test

Sun Java System Directory Server Enterprise Edition 6.3 インストールガイド

システム間でのユーザー属性の伝播

同期対象のユーザー属性の選択とマッピングが完了したら、Directory Server システムと Windows システム間で属性の作成、変更、および削除を伝播させる方法 (フロー) を Identity Synchronization for Windows に指示します。

デフォルトでは、Identity Synchronization for Windows は次のように動作します。

オブジェクト作成のフローの指定

ProcedureDirectory Server システムと Active Directory システムの間でオブジェクト作成を伝播させる方法を指定する

  1. 「オブジェクトの作成」タブをクリックします。

    図 6–33 作成の選択と伝播

    このパネルでは、新しい作成属性を指定し、システム間での作成のフロー方法を設定します。

  2. 次のように、作成のフローを有効または無効にできます。

    • Directory Server 環境から Windows サーバーに作成を伝播させる場合は、「オブジェクト作成は Sun Java System Directory Server から Windows に伝播される」にチェックマークを付けます。

    • Windows 環境から Directory Server に作成を伝播させる場合は、「オブジェクト作成は Windows から Sun Java System Directory Server に伝播される」にチェックマークを付けます。

    • 双方向のフローを設定する場合は、両方のオプションにチェックマークを付けます。

    • システム間でユーザーの作成を伝播させない場合は、どちらのオプションにもチェックマークを付けません。(デフォルト)。

  3. システム間で同期させる作成属性を追加、編集、または削除するには、選択されているオプションの下にある「作成属性」ボタンをクリックします。

    「作成属性のマッピングと値」ダイアログボックスが表示されます。

    図 6–34 作成属性のマッピングと値: Directory Server から Windows

    このダイアログボックスでは、Active Directory 作成属性を Directory Server にマッピングします。

    図 6–35 作成属性のマッピングと値: Windows から Directory Server

    このダイアログボックスでは、Active Directory 作成属性を Directory Server にマッピングします。

    どちらかのダイアログボックスを使用して、新しい作成属性の指定、既存の属性の編集または削除を行うことができます。詳細については、「新しい作成属性の指定」を参照してください。

    注 –

    ユーザーオブジェクトクラスの必須属性に関するスキーマ制約を満たすために、ユーザー作成時にシステム間で伝播させる追加の属性を指定する場合があります。

    「ユーザー属性の選択とマッピング」で説明したように、必須属性を変更属性として指定した場合は、追加の属性は必要ありません。

新しい作成属性の指定

次に、作成属性を追加し、Active Directory から Directory Server にマッピングする方法について説明します。Directory Server から Windows、または Windows から Directory Server に伝播させる作成属性を追加してマッピングする場合も、同様の手順になります。

Procedure新しい作成属性を指定する

  1. 「作成属性のマッピングと値」ダイアログボックスの「新規」ボタンをクリックします。

    「作成属性のマッピングと値の定義」ダイアログボックスが表示されます。

    図 6–36 作成属性のマッピングと値の定義

    このダイアログボックスでは、作成属性をマッピングし、それらの属性に値を追加します。

  2. 「Active Directory 属性」ドロップダウンリストから属性値を選択します。

    図 6–37 新しい Active Directory 属性の選択

    新しい Active Directory 属性を選択します。

    Identity Synchronization for Windows では、属性が複数の値を受け付ける場合は、複数の値で属性を初期化できます。

    たとえば、会社に 3 つのファックス番号がある場合、Sun Java System Directory Server と Active Directory の両方に facsilimiletelephonenumber 属性を指定して、3 つの番号を指定できます。

    どの属性が複数の値を受け付けるかを把握しておきます。複数の値を受け付けない属性に複数の値を追加しようとすると、プログラムによるオブジェクト作成の実行時にエラーが発生します。

  3. 「新しい値」フィールドに値を入力し、「追加」をクリックします

    一覧に属性値が追加されます。複数の属性値を追加する場合は、必要な回数だけこの手順を繰り返します。

    図 6–38 作成属性の複数の値の指定

    特定の作成属性に複数の値を指定できます。

  4. 属性を Directory Server にマッピングするには、「Sun Java System ディレクトリ属性」ドロップダウンリストから属性名を選択します。

    図 6–39 Directory Server 属性のマッピング

    Directory Server 属性を Windows 属性にマッピングします。

  5. 完了したら、「OK」をクリックします。

    この例では、完了後の作成属性とマッピングの表は次の図のようになります。

    図 6–40 操作完了後の作成属性とマッピングの表

    操作完了後の作成属性とマッピングの表

  6. 別の属性を指定する場合は、同じ手順を繰り返します。

既存の属性の編集

Procedure作成属性のマッピングまたは値を編集する

  1. 「オブジェクトの作成」タブをクリックし、選択されている作成オプションの下にある「作成属性」ボタンをクリックします。

  2. 「作成属性のマッピングと値」ダイアログボックスが表示されたら、表から属性を選択し、「編集」ボタンをクリックします。

    「作成属性のマッピングと値の定義」ダイアログボックスが表示されます。

  3. ドロップダウンメニューを使用して、Directory Server と Active Directory (または Windows NT) の間の既存のマッピングを変更します。

    たとえば、Sun Java System Directory Server の homephone 属性が Active Directory の othertelephone 属性にマッピングされている場合に、Active Directory 属性のドロップダウンリストを使用して、マッピング対象を homephone 属性に変更できます。

  4. 属性値を追加または削除することもできます。

    • 値を追加するには、「新しい値」フィールドに情報を入力し、「追加」をクリックします。

    • 値を削除するには、一覧から値を選択し、「削除」をクリックします。

  5. 完了したら、「OK」をクリックします。変更が適用され、「作成属性のマッピングと値の定義」ダイアログボックスが閉じます。

  6. もう一度「OK」をクリックして「作成属性のマッピングと値」ダイアログボックスを閉じます。

属性の削除

Procedure作成属性のマッピングまたは値を削除する

  1. 「オブジェクトの作成」タブをクリックし、選択されている作成オプションの下にある「作成属性」ボタンをクリックします。

  2. 「作成属性のマッピングと値」ダイアログボックスが表示されたら、表から属性を選択し、「削除」ボタンをクリックします。

    属性がただちに表から削除されます。

  3. 完了したら、「OK」をクリックして「作成属性のマッピングと値」ダイアログボックスを閉じます。

オブジェクト変更のフローの指定

Sun システムと Windows システムの間でユーザー属性とパスワードの変更を伝播させる方法 (フロー) を制御する場合は、「属性の修正」タブを使用します。

図 6–41 「属性の修正」タブ

Sun システムと Windows システムの間で属性とパスワードの変更を伝播させる方法、無効化を同期させるかどうか、および無効化の方法を指定します。

このタブでは、次の設定を行います。

注 –

アカウントの状態を Windows NT ディレクトリソースと同期させることはできません。

方向の指定

次のいずれかのボタンを選択することで、Directory Server 環境と Windows 環境で加えられた変更をシステム間で伝播させる方法を制御します。

オブジェクトの有効化と無効化の設定と同期

「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けると、Directory Server と Active Directory のソース間でオブジェクトの有効化と無効化 (Active Directory では有効無効) を同期させることができます。

注 –

有効化と無効化を Windows NT ディレクトリソースと同期させることはできません。

図 6–42 オブジェクトの有効化と無効化の同期

このパネルでは、有効化および無効化されたオブジェクトを検出して Sun と Active Directory の間でそれらを同期させる方法を指定します。

Procedureオブジェクトの有効化と無効化を同期させる

  1. 「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けます。

  2. 次のいずれかのオプションを有効にして、Identity Synchronization for Windows でオブジェクトの有効化と無効化を検出し、同期させる方法を指定します。

Directory Server ツールとの相互運用

Directory Server コンソールまたはコマンド行ツールを使用してオブジェクトを有効化または無効化する場合は、このオプションを選択します。このオプションを選択すると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。また、ほかのロール (cn=nsdisabledrole, database suffix など)、またはほかのロール内に入れ子にされたロール (cn=nsdisabledrole, database suffixcn=nsmanageddisabledrole, database suffix など) を使用して無効化されたオブジェクトも検出できなくなります。

注 –

「Directory Server ツールと相互運用」オプションを有効にすると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。さらに、ほかのロールによって無効にされたオブジェクトも検出できなくなります。

たとえば、cn=nsdisabledrole, database suffix などのロール、またはほかのロール内で入れ子にされている cn=nsdisabledrole, database suffix cn=nsmanageddisabledrole, database suffix などのロールがこれに該当します。

「Directory Server ツールとの相互運用」の表に、「Directory Server ツールと相互運用」オプションを有効にした場合に Identity Synchronization for Windows がオブジェクトの有効化と無効化どのようにを検出し、同期させるかを示します。

表 6–1 Directory Server ツールとの相互運用

有効化 

無効化 

Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールが削除された場合にのみ有効化を検出します。

Identity Synchronization for Windows は、エントリの nsroledn 属性に cn=nsmanageddisabledrole, database suffix ロールが含まれる場合にのみ無効化を検出します。

Active Directory からのオブジェクト有効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールを削除することでオブジェクトを有効化します。

Active Directory からのオブジェクト無効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトに cn=nsmanageddisabledrole, database suffix ロールを追加することでオブジェクトを無効化します。

Directory Server の nsAccountLock 属性の直接修正

Directory Server の有効化と無効化が Directory Server のオペレーショナル属性 nsAccountLock に基づく場合は、この方法を使用します。

注 –

「Directory Server の nsAccountLock 属性を直接修正」オプションを有効にすると、Identity Synchronization for Windows では、Directory Server コンソールまたはコマンド行ユーティリティーを使用して有効化または無効化されたオブジェクトが検出されなくなります。

この属性は、オブジェクトの状態を次のように制御します。

表 6–2 Directory Server の nsAccountLock 属性の直接修正

有効化 

無効化 

Identity Synchronization for Windows は、nsAccountLock 属性が true に設定されている場合にのみ、無効化されたオブジェクトを検出します。

Identity Synchronization for Windows は、nsAccountLock 属性に値がないか、または false に設定されている場合にのみ、有効化されたオブジェクトを検出します。

Active Directory からのオブジェクト無効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を削除します。

Active Directory からのオブジェクト有効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を true に設定します。

Directory Server のカスタムメソッドの使用

Directory Server の有効化と無効化が Sun Java System Access Manager (従来の Sun JES Identity Server) などの外部アプリケーションによって排他的に制御される場合は、この方法を使用します。

Directory Server のカスタムメソッドを設定する場合は、次の方法を指定します。

注 –

「Directory Server のカスタムメソッドを使用」オプションを有効にすると、ディレクトリへのアクセスが Access Manager などの外部アプリケーションによって制御されている場合を除き、Identity Synchronization for Windows はオブジェクトをディレクトリからロックアウトできなくなります。

有効化と無効化のカスタムメソッドを設定するには、「設定」ボタンをクリックして「Directory Server のカスタムメソッドの設定」ダイアログボックスを表示します。

図 6–43 有効化と無効化のカスタムメソッドの設定

このダイアログボックスでは、無効化属性を指定し、プログラムがオブジェクトの状態を検出および設定するときに使用できる値を指定します。

このダイアログボックスには次の機能があります。

ProcedureDirectory Server と Active Directory の間でオブジェクトの状態を検出し、同期するように Identity Synchronization for Windows を設定する

  1. 「アクティブ化状態の属性」ドロップダウンリストから属性を選択します。

  2. 「新規」ボタンをクリックし、表の「値」列に値を追加します。

  3. 「値」列の各エントリと同じ行の「状態」列をクリックし、表示されるドロップダウンリストから「有効」または「無効」を選択します。

    図 6–44 状態の選択

    状態を選択します。

    たとえば、Access Manager を使用している場合は、次のように指定します。

  4. 「アクティブ化状態の属性」ドロップダウンリストから inetuserstatus 属性を選択します。

  5. 「新規」ボタンをクリックし、表の「値」列に activeinactive、および deleted の各属性値を入力します

  6. 各値に対応する「状態」列をクリックし、次のように、「有効」または「無効」を選択します。

    • 値なし」: 有効

    • active」: 有効

    • inactive」: 無効

    • deleted」: 無効

    • ほかのすべての値」: 無効

    「Directory Server のカスタムメソッドの使用」では、この inetuserstatus の例に基づいて、「Directory Server のカスタムメソッドを使用」オプションを有効にした場合に Identity Synchronization for Windows が有効化と無効化の検出と同期を行う方法を説明します。

    値 

    状態 

    結果 

    値なし

    有効 

    inetuserstatus 属性が存在しないか、または値を持たない場合に、有効なオブジェクトとして検出されます。

    active

    有効 

    属性値が active の場合に、有効なオブジェクトとして検出されます。

    inactive

    無効 

    属性値が inactive の場合に、無効なオブジェクトとして検出されます。

    deleted

    無効 

    属性値が deleted の場合に、無効なオブジェクトとして検出されます。

    ほかのすべての値:

    無効 

    属性が持つ値が表に指定されていない場合に、無効なオブジェクトとして検出されます。 

    有効化と無効化の設定

    「値」と「状態」の表を設定すると、「有効化される値」「無効化される値」のドロップダウンリストが自動的に次のように生成されます。

    • 「有効化される値」リストには、状態が「有効」のすべての値が含まれます (「値なし」「active」など)。

    • 「無効化される値」リストには、状態が「無効」のすべての値が含まれます (「inactive」「deleted」 など)。

    • 「ほかのすべての値」の値はどちらのリストにも含まれません。

      Active Directory から同期されるオブジェクトを Identity Synchronization for Windows が有効化または無効化する方法を指定するには、「有効化される値」と「無効化される値」のいずれかまたは両方のドロップダウンリストから値を選択します。

    • 有効化される値」: オブジェクトの有効化状態を制御します。

      • 値なし」: オブジェクトに「active」の値が含まれていない場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。

      • active」: オブジェクトに「active」の値が含まれている場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。

    • 無効化される値」: オブジェクトの有効化状態を制御します。

      • inactive」または「deleted」: Identity Synchronization for Windows は Directory Server 側のオブジェクトの状態を無効に設定します。

      • なし」: 有効な設定ではありません。値を選択してください。

      注 –

      無効化される値を指定してください。指定しない場合、設定は無効となります。

      設定が完了した「Directory Server のカスタムメソッドの設定」ダイアログボックスの図を次に示します。

    図 6–45 設定が完了したダイアログボックスの例

    設定が完了した「Directory Server のカスタムメソッドの設定」ダイアログボックスの例

グループ同期の設定

Directory Server と Active Directory 間のグループ同期を有効にすると、グループの作成、グループの削除、およびグループ内のメンバーシップの変更を同期できます。

注 –

Windows NT ディレクトリソースでは、グループ同期はサポートされません。

Procedureグループを同期する

  1. 「グループ」タブで、「グループ同期を使用可能にする」チェックボックスにチェックマークを付けます。

  2. 次のいずれかのグループ同期方法を選択し、Identity Synchronization for Windows でさまざまなグループの検出と同期を行う方法を指定します。

    • ドメイングローバルセキュリティー

    • ドメイングローバル配布

    図 6–46 グループ同期の有効化

    グループ同期を有効にし、Directory Server から Active Directory にグループを伝播させる方法を指定します。

    注 –

    ドメイングローバルセキュリティー、ドメイングローバル配布、および Active Directory の詳細については、Microsoft Active Directory のドキュメントを参照してください。

Directory Server と Active Directory の間でグループに関する変更を検出して同期するための Identity Synchronization for Windows の設定

グループ同期に関する属性を手動でマッピングする必要はありません。「保存」をクリックすると、属性は自動的にマッピングされます。

図 6–47 グループ同期の属性マッピング

同期対象にする属性を選択し、「保存」をクリックします。

注 –

  1. userpassword 属性と unicodepwd 属性のマッピングを変更しないでください。

  2. グループ同期を無効にするには、「グループ同期を使用可能にする」チェックボックスのチェックマークを外します。

  3. または、コマンド行ツールの idsync groupsync を使用してグループ同期の有効と無効を切り替えることもできます。詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。

アカウントのロックアウトおよびロックアウト解除の設定と同期

アカウントのロックアウト機能を有効にするには、次の操作を行います。

Identity Synchronization for Windows では、Active Directory と Directory Server の間で次のイベント同期を行うことができます。

注 –

Windows NT ディレクトリサーバーでは、アカウントのロックアウトとロックアウト解除の同期はサポートされません。

アカウントのロックアウトに必要な前提条件

アカウントのロックアウト機能を有効にする前に、両方のコンポーネントで属性 lockoutDuration を同じ値に設定してください。また、分散セットアップに関係するすべてのシステム間で時刻が一致していることも確認してください。時刻が一致していないと、lockoutDuration の設定がシステム間の時刻差よりも短い場合に、ロックアウトイベントが期限切れとなる可能性があります。

注 –

Active Directory と Directory Server の両方に同じパスワードポリシーを設定してください。たとえば、Active Directory のパスワードポリシーで永続的なロックアウトが指定されている場合は、Directory Server でも同じパスワードポリシーを設定するようにしてください。

アカウントのロックアウト機能の使用

Directory Server と Active Directory の間のアカウントロックアウトの同期を有効にします。

これらの設定を使用して、アカウントロックアウトの同期を有効または無効にします。

アカウントのロックアウトを有効にするために、Directory Server の pwdaccountlockedtime 属性と Active Directory の lockoutTime 属性を明示的にマッピングする必要はありません。Identity Synchronization for Windows の設定パネルの「アカウントのロックアウト」タブで、「アカウントロックアウト同期を有効にする」チェックボックスにチェックマークを付けます。

同期対象にする属性を選択し、「保存」をクリックします。
注 –

コマンド行ツールの idsync accountlockout を使用してアカウントロックアウトの同期の有効と無効を切り替えることもできます。詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。

削除のフロー方法の指定

Directory Server システムと Active Directory システムの間でユーザーエントリの削除を伝播させる方法を指定するには、「オブジェクトの削除」タブを使用します

注 –

Windows NT ではオブジェクト削除のフローを指定できません。

ProcedureDirectory Server システムと Active Directory システム間でのエントリ削除のフロー方法を指定する

  1. ナビゲーション区画の最上部にある「Identity Synchronization for Windows」ノードを選択し、「オブジェクトの削除」タブをクリックします

    図 6–48 ユーザーエントリの削除の伝播

    このパネルでは、システム間でユーザーエントリの削除を伝播させる方法を制御します。

  2. 次のように削除のフローを有効または無効にします。

    • Sun Directory Server 環境から Active Directory サーバーに削除を伝播させる場合は、「オブジェクトの削除は Sun Java System Directory Server から Active Directory に伝播される」にチェックマークを付けます。

    • Active Directory 環境から Sun Directory Server に削除を伝播させる場合は、「オブジェクトの削除は Active Directory から Sun Java System Directory Server に伝播される」にチェックマークを付けます。

    • 双方向のフローを設定する場合は、両方のオプションにチェックマークを付けます。

    • システム間でユーザーの削除を伝播させない場合は、どちらのオプションにもチェックマークを付けません (デフォルト設定)。