Sun Java System Identity Synchronization for Windows6.0 を使用すると、パスワードやその他の指定されたユーザー属性を Sun Java System Directory Server とその他のシステムとの間で受け渡すことができます。
本ガイドのこの部では、Identity Synchronization for Windows を本稼働環境で使用するようにインストールおよび設定する方法について説明します。
新機能および Identity Synchronization for Windows のこのリリースの拡張機能の最新情報については、『Sun Java System Directory Server Enterprise Edition 6.3 リリースノート』を参照してください。
このドキュメントに記載のユーザーインタフェースは、将来の製品バージョンで変更されることがあります。
次の章で構成されています。
第 3 章「製品の理解」では、Identity Synchronization for Windows 製品の機能、システムコンポーネントとその配布、コマンド行ユーティリティー、および配備の例について説明します。
第 4 章「インストールの準備」では、インストールと設定のプロセス、および製品インストールの準備時に知っておく必要のある情報について説明します。
第 5 章「コアのインストール」では、Identity Synchronization for Windows のインストールプログラムを使用する方法、およびコアコンポーネントをインストールする方法について説明します。
第 6 章「コアリソースの設定」では、コンソールを使用してコアリソースを追加および設定する方法について説明します。
第 7 章「コネクタのインストール」では、Identity Synchronization for Windows コネクタおよびディレクトリサーバープラグインをインストールする手順について説明します。
第 8 章「既存のユーザーおよびユーザーグループの同期」では、新しい Identity Synchronization for Windows インストールに対して既存のユーザーおよびユーザーグループをリンクおよび再同期する方法について説明します。
第 9 章「ソフトウェアの削除」では、アンインストールを準備する方法とコンソールを手動でアンインストールする方法を含む、Identity Synchronization for Windows を削除する方法について説明します。
第 10 章「セキュリティーの設定」では、セキュリティー保護されたシステムを設定する方法について説明します。この章では、セキュリティーの強化、レプリケートされた設定のセキュリティー保護、SSL の有効化、および証明書データベースへの Active Directory CA 証明書の追加を行う方法について説明します。
第 11 章「監査ファイルとエラーファイルの理解」では、ログレベルの設定方法、ログファイルの表示方法と理解方法、およびディレクトリソースの状態を含む、監査ログおよびエラーログについて説明します。
付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」では、さまざまな作業を実行するコマンド行を使用する方法について説明します。
付録 B 「Identity Synchronization for Windows LinkUsers XML ドキュメントの例」では、配備をカスタマイズするために使用できる Linkusers XML 設定ファイルの例について説明します。
付録 C 「Solaris 上での root 以外での Identity Synchronization for Windows サービスの実行」では、Solaris オペレーティングシステムで Identity Synchronization for Windows サービスを root 以外のユーザーとして実行する方法について説明します。
付録 D 「Identity Synchronization for Windows の同期ユーザーリストの定義と設定」では、同期ユーザーリストおよび複数ドメイン構成について説明します。
付録 E 「レプリケートされた環境での Identity Synchronization for Windows のインストールの注意点」では、マルチマスターレプリケーション配備を設定およびセキュリティー保護するために必要な手順の概要について説明します。
Directory Server、Directory Proxy Server、および Directory Server Resource Kit をインストールする方法については、パート I「Directory Service Control Center、Directory Proxy Server、Directory Server、および Directory Server Resource Kit のインストール」を参照してください。
Sun JavaTM System Identity Synchronization for Windows 6.0 は、Sun Java System Directory Server と次の間で双方向のパスワードおよびユーザー属性の同期を提供します。
Identity Synchronization for Windows 6.0 では、Sun Java System Directory Server 6.3、6.2、6.1、6.0、および 5.2 Patch 5 をサポートします。
Sun Java System Identity Synchronization for Windows では、次のような方法で同期イベントを処理します。
安全に。パスワードを平文で送信しません。また、システムへのアクセスは管理者のみに制限されています。
強固に。個々のコンポーネントが一時的に利用できないときでも、ディレクトリは同期状態が維持されます。
効率よく。ディレクトリサーバーへの負荷がほとんどない同期方式が使用されます。
Sun Java System Identity Synchronization for Windows バージョン 6.0 をインストール (または移行) する前に、この章で説明する概念を理解しておくことをお勧めします。この章は次の節で構成されます。
Sun Java System Identity Synchronization for Windows では、次の特徴および機能を備えています。
パスワードの双方向同期。次のディレクトリソース間でユーザーパスワードを同期できます。
Sun Java System Directory Server と Windows Active Directory
Sun Java System Directory Server と Windows NT
パスワードを同期すると、ユーザーはログイン認証でこれらのディレクトリソースを使用するアプリケーションにアクセスできるため、ユーザーが覚えるパスワードは 1 つだけで済みます。また、ユーザーが定期的にパスワードを更新する必要がある場合でも、パスワードを更新するのは 1 箇所だけです。
ユーザー属性の双方向同期。あるディレクトリ環境で選択された属性を作成、変更、および削除して、その値をほかのディレクトリ環境に自動的に伝播させることができます。
ユーザーアカウント作成の双方向同期。あるディレクトリ環境でユーザーアカウントを作成または削除して、その新しいアカウントをほかのディレクトリ環境に自動的に伝播させることができます。
グループの双方向同期。グループの作成や削除を同期したり、Directory Server ソースと Active Directory ソースの間でそのグループとユーザーの関連付けまたは関連付け解除を行ったりすることができます。
オブジェクトの双方向の削除、有効化、および無効化。Directory Server ソースと Active Directory ソースの間でオブジェクトの削除、有効化、および無効化のフローを制御できます。
アカウントのロックアウトおよびロックアウト解除の双方向同期。Directory Server ソースと Active Directory ソースの間でアカウントのロックアウトおよびロックアウト解除を同期できます。
複数ドメインとの同期。複数の Active Directory ドメイン、複数の Windows NT ドメイン、および複数の Active Directory フォレストと同期できます。
システムの集中監査。インストールおよび構成の状態、毎日のシステム運用、および配備関連のエラー状況を 1 箇所の中央の場所から監視できます。
Windows ディレクトリのエントリを変更したり、ディレクトリを使用してアプリケーションを変更したりする必要はありません。
Directory Server と Active Directory の間で同期するために Identity Synchronization for Windows を使用している場合は、Windows オペレーティングシステムにコンポーネントをインストールする必要はありません。
Directory Server と Windows NT の間で同期している場合は、Windows NT オペレーティングシステムにこの製品の NT コンポーネントをインストールしてください。
Windows NT では次の機能を利用できません。
グループの双方向同期
オブジェクトの双方向の削除、有効化、無効化
アカウントのロックアウトおよびロックアウト解除の双方向同期
次の図に示すように、Identity Synchronization for Windows は一連のコアコンポーネント、および任意の数の個々のコネクタとコネクタサブコンポーネントで構成されます。これらのシステムコンポーネントは、Sun Java System Directory Server (Directory Server) ディレクトリと Windows ディレクトリの間でパスワードおよびユーザー属性の更新を同期することに対応しています。
この節では、これらの Identity Synchronization for Windows コンポーネントについて定義し、説明します。
ウォッチドッグとは、個々のバックグラウンド Java プロセスを起動、再起動、および停止する、Identity Synchronization for Windows Java テクノロジベースのプロセス (Java プロセス) です。ウォッチドッグは、セントラルロガー、システムマネージャー、およびコネクタを起動および監視します。ウォッチドッグは、サブコンポーネント、Message Queue、または Identity Synchronization for Windows コンソールを監視しません。
ウォッチドッグは、コアコンポーネントをインストールした場所にインストールされ、SolarisTM ソフトウェアデーモン、Red Hat Linux デーモン、または Windows サービスとして起動できます。
Identity Synchronization for Windows をインストールするときは、先にコアコンポーネントをインストールしてから、使用している環境に合わせて設定します。
Identity Synchronization for Windows は、自身の設定データを Directory Server の 設定ディレクトリに格納します。設定ディレクトリはインストールされません。
コンソール、システムマネージャー、コマンド行ユーティリティー、およびインストーラのいずれも、次のような製品の設定データを設定ディレクトリで読み書きします。
各コンポーネントの健全性に関するインストール情報
ディレクトリ、ドメイン、コネクタ、およびディレクトリサーバープラグインの設定情報
コネクタの状態
ユーザーやグループの作成、削除、および属性変更の指示を記述した同期設定
同期される属性および Active Directory と Directory Server の間、または Windows NT と Directory Server の間の属性マッピング
各ディレクトリトポロジでの同期ユーザーリスト (SUL)
ログ設定
Identity Synchronization for Windows では、製品コンポーネントの設定および管理タスクのすべてを集中化するコンソールを提供しています。
コンソールを使用すると、次の操作を実行できます。
同期されるディレクトリソースを設定する
パスワードだけでなく、同期されるユーザーエントリ属性のマッピングを定義する
ディレクトリまたはドメイントポロジ内のユーザーおよび属性を同期の対象または対象外として指定する
システム状態を監視する
同期を開始および停止する
Identity Synchronization for Windows では、次のタスクをコマンド行から直接実行できるようにするコマンド行ユーティリティーも提供します。
設定および SSL (Secure Sockets Layer) 設定に基づいて証明書情報を表示する
Identity Synchronization for Windows の設定パスワードを変更する
指定された Directory Server ソースについてディレクトリサーバープラグインを設定する
Sun Java System Directory Server ソースを Identity Synchronization for Windows で使用できるように準備する
インストールまたは設定プロセスを完了させるために必要な手順を表示したり、インストール済みのコネクタ、システムマネージャー、および Message Queue の状態を表示したりする
設定ディレクトリでのコネクタの状態をアンインストール済みにリセットする
インストールプロセスの一環として、2 つのディレクトリで既存のユーザーを同期およびリンクしたり、ディレクトリを事前に生成したりする
アカウントのロックアウトを有効または無効にする
グループの同期を有効または無効にする
同期を開始および停止する
製品のコマンド行ユーティリティーの詳細とその使用方法については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。
Identity Synchronization for Windows システムマネージャーは、次の処理を実行する独立した Java プロセスです。
製品のバックエンドのネットワーク機能を利用して、コネクタに設定の更新を動的に配信する
各コネクタとコネクタのすべてのサブコンポーネントについて状態を維持する
2 つのディレクトリを最初に同期するときに使用される idsync resync 処理を調整する
コネクタは、遠隔の地域に広く分散されるようにインストールできます。そのため、すべてのロギング情報を集中化することには、管理上大きな価値があります。このように集中化することで、管理者は同期アクティビティーを監視したり、エラーを検出したり、システム全体の健全性を評価したりすることが一箇所から行えるようになります。
管理者は、セントラルロガーのログを使用して、次のようなタスクを実行できます。
システムが正常に実行していることを検証する
個々のコンポーネントやシステム全体の問題を検出して解決する
個々またはシステム全体の同期アクティビティーを監査する
ディレクトリソース間でユーザーのパスワードの同期を追跡する
監査ログ。システムの毎日のアクティビティーに関する情報を提供します。ユーザーのパスワードがディレクトリ間で同期されるといったイベントが含まれます。監査ログに記録される情報のレベルを制御するには、ログメッセージで提供される詳細度を増減させます。
エラーログ。深刻なエラーおよび警告であるとみなされる状況に関する情報が提供されます。エラーログのすべてのエントリは注目に値するため、エラーが記録されないようにすることはできません。エラー状況が発生すると、必ずエラーログに記載されます。
Identity Synchronization for Windows では、すべてのエラーログメッセージが監査ログにも書き込まれるため、ほかのイベントとの相関性がわかりやすくなります。
コネクタは、単一のデータソースタイプでの同期プロセスを管理する Java プロセスです。コネクタは、データソースでユーザーによる変更を検出し、Message Queue を介してこれらの変更をリモートコネクタに発行します。
Identity Synchronization for Windows では、次のディレクトリ固有のコネクタを提供します。これらのコネクタは、ディレクトリやドメイン間でユーザー属性およびパスワード更新を双方向に同期します。
ディレクトリサーバーコネクタ。Directory Server の単一ルートサフィックス (たとえば、サフィックス/データベース) をサポートします。
Active Directory コネクタ。Windows 2000 または Windows 2003 Server Active Directory ソースの単一インスタンスをサポートします。複数のコネクタを使用することで追加ドメインに対応できます。
Windows NT コネクタ。Windows NT の単一ドメインをサポートします。
ウォッチドッグは、コネクタをインストールした場所にインストールされ、コネクタを起動、再起動、および停止します。詳細については、「ウォッチドッグプロセス」を参照してください。
サブコンポーネントは、コネクタとは独立して実行される軽量プロセスまたはライブラリです。コネクタは、Directory Server や Windows NT の内部でパスワードを収集するといった遠隔からアクセスできないネイティブリソースにアクセスするためにサブコンポーネントを使用します。
次のコネクタサブコンポーネントは、同期されるディレクトリで設定またはインストールされ、暗号化された接続を介して対応するコネクタと通信します。
Active Directory コネクタは、サブコンポーネントを必要としません。
ディレクトリサーバープラグインは、ディレクトリサーバーコネクタのサブコンポーネントです。同期される Directory Server ごとにディレクトリサーバープラグインを設定します。
このプラグインには、次の機能があります。
Active Directory と Directory Server の間のユーザー属性およびパスワードの同期について、双方向サポートを提供する (「オンデマンドパスワード同期を使用した平文パスワードの取得」を参照)
これまで Identity Synchronization for Windows では、2 方向のマルチマスターレプリケーション (MMR) のみをサポートしていました。これからは N 方向の MMR 環境でもディレクトリサーバープラグインが機能します。
使用しているインストールで Windows NT SAM レジストリとの同期が必要な場合は、Identity Synchronization for Windows のインストールプログラムによって、Windows NT コネクタとともに次の項目がプライマリドメインコントローラ (PDC) にインストールされます。
変更検出機能。セキュリティーログを監視してユーザーエントリやパスワードの変更イベントを検出して、その変更をコネクタに渡します。
パスワードフィルタ DLL。Windows NT ドメインコントローラで行われたパスワードの変更を収集して、安全に NT コネクタに渡します。
Identity Synchronization for Windows では、パブリッシュ/サブスクライブモデルの持続的なメッセージキューメカニズムである Sun Java System Message Queue (Message Queue) を使用して、属性およびパスワードの変更をディレクトリソース間で伝播させます。Message Queue は、ディレクトリソースの同期を管理するコネクタに対して、管理情報および設定情報も配信します。
Message Queue は、Java Message Service オープン標準を実装した企業向けのメッセージングシステムです。この仕様では、Java アプリケーションが分散環境でメッセージを作成、送信、受信、および読み取る共通の方法を提供する、一連のプログラミングインタフェースを記述しています。
Message Queue は、共通のメッセージサービスを使用してメッセージを交換するメッセージの発行元とサブスクライバで構成されます。このサービスは、1 つ以上の専用のメッセージ ブローカから成ります。メッセージブローカはメッセージキューへのアクセス制御、アクティブな発行元およびサブスクライバに関する情報の維持、およびメッセージが配信されたことの確認を行います。
Message Queue は次の処理を行います。
コネクタ間の信頼関係を確立する
すべてのコンポーネントのセキュリティーアクセス制御を単純化する
エンドツーエンドでのパスワード暗号化を容易にする
すべてのパスワード更新メッセージが確実に配信されるようにする
コネクタ間通信での複雑さやセキュリティーリスクを低減する
中央当局が設定情報を配布できるようにする
集中化された場所ですべてのコネクタログの集約に対応できるようにする
効果的に配備を開発する前に、Identity Synchronization for Windows コンポーネントの編成と製品の動作について理解します。この節の内容は次のとおりです。
この節および「配備の例: 2 台のマシン構成」で説明する基本概念を理解するにあたって、より複雑で高度なシナリオに対する配備戦略を作成するための情報を推測できるようにしてください。そのようなシナリオには、Active Directory と Windows NT の混在環境やマルチサーバー環境などがあります。
Sun Java System Message Queue 3.6 Enterprise Edition は、コアをインストールする予定のマシンと同じマシンにインストールしてください。
サポートされるオペレーティングシステムのディレクトリサーバーのいずれかに、すべてのコアコンポーネントを 1 回だけインストールします。Identity Synchronization for Windows では、管理サーバーがマシンにインストールされていない場合はインストールされます。
ディレクトリサーバーコネクタは、サポートされるオペレーティングシステムのいずれにでもインストールできます。ディレクトリサーバーコネクタは、同期される Directory Server が実行されているマシンと同じマシンにインストールする必要はありません。ただし、設定された Directory Server ソースごとにディレクトリサーバーコネクタを 1 つインストールします。
同期される Directory Server が存在するホストごとにディレクトリサーバープラグインを設定してください。
Directory Server ソースごとに 1 つのディレクトリサーバーコネクタがインストールされます。ただし、ディレクトリサーバープラグインは同期される各マスター、ハブ、コンシューマレプリカに対して設定するようにしてください。
Active Directory コネクタは、サポートされるオペレーティングシステムのいずれにでもインストールできます。Windows を実行しているマシンに Active Directory コネクタをインストールする必要はありません。ただし、Active Directory ドメインごとに Active Directory コネクタを 1 つインストールしてください。コンポーネントの分散例については、次の図を参照してください。
Windows NT SAM レジストリと同期するには、Windows NT コネクタをプライマリドメインコントローラ (PDC) にインストールしてください。NT ドメインの PDC には、コネクタのほかに変更検出機能 およびパスワードフィルタDLL という 2 つの NT コネクタサブコンポーネントもインストールプログラムによってインストールされます。1 つの NT コネクタは、1 つの NT ドメインに対してユーザーとパスワードを同期します。コンポーネントの分散例については、次の図を参照してください。
この節では、ユーザーエントリおよびパスワードの変更が Sun Java System Directory Server (Directory Server)、Windows Active Directory、および Windows NT のコネクタによって検出される方法について説明します。
ここで説明する内容は、次のとおりです。
ディレクトリサーバーコネクタは、Directory Server の旧バージョン形式の更新履歴ログを LDAP を介して検証し、ユーザーエントリおよびパスワードの変更イベントを検出します。ディレクトリサーバープラグインを使用すると、コネクタは次の処理を実行できます。
旧バージョン形式の更新履歴ログの詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 Reference』の「Replication and the Retro Change Log Plug-In」を参照してください。
平文パスワードを暗号化して旧バージョン形式の更新履歴ログで利用できるようにするために、平文パスワードを収集する。プラグインのない状態では、ハッシュされたパスワードだけが旧バージョン形式の更新履歴ログに記録されています。ハッシュされたパスワードは同期できません。
Active Directory との オンデマンドパスワード同期を実行する。Identity Synchronization for Windows コンポーネントを Windows トポロジにインストールする必要はありません (「オンデマンドパスワード同期を使用した平文パスワードの取得」を参照)。
Windows 2000/2003 Server Active Directory コネクタは、Active Directory USNChanged および PwdLastSet 属性値を検証してユーザーエントリおよびパスワードの変更を検出します。
Directory Server の旧バージョン形式の更新履歴ログとは異なり、エントリで属性を変更しても、Active Directory は変更された属性を報告しません。代わりに、Active Directory では USNchanged 属性の増加させることでエントリの変更を識別します。個々の属性に対する変更を検出するために、Active Directory コネクタはオブジェクトキャッシュと呼ばれるインプロセスデータベースを使用します。オブジェクトキャッシュは、各 Active Directory エントリのハッシュされたコピーを格納し、コネクタがエントリで変更された属性を正確に判断できるようにします。
Active Directory コネクタを Windows にインストールする必要はありません。これらのコネクタは、Solaris や Red Hat Linux などほかのオペレーティングシステム上でも実行でき、LDAP を介して遠隔から変更を加えたり検出したりすることができます。
Windows NT コネクタは、ユーザーオブジェクトに関する監査イベントのセキュリティーログを検証してユーザーエントリおよびパスワードの変更を検出します。監査は有効にしてください。有効にしない場合、Identity Synchronization for Windows で Windows NT マシンからのログメッセージを読み取れません。監査ログの記録が有効であることを確認するには、「Windows NT マシンでの監査の有効化」を参照してください。
変更検出機能およびパスワードフィルタ DLL のサブコンポーネントの説明については、「Windows NT コネクタサブコンポーネント」を参照してください。
この節では、平文パスワードを取得する 2 つの方法について説明します。平文パスワードは、Windows ソースと Directory Server ソースとの間でパスワードの変更を伝播させるために必要です。
Windows NT コネクタは、Sun Java System Directory Server にパスワードの更新を伝播させるために平文パスワードを取得する必要があります。ただし、Windows ディレクトリから平文パスワードを抽出することはできません。パスワードがディレクトリに格納される時点で、すでにパスワードは暗号化されています。
Windows NT では、ディレクトリに永続的に格納される前に平文パスワードをコンポーネントが収集できるようにする パスワードフィルタ DLL インタフェースを提供します。
Active Directory では、Windows NT と同じパスワードフィルタをサポートしていますが、Window NT で使用されるプライマリドメインコントローラではなく各ドメインコントローラにパスワードフィルタ DLL をインストールしてください。これは、インストールでの過大な負担となる可能性があるため、Identity Synchronization for Windows ではオンデマンドパスワード同期と呼ばれる別の手法を使用して、パスワードの変更を Active Directory から Directory Server に同期します。
オンデマンドパスワード同期では、ユーザーが Windows 2000/2003 でパスワードを変更したあとでログインを試みたときに Directory Server 上で新しいパスワードの値を取得するための方法が提供されます。
また、パスワードフィルタ DLL を使用せずに Active Directory 上でパスワードを同期することもできます。
オンデマンドパスワード同期のプロセスは次のとおりです。
ユーザーは、Windows を実行しているマシンで Ctrl-Alt-Del を押し、自分のパスワードを変更します。新しいパスワードが Active Directory に格納されます。
Active Directory コネクタは、スケジュールされた間隔でシステムをポーリングします。
コネクタは、USNchanged (Update Sequence Number) および PwdLastSet 属性に対する変更に基づいてパスワードの変更を検出すると、パスワードの変更に関するメッセージを Message Queue に発行します。メッセージは、SSL 暗号化チャネル上を転送されます。
ディレクトリサーバーコネクタは、SSL を介して Message Queue からパスワードの変更メッセージを受信します。
ディレクトリサーバーコネクタは、ユーザーエントリの dspswvalidate 属性を true に設定します。これにより、古いパスワードは無効になり、パスワードの変更がディレクトリサーバープラグインに通知されます。
ユーザーがログインを試みると、Sun Java System ディレクトリサーバープラグインは、Directory Server に対して認証を求める LDAP アプリケーション (Portal Server など) を使用して、Directory Server エントリのパスワードの値が無効であることを検出します。
ディレクトリサーバープラグインは、Active Directory で対応するユーザーを検索します。プラグインは、ユーザーが見つかると、ユーザーが Directory Server へのログインを試みたときに入力されたパスワードを使って、Active Directory へのバインドを試みます。
オンデマンドパスワード同期では、Directory Server に対してアプリケーションで SASL Digest-MD5 などのより複雑な認証メカニズムを使用する代わりに、単純認証を使用する必要があります。
Active Directory に対するバインドに成功すると、ディレクトリサーバープラグインは、パスワードを設定し、Directory Server 上のユーザーエントリから無効なパスワードフラグを取り除いて、ユーザーがログインできるようにします。
ユーザー認証に失敗すると、ユーザーエントリのパスワードは Directory Server に残り、Directory Server および Active Directory 上のパスワードは、ユーザーが有効なパスワードでログインするまで一致しません。有効なパスワードは、Active Directory に対して認証されたパスワードです。
Identity Synchronization for Windows では、コンポーネントが一時的に利用不可になった場合にもユーザーの変更イベントを確実に逃さないように多くの予防策をとっています。Identity Synchronization for Windows の信頼性は、TCP ネットワークプロトコルに似ています。TCP は、緩く断続的に接続されたネットワークであっても、最終的にすべてのデータが正常に配信されることを保証しています。一時的なネットワーク停止中に送信されたデータは、ネットワークがダウンしている間はキューに入れられ、接続が復元してから再配信されます。Identity Synchronization for Windows は、次のいずれかのコンポーネントが一時的に利用不可になっても、ユーザーの変更イベントを最終的に検出して適用します。
コネクタ
Directory Server
Message Queue
Active Directory ドメインコントローラ
Windows NT プライマリドメインコントローラ
システムマネージャー
設定ディレクトリ
これらのコンポーネントのいずれかが利用できなくなると、Identity Synchronization for Windows では、影響を受けるコンポーネントが利用できるようになってパスワードを始めとするすべての変更を含むようになるまで同期を遅らせます。このバージョンの Identity Synchronization for Windows では、SunTM Cluster ソフトウェアやその他の真の高可用性ソリューションをサポートしません。ユーザーは Identity Synchronization for Windows と直接対話しないため、高可用性は通常必要ありません。壊滅的な失敗が発生した場合は、Identity Synchronization for Windows コンポーネントを再インストールし、idsync resync コマンドを使用してすべてのディレクトリソースを再同期できます。
ほとんどの状況では、コンポーネントが利用できなくなると、同期イベントがキューに入れられ、コンポーネントが利用可能になったときだけ同期イベントが適用されます。このプロセスには、2 つの例外があります。
マルチマスターレプリケーション (MMR) の Directory Server 環境では、Windows ユーザーに対する外部の変更を優先または副 Directory Server に対して同期できます。
優先ディレクトリサーバーを利用できない場合、Directory Server コレクタは MMR トポロジから利用可能な副サーバーのいずれかに変更を適用します。
Active Directory コネクタは、1 台の Active Directory ドメインコントローラのみと通信できますが、ディレクトリサーバープラグインはオンデマンドパスワード同期の実行中にすべての Active Directory ドメインコントローラ間で失敗することがあります。フェイルオーバーが最も重要なのはこのためです。ディレクトリサーバープラグインがユーザーの新しいパスワードを検証するために Active Directory ドメインコントローラに接続できない場合、ユーザーは Directory Server にログインできません。
この節では、Identity Synchronization for Windows がユーザーオブジェクトの作成および双方向のパスワード変更操作を Directory Server ソースと Active Directory ソースの間で同期するときに使用する配備シナリオについて説明します。
Sun Java System Directory Server を実行しているマシン (ホスト名: corp.example.com)
Windows 2000 Server で Active Directory を実行しているマシン (ホスト名: sales.example.com)
このシナリオでは Windows NT を使用していませんが、Identity Synchronization for Windows では NT ドメインとの同期もサポートしています。
この配備シナリオで使用される同期の要件 (ノード構造と関連の属性値) を次の図に示します。
このシナリオでは、次のような 2 つの目標があります。
ユーザーのパスワードをユーザーサブツリー (Directory Server では ou=people、Active Directory では cn=users) 間で双方向に同期すること。つまり、ユーザーのパスワードが一方のディレクトリで変更されると、他方のディレクトリで関連ユーザーにパスワードの変更が同期されます。
たとえば Directory Server で ou=people コンテナの uid=Jsmith のパスワードを変更すると、新しいパスワードは Active Directory で cn=users コンテナの cn=James Smith に自動的に同期されます。
ユーザーオブジェクトの作成操作を Directory Server ピープルサブツリーから Active Directory ユーザーサブツリーへの方向のみで同期すること。
たとえば指定された一連の属性で新しいユーザー uid=WThompson を ou=People コンテナに作成する場合、Identity Synchronization for Windows は Active Directory で同じ属性を使用して新しいアカウント cn=William Thompson を cn=Users コンテナに作成します。
Identity Synchronization for Windows では、同じタイプの複数の同期ソースをサポートします。たとえば配備や複数の Active Directory ドメインで複数の Directory Server を使用できます。
作成、変更、および削除の同期設定は、ディレクトリの全体でグローバルであり、個々のディレクトリソースに対して指定することはできません。ユーザーオブジェクトの作成を Directory Server から Active Directory へ同期する場合、すべての Directory Server からインストール時に設定したすべての Active Directory ドメインや Windows NT ドメインにユーザーオブジェクトの作成が伝播します。
すべての製品コンポーネントを単一の Solaris システム上に物理的に配備して、Active Directory ドメインはコンポーネントがインストールされていない別の Active Directory ドメインコントローラに配置した様子を次の図に示します。
corp.example.com は、Solaris オペレーティングシステム上に Directory Server をインストールしたマシンです。同期される Directory Server インスタンスのルートサフィックスは dc=corp,dc=example,dc=com です。
このトポロジは次を含みます。
Identity Synchronization for Windows コアコンポーネント
Identity Synchronization for Windows ディレクトリサーバーコネクタ
Identity Synchronization for Windows ディレクトリサーバープラグイン
Identity Synchronization for Windows 設定ディレクトリ (同期される Directory Server インスタンスとは別の Directory Server インスタンス上にある)
Identity Synchronization for Windows 6.0 をインストールする前、または Sun Java System Identity Synchronization for Windows 1 2004Q3 SP1 からバージョン 6.0 に移行する前に、インストールおよび設定プロセスを理解してください。
Identity Synchronization for Windows のインストール要件については、『Sun Java System Directory Server Enterprise Edition 6.3 リリースノート』の第 5 章「Identity Synchronization for Windows の修正されたバグと既知の問題点」を参照してください。
Identity Synchronization for Windows は、フランス語、ドイツ語、スペイン語、日本語、韓国語、簡体字中国語、繁体字中国語でインストールすることもできます。すべての言語が同じ配布にバンドルされています。
Identity Synchronization for Windows で多言語をサポートする場合は、UTF-8 エンコーディングを使用してください。
この章の内容は次のとおりです。
この節では、Identity Synchronization for Windows の単一ホストインストール手順について説明します。
一部のコンポーネントは、特定の順序でインストールします。そのため、すべてのインストール手順を注意深く読むようにしてください。
Identity Synchronization for Windows には実行手順リストが用意されており、インストールおよび設定プロセスを通して表示されます。この情報パネルには、製品のインストールおよび設定を成功させるために従う必要のあるすべての手順が表示されます。
インストールおよび設定のプロセスが進むにつれて、リストで完了したすべての手順が図 6–2 に示すようにグレー表示されます。
この節の残りの部分では、インストールおよび設定のプロセスの概要について説明します。
コアをインストールすると、次のコンポーネントがインストールされます。
Sun Java System Administration Server。ディレクトリサーバープラグインを設定し、管理フレームワークを提供します。
セントラルロガー。中央の場所にすべての監査およびエラーのロギング情報を集中化します。
システムマネージャー。設定の更新をコネクタに動的に配信し、各コネクタの状態を保守します。
コアをインストールする手順については、第 5 章「コアのインストール」で説明します。
コアをインストールしたらコンソールを使用して、同期されるディレクトリソースなど配備の特性のすべてを集中化された場所から初期設定します。
ディレクトリリソースを設定する手順については、第 6 章「コアリソースの設定」を参照してください。
ディレクトリサーバーコネクタをインストールする前に、同期されている優先および副 Directory Server のそれぞれについて Sun Java System Directory Server ソースを準備してください。
このタスクはコンソールから実行することも、idsync prepds サブコマンドを使用してコマンド行から実行することもできます。
Directory Server を準備する手順については、「Sun ディレクトリソースの準備」で説明します。
トポロジで設定されているディレクトリの数に応じて、任意の数のコネクタをインストールできます。コンソールとインストールプログラムの両方で、同期されるディレクトリとコネクタを関連付けるためにディレクトリラベルが使用されます。次の表に、ラベルの命名規則を示します。
表 4–1 ラベルの命名規則表 4–2 ラベルの命名例
コネクタ名 |
ディレクトリソース |
CNN100 |
ou=isw_data1 の SunDS1 |
CNN101 |
AD1 |
CNN102 |
ou-isw_data2 の SunDS1 |
CNN103 |
SunDS2 |
コネクタをインストールおよび設定する手順については、第 5 章「コアのインストール」を参照してください。
コネクタ、プラグイン、およびサブコンポーネントをインストールしたら、既存ユーザーの配備をブートストラップするために idsync resync コマンド行ユーティリティーを実行してください。このコマンドは、管理者が指定したマッチングルールを使用して、次の処理を実行します。
既存のエントリをリンクする (ユーザーをリンクする詳細については、「ユーザーのリンク」を参照)
リモートディレクトリの内容で空のディレクトリに生成する
Windows ディレクトリと Directory Server ディレクトリの両方のエントリが一意に識別されて、相互にリンクされている場合に、2 つの既存ユーザーの入力の間でパスワードを含む属性値を一括同期する
配備で既存ユーザーを同期する手順については、第 8 章「既存のユーザーおよびユーザーグループの同期」を参照してください。
製品をインストールしたら、次の操作を含む製品の配備を設定します。
同期されるディレクトリおよびグローバルカタログの設定
属性の変更およびオブジェクトの有効化/無効化に関する同期設定の指定
グループ同期の設定の指定
アカウントのロックアウトおよびロックアウト解除の同期設定の指定
(オプション) 設定されたディレクトリ間でユーザーエントリを作成および削除する同期設定の指定
この節では、次の設定要素について概念の概要を説明します。
ディレクトリ
同期設定
オブジェクトクラス
属性および属性マッピング
同期ユーザーリスト
関連する設定手順の一部については、第 6 章「コアリソースの設定」で説明します。
1 つ以上の Sun Java System Directory Server での単一ルートサフィックス (サフィックス/データベース)
Windows 2000 または Windows 2003 Server Active Directory フォレストでの単一 Active Directory ドメイン
単一 Windows NT ドメイン
ディレクトリタイプごとに任意の数を設定できます。
同期設定を使用して、オブジェクトの作成、オブジェクトの削除、パスワードなどの属性の変更が Directory Server ディレクトリと Windows ディレクトリの間で伝播する方向を制御します。同期フローオプションは次のとおりです。
Directory Server から Active Directory/Windows NT
Active Directory/Windows NT から Directory Server
双方向
Active Directory および Windows NT が含まれる設定では、Windows NT と Directory Server の間、および Active Directory と Directory Server の間の作成または変更で、異なる同期設定を指定する設定を保存することはできません。
リソースを設定するときは、オブジェクトクラスに基づいて同期するエントリを指定します。オブジェクトクラスは、どの属性が Directory Server と Active Directory の両方で同期できるかを決定します。
オブジェクトクラスは、Windows NT には該当しません。
Identity Synchronization for Windows では、2 種類のオブジェクトクラスをサポートします。
Structural オブジェクトクラス。選択された Directory Server から作成または同期される各エントリには、1 つ以上の Structural オブジェクトクラスが必要です。ドロップダウンメニューから Structural オブジェクトクラスを選択します。Directory Server では inetorgperson、Active Directory では User がデフォルトです。
Auxiliary オブジェクトクラス。
オブジェクトクラスおよび属性を設定する手順については、第 6 章「コアリソースの設定」を参照してください。
属性は、ユーザーエントリを説明する情報を保持します。各属性は、1 つのラベルと 1 つ以上の値があり、属性値として格納可能な情報の種類について標準の構文に従います。
属性はコンソールから定義できます。第 6 章「コアリソースの設定」を参照してください。
Identity Synchronization for Windows は、重要および作成ユーザー属性を次のように同期します。
重要属性。指定された変更同期設定に従って、属性が変更されたときは常に Directory Server ディレクトリと Windows ディレクトリの間で同期されます。
作成属性。指定されたオブジェクト作成同期設定に従って、新しいユーザーが作成されるときは常に Directory Server ディレクトリと Windows ディレクトリの間で同期されます。
必須の作成属性とは、対象ディレクトリで作成アクションを正常に完了するために「必須」であるとみなされる属性です。たとえば、Active Directory では、作成時に cn と samaccountname の両方が有効な値であることが期待されます。Directory Server では user オブジェクトクラスの inetorgperson を設定している場合、Identity Synchronization for Windows では、cn および sn が作成の必須属性であることが期待されます。
元のディレクトリから伝播される属性に値がない場合のみ、作成属性のデフォルトによってデフォルト値で対象ディレクトリの作成属性が更新されます。作成属性のデフォルトは、別の属性値を基にすることができます。「パラメータ化された属性のデフォルト値」を参照してください。
重要属性は、作成属性として自動的に同期されますが、逆は自動的に同期されません。作成属性は、ユーザー作成時のみ同期されます。
Identity Synchronization for Windows では、作成属性に対して別の作成属性または重要属性を使用して、パラメータ化されたデフォルト値を作成できます。
パラメータ化されたデフォルト属性値を作成するには、式文字列で既存の作成属性または重要属性の名前の前後にパーセント記号を付けて囲みます (%attribute_name%)。たとえば、homedir=/home/%uid% または cn=%givenName%. %sn% のようにします。
これらの属性のデフォルト値を作成するときは、次のガイドラインに従ってください。
作成式で複数の属性を使用することはできますが (cn=%givenName% %sn%)、%attribute_name% の属性は単一の値を持つ必要があります。
A=0 の場合、B は、デフォルト値 1 つだけを持つことができます。
パーセント記号を通常の文字として使用する場合は、円記号 (\\) を使用します 。たとえば diskUsage=0\\% のようにします。
循環式の置換条件を持つ式は使用しないでください (たとえば sn=%uid% および uid= %sn%)。
同期する属性を定義したら、Directory Server と Active Directory/Windows NT システムの間で属性名をマッピングし、相互に属性を同期できるようにします。たとえば Sun の inetorgperson 属性を Active Directory の user 属性にマッピングします。
重要属性と作成属性の両方で属性マップを使用し、それぞれのディレクトリタイプのすべての「必須の作成属性」で属性マップを設定してください。
Directory Server ディレクトリと Windows ディレクトリの両方で同期される特定ユーザーを定義するには、同期ユーザーリスト (SUL) を作成します。これらの定義により、平坦なディレクトリ情報ツリー (DIT) から階層型のディレクトリツリーへの同期が可能になります。
同期ユーザーリストの定義には、次の概念が使用されます。
ベース DN (Windows NT には該当しない)。別の SUL がより具体的である場合やフィルタによって除外されない場合に、その DN 内のすべてのユーザーが含まれます。
フィルタ。ユーザーのエントリ内の属性を使用して、ユーザーを同期から除外するか、同じベース DN を持つユーザーを複数の SUL に分割します。このフィルタは、LDAP フィルタ構文を使用します。
作成式 (Windows NT には該当しない)。新しいユーザーの作成先 DN を構築します。たとえば cn=%cn%,ou=sales,dc=example, dc=com としたときに、%cn% は、既存のユーザーエントリの cn の値で置換されます。作成式は、ベース DN で終わらせます。
SUL には 2 つの定義が含まれ、それぞれの定義ではディレクトリタイプのトポロジに関連して同期されるユーザーのグループを識別します。
一方の 定義では、同期される Directory Server ユーザーを識別します (たとえば ou=people, dc=example, dc=com)。
もう一方の定義では、同期される Windows ユーザーを識別します (たとえば cn=users, dc=example, dc=com)。
SUL の作成を準備する場合は、次の点を確認してください。
同期するユーザー。
同期から除外するユーザー。
新しいユーザーの作成先。
SUL を作成する詳細については、付録 D 「Identity Synchronization for Windows の同期ユーザーリストの定義と設定」を参照してください。
Windows 2000 でのデフォルトのパスワードポリシーは Windows 2003 で変更され、強力なパスワードがデフォルトで要求されます。
Identity Synchronization for Windows のサービスでは、たとえば Directory Server から Active Directory に対する resync -c の実行時のように、パスワードを持たないエントリの作成が必要なことがあります。したがって、Active Directory (Windows 2000 または 2003 の場合) または Directory Server でパスワードポリシーが有効な場合は、ユーザー作成エラーが発生することがあります。
Active Directory または Directory Server でパスワードポリシーを無効にする必要はありませんが、パスワードポリシーの要求に関連した問題を理解してください。
Windows 2003 Server Standard または Enterprise Edition 上の Active Directory とパスワードを同期する場合は、次のインストールの情報が重要です。
Windows にインストールする場合は、Active Directory コネクタを Solaris OS、Red Hat Linux、または Windows にインストールできます。
Active Directory コネクタは、Windows 2000 と Windows 2003 Server の両方の Active Directory と連携します。
Windows 2003 でディレクトリソース、グローバルカタログ、および同期ユーザーリストを作成する手順は、Windows 2000 の Active Directory での手順と同じです。
Windows Server 2003 では、デフォルトのパスワードポリシーで強力なパスワードが要求されますが、これは Windows 2000 でのデフォルトのパスワードポリシーと異なります。
この節では、Windows 2000、Windows 2003 Server、および Sun Java System Directory Server の Active Directory のパスワードポリシーが同期の結果に与える影響について説明します。
そのトポロジで要求されるパスワードポリシーを満たす Active Directory (または Directory Server) でユーザーを作成する場合は、ユーザーを 2 つのシステム間で適切に作成および同期することができます。両方のディレクトリソースでパスワードポリシーが有効な場合、パスワードは両方のディレクトリソースのポリシーを満たす必要があり、そうでないと同期されたユーザー作成は失敗します。
Active Directory でパスワードポリシー機能を有効にする場合は、Directory Server で同様の設定または同一のパスワードポリシーを有効にするようにしてください。
Active Directory と Directory Server の両方で一貫性のあるパスワードポリシーを作成できない場合は、パスワードおよびユーザー作成で信頼できるソースであるとみなすディレクトリソースでパスワードポリシーを有効にするようにしてください。ただし、一部のパスワードポリシー設定が原因で、ユーザーが想定どおりに作成できないことがあります。
Identity Synchronization for Windows はパスワードの期限切れを同期しません。
この節の内容は次のとおりです。
Directory Server パスワードポリシーに違反するパスワードを使用して Active Directory でユーザーを作成すると、それらのユーザーは Directory Server で作成および同期されますが、エントリはパスワードなしで作成されます。パスワードは新しいユーザーが Directory Server にログインするまで設定されません (ログインでオンデマンドパスワード同期がトリガーされる)。この時点では、パスワードが Directory Server パスワードポリシーに違反しているため、ログインは失敗します。
この状態から回復するには、次のいずれかを行います。
Active Directory への次回ログイン時に、ユーザーにパスワードを変更してもらいます。
Active Directory でユーザーパスワードを変更し、新しいパスワードが Directory Server パスワードポリシーの要件を満たすようにします。
Active Directory パスワードポリシーと一致しない Active Directory でユーザーを作成する場合、それらのユーザーは、Directory Server で作成されます。
Active Directory では、実際にユーザーを「一時的に」作成し、パスワードがパスワードポリシーの要件を満たさない場合にエントリを削除します。従って、Active Directory コネクタはこの一時的な追加を確認して、Directory Server にユーザーを作成します。ユーザーは Directory Server でパスワードを持たないため、そのユーザーとしてはだれもログインできません。また、これらのエントリは Active Directory で有効なエントリにリンクされません。削除が Active Directory から Directory Server へ同期されると、一時的に作成されたユーザーが自動的に削除されます。
ユーザーは、パスワードなしで Directory Server に作成されます。Directory Server は、エントリにパスワードが含まれていないかぎり、ユーザーの作成でパスワードポリシーを要求しません。
この状況から回復するには、Active Directory から Directory Server へ削除を同期することが推奨されます。または、ユーザーを Directory Server から削除してから、Active Directory パスワードポリシーに従うパスワードを使用して Active Directory にユーザーを追加できます。この方法では確実に、ユーザーが Directory Server で作成されて、適切にリンクされます。Directory Server ユーザーが Active Directory にはじめてログインしてパスワードを変更すると、そのパスワードは無効化されます。
ユーザーを Directory Server から削除せずに Active Directory ユーザーを新しいパスワードで再度追加しようとすると、ユーザーはすでに Directory Server に存在するため、Directory Server への追加は失敗します。エントリはリンクされないため、2 つの個別のアカウントをリンクするために idsync resync コマンドを実行してください。
idsync resync コマンドを実行する場合は、Directory Server のエントリにリンクされた Active Directory のアカウントのパスワードをリセットしてください。パスワードをリセットすると、Directory Server でそれらのパスワードが無効になり、次回ユーザーが新しい Active Directory パスワードを使用して Directory Server に対して認証を求めるときにオンデマンド同期が行われて Directory Server パスワードが更新されます。
再同期のような特定の状況では、Identity Synchronization for Windows はパスワードなしでアカウントを作成します。
Identity Synchronization for Windows がパスワードなしで Directory Server にエントリを作成するときは、userpassword 属性を {PSWSYNC}*INVALID*PASSWORD* に設定します。パスワードがリセットされるまで、ユーザーは Directory Server にログインできません。例外は、resync を -i NEW_USERS または NEW_LINKED_USERS オプションを指定して実行するときです。この場合、resync によって新しいユーザーのパスワードは無効になり、次回ユーザーがログインするときにオンデマンドパスワード同期がトリガーされます。
Identity Synchronization for Windows がパスワードなしで Active Directory にエントリを作成するときは、Active Directory パスワードポリシーを満たすようにランダムに選択された、強力なパスワードにユーザーのパスワードを設定します。この場合、警告メッセージがログに記録され、パスワードがリセットされるまでユーザーは Active Directory にログインできません。
Identity Synchronization for Windows の操作時に発生する可能性のあるシナリオの一部を次の表に示します。
この節では、パスワードポリシーが同期および再同期に与える影響について説明します。
これらの表は、すべての可能な設定シナリオを説明することを目的としていません。システムの設定はさまざまであるためです。この情報をガイドラインとして使用することで、パスワードが確実に同期され続けるようにすることができます。
表 4–3 パスワードポリシーが同期動作に与える影響
シナリオ |
結果 |
||||
---|---|---|---|---|---|
ユーザーの元の作成場所 |
ユーザーがパスワードポリシーを満たす場所 |
ユーザーの作成場所 |
|||
Directory Server |
Active Directory |
Directory Server |
Active Directory |
説明 |
|
Active Directory |
可 |
可 |
可 |
可 | |
可 |
不可 |
可 (「説明」を参照) |
不可 |
ユーザーは Directory Server に作成されます。ただし、削除が Active Directory から Directory Server へ同期される場合、このユーザーはただちに削除されます。 「Active Directory パスワードポリシー」の情報を参照してください。 |
|
不可 |
可 |
可 |
可 |
「Active Directory パスワードポリシー」の情報を参照してください。 |
|
不可 |
不可 |
可 (「説明」を参照) |
不可 |
ユーザーは Directory Server に作成されます。ただし、削除が Active Directory から Directory Server へ同期される場合、このユーザーはただちに削除されます。 「Active Directory パスワードポリシー」の情報を参照してください。 |
|
Directory Server |
可 |
可 |
可 |
可 | |
可 |
不可 |
可 |
不可 | ||
不可 |
可 |
不可 |
不可 | ||
不可 |
不可 |
不可 |
不可 |
表 4–4 パスワードポリシーが再同期動作に与える影響
シナリオ |
結果 |
||
---|---|---|---|
Resync コマンド |
ユーザーがパスワードポリシーを満たす場所 |
||
Directory Server |
Active Directory |
||
resync -c -o Sun |
N/A |
可 |
ユーザーは Active Directory に作成されますが、ログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
N/A |
不可 |
ユーザーは Active Directory に作成されますが、ログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
|
resync -c -i NEW_USERS | NEW_LINKED_USERS |
可 |
N/A |
ユーザーは Directory Server に作成され、ユーザーのパスワードはユーザーの最初のログイン時に設定されます。 「パスワードなしのアカウントの作成」を参照してください。 |
不可 |
N/A |
ユーザーは Directory Server に作成されますが、パスワードが Directory Server パスワードポリシーに違反しているため、ログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
|
resync -c |
可 |
N/A |
ユーザーは Directory Server に作成されますが、新しいパスワード値が Active Directory または Directory Server で設定されるまでログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
不可 |
N/A |
ユーザーは Directory Server に作成されますが、新しいパスワード値が Active Directory または Directory Server で設定されるまでログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
この節では、Active Directory および Directory Server のパスワードポリシーの例について説明します。
ユーザーはリセット後にパスワードを変更する必要があります
ユーザーはパスワードを変更することができます
20 個のパスワードを履歴に保存します
パスワードの有効期限は 30 日です
パスワードの有効期限が切れる 5 日前に警告を送信します
パスワード構文を確認します: パスワードは最短 7 文字です
パスワードの履歴を記録する: 20 日
パスワードの有効期間: 30 日
パスワードの変更禁止期間: 0 日
最小パスワード長: 7 文字
パスワードは、複雑さの要件を満たす必要がある: 有効
コアシステムのセントラルロガーの audit.log ファイルで、次のエラーメッセージを確認します。
Unable to update password on DS due to password policy during on-demand synchronization: |
WARNING 125 CNN100 hostname "DS Plugin (SUBC100): unable to update password of entry ’cn=John Doe,ou=people,o=sun’, reason: possible conflict with local password policy" |
Windows 2003 のパスワードポリシーの詳細は、http://www.microsoft.com/japan/technet/windowsserver/2003/technologies/directory/activedi rectory/stepbystep/strngpw.mspx を参照してください。
Sun Java System Directory Server のパスワードポリシーの詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の第 8 章「Directory Server のパスワードポリシー」を参照してください。
Directory Server から Windows Active Directory へパスワードの変更を伝播させる計画を立てている場合は、SSL を使用するように各 Active Directory を設定し、高度暗号化パックをインストールしてください。
Active Directory で LDAP over SSL を有効にしている場合は、Identity Synchronization for Windows Active Directory コネクタインストーラが Active Directory コネクタの SSL を自動的に設定できます。証明書は、次の URL で説明されているように、Microsoft 証明書サービスのエンタープライズルート認証局から自動的に取得できます。
http://support.microsoft.com/kb/247078/ja
ただし、技術メモ http://support.microsoft.com/default.aspx?scid=kb;en-us;321051 で説明されているように、LDAP over SSL はより簡単に設定できます。
この場合、SSL 通信を行うために信頼できる証明書が必要であると判断したときは、「Active Directory コネクタでの SSL の有効化」で説明するように、コネクタの証明書データベースに証明書を手動でインストールします。
この節では、インストールおよび設定の概要、および Identity Synchronization for Windows の配備時の選択内容の詳細について説明します。この節で説明するすべての情報を確認のうえ、インストールプロセスを開始する前にインストールチェックリストを完成してください。
設定ディレクトリのホストおよびポート。Identity Synchronization for Windows 設定情報が格納される Directory Server インスタンスの設定ディレクトリのホストおよびポートを指定します。
設定ディレクトリのポートとして SSL ポートを指定できます。その場合は、インストールプロセス時に SSL のポートを指定してください。
ルートサフィックス。設定ディレクトリのルートサフィックスを指定します。すべての設定情報がこのサフィックスの下に格納されます。
設定パスワード。機密性のある設定情報を保護するためのセキュアなパスワードを指定します。
ファイルシステムディレクトリ。Identity Synchronization for Windows をインストールする場所を指定します。コアは Directory Server 管理サーバーと同じディレクトリにインストールしてください。
未使用のポート番号。Message Queue インスタンス用に利用可能なポート番号を指定します。
管理サーバー。管理サーバー管理者が Directory Server にすでに存在する場合は、そのユーザー名およびパスワードを指定します。
Sun Java System ディレクトリスキーマ。設定ディレクトリからロードする Directory Server データを指定します。
ユーザーオブジェクトクラス (Directory Server のみ)。ユーザータイプを判断するために使用されるユーザーオブジェクトクラスを指定します。Identity Synchronization for Windows は、このオブジェクトクラスに基づいて、パスワード属性を含む属性のリストを派生します。このリストは、スキーマから生成されます。
同期される属性。Directory Server と Windows のディレクトリソースの間で 同期されるユーザーエントリ属性を指定します。
変更、作成、および削除のフロー。変更、作成、および削除が Directory Server と Windows のディレクトリソースの間で伝播する方法を指定します。
グローバルカタログ。グローバルカタログ (Active Directory のトポロジおよびスキーマ情報のリポジトリ) を指定します。
Active Directory スキーマコントローラ。Windows グローバルカタログから取得される Active Directory スキーマソースの完全修飾ドメイン名 (FQDN) を指定します。
設定ディレクトリ。Identity Synchronization for Windows 設定を格納する Directory Server を指定します。
Active Directory ソース。Active Directory ドメインを同期するために使用するソースを指定します。
Windows NT のプライマリドメインコントローラ。同期する Windows NT ドメイン、および各ドメインのプライマリドメインコントローラの名前を指定します。
同期ユーザーリスト。LDAP DIT およびフィルタ情報を使用して、Directory Server、Active Directory、および Windows NT で同期されるユーザーを指定します。
Sun Java System Directory Server。同期されるユーザーを格納する Directory Server インスタンスを指定します。
コネクタおよびディレクトリサーバープラグインをインストールするときは、次の情報を指定します。
設定ディレクトリのホストおよびポート。Identity Synchronization for Windows 設定情報が格納される Directory Server インスタンスの設定ディレクトリのホストおよびポートを指定します。
ルートサフィックス。設定ディレクトリのルートサフィックスを指定します。コアのインストール時に指定したルートサフィックスを使用します。
設定パスワード。機密性のある設定情報を保護するためのセキュアなパスワードを指定します。
ファイルシステムディレクトリ。Identity Synchronization for Windows をインストールする場所を指定します。同じマシンにインストールされるすべてのコンポーネントは、インストールパスを同じにします。
ディレクトリソース。コネクタまたはプラグインをインストールするディレクトリソースを指定します。
Directory Server および Windows NT のコネクタをインストールする場合は、未使用のポートを指定します。
ディレクトリサーバーコネクタおよびプラグインをインストールする場合は、そのコネクタおよびプラグインに対応する Directory Server のホスト、ポート、および資格を指定します。
Identity Synchronization for Windows では、idsync スクリプトで次のサブコマンドを使用して、コマンド行からさまざまなタスクを実行できます。
changepw — Identity Synchronization for Windows 設定パスワードを変更します。
prepds — Identity Synchronization for Windows が使用できるように Sun Java System Directory Server ソースを準備します。
printstat — インストールされているコネクタ、システムマネージャー、および Message Queue の状態を出力します。
インストールプロセスを完了するために実行する必要のあるインストールおよび設定の残りの手順を表示するために printstat コマンドを使用することもできます。
resetconn — ハードウェアまたはアンインストーラのエラー時のみ、設定ディレクトリのコネクタの状態をアンインストール済みにリセットします。
resync — インストールプロセスの一環として、既存ユーザーを再同期およびリンクしたり、ディレクトリを事前に生成したりします。
dspluginconfig — ディレクトリサーバープラグインを設定または設定解除します。
groupsync — グループの同期を有効または無効にします。
accountlockout — アカウントのロックアウト機能を有効または無効にします。
stopsync — 同期を停止します。
これらのユーティリティーの詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。
これらのチェックリストを使用して、インストールプロセスを準備してください。Identity Synchronization for Windows をインストールする前に、チェックリストを印刷して適切な情報を記録します。
表 4–5 コアのインストールチェックリスト
必要な情報 |
エントリ |
---|---|
設定ディレクトリのホストおよびポート | |
設定ディレクトリのルートサフィックス (たとえば dc=example,dc=com) | |
Identity Synchronization for Windows をインストールするファイルシステムディレクトリ | |
設定 Directory Server の管理者の名前およびパスワード | |
機密性のある設定情報を保護するためのセキュアな設定パスワード | |
Message Queue インスタンス用のポート番号 | |
管理サーバーのユーザー名およびパスワード |
表 4–6 コアの設定チェックリスト
必要な情報 |
エントリ |
---|---|
Directory Server スキーマサーバー | |
Directory Server ユーザー構造および Auxiliary オブジェクトクラス | |
同期される属性 | |
ユーザーエントリ作成のフロー | |
ユーザーエントリ変更のフロー | |
ユーザーエントリ有効化および無効化のフロー | |
ユーザーエントリ削除のフロー | |
Sun Java System Directory Server ディレクトリソース | |
Active Directory | |
同期ユーザーリスト | |
Windows ソースフィルタの作成式 | |
Sun Java System ソースフィルタの作成式 | |
管理サーバーのユーザー名およびパスワード |
コネクタおよびディレクトリサーバープラグインのインストールチェックリスト
必要な情報 |
エントリ |
---|---|
設定ディレクトリのホストおよびポート | |
設定ディレクトリのルートサフィックス | |
コネクタをインストールするファイルシステムディレクトリ | |
設定 Directory Server の管理者の名前およびパスワード | |
機密性のある設定情報を保護するためのセキュアな設定パスワード | |
ディレクトリソース | |
Directory Server および Windows NT 用の未使用ポート | |
コネクタおよびプラグインに対応する Directory Server のホスト、ポート、および資格 |
ユーザーのリンクのチェックリスト
必要な情報 |
エントリ |
---|---|
リンクされる同期ユーザーリスト。 | |
同等のユーザーを一致させるために使用する属性 | |
再同期チェックリスト
必要な情報 |
エントリ |
---|---|
同期ユーザーリストの選択 | |
同期ソース | |
対応するユーザーが宛先のディレクトリソースに見つからない場合にユーザーエントリを自動的に作成するか | |
Directory Server パスワードを無効にするか | |
この章では、Identity Synchronization for Windows のインストールプログラムを使用する方法、および Identity Synchronization for Windows コアコンポーネントをインストールする方法について説明します。
この章は次の項目から構成されています。
Identity Synchronization for Windows インストールプロセスを始める前に、次の点を確認してください。
第 4 章「インストールの準備」を読みます。この章では、インストールの前提条件、チェックリスト、管理者特権の要件などについて説明します。
Java Runtime Environment (JRE) は、この製品に付属していません。必要な場合は、Java Development Kit を次の場所からダウンロードできます。
http://java.sun.com または http://www.java.com
Identity Synchronization for Windows インストールプログラムを Solaris、Linux、または Windows 2000/2003 システムで実行するには、JRE 1.5.0_09 またはそれ以降をインストールしてください。
Directory Server 6.x が Java ES とともにインストールされている場合、JRE 1.5.0_09 はコンピュータにすでにインストールされています。
Windows システムの場合のみ: コアのインストールを開始する前に、開いている「サービス」コントロールパネルのウィンドウはすべて閉じます。そうしないとインストールに失敗します。
Solaris システムの場合: Message Queue と Identity Synchronization for Windows を同じディレクトリにインストールしないでください。
Red Hat Linux システムの場合: Message Queue と Identity Synchronization for Windows を同じディレクトリにインストールしないでください。
この節では、次のプラットフォームで Identity Synchronization for Windows インストールプログラムをダウンロードして展開 (解凍) し、実行する方法について説明します。
Solaris SPARC オペレーティングシステムで Identity Synchronization for Windows インストールプログラムを準備して実行するには、次の手順を使用します。
root としてログインします。
Solaris SPARC 用の配布メディア上で、インストールプログラム DSEE_Identity_Synchronization_for_Windows が格納されているディレクトリに変更します。
./runInstaller.sh と入力してインストールプログラムを実行します。
インストールプログラムをテキストベースモードで実行するには、次のように入力します。
./runInstaller.sh -nodisplay |
runInstaller.sh プログラムを実行すると、Identity Synchronization for Windows ではパスワードを自動的にマスクして、平文で表示されないようにします。
root としてログインします。
Solaris x86 用の配布メディア上で、インストールプログラム DSEE_Identity_Synchronization_for_Windows が格納されているディレクトリに変更します。
./runInstaller.sh と入力してインストールプログラムを実行します。
インストールプログラムをテキストベースモードで実行するには、次のように入力します。
./runInstaller.sh -nodisplay |
runInstaller.sh プログラムを実行すると、Identity Synchronization for Windows ではパスワードを自動的にマスクして、平文で表示されないようにします。
Windows オペレーティングシステムで Identity Synchronization for Windows インストールプログラムを準備して実行するには、次の手順を使用します。
管理者としてログインします。
Windows 用の配布メディア上で、インストールプログラム DSEE_Identity_Synchronization_for_Windows が格納されているディレクトリに変更します。
setup.exe と入力してインストールプログラムを実行します。
Identity Synchronization for Windows インストールウィザードが表示されます。
管理サーバールートにコアをインストールすると、Identity Synchronization for Windows ウィザードによってディレクトリパスや名前などのインストールに必要なほとんどの情報が検出され、ウィザードパネルの特定フィールドに自動的に入力されます。
情報が足りないまたは正しくない場合は、手動で必要な情報を入力できます。
次の節に進み、コアをインストールします。
Red Hat Linux オペレーティングシステムで Identity Synchronization for Windows インストールプログラムを準備して実行するには、次の手順を使用します。
root としてログインします。
Red Hat 用の配布メディア上で、インストールプログラム DSEE_Identity_Synchronization_for_Windows が格納されているディレクトリに変更します。
./installer.sh と入力してインストールプログラムを実行します。
インストールプログラムをテキストベースモードで実行するには、次のように入力します。
./installer.sh -nodisplay |
installer.sh プログラムを実行すると、Identity Synchronization for Windows ではパスワードを自動的にマスクして、平文で表示されないようにします。
この節では、Solaris、Linux、および Windows のオペレーティングシステムで Identity Synchronization for Windows コアをインストールするプロセスについて説明します。
コアをインストールする前に、次の要件に確認するようにしてください。
Red Hat Linux システムの場合: Linux サービスをインストールして実行するには、root 権限が必要です。
Windows 2000/2003 システムの場合: Identity Synchronization for Windows をインストールするには、管理者権限が必要です。
プログラムは root としてインストールする必要がありますが、インストール後は、root 以外のユーザーとして Solaris および Linux サービスを実行するようにソフトウェアを設定できます。(付録 B 「Identity Synchronization for Windows LinkUsers XML ドキュメントの例」を参照)
コアをインストールするディレクトリには、管理サーバー (バージョン 5 2004Q2 またはそれ以上) で管理される既存のサーバールートが存在する必要があります。そうでない場合、インストールプログラムは失敗します。Directory Server 5 2004Q2 インストールプログラムを使用して 管理サーバーをインストールできます。
Identity Synchronization for Windows 6.0 の場合、インストーラは既存の Sun Java System Administration Server があるかどうかを確認します。インストールされていない場合、インストーラはコアをインストールする一環として Sun Java System Administration Server をインストールします。
「ようこそ」画面で、表示された情報を読み、「次へ」をクリックして「ソフトウェア使用許諾契約」パネルに進みます。
ライセンス条項を確認し、次のいずれかを選択します。
「はい (ライセンスに同意する)」を選択すると、ライセンス条項に同意して次のパネルに進みます。
「いいえ」を選択すると、設定プロセスを中止し、インストールプログラムを終了します。
「設定ディレクトリの位置」パネルが表示されたら、設定ディレクトリの場所を指定します。
次の情報を入力します。
「設定ディレクトリホスト」: Identity Synchronization for Windows 設定情報が格納される、ローカルの管理サーバーと連携した Sun Java System Directory Server インスタンスの完全修飾ドメイン名 (FQDN) を入力します。
ローカルマシン上のインスタンスまたは別のマシンで実行しているインスタンスを指定できます。
Identity Synchronization for Windows では、管理サーバーが遠隔にインストールされている Directory Server インスタンスにアクセスできます。
資格またはホスト名が無効であるという警告を避けるため、インストールプログラムを実行しているマシンに対して DNS 解決可能なホスト名を指定する必要があります。
「設定ディレクトリポート」: 設定ディレクトリがインストールされるポートを指定します。(デフォルトのポートは 389)
セキュリティー保護された通信を可能にするには、「セキュリティー保護されたポート」オプションを有効にして SSL ポートを指定します。(デフォルトの SSL ポートは 636)。
設定ディレクトリが SSL に対応していると判断されると、すべての Identity Synchronization for Windows コンポーネントは設定ディレクトリとの通信に SSL を使用します。
Identity Synchronization for Windows は、設定 Directory Server に機密性の高い設定情報を送信する前に、その情報を暗号化します。
ただし、コンソールと設定ディレクトリの間でさらにトランスポートの暗号化を図る場合は、管理サーバーと設定 Directory Server の両方で SSL を有効にする必要があります。次に、Directory Server コンソールを認証する管理サーバーとの間でセキュリティー保護された通信を設定します。(詳細については、『Sun Java System Administration Server 5 2004Q2 Administration Guide』を参照)。
コアコンポーネントの一部としてインストール (および設定) された Sun Java System Administration Server は、非 SSL モードでインストールされます。
ルートサフィックスが検出できず、情報を手動で入力する必要がある場合 (またはデフォルト値を変更する場合)、「更新」をクリックしてルートサフィックスのリストを再生成してください。指定するルートサフィックスは、設定 Directory Server に存在する必要があります。
「次へ」をクリックして「設定ディレクトリのクレデンシャル」パネルを開きます。
設定ディレクトリの管理者のユーザー ID およびパスワードを入力します。
ユーザー ID として admin と入力した場合は、ユーザー ID を DN として指定する必要はありません。
その他のユーザー ID を使用する場合は、その ID を完全 DN として指定します。たとえば、cn=Directory Manager のようになります。
設定ディレクトリと通信するために SSL を使用していない場合 (「コアのインストール」を参照)、これらの資格は暗号化なしで送信されます。
完了したら、「次へ」をクリックして、「設定パスワード」パネルを開きます。
資格情報などの機密性の高い設定情報を暗号化するために使用するパスワードを入力し、確認してください。完了したら、「次へ」をクリックします。
このパスワードは、次のときに必要になるため覚えておく必要があります。
設定の作成または編集
コンポーネントのインストール
任意のコマンド行ユーティリティーの実行
設定パスワードの変更については、「changepw の使用」を参照してください。
「Java ホームの選択」パネルが表示されます (「コアのインストール」を参照)。インストールされたコンポーネントで使用される Java 仮想マシンのディレクトリの場所が自動的に挿入されます。
「Java ホームディレクトリ」を確認します (JDK/JRE 1.5.0_09 またはそれ以降)。
場所が正しいことを確認したら、「次へ」をクリックして「インストールディレクトリの選択」パネルに進みます (「コアのインストール」)。
場所が正しくない場合は、「参照」をクリックし、Java がインストールされているディレクトリを検索して選択します。たとえば次のとおりです。
Windows の場合: C:\Program Files\j2sdk1.5
次の表示されるテキストフィールドに情報を入力するか、「参照」をクリックして使用可能なディレクトリを検索して選択します。
「サーバールートディレクトリ」: 管理サーバーのインストールサーバールートのパスおよびディレクトリ名を指定します。コンソールはこの場所にインストールされます。
「インストールディレクトリ」( Solaris または Linux にコアをインストールするときのみ利用可能): インストールディレクトリのパスおよびディレクトリ名を指定します。コアのバイナリ、ライブラリ、および実行可能ファイルはこのディレクトリにインストールされます。
「インスタンスディレクトリ」( Solaris または Linux にコアをインストールするときのみ利用可能): インスタンスディレクトリのパスおよびディレクトリ名を指定します。変更される設定情報 (ログファイルなど) はこのディレクトリに格納されます。
Windows オペレーティングシステムで利用可能なサーバールートディレクトリは 1 つだけであり、すべての製品がその場所にインストールされます。
手順 3 で指定した設定ディレクトリのホストおよびポート番号に対応する管理サーバーが見つからない場合、管理サーバーのインストーラはコアインストールの一部として管理サーバーをインストールします。割り当てられた管理サーバーのポートのデフォルトポート番号は、設定ディレクトリのポートに 1 を足した番号になります。
「次へ」をクリックして「Message Queue の設定」パネルに進みます。
Identity Synchronization for Windows のインストールを開始する前に、Message Queue 3.6 Enterprise Edition をインストールしておくようにしてください。
Solaris システムの場合: Message Queue と Identity Synchronization for Windows を同じディレクトリにインストールしないでください。
Linux システムの場合: Message Queue と Identity Synchronization for Windows を同じディレクトリにインストールしないでください。
Windows システムの場合: コアのインストールを続行する前に、開いている「サービス」コントロールパネルのウィンドウはすべて閉じます。そうしないとコアのインストールに失敗します。
表示されるテキストフィールドに次の情報を入力するか、「参照」をクリックして使用可能なディレクトリを検索して選択します。
「次へ」をクリックすると、「インストール準備完了」パネルが表示されます。
このパネルには、コアのインストール先ディレクトリ、コアのインストールに必要な容量など、インストールに関する情報が表示されます。
表示される情報に問題がない場合は、「すぐにインストール」をクリックしてコアコンポーネントをインストールします (インストールプログラムによってバイナリ、ファイル、およびパッケージがインストールされる)。
情報が正しくない場合は、「戻る」をクリックして変更します。
インストール中であることを示すメッセージが短く表示されます。次に「コンポーネントの設定」パネルが表示され、設定データが指定された設定 Directory Server に追加されます。この操作では、次の処理が行われます。
Message Queue ブローカインスタンスの作成
設定ディレクトリへのスキーマのアップロード
設定ディレクトリへの配備固有の設定情報のアップロード
この操作には数分かかり、定期的に一時停止する可能性があります。そのため、プロセスに 10 分以上かからないかぎり問題はありません。インストールプログラムの状態を監視するには、進捗バーを確認します。
コンポーネントの設定操作が完了したら、「インストール概要」パネルが表示されます。Identity Synchronization for Windows が正しくインストールされたことを確認します。
「詳細」ボタンをクリックすると、インストールされたファイルとインストール先のリストが表示されます。
「次へ」をクリックすると、Identity Synchronization for Windows のインストールおよび設定を正常に実行するために必要な残りの手順がプログラムによって判断されます。
ロード中であることを示すメッセージおよび「残りのインストール手順」パネルがそれぞれ短く表示されたあとに、次のパネル (「インストールの概要」) が表示されます。このパネルには、残りのインストールおよび設定の手順の実行手順リストが表示されます。このパネルには、コンソールの「状態」タブからもアクセスできます。
インストールおよび設定のプロセスを通じて実行手順のパネルの表示が繰り返されます。リストですべての完了した手順はグレー表示されます。
この時点までは、実行手順リストには汎用的な手順のリストが表示されます。設定を保存すると、使用している配備向けにカスタマイズされた手順のリストが表示されます (たとえば、インストールする必要のあるコネクタ)。
手順のリストを確認して「次へ」をクリックすると、「コンソールオプションの起動」パネルが表示され、コアのインストールが完了したことが示されます。
次に、コアコンポーネントを設定します。これは、Sun Java System コンソールから実行できます。「Sun Java System コンソールを起動します」オプションはデフォルトで有効です。
Identity Synchronization for Windows バージョン 1.0 または SP1 から Sun Java System Identity Synchronization for Windows 6.0 へ移行する場合は、idsync importcnf コマンド行ユーティリティーを使用して、エクスポートされたバージョン 1.0 または SP1 の設定 XML ドキュメントをインポートできます。
「完了」をクリックします。
コンソールを使用することにした場合は、「Sun Java System コンソールログイン」ダイアログボックスが表示されます (「コアのインストール」を参照)。
資格を入力したら、「OK」をクリックしてダイアログボックスを閉じます。
設定パスワードの入力が求められます。パスワードを入力し、「OK」をクリックします。
「Sun Java System サーバーコンソール」ウィンドウが表示されたら、コアの設定を開始できます。手順については、「第 6 章「コアリソースの設定」」を参照してください。
Identity Synchronization for Windows コアをインストールしたら、ただちにコアリソースの初期設定を行います。
この章では、コンソールを使用してコアリソースを追加および設定する方法について説明します。この章は、次の節で構成されています。
コアリソースを効率的に設定するため、Directory Server と Active Directory の設定および操作方法を理解しておきます。
これらのリソースは、特に明記されていないかぎり、特定の順序で設定する必要はありません。ただし、製品に精通するまでは、この章で説明する順序で設定を行う方が時間の節約となり、エラーも防止できます。
この節では、配備に必要なコアリソースを設定する手順について説明します。
Sun Java System サーバーコンソールウィンドウには、管理の対象となるすべてのサーバーおよびリソースの一覧と、システムに関する情報が表示されます。
Sun Java System サーバーコンソールにまだログインしていない場合は、図 5–9 を参照し、ログインしてください。
「サーバーとアプリケーション」タブのナビゲーションツリーで、Identity Synchronization for Windows インスタンスが属するサーバーグループが含まれているホスト名のノードを選択します。
「サーバーグループ」ノードを展開し、「Identity Synchronization for Windows」ノードを選択します。
情報パネルの内容が、Identity Synchronization for Windows とシステムに関する情報に切り替わります。
パネルの右上端にある「開く」ボタンをクリックします。
パネルの下部にある「編集」ボタンをクリックすると、サーバー名と説明を編集できます。
コアのインストール時に指定した設定パスワードの入力を求められます。パスワードを入力し、「OK」をクリックします。
次のような Identity Synchronization for Windows コンソールが表示されます。
「タスク」(デフォルト): このタブでは、Sun と Windows のシステム間の同期を起動および停止します。サービスの起動と停止については、「同期の起動および停止」を参照してください。
同期サービスの起動と停止を、Windows サービスの開始と停止と混同しないでください。
Windows サービスを開始または停止するときは、Windows の「スタート」メニューから「コントロール パネル」->「管理ツール」->「コンピュータの管理」->「サービスとアプリケーション」->「サービス」の順にアクセスします。
「設定」パネルは、次のタブから構成されます。
「属性」: このタブでは、システム間で同期させる属性を指定します。
「属性の修正」: このタブでは、パスワード、属性変更、およびオブジェクトの無効化をシステム間で伝播させる方法を指定します。
「オブジェクトの作成」: このタブでは、新しく作成されたパスワードと属性をシステム間で伝播させる方法、および同期時に Identity Synchronization for Windows が作成するオブジェクトの初期値を指定します。
「オブジェクトの削除」: このタブでは、削除されたパスワードと属性をシステム間で伝播させる方法を指定します。
少なくとも 1 つの Sun Java System Directory Server ディレクトリソースと、少なくとも 1 つの Windows サーバーディレクトリソース (Active Directory または Windows NT) を設定します。手順については、次の節を参照してください。
同期対象のソースに基づいて、次の順序でディレクトリソースを作成します。
少なくとも 1 つの Sun Java System ディレクトリソースと、少なくとも 1 つの Windows ディレクトリソース (Active Directory、NT SAM のいずれかまたは両方) を設定してください。
ナビゲーションツリーで「ディレクトリソース」ノードを選択して「ディレクトリソース」パネルを表示します。
各 Sun Java System ディレクトリソースは、複数のサーバーから構成されるレプリケーション環境に配備できるコネクタおよびプラグインセットと関連付けられています。ディレクトリサーバーコネクタでは、Windows ディレクトリソースから優先サーバー (マスター) に変更を同期できます。優先サーバーがダウンした場合は、優先サーバーが復帰するまで、副サーバーリスト内に設定されている順序に従って、副サーバーに変更がフェイルオーバーされます。Directory Server レプリケーションでは、優先サーバー (マスター) から、トポロジ内に設定されているその他の優先副サーバーに変更がレプリケートされます。どのディレクトリサーバープラグインでも Windows ディレクトリソースによるパスワード妥当性チェックが可能であり、ユーザーはどのサーバーからでもパスワードを変更できます。
「新規 Sun ディレクトリソース」ボタンをクリックして、「Sun Java System ディレクトリソースの定義」ウィザードを起動します。
既知の設定ディレクトリソースセットが照会され、既存のルートサフィックス (ネーミングコンテキストとも呼ばれる) が一覧に表示されます。
デフォルトでは、製品がインストールされている設定ディレクトリが認識され、その設定ディレクトリで認識されているルートサフィックスが一覧に表示されます。
一覧から、ユーザーが配置されているルートサフィックスを選択します。複数のルートサフィックスが表示される場合は、ユーザーが配置されているルートサフィックスを選択します。「次へ」をクリックします。
同期対象のルートサフィックスが、Identity Synchronization for Windows に登録されている設定ディレクトリと関連付けられていない場合は、次の手順に従って新しい設定ディレクトリを指定します。
「設定ディレクトリ」ボタンをクリックし、新しい設定ディレクトリを指定します。
「設定ディレクトリ」ダイアログボックス (手順 3) が表示されたら、「新規」ボタンをクリックして「新規設定ディレクトリ」ダイアログボックスを開きます。
次の情報を入力し、「OK」をクリックします。変更が保存され、ダイアログボックスが閉じます。
「ホスト」: 完全修飾ホスト名を入力します。
例: machine1.example.com
「ポート」: 有効な未使用の LDAP ポート番号を入力します。(デフォルトは 389)
Identity Synchronization for Windows で設定ディレクトリとの通信に SSL (Secure Socket Layer) を使用する場合は、「このポートに SSL を使用する」ボックスにチェックマークを付けます。
「ユーザー DN」: 管理者の (バインド) 識別名を入力します。たとえば、uid=admin,ou=Administrators,ou=TopologyManagement,o=NetscapeRoot のように指定します。
「パスワード」: 管理者のパスワードを入力します。
指定された設定ディレクトリが照会され、そのディレクトリが管理するすべてのディレクトリサーバーが特定されます。
Identity Synchronization for Windows では、Sun Java System Directory Server ソースごとに 1 つのルートサフィックスのみがサポートされます。
設定ディレクトリの編集と削除
「設定ディレクトリ」ダイアログボックスでは、次のように、設定ディレクトリの一覧を管理することもできます。
一覧から設定ディレクトリを選択し、「編集」ボタンをクリックします。「設定ディレクトリの編集」ダイアログが表示され、ホスト、ポート、セキュリティー保護されたポート、ユーザー名、パスワードの各パラメータを変更できます。
一覧から設定ディレクトリを選択して「削除」をクリックすると、そのディレクトリが一覧から削除されます。
「OK」をクリックして「設定ディレクトリ」ダイアログボックスを閉じます。新しく選択した設定ディレクトリのルートサフィックスが一覧に表示されます。
Directory Server ではデフォルトで、 マシンの DNS ドメインエントリのコンポーネントに対応するプレフィックスを持つルートサフィックスが作成されます。次の形式のサフィックスが使用されます。
dc=your_machine’s_DNS_domain_name
つまり、マシンのドメインが example.com であれば、サーバーのサフィックスを dc=example, dc=com に設定するようにします。選択したサフィックスで命名するエントリは、ディレクトリ内にすでに存在している必要があります。
ルートサフィックスを選択し、「次へ」をクリックします。
「優先サーバーの指定」パネルが表示されます (「Sun Java System ディレクトリソースの作成」を参照)。
Identity Synchronization for Windows は、優先 Directory Server を使用して、Directory Server マスターに加えられた変更を検出します。優先サーバーは、Windows システムで加えられた変更が Sun Java System Directory Server システムに適用される一次的な場所としても機能します。
優先マスターサーバーに障害が発生した場合は、優先サーバー (マスター) がオンラインに復帰するまで、副サーバーに変更を格納できます。
「既知のサーバーの選択」オプションを選択し、ドロップダウンリストからサーバー名を選択します。
リストには、稼働している Directory Server のみが表示されます。サーバーが一時的にダウンしている場合は、「ホスト名とポートを入力してサーバーを指定」オプションを選択し、サーバー情報を手動で入力します。
Directory Server が通信に SSL を使用するように設定する場合は、「セキュア通信に SSL を使用」ボックスを有効にします。ただし、この機能を有効にすると、インストール後に追加の設定手順が必要になります。詳細については、「Directory Server での SSL の有効化」を参照してください。
「ホスト名とポートを入力してサーバーを指定」オプションを選択し、サーバーのホスト名とポートを各テキストフィールドに入力します。
指定したポートで SSL を使用する場合は、「このポートに SSL を使用する」チェックボックスにチェックマークを付けます。
「次へ」をクリックして「二次サーバーを指定します。」パネルを表示します。
副サーバーを追加、編集、または削除できます。
副 Directory Server を指定するには、一覧からサーバー名を選択し、「次へ」をクリックします。
指定する Directory Server が稼働していない場合、サーバー名は一覧に表示されません。
Sun ディレクトリソースの優先サーバーと副サーバーの両方に、同じホスト名とポートを使用しないでください。
セキュリティー保護されたポート機能を有効にすると、インストール後に追加の設定手順が必要になります。詳細については、「Directory Server での SSL の有効化」を参照してください。
副サーバーを指定しない場合は、「次へ」をクリックしてください。
セキュリティーで保護された SSL 通信を使用する場合は、次の注意を読み、どちらか一方または両方のオプションにチェックマークを付けます。
ユーザーバインドまたはパスワード変更を行う各 Directory Server (マスター、レプリカ、またはハブ) にディレクトリサーバープラグインをインストールします。
ディレクトリサーバープラグインでパスワードと属性を Active Directory と同期させる場合は、ユーザーとそのパスワードを検索するために、プラグインを Active Directory にバインドします。また、プラグインによって、セントラルログと Directory Server のログにログメッセージが書き込まれます。デフォルトでは、これらの通信に SSL は使用されません。
チャネル通信のみを暗号化する場合、またはチャネル通信を暗号化し、証明書を使用して Directory Server とディレクトリサーバーコネクタの間で参加者の ID を確実に検証するには、「信頼できる SSL の証明書を要求」ボックスにチェックマークを付けます。
証明書を信頼しない場合は、チェックマークを外します。
Active Directory ディレクトリサーバープラグインと Active Directory の間の通信にセキュリティーで保護された SSL を使用する場合は、「プラグインと Active Directory の通信に SSL を使用」ボックスにチェックマークを付けます。
これらの機能を有効にすると、インストール後に追加設定が必要になります。「Directory Server での SSL の有効化」を参照してください。
各ディレクトリサーバープラグインとコネクタのいずれかまたは両方の証明書データベースに追加する証明書は、idsync certinfo コマンド行ユーティリティーを使用して確認できます。「certinfo の使用」を参照してください。
主 Directory Server と副 Directory Server がマルチマスターレプリケーション (MMR) 配備の一部である場合は、付録 E 「レプリケートされた環境での Identity Synchronization for Windows のインストールの注意点」を参照してください。
「拡張セキュリティーオプションの指定」パネルの設定が完了したら、「完了」をクリックします。
ナビゲーションツリーの「ディレクトリソース」の下に、選択したディレクトリソースが追加され、「Directory Server の準備を直ちに行いますか ?」ダイアログボックスが表示されます。
Identity Synchronization for Windows で使用できるように Directory Server を準備します。この作業は今実行しても、あとで実行してもかまいません。ただし、コネクタをインストールする前に Directory Server の準備を完了してください。コネクタのインストール手順については、第 7 章「コネクタのインストール」を参照してください。
Directory Server の準備をすぐに行う場合は「はい」をクリックしてウィザードを起動し、「Sun ディレクトリソースの準備」に進みます。
この作業をあとで行う場合は「いいえ」をクリックし、「Active Directory ソースの作成」に進みます。
この節では、Identity Synchronization for Windows で使用できるように Sun ディレクトリソースを準備する方法について説明します。
Directory Server の準備では次の作業を行います。
優先ホストで使用できるコネクタユーザーとユーザーアクセス制御インスタンスを作成する
コンソールを使用する代わりに idsync prepds コマンド行ユーティリティーを使用して Directory Server を準備することもできます。詳細については、「prepds の使用」を参照してください。
idsync prepds コマンド行ユーティリティーを使用して Directory Server を準備するには、使用するホストとサフィックスの把握とディレクトリマネージャーの資格が必要になります。
Directory Server の準備には、「Directory Server の準備」ウィザードを使用できます。
このウィザードにアクセスするには、次のいずれかの方法を使用します。
「Directory Server の準備を直ちに行いますか ?」ダイアログボックスが表示されたときに「はい」ボタンをクリックします。
「設定」タブの「Sun ディレクトリソース」パネルで「Directory Server の準備」ボタンをクリックします。
ディレクトリマネージャーアカウントの次の資格を入力します。
「ディレクトリマネージャーユーザー名」
「ディレクトリマネージャーパスワード」
副ホストを使用している場合は (MMR 構成)、「二次ホスト」オプションが設定可能になるので、これらのホストの資格も指定します。
入力が完了したら、「次へ」をクリックして「準備設定の指定」パネルを表示します。
警告メッセージを読み、Directory Server インデックスをすぐに作成するか、あとで作成するかを決めます。
データベースのサイズによっては、この処理に少し時間がかかることがあります。
データベースが読み取り専用モードの場合は、データベース内の情報を更新できません。
データベースをオフラインにすると、インデックスを高速に作成できます。
インデックスをすぐに作成するときは、「データベース <データベース名> のインデックスの作成」ボックスにチェックマークを付け、「次へ」をクリックします。
インデックスをあとで (手動またはもう一度ウィザードを実行して) 作成する場合は、「データベース <データベース名> のインデックスの作成」ボックスのチェックマークを外し、「次へ」をクリックします。
「準備状態」パネルが表示され、Directory Server の準備の進捗状況に関する情報が示されます。
メッセージ区画の下部に「成功」メッセージが表示されたら、「完了」をクリックします。
エラーメッセージが表示された場合は、指摘された問題を解決してから、操作を続行します。詳細については、エラーログ (「状態」タブを参照) を確認してください。
コンソールの「設定」タブに戻ります。ナビゲーションツリーで Sun ディレクトリソースノードを選択し、「Sun ディレクトリソース」パネルを表示します。
このパネルから、次のタスクを実行できます。
「サーバーの編集」: このボタンをクリックすると、「Sun Java System ディレクトリソースの定義」パネルが表示され、サーバーの設定パラメータを変更できます。操作方法については、「Sun Java System ディレクトリソースの作成」を参照してください。
優先 Sun ディレクトリソースの旧バージョン形式の更新履歴ログデータベースを再作成する場合、デフォルトのアクセス制御設定が適用されるとディレクトリサーバーコネクタはデータベースの内容を読み込めません。
新しい旧バージョン形式の更新履歴ログデータベースのアクセス制御設定を復元するには、idsync prepds を実行するか、またはコンソールで適切な Sun ディレクトリソースを選択して「Directory Server の準備」ボタンをクリックします。
「Directory Server の準備」: Directory Server を準備するときは、このボタンをクリックし、「Sun ディレクトリソースの準備」の操作手順に従います。
インデックスが削除された場合や、旧バージョン形式の更新履歴ログデータベースを失った場合など、最初にサーバーを準備したあとで Directory Server に変更が生じたときは、サーバーの準備を再度実行できます。
同期対象の Sun Java System Directory Server エンタープライズ内のユーザー入力ごとに Directory Server ディレクトリソースを追加します。
完了したら、少なくとも 1 つの Windows ディレクトリソースを作成します。
Active Directory ディレクトリソースを作成する場合は、「Active Directory ソースの作成」に進みます。
Windows NT ディレクトリソースを作成する場合は、「Windows NT SAM ディレクトリソースの作成」に進みます。
Active Directory ディレクトリソースは、ネットワーク上で同期させる Windows ドメインごとに追加するようにしてください。
Active Directory の各配備には、すべての Active Directory ドメインに適用されるグローバル情報がすべて記録されたグローバルカタログが、少なくとも 1 つあります。グローバルカタログにアクセスするには、デフォルトのアクセス権を変更していなければ、通常のユーザーに与えられている権限で十分です。
各 Active Directory サーバーをグローバルカタログとし、配備に複数のグローバルカタログを持たせることもできますが、指定が必要なグローバルカタログの数は 1 つだけです。
ネットワークに Windows Active Directory サーバーが存在する場合は、次の手順を実行します。
ナビゲーションツリーで「ディレクトリソース」ノードを選択し、「ディレクトリソース」パネルの「新規 Active Directory ソース」ボタンをクリックします。
「Windows グローバルカタログ」ダイアログボックスが表示されます。
次の情報を入力し、「OK」をクリックします。
「ホスト」: Active Directory フォレストのグローバルカタログを保持するマシンの完全修飾ホスト名を入力します。
例: machine2.example.com
「このポートに SSL を使用する」: Identity Synchronization for Windows でグローバルカタログとの通信に SSL ポートを使用する場合は、このオプションを有効にします。
「ユーザー DN」 : 管理者の (バインド) 完全修飾識別名を入力します。スキーマを参照し、システムで使用できる Active Directory ドメインを特定できる資格があれば、どのような DN でも指定できます。
「パスワード」: 指定したユーザーのパスワードを入力します。
次のような「Active Directory ソースの定義」ウィザードが表示されます。
Active Directory グローバルカタログが照会されて、存在するその他のドメインが特定され、それらのドメインが「ドメイン」の一覧に表示されます。
一覧から名前を選択して Active Directory ドメインを指定し、「OK」をクリックします。
使用するドメインが一覧に表示されない場合は、次の手順を使用して、そのドメインを認識するグローバルカタログを追加します。
「グローバルカタログ」ボタンをクリックして「グローバルカタログ」ウィザードを表示します。
「新規」ボタンをクリックします。
「Windows グローバルカタログ」ダイアログボックスが表示されるので、グローバルカタログのホスト名と、ディレクトリソースの資格 (手順 2 を参照) を入力し、「OK」をクリックします。
「グローバルカタログ」の一覧に新しいグローバルカタログとポートが表示されます。カタログ名を選択し、「OK」をクリックします。
さらにグローバルカタログ (ドメイン) をシステムに追加する場合は、これらの手順を繰り返します。
完了したら、「ドメインの選択」区画の「次へ」ボタンをクリックします。
「クレデンシャルの指定」パネルが表示されたら、「ユーザー DN」フィールドの値を確認します
管理者の識別名が「ユーザー DN」フィールドに自動的に入力されない場合、または自動入力された管理者の資格を使用しない場合は、ユーザー DN とパスワードを手動で入力します。
Active Directory ソースを設定するときは、Active Directory コネクタが Active Directory との接続に使用できるユーザー名とパスワードを指定します。
コネクタには特定のアクセス権が必要です。次に示すように、最小限の権限は、同期の方向によって異なります。
Active Directory から Directory Server への同期フローのみを設定する場合は、Active Directory コネクタ用に指定するユーザーには多くの特別な権限は必要ありません。通常のユーザーに、同期対象ドメインで「すべてのプロパティーを読み取る」権限が追加されているだけで十分です。
Directory Server から Active Directory への同期フローを設定する場合は、同期によって Active Directory 内のユーザーエントリが変更されるため、コネクタユーザーにはもっと多くの権限が必要になります。この設定では、コネクタユーザーは「フルコントロール」権限を持つユーザーか、または管理者グループのメンバーにします。
「次へ」をクリックし、「ドメインコントローラの指定」パネルを開きます。
このパネルでは、指定したドメイン内で同期するコントローラを選択します。ドメインコントローラの概念は、Directory Server の優先サーバーに似ています。
選択している Active Directory ドメインに複数のドメインコントローラがあるときは、同期のプライマリドメインコントローラ FSMO (Flexible Single Master Operation) ロールを持つドメインコントローラを選択します。
デフォルトでは、すべてのドメインコントローラで行われたパスワード変更はただちにプライマリドメインコントローラ FSMO ロール所有者にレプリケートされ、このドメインコントローラを選択すると、パスワード変更はただちに Identity Synchronization for Windows によって Directory Server と同期されます。
配備によっては、PDC との間に大きなネットワーク「距離」があるために同期が大幅に遅れるので、Windows レジストリに AvoidPdcOnWan 属性が設定されることがあります。詳細については、Microsoft サポート技術情報の記事 232690 を参照してください。
ドロップダウンリストからドメインコントローラを選択します。
Identity Synchronization for Windows コネクタがドメインコントローラとの通信にセキュリティー保護されたポートを使用するように設定する場合は、「セキュア通信に SSL を使用」ボックスにチェックマークを付けます。
Microsoft Certificate Server を使用する場合は、Active Directory コネクタに CA 証明書が自動的にインストールされます。それ以外の場合は、Active Directory コネクタに CA 証明書を手動で追加します (「Active Directory コネクタでの SSL の有効化」を参照)。初期設定後にフローの設定を変更する場合にも、この手順を適用します。
完了したら、「次へ」をクリックします。
「フェイルオーバーコントローラの指定」パネルが表示されます (「Active Directory ソースの作成」を参照)。このパネルでは、任意の数のフェイルオーバードメインコントローラを指定できます。
Active Directory コネクタが通信する Active Directory ドメインコントローラ は 1 つだけであるため、Identity Synchronization for Windows では、そのコネクタで適用されるフェイルオーバーの変更はサポートされません。ただし、ディレクトリサーバープラグインは、Directory Server のパスワード変更を検証するときに、任意の数のドメインコントローラと通信します。
Directory Server は、Active Directory ドメインコントローラへの接続を試行し、そのドメインコントローラが使用できない場合は、指定されたフェイルオーバードメインコントローラへの接続を繰り返し試行します。
「フェイルオーバーサーバー」の一覧から 1 つまたは複数のサーバー名を選択するか、または「すべてを選択」ボタンをクリックして一覧のすべてのサーバーを指定し、「次へ」をクリックします。
「拡張セキュリティーオプションの指定」パネルが表示されます。
「信頼できる SSL の証明書を要求」オプションは、「ドメインコントローラの指定」パネルで「セキュア通信に SSL を使用」ボックスを有効にした場合にのみアクティブ (選択可能な状態) になります。
「信頼できる SSL の証明書を要求」ボックスが無効になっている場合 (デフォルト設定)、Active Directory コネクタは SSL 経由で Active Directory に接続し、Active Directory から渡された証明書が信頼されているかどうかを検証しません。
このオプションを無効にすると、Active Directory 証明書データベースに Active Directory 証明書をインストールする必要がなくなるので、セットアップ手順が簡単になります。
「信頼できる SSL の証明書を要求」ボックスを有効にすると、Active Directory コネクタは SSL 経由で Active Directory に接続し、Active Directory から渡された証明書が信頼されているかどうかを検証します。
コネクタの証明書データベースに Active Directory 証明書を追加してください。手順については、「Active Directory 証明書のコネクタの証明書データベースへの追加」を参照してください。
「拡張セキュリティーオプション」パネルの設定が完了したら、「完了」をクリックします。
ナビゲーションツリーの「ディレクトリソース」の下に、新しく指定した Active Directory ディレクトリソースが追加されます。
その Active Directory ディレクトリソースノードを選択し、「Active Directory ソース」パネルを表示します。
このパネルから、次のタスクを実行できます。
「コントローラの編集」: このボタンをクリックすると、「ドメインコントローラの指定」パネルが再度開き、ドメインコントローラの設定パラメータを変更できます。操作方法については、「Active Directory ソースの作成」を参照してください。
「再同期間隔」: Active Directory コネクタが変更を確認する頻度を指定します。(デフォルトは 1000 ミリ秒)
「ディレクトリソースのクレデンシャル」: 指定されているユーザー DN とパスワードのいずれかまたは両方を変更します。
この節では、Identity Synchronization for Windows を配備できる Windows NT SAM ディレクトリソースの作成方法を説明します。
ナビゲーションツリーで「ディレクトリソース」ノードを選択し、「新規 Windows NT SAM ディレクトリソース」ボタンをクリックします。
「Windows NT SAM ディレクトリソースの定義」パネルが表示されたら、指示に従って Windows NT ドメイン名を確認し、「ドメイン」フィールドに一意の NT ディレクトリソースドメイン名を入力します。完了したら、「次へ」をクリックします。
「プライマリドメインコントローラのコンピュータ名の指定」パネルが表示されたら、指示に従って プライマリドメインコントローラのコンピュータ名を確認し、「コンピュータ名」フィールドにその情報を入力します。
「完了」をクリックします。
ナビゲーションツリーの「ディレクトリソース」の下に、新しく指定した Windows NT SAM ディレクトリソースが追加されます。新しいディレクトリソースのノードを選択して「Windows NT SAM ディレクトリソース」パネルを表示します。
このパネルから、次のタスクを実行できます。
「編集」: このボタンをクリックすると、「ドメインコントローラの指定」パネルが再度開き、ドメインコントローラの設定パラメータを変更できます。操作方法については、「Active Directory ソースの作成」を参照してください。
「再同期間隔」: Windows NT に加えられた変更を Identity Synchronization for Windows が確認する頻度を指定します。(デフォルトは 1000 ミリ秒)
ネットワーク上の Windows NT マシンごとに Windows NT ディレクトリソースを追加します。
Windows NT SAM ディレクトリソースの作成が完了したら、同期対象にする属性の選択とマッピングを行うことができます。「ユーザー属性の選択とマッピング」に進みます。
Directory Server と Windows のディレクトリソースの作成と設定が完了したら、同期対象にするユーザー属性を選択し、それらの属性をシステム間でマッピングします。
この節で説明する内容は次のとおりです。
次の 2 種類の属性があります。
重要: ユーザーエントリの作成または変更時にシステム間で同期される属性。
作成: ユーザーエントリの作成時にのみシステム間で同期される属性。
各プラットフォームで使用されるスキーマによっては、一部の作成属性は必須となります。これらの属性は、パスワードの同期に必要とされるので、Active Directory サーバー上で user オブジェクトクラスエントリを正しく作成するために、Directory Server 属性にマッピングします。
この節では、同期対象にするユーザー属性を選択する方法、およびそれらの属性を 1 対 1 の関係でマッピングする方法について説明します。この属性マッピングにより、Directory Server の属性を指定すると、Active Directory 環境と Windows NT 環境のいずれかまたは両方の対応する属性が表示され (Active Directory または Windows NT の属性を指定すると、Directory Server 環境の対応する属性が表示される)、対応する Windows 属性の値が同期されるようになります。
ナビゲーションツリーの最上部にある「Identity Synchronization for Windows」ノードを選択します。
グループ同期機能が有効になっている場合、Directory Server の uniquemember 属性と Active Directory の member 属性は内部的にマッピングされ、前の図のようにコンソールに表示されます。
「属性」タブを選択し、「新規」ボタンをクリックします。
「有効属性マッピングの定義」ダイアログボックスが表示されます。このダイアログボックスで、Directory Server から Windows システム (Active Directory と Windows NT のいずれかまたは両方) に属性をマッピングします。
どの作成属性が Directory Server (または Active Directory) の必須作成属性となるかは、Sun 側 (または Active Directory 側) のユーザーエントリに設定されているオブジェクトクラスによって異なります。
Directory Server のデフォルトのオブジェクトクラスには inetOrgPerson が自動的に使用され、Active Directory のスキーマはグローバルカタログの指定時に読み込まれます。そのため、デフォルトのスキーマを変更する場合以外は、「スキーマの読み込み」ボタンを使用しません。
デフォルトのスキーマソースを変更する場合は、「スキーマソースの変更」を参照してください。
Sun Java System の属性ドロップダウンリストから属性を選択し (たとえば、cn など)、それに対応する属性を Active Directory と Windows NT SAM のいずれかまたは両方の属性ドロップダウンメニューから選択します。
完了したら、「OK」をクリックします。
別の属性を指定する場合は、手順 2 〜 4 を繰り返します。
完了後の同期対象属性の表は、次の図のようになります。この図では、Directory Server の userpassword、cn、および telephonenumber 属性が、Active Directory の unicodepwd、cn、および telephonenumber 属性にマッピングされたことが示されています。
Identity Synchronization for Windows では、別の作成属性または重要属性を使用して、パラメータ化されたデフォルト属性値を作成できます。
パラメータ化されたデフォルト属性値を作成するには、式文字列内の既存の作成属性または重要属性の名前の前後にパーセント記号を付けます (%attribute_name%)。たとえば、homedir=/home/%uid% や cn=%givenName% %sn% のようにします。
これらの属性値を作成した場合、次のように使用できます。
1 つの作成式で複数の属性を使用できます (cn=%givenName% %sn%)。
A=0 の場合、B はデフォルト値を 1 つだけ持つことができます。
パーセント記号を通常の文字として使用する場合は、円記号 (\\) を使用します 。たとえば diskUsage=0\\% のようにします。
循環式の置換条件を持つ式を使用しないでください。たとえば、description=%uid% を指定する場合は、uid=%description% を使用できません。
グループ同期が有効になっている場合は、次のことを確認してください。
Active Directory でサポートされる作成式は cn=%cn% です。
作成式はユーザーとグループの両方に共通であるため、作成式には、グループオブジェクトクラスに属する有効な属性名も含めます。
例: Directory Server では、属性 sn は groupofuniquenames オブジェクトクラスに属しません。したがって、グループオブジェクトでは、次の作成式は無効になります。(ただし、ユーザーオブジェクトでは正しく機能する。)
cn=%cn%.%sn%
作成式に使用される属性には、作成されるすべてのユーザー/グループエントリの値を指定します。この値をコンソールで指定できない場合は、コマンド行インタフェースを使用して指定できます。
デフォルトのスキーマソースが自動的に設定されますが、デフォルトスキーマを変更できます。
「有効属性マッピングの定義」ダイアログボックスで、「スキーマの読み込み」ボタンをクリックします。
「スキーマソースの選択」パネルが表示されます。
このパネルでは、スキーマの読み込み元の Sun Java System Directory Server スキーマサーバーを指定しますこのスキーマには、システムで使用できるオブジェクトクラスが含まれており、これらのオブジェクトクラスによって、ユーザーがシステムで使用できる属性が定義されます。
「Sun Java System ディレクトリスキーマサーバー」フィールドには、デフォルトの設定ディレクトリが自動的に入力されます。
別のサーバーを選択する場合は、「選択」ボタンをクリックします。
「Sun スキーマホストの選択」ダイアログボックスが表示されます。このダイアログボックスには、ディレクトリソースの管理情報を集めた設定ディレクトリの一覧が表示されます。
このダイアログボックスでは、次の操作を実行できます。
新しい設定ディレクトリを作成して一覧に追加する。
「新規」をクリックし、「新規設定ディレクトリ」ダイアログボックスが表示されたら、ホスト、ポート、ユーザー DN、およびパスワードを指定します。完了したら、「OK」をクリックします。
既存のディレクトリを編集する。
「編集」をクリックし、「設定ディレクトリの編集」ダイアログボックスが表示されたら、ホスト、ポート、ユーザー DN、パスワードのいずれかまたはすべてを変更できます。完了したら、「OK」をクリックします。
ディレクトリを一覧から削除する。
一覧からディレクトリ名を選択し、「削除」ボタンをクリックします。
一覧からサーバーを選択し、「OK」をクリックします。通常、スキーマソースには Sun 同期ホストの 1 つを選択することをお勧めします。
「次へ」ボタンをクリックして、「Structural および Auxiliary オブジェクトクラスの選択」パネルを表示します。
このパネルでは、次のように、同期対象にするオブジェクトクラスを指定します。
Structural オブジェクトクラス: 選択した Directory Server から作成または同期されるエントリごとに、少なくとも 1 つの Structural オブジェクトクラスを指定します。
Auxiliary オブジェクトクラス: このオブジェクトクラスでは、選択した構造クラスを補強し、同期に関する追加属性を指定します。
Structural オブジェクトクラスと Auxiliary オブジェクトクラスを指定するには 、次の手順に従います。
Structural オブジェクトクラスをドロップダウンリストから選択します。(デフォルトは inetorgperson)
「利用可能な Auxiliary オブジェクトクラス」の一覧で 1 つまたは複数のオブジェクトクラスを選択し、「追加」をクリックして選択項目を「選択された Auxiliary オブジェクトクラス」の一覧に移動します。
選択されたオブジェクトクラスによって、重要属性または作成属性として選択できる Directory Server ソース属性が決まります。また、必須作成属性も、ここで選択されたオブジェクトクラスによって決まります。
「選択された Auxiliary オブジェクトクラス」の一覧から選択項目を削除するには、そのオブジェクトクラス名を選択し、「削除」ボタンをクリックします。
完了したら、「完了」をクリックします。スキーマおよび選択したオブジェクトクラスが読み込まれます。
同期対象のユーザー属性の選択とマッピングが完了したら、Directory Server システムと Windows システム間で属性の作成、変更、および削除を伝播させる方法 (フロー) を Identity Synchronization for Windows に指示します。
デフォルトでは、Identity Synchronization for Windows は次のように動作します。
Windows から Sun Java System Directory Server への同期のみを行う
パスワード属性のみ同期を行う (前の節で重要属性を指定している場合を除く)
エントリの作成または削除の同期を行わない
ここでは、システム間での属性の同期を設定する方法について説明します。ここで説明する内容は、次のとおりです。
Directory Server 環境から Windows サーバーに作成を伝播させる場合は、「オブジェクト作成は Sun Java System Directory Server から Windows に伝播される」にチェックマークを付けます。
Windows 環境から Directory Server に作成を伝播させる場合は、「オブジェクト作成は Windows から Sun Java System Directory Server に伝播される」にチェックマークを付けます。
双方向のフローを設定する場合は、両方のオプションにチェックマークを付けます。
システム間でユーザーの作成を伝播させない場合は、どちらのオプションにもチェックマークを付けません。(デフォルト)。
システム間で同期させる作成属性を追加、編集、または削除するには、選択されているオプションの下にある「作成属性」ボタンをクリックします。
「作成属性のマッピングと値」ダイアログボックスが表示されます。
どちらかのダイアログボックスを使用して、新しい作成属性の指定、既存の属性の編集または削除を行うことができます。詳細については、「新しい作成属性の指定」を参照してください。
ユーザーオブジェクトクラスの必須属性に関するスキーマ制約を満たすために、ユーザー作成時にシステム間で伝播させる追加の属性を指定する場合があります。
「ユーザー属性の選択とマッピング」で説明したように、必須属性を変更属性として指定した場合は、追加の属性は必要ありません。
次に、作成属性を追加し、Active Directory から Directory Server にマッピングする方法について説明します。Directory Server から Windows、または Windows から Directory Server に伝播させる作成属性を追加してマッピングする場合も、同様の手順になります。
「作成属性のマッピングと値」ダイアログボックスの「新規」ボタンをクリックします。
「作成属性のマッピングと値の定義」ダイアログボックスが表示されます。
「Active Directory 属性」ドロップダウンリストから属性値を選択します。
Identity Synchronization for Windows では、属性が複数の値を受け付ける場合は、複数の値で属性を初期化できます。
たとえば、会社に 3 つのファックス番号がある場合、Sun Java System Directory Server と Active Directory の両方に facsilimiletelephonenumber 属性を指定して、3 つの番号を指定できます。
どの属性が複数の値を受け付けるかを把握しておきます。複数の値を受け付けない属性に複数の値を追加しようとすると、プログラムによるオブジェクト作成の実行時にエラーが発生します。
「新しい値」フィールドに値を入力し、「追加」をクリックします
一覧に属性値が追加されます。複数の属性値を追加する場合は、必要な回数だけこの手順を繰り返します。
属性を Directory Server にマッピングするには、「Sun Java System ディレクトリ属性」ドロップダウンリストから属性名を選択します。
完了したら、「OK」をクリックします。
この例では、完了後の作成属性とマッピングの表は次の図のようになります。
別の属性を指定する場合は、同じ手順を繰り返します。
「作成属性のマッピングと値」ダイアログボックスが表示されたら、表から属性を選択し、「編集」ボタンをクリックします。
「作成属性のマッピングと値の定義」ダイアログボックスが表示されます。
ドロップダウンメニューを使用して、Directory Server と Active Directory (または Windows NT) の間の既存のマッピングを変更します。
たとえば、Sun Java System Directory Server の homephone 属性が Active Directory の othertelephone 属性にマッピングされている場合に、Active Directory 属性のドロップダウンリストを使用して、マッピング対象を homephone 属性に変更できます。
完了したら、「OK」をクリックします。変更が適用され、「作成属性のマッピングと値の定義」ダイアログボックスが閉じます。
もう一度「OK」をクリックして「作成属性のマッピングと値」ダイアログボックスを閉じます。
「作成属性のマッピングと値」ダイアログボックスが表示されたら、表から属性を選択し、「削除」ボタンをクリックします。
属性がただちに表から削除されます。
完了したら、「OK」をクリックして「作成属性のマッピングと値」ダイアログボックスを閉じます。
Sun システムと Windows システムの間でユーザー属性とパスワードの変更を伝播させる方法 (フロー) を制御する場合は、「属性の修正」タブを使用します。
このタブでは、次の設定を行います。
Directory Server と Windows のディレクトリソース間で変更を伝播させる方向を指定する。
Directory Server と Active Directory のソース間で、オブジェクトの有効化と無効化 (Active Directory では有効と無効) を同期させるかどうかを制御し、ユーザーアカウントを有効および無効にする方法を指定します。
アカウントの状態を Windows NT ディレクトリソースと同期させることはできません。
次のいずれかのボタンを選択することで、Directory Server 環境と Windows 環境で加えられた変更をシステム間で伝播させる方法を制御します。
「属性の修正は Sun Java System Directory Server から Windows に伝播される」 : Directory Server 環境で加えられた変更が Windows サーバーに伝播します。
「属性の修正は Windows から Sun Java System Directory Server に伝播される」 (デフォルト): Windows 環境で加えられた変更が Directory Server に伝播します。
「属性の修正は両方向に伝播される」: 変更は環境間で双方向に伝播します。
「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けると、Directory Server と Active Directory のソース間でオブジェクトの有効化と無効化 (Active Directory では有効と無効) を同期させることができます。
有効化と無効化を Windows NT ディレクトリソースと同期させることはできません。
「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けます。
次のいずれかのオプションを有効にして、Identity Synchronization for Windows でオブジェクトの有効化と無効化を検出し、同期させる方法を指定します。
「Directory Server の nsAccountLock 属性の直接修正」
これらのオプションは相互に排他的です。
Directory Server コンソールまたはコマンド行ツールを使用してオブジェクトを有効化または無効化する場合は、このオプションを選択します。このオプションを選択すると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。また、ほかのロール (cn=nsdisabledrole, database suffix など)、またはほかのロール内に入れ子にされたロール (cn=nsdisabledrole, database suffix や cn=nsmanageddisabledrole, database suffix など) を使用して無効化されたオブジェクトも検出できなくなります。
Identity Synchronization for Windows では、オブジェクトを有効にする場合、nsroledn 属性から cn=nsmanageddisabledrole, database suffix 値が削除されます。
オブジェクトを無効にする場合は、nsroledn に cn=nsmanageddisabledrole, database suffix 値が追加されます。
「Directory Server ツールと相互運用」オプションを有効にすると、Identity Synchronization for Windows では nsAccountLock 属性を直接設定または削除できなくなります。さらに、ほかのロールによって無効にされたオブジェクトも検出できなくなります。
たとえば、cn=nsdisabledrole, database suffix などのロール、またはほかのロール内で入れ子にされている cn=nsdisabledrole, database suffix や cn=nsmanageddisabledrole, database suffix などのロールがこれに該当します。
「Directory Server ツールとの相互運用」の表に、「Directory Server ツールと相互運用」オプションを有効にした場合に Identity Synchronization for Windows がオブジェクトの有効化と無効化どのようにを検出し、同期させるかを示します。
表 6–1 Directory Server ツールとの相互運用
有効化 |
無効化 |
Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールが削除された場合にのみ有効化を検出します。 |
Identity Synchronization for Windows は、エントリの nsroledn 属性に cn=nsmanageddisabledrole, database suffix ロールが含まれる場合にのみ無効化を検出します。 |
Active Directory からのオブジェクト有効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole, database suffix ロールを削除することでオブジェクトを有効化します。 |
Active Directory からのオブジェクト無効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトに cn=nsmanageddisabledrole, database suffix ロールを追加することでオブジェクトを無効化します。 |
Directory Server の有効化と無効化が Directory Server のオペレーショナル属性 nsAccountLock に基づく場合は、この方法を使用します。
「Directory Server の nsAccountLock 属性を直接修正」オプションを有効にすると、Identity Synchronization for Windows では、Directory Server コンソールまたはコマンド行ユーティリティーを使用して有効化または無効化されたオブジェクトが検出されなくなります。
この属性は、オブジェクトの状態を次のように制御します。
nsAccountLock=true の場合、オブジェクトは無効化されており、ユーザーはログインできません。
nsAccountLock=false の場合 (または値がない場合)、オブジェクトは有効化されています。
「Directory Server の nsAccountLock 属性の直接修正」の表に、「Directory Server の nsAccountLock 属性を直接修正」オプションを有効にした場合に Identity Synchronization for Windows がオブジェクトの有効化と無効化をどのように検出し、同期させるかを示します。
有効化 |
無効化 |
Identity Synchronization for Windows は、nsAccountLock 属性が true に設定されている場合にのみ、無効化されたオブジェクトを検出します。 |
Identity Synchronization for Windows は、nsAccountLock 属性に値がないか、または false に設定されている場合にのみ、有効化されたオブジェクトを検出します。 |
Active Directory からのオブジェクト無効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を削除します。 |
Active Directory からのオブジェクト有効化の同期時に、Identity Synchronization for Windows は nsAccountLock 属性を true に設定します。 |
Directory Server の有効化と無効化が Sun Java System Access Manager (従来の Sun JES Identity Server) などの外部アプリケーションによって排他的に制御される場合は、この方法を使用します。
Directory Server のカスタムメソッドを設定する場合は、次の方法を指定します。
外部アプリケーションによって Directory Server 内のオブジェクトが有効化または無効化されたことを Identity Synchronization for Windows が検出する方法。
Active Directory から Directory Server への同期時に、Identity Synchronization for Windows がオブジェクトを有効化または無効化する方法。
「Directory Server のカスタムメソッドを使用」オプションを有効にすると、ディレクトリへのアクセスが Access Manager などの外部アプリケーションによって制御されている場合を除き、Identity Synchronization for Windows はオブジェクトをディレクトリからロックアウトできなくなります。
有効化と無効化のカスタムメソッドを設定するには、「設定」ボタンをクリックして「Directory Server のカスタムメソッドの設定」ダイアログボックスを表示します。
このダイアログボックスには次の機能があります。
「アクティブ化状態の属性」ドロップダウンリスト: このリストでは、Directory Server と Active Directory の間で有効化と無効化を同期するときに Identity Synchronization for Windows が使用する属性を指定します。
このリストには、現在選択している Directory Server の Structural オブジェクトクラスと Auxiliary オブジェクトクラスのスキーマに含まれるすべての属性が表示されます。
「値」と「状態」の表: この表では、選択した属性と関連付けられている値がどのような場合に有効化または無効化されるかを指定します。
「値」列: この列では、「新規」ボタンと「削除」ボタンを使用して、有効化または無効化の状態を示すために使用される属性値を指定します。
この列には、次の 2 つの値が自動的に表示されます。
「値なし」: 有効化状態属性に値がない場合。
「ほかのすべての値」: 有効化状態属性に値があるが、その値が、値と状態の表に指定されていない場合。
「状態」列: この列では、同じ行の「値」のエントリが一致した場合に、オブジェクトを有効とみなすか無効とみなすかを指定します。
値 |
状態 |
結果 |
値なし |
有効 |
属性が存在しないか、または値を持たない場合に、有効なオブジェクトとして検出されます。 |
無効 |
属性が存在しないか、または値を持たない場合に、無効なオブジェクトとして検出されます。 |
|
user-defined 値 |
有効 |
属性が user-defined 属性を持つ場合に、有効なオブジェクトとして検出されます。 |
無効 |
属性が user-defined 属性を持つ場合に、無効なオブジェクトとして検出されます。 |
|
ほかのすべての値: |
有効 |
属性が持つ値が表に指定されていない場合に、有効なオブジェクトとして検出されます。 |
無効 |
属性が持つ値が表に指定されていない場合に、無効なオブジェクトとして検出されます。 |
「新規」ボタン: 「値」列に新しい値を追加する場合は、このボタンをクリックします。
「削除」ボタン: 「値」列からエントリを削除する場合は、そのエントリを選択して、このボタンをクリックします。
「有効化される値」および「無効化される値」ドロップダウンリスト : この 2 つのリストでは、Identity Synchronization for Windows がオブジェクトの状態を設定するときに使用する値を指定します。
有効化と無効化の同期
「アクティブ化状態の属性」ドロップダウンリストから属性を選択します。
「新規」ボタンをクリックし、表の「値」列に値を追加します。
「値」列の各エントリと同じ行の「状態」列をクリックし、表示されるドロップダウンリストから「有効」または「無効」を選択します。
たとえば、Access Manager を使用している場合は、次のように指定します。
「アクティブ化状態の属性」ドロップダウンリストから inetuserstatus 属性を選択します。
「新規」ボタンをクリックし、表の「値」列に active、inactive、および deleted の各属性値を入力します
各値に対応する「状態」列をクリックし、次のように、「有効」または「無効」を選択します。
「値なし」: 有効
「active」: 有効
「inactive」: 無効
「deleted」: 無効
「ほかのすべての値」: 無効
「Directory Server のカスタムメソッドの使用」では、この inetuserstatus の例に基づいて、「Directory Server のカスタムメソッドを使用」オプションを有効にした場合に Identity Synchronization for Windows が有効化と無効化の検出と同期を行う方法を説明します。
値 |
状態 |
結果 |
値なし |
有効 |
inetuserstatus 属性が存在しないか、または値を持たない場合に、有効なオブジェクトとして検出されます。 |
active |
有効 |
属性値が active の場合に、有効なオブジェクトとして検出されます。 |
inactive |
無効 |
属性値が inactive の場合に、無効なオブジェクトとして検出されます。 |
deleted |
無効 |
属性値が deleted の場合に、無効なオブジェクトとして検出されます。 |
ほかのすべての値: |
無効 |
属性が持つ値が表に指定されていない場合に、無効なオブジェクトとして検出されます。 |
有効化と無効化の設定
「値」と「状態」の表を設定すると、「有効化される値」と「無効化される値」のドロップダウンリストが自動的に次のように生成されます。
「有効化される値」リストには、状態が「有効」のすべての値が含まれます (「値なし」、「active」など)。
「無効化される値」リストには、状態が「無効」のすべての値が含まれます (「inactive」 、「deleted」 など)。
「ほかのすべての値」の値はどちらのリストにも含まれません。
Active Directory から同期されるオブジェクトを Identity Synchronization for Windows が有効化または無効化する方法を指定するには、「有効化される値」と「無効化される値」のいずれかまたは両方のドロップダウンリストから値を選択します。
「有効化される値」: オブジェクトの有効化状態を制御します。
「値なし」: オブジェクトに「active」の値が含まれていない場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。
「active」: オブジェクトに「active」の値が含まれている場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定します。
「無効化される値」: オブジェクトの有効化状態を制御します。
「inactive」または「deleted」: Identity Synchronization for Windows は Directory Server 側のオブジェクトの状態を無効に設定します。
「なし」: 有効な設定ではありません。値を選択してください。
無効化される値を指定してください。指定しない場合、設定は無効となります。
設定が完了した「Directory Server のカスタムメソッドの設定」ダイアログボックスの図を次に示します。
Directory Server と Active Directory 間のグループ同期を有効にすると、グループの作成、グループの削除、およびグループ内のメンバーシップの変更を同期できます。
Windows NT ディレクトリソースでは、グループ同期はサポートされません。
「グループ」タブで、「グループ同期を使用可能にする」チェックボックスにチェックマークを付けます。
次のいずれかのグループ同期方法を選択し、Identity Synchronization for Windows でさまざまなグループの検出と同期を行う方法を指定します。
ドメイングローバルセキュリティー
ドメイングローバル配布
ドメイングローバルセキュリティー、ドメイングローバル配布、および Active Directory の詳細については、Microsoft Active Directory のドキュメントを参照してください。
グループ同期に関する属性を手動でマッピングする必要はありません。「保存」をクリックすると、属性は自動的にマッピングされます。
userpassword 属性と unicodepwd 属性のマッピングを変更しないでください。
グループ同期を無効にするには、「グループ同期を使用可能にする」チェックボックスのチェックマークを外します。
または、コマンド行ツールの idsync groupsync を使用してグループ同期の有効と無効を切り替えることもできます。詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。
アカウントのロックアウト機能を有効にするには、次の操作を行います。
Active Directory と Directory Server の両方に同じパスワードポリシーを設定する。
アカウントのロックアウトを有効にする。
Directory Server と Active Directory で異なっている属性を対応付ける。
Identity Synchronization for Windows では、Active Directory と Directory Server の間で次のイベント同期を行うことができます。
ロックアウトイベントの同期 (Active Directory から Directory Server へ)
ロックアウトイベントの同期 (Directory Server から Active Directory へ)
手動でのロックアウト解除イベントの同期 (Active Directory から Directory Server へ)
手動でのロックアウト解除イベントの同期 (Directory Server から Active Directory へ)
Windows NT ディレクトリサーバーでは、アカウントのロックアウトとロックアウト解除の同期はサポートされません。
アカウントのロックアウト機能を有効にする前に、両方のコンポーネントで属性 lockoutDuration を同じ値に設定してください。また、分散セットアップに関係するすべてのシステム間で時刻が一致していることも確認してください。時刻が一致していないと、lockoutDuration の設定がシステム間の時刻差よりも短い場合に、ロックアウトイベントが期限切れとなる可能性があります。
Active Directory と Directory Server の両方に同じパスワードポリシーを設定してください。たとえば、Active Directory のパスワードポリシーで永続的なロックアウトが指定されている場合は、Directory Server でも同じパスワードポリシーを設定するようにしてください。
Directory Server と Active Directory の間のアカウントロックアウトの同期を有効にします。
アカウントのロックアウトを有効にするために、Directory Server の pwdaccountlockedtime 属性と Active Directory の lockoutTime 属性を明示的にマッピングする必要はありません。Identity Synchronization for Windows の設定パネルの「アカウントのロックアウト」タブで、「アカウントロックアウト同期を有効にする」チェックボックスにチェックマークを付けます。
コマンド行ツールの idsync accountlockout を使用してアカウントロックアウトの同期の有効と無効を切り替えることもできます。詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。
Directory Server システムと Active Directory システムの間でユーザーエントリの削除を伝播させる方法を指定するには、「オブジェクトの削除」タブを使用します
Windows NT ではオブジェクト削除のフローを指定できません。
ナビゲーション区画の最上部にある「Identity Synchronization for Windows」ノードを選択し、「オブジェクトの削除」タブをクリックします
次のように削除のフローを有効または無効にします。
Sun Directory Server 環境から Active Directory サーバーに削除を伝播させる場合は、「オブジェクトの削除は Sun Java System Directory Server から Active Directory に伝播される」にチェックマークを付けます。
Active Directory 環境から Sun Directory Server に削除を伝播させる場合は、「オブジェクトの削除は Active Directory から Sun Java System Directory Server に伝播される」にチェックマークを付けます。
双方向のフローを設定する場合は、両方のオプションにチェックマークを付けます。
システム間でユーザーの削除を伝播させない場合は、どちらのオプションにもチェックマークを付けません (デフォルト設定)。
同期ユーザーリスト (SUL) では、Active Directory と Sun Directory Server で同期の対象にするユーザーを指定します。SUL に指定されたすべてのエントリはコネクタを通過し、その SUL に設定されている制約と照合して評価されます。
各 SUL には 2 つの要素が含まれます。1 つは同期対象の Directory Server ユーザーを識別し、もう 1 つは同期対象の Windows ユーザーを識別します。
Directory Server のユーザーを複数の Active Directory ドメインと同期させる場合は、Active Directory ドメインごとに SUL を定義します。
定義のコンポーネント、複数の SUL を定義する方法、複数の SUL を処理する方法、複数の Windows ドメインのサポートを設定する方法など、SUL の定義と設定の詳細については、付録 D 「Identity Synchronization for Windows の同期ユーザーリストの定義と設定」を参照してください。
どちらの SUL 要素にも、同期対象のユーザーを識別するための 3 つの定義が含まれます。
ネーミング属性: 新規作成ユーザー (作成式) に使用される属性 (NT には該当しない)
ナビゲーションツリーで「同期リスト」ノードを選択し、「新規同期ユーザーリスト」ボタンをクリックします。
「同期ユーザーリストの定義」ウィザードが表示されます。
デフォルトでは、最初の同期ユーザーリストの名前は SUL1 になります。
デフォルトの名前をそのまま使用する場合は、「次へ」をクリックします。
別の名前を使用する場合は、「名前」フィールドに別の名前を入力してから、「次へ」をクリックします。
SUL 名には空白文字や句読文字を使用しないでください。
システム内で一意の名前を指定してください。
「Windows の条件の指定」パネルが表示されます。
ドロップダウンリストから Windows ディレクトリソースを選択します。
「完了」ボタンをクリックして SUL を作成したあとで、この SUL に含まれる Active Directory または Directory Server のディレクトリソースを編集することはできません。グループ同期機能が有効になっている場合、「Sun Java System Directory Server の条件の指定」パネルの作成式は uid=%uid% または cn=%cn% になります。
「ユーザーセットドメイン」は、同期対象となるすべてのユーザーのセットです。次のいずれかの方法で、「ユーザーセットドメイン」の「ベース DN」を入力します。
テキストフィールドに名前を入力します (たとえば、DC=example,DC=com)。
「参照」ボタンをクリックして「セットベース DN」ダイアログボックスを開き、ベース DN を探して選択します。
フィルタを使用して明示的に除外しないかぎり、指定したベース DN の下のすべてのユーザーがこの SUL に含まれます。
Windows NT マシンでは、ベース DN と作成式は使用できません。
「完了」ボタンをクリックして SUL を作成したあとで、この SUL に含まれる Active Directory または Directory Server のディレクトリソースを編集することはできません。グループ同期機能が有効になっている場合、「Sun Java System Directory Server の条件の指定」パネルの作成式は uid=%uid% になります。
等価フィルタ、プレゼンスフィルタ、または部分文字列フィルタを入力して、このベース DN 内で同期対象にするユーザーを指定できます。たとえば、複数の同期ユーザーリストで同じベース DN を使用する場合は、フィルタを使用してリストを区別できます。
等価フィルタの構文は、LDAP クエリの構文に似ています。ただし、等価部分文字列で使用できる文字は *、&、|、=、! だけです。たとえば、次のフィルタを使用して、SUL から管理者を除外できます。
(!(cn=Administrator))
「作成式」フィールドは自動的に生成されるはずです。
作成式は、新しいエントリが Active Directory から Directory Server に伝播するときに使用される親 DN とネーミング属性を定義します。
ユーザー属性の作成が Active Directory から Directory Server に伝播するように設定していない場合は、Sun のディレクトリで作成式を使用できません。詳細については、「オブジェクト作成のフローの指定」を参照してください。
作成式が指定されていない場合、または既存のエントリを変更する場合は、Windows Active Directory のすべての同期ユーザーリストに適用される作成式を入力できます。次にその例を示します。
cn=%cn% ,cl=users,dc=example,dc=com
作成式を変更する場合は、同期対象にする属性を選択します。必要に応じて、「オブジェクトの作成」タブに戻り、「作成属性」ボタンをクリックして、この属性の追加とマッピングを行ってください。
「次へ」をクリックして、Sun Java System Directory Server の条件を指定します。
「Sun Java System Directory Server の条件の指定」パネルが表示されたら、手順 2 〜 5 を繰り返して、Directory Server の条件を指定します。
「完了」ボタンをクリックして SUL を作成したあとで、この SUL に含まれる Active Directory または Directory Server のディレクトリソースを編集することはできません。
完了したら、「完了」をクリックします。
ナビゲーションツリーに新しい SUL ノードが追加され、「設定」タブに「同期リスト」パネルが表示されます。
ユーザーが複数のリストと一致する場合は、「ドメイン重複の解決」ボタンをクリックして 同期ユーザーリストの設定を定義します。
ネットワーク内の、Directory Server を除くすべてのディレクトリソースを格納する同期ユーザーリストを作成します。
設定が評価され、「設定の妥当性状態」ウィンドウが表示されます。
このパネルでは、設定が有効であるか、または修正が必要な設定上の問題があるかを確認します。
設定ディレクトリの情報が書き換えられ、システムマネージャーに通知されるため、設定の保存には数分かかることがあります。
システムマネージャー (コアコンポーネント) は、情報を必要とするコンポーネントに設定情報を配布します。
エラーがある状態では、設定を保存できません。
警告がある状態では、設定を保存できますが、保存前に警告を解消しておくことをお勧めします。
設定が有効であれば、「続行」をクリックして設定を保存します。
「コネクタのインストール方法」ダイアログボックスが表示され、Identity Synchronization for Windows のコネクタとサブコンポーネントのインストールに関する手順が示されます。
この一覧は、この時点で更新され、配備に応じてカスタマイズされた実行手順リストが表示されるようになっています 。(この時点までは、汎用の手順が示されていた。)実行手順リストへのアクセスと更新は、Identity Synchronization for Windows コンソールの「状態」タブでも行えます。
表示される情報をよく読み、「OK」をクリックします。
コアの初期設定が完了したら、Identity Synchronization for Windows のコネクタとサブコンポーネントをインストールできます。手順については、第 3 章「製品の理解」を参照してください。
この章では、Identity Synchronization for Windows コネクタのインストール手順について説明します。ここで説明する内容は、次のとおりです。
Identity Synchronization for Windows は、ディレクトリソース間でのユーザーパスワードの同期にコネクタを使用し、コネクタによる変更検出の強化と双方向同期のサポートにサブコンポーネントを使用します。
コネクタの設定プロセスを開始する前に、次の事項に注意してください。
インストールプロセスを開始する前にコンソールを閉じます。コネクタのインストール時にコンソールが開いていると、コンポーネントがサーバーに設定データを追加している状態が競合として認識され、エラーメッセージが出力されます。
Windows NT のコネクタとサブコンポーネントは同時にインストールされます。
Directory Server または Active Directory のコネクタは、コアと同じマシンにインストールしても、別のマシンにインストールしてもかまいません。Windows NT のコネクタは、同期対象ドメインのプライマリドメインコントローラ (PDC) にインストールします。
コネクタをコアと同じマシンにインストールする場合、コネクタは自動的にコアと同じディレクトリにインストールされます。
コネクタを別のマシンにインストールする場合は、コアのインストール時に提供された設定ディレクトリ情報を指定するよう求められます。
インストールするコネクタごとに、インストールプログラムを実行します。
たとえば、ディレクトリサーバーコネクタと Active Directory コネクタをインストールする場合は、コアのインストール後、コネクタのインストールプログラムを 2 回実行します。
インストールするコネクタごとに、次の手順を繰り返します。
コネクタをインストールするマシンで、次のようにインストールプログラムを再実行します。
Solaris の場合: installer ディレクトリに移動し、./runInstaller.sh と入力してインストールプログラムを実行します。
インストールプログラムをテキストベースモードで実行するには、./runInstaller.sh -nodisplay と入力します。
runInstaller.sh プログラムを実行すると、Identity Synchronization for Windows ではパスワードを自動的にマスクして、平文で表示されないようにします。
Linux の場合: installer ディレクトリに移動し、./installer.sh と入力してインストールプログラムを実行します。
インストールプログラムをテキストベースモードで実行するには、./installer.sh -nodisplay と入力します。
installer.sh プログラムを実行すると、Identity Synchronization for Windows ではパスワードを自動的にマスクして、平文で表示されないようにします。
Windows の場合: installer ディレクトリに移動し、setup.exe と入力してインストールプログラムを実行します。
「ようこそ」画面で、表示された情報を読み、「次へ」をクリックして「ソフトウェア使用許諾契約」パネルに進みます。
ライセンス条項を確認し、次のいずれかを選択します。
「はい (ライセンス契約書に同意する)」を選択すると、ライセンス条項に同意して次のパネルに進みます。
「いいえ」を選択すると、設定プロセスを中止し、インストールプログラムを終了します。
「Sun Java System Directory Server」パネルが表示されます。設定ディレクトリの場所を次のように指定します。
「設定ディレクトリホスト」: Identity Synchronization for Windows の設定情報を格納する Sun Java System Directory Server インスタンス (管理サーバーに関連する) の完全修飾ドメイン名 (FQDN) を入力します。コアのインストール時に指定したインスタンスと同じインスタンスを指定します。
「設定ディレクトリポート」(デフォルトは 389): 設定ディレクトリのポートを指定します。デフォルトの設定のままにしても、別の使用可能なポートに変更してもかまいません。
コアと設定ディレクトリの間で SSL (Secure Socket Layer) を有効にするには、「セキュリティー保護されたポート」オプションを有効にし、SSL ポートを指定します (デフォルトの SSL ポートは 636) 。このオプションを有効にすると、機密情報が平文でネットワーク上に送信されるのを防ぐことができます。
「設定ルートサフィックス」: コアのインストール時に指定したルートサフィックスをメニューから選択します。Identity Synchronization for Windows の設定は、このルートサフィックスに格納されます。
ルートサフィックスが検出されず、サーバー情報を手動で入力する場合は、「更新」をクリックしてルートサフィックスのリストを再生成します。
「次へ」をクリックして「設定ディレクトリのクレデンシャル」パネルを開きます。
設定ディレクトリの管理者のユーザー ID およびパスワードを入力します。
ユーザー ID として admin と入力した場合は、ユーザー ID を DN として指定する必要はありません。
その他のユーザー ID を使用する場合は、その ID を完全 DN として指定します。たとえば、cn=Directory Manager のようになります。
SSL を有効にしていない場合、これらの資格は暗号化されずに送信されます。
「次へ」をクリックして「設定パスワード」パネルを開きます。このパネルでは、コアのインストール時に指定した設定パスワードを入力します。
また、このマシンにコアがインストールされていない場合は、Java ホームディレクトリの場所を指定するように求められます (「コアのインストール」を参照)。
完了したら、「次へ」をクリックします。
これ以後のインストール手順は、インストールするコネクタの種類によって異なります。
ここでは、3 種類の Identity Synchronization for Windows コネクタをインストールする方法について説明します。
コネクタは特定の順序でインストールする必要はありませんが、複数のコネクタを同時にインストールしないでください。
「インストールプログラムの実行」に示された手順を完了すると、次のパネルが表示されます。
「インストールするコンポーネントを選択します。」の一覧には、まだインストールされていないコネクタコンポーネントのみが表示されます。たとえば、ディレクトリサーバーコネクタ (dc=example,dc=com) をインストールしたあとは、このエントリは一覧から削除されます。
表 7–1 ディレクトリソースの例
ディレクトリソース |
エントリの例 |
---|---|
Sun Java System Directory Server |
dc=example,dc=com |
example.com |
|
Windows NT SAM |
EXAMPLE |
ディレクトリサーバーコネクタコンポーネントの横にあるボタンを有効にし、「次へ」をクリックします。
「Directory Server コネクタのクレデンシャル」パネルが表示されます。
ユーザー DN のフィールドには、完全指定のディレクトリマネージャー識別名が自動的に入力されますが、この情報は必要に応じて変更できます。
次の情報を入力します。
「一次 Directory Server ユーザー DN」: デフォルトのユーザー DN を変更する必要がある場合は、完全指定のディレクトリマネージャー識別名を入力します。
「一次 Directory Server パスワード」: ディレクトリマネージャーのパスワードを入力します。
副マスターを使用している場合は、「二次 Directory Server ユーザー DN」と「二次 Directory Server パスワード」のフィールドが入力可能になります。このディレクトリマネージャーの DN フィールドには、「一次 Directory Server ユーザー DN」および「一次 Directory Server パスワード」フィールドと同じエントリが自動的に入力されます。この情報は必要に応じて変更できます。
Directory Server が準備済みでデータの同期が可能な状態であることが検証されます。Directory Server の準備 (「Sun ディレクトリソースの準備」) が完了している場合、コネクタが Directory Server との接続に使用するアカウント (たとえば、 uid=PSWConnector,suffix) が作成されます。
「次へ」をクリックして、「コネクタポートの設定」区画に進みます。
ドメイン名を含む完全修飾ローカルホスト名と、コネクタが待機する使用可能なポート番号を指定します。すでに使用されているポートを指定すると、エラーメッセージが表示されます。
「次へ」をクリックして「インストール準備完了」区画を表示します。この区画には、コネクタのインストール場所と、インストールに必要なディスク容量が表示されます。問題がなければ、「すぐにインストール」ボタンをクリックします。
コアをローカルマシンにインストールした場合、「インストール準備完了」区画には、コネクタのインストールに必要な容量が 0 と表示されます。これは、コアのインストール時にコネクタバイナリがすでにインストールされているためです。それ以上インストールするバイナリが存在しないため、追加容量も必要ありません。
コアをインストールしたマシンとは異なるマシンにコネクタをインストールする場合は、「インストール準備完了」区画に、ローカルマシンへのコネクタのインストールに必要な容量が表示されます。
コネクタのインストールは、次の 2 つのステップを経て完了します。
バイナリがインストールされる間、「ンストール中」区画と進捗バーが表示されます。
次に、「コンポーネントの設定」区画に進捗バーが表示されます。このステップの完了には数分かかります。
インストールを開始する前にコンソールを閉じなかった場合は、次の警告が表示されます (「ディレクトリサーバーコネクタのインストール」)。コンソールで「リセット」をクリックし、コネクタの設定を読み込み直してください。
両方のステップが完了すると、「インストール概要」区画が表示されます。
ディレクトリサーバープラグインは、優先ホストおよび副ホスト (存在する場合) に対して設定されます。
「はい」をクリックすると、ディレクトリサーバープラグインがすべてのホスト (優先ホストと副ホスト) で設定されます。
「いいえ」をクリックすると、あとでコマンド行ツールの idsync dspluginconfig を使用して設定できます。詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。
インストールログを表示する場合は、「詳細」ボタンをクリックします。
Solaris の場合: インストールログは /var/sadm/install/logs/ に書き込まれます。
Linux の場合: インストールログは /var/sadm/install/logs/ に書き込まれます。
Windows の場合: インストールログは %TEMP% ディレクトリに書き込まれます。このディレクトリは、通常、C:\Documents and Settings\Administrator の下にある Local Settings フォルダのサブディレクトリです。
Windows 2000 Advanced Server などの一部の Windows システムでは、Local Settings フォルダは隠しフォルダになっています。
このフォルダと Temp サブディレクトリを表示するには、Windows エクスプローラを開き、メニューバーから「ツール」->「フォルダ オプション」を選択します。「フォルダ オプション」ダイアログボックスが表示されたら、「表示」タブをクリックし、「すべてのファイルとフォルダを表示する」オプションを有効にします。
表示内容を確認したら、「完了」をクリックします。
ディレクトリサーバーコネクタのインストール後、リソースの設定時 (第 6 章「コアリソースの設定」) に設定したその他のコネクタをインストールできます。
追加のディレクトリサーバーコネクタをインストールする場合: 「インストールプログラムの実行」の手順に従ってインストールプログラムを再起動し、手順 1 から手順 7 を繰り返します。
Active Directory コネクタをインストールする場合: 「Active Directory コネクタのインストール」に進みます。
Windows NT コネクタをインストールする場合: 「Windows NT コネクタのインストール」に進みます。
この設定は、Identity Synchronization for Windows プラグインをインストールする Directory Server インスタンスに連鎖サフィックスが存在する場合にのみ必要になります。Identity Synchronization for Windows プラグインが連鎖サフィックスを検索するように設定されていない場合、Identity Synchronization for Windows をインストールした Directory Server で実行される MODIFY 操作および BIND 操作は失敗します。
連鎖サフィックスが作成される Directory Server インスタンスで、次の操作を実行します。
ldapmodify ユーティリティーを使用して、次の LDIF スクリプトを実行します。
dn: cn=config,cn=chaining database,cn=plugins,cn=config changetype: modify add: nspossiblechainingcomponents nspossiblechainingcomponents: cn=pswsync,cn=plugins,cn=config
同じ操作を、次の手順を使用して実行することもできます。
「設定」タブを選択します。
左側の区画に表示されている「データ」ノードをクリックします。
右側の区画で「連鎖」タブを選択します。
連鎖を許可されているコンポーネントに Identity Synchronization for Windows プラグイン (cn=pswsync,cn=plugins,cn=config) を追加します。
変更を保存して終了します。
ディレクトリサーバーコネクタのインストール後、ほかにもインストールするコネクタが設定されている場合は、「コネクタの設定」区画が表示される前に、それらのコネクタをインストールするオプションが表示されます。
コンポーネントの一覧には、まだインストールされていないコネクタコンポーネントのみが表示されます。たとえば、ディレクトリサーバーコネクタ (この場合は dc=example,dc=com) をすでにインストールしている場合、このコンポーネントは一覧に表示されません。
「コネクタ」ボタンを有効にし、「次へ」をクリックします。
「コネクタの設定」パネルが表示されます。
「インストールするコンポーネントを選択します。」の一覧には、まだインストールされていないコネクタコンポーネントのみが表示されます。たとえば、ディレクトリサーバーコネクタ (この場合は dc=example,dc=com) をインストールしたあとは、このエントリは一覧から削除されます。
Active Directory コンポーネントの横にあるボタンを有効にし、「次へ」をクリックします。
「インストール準備完了」区画に、コネクタのインストール場所とインストールに必要なディスク容量が表示されます。
コアをローカルマシンにインストールした場合、「インストール準備完了」区画には、コネクタのインストールに必要な容量が 0 と表示されます。これは、コアのインストール時にコネクタバイナリがすでにインストールされているためです。それ以上インストールするバイナリが存在しないため、追加容量も必要ありません。
コアをインストールしたマシンとは異なるマシンにコネクタをインストールする場合は、「インストール準備完了」区画に、ローカルマシンへのコネクタのインストールに必要な容量が表示されます。
問題がなければ、「すぐにインストール」ボタンをクリックします。
バイナリがインストールされる間、「インストール中」区画と進捗バーが表示され、次に、インストールが完了したことを確認するための「インストール概要」区画が表示されます。
インストールログを表示する場合は、「詳細」ボタンをクリックします。
Solaris の場合: インストールログは /var/sadm/install/logs/ に書き込まれます。
Linux の場合: インストールログは /var/sadm/install/logs/ に書き込まれます。
Windows の場合: インストールログは %TEMP% ディレクトリに書き込まれます。このディレクトリは、C:\Documents and Settings\Administrator の下にある Local Settings フォルダのサブディレクトリです。
Windows 2000 Advanced Server などの一部の Windows システムでは、Local Settings フォルダは隠しフォルダになっています。
このフォルダと Temp サブディレクトリを表示するには、Windows エクスプローラを開き、メニューバーから「ツール」->「フォルダ オプション」を選択します。「フォルダ オプション」ダイアログボックスが表示されたら、「表示」タブをクリックし、「すべてのファイルとフォルダを表示する」オプションを有効にします。
表示内容を確認したら、「完了」をクリックしてインストールプログラムを終了します。
Active Directory コネクタのインストール後、リソースの設定時 (第 6 章「コアリソースの設定」) に設定したその他のコネクタをインストールできます。
追加の Active Directory コネクタをインストールする場合: インストールプログラムを再起動し (「インストールプログラムの実行」を参照)、同じ手順を繰り返します。
Windows NT コネクタをインストールする場合: 「Windows NT コネクタのインストール」に進みます。
追加のディレクトリサーバーコネクタをインストールする場合: 「インストールプログラムの実行」の手順に従ってインストールプログラムを再起動し、手順 1 から手順 6 を繰り返します。
Windows NT コネクタは、設定したドメインのプライマリドメインコントローラ (PDC) にインストールします。
「Windows NT コネクタ」ボタンを有効にし、「次へ」をクリックします。
「コネクタポートの設定」区画が表示されたら、ドメイン名を含む完全修飾ローカルホスト名と、コネクタが待機する使用可能なポート番号を入力します。すでに使用されているポートを指定すると、エラーメッセージが表示されます。
完了したら、「次へ」をクリックします。
「インストール準備完了」区画に、コネクタのインストール場所と、必要なディスク容量が表示されます。
問題がなければ、「すぐにインストール」ボタンをクリックします。
コネクタのインストールは、次の 2 つのステップを経て完了します。
バイナリがインストールされる間、「インストール中」区画と進捗バーが表示されます。
次に、「コンポーネントの設定」区画に進捗バーが表示されます。このステップの完了には数分かかります。
インストールを開始する前にコンソールを閉じなかった場合は、警告が表示されます (「ディレクトリサーバーコネクタのインストール」を参照)。コンソールで「リセット」をクリックし、コネクタの設定を読み込み直してください。
両方のステップが完了すると、「インストール概要」区画が表示されます。
インストールログを表示する場合は、「詳細」ボタンをクリックします。
インストールログは %TEMP% ディレクトリに書き込まれます。ほとんどの Windows NT システムでは、このディレクトリは C:\TEMP です。
「閉じる」をクリックしてインストールプログラムを終了します。
Windows NT コネクタのインストール後、リソースの設定時 (第 6 章「コアリソースの設定」) に設定したその他のコネクタをインストールできます。
追加の Windows NT コネクタをインストールする場合は、インストールプログラムを再起動します。「インストールプログラムの実行」を参照し、手順 1 から手順 6 を繰り返します。
ディレクトリサーバーコネクタをインストールする場合は、「ディレクトリサーバーコネクタのインストール」を参照してください。
Active Directory コネクタをインストールする場合は、「Active Directory コネクタのインストール」を参照してください。
Identity Synchronization for Windows のコマンド行ユーティリティーには、既存のユーザーまたはグループで配備をブートストラップする idsync resync サブコマンドが用意されています。このコマンドは、管理者固有のマッチングルールを使用して、既存エントリのリンク、遠隔ディレクトリの内容で空のディレクトリに生成、または 2 つの既存のユーザーおよびグループの入力の間で属性値 (パスワードを含む) の一括同期を行います
この章では、idsync resync サブコマンドを使用して新しい Identity Synchronization for Windows インストールで既存のユーザーおよびグループを同期する方法について説明します。また、同期およびサービスを開始および停止する手順についても説明します。ここで説明する内容は、次のとおりです。
既存ユーザーを同期する前に、コアおよびコネクタのインストールを完了してください。
idsync resync サブコマンドの詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。
「既存のユーザーおよびユーザーグループの同期」では、既存のユーザーおよびグループの入力に基づいて実行するインストール後の手順について概要を説明します。
ユーザーの存在場所 |
インストール後の手順 | ||
---|---|---|---|
Windows |
Directory Server |
既存ユーザーを同期 |
既存ユーザーを同期しない |
いいえ |
いいえ |
なし |
なし |
いいえ |
はい |
idsync resync -o Sun -c を実行して既存の Directory Server ユーザーを Windows に作成します。 |
なし |
はい |
いいえ |
idsync resync -c を実行して既存の Windows ユーザーを Directory Server に作成します。 |
idsync resync -u を実行してコネクタのユーザーエントリのローカルキャッシュに生成します。 |
はい |
はい |
idsync resync -f <filename > -k を実行してユーザーだけをリンクし、次に idsync resync -o Sun を実行して既存のユーザーを Directory Server から再同期します。 |
idsync resync -u を実行してコネクタのユーザーエントリのローカルキャッシュに生成します。 |
グループ同期が有効な場合、グループはユーザーの同期方法と同様の方法で同期されます。
この節では、同期プロセス、idsync resync サブコマンドを使用するための適切な構文、およびプロセスが正常に完了したことの確認方法について説明します。ここで説明する内容は、次のとおりです。
2 つのディレクトリソースが同期しなくなったときは、ユーザーエントリを再同期します。idsync resync コマンドを使用して、2 つのディレクトリソースでユーザーとユーザーグループの作成、およびユーザーとユーザーグループの属性の同期を行います。具体的には、idsync resync コマンドを使用して、既存の Active Directory または Windows NT SAM ドメインユーザーを空の Directory Server に生成することができます。
idsync resync コマンドは、次のいずれの方法でも使用できます。
Directory Server および Windows にユーザーが存在する場合は、idsync resync コマンドを実行してそれらのユーザーを同期します。
既存のユーザーを Directory Server に同期しない場合は、-u 引数を指定して idsync resync を実行し、オブジェクトキャッシュのみを更新し、Windows のエントリを Directory Server に同期しないようにします。
既存の Windows ユーザーがあり、idsync resync を実行しない場合は、これらのユーザーに対する変更は伝播することもしないこともあります。フロー設定によっては、これらのユーザーが Directory Server に自動的に作成されることもあります。idsync resync コマンドをすでに実行した場合でも、このコマンドをもう一度実行してください。
パスワードを同期するために idsync resync コマンドを使用できません。ただし Active Directory 環境でオンデマンドパスワード同期を強制するために Directory Server パスワードを無効化する場合を除きます。
グループ同期機能が有効な場合は、ユーザーとそのユーザーに関連付けられたグループの両方が、設定されたデータソース間で同期されます。グループ同期で resync コマンドを使用するときは、追加オプションは必要ありません。
Active Directory および Directory Server にユーザーを入力して、同期の開始前に Active Directory および Directory Server のコネクタをインストールしたら、idsync resync コマンドを使用して、すべての既存ユーザーが 2 つのディレクトリソース間で必ずリンクされているようにしてください。
リンクとは次のことを意味します。Identity Synchronization for Windows では、次の一意で不変の識別子を格納することにより、Directory Server と Windows の同じユーザーを関連付けます。
これらの不変な識別子を使用することで、Identity Synchronization for Windows では uid や cn などほかの重要な識別子を同期できます。dspswuserlink 属性は、次のときに生成されます。
Identity Synchronization for Windows が Directory Server に新しいユーザーを作成したとき (新しいユーザーが Windows から同期されたか idsync resync -c を実行したあと)
Identity Synchronization for Windows が Windows に新しいユーザーを作成したとき (新しいユーザーが Directory Server から同期されたか idsync resync -c -o Sun を実行したあと)
この章で説明するように、idsync resync -c -f を実行して Directory Server と Windows にすでに存在するエントリをリンクしたとき。
既存ユーザーをリンクするには、2 つのディレクトリ間でユーザーを一致させるルールを指定します。たとえば、2 つのディレクトリでユーザーエントリをリンクするには、姓と名の両方を、両方のディレクトリエントリで一致させます。
ユーザーエントリのリンクとデータ競合の解決は、科学的というよりも技術的に説明されることがあります。相対するディレクトリソースの 2 ユーザーを idsync resync サブコマンドでリンクできないのには多くの理由があり、その大半はリンクされるディレクトリ内のデータの一貫性に起因します。
idsync resync を使用する 1 つの方針は、-n 引数を使用することです。この場合、セーフモードで実行されるため、実際には変更せずに操作の影響を確認できます。セーフモードで実行することにより、ユーザーマッチング条件の最適な組み合わせが見つかるまで、リンク条件を少しずつ調整できます。
ただし、リンクの正確さとリンクの範囲を通して実現されるバランスがあることに注意するようにしてください。
たとえば両方のディレクトリソースに従業員 ID または社会保障番号が含まれている場合に、この番号だけを含むリンク条件から開始するとします。リンクの正確さを向上させるには、条件に姓の属性も含めるべきだと考えるかもしれません。しかし、ID 単独では一致するエントリが、データ内の姓の値に整合性がないために一致しなくなり、そのためにリンクが失われる可能性があります。リンクできなかったエントリのデータをきれいにする作業を実行する必要が生じます。
グループ同期が有効な場合、グループはユーザーのリンク方法と同様の方法でリンクされます。
idsync resync コマンドでは、次のオプションを使用できます。
表 8–2 idsync resync の使用法表 8–3 idsync resync によって Directory Server でユーザーのパスワードが無効になるか
Active Directory と Directory Server にユーザーのエントリがあり、リンクされている場合。 |
Active Directory と Directory Server にユーザーのエントリがあり、リンクされていない場合。 |
Active Directory にユーザーのエントリがあるが、Directory Server にはない場合。 |
|
---|---|---|---|
-i ALL_USERS |
はい |
はい |
はい |
-i NEW_USERS |
いいえ |
いいえ |
はい |
No -i value |
いいえ |
いいえ |
いいえ |
次の表に、さまざまな引数を組み合わせたときの結果について例を示します。– h、-p、-D、-w、-、および -s 引数は、デフォルトであり、簡潔にするため省略しています。
表 8–4 idsync resync の使用例
idsync resync を使用してユーザーをリンクするときは、インデックスが作成された属性を操作に使用するようにしてください。インデックスが作成されていない属性は、パフォーマンスに影響を与える可能性があります。
UserMatchingCriteria セットに複数の属性があり、それらのうち少なくとも 1 つでインデックスが作成されていれば、パフォーマンスはおそらく許容できます。ただし、UserMatchingCriteria でインデックスが作成された属性がない場合、大きなディレクトリではパフォーマンスが許容できなくなります。
すべての idsync resync 操作の結果は、resync.log という名前の特殊なセントラルログに報告されます。このログには、正しくリンクされて同期されたユーザー、リンクに失敗したユーザー、および以前にリンクされたユーザーのすべてが一覧表示されます。
あらかじめ存在する特殊な Active Directory ユーザー (Administrator や Guest など) は、このログに失敗として記録されることがあります。
同期の起動および停止によって個別の Java プロセス、デーモン、またはサービスは起動または停止されません。同期を起動すると、同期を停止しても操作は一時停止するだけです。同期を再起動すると、同期が停止した時点から再開され、変更は失われません。
Sun Java System Server コンソールのナビゲーション区画で、Identity Synchronization for Windows インスタンスを選択します。
Identity Synchronization for Windows 区画が表示されたら、右上の「開く」ボタンをクリックします。
要求されたら、設定パスワードを入力します。
「タスク」タブを選択します。
idsync startsync および idsync stopsync コマンド行ユーティリティーを使用して同期を起動および停止することもできます。詳細な手順については、「startsync の使用」および 「stopsync の使用」を参照してください
グループを再同期するには、コンソールまたはコマンド行インタフェースを使用してグループ同期機能を有効にします。
グループ同期機能を有効にする方法については、「グループ同期の設定」を参照してください
Identity Synchronization for Windows および Message Queue は、Solaris および Linux ではデーモンとして、Windows ではサービスとしてインストールされます。これらのプロセスは、システムのブート時に自動的に起動しますが、次のようにして手動で起動および停止することもできます。
Solaris の場合: コマンド行から、次のように入力します。
Linux の場合: コマンド行から、次のように入力します。
Windows の場合:
Windows の「スタート」メニューから次の操作を実行します。
「スタート」->「設定」->「コントロール パネル」->「管理ツール」を選択します。
「管理ツール」ダイアログボックスが表示されたら、「サービス」アイコンをダブルクリックして「サービス」ダイアログボックスを開きます。
メニューバーから「Identity Synchronization for Windows」を選択し、次に「操作」->「開始」(または「停止」) を選択します。iMQ ブローカについて繰り返します。
コマンド行から net コマンドを入力してサービスを制御します。
Identity Synchronization for Windows デーモン/サービスを停止したあとは、もう一度起動するまで 30 秒待機してください。コネクタが安全にシャットダウンするには数秒かかることがあります。
この章では、 Identity Synchronization for Windows 6.0 を削除する手順を説明します。この章の内容は次のとおりです。
ソフトウェアを削除する前に、次の点を確認してください。
関連するコネクタをアンインストールする前に、サブコンポーネントとディレクトリサーバープラグインをアンインストールします。また、コアをアンインストールする前に、すべてのコネクタをアンインストールします。Active Directory コネクタには、アンインストールするサブコンポーネントはありません。
いずれかのコンポーネントを正しい順序でアンインストールしなかった場合、その他のコンポーネントを選択してアンインストールすることができなくなります。たとえば、コネクタを先にアンインストールしなければ、コアを選択してアンインストールすることはできません。
コアをアンインストールする前に、ディレクトリサーバープラグインをアンインストールします。
コアを先にアンインストールすると、プラグインのビットは削除されますが、Directory Server からは登録解除されず、手動で cn=pswsync,cn=plugins,cn=config を削除しないかぎり、Directory Server を起動できなくなります。
主サーバーと副サーバーのほかにレプリカを使用するレプリケート環境では、ディレクトリサーバープラグインをアンインストールしたあとに、サーバーを再起動してください。
各コネクタはどのような順序でアンインストールしてもかまいません。
Sun Java System ディレクトリサーバーコネクタまたは Windows コネクタをアンインストールしたあとは、追加の手順を実行して、別のマシンにコネクタを再インストールするか、または別のサーバーポートを使用するように設定します。
この場合、対応するすべてのサブコンポーネントをアンインストールおよび再インストールし、コアがインストールされている Identity Synchronization for Windows デーモンまたはサービスを再開します (「サービスの起動および停止」を参照)。
Windows 2000 および NT プラットフォームでは、isw-hostname ディレクトリにある uninstall.cmd スクリプトを実行します。このバッチファイルは、管理者として実行します。
Solaris または Linux オペレーティングシステムでは、インストールディレクトリ (デフォルトでは /opt/SUN/isw) にある Uninstall.sh スクリプトを実行します。このスクリプトは、root として実行します。
手順に従って製品のコンポーネントとサブコンポーネントを明示的にアンインインストールし、すべてのコンポーネントが正しくアンインストールされたことを確認してください。
システムには、次のいずれかまたはすべての Identity Synchronization for Windows コンポーネントがインストールされている場合があります。
Active Directory コネクタ
ディレクトリサーバーコネクタおよびプラグイン
コア
Windows NT システムには、Windows NT コネクタとサブコンポーネントが含まれている場合があります。
Solaris の場合は runUninstaller.sh、Linux の場合は uninstaller.sh、Windows の場合は uninstall.cmd を使用して、すべてのコネクタとサブコンポーネントを削除してから、コアを削除します (インストールされている場合)。
ここでは、次の手順について説明します。
アンインストールプログラム (Solaris の場合は runUninstaller.sh、Linux の場合は uninstaller.sh、Windows の場合は uninstall.cmd) を起動します。
これらのプログラムは、インストールディレクトリ (デフォルトでは /opt/SUNWisw ディレクトリ) にあります。
「ようこそ」画面で「次へ」をクリックします。
設定ディレクトリのホスト名とポート番号を入力します。
設定ディレクトリのルートサフィックスを選択します。必要な場合は、「更新」をクリックしてサフィックスのリストを表示します。
アンインストールプログラムと設定ディレクトリサーバーの間の通信をセキュリティー保護する場合は、「セキュリティー保護されたポート」ボックスにチェックマークを付け、Directory Server の SSL ポート番号を指定します。
設定ディレクトリの管理者の名前とパスワードを入力します。
アンインストールするコネクタを選択します。
選択したコネクタは、ターゲットホストに存在している必要があります。
「次へ」をクリックして、さらにアンインストール関連の作業を行います。
概要ウィンドウが表示されます。このウィンドウに表示される指示に従います。
Solaris システムの場合: アンインストールログは /var/sadm/install/logs/ に書き込まれます。
Linux システムの場合: アンインストールログは /var/sadm/install/logs/ に書き込まれます。
Windows システムの場合: アンインストールログは %TEMP% ディレクトリに書き込まれます。このディレクトリは、次の場所にある Local Settings フォルダのサブディレクトリです。
C:\Documents and Settings\Administrator
Windows 2000 Advanced Server などの一部の Windows システムでは、Local Settings フォルダは隠しフォルダになっています。このフォルダと Temp サブディレクトリを表示するには、次の手順に従います。
Windows エクスプローラを開き、メニューバーから「ツール 」->「フォルダ オプション」を選択します。「フォルダ オプション」ダイアログボックスが表示されたら、「表示」タブをクリックし、「すべてのファイルとフォルダを表示する」オプションを有効にします。
「閉じる」をクリックしてプログラムを終了します。
ターゲットホストにインストールされているコネクタがそれ以上存在しない場合は、isw-hostname フォルダを安全に削除できます。
コネクタがインストールされているすべてのホストに対して、「コネクタのアンインストール」の手順を繰り返します。
コアをアンインストールする前に、ディレクトリサーバープラグインをアンインストールしてください。
プラグインより先にコアをアンインストールすると、プラグインのビットは削除されますが、Directory Server からは登録解除されないため、手動で cn=pswsync,cn=plugins,cn=config を削除しないかぎり、Directory Server を起動できなくなります。
アンインストールプログラムを起動します。
「ようこそ」画面で「次へ」をクリックします。
設定ディレクトリのホスト名とポート番号を入力します。
設定ディレクトリの管理者の名前とパスワードを入力します。
アンインストールするコアを選択し、「次へ」をクリックします。
設定ディレクトリの URL を入力し、「更新」をクリックして、ドロップダウンリストから適切なルートサフィックスを選択します。
「次へ」をクリックして、さらにアンインストール関連の作業を行います。
概要ウィンドウが表示されます。このウィンドウに表示される指示に従います。
Solaris システムの場合: アンインストールログは /var/sadm/install/logs/ に書き込まれます。
Linux システムの場合: アンインストールログは /var/sadm/install/logs/ に書き込まれます。
Windows システムの場合: アンインストールログは %TEMP% ディレクトリに書き込まれます。このディレクトリは、次の場所にある Local Settings フォルダのサブディレクトリです。
C:\Documents and Settings\Administrator
Windows 2000 Advanced Server などの一部の Windows システムでは、Local Settings フォルダは隠しフォルダになっています。
このフォルダと Temp サブディレクトリを表示するには、次の手順に従います。
Windows エクスプローラを開き、メニューバーから「ツール 」->「フォルダ オプション」を選択します。「フォルダ オプション」ダイアログボックスが表示されたら、「表示」タブをクリックし、「すべてのファイルとフォルダを表示する」オプションを有効にします。
「閉じる」をクリックしてプログラムを終了します。
ハードドライブの障害によりコネクタファイルを失った場合など、何らかの理由で特定のコネクタに対してアンインストーラを実行できない場合は、idsync resetconn サブコマンドを使用します (「resetconn の使用」を参照)。
このコマンドを実行すると、設定ディレクトリ内のコネクタの状態がアンインストール済みにリセットされるので、そのコネクタを別の場所に再インストールできるようになります。resetconn サブコマンドでは、設定ディレクトリにアクセスするその他のコマンドと同様に、次の 2 つのオプションを指定できます。
-e dir-source: リセットするディレクトリソースの名前を指定します。インストーラでは、ディレクトリソース名によってコネクタが識別されます。
-n (セーフモード): 実際の処理を行わずに、コマンドに指定された引数が正しいかどうかを示します。
コマンドの例を次に示します。
idsync resetconn -D "cn=Directory Manager" -w [-h CR-hostname] [-p 389] [-s dc=example,dc=sun,dc=com] -q [-Z] [-P "cert8.db"] [-m "secmod.db"] -e "dc=central, dc=example,dc=com" [-n] |
resetconn の出力は次のようになります。
注意: このプログラムは、指定されたディレクトリソース 'dc=central,dc=example,dc=com' に関連するコネクタ のインストール状態を UNINSTALLED にリセットします。コネクタの状態を UNINSTALLED に変更するのは最後の手 段です。これは、コネクタをアンインストールすることが目的ではありません。通常は、そのコネクタを使用する マシンを失い、アンインストーラを実行できない場合に使用します。また、このプログラムは既存の設定を書き換 えます。これは少し手間のかかるプロセスです。処理を進める前に、コンソール、実行中のインストーラ、および その他すべてのアイデンティティ同期プロセスを停止します。また、設定レジストリ内の ou=Services ツリーを バックアップのために ldif ファイルにエクスポートします。 コネクタのインストーラ設定をリセットしてよろしいですか (y/n)? |
その他の Identity Synchronization for Windows コンポーネントをすべて削除したあとに、コンソールを手動でアンインストールしなければならない場合があります。
設定ディレクトリから次のサブツリーを削除します。
cn=Sun Java (TM) System Identity Synchronization for Windows, cn=server_group,cn=hostname, ou=domain_ name, o=netscaperoot |
インストールされたすべてのコンソールで、次のディレクトリから、プレフィックスが isw の .jar ファイルをすべて削除します。
serverroot/server/java/jars |
設定ディレクトリから次のサブツリーを削除します。
cn=Sun Java (TM) System Identity Synchronization for Windows, cn=server_group, cn=hostname, ou=domain_name, o=netscaperoot |
インストールされたすべてのコンソールで、次のディレクトリから、プレフィックスが isw の .jar ファイルをすべて削除します。
serverroot/server/java/jars |
この章では、使用している配備のセキュリティーの設定に関する重要な情報について説明します。ここで説明する内容は、次のとおりです。
この章は、公開鍵暗号方式とSSL (Secure Sockets Layer) プロトコルの基本概念をよく理解し、イントラネット、エクストラネット、インターネットセキュリティー、エンタープライズでのデジタル証明書の役割の概念を理解していることを前提としていますこれらの概念を理解していない場合は、Managing Servers with iPlanet Console 5.0 のマニュアルのセキュリティー関連の付録を参照してください。
パスワードは機密情報です。このため、Identity Synchronization for Windows は、同期されるディレクトリにアクセスするためのユーザーと管理のパスワード資格が危険にさらされないように、セキュリティー上の予防策を講じます。
ここでは、次のセキュリティー対策について説明します。
このセキュリティー対策は、次のイベントの発生を防ぐことを目的としています。
盗聴者によるネットワーク上での平文パスワードの傍受
ユーザーの平文パスワードの傍受と同様、ユーザーのパスワードを選択した値に変更するための攻撃者によるコネクタへの操作
Identity Synchronization for Windows の特権が必要なコンポーネントへの攻撃者によるアクセス
特権のないユーザーによるディスクに格納されたファイルからのパスワードの回復
侵入者によるシステムのコンピュータの 1 つから取り外されたハードディスクからのパスワードの回復これは同期されたパスワードや、ディレクトリへのアクセスに使用するシステムパスワードの可能性があります。
製品の設定ディレクトリに格納されている間やネットワーク上で転送される間に機密情報を保護するために、Identity Synchronization for Windows は設定パスワードを使用します。管理者はコアのインストール時に設定パスワードを指定します。コンソールを開いたり、Identity Synchronization for Windows インストールプログラムを実行する場合にこのパスワードを指定します。
システムマネージャーはコネクタに渡す前に設定パスワードにアクセスする必要があります。このため、システムマネージャーはこのパスワードを初期設定ファイルに格納します。
ファイルシステムのアクセス制御は、非特権ユーザーがシステムマネージャーの初期設定ファイルにアクセスできないようにします。Identity Synchronization for Windows インストールプログラムは、このパスワードにパスワードポリシーを強制しません。
設定パスワードの選択時にセキュリティーを強化するには、「セキュリティーの強化」を参照してください。
コンポーネントが LDAP を使用するあらゆる場所で LDAP over SSL を使用するよう Identity Synchronization for Windows を設定できます。Message Queue へのアクセスはすべて SSL で保護されます。
Directory Server から Active Directory に同期するときは、Active Directory コネクタと Active Directory 間で SSL を使用します。
デフォルトでは、SSL を使用するよう設定されたコネクタは、信頼できない証明書、期限切れの証明書、および無効な証明書も含めて、Directory Server サーバーや Active Directory サーバーが返すあらゆる SSL 証明書を受け入れます。コネクタとサーバー間のネットワークトラフィックはすべて暗号化されますが、コネクタは本当の Active Directory または Directory Server に偽装したサーバーを検出しません。
コネクタが信頼できる証明書のみを受け入れるようにするには、コンソールを使用して「ディレクトリソースの設定」ウィザードの「拡張セキュリティーオプションの指定」パネルにある「信頼できる SSL の証明書を要求」オプションを有効にします (「Active Directory ソースの作成」を参照)。このオプションを有効にしたあと、idsync certinfo で報告された適切な CA 証明書をコネクタの証明書データベースに追加します。
設定パスワードから生成された 3DES キーは、製品の設定ディレクトリですべての機密情報をセキュリティー保護するために使用されます。ログメッセージを除いて、Message Queue に入れられるメッセージはすべてトピックごとの 3DES キーで暗号化されます。コネクタとサブコンポーネント間でやり取りされるメッセージは、セッションごとの 3DES キーで暗号化されます。ディレクトリサーバープラグインは、3DES キーでユーザーパスワードの変更をすべて暗号化します。
「SSL および 3DES キーでの保護の概要」では、Identity Synchronization for Windows がネットワーク上でやり取りされる機密情報を保護する方法をまとめています。
表 10–1 ネットワークセキュリティーを使用した機密情報の保護
「SSL および 3DES キーでの保護の概要」には、この節で説明するセキュリティー機能の概要が記載されています。
Identity Synchronization for Windows は Message Queue のアクセス制御を使用して、各コネクタが受信するメッセージを信頼できるよう、メッセージのサブスクリプションとパブリッシングへの承認されていないアクセスを防止します。
Message Queue ブローカにアクセスするために、Message Queue とコネクタのみが認識する固有のユーザー名とパスワードが提供されます。Message Queue でやり取りされる各メッセージは、トピックごとに 3DES キーで暗号化され、メッセージの内容を保護し、トピックキーを知らない部外者が重要なメッセージを送信できないようにします。これらの対策によって、(a) 攻撃者が偽造したパスワード同期メッセージをコネクタに送信し、(b) 攻撃者がコネクタを偽装して、実際のパスワードの更新を受信しないようにします。
デフォルトでは、コネクタやシステムマネージャーのような Message Queue のクライアントは Message Queue ブローカが返すあらゆる SSL 証明書を受け入れます。Message Queue の証明書の検証とその他の Message Queue 関連のセキュリティーの問題の詳細については、「セキュリティーの強化」を参照してください。
特権資格は、Active Directory と、同期される Directory Server でパスワードを変更するためにコネクタに必要です。これらの特権資格は、製品の設定ディレクトリに格納される前に暗号化されます。
「持続的記憶領域保護の概要」では、Identity Synchronization for Windows がディスクに格納された機密情報を保護する方法をまとめています。
表 10–2 持続的記憶領域保護
持続的記憶領域 |
機密情報 |
保護 |
---|---|---|
設定 Directory Server に格納された製品の設定 |
ディレクトリにアクセスするための資格と Message Queue ごとのトピック 3DES キーが製品の設定ディレクトリに格納されます。 |
製品の設定ディレクトリに格納された機密情報はすべて設定パスワードで生成された 3DES キーで暗号化されます。製品の設定ディレクトリをさらに保護するための推奨事項については、「セキュリティーの強化」を参照してください。 |
Directory Server の旧バージョン形式の変更ログ |
ディレクトリサーバープラグインは、Directory Server の旧バージョン形式の変更ログに書き込む前にパスワードの変更を取得して暗号化します。 |
ディレクトリサーバープラグインは、ユーザーパスワードの変更をすべて各配備に固有の 3DES キーで暗号化します。 |
Message Queue ブローカの持続的記憶領域 |
Message Queue ブローカは、全コネクタ間でやり取りされるパスワード同期メッセージを格納します。 |
ログメッセージを除いて、持続メッセージはすべてトピックごとの 3DES キーで暗号化されます。 |
Message Queue ブローカのディレクトリ資格 |
Message Queue ブローカは、製品の設定ディレクトリに対してユーザーを認証します。これは、コアインストール中に提供されたディレクトリ管理者のユーザー名とパスワードを使用して設定ディレクトリに接続します。 |
ディレクトリパスワードは、ファイルシステムアクセス制御によって保護されるパスファイルに格納されます。 |
システムマネージャーのブートファイル |
システムマネージャーのブートファイルには、設定にアクセスするための情報が含まれています。これには、設定パスワードとコアインストール中に提供されたディレクトリ管理者のユーザー名とパスワードが含まれます。 |
このファイルはファイルシステムアクセス制御によって保護されます。 |
コネクタとセントラルロガーのブートファイル |
各コネクタとセントラルロガーには Message Queue にアクセスするための資格を持った初期設定ファイルがあります。 |
これらのファイルはファイルシステムアクセス制御によって保護されます。 |
ディレクトリサーバープラグインのブート設定 |
cn=config に格納されるプラグインの設定には、コネクタに接続するための資格が含まれます。 |
cn=config サブツリーは、ACI によって保護されます。このツリーをミラー化する dse.ldif ファイルはファイルシステムアクセス制御によって保護されます。 |
NT パスワードフィルタ DLL および NT 変更検出機能のブート設定 |
Windows レジストリに格納される NT サブコンポーネントの設定には、コネクタに接続するための資格が含まれます。 |
PDC レジストリへのアクセスがセキュリティー保護されていない場合、これらのレジストリキーはアクセス制御で保護できます。 |
Windows コネクタのオブジェクトキャッシュ |
Windows コネクタはハッシュされたユーザーのパスワードをコネクタのオブジェクトキャッシュに格納します。 |
パスワードは平文では格納されず、MD5 ハッシュで暗号化されます。これらのデータベースファイルはファイルシステムアクセス制御によって保護されます。(「セキュリティーの強化」を参照) |
この節では、製品の現在のリリースでの潜在的なセキュリティーの弱点と、製品のデフォルト設定以外でセキュリティーを拡張および強化する方法の推奨事項について説明します。次について説明します。
設定 パスワードは機密の設定情報を保護するために使用しますが、インストールプログラムはこのパスワードに対していずれのパスワードポリシーを強制しません。このパスワードがいくつかの厳しいガイドラインに従い、簡単に推測できない複雑なパスワードを選択し、強力なパスワードのための標準的なポリシーガイドラインを遵守してください。
たとえば、8 文字以上で、大文字、小文字、英数字以外の文字を含むようにしてください。自分の名前や頭文字、日付などを含めないようにしてください。
製品の設定ディレクトリがある Directory Server にアクセスするには、資格が構成管理者グループ内に必要です。しかし、何らかの理由で admin 以外の資格を作成する必要がある場合は、次を考慮します。
インストールプログラムはコンソール管理サブツリーに格納されたユーザーの資格を必要とします。しかし、コアインストールプログラムは admin 以外のユーザーを「uid=admin,ou=Administrators, ou=TopologyManagement, o=NetscapeRoot」に拡張しません。このため、コアインストール中に DN 全体を指定してください。
次の場所にユーザーを作成します。
ou=Administrators, ou=TopologyManagement, o=NetscapeRoot |
製品の設定ディレクトリが格納されている Directory Server へのアクセスをこのユーザーのみに許可するか構成管理者グループのすべてのユーザーに許可するよう ACI を設定します。
コアインストール中に DN 全体を指定します。
Directory Server でのアクセス制御の管理の詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の第 7 章「Directory Server のアクセス制御」を参照してください。
デフォルトで、コネクタやシステムマネージャーなど Message Queue のクライアントは、Message Queue ブローカが返した SSL 証明書をすべて受け入れます。
この設定をオーバーライドして Message Queue のクライアントが Message Queue ブローカの証明書を検証するようにするには、次を編集します。
Watchlist.properties で各プロセスの JVM 引数に次を追加します。
-Djavax.net.ssl.trustStore= keystore_path-DimqSSLIsHostTrusted=false
Identity Synchronization for Windows デーモンまたはサービスを再起動します。
javax.net.ssl.trustStore プロパティーはブローカの証明書を信頼する JSEE キーストアをポイントするようにしてください。たとえば、/etc/imq/keystore はブローカによって使用されるキーストアと同じため、コアがインストールされたマシン上で使用できます。
デフォルトで、Message Queue ブローカは自己署名付き SSL 証明書を使用します。別の 証明書をインストールするには、Java に付属の keytool ユーティリティーを使用して、ブローカのキーストア (Solaris の場合 /var/imq/instances/isw-broker/etc/keystore、Linux の場合 /var/opt/sun/mq/instances/isw-broker/etc/keystore、Windows 2000 の場合 mq_installation_root /var/instances/isw-broker/etc/keystore ) を変更します。証明書のエイリアスは imq にします。
Message Queue はデフォルトで、そのポートマッパーを除くすべてのサービスに対して動的ポートを使用します。ファイアウォールを介してブローカにアクセスしたり、ブローカに接続できるホストのセットを制限したりするには、ブローカがすべてのサービスに対して固定ポートを使用している必要があります。
このためには、imq.service_name protocol_type .port ブローカ設定プロパティーを設定します。詳細は、『Sun Java System Message Queue 管理ガイド』を参照してください。
システムマネージャーは、SSL を介した製品の設定ディレクトリへの接続時にすべての証明書を受け入れます。Message Queue ブローカも SSL を介した製品の設定ディレクトリへの接続時にすべての証明書を受け入れます。現在、システムマネージャーまたは Message Queue ブローカに製品の設定ディレクトリの SSL 証明書を検証させる方法はありません。
コアのインストール時に、製品の設定ディレクトリが格納された Directory Server への情報の追加プロセスには、アクセス制御情報の追加は含まれません。アクセスを設定の管理者のみに制限するには、次の ACI を使用できます。
(targetattr = "*") (target = "ldap://ou=IdentitySynchronization, ou=Services,dc=example,dc=com") (version 3.0;acl "Test";deny (all) (groupdn != "ldap://cn=Configuration Administrators, ou=Groups, ou=TopologyManagement, o=NetscapeRoot");)
Directory Server でのアクセス制御の管理の詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の第 7 章「Directory Server のアクセス制御」を参照してください。
レプリケーションを使用して Directory Server に接続する配備は、「セキュリティーの概要」で指定した規則に従います。この節では、レプリケートされた設定の例を示し、この設定で SSL の使用を有効にする方法を説明します。
レプリケートされた設定の計画、配備、セキュリティー保護の概要については、付録 D 「Identity Synchronization for Windows の同期ユーザーリストの定義と設定」を参照してください。
「レプリケートされた設定のセキュリティー保護」では、CA 証明書を必要とする設定コンポーネントをリストし、どこでどの証明書が必要かを識別します。
表 10–3 CA 証明書を必要とする MMR 設定コンポーネント
コンポーネント |
必要な CA 証明書 |
---|---|
Directory Server のレプリケートされた優先マスター |
Active Directory システム |
Directory Server のレプリケートされた副マスター |
Active Directory システム |
読み取り専用の Directory Server のハブ |
Directory Server のレプリケートされた優先マスター Directory Server のレプリケートされた副マスター |
ディレクトリサーバーコネクタ |
Directory Server のレプリケートされた優先マスター Directory Server のレプリケートされた副マスター |
Active Directory システム |
レプリケートされた設定には、MMR 設定にインストールされた Identity Synchronization for Windows が表示されます。MMR 設定には、複数の Directory Server の読み取り専用ハブまたはコンシューマを備えた 2 つのレプリケートされた Directory Server のマスターがあります。各 Directory Server にはプラグインがあり、ディレクトリサーバーコネクタ、Active Directory システム、Active Directory コネクタはそれぞれ 1 つだけ存在します。
Directory Server ソースが SSL 用に設定されている場合、レプリカ Directory Server が優先 Directory Server および副 Directory Server の両方の証明書を信頼する必要があります。これは、Directory Server ハブまたは読み取り専用レプリカとともにシステムにインストールするタイプ other のすべてのディレクトリサーバープラグインに該当します。
ディレクトリサーバープラグインはその関連付けられた Directory Server と同じ CA 証明書にアクセスできます。
上図は 2 つの Directory Server マスターの場合です。しかし、複数のマスターが含まれるように拡張できます。
idsync certinfo ユーティリティーを使用し、現在の Identity Synchronization for Windows SSL 設定に基づいてどの証明書が必要かを判断できます。各証明書データベースで必要な証明書についての情報を取得するには、idsync certinfo を実行します。
SSL 用に Directory Server ソースを設定する場合、レプリカ Directory Server が、すべてのディレクトリサブコンポーネントまたはプラグインについて、優先 Directory Server と副 Directory Server の両方のソース証明書を信頼する必要があります。
Identity Synchronization for Windows が (すべての証明書を信頼する設定を有効にして) SSL 接続を確立しようとし、SSL ネゴシエーション段階でサーバーに示された証明書で提供されたホスト名がサーバーのホスト名と一致しない場合、Identity Synchronization for Windows コネクタは接続の確立を拒否します。
Identity Synchronization for Windows 設定のディレクトリソースホスト名は常に、そのディレクトリソースに使用される証明書に組み込まれたホスト名と一致する必要があります。
「引数」では、idsync certinfo サブコマンドとともに使用できる引数について説明します。
表 10–4 certinfo 引数
引数 |
説明 |
---|---|
-h CR-hostname |
設定ディレクトリのホスト名を指定します。この引数は、デフォルトでコアインストール中に指定された値になります。 |
-p CR-port-no |
設定ディレクトリの LDAP ポート番号を指定します。(デフォルトは 389) |
-D bind-DN |
設定ディレクトリのバインド識別名 (DN) を指定します。この引数は、デフォルトでコアインストール中に指定された値になります。 |
-w bind-password | - |
設定ディレクトリのバインドパスワードを指定します。- 値はパスワードを標準入力 (STDIN) から読み取ります。 |
-s rootsuffix |
設定ディレクトリのルートサフィックスを指定します。ここで、ルートサフィックスは dc=example,dc=com のような識別名です。この引数は、デフォルトでコアインストール中に指定された値になります。 |
-q configuration_password |
設定パスワードを指定します。- 値はパスワードを標準入力 (STDIN) から読み取ります。 |
次の例は、idsync certinfo を使用して、SSL 通信で実行するよう指定されたシステムコンポーネントを検索します。この例の結果は、2 つのコネクタ (CNN101 と CNN100) を識別し、適切な CA 証明書をインポートする場所について指示します。
:\Program Files\Sun\MPS\isw- hostname\bin idsync certinfo -h CR-hostname -p 389 -D "cn=Directory Manager" -w dirmanager -s dc=example,dc=com -q password コネクタ: CNN101 証明書データベースの場所: C:\Program Files\Sun\MPS\isw- hostname\etc\CNN101 Active Directory から「Active Directory CA」証明書を取得し、 次のサーバーの Active Directory コネクタ証明書データベースに インポートします。 ldaps::/ hostname.example.com:636 コネクタ: CNN100 証明書データベースの場所: C:\Program Files\Sun\MPS\isw- hostname\etc\CNN100 Directory Server 証明書データベースから「Directory Server CA」 証明書をエクスポートし、次のディレクトリサーバーコネクタ証明書 データベースにインポートします。 ldaps://hostname.example.com:636 次の Active Directory サーバーから「Active Directory CA」証明書を エクスポートします。 hostname.example.sun.com:389 そして、次のサーバーの Directory Server サーバー証明書データ ベースにインポートします。 ldaps://hostname.example.com:638 成功 |
次の手順に従って、自己署名付き証明書を使用して Directory Server で SSL を有効にします。
わかりやすいように手順を省略しています。詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』を参照してください。
Windows では、ISW-host-name \shared\bin フォルダにある Identity Synchronization for Windows 6.0 に付属の certutil バージョンを使用します。
Linux では、certutil はデフォルトで /opt/sun/private/bin にインストールされます。
Directory Server で SSL を有効にするには、次の手順を参照してください。
DS インスタンスを作成します。
/opt/SUNWdsee/ds6/bin/dsadm create -p non-ldap-port-P ldap-secure-port <DS-server-root>/slapd-< hostname>
インスタンスを起動します。
/opt/SUNWdsee/ds6/bin/dsadm start <DS-server-root>/slapd-<hostname >
自己署名付き証明書を作成します。
/opt/SUNWdsee/ds6/bin/dsadm add-selfsign-cert -S "cn=<machine name with domain>,O=< preferred root suffix>"/<DS-server-root>/slapd-< hostname>/<certificate name>
ここで、S は個別の証明書を作成してそれをデータベースに追加し、2 番目の変数は Directory Server インスタンスのパスを示し、最後の変数は証明書エイリアス用です。
この証明書にサーバーのプロパティーを設定します。
/opt/SUNWdsee/ds6/bin/dsconf set-server-prop -p non-ldap-port ssl-rsa-cert-name:< certificate name>
DS を再起動します。
/opt/SUNWdsee/ds6/bin/dsadm restart /<DS-server-root>/slapd-<hostname >/
ここで、DS を停止してデフォルト証明書を削除します (これによって上記で生成された証明書がデフォルト証明書になる)。
/opt/SUNWdsee/ds6/bin/dsadm stop /<DS-server-root>/slapd-< hostname>/
ここでデフォルト証明書を削除します。
/opt/SUNWdsee/ds6/bin/dsadm remove-cert /<DS-server-root>/slapd-< hostname>/ defaultCert
ここで、最初の変数は slapd パスを示し、2 番目の変数は証明書のエイリアスを示します。上記のデフォルト証明書をエクスポートする場合は、次のコマンドを実行します。
/opt/SUNWdsee/ds6/bin/dsadm export-cert -o /<any path>/slapd-cert.export /<DS-server-root>/slapd-< hostname>/ <original default cert alias>
ここで、o は出力ファイル (/<any path>/slapd-cert.export )、2 番目の変数は slapd パスを示し、3 番目の変数は証明書エイリアスを示します。
必ず Directory Server で SSL を有効にしてください。ディレクトリサーバーコネクタの証明書データベースにインポートできるように Directory Server証明書を一時ファイルにエクスポートするには、次のコマンドを発行します。
<ISW-server-root>\shared\bin\certutil.exe -L -d . -P slapd-hostname- -n server-cert -a \ > C:\s-cert.txt
ISW-server-root は、ISW-hostname ディレクトリのあるパスです。
これらの例は、サーバーのルートのすぐ下のエイリアス ディレクトリで実行します。それ以外の場合、Directory Server は証明書データベースを見つけられません。
必ず Directory Server で SSL を有効にしてください。CA 証明書を取得するには、次のコマンドを発行します。
/opt/SUNWdsee/ds6/bin/dsadm export-cert -o /<any path> /slapd-cert.export /<DS-server-root>/slapd-<hostname>/ <original default cert alias>
Identity Synchronization for Windows は自動的にActive Directory SSL 証明書を SSL 経由で取得し、それらをコネクタの証明書データベースにコネクタに指定した資格と同じものでインポートします。
しかし、エラーが発生 (たとえば、無効な資格が見つかった、または SSL 証明書が見つからなかったなど) した場合は、Active Directory CA 証明書を取得して、それをコネクタの証明書データベースに追加できます。手順については次を参照してください。
エラーが発生した場合、次に説明するように certutil (Windows 2000/2003 に付属のプログラム) または LDAP を使用して Active Directory 証明書を取得できます。
この節で説明する certutil コマンドは、前述の Directory Server に付属の certutil コマンドとは異なります。
Active Directory マシンから次のコマンドを実行して証明書をエクスポートします。
C:\>certutil -ca.cert cacert.bin |
その後 cacert.bin ファイルを証明書データベースにインポートできます。
Active Directory に対して次の検索を行います。
ldapsearch -h CR-hostname -D administrator_DN -w administrator_password -b "cn=configuration,dc=put,dc=your,dc=domain,dc=here" "cacertificate=*" |
ここで、administrator_DN は次のようになります。
cn=administrator,cn=users,dc=put,dc=your,dc=domain,dc=here |
この例で、ドメイン名は put.your.domain.name.here です。
いくつかのエントリが検索フィルタに一致します。この DN で cn=Certification Authorities, cn=Public Key Services を使用したエントリがおそらく必要です。
テキストエディタを開いて、最初の CA 証明書属性の最初の値を切り取ります (Base64 で符号化されたテキストブロックになります)。値 (テキストブロック) をテキストエディタに貼り付けます (値のみ)。どの行も空白から始まらないようにコンテンツを編集します。
最初の行の前に -----BEGIN CERTIFICATE-----、最後の行のあとに -----END CERTIFICATE----- を追加します。次の例を参照してください。
-----BEGIN CERTIFICATE----- MIIDvjCCA2igAwIBAgIQDgoyk+Tu14NGoQnxhmNHLjANBgk qhkiG9w0BAQUFADCBjjEeMBwGCSqGSIb3DQEJARYPYmVydG 9sZEBzdW4uY29tMQswCQYDVQQGEwJVUzELMAkGA1UECBMCV FgxDzANBgNVBAcTBkF1c3RpbjEZMBcGA1UEChMQU3VuIE1p Y3Jvc3lzdGVtczEQMA4GA1UECxMHaVBsYW5ldDEUMBIGA1U EAxMLUmVzdGF1cmFudHMwHhcNMDIwMTExMDA1NDA5WhcNMT IwMTExMDA1OTQ2WjCBjjEeMBwGCSqGSIb3DQEJARYPYmVyd G9sZEBzdW4uY29tMQswCQYDVQQGEwJVUELMAkGA1UECBMCV FgxDzANBgNVBAcTBkF1c3RpbjEZMBcGA1UEChMQU3VuIE1p Y3Jvc3lzdGVtczEQMA4GA1UECxMHaVBsYW5ldDEUMBIGA1U EAxMLUmVzdGF1cmFudHMwXDANBgkqhkiG9w0BAQEFAANLAD BIAkEAyekZa8gwwhw3rLK3eV/12St1DVUsg31LOu3CnB8cM HQZXlgiUgtQ0hm2kpZ4nEhwCAHhFLD3iIhIP4BGWQFjcwID AQABo4IBnjCCAZowEwYJKwYBBAGCNxQCBAYeBABDAEEwCwY DVR0PBAQDAgFGMA8GA1UdEwEB/wQFMAMBAf8wHQYDVR0OBB YEFJ5Bgt6Oypq7T8Oykw4LH6ws2d/IMIIBMgYDVR0fBIIBK TCCASUwgdOggdCggc2GgcpsZGFwOi8vL0NOPVJlc3RhdXJh bnRzLENOPWRvd2l0Y2hlcixDTj1DRFAsQ049UHVibGljJTI wS2V5JTIwU2VydmljZXMsQ049U2VydmljZXMsQ049Q29uZm lndXJhdGlvbixEQz1yZXN0YXVyYW50cyxEQz1jZW50cmFsL RPXN1bixEQz1jb20/Y2VydGlmaWNhdGVSZXZvY2F0aW9u TGlzdD9iYXNlP29iamVjdGNsYXNzPWNSTERpc3RyaWJ1dGl vblBvaW50ME2gS6BJhkdodHRwOi8vZG93aXRjaGVyLnJlc3 RhdXJhbnRzLmNlbnRyYWwuc3VuLmNvbS9DZXJ0RW5yb2xsL 1Jlc3RhdXJhbnRzLmNybDAQBgkrBgEEAYI3FQEEAwIBADAN BgkqhkiG9w0BAQUFAANBAL5R9R+ONDdVHWu/5Sd9Tn9dpxN 8oegjS88ztv1HD6XSTDzGTuaaVebSZV3I+ghSInsgQbH0gW 4fGRwaI BvePI4= -----END CERTIFICATE----- |
証明書をファイル (ad-cert.txt など) に保存します。
その後、このファイル (ad-cert.txt など) を証明書データベースにインポートできます。次の節 「Active Directory 証明書のコネクタの証明書データベースへの追加」に進みます。
この手順は、Active Directory コネクタのインストール後にコネクタに対して SSL を有効にしている場合、またはインストール中に無効な資格が指定された場合にのみ使用します。
Active Directory コネクタがインストールされたマシンで Identity Synchronization for Windows サービス/デーモンを停止します。
次のいずれかの方法で Active Directory CA 証明書を取得します。
Active Directory コネクタのコネクタ ID が CNN101 (コネクタ ID からその ID が管理するディレクトリソースへのマッピングについては logs/central/ error.log を参照) であると仮定して、それがインストールされたマシンの証明書データベースディレクトリに移動して、証明書をファイルをインポートします。
certutil を使用して証明書を取得した場合は、次のように入力します。
<ISW-server-root>\shared\bin\certutil.exe -A -d . -n ad-ca-cert -t C,, -i \cacert.bin
LDAP を使用して証明書を取得した場合は、次のように入力します。
<ISW-server-root>\shared\bin\certutil.exe -A -d . -n ad-ca-cert -t C,, -a -i \ad-cert.txt
ISW-server-root は、ISW-hostname ディレクトリのあるパスです。
Solaris では、次の方法で dsadm コマンドを使用して証明書をインポートできます。
/opt/SUNWdsee/ds6/bin/dsadm add-cert -C <DS-server-root>/slapd-<hostname>/ ad-ca-cert cacert.bin
ここで、ad-ca-cert はインポート後に割り当てられた証明書の名前で、cacert.bin はインポートしようとしている証明書です。
Identity Synchronization for Windows サービス/デーモンを再起動します。
Directory Server の certutil.exe は Directory Server のインストール時に自動的にインストールされるため、Directory Server のないマシンにインストールされたコネクタに CA 証明書を追加することはできません。
少なくとも、Active Directory コネクタがインストールされたサーバーに、Directory Server パッケージから Sun Java System サーバーの基本ライブラリと Sun Java System サーバーの基本システムライブラリをインストールする必要があります。管理サーバーや Directory Server のコンポーネントをインストールする必要はありません。
また、アンインストールできるように、コンソールで JRE サブコンポーネントを選択します。
必ず Directory Server で SSL を有効にしてください。
次のいずれかの方法で Active Directory CA 証明書を取得します。
Directory Server を停止します。
cacert.bin を Windows の場合は <DS-server-root>\slapd-hostname\alias フォルダにインポートします。Solaris と Linux の場合は、<DS-server-root>/slapd-hostname/alias ディレクトリにインポートします。
Directory Server がインストールされたマシンで、次の手順に従って Active Directory CA 証明書をインポートします。
certutil を使用して証明書を取得した場合は、次のように入力します。
<ISW_server_root>\shared\bin\certutil.exe -A -d . -P slapd-hostname- -n ad-ca-cert -t C,, -i \cacert.bin |
証明書が LDAP を使用して取得された場合は、次のように入力します。
<ISW_server_root>\shared\bin\certutil.exe -A -d . -P slapd-hostname- -n ad-ca-cert -t C,, -a -i \ad-cert.txt |
ISW-server-root は、ISW-hostname ディレクトリのあるパスです。
証明書が Solaris 上で dsadm コマンドを使用して取得された場合は、次のように入力します。
/opt/SUNWdsee/ds6/bin/dsadm add-cert -C <DS-server-root> /slapd-<hostname>/ ad-ca-cert cacert.bin |
ここで、ad-ca-cert はインポート後に割り当てられた証明書の名前で、cacert.bin はインポートしようとしている証明書です。
Directory Server を起動します。
ディレクトリサーバープラグインと Active Directory 間で SSL 通信を有効にしている場合は、Active Directory CA 証明書を各 Directory Server マスターの証明書データベースに追加します。
ディレクトリサーバーコネクタがインストールされたマシンで Identity Synchronization for Windows サービス/デーモンを停止します。
Directory Server CA 証明書を取得します。
Directory Server のコネクタ ID が CNN100 (コネクタ ID からその ID が管理するディレクトリソースへのマッピングについては logs/example/error.log を参照) であると仮定して、それがインストールされたマシンの証明書データベースディレクトリに移動して cacert.bin ファイルをインポートします。
<ISW_server_root>\shared\bin\certutil.exe -A -d . -n ds-cert -t C,, -i C:\s-cert
ISW-server-root は、ISW-hostname ディレクトリのあるパスです。
Identity Synchronization for Windows サービス/デーモンを再起動します。
Identity Synchronization for Windows は、インストールや設定の状態、毎日のシステム動作、配備に関連するエラー状況についての情報を提供します。
この章では、次の節でこの情報にアクセスして理解する方法について説明します。
Identity Synchronization for Windows のコンソールの「状態」タブでさまざまな種類の情報を表示できます。
左側のナビゲーションツリー区画の次のノードの 1 つを選択すると、「状態」タブに表示される内容がその項目に固有の情報に変わります。
ディレクトリソース: ディレクトリソースの状態情報を表示するには、そのディレクトリソースノード (dc=example、dc=com など) を選択します。
To Do: Identity Synchronization for Windows を正常にインストールし、設定するために必要な手順のリストを表示するにはこのノードを選択します (終了した手順はグレー表示される)。
エラーファイル: システムのエラー状況についての情報を表示するには、このノードを選択します。エラーログは、基本的にエラーエントリのみが表示されるフィルタとして機能します。
この節では、Identity Synchronization for Windows で使用できるさまざまなログについて説明します。
Identity Synchronization for Windows コンポーネントが Message Queue にアクセスできるかぎり監査とエラーのメッセージはすべて Identity Synchronization for Windows のセントラルロガーに記録されます。結果として、すべてのコンポーネントのメッセージを含むこれらのセントラルログが監視のための一次ログとなります。
セントラルログは、コアがインストールされたマシンの次のディレクトリに配置されます。
Solaris の場合: /var/opt/SUNWisw/logs
Linux の場合: /var/opt/sun/isw/logs
Windows の場合: installation_root/isw-machine_name /logs/central/
ログ名 |
説明 |
各同期イベントについてのメッセージを含む error.log のスーパーセット。 |
|
各セントラルログには、各コンポーネント ID についての情報も含まれます。次にその例を示します。
[2003/03/14 14:48:23.296 -0600] INFO 13 "System Component Information: SysMgr_100 is the system manager (CORE); console is the Product Console User Interface; CNN100 is the connector that manages [example.com (ldaps:// server1.example.com:636)]; CNN101 is the connector that manages [dc=example,dc=com (ldap:// server2.example.com:389)];" |
セントラルロガーに加えて、各コンポーネントには独自のローカルログがあります。セントラルロガーに記録できない場合は、これらのローカルログを使用して、コネクタで問題を診断できます。
各コネクタ、システムマネージャー、セントラルロガーには次のローカルログがあります。
表 11–2 ローカルログ
ログ名 |
説明 |
---|---|
audit.log |
各同期イベントについてのメッセージを含む error.log のスーパーセット。これらのメッセージはセントラル audit.log にも書き込まれます。 |
警告と重要なメッセージが報告されます。これらのメッセージはセントラル error.log にも書き込まれます。 |
Solaris の場合: /var/opt/SUNWisw/logs
Linux の場合: /var/opt/sun/isw/logs
Windows の場合: installation_root/isw-machine_name /logs/central/
sysmgr および clogger100 (セントラルロガー) ディレクトリは、コアがインストールされたマシンにあります。
Identity Synchronization for Windows は、次のように日付を含むログファイルに現在のログを移動し、これらのローカルコンポーネントログを毎日ローテーションします。
audit_2004_08_06.log
デフォルトで Identity Synchronization for Windows はコネクタログを 10 日後に削除します。Log.properties の com.sun.directory.wps.logging.maxmiumDaysToKeepOldLogs 値を編集し、サービスデーモンを再起動すると、この期間を延長できます。
次の Windows NT サブコンポーネントにもローカルログがあります。
パスワードフィルタ DLL
これらのサブコンポーネントログは、次のディレクトリの SUBC1XX (たとえば、SUBC100) サブディレクトリにあります。
installation_root/isw-machine_name/logs/
Identity Synchronization for Windows はこれらのファイルのサイズを 1M バイトに制限し、最新の 10 のログのみを維持します。
ディレクトリサーバープラグインは、ディレクトリサーバーコネクタを介してセントラルログにログ情報を記録します。また、Directory Server ログ機能を介してもログ情報を記録します。この結果、ローカルディレクトリサーバープラグインログメッセージは、Directory Server エラーログにも保存されます。
Directory Server は他のディレクトリサーバープラグインとコンポーネントからの情報をエラーログに保存します。Identity Synchronization for Windows ディレクトリサーバープラグインからのメッセージを特定するために、isw 文字列を含む行をフィルタで除外できます。
デフォルトでは、最低限のプラグインメッセージのみがエラーログに表示されます。次に例を示します。
[14/Jun/2004:17:08:36 -0500] - ERROR<38747> - isw - conn=-1 op=-1 msgId=-1 - Plug-ins unable to establish connection to DS Connector at attila:1388, will retry later
次のように DSCC を使用して、Directory Server エラーログのデフォルトの詳細レベルを変更できます。
Directory Service Control Center にログインします。
「ディレクトリサーバー」タブページでログレベルを設定するサーバーをクリックします。
「サーバー設定」タブを選択してから「エラーロギング」タブを選択します。
「一般 」->「ログに追加する項目」セクションで「プラグイン」を選択します。
「保存」をクリックします。
コマンド行を使用してプラグインのログ記録を有効にできます。
$ dsconf set-log-prop errors level:err-plugins
Directory Server のログ記録の詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の第 15 章「Directory Server のログ」を参照してください。
時刻: ログエントリが生成された日時を示します。次に例を示します。
[13/Aug/2004:06:14:36:753 -0500]
レベル: ログメッセージの重要度と詳細レベルを示します。Identity Synchronization for Windows は、次のログレベルを使用します。
スレッド識別子: イベントを発生させた関数の Java スレッド識別子を表示します。
ID: イベントを発生させたコンポーネント (コンソール、システムマネージャーなど) を特定します。
ホスト: イベントを発生させたホスト名を表示します。
メッセージ: イベントに関連する監査またはエラーの情報を表示します。次に例を示します。
“Resetting Central Logger configuration ...” “System manager is shutting down.” “Processing request (ID=ID_number from the console to stop synchronization.”
コンソールを開き「設定」タブを選択します。
ナビゲーションツリー区画で「ログ」ノードが表示されるまでノードを展開します。
「ログ」ノードを選択します。「設定」タブに「ログファイル」パネルが表示されます。
「ログファイル」区画を使用して、次のようにログファイルを設定します。
「ログをファイルに書き込む」このオプションを有効にすると、ログがコアホスト上のファイルに書き込まれます。
このオプションを選択したあと、次を実行できます。
デフォルト ログディレクトリとファイル (たとえば、 /var/opt/SUNWisw/logs/central) を有効にします。
「ログファイルを書き込むディレクトリ」オプションを有効にしてから、ログファイルのパスとファイル名を指定します。
コンソールは、指定されたログファイルの場所が実際に存在するかどうか確認しません。存在しない場合は、セントラルロガーがログディレクトリを作成しようとします。このため、ログを表示しようとするまで存在しないログの場所を指定して保存したことはわかりません。ログの表示を何度か試行したあと、コンソールが指定した場所にログを見つけられないというメッセージが表示されます。
Solaris の場合のみ — 「syslog デーモンにログを書き込む」: Identity Synchronization for Windows が Solaris プラットフォーム上にある場合にこのオプションを有効にします。ドロップダウンリストを使用してログを書き込むカテゴリを選択します。(デフォルトは DAEMON)
このオプションを選択すると、Identity Synchronization for Windows はすべてを syslog に書き込みますが、syslog はデフォルトによって WARNING と SEVERE のメッセージのみをログ記録するよう設定されています。
INFO メッセージを記録するように syslog を設定するには、/etc/syslog.conf を編集し、次の行を変更します。
*.err;kern.debug;daemon.notice;mail.crit /var/adm/messages |
から
*.err;kern.debug;daemon.notice;daemon.info;mail.crit /var/adm/messages |
この変更を行ったあと、次のように syslog デーモンを再起動します。
/etc/init.d/syslog stop ; /etc/init.d/syslog start |
FINE、FINER、および FINEST ログを有効にするには、セミコロンで区切ったリストに daemon.debug を入れます。
「古いログの削除」: ログファイルの数は (1 日に 1 つずつ) 無限に増え続けます。ディスク容量を使い果たさないように、このオプションを有効にして、プログラムがセントラルログファイルから古いログを削除できる時を指定します。
たとえば、30 日と指定すると、Identity Synchronization for Windows は 31 日目にすべてのファイルを削除します。
「ログレベル」: ドロップダウンリストを使用してシステムログで確認できる詳細レベルを選択します。(「ログの読み取り」を参照)
「ログ設定の保存」ボタンをクリックして、選択したオプションに基づいてログファイルを作成します。
ナビゲーションツリー区画で「ディレクトリソース」ノードを展開してから、ディレクトリソースノード (dc=example、dc=com など) を選択します。
「状態」タブの内容が選択したディレクトリソースに関連した情報に変わります。
ディレクトリソースの状態を表示している場合は、基本的にそのディレクトリソースに関連付けられたコネクタの状態を表示しています。
このタブの情報を更新するには、「更新」をクリックします。「状態」タブには次の情報が表示されます。
「状態」: ディレクトリソースの現在の状態を反映します。有効な状態は次のとおりです。
「Uninstalled」: コネクタはインストールされていません。
「Installed」: コネクタはインストールされていますが、実行時設定をまだ受け取っていないため、同期の準備ができていません。コネクタが 1 分以上この状態のままの場合は、問題が発生している可能性があります。
「Ready」: コネクタは同期の準備ができていますが、現在どのオブジェクトとも同期していません。同期が開始されていない場合や、同期が開始されたがすべてのサブコンポーネントがコネクタとの接続を確立していない場合、コネクタは「Ready」状態のままになります。
「Syncing」: コネクタはオブジェクトと同期中です。変更が同期していないと気付いた場合は、エラーの場合があるため、エラーログを確認してください。
「Active」: ディレクトリソースがアクティブかダウンしているかを示します。
ナビゲーションツリー区画で「To Do」ノードを展開します。
インストールと設定の手順のチェックリストを表示するように「状態」タブの内容が変わります (たとえば、「ディレクトリソースの状態の表示」を参照)。
右上の「更新」ボタンをクリックしてリストを更新します。
手順を完了すると、チェックマークが付き、グレー表示されます。インストールと設定のプロセスを正常に完了するには、残りの手順を完了してください。
ナビゲーションツリー区画で「監査ファイル」ノードまたは「エラーファイル」ノードを展開します。
「状態」タブの内容が変わり、現在のログが表示されます。
「更新」をクリックして最新の監査またはエラー情報をロードします。
「状態」タブには次の情報が表示されます。
配備内に Windows NT マシンがある場合は、監査が有効になっているかを確認します。有効になっていないと、Identity Synchronization for Windows はそのマシンからのメッセージをログ記録できません。