test

Sun Java System Directory Server Enterprise Edition 6.3 インストールガイド

Procedureネットワークに Windows Active Directory サーバーを設定および作成する

ネットワークに Windows Active Directory サーバーが存在する場合は、次の手順を実行します。

  1. ナビゲーションツリーで「ディレクトリソース」ノードを選択し、「ディレクトリソース」パネルの「新規 Active Directory ソース」ボタンをクリックします。

    「Windows グローバルカタログ」ダイアログボックスが表示されます。

    図 6–16 「Windows グローバルカタログ」ダイアログ ボックス

    Active Directory グローバルカタログのホスト、ポート、および資格を指定します。

  2. 次の情報を入力し、「OK」をクリックします。

    • 「ホスト」: Active Directory フォレストのグローバルカタログを保持するマシンの完全修飾ホスト名を入力します。

      例: machine2.example.com

    • 「このポートに SSL を使用する」: Identity Synchronization for Windows でグローバルカタログとの通信に SSL ポートを使用する場合は、このオプションを有効にします。

    • 「ユーザー DN」 : 管理者の (バインド) 完全修飾識別名を入力します。スキーマを参照し、システムで使用できる Active Directory ドメインを特定できる資格があれば、どのような DN でも指定できます。

      例: cn=Administrator,cn=Users,dc=example,dc=com

    • 「パスワード」: 指定したユーザーのパスワードを入力します。

  3. 次のような「Active Directory ソースの定義」ウィザードが表示されます。

    図 6–17 「Active Directory ソースの定義」ウィザード

    Active Directory ドメインを選択します。

    Active Directory グローバルカタログが照会されて、存在するその他のドメインが特定され、それらのドメインが「ドメイン」の一覧に表示されます。

  4. 一覧から名前を選択して Active Directory ドメインを指定し、「OK」をクリックします。

    使用するドメインが一覧に表示されない場合は、次の手順を使用して、そのドメインを認識するグローバルカタログを追加します。

    1. 「グローバルカタログ」ボタンをクリックして「グローバルカタログ」ウィザードを表示します。

      図 6–18 新しいグローバルカタログの指定

      新しい Active Directory グローバルカタログを作成します。

    2. 「新規」ボタンをクリックします。

    3. 「Windows グローバルカタログ」ダイアログボックスが表示されるので、グローバルカタログのホスト名と、ディレクトリソースの資格 (手順 2 を参照) を入力し、「OK」をクリックします。

    4. 「グローバルカタログ」の一覧に新しいグローバルカタログとポートが表示されます。カタログ名を選択し、「OK」をクリックします。

    5. さらにグローバルカタログ (ドメイン) をシステムに追加する場合は、これらの手順を繰り返します。

    6. 完了したら、「ドメインの選択」区画の「次へ」ボタンをクリックします。

  5. 「クレデンシャルの指定」パネルが表示されたら、「ユーザー DN」フィールドの値を確認します

    図 6–19 この Active Directory ソースの資格の指定

    管理者の資格を指定します。

    管理者の識別名が「ユーザー DN」フィールドに自動的に入力されない場合、または自動入力された管理者の資格を使用しない場合は、ユーザー DN とパスワードを手動で入力します。

    Active Directory ソースを設定するときは、Active Directory コネクタが Active Directory との接続に使用できるユーザー名とパスワードを指定します。

    注 –

    コネクタには特定のアクセス権が必要です。次に示すように、最小限の権限は、同期の方向によって異なります。

    • Active Directory から Directory Server への同期フローのみを設定する場合は、Active Directory コネクタ用に指定するユーザーには多くの特別な権限は必要ありません。通常のユーザーに、同期対象ドメインで「すべてのプロパティーを読み取る」権限が追加されているだけで十分です。

    • Directory Server から Active Directory への同期フローを設定する場合は、同期によって Active Directory 内のユーザーエントリが変更されるため、コネクタユーザーにはもっと多くの権限が必要になります。この設定では、コネクタユーザーは「フルコントロール」権限を持つユーザーか、または管理者グループのメンバーにします。

  6. 「次へ」をクリックし、「ドメインコントローラの指定」パネルを開きます。

    図 6–20 ドメインコントローラの指定

    Active Directory ドメインコントローラを選択します。

    このパネルでは、指定したドメイン内で同期するコントローラを選択します。ドメインコントローラの概念は、Directory Server の優先サーバーに似ています。

    選択している Active Directory ドメインに複数のドメインコントローラがあるときは、同期のプライマリドメインコントローラ FSMO (Flexible Single Master Operation) ロールを持つドメインコントローラを選択します。

    デフォルトでは、すべてのドメインコントローラで行われたパスワード変更はただちにプライマリドメインコントローラ FSMO ロール所有者にレプリケートされ、このドメインコントローラを選択すると、パスワード変更はただちに Identity Synchronization for Windows によって Directory Server と同期されます。

    配備によっては、PDC との間に大きなネットワーク「距離」があるために同期が大幅に遅れるので、Windows レジストリに AvoidPdcOnWan 属性が設定されることがあります。詳細については、Microsoft サポート技術情報の記事 232690 を参照してください。

  7. ドロップダウンリストからドメインコントローラを選択します。

  8. Identity Synchronization for Windows コネクタがドメインコントローラとの通信にセキュリティー保護されたポートを使用するように設定する場合は、「セキュア通信に SSL を使用」ボックスにチェックマークを付けます。

    注 –

    Microsoft Certificate Server を使用する場合は、Active Directory コネクタに CA 証明書が自動的にインストールされます。それ以外の場合は、Active Directory コネクタに CA 証明書を手動で追加します (「Active Directory コネクタでの SSL の有効化」を参照)。初期設定後にフローの設定を変更する場合にも、この手順を適用します。

  9. 完了したら、「次へ」をクリックします。

    「フェイルオーバーコントローラの指定」パネルが表示されます (「Active Directory ソースの作成」を参照)。このパネルでは、任意の数のフェイルオーバードメインコントローラを指定できます。

    図 6–21 フェイルオーバーコントローラの指定

    このパネルでは、フェイルオーバーコントローラを指定します。

    Active Directory コネクタが通信する Active Directory ドメインコントローラ は 1 つだけであるため、Identity Synchronization for Windows では、そのコネクタで適用されるフェイルオーバーの変更はサポートされません。ただし、ディレクトリサーバープラグインは、Directory Server のパスワード変更を検証するときに、任意の数のドメインコントローラと通信します。

    Directory Server は、Active Directory ドメインコントローラへの接続を試行し、そのドメインコントローラが使用できない場合は、指定されたフェイルオーバードメインコントローラへの接続を繰り返し試行します。

  10. 「フェイルオーバーサーバー」の一覧から 1 つまたは複数のサーバー名を選択するか、または「すべてを選択」ボタンをクリックして一覧のすべてのサーバーを指定し、「次へ」をクリックします。

  11. 「拡張セキュリティーオプションの指定」パネルが表示されます。

    「信頼できる SSL の証明書を要求」オプションは、「ドメインコントローラの指定」パネルで「セキュア通信に SSL を使用」ボックスを有効にした場合にのみアクティブ (選択可能な状態) になります。

    図 6–22 拡張セキュリティーオプションの指定

    このパネルでは、Active Directory と Active Directory コネクタの間の通信で信頼できる SSL 証明書を要求するかどうかを指定します。

    • 「信頼できる SSL の証明書を要求」ボックスが無効になっている場合 (デフォルト設定)、Active Directory コネクタは SSL 経由で Active Directory に接続し、Active Directory から渡された証明書が信頼されているかどうかを検証しません。

      このオプションを無効にすると、Active Directory 証明書データベースに Active Directory 証明書をインストールする必要がなくなるので、セットアップ手順が簡単になります。

    • 「信頼できる SSL の証明書を要求」ボックスを有効にすると、Active Directory コネクタは SSL 経由で Active Directory に接続し、Active Directory から渡された証明書が信頼されているかどうかを検証します。

      注 –

      コネクタの証明書データベースに Active Directory 証明書を追加してください。手順については、「Active Directory 証明書のコネクタの証明書データベースへの追加」を参照してください。

  12. 「拡張セキュリティーオプション」パネルの設定が完了したら、「完了」をクリックします。

    ナビゲーションツリーの「ディレクトリソース」の下に、新しく指定した Active Directory ディレクトリソースが追加されます。

  13. その Active Directory ディレクトリソースノードを選択し、「Active Directory ソース」パネルを表示します。

    図 6–23 「Active Directory ソース」パネル

    このパネルでは、サーバーパラメータの変更、再同期間隔の指定、または必要なディレクトリソースの資格の変更を行います。

    このパネルから、次のタスクを実行できます。

    • 「コントローラの編集」: このボタンをクリックすると、「ドメインコントローラの指定」パネルが再度開き、ドメインコントローラの設定パラメータを変更できます。操作方法については、「Active Directory ソースの作成」を参照してください。

    • 「再同期間隔」: Active Directory コネクタが変更を確認する頻度を指定します。(デフォルトは 1000 ミリ秒)

    • 「ディレクトリソースのクレデンシャル」: 指定されているユーザー DN とパスワードのいずれかまたは両方を変更します。