「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けると、Directory Server と Active Directory のソース間でオブジェクトの有効化と無効化 (Active Directory では有効と無効) を同期させることができます。
有効化と無効化を Windows NT ディレクトリソースと同期させることはできません。
「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けます。
次のいずれかのオプションを有効にして、Identity Synchronization for Windows でオブジェクトの有効化と無効化を検出し、同期させる方法を指定します。
「Directory Server の nsAccountLock 属性の直接修正」
これらのオプションは相互に排他的です。
Directory Server コンソールまたはコマンド行ツールを使用してオブジェクトを有効化または無効化する場合は、このオプションを選択します。このオプションを選択すると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。また、ほかのロール (cn=nsdisabledrole, database suffix など)、またはほかのロール内に入れ子にされたロール (cn=nsdisabledrole, database suffix や cn=nsmanageddisabledrole, database suffix など) を使用して無効化されたオブジェクトも検出できなくなります。
Identity Synchronization for Windows では、オブジェクトを有効にする場合、nsroledn 属性から cn=nsmanageddisabledrole, database suffix 値が削除されます。
オブジェクトを無効にする場合は、nsroledn に cn=nsmanageddisabledrole, database suffix 値が追加されます。
「Directory Server ツールと相互運用」オプションを有効にすると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。さらに、ほかのロールによって無効にされたオブジェクトも検出できなくなります。
たとえば、cn=nsdisabledrole, database suffix などのロール、またはほかのロール内で入れ子にされている cn=nsdisabledrole, database suffix や cn=nsmanageddisabledrole, database suffix などのロールがこれに該当します。
「Directory Server ツールとの相互運用」の表に、「Directory Server ツールと相互運用」オプションを有効にした場合に Identity Synchronization for Windows がオブジェクトの有効化と無効化どのようにを検出し、同期させるかを示します。
表 6–1 Directory Server ツールとの相互運用
有効化 |
無効化 |
Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールが削除された場合にのみ有効化を検出します。 |
Identity Synchronization for Windows は、エントリの nsroledn 属性に cn=nsmanageddisabledrole, database suffix ロールが含まれる場合にのみ無効化を検出します。 |
Active Directory からのオブジェクト有効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールを削除することでオブジェクトを有効化します。 |
Active Directory からのオブジェクト無効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトに cn=nsmanageddisabledrole, database suffix ロールを追加することでオブジェクトを無効化します。 |
Directory Server の有効化と無効化が Directory Server のオペレーショナル属性 nsAccountLock に基づく場合は、この方法を使用します。
「Directory Server の nsAccountLock 属性を直接修正」オプションを有効にすると、Identity Synchronization for Windows では、Directory Server コンソールまたはコマンド行ユーティリティーを使用して有効化または無効化されたオブジェクトが検出されなくなります。
この属性は、オブジェクトの状態を次のように制御します。
nsAccountLock=true の場合、オブジェクトは無効化されており、ユーザーはログインできません。
nsAccountLock=false の場合 (または値がない場合)、オブジェクトは有効化されています。
「Directory Server の nsAccountLock 属性の直接修正」の表に、「Directory Server の nsAccountLock 属性を直接修正」オプションを有効にした場合に Identity Synchronization for Windows がオブジェクトの有効化と無効化をどのように検出し、同期させるかを示します。
有効化 |
無効化 |
Identity Synchronization for Windows は、nsAccountLock 属性が true に設定されている場合にのみ、無効化されたオブジェクトを検出します。 |
Identity Synchronization for Windows は、nsAccountLock 属性に値がないか、または false に設定されている場合にのみ、有効化されたオブジェクトを検出します。 |
Active Directory からのオブジェクト無効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を削除します。 |
Active Directory からのオブジェクト有効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を true に設定します。 |
Directory Server の有効化と無効化が Sun Java System Access Manager (従来の Sun JES Identity Server) などの外部アプリケーションによって排他的に制御される場合は、この方法を使用します。
Directory Server のカスタムメソッドを設定する場合は、次の方法を指定します。
外部アプリケーションによって Directory Server 内のオブジェクトが有効化または無効化されたことを Identity Synchronization for Windows が検出する方法。
Active Directory から Directory Server への同期時に、Identity Synchronization for Windows がオブジェクトを有効化または無効化する方法。
「Directory Server のカスタムメソッドを使用」オプションを有効にすると、ディレクトリへのアクセスが Access Manager などの外部アプリケーションによって制御されている場合を除き、Identity Synchronization for Windows はオブジェクトをディレクトリからロックアウトできなくなります。
有効化と無効化のカスタムメソッドを設定するには、「設定」ボタンをクリックして「Directory Server のカスタムメソッドの設定」ダイアログボックスを表示します。
このダイアログボックスには次の機能があります。
「アクティブ化状態の属性」ドロップダウンリスト: このリストでは、Directory Server と Active Directory の間で有効化と無効化を同期するときに Identity Synchronization for Windows が使用する属性を指定します。
このリストには、現在選択している Directory Server の Structural オブジェクトクラスと Auxiliary オブジェクトクラスのスキーマに含まれるすべての属性が表示されます。
「値」と「状態」の表: この表では、選択した属性と関連付けられている値がどのような場合に有効化または無効化されるかを指定します。
「値」列: この列では、「新規」ボタンと「削除」ボタンを使用して、有効化または無効化の状態を示すために使用される属性値を指定します。
この列には、次の 2 つの値が自動的に表示されます。
「値なし」: 有効化状態属性に値がない場合。
「ほかのすべての値」: 有効化状態属性に値があるが、その値が、値と状態の表に指定されていない場合。
「状態」列: この列では、同じ行の「値」のエントリが一致した場合に、オブジェクトを有効とみなすか無効とみなすかを指定します。
値 |
状態 |
結果 |
値なし |
有効 |
属性が存在しないか、または値を持たない場合に、有効なオブジェクトとして検出されます。 |
無効 |
属性が存在しないか、または値を持たない場合に、無効なオブジェクトとして検出されます。 |
|
user-defined 値 |
有効 |
属性が user-defined 属性を持つ場合に、有効なオブジェクトとして検出されます。 |
無効 |
属性が user-defined 属性を持つ場合に、無効なオブジェクトとして検出されます。 |
|
ほかのすべての値: |
有効 |
属性が持つ値が表に指定されていない場合に、有効なオブジェクトとして検出されます。 |
無効 |
属性が持つ値が表に指定されていない場合に、無効なオブジェクトとして検出されます。 |
「新規」ボタン: 「値」列に新しい値を追加する場合は、このボタンをクリックします。
「削除」ボタン: 「値」列からエントリを削除する場合は、そのエントリを選択して、このボタンをクリックします。
「有効化される値」および「無効化される値」ドロップダウンリスト : この 2 つのリストでは、Identity Synchronization for Windows がオブジェクトの状態を設定するときに使用する値を指定します。
有効化と無効化の同期
「アクティブ化状態の属性」ドロップダウンリストから属性を選択します。
「新規」ボタンをクリックし、表の「値」列に値を追加します。
「値」列の各エントリと同じ行の「状態」列をクリックし、表示されるドロップダウンリストから「有効」または「無効」を選択します。
たとえば、Access Manager を使用している場合は、次のように指定します。
「アクティブ化状態の属性」ドロップダウンリストから inetuserstatus 属性を選択します。
「新規」ボタンをクリックし、表の「値」列に active、inactive、および deleted の各属性値を入力します
各値に対応する「状態」列をクリックし、次のように、「有効」または「無効」を選択します。
「値なし」: 有効
「active」: 有効
「inactive」: 無効
「deleted」: 無効
「ほかのすべての値」: 無効
「Directory Server のカスタムメソッドの使用」では、この inetuserstatus の例に基づいて、「Directory Server のカスタムメソッドを使用」オプションを有効にした場合に Identity Synchronization for Windows が有効化と無効化の検出と同期を行う方法を説明します。
値 |
状態 |
結果 |
値なし |
有効 |
inetuserstatus 属性が存在しないか、または値を持たない場合に、有効なオブジェクトとして検出されます。 |
active |
有効 |
属性値が active の場合に、有効なオブジェクトとして検出されます。 |
inactive |
無効 |
属性値が inactive の場合に、無効なオブジェクトとして検出されます。 |
deleted |
無効 |
属性値が deleted の場合に、無効なオブジェクトとして検出されます。 |
ほかのすべての値: |
無効 |
属性が持つ値が表に指定されていない場合に、無効なオブジェクトとして検出されます。 |
有効化と無効化の設定
「値」と「状態」の表を設定すると、「有効化される値」と「無効化される値」のドロップダウンリストが自動的に次のように生成されます。
「有効化される値」リストには、状態が「有効」のすべての値が含まれます (「値なし」、「active」など)。
「無効化される値」リストには、状態が「無効」のすべての値が含まれます (「inactive」 、「deleted」 など)。
「ほかのすべての値」の値はどちらのリストにも含まれません。
Active Directory から同期されるオブジェクトを Identity Synchronization for Windows が有効化または無効化する方法を指定するには、「有効化される値」と「無効化される値」のいずれかまたは両方のドロップダウンリストから値を選択します。
「有効化される値」: オブジェクトの有効化状態を制御します。
「値なし」: オブジェクトに「active」の値が含まれていない場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。
「active」: オブジェクトに「active」の値が含まれている場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。
「無効化される値」: オブジェクトの有効化状態を制御します。
「inactive」または「deleted」: Identity Synchronization for Windows は Directory Server 側のオブジェクトの状態を無効に設定します。
「なし」: 有効な設定ではありません。値を選択してください。
無効化される値を指定してください。指定しない場合、設定は無効となります。
設定が完了した「Directory Server のカスタムメソッドの設定」ダイアログボックスの図を次に示します。