この節では、同期プロセス、idsync resync サブコマンドを使用するための適切な構文、およびプロセスが正常に完了したことの確認方法について説明します。ここで説明する内容は、次のとおりです。
2 つのディレクトリソースが同期しなくなったときは、ユーザーエントリを再同期します。idsync resync コマンドを使用して、2 つのディレクトリソースでユーザーとユーザーグループの作成、およびユーザーとユーザーグループの属性の同期を行います。具体的には、idsync resync コマンドを使用して、既存の Active Directory または Windows NT SAM ドメインユーザーを空の Directory Server に生成することができます。
idsync resync コマンドは、次のいずれの方法でも使用できます。
Directory Server および Windows にユーザーが存在する場合は、idsync resync コマンドを実行してそれらのユーザーを同期します。
既存のユーザーを Directory Server に同期しない場合は、-u 引数を指定して idsync resync を実行し、オブジェクトキャッシュのみを更新し、Windows のエントリを Directory Server に同期しないようにします。
既存の Windows ユーザーがあり、idsync resync を実行しない場合は、これらのユーザーに対する変更は伝播することもしないこともあります。フロー設定によっては、これらのユーザーが Directory Server に自動的に作成されることもあります。idsync resync コマンドをすでに実行した場合でも、このコマンドをもう一度実行してください。
パスワードを同期するために idsync resync コマンドを使用できません。ただし Active Directory 環境でオンデマンドパスワード同期を強制するために Directory Server パスワードを無効化する場合を除きます。
グループ同期機能が有効な場合は、ユーザーとそのユーザーに関連付けられたグループの両方が、設定されたデータソース間で同期されます。グループ同期で resync コマンドを使用するときは、追加オプションは必要ありません。
Active Directory および Directory Server にユーザーを入力して、同期の開始前に Active Directory および Directory Server のコネクタをインストールしたら、idsync resync コマンドを使用して、すべての既存ユーザーが 2 つのディレクトリソース間で必ずリンクされているようにしてください。
リンクとは次のことを意味します。Identity Synchronization for Windows では、次の一意で不変の識別子を格納することにより、Directory Server と Windows の同じユーザーを関連付けます。
これらの不変な識別子を使用することで、Identity Synchronization for Windows では uid や cn などほかの重要な識別子を同期できます。dspswuserlink 属性は、次のときに生成されます。
Identity Synchronization for Windows が Directory Server に新しいユーザーを作成したとき (新しいユーザーが Windows から同期されたか idsync resync -c を実行したあと)
Identity Synchronization for Windows が Windows に新しいユーザーを作成したとき (新しいユーザーが Directory Server から同期されたか idsync resync -c -o Sun を実行したあと)
この章で説明するように、idsync resync -c -f を実行して Directory Server と Windows にすでに存在するエントリをリンクしたとき。
既存ユーザーをリンクするには、2 つのディレクトリ間でユーザーを一致させるルールを指定します。たとえば、2 つのディレクトリでユーザーエントリをリンクするには、姓と名の両方を、両方のディレクトリエントリで一致させます。
ユーザーエントリのリンクとデータ競合の解決は、科学的というよりも技術的に説明されることがあります。相対するディレクトリソースの 2 ユーザーを idsync resync サブコマンドでリンクできないのには多くの理由があり、その大半はリンクされるディレクトリ内のデータの一貫性に起因します。
idsync resync を使用する 1 つの方針は、-n 引数を使用することです。この場合、セーフモードで実行されるため、実際には変更せずに操作の影響を確認できます。セーフモードで実行することにより、ユーザーマッチング条件の最適な組み合わせが見つかるまで、リンク条件を少しずつ調整できます。
ただし、リンクの正確さとリンクの範囲を通して実現されるバランスがあることに注意するようにしてください。
たとえば両方のディレクトリソースに従業員 ID または社会保障番号が含まれている場合に、この番号だけを含むリンク条件から開始するとします。リンクの正確さを向上させるには、条件に姓の属性も含めるべきだと考えるかもしれません。しかし、ID 単独では一致するエントリが、データ内の姓の値に整合性がないために一致しなくなり、そのためにリンクが失われる可能性があります。リンクできなかったエントリのデータをきれいにする作業を実行する必要が生じます。
グループ同期が有効な場合、グループはユーザーのリンク方法と同様の方法でリンクされます。
idsync resync コマンドでは、次のオプションを使用できます。
表 8–2 idsync resync の使用法表 8–3 idsync resync によって Directory Server でユーザーのパスワードが無効になるか
Active Directory と Directory Server にユーザーのエントリがあり、リンクされている場合。 |
Active Directory と Directory Server にユーザーのエントリがあり、リンクされていない場合。 |
Active Directory にユーザーのエントリがあるが、Directory Server にはない場合。 |
|
---|---|---|---|
-i ALL_USERS |
はい |
はい |
はい |
-i NEW_USERS |
いいえ |
いいえ |
はい |
No -i value |
いいえ |
いいえ |
いいえ |
次の表に、さまざまな引数を組み合わせたときの結果について例を示します。– h、-p、-D、-w、-、および -s 引数は、デフォルトであり、簡潔にするため省略しています。
表 8–4 idsync resync の使用例
idsync resync を使用してユーザーをリンクするときは、インデックスが作成された属性を操作に使用するようにしてください。インデックスが作成されていない属性は、パフォーマンスに影響を与える可能性があります。
UserMatchingCriteria セットに複数の属性があり、それらのうち少なくとも 1 つでインデックスが作成されていれば、パフォーマンスはおそらく許容できます。ただし、UserMatchingCriteria でインデックスが作成された属性がない場合、大きなディレクトリではパフォーマンスが許容できなくなります。