同期対象のソースに基づいて、次の順序でディレクトリソースを作成します。
少なくとも 1 つの Sun Java System ディレクトリソースと、少なくとも 1 つの Windows ディレクトリソース (Active Directory、NT SAM のいずれかまたは両方) を設定してください。
ナビゲーションツリーで「ディレクトリソース」ノードを選択して「ディレクトリソース」パネルを表示します。
各 Sun Java System ディレクトリソースは、複数のサーバーから構成されるレプリケーション環境に配備できるコネクタおよびプラグインセットと関連付けられています。ディレクトリサーバーコネクタでは、Windows ディレクトリソースから優先サーバー (マスター) に変更を同期できます。優先サーバーがダウンした場合は、優先サーバーが復帰するまで、副サーバーリスト内に設定されている順序に従って、副サーバーに変更がフェイルオーバーされます。Directory Server レプリケーションでは、優先サーバー (マスター) から、トポロジ内に設定されているその他の優先副サーバーに変更がレプリケートされます。どのディレクトリサーバープラグインでも Windows ディレクトリソースによるパスワード妥当性チェックが可能であり、ユーザーはどのサーバーからでもパスワードを変更できます。
「新規 Sun ディレクトリソース」ボタンをクリックして、「Sun Java System ディレクトリソースの定義」ウィザードを起動します。
既知の設定ディレクトリソースセットが照会され、既存のルートサフィックス (ネーミングコンテキストとも呼ばれる) が一覧に表示されます。
デフォルトでは、製品がインストールされている設定ディレクトリが認識され、その設定ディレクトリで認識されているルートサフィックスが一覧に表示されます。
一覧から、ユーザーが配置されているルートサフィックスを選択します。複数のルートサフィックスが表示される場合は、ユーザーが配置されているルートサフィックスを選択します。「次へ」をクリックします。
同期対象のルートサフィックスが、Identity Synchronization for Windows に登録されている設定ディレクトリと関連付けられていない場合は、次の手順に従って新しい設定ディレクトリを指定します。
「設定ディレクトリ」ボタンをクリックし、新しい設定ディレクトリを指定します。
「設定ディレクトリ」ダイアログボックス (手順 3) が表示されたら、「新規」ボタンをクリックして「新規設定ディレクトリ」ダイアログボックスを開きます。
次の情報を入力し、「OK」をクリックします。変更が保存され、ダイアログボックスが閉じます。
「ホスト」: 完全修飾ホスト名を入力します。
例: machine1.example.com
「ポート」: 有効な未使用の LDAP ポート番号を入力します。(デフォルトは 389)
Identity Synchronization for Windows で設定ディレクトリとの通信に SSL (Secure Socket Layer) を使用する場合は、「このポートに SSL を使用する」ボックスにチェックマークを付けます。
「ユーザー DN」: 管理者の (バインド) 識別名を入力します。たとえば、uid=admin,ou=Administrators,ou=TopologyManagement,o=NetscapeRoot のように指定します。
「パスワード」: 管理者のパスワードを入力します。
指定された設定ディレクトリが照会され、そのディレクトリが管理するすべてのディレクトリサーバーが特定されます。
Identity Synchronization for Windows では、Sun Java System Directory Server ソースごとに 1 つのルートサフィックスのみがサポートされます。
設定ディレクトリの編集と削除
「設定ディレクトリ」ダイアログボックスでは、次のように、設定ディレクトリの一覧を管理することもできます。
一覧から設定ディレクトリを選択し、「編集」ボタンをクリックします。「設定ディレクトリの編集」ダイアログが表示され、ホスト、ポート、セキュリティー保護されたポート、ユーザー名、パスワードの各パラメータを変更できます。
一覧から設定ディレクトリを選択して「削除」をクリックすると、そのディレクトリが一覧から削除されます。
「OK」をクリックして「設定ディレクトリ」ダイアログボックスを閉じます。新しく選択した設定ディレクトリのルートサフィックスが一覧に表示されます。
Directory Server ではデフォルトで、 マシンの DNS ドメインエントリのコンポーネントに対応するプレフィックスを持つルートサフィックスが作成されます。次の形式のサフィックスが使用されます。
dc=your_machine’s_DNS_domain_name
つまり、マシンのドメインが example.com であれば、サーバーのサフィックスを dc=example, dc=com に設定するようにします。選択したサフィックスで命名するエントリは、ディレクトリ内にすでに存在している必要があります。
ルートサフィックスを選択し、「次へ」をクリックします。
「優先サーバーの指定」パネルが表示されます (「Sun Java System ディレクトリソースの作成」を参照)。
Identity Synchronization for Windows は、優先 Directory Server を使用して、Directory Server マスターに加えられた変更を検出します。優先サーバーは、Windows システムで加えられた変更が Sun Java System Directory Server システムに適用される一次的な場所としても機能します。
優先マスターサーバーに障害が発生した場合は、優先サーバー (マスター) がオンラインに復帰するまで、副サーバーに変更を格納できます。
「既知のサーバーの選択」オプションを選択し、ドロップダウンリストからサーバー名を選択します。
リストには、稼働している Directory Server のみが表示されます。サーバーが一時的にダウンしている場合は、「ホスト名とポートを入力してサーバーを指定」オプションを選択し、サーバー情報を手動で入力します。
Directory Server が通信に SSL を使用するように設定する場合は、「セキュア通信に SSL を使用」ボックスを有効にします。ただし、この機能を有効にすると、インストール後に追加の設定手順が必要になります。詳細については、「Directory Server での SSL の有効化」を参照してください。
「ホスト名とポートを入力してサーバーを指定」オプションを選択し、サーバーのホスト名とポートを各テキストフィールドに入力します。
指定したポートで SSL を使用する場合は、「このポートに SSL を使用する」チェックボックスにチェックマークを付けます。
「次へ」をクリックして「二次サーバーを指定します。」パネルを表示します。
副サーバーを追加、編集、または削除できます。
副 Directory Server を指定するには、一覧からサーバー名を選択し、「次へ」をクリックします。
指定する Directory Server が稼働していない場合、サーバー名は一覧に表示されません。
Sun ディレクトリソースの優先サーバーと副サーバーの両方に、同じホスト名とポートを使用しないでください。
セキュリティー保護されたポート機能を有効にすると、インストール後に追加の設定手順が必要になります。詳細については、「Directory Server での SSL の有効化」を参照してください。
副サーバーを指定しない場合は、「次へ」をクリックしてください。
セキュリティーで保護された SSL 通信を使用する場合は、次の注意を読み、どちらか一方または両方のオプションにチェックマークを付けます。
ユーザーバインドまたはパスワード変更を行う各 Directory Server (マスター、レプリカ、またはハブ) にディレクトリサーバープラグインをインストールします。
ディレクトリサーバープラグインでパスワードと属性を Active Directory と同期させる場合は、ユーザーとそのパスワードを検索するために、プラグインを Active Directory にバインドします。また、プラグインによって、セントラルログと Directory Server のログにログメッセージが書き込まれます。デフォルトでは、これらの通信に SSL は使用されません。
チャネル通信のみを暗号化する場合、またはチャネル通信を暗号化し、証明書を使用して Directory Server とディレクトリサーバーコネクタの間で参加者の ID を確実に検証するには、「信頼できる SSL の証明書を要求」ボックスにチェックマークを付けます。
証明書を信頼しない場合は、チェックマークを外します。
Active Directory ディレクトリサーバープラグインと Active Directory の間の通信にセキュリティーで保護された SSL を使用する場合は、「プラグインと Active Directory の通信に SSL を使用」ボックスにチェックマークを付けます。
これらの機能を有効にすると、インストール後に追加設定が必要になります。「Directory Server での SSL の有効化」を参照してください。
各ディレクトリサーバープラグインとコネクタのいずれかまたは両方の証明書データベースに追加する証明書は、idsync certinfo コマンド行ユーティリティーを使用して確認できます。「certinfo の使用」を参照してください。
主 Directory Server と副 Directory Server がマルチマスターレプリケーション (MMR) 配備の一部である場合は、付録 E 「レプリケートされた環境での Identity Synchronization for Windows のインストールの注意点」を参照してください。
「拡張セキュリティーオプションの指定」パネルの設定が完了したら、「完了」をクリックします。
ナビゲーションツリーの「ディレクトリソース」の下に、選択したディレクトリソースが追加され、「Directory Server の準備を直ちに行いますか ?」ダイアログボックスが表示されます。
Identity Synchronization for Windows で使用できるように Directory Server を準備します。この作業は今実行しても、あとで実行してもかまいません。ただし、コネクタをインストールする前に Directory Server の準備を完了してください。コネクタのインストール手順については、第 7 章「コネクタのインストール」を参照してください。
Directory Server の準備をすぐに行う場合は「はい」をクリックしてウィザードを起動し、「Sun ディレクトリソースの準備」に進みます。
この作業をあとで行う場合は「いいえ」をクリックし、「Active Directory ソースの作成」に進みます。
この節では、Identity Synchronization for Windows で使用できるように Sun ディレクトリソースを準備する方法について説明します。
Directory Server の準備では次の作業を行います。
優先ホストで使用できるコネクタユーザーとユーザーアクセス制御インスタンスを作成する
コンソールを使用する代わりに idsync prepds コマンド行ユーティリティーを使用して Directory Server を準備することもできます。詳細については、「prepds の使用」を参照してください。
idsync prepds コマンド行ユーティリティーを使用して Directory Server を準備するには、使用するホストとサフィックスの把握とディレクトリマネージャーの資格が必要になります。
Directory Server の準備には、「Directory Server の準備」ウィザードを使用できます。
このウィザードにアクセスするには、次のいずれかの方法を使用します。
「Directory Server の準備を直ちに行いますか ?」ダイアログボックスが表示されたときに「はい」ボタンをクリックします。
「設定」タブの「Sun ディレクトリソース」パネルで「Directory Server の準備」ボタンをクリックします。
ディレクトリマネージャーアカウントの次の資格を入力します。
「ディレクトリマネージャーユーザー名」
「ディレクトリマネージャーパスワード」
副ホストを使用している場合は (MMR 構成)、「二次ホスト」オプションが設定可能になるので、これらのホストの資格も指定します。
入力が完了したら、「次へ」をクリックして「準備設定の指定」パネルを表示します。
警告メッセージを読み、Directory Server インデックスをすぐに作成するか、あとで作成するかを決めます。
データベースのサイズによっては、この処理に少し時間がかかることがあります。
データベースが読み取り専用モードの場合は、データベース内の情報を更新できません。
データベースをオフラインにすると、インデックスを高速に作成できます。
インデックスをすぐに作成するときは、「データベース <データベース名> のインデックスの作成」ボックスにチェックマークを付け、「次へ」をクリックします。
インデックスをあとで (手動またはもう一度ウィザードを実行して) 作成する場合は、「データベース <データベース名> のインデックスの作成」ボックスのチェックマークを外し、「次へ」をクリックします。
「準備状態」パネルが表示され、Directory Server の準備の進捗状況に関する情報が示されます。
メッセージ区画の下部に「成功」メッセージが表示されたら、「完了」をクリックします。
エラーメッセージが表示された場合は、指摘された問題を解決してから、操作を続行します。詳細については、エラーログ (「状態」タブを参照) を確認してください。
コンソールの「設定」タブに戻ります。ナビゲーションツリーで Sun ディレクトリソースノードを選択し、「Sun ディレクトリソース」パネルを表示します。
このパネルから、次のタスクを実行できます。
「サーバーの編集」: このボタンをクリックすると、「Sun Java System ディレクトリソースの定義」パネルが表示され、サーバーの設定パラメータを変更できます。操作方法については、「Sun Java System ディレクトリソースの作成」を参照してください。
優先 Sun ディレクトリソースの旧バージョン形式の更新履歴ログデータベースを再作成する場合、デフォルトのアクセス制御設定が適用されるとディレクトリサーバーコネクタはデータベースの内容を読み込めません。
新しい旧バージョン形式の更新履歴ログデータベースのアクセス制御設定を復元するには、idsync prepds を実行するか、またはコンソールで適切な Sun ディレクトリソースを選択して「Directory Server の準備」ボタンをクリックします。
「Directory Server の準備」: Directory Server を準備するときは、このボタンをクリックし、「Sun ディレクトリソースの準備」の操作手順に従います。
インデックスが削除された場合や、旧バージョン形式の更新履歴ログデータベースを失った場合など、最初にサーバーを準備したあとで Directory Server に変更が生じたときは、サーバーの準備を再度実行できます。
同期対象の Sun Java System Directory Server エンタープライズ内のユーザー入力ごとに Directory Server ディレクトリソースを追加します。
完了したら、少なくとも 1 つの Windows ディレクトリソースを作成します。
Active Directory ディレクトリソースを作成する場合は、「Active Directory ソースの作成」に進みます。
Windows NT ディレクトリソースを作成する場合は、「Windows NT SAM ディレクトリソースの作成」に進みます。
Active Directory ディレクトリソースは、ネットワーク上で同期させる Windows ドメインごとに追加するようにしてください。
Active Directory の各配備には、すべての Active Directory ドメインに適用されるグローバル情報がすべて記録されたグローバルカタログが、少なくとも 1 つあります。グローバルカタログにアクセスするには、デフォルトのアクセス権を変更していなければ、通常のユーザーに与えられている権限で十分です。
各 Active Directory サーバーをグローバルカタログとし、配備に複数のグローバルカタログを持たせることもできますが、指定が必要なグローバルカタログの数は 1 つだけです。
ネットワークに Windows Active Directory サーバーが存在する場合は、次の手順を実行します。
ナビゲーションツリーで「ディレクトリソース」ノードを選択し、「ディレクトリソース」パネルの「新規 Active Directory ソース」ボタンをクリックします。
「Windows グローバルカタログ」ダイアログボックスが表示されます。
次の情報を入力し、「OK」をクリックします。
「ホスト」: Active Directory フォレストのグローバルカタログを保持するマシンの完全修飾ホスト名を入力します。
例: machine2.example.com
「このポートに SSL を使用する」: Identity Synchronization for Windows でグローバルカタログとの通信に SSL ポートを使用する場合は、このオプションを有効にします。
「ユーザー DN」 : 管理者の (バインド) 完全修飾識別名を入力します。スキーマを参照し、システムで使用できる Active Directory ドメインを特定できる資格があれば、どのような DN でも指定できます。
「パスワード」: 指定したユーザーのパスワードを入力します。
次のような「Active Directory ソースの定義」ウィザードが表示されます。
Active Directory グローバルカタログが照会されて、存在するその他のドメインが特定され、それらのドメインが「ドメイン」の一覧に表示されます。
一覧から名前を選択して Active Directory ドメインを指定し、「OK」をクリックします。
使用するドメインが一覧に表示されない場合は、次の手順を使用して、そのドメインを認識するグローバルカタログを追加します。
「グローバルカタログ」ボタンをクリックして「グローバルカタログ」ウィザードを表示します。
「新規」ボタンをクリックします。
「Windows グローバルカタログ」ダイアログボックスが表示されるので、グローバルカタログのホスト名と、ディレクトリソースの資格 (手順 2 を参照) を入力し、「OK」をクリックします。
「グローバルカタログ」の一覧に新しいグローバルカタログとポートが表示されます。カタログ名を選択し、「OK」をクリックします。
さらにグローバルカタログ (ドメイン) をシステムに追加する場合は、これらの手順を繰り返します。
完了したら、「ドメインの選択」区画の「次へ」ボタンをクリックします。
「クレデンシャルの指定」パネルが表示されたら、「ユーザー DN」フィールドの値を確認します
管理者の識別名が「ユーザー DN」フィールドに自動的に入力されない場合、または自動入力された管理者の資格を使用しない場合は、ユーザー DN とパスワードを手動で入力します。
Active Directory ソースを設定するときは、Active Directory コネクタが Active Directory との接続に使用できるユーザー名とパスワードを指定します。
コネクタには特定のアクセス権が必要です。次に示すように、最小限の権限は、同期の方向によって異なります。
Active Directory から Directory Server への同期フローのみを設定する場合は、Active Directory コネクタ用に指定するユーザーには多くの特別な権限は必要ありません。通常のユーザーに、同期対象ドメインで「すべてのプロパティーを読み取る」権限が追加されているだけで十分です。
Directory Server から Active Directory への同期フローを設定する場合は、同期によって Active Directory 内のユーザーエントリが変更されるため、コネクタユーザーにはもっと多くの権限が必要になります。この設定では、コネクタユーザーは「フルコントロール」権限を持つユーザーか、または管理者グループのメンバーにします。
「次へ」をクリックし、「ドメインコントローラの指定」パネルを開きます。
このパネルでは、指定したドメイン内で同期するコントローラを選択します。ドメインコントローラの概念は、Directory Server の優先サーバーに似ています。
選択している Active Directory ドメインに複数のドメインコントローラがあるときは、同期のプライマリドメインコントローラ FSMO (Flexible Single Master Operation) ロールを持つドメインコントローラを選択します。
デフォルトでは、すべてのドメインコントローラで行われたパスワード変更はただちにプライマリドメインコントローラ FSMO ロール所有者にレプリケートされ、このドメインコントローラを選択すると、パスワード変更はただちに Identity Synchronization for Windows によって Directory Server と同期されます。
配備によっては、PDC との間に大きなネットワーク「距離」があるために同期が大幅に遅れるので、Windows レジストリに AvoidPdcOnWan 属性が設定されることがあります。詳細については、Microsoft サポート技術情報の記事 232690 を参照してください。
ドロップダウンリストからドメインコントローラを選択します。
Identity Synchronization for Windows コネクタがドメインコントローラとの通信にセキュリティー保護されたポートを使用するように設定する場合は、「セキュア通信に SSL を使用」ボックスにチェックマークを付けます。
Microsoft Certificate Server を使用する場合は、Active Directory コネクタに CA 証明書が自動的にインストールされます。それ以外の場合は、Active Directory コネクタに CA 証明書を手動で追加します (「Active Directory コネクタでの SSL の有効化」を参照)。初期設定後にフローの設定を変更する場合にも、この手順を適用します。
完了したら、「次へ」をクリックします。
「フェイルオーバーコントローラの指定」パネルが表示されます (「Active Directory ソースの作成」を参照)。このパネルでは、任意の数のフェイルオーバードメインコントローラを指定できます。
Active Directory コネクタが通信する Active Directory ドメインコントローラ は 1 つだけであるため、Identity Synchronization for Windows では、そのコネクタで適用されるフェイルオーバーの変更はサポートされません。ただし、ディレクトリサーバープラグインは、Directory Server のパスワード変更を検証するときに、任意の数のドメインコントローラと通信します。
Directory Server は、Active Directory ドメインコントローラへの接続を試行し、そのドメインコントローラが使用できない場合は、指定されたフェイルオーバードメインコントローラへの接続を繰り返し試行します。
「フェイルオーバーサーバー」の一覧から 1 つまたは複数のサーバー名を選択するか、または「すべてを選択」ボタンをクリックして一覧のすべてのサーバーを指定し、「次へ」をクリックします。
「拡張セキュリティーオプションの指定」パネルが表示されます。
「信頼できる SSL の証明書を要求」オプションは、「ドメインコントローラの指定」パネルで「セキュア通信に SSL を使用」ボックスを有効にした場合にのみアクティブ (選択可能な状態) になります。
「信頼できる SSL の証明書を要求」ボックスが無効になっている場合 (デフォルト設定)、Active Directory コネクタは SSL 経由で Active Directory に接続し、Active Directory から渡された証明書が信頼されているかどうかを検証しません。
このオプションを無効にすると、Active Directory 証明書データベースに Active Directory 証明書をインストールする必要がなくなるので、セットアップ手順が簡単になります。
「信頼できる SSL の証明書を要求」ボックスを有効にすると、Active Directory コネクタは SSL 経由で Active Directory に接続し、Active Directory から渡された証明書が信頼されているかどうかを検証します。
コネクタの証明書データベースに Active Directory 証明書を追加してください。手順については、「Active Directory 証明書のコネクタの証明書データベースへの追加」を参照してください。
「拡張セキュリティーオプション」パネルの設定が完了したら、「完了」をクリックします。
ナビゲーションツリーの「ディレクトリソース」の下に、新しく指定した Active Directory ディレクトリソースが追加されます。
その Active Directory ディレクトリソースノードを選択し、「Active Directory ソース」パネルを表示します。
このパネルから、次のタスクを実行できます。
「コントローラの編集」: このボタンをクリックすると、「ドメインコントローラの指定」パネルが再度開き、ドメインコントローラの設定パラメータを変更できます。操作方法については、「Active Directory ソースの作成」を参照してください。
「再同期間隔」: Active Directory コネクタが変更を確認する頻度を指定します。(デフォルトは 1000 ミリ秒)
「ディレクトリソースのクレデンシャル」: 指定されているユーザー DN とパスワードのいずれかまたは両方を変更します。
この節では、Identity Synchronization for Windows を配備できる Windows NT SAM ディレクトリソースの作成方法を説明します。
ナビゲーションツリーで「ディレクトリソース」ノードを選択し、「新規 Windows NT SAM ディレクトリソース」ボタンをクリックします。
「Windows NT SAM ディレクトリソースの定義」パネルが表示されたら、指示に従って Windows NT ドメイン名を確認し、「ドメイン」フィールドに一意の NT ディレクトリソースドメイン名を入力します。完了したら、「次へ」をクリックします。
「プライマリドメインコントローラのコンピュータ名の指定」パネルが表示されたら、指示に従って プライマリドメインコントローラのコンピュータ名を確認し、「コンピュータ名」フィールドにその情報を入力します。
「完了」をクリックします。
ナビゲーションツリーの「ディレクトリソース」の下に、新しく指定した Windows NT SAM ディレクトリソースが追加されます。新しいディレクトリソースのノードを選択して「Windows NT SAM ディレクトリソース」パネルを表示します。
このパネルから、次のタスクを実行できます。
「編集」: このボタンをクリックすると、「ドメインコントローラの指定」パネルが再度開き、ドメインコントローラの設定パラメータを変更できます。操作方法については、「Active Directory ソースの作成」を参照してください。
「再同期間隔」: Windows NT に加えられた変更を Identity Synchronization for Windows が確認する頻度を指定します。(デフォルトは 1000 ミリ秒)
ネットワーク上の Windows NT マシンごとに Windows NT ディレクトリソースを追加します。
Windows NT SAM ディレクトリソースの作成が完了したら、同期対象にする属性の選択とマッピングを行うことができます。「ユーザー属性の選択とマッピング」に進みます。