を確認する頻度を指定します。(デフォルトは 1000 ミリ秒)
「ディレクトリソースのクレデンシャル」: 指定されているユーザー DN とパスワードのいずれかまたは両方を変更します。
この節では、Identity Synchronization for Windows を配備できる Windows NT SAM ディレクトリソースの作成方法を説明します。
ナビゲーションツリーで「ディレクトリソース」ノードを選択し、「新規 Windows NT SAM ディレクトリソース」ボタンをクリックします。
「Windows NT SAM ディレクトリソースの定義」パネルが表示されたら、指示に従って Windows NT ドメイン名を確認し、「ドメイン」フィールドに一意の NT ディレクトリソースドメイン名を入力します。完了したら、「次へ」をクリックします。
「プライマリドメインコントローラのコンピュータ名の指定」パネルが表示されたら、指示に従って プライマリドメインコントローラのコンピュータ名を確認し、「コンピュータ名」フィールドにその情報を入力します。
「完了」をクリックします。
ナビゲーションツリーの「ディレクトリソース」の下に、新しく指定した Windows NT SAM ディレクトリソースが追加されます。新しいディレクトリソースのノードを選択して「Windows NT SAM ディレクトリソース」パネルを表示します。
このパネルから、次のタスクを実行できます。
「編集」: このボタンをクリックすると、「ドメインコントローラの指定」パネルが再度開き、ドメインコントローラの設定パラメータを変更できます。操作方法については、「Active Directory ソースの作成」を参照してください。
「再同期間隔」: Windows NT に加えられた変更を Identity Synchronization for Windows が確認する頻度を指定します。(デフォルトは 1000 ミリ秒)
ネットワーク上の Windows NT マシンごとに Windows NT ディレクトリソースを追加します。
Windows NT SAM ディレクトリソースの作成が完了したら、同期対象にする属性の選択とマッピングを行うことができます。「ユーザー属性の選択とマッピング」に進みます。
Directory Server と Windows のディレクトリソースの作成と設定が完了したら、同期対象にするユーザー属性を選択し、それらの属性をシステム間でマッピングします。
この節で説明する内容は次のとおりです。
次の 2 種類の属性があります。
重要: ユーザーエントリの作成または変更時にシステム間で同期される属性。
作成: ユーザーエントリの作成時にのみシステム間で同期される属性。
各プラットフォームで使用されるスキーマによっては、一部の作成属性は必須となります。これらの属性は、パスワードの同期に必要とされるので、Active Directory サーバー上で user オブジェクトクラスエントリを正しく作成するために、Directory Server 属性にマッピングします。
この節では、同期対象にするユーザー属性を選択する方法、およびそれらの属性を 1 対 1 の関係でマッピングする方法について説明します。この属性マッピングにより、Directory Server の属性を指定すると、Active Directory 環境と Windows NT 環境のいずれかまたは両方の対応する属性が表示され (Active Directory または Windows NT の属性を指定すると、Directory Server 環境の対応する属性が表示される)、対応する Windows 属性の値が同期されるようになります。
ナビゲーションツリーの最上部にある「Identity Synchronization for Windows」ノードを選択します。
グループ同期機能が有効になっている場合、Directory Server の uniquemember 属性と Active Directory の member 属性は内部的にマッピングされ、前の図のようにコンソールに表示されます。
「属性」タブを選択し、「新規」ボタンをクリックします。
「有効属性マッピングの定義」ダイアログボックスが表示されます。このダイアログボックスで、Directory Server から Windows システム (Active Directory と Windows NT のいずれかまたは両方) に属性をマッピングします。
どの作成属性が Directory Server (または Active Directory) の必須作成属性となるかは、Sun 側 (または Active Directory 側) のユーザーエントリに設定されているオブジェクトクラスによって異なります。
Directory Server のデフォルトのオブジェクトクラスには inetOrgPerson が自動的に使用され、Active Directory のスキーマはグローバルカタログの指定時に読み込まれます。そのため、デフォルトのスキーマを変更する場合以外は、「スキーマの読み込み」ボタンを使用しません。
デフォルトのスキーマソースを変更する場合は、「スキーマソースの変更」を参照してください。
Sun Java System の属性ドロップダウンリストから属性を選択し (たとえば、cn など)、それに対応する属性を Active Directory と Windows NT SAM のいずれかまたは両方の属性ドロップダウンメニューから選択します。
完了したら、「OK」をクリックします。
別の属性を指定する場合は、手順 2 〜 4 を繰り返します。
完了後の同期対象属性の表は、次の図のようになります。この図では、Directory Server の userpassword、cn、および telephonenumber 属性が、Active Directory の unicodepwd、cn、および telephonenumber 属性にマッピングされたことが示されています。
Identity Synchronization for Windows では、別の作成属性または重要属性を使用して、パラメータ化されたデフォルト属性値を作成できます。
パラメータ化されたデフォルト属性値を作成するには、式文字列内の既存の作成属性または重要属性の名前の前後にパーセント記号を付けます (%attribute_name%)。たとえば、homedir=/home/%uid% や cn=%givenName% %sn% のようにします。
これらの属性値を作成した場合、次のように使用できます。
1 つの作成式で複数の属性を使用できます (cn=%givenName% %sn%)。
A=0 の場合、B はデフォルト値を 1 つだけ持つことができます。
パーセント記号を通常の文字として使用する場合は、円記号 (\\) を使用します 。たとえば diskUsage=0\\% のようにします。
循環式の置換条件を持つ式を使用しないでください。たとえば、description=%uid% を指定する場合は、uid=%description% を使用できません。
グループ同期が有効になっている場合は、次のことを確認してください。
Active Directory でサポートされる作成式は cn=%cn% です。
作成式はユーザーとグループの両方に共通であるため、作成式には、グループオブジェクトクラスに属する有効な属性名も含めます。
例: Directory Server では、属性 sn は groupofuniquenames オブジェクトクラスに属しません。したがって、グループオブジェクトでは、次の作成式は無効になります。(ただし、ユーザーオブジェクトでは正しく機能する。)
cn=%cn%.%sn%
作成式に使用される属性には、作成されるすべてのユーザー/グループエントリの値を指定します。この値をコンソールで指定できない場合は、コマンド行インタフェースを使用して指定できます。
デフォルトのスキーマソースが自動的に設定されますが、デフォルトスキーマを変更できます。
「有効属性マッピングの定義」ダイアログボックスで、「スキーマの読み込み」ボタンをクリックします。
「スキーマソースの選択」パネルが表示されます。
このパネルでは、スキーマの読み込み元の Sun Java System Directory Server スキーマサーバーを指定しますこのスキーマには、システムで使用できるオブジェクトクラスが含まれており、これらのオブジェクトクラスによって、ユーザーがシステムで使用できる属性が定義されます。
「Sun Java System ディレクトリスキーマサーバー」フィールドには、デフォルトの設定ディレクトリが自動的に入力されます。
別のサーバーを選択する場合は、「選択」ボタンをクリックします。
「Sun スキーマホストの選択」ダイアログボックスが表示されます。このダイアログボックスには、ディレクトリソースの管理情報を集めた設定ディレクトリの一覧が表示されます。
このダイアログボックスでは、次の操作を実行できます。
新しい設定ディレクトリを作成して一覧に追加する。
「新規」をクリックし、「新規設定ディレクトリ」ダイアログボックスが表示されたら、ホスト、ポート、ユーザー DN、およびパスワードを指定します。完了したら、「OK」をクリックします。
既存のディレクトリを編集する。
「編集」をクリックし、「設定ディレクトリの編集」ダイアログボックスが表示されたら、ホスト、ポート、ユーザー DN、パスワードのいずれかまたはすべてを変更できます。完了したら、「OK」をクリックします。
ディレクトリを一覧から削除する。
一覧からディレクトリ名を選択し、「削除」ボタンをクリックします。
一覧からサーバーを選択し、「OK」をクリックします。通常、スキーマソースには Sun 同期ホストの 1 つを選択することをお勧めします。
「次へ」ボタンをクリックして、「Structural および Auxiliary オブジェクトクラスの選択」パネルを表示します。
このパネルでは、次のように、同期対象にするオブジェクトクラスを指定します。
Structural オブジェクトクラス: 選択した Directory Server から作成または同期されるエントリごとに、少なくとも 1 つの Structural オブジェクトクラスを指定します。
Auxiliary オブジェクトクラス: このオブジェクトクラスでは、選択した構造クラスを補強し、同期に関する追加属性を指定します。
Structural オブジェクトクラスと Auxiliary オブジェクトクラスを指定するには 、次の手順に従います。
Structural オブジェクトクラスをドロップダウンリストから選択します。(デフォルトは inetorgperson)
「利用可能な Auxiliary オブジェクトクラス」の一覧で 1 つまたは複数のオブジェクトクラスを選択し、「追加」をクリックして選択項目を「選択された Auxiliary オブジェクトクラス」の一覧に移動します。
選択されたオブジェクトクラスによって、重要属性または作成属性として選択できる Directory Server ソース属性が決まります。また、必須作成属性も、ここで選択されたオブジェクトクラスによって決まります。
「選択された Auxiliary オブジェクトクラス」の一覧から選択項目を削除するには、そのオブジェクトクラス名を選択し、「削除」ボタンをクリックします。
完了したら、「完了」をクリックします。スキーマおよび選択したオブジェクトクラスが読み込まれます。
同期対象のユーザー属性の選択とマッピングが完了したら、Directory Server システムと Windows システム間で属性の作成、変更、および削除を伝播させる方法 (フロー) を Identity Synchronization for Windows に指示します。
デフォルトでは、Identity Synchronization for Windows は次のように動作します。
Windows から Sun Java System Directory Server への同期のみを行う
パスワード属性のみ同期を行う (前の節で重要属性を指定している場合を除く)
エントリの作成または削除の同期を行わない
ここでは、システム間での属性の同期を設定する方法について説明します。ここで説明する内容は、次のとおりです。
Directory Server 環境から Windows サーバーに作成を伝播させる場合は、「オブジェクト作成は Sun Java System Directory Server から Windows に伝播される」にチェックマークを付けます。
Windows 環境から Directory Server に作成を伝播させる場合は、「オブジェクト作成は Windows から Sun Java System Directory Server に伝播される」にチェックマークを付けます。
双方向のフローを設定する場合は、両方のオプションにチェックマークを付けます。
システム間でユーザーの作成を伝播させない場合は、どちらのオプションにもチェックマークを付けません。(デフォルト)。
システム間で同期させる作成属性を追加、編集、または削除するには、選択されているオプションの下にある「作成属性」ボタンをクリックします。
「作成属性のマッピングと値」ダイアログボックスが表示されます。
どちらかのダイアログボックスを使用して、新しい作成属性の指定、既存の属性の編集または削除を行うことができます。詳細については、「新しい作成属性の指定」を参照してください。
ユーザーオブジェクトクラスの必須属性に関するスキーマ制約を満たすために、ユーザー作成時にシステム間で伝播させる追加の属性を指定する場合があります。
「ユーザー属性の選択とマッピング」で説明したように、必須属性を変更属性として指定した場合は、追加の属性は必要ありません。
次に、作成属性を追加し、Active Directory から Directory Server にマッピングする方法について説明します。Directory Server から Windows、または Windows から Directory Server に伝播させる作成属性を追加してマッピングする場合も、同様の手順になります。
「作成属性のマッピングと値」ダイアログボックスの「新規」ボタンをクリックします。
「作成属性のマッピングと値の定義」ダイアログボックスが表示されます。
「Active Directory 属性」ドロップダウンリストから属性値を選択します。
Identity Synchronization for Windows では、属性が複数の値を受け付ける場合は、複数の値で属性を初期化できます。
たとえば、会社に 3 つのファックス番号がある場合、Sun Java System Directory Server と Active Directory の両方に facsilimiletelephonenumber 属性を指定して、3 つの番号を指定できます。
どの属性が複数の値を受け付けるかを把握しておきます。複数の値を受け付けない属性に複数の値を追加しようとすると、プログラムによるオブジェクト作成の実行時にエラーが発生します。
「新しい値」フィールドに値を入力し、「追加」をクリックします
一覧に属性値が追加されます。複数の属性値を追加する場合は、必要な回数だけこの手順を繰り返します。
属性を Directory Server にマッピングするには、「Sun Java System ディレクトリ属性」ドロップダウンリストから属性名を選択します。
完了したら、「OK」をクリックします。
この例では、完了後の作成属性とマッピングの表は次の図のようになります。
別の属性を指定する場合は、同じ手順を繰り返します。
「作成属性のマッピングと値」ダイアログボックスが表示されたら、表から属性を選択し、「編集」ボタンをクリックします。
「作成属性のマッピングと値の定義」ダイアログボックスが表示されます。
ドロップダウンメニューを使用して、Directory Server と Active Directory (または Windows NT) の間の既存のマッピングを変更します。
たとえば、Sun Java System Directory Server の homephone 属性が Active Directory の othertelephone 属性にマッピングされている場合に、Active Directory 属性のドロップダウンリストを使用して、マッピング対象を homephone 属性に変更できます。
完了したら、「OK」をクリックします。変更が適用され、「作成属性のマッピングと値の定義」ダイアログボックスが閉じます。
もう一度「OK」をクリックして「作成属性のマッピングと値」ダイアログボックスを閉じます。
「作成属性のマッピングと値」ダイアログボックスが表示されたら、表から属性を選択し、「削除」ボタンをクリックします。
属性がただちに表から削除されます。
完了したら、「OK」をクリックして「作成属性のマッピングと値」ダイアログボックスを閉じます。
Sun システムと Windows システムの間でユーザー属性とパスワードの変更を伝播させる方法 (フロー) を制御する場合は、「属性の修正」タブを使用します。
このタブでは、次の設定を行います。
Directory Server と Windows のディレクトリソース間で変更を伝播させる方向を指定する。
Directory Server と Active Directory のソース間で、オブジェクトの有効化と無効化 (Active Directory では有効と無効) を同期させるかどうかを制御し、ユーザーアカウントを有効および無効にする方法を指定します。
アカウントの状態を Windows NT ディレクトリソースと同期させることはできません。
次のいずれかのボタンを選択することで、Directory Server 環境と Windows 環境で加えられた変更をシステム間で伝播させる方法を制御します。
「属性の修正は Sun Java System Directory Server から Windows に伝播される」 : Directory Server 環境で加えられた変更が Windows サーバーに伝播します。
「属性の修正は Windows から Sun Java System Directory Server に伝播される」 (デフォルト): Windows 環境で加えられた変更が Directory Server に伝播します。
「属性の修正は両方向に伝播される」: 変更は環境間で双方向に伝播します。
「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けると、Directory Server と Active Directory のソース間でオブジェクトの有効化と無効化 (Active Directory では有効と無効) を同期させることができます。
有効化と無効化を Windows NT ディレクトリソースと同期させることはできません。
「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けます。
次のいずれかのオプションを有効にして、Identity Synchronization for Windows でオブジェクトの有効化と無効化を検出し、同期させる方法を指定します。
「Directory Server の nsAccountLock 属性の直接修正」
これらのオプションは相互に排他的です。
Directory Server コンソールまたはコマンド行ツールを使用してオブジェクトを有効化または無効化する場合は、このオプションを選択します。このオプションを選択すると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。また、ほかのロール (cn=nsdisabledrole, database suffix など)、またはほかのロール内に入れ子にされたロール (cn=nsdisabledrole, database suffix や cn=nsmanageddisabledrole, database suffix など) を使用して無効化されたオブジェクトも検出できなくなります。
Identity Synchronization for Windows では、オブジェクトを有効にする場合、nsroledn 属性から cn=nsmanageddisabledrole, database suffix 値が削除されます。
オブジェクトを無効にする場合は、nsroledn に cn=nsmanageddisabledrole, database suffix 値が追加されます。
「Directory Server ツールと相互運用」オプションを有効にすると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。さらに、ほかのロールによって無効にされたオブジェクトも検出できなくなります。
たとえば、cn=nsdisabledrole, database suffix などのロール、またはほかのロール内で入れ子にされている cn=nsdisabledrole, database suffix や cn=nsmanageddisabledrole, database suffix などのロールがこれに該当します。
「Directory Server ツールとの相互運用」の表に、「Directory Server ツールと相互運用」オプションを有効にした場合に Identity Synchronization for Windows がオブジェクトの有効化と無効化どのようにを検出し、同期させるかを示します。
表 6–1 Directory Server ツールとの相互運用
有効化 |
無効化 |
Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールが削除された場合にのみ有効化を検出します。 |
Identity Synchronization for Windows は、エントリの nsroledn 属性に cn=nsmanageddisabledrole, database suffix ロールが含まれる場合にのみ無効化を検出します。 |
Active Directory からのオブジェクト有効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールを削除することでオブジェクトを有効化します。 |
Active Directory からのオブジェクト無効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトに cn=nsmanageddisabledrole, database suffix ロールを追加することでオブジェクトを無効化します。 |
Directory Server の有効化と無効化が Directory Server のオペレーショナル属性 nsAccountLock に基づく場合は、この方法を使用します。
「Directory Server の nsAccountLock 属性を直接修正」オプションを有効にすると、Identity Synchronization for Windows では、Directory Server コンソールまたはコマンド行ユーティリティーを使用して有効化または無効化されたオブジェクトが検出されなくなります。
この属性は、オブジェクトの状態を次のように制御します。
nsAccountLock=true の場合、オブジェクトは無効化されており、ユーザーはログインできません。
nsAccountLock=false の場合 (または値がない場合)、オブジェクトは有効化されています。
「Directory Server の nsAccountLock 属性の直接修正」の表に、「Directory Server の nsAccountLock 属性を直接修正」オプションを有効にした場合に Identity Synchronization for Windows がオブジェクトの有効化と無効化をどのように検出し、同期させるかを示します。
有効化 |
無効化 |
Identity Synchronization for Windows は、nsAccountLock 属性が true に設定されている場合にのみ、無効化されたオブジェクトを検出します。 |
Identity Synchronization for Windows は、nsAccountLock 属性に値がないか、または false に設定されている場合にのみ、有効化されたオブジェクトを検出します。 |
Active Directory からのオブジェクト無効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を削除します。 |
Active Directory からのオブジェクト有効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を true に設定します。 |
Directory Server の有効化と無効化が Sun Java System Access Manager (従来の Sun JES Identity Server) などの外部アプリケーションによって排他的に制御される場合は、この方法を使用します。
Directory Server のカスタムメソッドを設定する場合は、次の方法を指定します。
外部アプリケーションによって Directory Server 内のオブジェクトが有効化または無効化されたことを Identity Synchronization for Windows が検出する方法。
Active Directory から Directory Server への同期時に、Identity Synchronization for Windows がオブジェクトを有効化または無効化する方法。
「Directory Server のカスタムメソッドを使用」オプションを有効にすると、ディレクトリへのアクセスが Access Manager などの外部アプリケーションによって制御されている場合を除き、Identity Synchronization for Windows はオブジェクトをディレクトリからロックアウトできなくなります。
有効化と無効化のカスタムメソッドを設定するには、「設定」ボタンをクリックして「Directory Server のカスタムメソッドの設定」ダイアログボックスを表示します。
このダイアログボックスには次の機能があります。
「アクティブ化状態の属性」ドロップダウンリスト: このリストでは、Directory Server と Active Directory の間で有効化と無効化を同期するときに Identity Synchronization for Windows が使用する属性を指定します。
このリストには、現在選択している Directory Server の Structural オブジェクトクラスと Auxiliary オブジェクトクラスのスキーマに含まれるすべての属性が表示されます。
「値」と「状態」の表: この表では、選択した属性と関連付けられている値がどのような場合に有効化または無効化されるかを指定します。
「値」列: この列では、「新規」ボタンと「削除」ボタンを使用して、有効化または無効化の状態を示すために使用される属性値を指定します。
この列には、次の 2 つの値が自動的に表示されます。
「値なし」: 有効化状態属性に値がない場合。
「ほかのすべての値」: 有効化状態属性に値があるが、その値が、値と状態の表に指定されていない場合。
「状態」列: この列では、同じ行の「値」のエントリが一致した場合に、オブジェクトを有効とみなすか無効とみなすかを指定します。
値 |
状態 |
結果 |
値なし |
有効 |
属性が存在しないか、または値を持たない場合に、有効なオブジェクトとして検出されます。 |
無効 |
属性が存在しないか、または値を持たない場合に、無効なオブジェクトとして検出されます。 |
|
user-defined 値 |
有効 |
属性が user-defined 属性を持つ場合に、有効なオブジェクトとして検出されます。 |
無効 |
属性が user-defined 属性を持つ場合に、無効なオブジェクトとして検出されます。 |
|
ほかのすべての値: |
有効 |
属性が持つ値が表に指定されていない場合に、有効なオブジェクトとして検出されます。 |
無効 |
属性が持つ値が表に指定されていない場合に、無効なオブジェクトとして検出されます。 |
「新規」ボタン: 「値」列に新しい値を追加する場合は、このボタンをクリックします。
「削除」ボタン: 「値」列からエントリを削除する場合は、そのエントリを選択して、このボタンをクリックします。
「有効化される値」および「無効化される値」ドロップダウンリスト : この 2 つのリストでは、Identity Synchronization for Windows がオブジェクトの状態を設定するときに使用する値を指定します。
有効化と無効化の同期
「アクティブ化状態の属性」ドロップダウンリストから属性を選択します。
「新規」ボタンをクリックし、表の「値」列に値を追加します。
「値」列の各エントリと同じ行の「状態」列をクリックし、表示されるドロップダウンリストから「有効」または「無効」を選択します。
たとえば、Access Manager を使用している場合は、次のように指定します。
「アクティブ化状態の属性」ドロップダウンリストから inetuserstatus 属性を選択します。
「新規」ボタンをクリックし、表の「値」列に active、inactive、および deleted の各属性値を入力します
各値に対応する「状態」列をクリックし、次のように、「有効」または「無効」を選択します。
「値なし」: 有効
「active」: 有効
「inactive」: 無効
「deleted」: 無効
「ほかのすべての値」: 無効
「Directory Server のカスタムメソッドの使用」では、この inetuserstatus の例に基づいて、「Directory Server のカスタムメソッドを使用」オプションを有効にした場合に Identity Synchronization for Windows が有効化と無効化の検出と同期を行う方法を説明します。
値 |
状態 |
結果 |
値なし |
有効 |
inetuserstatus 属性が存在しないか、または値を持たない場合に、有効なオブジェクトとして検出されます。 |
active |
有効 |
属性値が active の場合に、有効なオブジェクトとして検出されます。 |
inactive |
無効 |
属性値が inactive の場合に、無効なオブジェクトとして検出されます。 |
deleted |
無効 |
属性値が deleted の場合に、無効なオブジェクトとして検出されます。 |
ほかのすべての値: |
無効 |
属性が持つ値が表に指定されていない場合に、無効なオブジェクトとして検出されます。 |
有効化と無効化の設定
「値」と「状態」の表を設定すると、「有効化される値」と「無効化される値」のドロップダウンリストが自動的に次のように生成されます。
「有効化される値」リストには、状態が「有効」のすべての値が含まれます (「値なし」、「active」など)。
「無効化される値」リストには、状態が「無効」のすべての値が含まれます (「inactive」 、「deleted」 など)。
「ほかのすべての値」の値はどちらのリストにも含まれません。
Active Directory から同期されるオブジェクトを Identity Synchronization for Windows が有効化または無効化する方法を指定するには、「有効化される値」と「無効化される値」のいずれかまたは両方のドロップダウンリストから値を選択します。
「有効化される値」: オブジェクトの有効化状態を制御します。
「値なし」: オブジェクトに「active」の値が含まれていない場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。
「active」: オブジェクトに「active」の値が含まれている場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。
「無効化される値」: オブジェクトの有効化状態を制御します。
「inactive」または「deleted」: Identity Synchronization for Windows は Directory Server 側のオブジェクトの状態を無効に設定します。
「なし」: 有効な設定ではありません。値を選択してください。
無効化される値を指定してください。指定しない場合、設定は無効となります。
設定が完了した「Directory Server のカスタムメソッドの設定」ダイアログボックスの図を次に示します。
Directory Server と Active Directory 間のグループ同期を有効にすると、グループの作成、グループの削除、およびグループ内のメンバーシップの変更を同期できます。
Windows NT ディレクトリソースでは、グループ同期はサポートされません。
「グループ」タブで、「グループ同期を使用可能にする」チェックボックスにチェックマークを付けます。
次のいずれかのグループ同期方法を選択し、Identity Synchronization for Windows でさまざまなグループの検出と同期を行う方法を指定します。
ドメイングローバルセキュリティー
ドメイングローバル配布
ドメイングローバルセキュリティー、ドメイングローバル配布、および Active Directory の詳細については、Microsoft Active Directory のドキュメントを参照してください。
グループ同期に関する属性を手動でマッピングする必要はありません。「保存」をクリックすると、属性は自動的にマッピングされます。
userpassword 属性と unicodepwd 属性のマッピングを変更しないでください。
グループ同期を無効にするには、「グループ同期を使用可能にする」チェックボックスのチェックマークを外します。
または、コマンド行ツールの idsync groupsync を使用してグループ同期の有効と無効を切り替えることもできます。詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。
アカウントのロックアウト機能を有効にするには、次の操作を行います。
Active Directory と Directory Server の両方に同じパスワードポリシーを設定する。
アカウントのロックアウトを有効にする。
Directory Server と Active Directory で異なっている属性を対応付ける。
Identity Synchronization for Windows では、Active Directory と Directory Server の間で次のイベント同期を行うことができます。
ロックアウトイベントの同期 (Active Directory から Directory Server へ)
ロックアウトイベントの同期 (Directory Server から Active Directory へ)
手動でのロックアウト解除イベントの同期 (Active Directory から Directory Server へ)
手動でのロックアウト解除イベントの同期 (Directory Server から Active Directory へ)
Windows NT ディレクトリサーバーでは、アカウントのロックアウトとロックアウト解除の同期はサポートされません。
アカウントのロックアウト機能を有効にする前に、両方のコンポーネントで属性 lockoutDuration を同じ値に設定してください。また、分散セットアップに関係するすべてのシステム間で時刻が一致していることも確認してください。時刻が一致していないと、lockoutDuration の設定がシステム間の時刻差よりも短い場合に、ロックアウトイベントが期限切れとなる可能性があります。
Active Directory と Directory Server の両方に同じパスワードポリシーを設定してください。たとえば、Active Directory のパスワードポリシーで永続的なロックアウトが指定されている場合は、Directory Server でも同じパスワードポリシーを設定するようにしてください。
Directory Server と Active Directory の間のアカウントロックアウトの同期を有効にします。
アカウントのロックアウトを有効にするために、Directory Server の pwdaccountlockedtime 属性と Active Directory の lockoutTime 属性を明示的にマッピングする必要はありません。Identity Synchronization for Windows の設定パネルの「アカウントのロックアウト」タブで、「アカウントロックアウト同期を有効にする」チェックボックスにチェックマークを付けます。
コマンド行ツールの idsync accountlockout を使用してアカウントロックアウトの同期の有効と無効を切り替えることもできます。詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。
Directory Server システムと Active Directory システムの間でユーザーエントリの削除を伝播させる方法を指定するには、「オブジェクトの削除」タブを使用します
Windows NT ではオブジェクト削除のフローを指定できません。
ナビゲーション区画の最上部にある「Identity Synchronization for Windows」ノードを選択し、「オブジェクトの削除」タブをクリックします
次のように削除のフローを有効または無効にします。
Sun Directory Server 環境から Active Directory サーバーに削除を伝播させる場合は、「オブジェクトの削除は Sun Java System Directory Server から Active Directory に伝播される」にチェックマークを付けます。
Active Directory 環境から Sun Directory Server に削除を伝播させる場合は、「オブジェクトの削除は Active Directory から Sun Java System Directory Server に伝播される」にチェックマークを付けます。
双方向のフローを設定する場合は、両方のオプションにチェックマークを付けます。
システム間でユーザーの削除を伝播させない場合は、どちらのオプションにもチェックマークを付けません (デフォルト設定)。
同期ユーザーリスト (SUL) では、Active Directory と Sun Directory Server で同期の対象にするユーザーを指定します。SUL に指定されたすべてのエントリはコネクタを通過し、その SUL に設定されている制約と照合して評価されます。
各 SUL には 2 つの要素が含まれます。1 つは同期対象の Directory Server ユーザーを識別し、もう 1 つは同期対象の Windows ユーザーを識別します。
Directory Server のユーザーを複数の Active Directory ドメインと同期させる場合は、Active Directory ドメインごとに SUL を定義します。
定義のコンポーネント、複数の SUL を定義する方法、複数の SUL を処理する方法、複数の Windows ドメインのサポートを設定する方法など、SUL の定義と設定の詳細については、付録 D 「Identity Synchronization for Windows の同期ユーザーリストの定義と設定」を参照してください。
どちらの SUL 要素にも、同期対象のユーザーを識別するための 3 つの定義が含まれます。
ネーミング属性: 新規作成ユーザー (作成式) に使用される属性 (NT には該当しない)
ナビゲーションツリーで「同期リスト」ノードを選択し、「新規同期ユーザーリスト」ボタンをクリックします。
「同期ユーザーリストの定義」ウィザードが表示されます。
デフォルトでは、最初の同期ユーザーリストの名前は SUL1 になります。
デフォルトの名前をそのまま使用する場合は、「次へ」をクリックします。
別の名前を使用する場合は、「名前」フィールドに別の名前を入力してから、「次へ」をクリックします。
SUL 名には空白文字や句読文字を使用しないでください。
システム内で一意の名前を指定してください。
「Windows の条件の指定」パネルが表示されます。
ドロップダウンリストから Windows ディレクトリソースを選択します。
「完了」ボタンをクリックして SUL を作成したあとで、この SUL に含まれる Active Directory または Directory Server のディレクトリソースを編集することはできません。グループ同期機能が有効になっている場合、「Sun Java System Directory Server の条件の指定」パネルの作成式は uid=%uid% または cn=%cn% になります。
「ユーザーセットドメイン」は、同期対象となるすべてのユーザーのセットです。次のいずれかの方法で、「ユーザーセットドメイン」の「ベース DN」を入力します。
テキストフィールドに名前を入力します (たとえば、DC=example,DC=com)。
「参照」ボタンをクリックして「セットベース DN」ダイアログボックスを開き、ベース DN を探して選択します。
フィルタを使用して明示的に除外しないかぎり、指定したベース DN の下のすべてのユーザーがこの SUL に含まれます。
Windows NT マシンでは、ベース DN と作成式は使用できません。
「完了」ボタンをクリックして SUL を作成したあとで、この SUL に含まれる Active Directory または Directory Server のディレクトリソースを編集することはできません。グループ同期機能が有効になっている場合、「Sun Java System Directory Server の条件の指定」パネルの作成式は uid=%uid% になります。
等価フィルタ、プレゼンスフィルタ、または部分文字列フィルタを入力して、このベース DN 内で同期対象にするユーザーを指定できます。たとえば、複数の同期ユーザーリストで同じベース DN を使用する場合は、フィルタを使用してリストを区別できます。
等価フィルタの構文は、LDAP クエリの構文に似ています。ただし、等価部分文字列で使用できる文字は *、&、|、=、! だけです。たとえば、次のフィルタを使用して、SUL から管理者を除外できます。
(!(cn=Administrator))
「作成式」フィールドは自動的に生成されるはずです。
作成式は、新しいエントリが Active Directory から Directory Server に伝播するときに使用される親 DN とネーミング属性を定義します。
ユーザー属性の作成が Active Directory から Directory Server に伝播するように設定していない場合は、Sun のディレクトリで作成式を使用できません。詳細については、「オブジェクト作成のフローの指定」を参照してください。
作成式が指定されていない場合、または既存のエントリを変更する場合は、Windows Active Directory のすべての同期ユーザーリストに適用される作成式を入力できます。次にその例を示します。
cn=%cn% ,cl=users,dc=example,dc=com
作成式を変更する場合は、同期対象にする属性を選択します。必要に応じて、「オブジェクトの作成」タブに戻り、「作成属性」ボタンをクリックして、この属性の追加とマッピングを行ってください。
「次へ」をクリックして、Sun Java System Directory Server の条件を指定します。
「Sun Java System Directory Server の条件の指定」パネルが表示されたら、手順 2 〜 5 を繰り返して、Directory Server の条件を指定します。
「完了」ボタンをクリックして SUL を作成したあとで、この SUL に含まれる Active Directory または Directory Server のディレクトリソースを編集することはできません。
完了したら、「完了」をクリックします。
ナビゲーションツリーに新しい SUL ノードが追加され、「設定」タブに「同期リスト」パネルが表示されます。
ユーザーが複数のリストと一致する場合は、「ドメイン重複の解決」ボタンをクリックして 同期ユーザーリストの設定を定義します。
ネットワーク内の、Directory Server を除くすべてのディレクトリソースを格納する同期ユーザーリストを作成します。
設定が評価され、「設定の妥当性状態」ウィンドウが表示されます。
このパネルでは、設定が有効であるか、または修正が必要な設定上の問題があるかを確認します。
設定ディレクトリの情報が書き換えられ、システムマネージャーに通知されるため、設定の保存には数分かかることがあります。
システムマネージャー (コアコンポーネント) は、情報を必要とするコンポーネントに設定情報を配布します。
エラーがある状態では、設定を保存できません。
警告がある状態では、設定を保存できますが、保存前に警告を解消しておくことをお勧めします。
設定が有効であれば、「続行」をクリックして設定を保存します。
「コネクタのインストール方法」ダイアログボックスが表示され、Identity Synchronization for Windows のコネクタとサブコンポーネントのインストールに関する手順が示されます。
この一覧は、この時点で更新され、配備に応じてカスタマイズされた実行手順リストが表示されるようになっています 。(この時点までは、汎用の手順が示されていた。)実行手順リストへのアクセスと更新は、Identity Synchronization for Windows コンソールの「状態」タブでも行えます。
表示される情報をよく読み、「OK」をクリックします。
コアの初期設定が完了したら、Identity Synchronization for Windows のコネクタとサブコンポーネントをインストールできます。手順については、第 3 章「製品の理解」を参照してください。