test

Sun Java System Directory Server Enterprise Edition 6.3 インストールガイド

同期ユーザーリストの定義の理解

同期ユーザーリスト (SUL) にはすべて、2 つの定義が含まれています。1 つは同期する Directory Server ユーザーを識別し、もう 1 つは同期する Windows ユーザーを識別します。

各定義は同期するディレクトリ内のユーザー、同期から除外するユーザー、新しいユーザーの作成場所を識別します。

注 –

Identity Synchronization for Windows コンソールを使用して選択したオブジェクトクラスによっても、同期されるユーザーが決まります。プログラムは、選択したオブジェクトクラスを持つこれらのユーザーのみを同期します。これには、選択したオブジェクトクラスのサブクラスを持つユーザーも含まれます。

たとえば、inetorgperson オブジェクトクラスは organizationalPerson オブジェクトクラスのサブクラスであるため、organizationalPerson オブジェクトクラスを選択すると、Identity Synchronization for Windows によってユーザーが inetorgperson オブジェクトクラスと同期されます。

「同期ユーザーリストの定義の理解」では、SUL 定義コンポーネントについて説明します。

表 D–1 SUL 定義コンポーネント

コンポーネント 

定義 

設定できる 

   
   

Sun 

AD 

NT 

Base DN

同期されるすべてのユーザーの親 LDAP ノードを定義します。 

同期ユーザーリストのベース DN には、ユーザーが同期ユーザーリストのフィルタで除外されているか、ユーザーの DN がより具体的な同期ユーザーリストで一致していないかぎり、その DN のユーザーがすべて含まれます。たとえば、ou=sales,dc=example,dc=com のようになります。

可能 

可能 

不可 

Filter

ユーザーを同期ユーザーリストに含める、または除外するために使用する LDAP のようなフィルタを定義します。フィルタには、&| !=、および * の各演算子を含めることができます。\>=<= の各演算子はサポートされていません。比較はすべて大文字と小文字を区別しない文字列比較を使用して行われます。

たとえば、(& (employeeType=manager)(st=CA)) には、カリフォルニアのマネージャーのみが含まれます。

可能 

可能 

可能 

Creation Expression

新しく作成されたユーザーの親 DN とネーミング属性を定義します (作成を有効にしている場合にのみ該当)。 

作成式には、同期ユーザーリストのベース DN を含めます。たとえば、cn=%cn%,ou=sales,dc=example,dc=com のようになります。ここで、%cn% トークンは作成されるユーザーエントリの値に置き換えられます。

可能 

可能 

不可 

注 –

複数の Active Directory ドメインを持つ Sun Java System Directory Server でユーザーを同期するには、Active Directory ドメインごとに SUL を少なくとも 1 つ定義します。

グループ同期が有効になっている場合は、次のことを確認してください。

  1. Active Directory でサポートされる作成式は cn=%cn% です。

  2. 作成式はユーザーとグループの両方に共通であるため、作成式にはグループオブジェクトクラスに属する有効な属性名を含めてください。

    次に例を示します。

    属性 sn は、Directory Server の groupofuniquenames オブジェクトクラスの一部ではありません。したがって、グループオブジェクトでは、次の作成式は無効になります。(ただし、ユーザーオブジェクトでは正しく機能する。)


    cn=%cn%.%sn%

  3. 作成式に使用される属性には、作成されるすべてのユーザー/グループエントリの値を指定します。値が指定されないと、ユーザー/グループオブジェクトが同期されず、該当するメッセージがセントラルログに記録されます。

複数の SUL を定義した場合、各 SUL 定義を繰り返し一致させることで Identity Synchronization for Windows によって SUL 内のメンバーシップが決定されます。プログラムはより具体的なベース DN を持つ SUL 定義を最初に調べます。たとえば、プログラムは dc=example,dc=com の前に ou=sales,dc=example,dc=com に対する一致をテストします。

2 つの SUL 定義のベース DN が同じでフィルタが異なる場合、Identity Synchronization for Windows はどのフィルタを最初にテストするか自動的に決定できません。このため、ドメイン重複の解決機能を使用して 2 つの SUL 定義の順序を決定してください。ユーザーが SUL 定義のベース DN と一致したが、そのベース DN のいずれのフィルタも一致しない場合、ユーザーが具体性が低いベース DN のフィルタを一致させた場合でもプログラムはそのユーザーを同期から除外します。