Directory Server と Windows のディレクトリソースの作成と設定が完了したら、同期対象にするユーザー属性を選択し、それらの属性をシステム間でマッピングします。
この節で説明する内容は次のとおりです。
次の 2 種類の属性があります。
重要: ユーザーエントリの作成または変更時にシステム間で同期される属性。
作成: ユーザーエントリの作成時にのみシステム間で同期される属性。
各プラットフォームで使用されるスキーマによっては、一部の作成属性は必須となります。これらの属性は、パスワードの同期に必要とされるので、Active Directory サーバー上で user オブジェクトクラスエントリを正しく作成するために、Directory Server 属性にマッピングします。
この節では、同期対象にするユーザー属性を選択する方法、およびそれらの属性を 1 対 1 の関係でマッピングする方法について説明します。この属性マッピングにより、Directory Server の属性を指定すると、Active Directory 環境と Windows NT 環境のいずれかまたは両方の対応する属性が表示され (Active Directory または Windows NT の属性を指定すると、Directory Server 環境の対応する属性が表示される)、対応する Windows 属性の値が同期されるようになります。
ナビゲーションツリーの最上部にある「Identity Synchronization for Windows」ノードを選択します。
グループ同期機能が有効になっている場合、Directory Server の uniquemember 属性と Active Directory の member 属性は内部的にマッピングされ、前の図のようにコンソールに表示されます。
「属性」タブを選択し、「新規」ボタンをクリックします。
「有効属性マッピングの定義」ダイアログボックスが表示されます。このダイアログボックスで、Directory Server から Windows システム (Active Directory と Windows NT のいずれかまたは両方) に属性をマッピングします。
どの作成属性が Directory Server (または Active Directory) の必須作成属性となるかは、Sun 側 (または Active Directory 側) のユーザーエントリに設定されているオブジェクトクラスによって異なります。
Directory Server のデフォルトのオブジェクトクラスには inetOrgPerson が自動的に使用され、Active Directory のスキーマはグローバルカタログの指定時に読み込まれます。そのため、デフォルトのスキーマを変更する場合以外は、「スキーマの読み込み」ボタンを使用しません。
デフォルトのスキーマソースを変更する場合は、「スキーマソースの変更」を参照してください。
Sun Java System の属性ドロップダウンリストから属性を選択し (たとえば、cn など)、それに対応する属性を Active Directory と Windows NT SAM のいずれかまたは両方の属性ドロップダウンメニューから選択します。
完了したら、「OK」をクリックします。
別の属性を指定する場合は、手順 2 〜 4 を繰り返します。
完了後の同期対象属性の表は、次の図のようになります。この図では、Directory Server の userpassword、cn、および telephonenumber 属性が、Active Directory の unicodepwd、cn、および telephonenumber 属性にマッピングされたことが示されています。
Identity Synchronization for Windows では、別の作成属性または重要属性を使用して、パラメータ化されたデフォルト属性値を作成できます。
パラメータ化されたデフォルト属性値を作成するには、式文字列内の既存の作成属性または重要属性の名前の前後にパーセント記号を付けます (%attribute_name%)。たとえば、homedir=/home/%uid% や cn=%givenName% %sn% のようにします。
これらの属性値を作成した場合、次のように使用できます。
1 つの作成式で複数の属性を使用できます (cn=%givenName% %sn%)。
A=0 の場合、B はデフォルト値を 1 つだけ持つことができます。
パーセント記号を通常の文字として使用する場合は、円記号 (\\) を使用します 。たとえば diskUsage=0\\% のようにします。
循環式の置換条件を持つ式を使用しないでください。たとえば、description=%uid% を指定する場合は、uid=%description% を使用できません。
グループ同期が有効になっている場合は、次のことを確認してください。
Active Directory でサポートされる作成式は cn=%cn% です。
作成式はユーザーとグループの両方に共通であるため、作成式には、グループオブジェクトクラスに属する有効な属性名も含めます。
例: Directory Server では、属性 sn は groupofuniquenames オブジェクトクラスに属しません。したがって、グループオブジェクトでは、次の作成式は無効になります。(ただし、ユーザーオブジェクトでは正しく機能する。)
cn=%cn%.%sn%
作成式に使用される属性には、作成されるすべてのユーザー/グループエントリの値を指定します。この値をコンソールで指定できない場合は、コマンド行インタフェースを使用して指定できます。
デフォルトのスキーマソースが自動的に設定されますが、デフォルトスキーマを変更できます。
「有効属性マッピングの定義」ダイアログボックスで、「スキーマの読み込み」ボタンをクリックします。
「スキーマソースの選択」パネルが表示されます。
このパネルでは、スキーマの読み込み元の Sun Java System Directory Server スキーマサーバーを指定しますこのスキーマには、システムで使用できるオブジェクトクラスが含まれており、これらのオブジェクトクラスによって、ユーザーがシステムで使用できる属性が定義されます。
「Sun Java System ディレクトリスキーマサーバー」フィールドには、デフォルトの設定ディレクトリが自動的に入力されます。
別のサーバーを選択する場合は、「選択」ボタンをクリックします。
「Sun スキーマホストの選択」ダイアログボックスが表示されます。このダイアログボックスには、ディレクトリソースの管理情報を集めた設定ディレクトリの一覧が表示されます。
このダイアログボックスでは、次の操作を実行できます。
新しい設定ディレクトリを作成して一覧に追加する。
「新規」をクリックし、「新規設定ディレクトリ」ダイアログボックスが表示されたら、ホスト、ポート、ユーザー DN、およびパスワードを指定します。完了したら、「OK」をクリックします。
既存のディレクトリを編集する。
「編集」をクリックし、「設定ディレクトリの編集」ダイアログボックスが表示されたら、ホスト、ポート、ユーザー DN、パスワードのいずれかまたはすべてを変更できます。完了したら、「OK」をクリックします。
ディレクトリを一覧から削除する。
一覧からディレクトリ名を選択し、「削除」ボタンをクリックします。
一覧からサーバーを選択し、「OK」をクリックします。通常、スキーマソースには Sun 同期ホストの 1 つを選択することをお勧めします。
「次へ」ボタンをクリックして、「Structural および Auxiliary オブジェクトクラスの選択」パネルを表示します。
このパネルでは、次のように、同期対象にするオブジェクトクラスを指定します。
Structural オブジェクトクラス: 選択した Directory Server から作成または同期されるエントリごとに、少なくとも 1 つの Structural オブジェクトクラスを指定します。
Auxiliary オブジェクトクラス: このオブジェクトクラスでは、選択した構造クラスを補強し、同期に関する追加属性を指定します。
Structural オブジェクトクラスと Auxiliary オブジェクトクラスを指定するには 、次の手順に従います。
Structural オブジェクトクラスをドロップダウンリストから選択します。(デフォルトは inetorgperson)
「利用可能な Auxiliary オブジェクトクラス」の一覧で 1 つまたは複数のオブジェクトクラスを選択し、「追加」をクリックして選択項目を「選択された Auxiliary オブジェクトクラス」の一覧に移動します。
選択されたオブジェクトクラスによって、重要属性または作成属性として選択できる Directory Server ソース属性が決まります。また、必須作成属性も、ここで選択されたオブジェクトクラスによって決まります。
「選択された Auxiliary オブジェクトクラス」の一覧から選択項目を削除するには、そのオブジェクトクラス名を選択し、「削除」ボタンをクリックします。
完了したら、「完了」をクリックします。スキーマおよび選択したオブジェクトクラスが読み込まれます。