同期対象のユーザー属性の選択とマッピングが完了したら、Directory Server システムと Windows システム間で属性の作成、変更、および削除を伝播させる方法 (フロー) を Identity Synchronization for Windows に指示します。
デフォルトでは、Identity Synchronization for Windows は次のように動作します。
Windows から Sun Java System Directory Server への同期のみを行う
パスワード属性のみ同期を行う (前の節で重要属性を指定している場合を除く)
エントリの作成または削除の同期を行わない
ここでは、システム間での属性の同期を設定する方法について説明します。ここで説明する内容は、次のとおりです。
Directory Server 環境から Windows サーバーに作成を伝播させる場合は、「オブジェクト作成は Sun Java System Directory Server から Windows に伝播される」にチェックマークを付けます。
Windows 環境から Directory Server に作成を伝播させる場合は、「オブジェクト作成は Windows から Sun Java System Directory Server に伝播される」にチェックマークを付けます。
双方向のフローを設定する場合は、両方のオプションにチェックマークを付けます。
システム間でユーザーの作成を伝播させない場合は、どちらのオプションにもチェックマークを付けません。(デフォルト)。
システム間で同期させる作成属性を追加、編集、または削除するには、選択されているオプションの下にある「作成属性」ボタンをクリックします。
「作成属性のマッピングと値」ダイアログボックスが表示されます。
どちらかのダイアログボックスを使用して、新しい作成属性の指定、既存の属性の編集または削除を行うことができます。詳細については、「新しい作成属性の指定」を参照してください。
ユーザーオブジェクトクラスの必須属性に関するスキーマ制約を満たすために、ユーザー作成時にシステム間で伝播させる追加の属性を指定する場合があります。
「ユーザー属性の選択とマッピング」で説明したように、必須属性を変更属性として指定した場合は、追加の属性は必要ありません。
次に、作成属性を追加し、Active Directory から Directory Server にマッピングする方法について説明します。Directory Server から Windows、または Windows から Directory Server に伝播させる作成属性を追加してマッピングする場合も、同様の手順になります。
「作成属性のマッピングと値」ダイアログボックスの「新規」ボタンをクリックします。
「作成属性のマッピングと値の定義」ダイアログボックスが表示されます。
「Active Directory 属性」ドロップダウンリストから属性値を選択します。
Identity Synchronization for Windows では、属性が複数の値を受け付ける場合は、複数の値で属性を初期化できます。
たとえば、会社に 3 つのファックス番号がある場合、Sun Java System Directory Server と Active Directory の両方に facsilimiletelephonenumber 属性を指定して、3 つの番号を指定できます。
どの属性が複数の値を受け付けるかを把握しておきます。複数の値を受け付けない属性に複数の値を追加しようとすると、プログラムによるオブジェクト作成の実行時にエラーが発生します。
「新しい値」フィールドに値を入力し、「追加」をクリックします
一覧に属性値が追加されます。複数の属性値を追加する場合は、必要な回数だけこの手順を繰り返します。
属性を Directory Server にマッピングするには、「Sun Java System ディレクトリ属性」ドロップダウンリストから属性名を選択します。
完了したら、「OK」をクリックします。
この例では、完了後の作成属性とマッピングの表は次の図のようになります。
別の属性を指定する場合は、同じ手順を繰り返します。
「作成属性のマッピングと値」ダイアログボックスが表示されたら、表から属性を選択し、「編集」ボタンをクリックします。
「作成属性のマッピングと値の定義」ダイアログボックスが表示されます。
ドロップダウンメニューを使用して、Directory Server と Active Directory (または Windows NT) の間の既存のマッピングを変更します。
たとえば、Sun Java System Directory Server の homephone 属性が Active Directory の othertelephone 属性にマッピングされている場合に、Active Directory 属性のドロップダウンリストを使用して、マッピング対象を homephone 属性に変更できます。
完了したら、「OK」をクリックします。変更が適用され、「作成属性のマッピングと値の定義」ダイアログボックスが閉じます。
もう一度「OK」をクリックして「作成属性のマッピングと値」ダイアログボックスを閉じます。
「作成属性のマッピングと値」ダイアログボックスが表示されたら、表から属性を選択し、「削除」ボタンをクリックします。
属性がただちに表から削除されます。
完了したら、「OK」をクリックして「作成属性のマッピングと値」ダイアログボックスを閉じます。
Sun システムと Windows システムの間でユーザー属性とパスワードの変更を伝播させる方法 (フロー) を制御する場合は、「属性の修正」タブを使用します。
このタブでは、次の設定を行います。
Directory Server と Windows のディレクトリソース間で変更を伝播させる方向を指定する。
Directory Server と Active Directory のソース間で、オブジェクトの有効化と無効化 (Active Directory では有効と無効) を同期させるかどうかを制御し、ユーザーアカウントを有効および無効にする方法を指定します。
アカウントの状態を Windows NT ディレクトリソースと同期させることはできません。
次のいずれかのボタンを選択することで、Directory Server 環境と Windows 環境で加えられた変更をシステム間で伝播させる方法を制御します。
「属性の修正は Sun Java System Directory Server から Windows に伝播される」 : Directory Server 環境で加えられた変更が Windows サーバーに伝播します。
「属性の修正は Windows から Sun Java System Directory Server に伝播される」 (デフォルト): Windows 環境で加えられた変更が Directory Server に伝播します。
「属性の修正は両方向に伝播される」: 変更は環境間で双方向に伝播します。
「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けると、Directory Server と Active Directory のソース間でオブジェクトの有効化と無効化 (Active Directory では有効と無効) を同期させることができます。
有効化と無効化を Windows NT ディレクトリソースと同期させることはできません。
「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けます。
次のいずれかのオプションを有効にして、Identity Synchronization for Windows でオブジェクトの有効化と無効化を検出し、同期させる方法を指定します。
「Directory Server の nsAccountLock 属性の直接修正」
これらのオプションは相互に排他的です。
Directory Server コンソールまたはコマンド行ツールを使用してオブジェクトを有効化または無効化する場合は、このオプションを選択します。このオプションを選択すると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。また、ほかのロール (cn=nsdisabledrole, database suffix など)、またはほかのロール内に入れ子にされたロール (cn=nsdisabledrole, database suffix や cn=nsmanageddisabledrole, database suffix など) を使用して無効化されたオブジェクトも検出できなくなります。
Identity Synchronization for Windows では、オブジェクトを有効にする場合、nsroledn 属性から cn=nsmanageddisabledrole, database suffix 値が削除されます。
オブジェクトを無効にする場合は、nsroledn に cn=nsmanageddisabledrole, database suffix 値が追加されます。
「Directory Server ツールと相互運用」オプションを有効にすると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。さらに、ほかのロールによって無効にされたオブジェクトも検出できなくなります。
たとえば、cn=nsdisabledrole, database suffix などのロール、またはほかのロール内で入れ子にされている cn=nsdisabledrole, database suffix や cn=nsmanageddisabledrole, database suffix などのロールがこれに該当します。
「Directory Server ツールとの相互運用」の表に、「Directory Server ツールと相互運用」オプションを有効にした場合に Identity Synchronization for Windows がオブジェクトの有効化と無効化どのようにを検出し、同期させるかを示します。
表 6–1 Directory Server ツールとの相互運用
有効化 |
無効化 |
Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールが削除された場合にのみ有効化を検出します。 |
Identity Synchronization for Windows は、エントリの nsroledn 属性に cn=nsmanageddisabledrole, database suffix ロールが含まれる場合にのみ無効化を検出します。 |
Active Directory からのオブジェクト有効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールを削除することでオブジェクトを有効化します。 |
Active Directory からのオブジェクト無効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトに cn=nsmanageddisabledrole, database suffix ロールを追加することでオブジェクトを無効化します。 |
Directory Server の有効化と無効化が Directory Server のオペレーショナル属性 nsAccountLock に基づく場合は、この方法を使用します。
「Directory Server の nsAccountLock 属性を直接修正」オプションを有効にすると、Identity Synchronization for Windows では、Directory Server コンソールまたはコマンド行ユーティリティーを使用して有効化または無効化されたオブジェクトが検出されなくなります。
この属性は、オブジェクトの状態を次のように制御します。
nsAccountLock=true の場合、オブジェクトは無効化されており、ユーザーはログインできません。
nsAccountLock=false の場合 (または値がない場合)、オブジェクトは有効化されています。
「Directory Server の nsAccountLock 属性の直接修正」の表に、「Directory Server の nsAccountLock 属性を直接修正」オプションを有効にした場合に Identity Synchronization for Windows がオブジェクトの有効化と無効化をどのように検出し、同期させるかを示します。
有効化 |
無効化 |
Identity Synchronization for Windows は、nsAccountLock 属性が true に設定されている場合にのみ、無効化されたオブジェクトを検出します。 |
Identity Synchronization for Windows は、nsAccountLock 属性に値がないか、または false に設定されている場合にのみ、有効化されたオブジェクトを検出します。 |
Active Directory からのオブジェクト無効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を削除します。 |
Active Directory からのオブジェクト有効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を true に設定します。 |
Directory Server の有効化と無効化が Sun Java System Access Manager (従来の Sun JES Identity Server) などの外部アプリケーションによって排他的に制御される場合は、この方法を使用します。
Directory Server のカスタムメソッドを設定する場合は、次の方法を指定します。
外部アプリケーションによって Directory Server 内のオブジェクトが有効化または無効化されたことを Identity Synchronization for Windows が検出する方法。
Active Directory から Directory Server への同期時に、Identity Synchronization for Windows がオブジェクトを有効化または無効化する方法。
「Directory Server のカスタムメソッドを使用」オプションを有効にすると、ディレクトリへのアクセスが Access Manager などの外部アプリケーションによって制御されている場合を除き、Identity Synchronization for Windows はオブジェクトをディレクトリからロックアウトできなくなります。
有効化と無効化のカスタムメソッドを設定するには、「設定」ボタンをクリックして「Directory Server のカスタムメソッドの設定」ダイアログボックスを表示します。
このダイアログボックスには次の機能があります。
「アクティブ化状態の属性」ドロップダウンリスト: このリストでは、Directory Server と Active Directory の間で有効化と無効化を同期するときに Identity Synchronization for Windows が使用する属性を指定します。
このリストには、現在選択している Directory Server の Structural オブジェクトクラスと Auxiliary オブジェクトクラスのスキーマに含まれるすべての属性が表示されます。
「値」と「状態」の表: この表では、選択した属性と関連付けられている値がどのような場合に有効化または無効化されるかを指定します。
「値」列: この列では、「新規」ボタンと「削除」ボタンを使用して、有効化または無効化の状態を示すために使用される属性値を指定します。
この列には、次の 2 つの値が自動的に表示されます。
「値なし」: 有効化状態属性に値がない場合。
「ほかのすべての値」: 有効化状態属性に値があるが、その値が、値と状態の表に指定されていない場合。
「状態」列: この列では、同じ行の「値」のエントリが一致した場合に、オブジェクトを有効とみなすか無効とみなすかを指定します。
値 |
状態 |
結果 |
値なし |
有効 |
属性が存在しないか、または値を持たない場合に、有効なオブジェクトとして検出されます。 |
無効 |
属性が存在しないか、または値を持たない場合に、無効なオブジェクトとして検出されます。 |
|
user-defined 値 |
有効 |
属性が user-defined 属性を持つ場合に、有効なオブジェクトとして検出されます。 |
無効 |
属性が user-defined 属性を持つ場合に、無効なオブジェクトとして検出されます。 |
|
ほかのすべての値: |
有効 |
属性が持つ値が表に指定されていない場合に、有効なオブジェクトとして検出されます。 |
無効 |
属性が持つ値が表に指定されていない場合に、無効なオブジェクトとして検出されます。 |
「新規」ボタン: 「値」列に新しい値を追加する場合は、このボタンをクリックします。
「削除」ボタン: 「値」列からエントリを削除する場合は、そのエントリを選択して、このボタンをクリックします。
「有効化される値」および「無効化される値」ドロップダウンリスト : この 2 つのリストでは、Identity Synchronization for Windows がオブジェクトの状態を設定するときに使用する値を指定します。
有効化と無効化の同期
「アクティブ化状態の属性」ドロップダウンリストから属性を選択します。
「新規」ボタンをクリックし、表の「値」列に値を追加します。
「値」列の各エントリと同じ行の「状態」列をクリックし、表示されるドロップダウンリストから「有効」または「無効」を選択します。
たとえば、Access Manager を使用している場合は、次のように指定します。
「アクティブ化状態の属性」ドロップダウンリストから inetuserstatus 属性を選択します。
「新規」ボタンをクリックし、表の「値」列に active、inactive、および deleted の各属性値を入力します
各値に対応する「状態」列をクリックし、次のように、「有効」または「無効」を選択します。
「値なし」: 有効
「active」: 有効
「inactive」: 無効
「deleted」: 無効
「ほかのすべての値」: 無効
「Directory Server のカスタムメソッドの使用」では、この inetuserstatus の例に基づいて、「Directory Server のカスタムメソッドを使用」オプションを有効にした場合に Identity Synchronization for Windows が有効化と無効化の検出と同期を行う方法を説明します。
値 |
状態 |
結果 |
値なし |
有効 |
inetuserstatus 属性が存在しないか、または値を持たない場合に、有効なオブジェクトとして検出されます。 |
active |
有効 |
属性値が active の場合に、有効なオブジェクトとして検出されます。 |
inactive |
無効 |
属性値が inactive の場合に、無効なオブジェクトとして検出されます。 |
deleted |
無効 |
属性値が deleted の場合に、無効なオブジェクトとして検出されます。 |
ほかのすべての値: |
無効 |
属性が持つ値が表に指定されていない場合に、無効なオブジェクトとして検出されます。 |
有効化と無効化の設定
「値」と「状態」の表を設定すると、「有効化される値」と「無効化される値」のドロップダウンリストが自動的に次のように生成されます。
「有効化される値」リストには、状態が「有効」のすべての値が含まれます (「値なし」、「active」など)。
「無効化される値」リストには、状態が「無効」のすべての値が含まれます (「inactive」 、「deleted」 など)。
「ほかのすべての値」の値はどちらのリストにも含まれません。
Active Directory から同期されるオブジェクトを Identity Synchronization for Windows が有効化または無効化する方法を指定するには、「有効化される値」と「無効化される値」のいずれかまたは両方のドロップダウンリストから値を選択します。
「有効化される値」: オブジェクトの有効化状態を制御します。
「値なし」: オブジェクトに「active」の値が含まれていない場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。
「active」: オブジェクトに「active」の値が含まれている場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。
「無効化される値」: オブジェクトの有効化状態を制御します。
「inactive」または「deleted」: Identity Synchronization for Windows は Directory Server 側のオブジェクトの状態を無効に設定します。
「なし」: 有効な設定ではありません。値を選択してください。
無効化される値を指定してください。指定しない場合、設定は無効となります。
設定が完了した「Directory Server のカスタムメソッドの設定」ダイアログボックスの図を次に示します。
Directory Server と Active Directory 間のグループ同期を有効にすると、グループの作成、グループの削除、およびグループ内のメンバーシップの変更を同期できます。
Windows NT ディレクトリソースでは、グループ同期はサポートされません。
「グループ」タブで、「グループ同期を使用可能にする」チェックボックスにチェックマークを付けます。
次のいずれかのグループ同期方法を選択し、Identity Synchronization for Windows でさまざまなグループの検出と同期を行う方法を指定します。
ドメイングローバルセキュリティー
ドメイングローバル配布
ドメイングローバルセキュリティー、ドメイングローバル配布、および Active Directory の詳細については、Microsoft Active Directory のドキュメントを参照してください。
グループ同期に関する属性を手動でマッピングする必要はありません。「保存」をクリックすると、属性は自動的にマッピングされます。
userpassword 属性と unicodepwd 属性のマッピングを変更しないでください。
グループ同期を無効にするには、「グループ同期を使用可能にする」チェックボックスのチェックマークを外します。
または、コマンド行ツールの idsync groupsync を使用してグループ同期の有効と無効を切り替えることもできます。詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。
アカウントのロックアウト機能を有効にするには、次の操作を行います。
Active Directory と Directory Server の両方に同じパスワードポリシーを設定する。
アカウントのロックアウトを有効にする。
Directory Server と Active Directory で異なっている属性を対応付ける。
Identity Synchronization for Windows では、Active Directory と Directory Server の間で次のイベント同期を行うことができます。
ロックアウトイベントの同期 (Active Directory から Directory Server へ)
ロックアウトイベントの同期 (Directory Server から Active Directory へ)
手動でのロックアウト解除イベントの同期 (Active Directory から Directory Server へ)
手動でのロックアウト解除イベントの同期 (Directory Server から Active Directory へ)
Windows NT ディレクトリサーバーでは、アカウントのロックアウトとロックアウト解除の同期はサポートされません。
アカウントのロックアウト機能を有効にする前に、両方のコンポーネントで属性 lockoutDuration を同じ値に設定してください。また、分散セットアップに関係するすべてのシステム間で時刻が一致していることも確認してください。時刻が一致していないと、lockoutDuration の設定がシステム間の時刻差よりも短い場合に、ロックアウトイベントが期限切れとなる可能性があります。
Active Directory と Directory Server の両方に同じパスワードポリシーを設定してください。たとえば、Active Directory のパスワードポリシーで永続的なロックアウトが指定されている場合は、Directory Server でも同じパスワードポリシーを設定するようにしてください。
Directory Server と Active Directory の間のアカウントロックアウトの同期を有効にします。
アカウントのロックアウトを有効にするために、Directory Server の pwdaccountlockedtime 属性と Active Directory の lockoutTime 属性を明示的にマッピングする必要はありません。Identity Synchronization for Windows の設定パネルの「アカウントのロックアウト」タブで、「アカウントロックアウト同期を有効にする」チェックボックスにチェックマークを付けます。
コマンド行ツールの idsync accountlockout を使用してアカウントロックアウトの同期の有効と無効を切り替えることもできます。詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。
Directory Server システムと Active Directory システムの間でユーザーエントリの削除を伝播させる方法を指定するには、「オブジェクトの削除」タブを使用します
Windows NT ではオブジェクト削除のフローを指定できません。
ナビゲーション区画の最上部にある「Identity Synchronization for Windows」ノードを選択し、「オブジェクトの削除」タブをクリックします
次のように削除のフローを有効または無効にします。
Sun Directory Server 環境から Active Directory サーバーに削除を伝播させる場合は、「オブジェクトの削除は Sun Java System Directory Server から Active Directory に伝播される」にチェックマークを付けます。
Active Directory 環境から Sun Directory Server に削除を伝播させる場合は、「オブジェクトの削除は Active Directory から Sun Java System Directory Server に伝播される」にチェックマークを付けます。
双方向のフローを設定する場合は、両方のオプションにチェックマークを付けます。
システム間でユーザーの削除を伝播させない場合は、どちらのオプションにもチェックマークを付けません (デフォルト設定)。