test

Sun Java System Directory Server Enterprise Edition 6.3 インストールガイド

第 6 章 コアリソースの設定

Identity Synchronization for Windows コアをインストールしたら、ただちにコアリソースの初期設定を行います。

この章では、コンソールを使用してコアリソースを追加および設定する方法について説明します。この章は、次の節で構成されています。

注 –

コアリソースを効率的に設定するため、Directory Server と Active Directory の設定および操作方法を理解しておきます。

これらのリソースは、特に明記されていないかぎり、特定の順序で設定する必要はありません。ただし、製品に精通するまでは、この章で説明する順序で設定を行う方が時間の節約となり、エラーも防止できます。

設定の概要

この節では、配備に必要なコアリソースを設定する手順について説明します。

図 6–1 配備に必要なコアリソースの設定

配備に必要なコアリソースの設定手順を示すフロー図。

Identity Synchronization for Windows コンソールを開く

Sun Java System サーバーコンソールウィンドウには、管理の対象となるすべてのサーバーおよびリソースの一覧と、システムに関する情報が表示されます。

図 6–2 Sun Java System サーバーコンソール

Sun Java System サーバーコンソール

注 –

Sun Java System サーバーコンソールにまだログインしていない場合は、図 5–9 を参照し、ログインしてください。

ProcedureIdentity Synchronization for Windows コンソールを開く

  1. 「サーバーとアプリケーション」タブのナビゲーションツリーで、Identity Synchronization for Windows インスタンスが属するサーバーグループが含まれているホスト名のノードを選択します。

  2. 「サーバーグループ」ノードを展開し、「Identity Synchronization for Windows」ノードを選択します。

    図 6–3 サーバーグループの展開

    「サーバーグループ」ノードを展開し、「Identity Synchronization for Windows」を選択します。

    情報パネルの内容が、Identity Synchronization for Windows とシステムに関する情報に切り替わります。

    図 6–4 情報パネル

    Identity Synchronization for Windows の情報パネル

  3. パネルの右上端にある「開く」ボタンをクリックします。

    注 –

    パネルの下部にある「編集」ボタンをクリックすると、サーバー名と説明を編集できます。

  4. コアのインストール時に指定した設定パスワードの入力を求められます。パスワードを入力し、「OK」をクリックします。

    次のような Identity Synchronization for Windows コンソールが表示されます。

    図 6–5 コンソール:「タスク」タブ

    デフォルトでは、Identity Synchronization for Windows コンソールを開くと「タスク」タブが表示されます。

    このウィンドウには、3 つのタブがあります。

    • 「タスク」(デフォルト): このタブでは、Sun と Windows のシステム間の同期を起動および停止します。サービスの起動と停止については、「同期の起動および停止」を参照してください。

    注 –

    同期サービスの起動と停止を、Windows サービスの開始と停止と混同しないでください。

    Windows サービスを開始または停止するときは、Windows の「スタート」メニューから「コントロール パネル」->「管理ツール」->「コンピュータの管理」->「サービスとアプリケーション」->「サービス」の順にアクセスします。

    • 設定」: このタブでは、システムの同期を設定します。

    • 状態」: このタブでは、次の操作を行います。

      • コネクタなどのシステムコンポーネントの状態を監視する。

      • 設定時および同期時に Identity Synchronization for Windows が生成する監査ログとエラーログを表示する。

      • インストールと設定の実行手順リストの更新とチェックを行う。

  5. 「設定」タブを選択します。

    図 6–6 コンソール:「設定」タブ

    「設定」タブ

    「設定」パネルは、次のタブから構成されます。

    • 属性」: このタブでは、システム間で同期させる属性を指定します。

      • 属性の修正」: このタブでは、パスワード、属性変更、およびオブジェクトの無効化をシステム間で伝播させる方法を指定します。

      • オブジェクトの作成」: このタブでは、新しく作成されたパスワードと属性をシステム間で伝播させる方法、および同期時に Identity Synchronization for Windows が作成するオブジェクトの初期値を指定します。

      • オブジェクトの削除」: このタブでは、削除されたパスワードと属性をシステム間で伝播させる方法を指定します。

        少なくとも 1 つの Sun Java System Directory Server ディレクトリソースと、少なくとも 1 つの Windows サーバーディレクトリソース (Active Directory または Windows NT) を設定します。手順については、次の節を参照してください。

ディレクトリソースの作成

Procedureディレクトリソースを作成する

同期対象のソースに基づいて、次の順序でディレクトリソースを作成します。

  1. 「Sun Java System ディレクトリソースの作成」

  2. 「Sun ディレクトリソースの準備」

  3. 「Active Directory ソースの作成」

  4. 「Windows NT SAM ディレクトリソースの作成」

    注 –

    少なくとも 1 つの Sun Java System ディレクトリソースと、少なくとも 1 つの Windows ディレクトリソース (Active Directory、NT SAM のいずれかまたは両方) を設定してください。

    ナビゲーションツリーで「ディレクトリソース」ノードを選択して「ディレクトリソース」パネルを表示します。

    図 6–7 「ディレクトリソース」パネルへのアクセス

    「ディレクトリソース」ノードをクリックして「ディレクトリソース」パネルを表示します。

Sun Java System ディレクトリソースの作成

各 Sun Java System ディレクトリソースは、複数のサーバーから構成されるレプリケーション環境に配備できるコネクタおよびプラグインセットと関連付けられています。ディレクトリサーバーコネクタでは、Windows ディレクトリソースから優先サーバー (マスター) に変更を同期できます。優先サーバーがダウンした場合は、優先サーバーが復帰するまで、副サーバーリスト内に設定されている順序に従って、副サーバーに変更がフェイルオーバーされます。Directory Server レプリケーションでは、優先サーバー (マスター) から、トポロジ内に設定されているその他の優先副サーバーに変更がレプリケートされます。どのディレクトリサーバープラグインでも Windows ディレクトリソースによるパスワード妥当性チェックが可能であり、ユーザーはどのサーバーからでもパスワードを変更できます。

Procedure新しい Sun Java System ディレクトリソースを作成する

  1. 「新規 Sun ディレクトリソース」ボタンをクリックして、「Sun Java System ディレクトリソースの定義」ウィザードを起動します。

    図 6–8 ルートサフィックスの選択

    このパネルでは、ルートサフィックスを指定します。

    既知の設定ディレクトリソースセットが照会され、既存のルートサフィックス (ネーミングコンテキストとも呼ばれる) が一覧に表示されます。

    デフォルトでは、製品がインストールされている設定ディレクトリが認識され、その設定ディレクトリで認識されているルートサフィックスが一覧に表示されます。

  2. 一覧から、ユーザーが配置されているルートサフィックスを選択します。複数のルートサフィックスが表示される場合は、ユーザーが配置されているルートサフィックスを選択します。「次へ」をクリックします。

    同期対象のルートサフィックスが、Identity Synchronization for Windows に登録されている設定ディレクトリと関連付けられていない場合は、次の手順に従って新しい設定ディレクトリを指定します。

    1. 「設定ディレクトリ」ボタンをクリックし、新しい設定ディレクトリを指定します。

    2. 「設定ディレクトリ」ダイアログボックス (手順 3) が表示されたら、「新規」ボタンをクリックして「新規設定ディレクトリ」ダイアログボックスを開きます。

      図 6–9 新しい設定ディレクトリの選択

      「新規設定ディレクトリ」ダイアログボックスでは、新しい設定ディレクトリを指定します。

    3. 次の情報を入力し、「OK」をクリックします。変更が保存され、ダイアログボックスが閉じます。

      • 「ホスト」: 完全修飾ホスト名を入力します。

        例: machine1.example.com

      • 「ポート」: 有効な未使用の LDAP ポート番号を入力します。(デフォルトは 389)

        Identity Synchronization for Windows で設定ディレクトリとの通信に SSL (Secure Socket Layer) を使用する場合は、「このポートに SSL を使用する」ボックスにチェックマークを付けます。

      • 「ユーザー DN」: 管理者の (バインド) 識別名を入力します。たとえば、uid=admin,ou=Administrators,ou=TopologyManagement,o=NetscapeRoot のように指定します。

      • 「パスワード」: 管理者のパスワードを入力します。

        指定された設定ディレクトリが照会され、そのディレクトリが管理するすべてのディレクトリサーバーが特定されます。

        注 –

        Identity Synchronization for Windows では、Sun Java System Directory Server ソースごとに 1 つのルートサフィックスのみがサポートされます。

        設定ディレクトリの編集と削除

        「設定ディレクトリ」ダイアログボックスでは、次のように、設定ディレクトリの一覧を管理することもできます。

      • 一覧から設定ディレクトリを選択し、「編集」ボタンをクリックします。「設定ディレクトリの編集」ダイアログが表示され、ホスト、ポート、セキュリティー保護されたポート、ユーザー名、パスワードの各パラメータを変更できます。

      • 一覧から設定ディレクトリを選択して「削除」をクリックすると、そのディレクトリが一覧から削除されます。

    4. 「OK」をクリックして「設定ディレクトリ」ダイアログボックスを閉じます。新しく選択した設定ディレクトリのルートサフィックスが一覧に表示されます。

      Directory Server ではデフォルトで、 マシンの DNS ドメインエントリのコンポーネントに対応するプレフィックスを持つルートサフィックスが作成されます。次の形式のサフィックスが使用されます。

      dc=your_machine’s_DNS_domain_name

      つまり、マシンのドメインが example.com であれば、サーバーのサフィックスを dc=example, dc=com に設定するようにします。選択したサフィックスで命名するエントリは、ディレクトリ内にすでに存在している必要があります。

    5. ルートサフィックスを選択し、「次へ」をクリックします。

      「優先サーバーの指定」パネルが表示されます (「Sun Java System ディレクトリソースの作成」を参照)。

      図 6–10 優先サーバーの指定

      「優先サーバーの指定」パネルでは、Sun Java System Directory Server を選択します。

      Identity Synchronization for Windows は、優先 Directory Server を使用して、Directory Server マスターに加えられた変更を検出します。優先サーバーは、Windows システムで加えられた変更が Sun Java System Directory Server システムに適用される一次的な場所としても機能します。

      優先マスターサーバーに障害が発生した場合は、優先サーバー (マスター) がオンラインに復帰するまで、副サーバーに変更を格納できます。

  3. 次のいずれかの方法で、優先サーバーを選択します。

    • 「既知のサーバーの選択」オプションを選択し、ドロップダウンリストからサーバー名を選択します。

      注 –

      リストには、稼働している Directory Server のみが表示されます。サーバーが一時的にダウンしている場合は、「ホスト名とポートを入力してサーバーを指定」オプションを選択し、サーバー情報を手動で入力します。

      Directory Server が通信に SSL を使用するように設定する場合は、「セキュア通信に SSL を使用」ボックスを有効にします。ただし、この機能を有効にすると、インストール後に追加の設定手順が必要になります。詳細については、「Directory Server での SSL の有効化」を参照してください。

    • 「ホスト名とポートを入力してサーバーを指定」オプションを選択し、サーバーのホスト名とポートを各テキストフィールドに入力します。

      指定したポートで SSL を使用する場合は、「このポートに SSL を使用する」チェックボックスにチェックマークを付けます。

  4. 「次へ」をクリックして「二次サーバーを指定します。」パネルを表示します。

    図 6–11 フェイルオーバーサポート用の副サーバーの指定

    副サーバーを選択します。

    副サーバーを追加、編集、または削除できます。

    • 「新規」ボタンをクリックすると、「Sun ディレクトリソースを追加」ダイアログボックスが表示されます。ホスト名、ポート、ユーザー DN、パスワードを入力し、「OK」をクリックします。これらのフィールドの詳細については、手順 c を参照してください。

    • 「編集」ボタンをクリックすると、「Sun ディレクトリソースを編集」ダイアログボックスが表示されます。ホスト名、ポート、ユーザー DN、パスワードを入力し、「OK」をクリックします。これらのフィールドの詳細については、手順 c を参照してください。

    • 「二次サーバー」の一覧で、削除するサーバーを選択し、「削除」ボタンをクリックします。

  5. 副 Directory Server を指定するには、一覧からサーバー名を選択し、「次へ」をクリックします。

    注 –

    • 指定する Directory Server が稼働していない場合、サーバー名は一覧に表示されません

    • Sun ディレクトリソースの優先サーバーと副サーバーの両方に、同じホスト名とポートを使用しないでください。

    • セキュリティー保護されたポート機能を有効にすると、インストール後に追加の設定手順が必要になります。詳細については、「Directory Server での SSL の有効化」を参照してください。

    副サーバーを指定しない場合は、「次へ」をクリックしてください。

  6. セキュリティーで保護された SSL 通信を使用する場合は、次の注意を読み、どちらか一方または両方のオプションにチェックマークを付けます。

    図 6–12 拡張セキュリティーオプションの指定

    拡張セキュリティーオプションを指定するには、「プラグインと Active Directory の通信に SSL を使用」にチェックマークを付けます。

    注 –

    ユーザーバインドまたはパスワード変更を行う各 Directory Server (マスター、レプリカ、またはハブ) にディレクトリサーバープラグインをインストールします。

    ディレクトリサーバープラグインでパスワードと属性を Active Directory と同期させる場合は、ユーザーとそのパスワードを検索するために、プラグインを Active Directory にバインドします。また、プラグインによって、セントラルログと Directory Server のログにログメッセージが書き込まれます。デフォルトでは、これらの通信に SSL は使用されません。

    • チャネル通信のみを暗号化する場合、またはチャネル通信を暗号化し、証明書を使用して Directory Server とディレクトリサーバーコネクタの間で参加者の ID を確実に検証するには、「信頼できる SSL の証明書を要求」ボックスにチェックマークを付けます。

      証明書を信頼しない場合は、チェックマークを外します。

    • Active Directory ディレクトリサーバープラグインと Active Directory の間の通信にセキュリティーで保護された SSL を使用する場合は、「プラグインと Active Directory の通信に SSL を使用」ボックスにチェックマークを付けます。

    これらの機能を有効にすると、インストール後に追加設定が必要になります。「Directory Server での SSL の有効化」を参照してください。

  7. 「拡張セキュリティーオプションの指定」パネルの設定が完了したら、「完了」をクリックします。

    ナビゲーションツリーの「ディレクトリソース」の下に、選択したディレクトリソースが追加され、「Directory Server の準備を直ちに行いますか ?」ダイアログボックスが表示されます。

    Identity Synchronization for Windows で使用できるように Directory Server を準備します。この作業は今実行しても、あとで実行してもかまいません。ただし、コネクタをインストールする前に Directory Server の準備を完了してください。コネクタのインストール手順については、第 7 章「コネクタのインストール」を参照してください。

Sun ディレクトリソースの準備

この節では、Identity Synchronization for Windows で使用できるように Sun ディレクトリソースを準備する方法について説明します。

Directory Server の準備では次の作業を行います。

注 –
図 6–13 ディレクトリマネージャーの資格の入力

ディレクトリマネージャーの資格を入力します。

注 –

このウィザードにアクセスするには、次のいずれかの方法を使用します。

ProcedureDirectory Server ソースを準備する

  1. ディレクトリマネージャーアカウントの次の資格を入力します。

    • ディレクトリマネージャーユーザー名

    • ディレクトリマネージャーパスワード

      副ホストを使用している場合は (MMR 構成)、「二次ホスト」オプションが設定可能になるので、これらのホストの資格も指定します。

  2. 入力が完了したら、「次へ」をクリックして「準備設定の指定」パネルを表示します。

    図 6–14 準備設定の指定

    インデックスをすぐに作成するか、あとで作成するかを決めます。

    警告メッセージを読み、Directory Server インデックスをすぐに作成するか、あとで作成するかを決めます。

    注 –

    • データベースのサイズによっては、この処理に少し時間がかかることがあります。

    • データベースが読み取り専用モードの場合は、データベース内の情報を更新できません。

    • データベースをオフラインにすると、インデックスを高速に作成できます。

    • インデックスをすぐに作成するときは、「データベース <データベース名> のインデックスの作成」ボックスにチェックマークを付け、「次へ」をクリックします。

    • インデックスをあとで (手動またはもう一度ウィザードを実行して) 作成する場合は、「データベース <データベース名> のインデックスの作成」ボックスのチェックマークを外し、「次へ」をクリックします。

  3. 「準備状態」パネルが表示され、Directory Server の準備の進捗状況に関する情報が示されます。

    • メッセージ区画の下部に「成功」メッセージが表示されたら、「完了」をクリックします。

    • エラーメッセージが表示された場合は、指摘された問題を解決してから、操作を続行します。詳細については、エラーログ (「状態」タブを参照) を確認してください。

  4. コンソールの「設定」タブに戻ります。ナビゲーションツリーで Sun ディレクトリソースノードを選択し、「Sun ディレクトリソース」パネルを表示します。

    図 6–15 「Sun ディレクトリソース」パネル

    「Sun ディレクトリソース」パネルには、選択しているディレクトリ ソースに関する情報が表示されます。

    このパネルから、次のタスクを実行できます。

    • 「サーバーの編集」: このボタンをクリックすると、「Sun Java System ディレクトリソースの定義」パネルが表示され、サーバーの設定パラメータを変更できます。操作方法については、「Sun Java System ディレクトリソースの作成」を参照してください。

      注 –

      優先 Sun ディレクトリソースの旧バージョン形式の更新履歴ログデータベースを再作成する場合、デフォルトのアクセス制御設定が適用されるとディレクトリサーバーコネクタはデータベースの内容を読み込めません。

      新しい旧バージョン形式の更新履歴ログデータベースのアクセス制御設定を復元するには、idsync prepds を実行するか、またはコンソールで適切な Sun ディレクトリソースを選択して「Directory Server の準備」ボタンをクリックします。

    • 「Directory Server の準備」: Directory Server を準備するときは、このボタンをクリックし、「Sun ディレクトリソースの準備」の操作手順に従います。

      インデックスが削除された場合や、旧バージョン形式の更新履歴ログデータベースを失った場合など、最初にサーバーを準備したあとで Directory Server に変更が生じたときは、サーバーの準備を再度実行できます。

    • 再同期間隔: ディレクトリサーバーコネクタが変更を確認する頻度を指定します。(デフォルトは 1000 ミリ秒)

  5. 同期対象の Sun Java System Directory Server エンタープライズ内のユーザー入力ごとに Directory Server ディレクトリソースを追加します。

    完了したら、少なくとも 1 つの Windows ディレクトリソースを作成します。

Active Directory ソースの作成

Active Directory ディレクトリソースは、ネットワーク上で同期させる Windows ドメインごとに追加するようにしてください。

Active Directory の各配備には、すべての Active Directory ドメインに適用されるグローバル情報がすべて記録されたグローバルカタログが、少なくとも 1 つあります。グローバルカタログにアクセスするには、デフォルトのアクセス権を変更していなければ、通常のユーザーに与えられている権限で十分です。

注 –

各 Active Directory サーバーをグローバルカタログとし、配備に複数のグローバルカタログを持たせることもできますが、指定が必要なグローバルカタログの数は 1 つだけです。

Procedureネットワークに Windows Active Directory サーバーを設定および作成する

ネットワークに Windows Active Directory サーバーが存在する場合は、次の手順を実行します。

  1. ナビゲーションツリーで「ディレクトリソース」ノードを選択し、「ディレクトリソース」パネルの「新規 Active Directory ソース」ボタンをクリックします。

    「Windows グローバルカタログ」ダイアログボックスが表示されます。

    図 6–16 「Windows グローバルカタログ」ダイアログ ボックス

    Active Directory グローバルカタログのホスト、ポート、および資格を指定します。

  2. 次の情報を入力し、「OK」をクリックします。

    • 「ホスト」: Active Directory フォレストのグローバルカタログを保持するマシンの完全修飾ホスト名を入力します。

      例: machine2.example.com

    • 「このポートに SSL を使用する」: Identity Synchronization for Windows でグローバルカタログとの通信に SSL ポートを使用する場合は、このオプションを有効にします。

    • 「ユーザー DN」 : 管理者の (バインド) 完全修飾識別名を入力します。スキーマを参照し、システムで使用できる Active Directory ドメインを特定できる資格があれば、どのような DN でも指定できます。

      例: cn=Administrator,cn=Users,dc=example,dc=com

    • 「パスワード」: 指定したユーザーのパスワードを入力します。

  3. 次のような「Active Directory ソースの定義」ウィザードが表示されます。

    図 6–17 「Active Directory ソースの定義」ウィザード

    Active Directory ドメインを選択します。

    Active Directory グローバルカタログが照会されて、存在するその他のドメインが特定され、それらのドメインが「ドメイン」の一覧に表示されます。

  4. 一覧から名前を選択して Active Directory ドメインを指定し、「OK」をクリックします。

    使用するドメインが一覧に表示されない場合は、次の手順を使用して、そのドメインを認識するグローバルカタログを追加します。

    1. 「グローバルカタログ」ボタンをクリックして「グローバルカタログ」ウィザードを表示します。

      図 6–18 新しいグローバルカタログの指定

      新しい Active Directory グローバルカタログを作成します。

    2. 「新規」ボタンをクリックします。

    3. 「Windows グローバルカタログ」ダイアログボックスが表示されるので、グローバルカタログのホスト名と、ディレクトリソースの資格 (手順 2 を参照) を入力し、「OK」をクリックします。

    4. 「グローバルカタログ」の一覧に新しいグローバルカタログとポートが表示されます。カタログ名を選択し、「OK」をクリックします。

    5. さらにグローバルカタログ (ドメイン) をシステムに追加する場合は、これらの手順を繰り返します。

    6. 完了したら、「ドメインの選択」区画の「次へ」ボタンをクリックします。

  5. 「クレデンシャルの指定」パネルが表示されたら、「ユーザー DN」フィールドの値を確認します

    図 6–19 この Active Directory ソースの資格の指定

    管理者の資格を指定します。

    管理者の識別名が「ユーザー DN」フィールドに自動的に入力されない場合、または自動入力された管理者の資格を使用しない場合は、ユーザー DN とパスワードを手動で入力します。

    Active Directory ソースを設定するときは、Active Directory コネクタが Active Directory との接続に使用できるユーザー名とパスワードを指定します。

    注 –

    コネクタには特定のアクセス権が必要です。次に示すように、最小限の権限は、同期の方向によって異なります。

    • Active Directory から Directory Server への同期フローのみを設定する場合は、Active Directory コネクタ用に指定するユーザーには多くの特別な権限は必要ありません。通常のユーザーに、同期対象ドメインで「すべてのプロパティーを読み取る」権限が追加されているだけで十分です。

    • Directory Server から Active Directory への同期フローを設定する場合は、同期によって Active Directory 内のユーザーエントリが変更されるため、コネクタユーザーにはもっと多くの権限が必要になります。この設定では、コネクタユーザーは「フルコントロール」権限を持つユーザーか、または管理者グループのメンバーにします。

  6. 「次へ」をクリックし、「ドメインコントローラの指定」パネルを開きます。

    図 6–20 ドメインコントローラの指定

    Active Directory ドメインコントローラを選択します。

    このパネルでは、指定したドメイン内で同期するコントローラを選択します。ドメインコントローラの概念は、Directory Server の優先サーバーに似ています。

    選択している Active Directory ドメインに複数のドメインコントローラがあるときは、同期のプライマリドメインコントローラ FSMO (Flexible Single Master Operation) ロールを持つドメインコントローラを選択します。

    デフォルトでは、すべてのドメインコントローラで行われたパスワード変更はただちにプライマリドメインコントローラ FSMO ロール所有者にレプリケートされ、このドメインコントローラを選択すると、パスワード変更はただちに Identity Synchronization for Windows によって Directory Server と同期されます。

    配備によっては、PDC との間に大きなネットワーク「距離」があるために同期が大幅に遅れるので、Windows レジストリに AvoidPdcOnWan 属性が設定されることがあります。詳細については、Microsoft サポート技術情報の記事 232690 を参照してください。

  7. ドロップダウンリストからドメインコントローラを選択します。

  8. Identity Synchronization for Windows コネクタがドメインコントローラとの通信にセキュリティー保護されたポートを使用するように設定する場合は、「セキュア通信に SSL を使用」ボックスにチェックマークを付けます。

    注 –

    Microsoft Certificate Server を使用する場合は、Active Directory コネクタに CA 証明書が自動的にインストールされます。それ以外の場合は、Active Directory コネクタに CA 証明書を手動で追加します (「Active Directory コネクタでの SSL の有効化」を参照)。初期設定後にフローの設定を変更する場合にも、この手順を適用します。

  9. 完了したら、「次へ」をクリックします。

    「フェイルオーバーコントローラの指定」パネルが表示されます (「Active Directory ソースの作成」を参照)。このパネルでは、任意の数のフェイルオーバードメインコントローラを指定できます。

    図 6–21 フェイルオーバーコントローラの指定

    このパネルでは、フェイルオーバーコントローラを指定します。

    Active Directory コネクタが通信する Active Directory ドメインコントローラ は 1 つだけであるため、Identity Synchronization for Windows では、そのコネクタで適用されるフェイルオーバーの変更はサポートされません。ただし、ディレクトリサーバープラグインは、Directory Server のパスワード変更を検証するときに、任意の数のドメインコントローラと通信します。

    Directory Server は、Active Directory ドメインコントローラへの接続を試行し、そのドメインコントローラが使用できない場合は、指定されたフェイルオーバードメインコントローラへの接続を繰り返し試行します。

  10. 「フェイルオーバーサーバー」の一覧から 1 つまたは複数のサーバー名を選択するか、または「すべてを選択」ボタンをクリックして一覧のすべてのサーバーを指定し、「次へ」をクリックします。

  11. 「拡張セキュリティーオプションの指定」パネルが表示されます。

    「信頼できる SSL の証明書を要求」オプションは、「ドメインコントローラの指定」パネルで「セキュア通信に SSL を使用」ボックスを有効にした場合にのみアクティブ (選択可能な状態) になります。

    図 6–22 拡張セキュリティーオプションの指定

    このパネルでは、Active Directory と Active Directory コネクタの間の通信で信頼できる SSL 証明書を要求するかどうかを指定します。

    • 「信頼できる SSL の証明書を要求」ボックスが無効になっている場合 (デフォルト設定)、Active Directory コネクタは SSL 経由で Active Directory に接続し、Active Directory から渡された証明書が信頼されているかどうかを検証しません。

      このオプションを無効にすると、Active Directory 証明書データベースに Active Directory 証明書をインストールする必要がなくなるので、セットアップ手順が簡単になります。

    • 「信頼できる SSL の証明書を要求」ボックスを有効にすると、Active Directory コネクタは SSL 経由で Active Directory に接続し、Active Directory から渡された証明書が信頼されているかどうかを検証します。

      注 –

      コネクタの証明書データベースに Active Directory 証明書を追加してください。手順については、「Active Directory 証明書のコネクタの証明書データベースへの追加」を参照してください。

  12. 「拡張セキュリティーオプション」パネルの設定が完了したら、「完了」をクリックします。

    ナビゲーションツリーの「ディレクトリソース」の下に、新しく指定した Active Directory ディレクトリソースが追加されます。

  13. その Active Directory ディレクトリソースノードを選択し、「Active Directory ソース」パネルを表示します。

    図 6–23 「Active Directory ソース」パネル

    このパネルでは、サーバーパラメータの変更、再同期間隔の指定、または必要なディレクトリソースの資格の変更を行います。

    このパネルから、次のタスクを実行できます。

    • 「コントローラの編集」: このボタンをクリックすると、「ドメインコントローラの指定」パネルが再度開き、ドメインコントローラの設定パラメータを変更できます。操作方法については、「Active Directory ソースの作成」を参照してください。

    • 「再同期間隔」: Active Directory コネクタが変更を確認する頻度を指定します。(デフォルトは 1000 ミリ秒)

    • 「ディレクトリソースのクレデンシャル」: 指定されているユーザー DN とパスワードのいずれかまたは両方を変更します。

Windows NT SAM ディレクトリソースの作成

この節では、Identity Synchronization for Windows を配備できる Windows NT SAM ディレクトリソースの作成方法を説明します。

ProcedureWindows NT に Identity Synchronization for Windows を配備する

  1. ナビゲーションツリーで「ディレクトリソース」ノードを選択し、「新規 Windows NT SAM ディレクトリソース」ボタンをクリックします。

    図 6–24 「ディレクトリソース」パネル

    「新規 Windows NT SAM ディレクトリソース」ボタンをクリックして Windows NT ディレクトリソースを作成します。

  2. 「Windows NT SAM ディレクトリソースの定義」パネルが表示されたら、指示に従って Windows NT ドメイン名を確認し、「ドメイン」フィールドに一意の NT ディレクトリソースドメイン名を入力します。完了したら、「次へ」をクリックします。

    図 6–25 Windows NT SAM ドメイン名の指定

    Windows NT SAM ドメイン名を入力します。

  3. 「プライマリドメインコントローラのコンピュータ名の指定」パネルが表示されたら、指示に従って プライマリドメインコントローラのコンピュータ名を確認し、「コンピュータ名」フィールドにその情報を入力します。

    図 6–26 プライマリドメインコントローラ名の指定

    プライマリドメインコントローラの Windows NT NETBIOS コンピュータ名を入力します。

  4. 「完了」をクリックします。

    ナビゲーションツリーの「ディレクトリソース」の下に、新しく指定した Windows NT SAM ディレクトリソースが追加されます。新しいディレクトリソースのノードを選択して「Windows NT SAM ディレクトリソース」パネルを表示します。

    図 6–27 「Windows NT SAM ディレクトリソース」パネル

    「Windows NT SAM ディレクトリソース」パネルでは、ドメイン名の編集または再同期間隔の変更を行います。

    このパネルから、次のタスクを実行できます。

    • 「編集」: このボタンをクリックすると、「ドメインコントローラの指定」パネルが再度開き、ドメインコントローラの設定パラメータを変更できます。操作方法については、「Active Directory ソースの作成」を参照してください。

    • 「再同期間隔」: Windows NT に加えられた変更を Identity Synchronization for Windows が確認する頻度を指定します。(デフォルトは 1000 ミリ秒)

  5. ネットワーク上の Windows NT マシンごとに Windows NT ディレクトリソースを追加します。

    Windows NT SAM ディレクトリソースの作成が完了したら、同期対象にする属性の選択とマッピングを行うことができます。「ユーザー属性の選択とマッピング」に進みます。

ユーザー属性の選択とマッピング

Directory Server と Windows のディレクトリソースの作成と設定が完了したら、同期対象にするユーザー属性を選択し、それらの属性をシステム間でマッピングします。

この節で説明する内容は次のとおりです。

属性の選択とマッピング

次の 2 種類の属性があります。

Procedure同期対象の属性を選択してマッピングする

  1. ナビゲーションツリーの最上部にある「Identity Synchronization for Windows」ノードを選択します。

    図 6–28 「属性」タブ

    「属性」タブを選択します。

    注 –

    グループ同期機能が有効になっている場合、Directory Server の uniquemember 属性と Active Directory の member 属性は内部的にマッピングされ、前の図のようにコンソールに表示されます。

  2. 「属性」タブを選択し、「新規」ボタンをクリックします。

    「有効属性マッピングの定義」ダイアログボックスが表示されます。このダイアログボックスで、Directory Server から Windows システム (Active Directory と Windows NT のいずれかまたは両方) に属性をマッピングします。

    図 6–29 重要属性マッピングの定義

    このダイアログボックスでは、システム間での属性のマッピングを行います。

    注 –

    どの作成属性が Directory Server (または Active Directory) の必須作成属性となるかは、Sun 側 (または Active Directory 側) のユーザーエントリに設定されているオブジェクトクラスによって異なります。

    Directory Server のデフォルトのオブジェクトクラスには inetOrgPerson が自動的に使用され、Active Directory のスキーマはグローバルカタログの指定時に読み込まれます。そのため、デフォルトのスキーマを変更する場合以外は、「スキーマの読み込み」ボタンを使用しません。

    デフォルトのスキーマソースを変更する場合は、「スキーマソースの変更」を参照してください。

  3. Sun Java System の属性ドロップダウンリストから属性を選択し (たとえば、cn など)、それに対応する属性を Active Directory と Windows NT SAM のいずれかまたは両方の属性ドロップダウンメニューから選択します。

  4. 完了したら、「OK」をクリックします。

  5. 別の属性を指定する場合は、手順 2 〜 4 を繰り返します。

    完了後の同期対象属性の表は、次の図のようになります。この図では、Directory Server の userpasswordcn、および telephonenumber 属性が、Active Directory の unicodepwdcn、および telephonenumber 属性にマッピングされたことが示されています。

    図 6–30 完了後の同期対象属性の表

    完了後の同期対象属性の表

パラメータ化されたデフォルト属性値の作成

Identity Synchronization for Windows では、別の作成属性または重要属性を使用して、パラメータ化されたデフォルト属性値を作成できます。

パラメータ化されたデフォルト属性値を作成するには、式文字列内の既存の作成属性または重要属性の名前の前後にパーセント記号を付けます (%attribute_name%)。たとえば、homedir=/home/%uid% や cn=%givenName% %sn% のようにします。

これらの属性値を作成した場合、次のように使用できます。

注 –

グループ同期が有効になっている場合は、次のことを確認してください。

  1. Active Directory でサポートされる作成式は cn=%cn% です。

  2. 作成式はユーザーとグループの両方に共通であるため、作成式には、グループオブジェクトクラスに属する有効な属性名も含めます。

    例: Directory Server では、属性 sngroupofuniquenames オブジェクトクラスに属しません。したがって、グループオブジェクトでは、次の作成式は無効になります。(ただし、ユーザーオブジェクトでは正しく機能する。)

    cn=%cn%.%sn%

  3. 作成式に使用される属性には、作成されるすべてのユーザー/グループエントリの値を指定します。この値をコンソールで指定できない場合は、コマンド行インタフェースを使用して指定できます。

スキーマソースの変更

デフォルトのスキーマソースが自動的に設定されますが、デフォルトスキーマを変更できます。

Procedureデフォルトのスキーマソースを変更する

  1. 「有効属性マッピングの定義」ダイアログボックスで、「スキーマの読み込み」ボタンをクリックします。

    「スキーマソースの選択」パネルが表示されます。

    図 6–31 スキーマソースの選択

    このパネルでは、スキーマソースを選択します。

    このパネルでは、スキーマの読み込み元の Sun Java System Directory Server スキーマサーバーを指定しますこのスキーマには、システムで使用できるオブジェクトクラスが含まれており、これらのオブジェクトクラスによって、ユーザーがシステムで使用できる属性が定義されます。

    「Sun Java System ディレクトリスキーマサーバー」フィールドには、デフォルトの設定ディレクトリが自動的に入力されます。

  2. 別のサーバーを選択する場合は、「選択」ボタンをクリックします。

    「Sun スキーマホストの選択」ダイアログボックスが表示されます。このダイアログボックスには、ディレクトリソースの管理情報を集めた設定ディレクトリの一覧が表示されます。

    このダイアログボックスでは、次の操作を実行できます。

    • 新しい設定ディレクトリを作成して一覧に追加する。

      「新規」をクリックし、「新規設定ディレクトリ」ダイアログボックスが表示されたら、ホスト、ポート、ユーザー DN、およびパスワードを指定します。完了したら、「OK」をクリックします。

    • 既存のディレクトリを編集する。

      「編集」をクリックし、「設定ディレクトリの編集」ダイアログボックスが表示されたら、ホスト、ポート、ユーザー DN、パスワードのいずれかまたはすべてを変更できます。完了したら、「OK」をクリックします。

    • ディレクトリを一覧から削除する。

      一覧からディレクトリ名を選択し、「削除」ボタンをクリックします。

  3. 一覧からサーバーを選択し、「OK」をクリックします。通常、スキーマソースには Sun 同期ホストの 1 つを選択することをお勧めします。

  4. 「次へ」ボタンをクリックして、「Structural および Auxiliary オブジェクトクラスの選択」パネルを表示します。

    図 6–32 Structural オブジェクトクラスと Auxiliary オブジェクトクラスの選択

    このパネルでは、Structural オブジェクトクラスと Auxiliary オブジェクトクラスを指定します。

    このパネルでは、次のように、同期対象にするオブジェクトクラスを指定します。

    • Structural オブジェクトクラス: 選択した Directory Server から作成または同期されるエントリごとに、少なくとも 1 つの Structural オブジェクトクラスを指定します。

    • Auxiliary オブジェクトクラス: このオブジェクトクラスでは、選択した構造クラスを補強し、同期に関する追加属性を指定します。

      Structural オブジェクトクラスと Auxiliary オブジェクトクラスを指定するには 、次の手順に従います。

    1. Structural オブジェクトクラスをドロップダウンリストから選択します。(デフォルトは inetorgperson)

    2. 「利用可能な Auxiliary オブジェクトクラス」の一覧で 1 つまたは複数のオブジェクトクラスを選択し、「追加」をクリックして選択項目を「選択された Auxiliary オブジェクトクラス」の一覧に移動します。

      選択されたオブジェクトクラスによって、重要属性または作成属性として選択できる Directory Server ソース属性が決まります。また、必須作成属性も、ここで選択されたオブジェクトクラスによって決まります。

      「選択された Auxiliary オブジェクトクラス」の一覧から選択項目を削除するには、そのオブジェクトクラス名を選択し、「削除」ボタンをクリックします。

    3. 完了したら、「完了」をクリックします。スキーマおよび選択したオブジェクトクラスが読み込まれます。

システム間でのユーザー属性の伝播

同期対象のユーザー属性の選択とマッピングが完了したら、Directory Server システムと Windows システム間で属性の作成、変更、および削除を伝播させる方法 (フロー) を Identity Synchronization for Windows に指示します。

デフォルトでは、Identity Synchronization for Windows は次のように動作します。

オブジェクト作成のフローの指定

ProcedureDirectory Server システムと Active Directory システムの間でオブジェクト作成を伝播させる方法を指定する

  1. 「オブジェクトの作成」タブをクリックします。

    図 6–33 作成の選択と伝播

    このパネルでは、新しい作成属性を指定し、システム間での作成のフロー方法を設定します。

  2. 次のように、作成のフローを有効または無効にできます。

    • Directory Server 環境から Windows サーバーに作成を伝播させる場合は、「オブジェクト作成は Sun Java System Directory Server から Windows に伝播される」にチェックマークを付けます。

    • Windows 環境から Directory Server に作成を伝播させる場合は、「オブジェクト作成は Windows から Sun Java System Directory Server に伝播される」にチェックマークを付けます。

    • 双方向のフローを設定する場合は、両方のオプションにチェックマークを付けます。

    • システム間でユーザーの作成を伝播させない場合は、どちらのオプションにもチェックマークを付けません。(デフォルト)。

  3. システム間で同期させる作成属性を追加、編集、または削除するには、選択されているオプションの下にある「作成属性」ボタンをクリックします。

    「作成属性のマッピングと値」ダイアログボックスが表示されます。

    図 6–34 作成属性のマッピングと値: Directory Server から Windows

    このダイアログボックスでは、Active Directory 作成属性を Directory Server にマッピングします。

    図 6–35 作成属性のマッピングと値: Windows から Directory Server

    このダイアログボックスでは、Active Directory 作成属性を Directory Server にマッピングします。

    どちらかのダイアログボックスを使用して、新しい作成属性の指定、既存の属性の編集または削除を行うことができます。詳細については、「新しい作成属性の指定」を参照してください。

    注 –

    ユーザーオブジェクトクラスの必須属性に関するスキーマ制約を満たすために、ユーザー作成時にシステム間で伝播させる追加の属性を指定する場合があります。

    「ユーザー属性の選択とマッピング」で説明したように、必須属性を変更属性として指定した場合は、追加の属性は必要ありません。

新しい作成属性の指定

次に、作成属性を追加し、Active Directory から Directory Server にマッピングする方法について説明します。Directory Server から Windows、または Windows から Directory Server に伝播させる作成属性を追加してマッピングする場合も、同様の手順になります。

Procedure新しい作成属性を指定する

  1. 「作成属性のマッピングと値」ダイアログボックスの「新規」ボタンをクリックします。

    「作成属性のマッピングと値の定義」ダイアログボックスが表示されます。

    図 6–36 作成属性のマッピングと値の定義

    このダイアログボックスでは、作成属性をマッピングし、それらの属性に値を追加します。

  2. 「Active Directory 属性」ドロップダウンリストから属性値を選択します。

    図 6–37 新しい Active Directory 属性の選択

    新しい Active Directory 属性を選択します。

    Identity Synchronization for Windows では、属性が複数の値を受け付ける場合は、複数の値で属性を初期化できます。

    たとえば、会社に 3 つのファックス番号がある場合、Sun Java System Directory Server と Active Directory の両方に facsilimiletelephonenumber 属性を指定して、3 つの番号を指定できます。

    どの属性が複数の値を受け付けるかを把握しておきます。複数の値を受け付けない属性に複数の値を追加しようとすると、プログラムによるオブジェクト作成の実行時にエラーが発生します。

  3. 「新しい値」フィールドに値を入力し、「追加」をクリックします

    一覧に属性値が追加されます。複数の属性値を追加する場合は、必要な回数だけこの手順を繰り返します。

    図 6–38 作成属性の複数の値の指定

    特定の作成属性に複数の値を指定できます。

  4. 属性を Directory Server にマッピングするには、「Sun Java System ディレクトリ属性」ドロップダウンリストから属性名を選択します。

    図 6–39 Directory Server 属性のマッピング

    Directory Server 属性を Windows 属性にマッピングします。

  5. 完了したら、「OK」をクリックします。

    この例では、完了後の作成属性とマッピングの表は次の図のようになります。

    図 6–40 操作完了後の作成属性とマッピングの表

    操作完了後の作成属性とマッピングの表

  6. 別の属性を指定する場合は、同じ手順を繰り返します。

既存の属性の編集

Procedure作成属性のマッピングまたは値を編集する

  1. 「オブジェクトの作成」タブをクリックし、選択されている作成オプションの下にある「作成属性」ボタンをクリックします。

  2. 「作成属性のマッピングと値」ダイアログボックスが表示されたら、表から属性を選択し、「編集」ボタンをクリックします。

    「作成属性のマッピングと値の定義」ダイアログボックスが表示されます。

  3. ドロップダウンメニューを使用して、Directory Server と Active Directory (または Windows NT) の間の既存のマッピングを変更します。

    たとえば、Sun Java System Directory Server の homephone 属性が Active Directory の othertelephone 属性にマッピングされている場合に、Active Directory 属性のドロップダウンリストを使用して、マッピング対象を homephone 属性に変更できます。

  4. 属性値を追加または削除することもできます。

    • 値を追加するには、「新しい値」フィールドに情報を入力し、「追加」をクリックします。

    • 値を削除するには、一覧から値を選択し、「削除」をクリックします。

  5. 完了したら、「OK」をクリックします。変更が適用され、「作成属性のマッピングと値の定義」ダイアログボックスが閉じます。

  6. もう一度「OK」をクリックして「作成属性のマッピングと値」ダイアログボックスを閉じます。

属性の削除

Procedure作成属性のマッピングまたは値を削除する

  1. 「オブジェクトの作成」タブをクリックし、選択されている作成オプションの下にある「作成属性」ボタンをクリックします。

  2. 「作成属性のマッピングと値」ダイアログボックスが表示されたら、表から属性を選択し、「削除」ボタンをクリックします。

    属性がただちに表から削除されます。

  3. 完了したら、「OK」をクリックして「作成属性のマッピングと値」ダイアログボックスを閉じます。

オブジェクト変更のフローの指定

Sun システムと Windows システムの間でユーザー属性とパスワードの変更を伝播させる方法 (フロー) を制御する場合は、「属性の修正」タブを使用します。

図 6–41 「属性の修正」タブ

Sun システムと Windows システムの間で属性とパスワードの変更を伝播させる方法、無効化を同期させるかどうか、および無効化の方法を指定します。

このタブでは、次の設定を行います。

注 –

アカウントの状態を Windows NT ディレクトリソースと同期させることはできません。

方向の指定

次のいずれかのボタンを選択することで、Directory Server 環境と Windows 環境で加えられた変更をシステム間で伝播させる方法を制御します。

オブジェクトの有効化と無効化の設定と同期

「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けると、Directory Server と Active Directory のソース間でオブジェクトの有効化と無効化 (Active Directory では有効無効) を同期させることができます。

注 –

有効化と無効化を Windows NT ディレクトリソースと同期させることはできません。

図 6–42 オブジェクトの有効化と無効化の同期

このパネルでは、有効化および無効化されたオブジェクトを検出して Sun と Active Directory の間でそれらを同期させる方法を指定します。

Procedureオブジェクトの有効化と無効化を同期させる

  1. 「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けます。

  2. 次のいずれかのオプションを有効にして、Identity Synchronization for Windows でオブジェクトの有効化と無効化を検出し、同期させる方法を指定します。

Directory Server ツールとの相互運用

Directory Server コンソールまたはコマンド行ツールを使用してオブジェクトを有効化または無効化する場合は、このオプションを選択します。このオプションを選択すると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。また、ほかのロール (cn=nsdisabledrole, database suffix など)、またはほかのロール内に入れ子にされたロール (cn=nsdisabledrole, database suffixcn=nsmanageddisabledrole, database suffix など) を使用して無効化されたオブジェクトも検出できなくなります。

注 –

「Directory Server ツールと相互運用」オプションを有効にすると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。さらに、ほかのロールによって無効にされたオブジェクトも検出できなくなります。

たとえば、cn=nsdisabledrole, database suffix などのロール、またはほかのロール内で入れ子にされている cn=nsdisabledrole, database suffix cn=nsmanageddisabledrole, database suffix などのロールがこれに該当します。

「Directory Server ツールとの相互運用」の表に、「Directory Server ツールと相互運用」オプションを有効にした場合に Identity Synchronization for Windows がオブジェクトの有効化と無効化どのようにを検出し、同期させるかを示します。

表 6–1 Directory Server ツールとの相互運用

有効化 

無効化 

Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールが削除された場合にのみ有効化を検出します。

Identity Synchronization for Windows は、エントリの nsroledn 属性に cn=nsmanageddisabledrole, database suffix ロールが含まれる場合にのみ無効化を検出します。

Active Directory からのオブジェクト有効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールを削除することでオブジェクトを有効化します。

Active Directory からのオブジェクト無効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトに cn=nsmanageddisabledrole, database suffix ロールを追加することでオブジェクトを無効化します。

Directory Server の nsAccountLock 属性の直接修正

Directory Server の有効化と無効化が Directory Server のオペレーショナル属性 nsAccountLock に基づく場合は、この方法を使用します。

注 –

「Directory Server の nsAccountLock 属性を直接修正」オプションを有効にすると、Identity Synchronization for Windows では、Directory Server コンソールまたはコマンド行ユーティリティーを使用して有効化または無効化されたオブジェクトが検出されなくなります。

この属性は、オブジェクトの状態を次のように制御します。

表 6–2 Directory Server の nsAccountLock 属性の直接修正

有効化 

無効化 

Identity Synchronization for Windows は、nsAccountLock 属性が true に設定されている場合にのみ、無効化されたオブジェクトを検出します。

Identity Synchronization for Windows は、nsAccountLock 属性に値がないか、または false に設定されている場合にのみ、有効化されたオブジェクトを検出します。

Active Directory からのオブジェクト無効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を削除します。

Active Directory からのオブジェクト有効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を true に設定します。

Directory Server のカスタムメソッドの使用

Directory Server の有効化と無効化が Sun Java System Access Manager (従来の Sun JES Identity Server) などの外部アプリケーションによって排他的に制御される場合は、この方法を使用します。

Directory Server のカスタムメソッドを設定する場合は、次の方法を指定します。

注 –

「Directory Server のカスタムメソッドを使用」オプションを有効にすると、ディレクトリへのアクセスが Access Manager などの外部アプリケーションによって制御されている場合を除き、Identity Synchronization for Windows はオブジェクトをディレクトリからロックアウトできなくなります。

有効化と無効化のカスタムメソッドを設定するには、「設定」ボタンをクリックして「Directory Server のカスタムメソッドの設定」ダイアログボックスを表示します。

図 6–43 有効化と無効化のカスタムメソッドの設定

このダイアログボックスでは、無効化属性を指定し、プログラムがオブジェクトの状態を検出および設定するときに使用できる値を指定します。

このダイアログボックスには次の機能があります。

ProcedureDirectory Server と Active Directory の間でオブジェクトの状態を検出し、同期するように Identity Synchronization for Windows を設定する

  1. 「アクティブ化状態の属性」ドロップダウンリストから属性を選択します。

  2. 「新規」ボタンをクリックし、表の「値」列に値を追加します。

  3. 「値」列の各エントリと同じ行の「状態」列をクリックし、表示されるドロップダウンリストから「有効」または「無効」を選択します。

    図 6–44 状態の選択

    状態を選択します。

    たとえば、Access Manager を使用している場合は、次のように指定します。

  4. 「アクティブ化状態の属性」ドロップダウンリストから inetuserstatus 属性を選択します。

  5. 「新規」ボタンをクリックし、表の「値」列に activeinactive、および deleted の各属性値を入力します

  6. 各値に対応する「状態」列をクリックし、次のように、「有効」または「無効」を選択します。

    • 値なし」: 有効

    • active」: 有効

    • inactive」: 無効

    • deleted」: 無効

    • ほかのすべての値」: 無効

    「Directory Server のカスタムメソッドの使用」では、この inetuserstatus の例に基づいて、「Directory Server のカスタムメソッドを使用」オプションを有効にした場合に Identity Synchronization for Windows が有効化と無効化の検出と同期を行う方法を説明します。

    値 

    状態 

    結果 

    値なし

    有効 

    inetuserstatus 属性が存在しないか、または値を持たない場合に、有効なオブジェクトとして検出されます。

    active

    有効 

    属性値が active の場合に、有効なオブジェクトとして検出されます。

    inactive

    無効 

    属性値が inactive の場合に、無効なオブジェクトとして検出されます。

    deleted

    無効 

    属性値が deleted の場合に、無効なオブジェクトとして検出されます。

    ほかのすべての値:

    無効 

    属性が持つ値が表に指定されていない場合に、無効なオブジェクトとして検出されます。 

    有効化と無効化の設定

    「値」と「状態」の表を設定すると、「有効化される値」「無効化される値」のドロップダウンリストが自動的に次のように生成されます。

    • 「有効化される値」リストには、状態が「有効」のすべての値が含まれます (「値なし」「active」など)。

    • 「無効化される値」リストには、状態が「無効」のすべての値が含まれます (「inactive」「deleted」 など)。

    • 「ほかのすべての値」の値はどちらのリストにも含まれません。

      Active Directory から同期されるオブジェクトを Identity Synchronization for Windows が有効化または無効化する方法を指定するには、「有効化される値」と「無効化される値」のいずれかまたは両方のドロップダウンリストから値を選択します。

    • 有効化される値」: オブジェクトの有効化状態を制御します。

      • 値なし」: オブジェクトに「active」の値が含まれていない場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。

      • active」: オブジェクトに「active」の値が含まれている場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。

    • 無効化される値」: オブジェクトの有効化状態を制御します。

      • inactive」または「deleted」: Identity Synchronization for Windows は Directory Server 側のオブジェクトの状態を無効に設定します。

      • なし」: 有効な設定ではありません。値を選択してください。

      注 –

      無効化される値を指定してください。指定しない場合、設定は無効となります。

      設定が完了した「Directory Server のカスタムメソッドの設定」ダイアログボックスの図を次に示します。

    図 6–45 設定が完了したダイアログボックスの例

    設定が完了した「Directory Server のカスタムメソッドの設定」ダイアログボックスの例

グループ同期の設定

Directory Server と Active Directory 間のグループ同期を有効にすると、グループの作成、グループの削除、およびグループ内のメンバーシップの変更を同期できます。

注 –

Windows NT ディレクトリソースでは、グループ同期はサポートされません。

Procedureグループを同期する

  1. 「グループ」タブで、「グループ同期を使用可能にする」チェックボックスにチェックマークを付けます。

  2. 次のいずれかのグループ同期方法を選択し、Identity Synchronization for Windows でさまざまなグループの検出と同期を行う方法を指定します。

    • ドメイングローバルセキュリティー

    • ドメイングローバル配布

    図 6–46 グループ同期の有効化

    グループ同期を有効にし、Directory Server から Active Directory にグループを伝播させる方法を指定します。

    注 –

    ドメイングローバルセキュリティー、ドメイングローバル配布、および Active Directory の詳細については、Microsoft Active Directory のドキュメントを参照してください。

Directory Server と Active Directory の間でグループに関する変更を検出して同期するための Identity Synchronization for Windows の設定

グループ同期に関する属性を手動でマッピングする必要はありません。「保存」をクリックすると、属性は自動的にマッピングされます。

図 6–47 グループ同期の属性マッピング

同期対象にする属性を選択し、「保存」をクリックします。

注 –

  1. userpassword 属性と unicodepwd 属性のマッピングを変更しないでください。

  2. グループ同期を無効にするには、「グループ同期を使用可能にする」チェックボックスのチェックマークを外します。

  3. または、コマンド行ツールの idsync groupsync を使用してグループ同期の有効と無効を切り替えることもできます。詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。

アカウントのロックアウトおよびロックアウト解除の設定と同期

アカウントのロックアウト機能を有効にするには、次の操作を行います。

Identity Synchronization for Windows では、Active Directory と Directory Server の間で次のイベント同期を行うことができます。

注 –

Windows NT ディレクトリサーバーでは、アカウントのロックアウトとロックアウト解除の同期はサポートされません。

アカウントのロックアウトに必要な前提条件

アカウントのロックアウト機能を有効にする前に、両方のコンポーネントで属性 lockoutDuration を同じ値に設定してください。また、分散セットアップに関係するすべてのシステム間で時刻が一致していることも確認してください。時刻が一致していないと、lockoutDuration の設定がシステム間の時刻差よりも短い場合に、ロックアウトイベントが期限切れとなる可能性があります。

注 –

Active Directory と Directory Server の両方に同じパスワードポリシーを設定してください。たとえば、Active Directory のパスワードポリシーで永続的なロックアウトが指定されている場合は、Directory Server でも同じパスワードポリシーを設定するようにしてください。

アカウントのロックアウト機能の使用

Directory Server と Active Directory の間のアカウントロックアウトの同期を有効にします。

これらの設定を使用して、アカウントロックアウトの同期を有効または無効にします。

アカウントのロックアウトを有効にするために、Directory Server の pwdaccountlockedtime 属性と Active Directory の lockoutTime 属性を明示的にマッピングする必要はありません。Identity Synchronization for Windows の設定パネルの「アカウントのロックアウト」タブで、「アカウントロックアウト同期を有効にする」チェックボックスにチェックマークを付けます。

同期対象にする属性を選択し、「保存」をクリックします。
注 –

コマンド行ツールの idsync accountlockout を使用してアカウントロックアウトの同期の有効と無効を切り替えることもできます。詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。

削除のフロー方法の指定

Directory Server システムと Active Directory システムの間でユーザーエントリの削除を伝播させる方法を指定するには、「オブジェクトの削除」タブを使用します

注 –

Windows NT ではオブジェクト削除のフローを指定できません。

ProcedureDirectory Server システムと Active Directory システム間でのエントリ削除のフロー方法を指定する

  1. ナビゲーション区画の最上部にある「Identity Synchronization for Windows」ノードを選択し、「オブジェクトの削除」タブをクリックします

    図 6–48 ユーザーエントリの削除の伝播

    このパネルでは、システム間でユーザーエントリの削除を伝播させる方法を制御します。

  2. 次のように削除のフローを有効または無効にします。

    • Sun Directory Server 環境から Active Directory サーバーに削除を伝播させる場合は、「オブジェクトの削除は Sun Java System Directory Server から Active Directory に伝播される」にチェックマークを付けます。

    • Active Directory 環境から Sun Directory Server に削除を伝播させる場合は、「オブジェクトの削除は Active Directory から Sun Java System Directory Server に伝播される」にチェックマークを付けます。

    • 双方向のフローを設定する場合は、両方のオプションにチェックマークを付けます。

    • システム間でユーザーの削除を伝播させない場合は、どちらのオプションにもチェックマークを付けません (デフォルト設定)。

同期ユーザーリストの作成

同期ユーザーリスト (SUL) では、Active Directory と Sun Directory Server で同期の対象にするユーザーを指定します。SUL に指定されたすべてのエントリはコネクタを通過し、その SUL に設定されている制約と照合して評価されます。

各 SUL には 2 つの要素が含まれます。1 つは同期対象の Directory Server ユーザーを識別し、もう 1 つは同期対象の Windows ユーザーを識別します。

注 –

Directory Server のユーザーを複数の Active Directory ドメインと同期させる場合は、Active Directory ドメインごとに SUL を定義します。

定義のコンポーネント、複数の SUL を定義する方法、複数の SUL を処理する方法、複数の Windows ドメインのサポートを設定する方法など、SUL の定義と設定の詳細については、付録 D 「Identity Synchronization for Windows の同期ユーザーリストの定義と設定」を参照してください。

どちらの SUL 要素にも、同期対象のユーザーを識別するための 3 つの定義が含まれます。

Procedureサーバー間でユーザータイプを識別してリンクさせる

  1. ナビゲーションツリーで「同期リスト」ノードを選択し、「新規同期ユーザーリスト」ボタンをクリックします。

    図 6–49 同期ユーザーリストの新規作成

    「新規同期ユーザーリスト」ボタンをクリックして新しい SUL を作成します。

    「同期ユーザーリストの定義」ウィザードが表示されます。

    図 6–50 SUL 名の指定

    同期ユーザーリストの一意の名前を指定します。

    デフォルトでは、最初の同期ユーザーリストの名前は SUL1 になります。

    • デフォルトの名前をそのまま使用する場合は、「次へ」をクリックします。

    • 別の名前を使用する場合は、「名前」フィールドに別の名前を入力してから、「次へ」をクリックします。

    • SUL 名には空白文字や句読文字を使用しないでください。

    • システム内で一意の名前を指定してください。

      「Windows の条件の指定」パネルが表示されます。

    図 6–51 Windows の条件の指定

    Windows ディレクトリソース、ベース DN、フィルタ、および作成式を指定します。

  2. ドロップダウンリストから Windows ディレクトリソースを選択します。

    注 –

    「完了」ボタンをクリックして SUL を作成したあとで、この SUL に含まれる Active Directory または Directory Server のディレクトリソースを編集することはできません。グループ同期機能が有効になっている場合、「Sun Java System Directory Server の条件の指定」パネルの作成式は uid=%uid% または cn=%cn% になります。

  3. 「ユーザーセットドメイン」は、同期対象となるすべてのユーザーのセットです。次のいずれかの方法で、「ユーザーセットドメイン」の「ベース DN」を入力します。

    • テキストフィールドに名前を入力します (たとえば、DC=example,DC=com)。

    • 「参照」ボタンをクリックして「セットベース DN」ダイアログボックスを開き、ベース DN を探して選択します。

      フィルタを使用して明示的に除外しないかぎり、指定したベース DN の下のすべてのユーザーがこの SUL に含まれます。

      注 –

      Windows NT マシンでは、ベース DN と作成式は使用できません。

      「完了」ボタンをクリックして SUL を作成したあとで、この SUL に含まれる Active Directory または Directory Server のディレクトリソースを編集することはできません。グループ同期機能が有効になっている場合、「Sun Java System Directory Server の条件の指定」パネルの作成式は uid=%uid% になります。

    図 6–52 ベース DN の選択

    ベース DN を選択するには、この一覧のエントリをクリックします。

  4. 等価フィルタ、プレゼンスフィルタ、または部分文字列フィルタを入力して、このベース DN 内で同期対象にするユーザーを指定できます。たとえば、複数の同期ユーザーリストで同じベース DN を使用する場合は、フィルタを使用してリストを区別できます。

    等価フィルタの構文は、LDAP クエリの構文に似ています。ただし、等価部分文字列で使用できる文字は *&|=! だけです。たとえば、次のフィルタを使用して、SUL から管理者を除外できます。

    (!(cn=Administrator))

    「作成式」フィールドは自動的に生成されるはずです。

    注 –

    作成式は、新しいエントリが Active Directory から Directory Server に伝播するときに使用される親 DN とネーミング属性を定義します。

    ユーザー属性の作成が Active Directory から Directory Server に伝播するように設定していない場合は、Sun のディレクトリで作成式を使用できません。詳細については、「オブジェクト作成のフローの指定」を参照してください。

  5. 作成式が指定されていない場合、または既存のエントリを変更する場合は、Windows Active Directory のすべての同期ユーザーリストに適用される作成式を入力できます。次にその例を示します。

    cn=%cn% ,cl=users,dc=example,dc=com

    作成式を変更する場合は、同期対象にする属性を選択します。必要に応じて、「オブジェクトの作成」タブに戻り、「作成属性」ボタンをクリックして、この属性の追加とマッピングを行ってください。

  6. 「次へ」をクリックして、Sun Java System Directory Server の条件を指定します。

  7. 「Sun Java System Directory Server の条件の指定」パネルが表示されたら、手順 2 〜 5 を繰り返して、Directory Server の条件を指定します。

    図 6–53 Directory Server の条件の指定

    Sun Java System Directory Server ディレクトリソース、ベース DN、フィルタ、および作成式を指定します。

    注 –

    「完了」ボタンをクリックして SUL を作成したあとで、この SUL に含まれる Active Directory または Directory Server のディレクトリソースを編集することはできません。

  8. 完了したら、「完了」をクリックします。

  9. ナビゲーションツリーに新しい SUL ノードが追加され、「設定」タブに「同期リスト」パネルが表示されます。

    図 6–54 「同期リスト」パネル

    「同期リスト」パネルでは、Windows と Sun のディレクトリソース、ベース DN、フィルタ、および作成式を編集します。

  10. ユーザーが複数のリストと一致する場合は、「ドメイン重複の解決」ボタンをクリックして 同期ユーザーリストの設定を定義します。

  11. ネットワーク内の、Directory Server を除くすべてのディレクトリソースを格納する同期ユーザーリストを作成します。

設定の保存

Procedureコンソールパネルから現在の設定を保存する

  1. 「保存」をクリックして、現時点での設定を保存します。

  2. 設定が評価され、「設定の妥当性状態」ウィンドウが表示されます。

    図 6–55 「設定の妥当性状態」ウィンドウ

    設定の有効性の状態が示されます。

    このパネルでは、設定が有効であるか、または修正が必要な設定上の問題があるかを確認します。

    設定ディレクトリの情報が書き換えられ、システムマネージャーに通知されるため、設定の保存には数分かかることがあります。

    システムマネージャー (コアコンポーネント) は、情報を必要とするコンポーネントに設定情報を配布します。

    注 –

    設定の検証エラーは赤、警告は黄色で示されます。

    • エラーがある状態では、設定を保存できません。

    • 警告がある状態では、設定を保存できますが、保存前に警告を解消しておくことをお勧めします。

  3. 設定が有効であれば、「続行」をクリックして設定を保存します。

    「コネクタのインストール方法」ダイアログボックスが表示され、Identity Synchronization for Windows のコネクタとサブコンポーネントのインストールに関する手順が示されます。

    この一覧は、この時点で更新され、配備に応じてカスタマイズされた実行手順リストが表示されるようになっています 。(この時点までは、汎用の手順が示されていた。)実行手順リストへのアクセスと更新は、Identity Synchronization for Windows コンソールの「状態」タブでも行えます。

    図 6–56 コネクタのインストール手順

    コネクタとサブコンポーネントのインストール手順。

  4. 表示される情報をよく読み、「OK」をクリックします。

    コアの初期設定が完了したら、Identity Synchronization for Windows のコネクタとサブコンポーネントをインストールできます。手順については、第 3 章「製品の理解」を参照してください。