前へ      目次      索引      次へ
Sun Java™ System Identity Manager 7.0 リソースリファレンス

---

LDAP

Identity Manager は、Lightweight Directory Access Protocol (LDAP) v3 をサポートするために次のリソースアダプタを提供します。

GUI 名	クラス名
LDAP	com.waveset.adapter.LDAPResourceAdapter
LDAP Listener Active Sync	com.waveset.adapter.LDAPListenerActiveSyncAdapter

LDAP アダプタは、LDAP 用のプロビジョニングサービスを提供します。LDAP サーバーのレプリケーションの更新履歴ログを読み取り、それらの変更を Identity Manager ユーザーまたはカスタムワークフローに適用することもできます。

LDAP リスナー Active Sync アダプタは、サーバー上で行われた変更を LDAP リスナーによって検出し、それらをキューに入れ、スケジューリング間隔で処理します。このリスナーは、Identity Manager サーバーを常時接続する必要がある場合のデモを主な目的としています。アダプタが実行されていない間の変更は失われます。

注	LDAP ChangeLog Active Sync アダプタは非推奨になりました。このアダプタのすべての機能は、LDAP リソースアダプタに統合されました。非推奨のアダプタを使用するリソースの既存のインスタンスは引き続き機能しますが、LDAP ChangeLog Active Sync アダプタを使用するリソースを新しく作成することはできません。

リソースを設定する際の注意事項

LDAP アダプタで使用するための Sun Java^TM System Directory Server リソースを設定するには、サーバーを設定して更新履歴ログを有効にし、変更情報の追跡を有効にします。この操作は、ディレクトリサーバーの設定タブで行います。

「レプリケーション」フォルダをクリックし、更新履歴ログを有効にします。5.0 以降のサーバーでは、RetroChangelog スナップインも有効にします。設定タブで、プラグインオブジェクトに移動し、旧バージョン形式の更新履歴ログプラグインを選択して有効にします。
新規作成または変更されたエントリの特殊な属性を維持するようにサーバーが設定されていることを確認するには、Directory Server コンソールの「設定」タブをクリックし、左側の区画でナビゲーションツリーのルートエントリを選択します。
「設定」サブタブをクリックし、「エントリの変更時間を記録」ボックスにチェックマークが付いていることを確認します。

サーバーは、イベントが Identity Manager から起動されたかどうかを判断するために、新しく作成または変更したエントリに、次の属性を追加します。

creatorsName: そのエントリを最初に作成したユーザーの DN。
modifiersName: そのエントリを最後に変更したユーザーの DN。

自己署名付き証明書が実装されたディレクトリサーバーに SSL 経由で接続するには、次の手順を実行します。

CA 証明書をディレクトリサーバーから一時ファイルにエクスポートします。たとえば、Sun Java^TM System Directory の場合は、次のコマンドを入力します。

certutil -L -d DB_Directory -P slapd-HostName- -n Nickname -a > ds-cert.txt

この証明書をキーストアにインポートします。

cd $JAVA_HOME/jre/lib/security

keytool -import -file PathTo/ds-cert.txt -keystore ./cacerts
-storepass changeit -trustcacerts

Identity Manager 上で設定する際の注意事項

このリソースに必要な追加のインストール手順はありません。

使用上の注意

ここでは、LDAP リソースアダプタの使用に関する情報を示します。次のトピックで構成されています。

全般的な注意事項
仮想リスト表示のサポート
ActiveSync 設定

LDAP リソース上のパスワード同期の有効化については、「LDAP パスワードの同期」を参照してください。

全般的な注意事項

LDAP に接続するときは、管理者アカウント CN=Directory Manager を使用するのではなく、Identity Manager サービスアカウントを作成するようにしてください。LDAP Directory Server 管理ツールを使用して、各ベースコンテキストで ACI (アクセス制御命令) を介してアクセス権を設定します。

ACI でのアクセス権をソースに基づいて設定します。アダプタからアイデンティティー情報の源泉となるソースに接続する場合は、読み取り、検索、および (場合によっては) 比較のアクセス権のみを設定します。アダプタを書き戻し用に使用する場合は、書き込みと (場合によっては) 削除のアクセス権を設定します。

注	更新履歴ログの監視にアカウントを使用する場合は、cn=changelog で ACI も作成するようにしてください。更新履歴ログのエントリに対しては書き込みも削除もできないため、アクセス権は読み取りと検索のみに設定するとよいでしょう。

リスナーアダプタの場合は、「変更者フィルタ」リソースパラメータに指定したユーザーによる変更は無視されます。Identity Manager 側からリソース変更を行う際に、アダプタが使用するユーザー DN をここに追加します。これにより、Identity Manager 自身がリソースに対してある変更を行なった場合に、その変更内容を Identity Manager が検出し、リソースに適用する、というループ状態に陥るのを避けることができます。このフィールドを空白にすると、管理者による変更が処理され、不要な場合は Identity Manager のプロビジョニングエンジンによってフィルタされます

waveset.properties ファイル内の sources.ResourceName.hosts プロパティーを使用して、Active Sync を使用してリソースの同期を行うのにクラスタ内のどのホストを使用するかを制御できます。ResourceName は、リソースオブジェクトの名前に置き換えてください。

仮想リスト表示のサポート

注	ここでは、Identity Manager が RootDN 以外のユーザーとして LDAP リソースに接続することを前提としています。RootDN ユーザーとして接続する場合は、ここで説明する手順を適用できますが、ほかの LDAP 属性値でも可能な場合があります。詳細は、Directory Server のマニュアルを参照してください。

Directory Server では、検索できる LDAP エントリの数と取得できる LDAP エントリの数を、それぞれ nsLookThroughLimit 属性と nsslapd-sizelimit 属性によって定義します。nsLookThroughLimit のデフォルト値は 5,000 ですが、nsslapd-sizelimit のデフォルトは 2,000 です。どちらの属性も、-1 を設定することにより制限を無効にできます。これらの属性の値を変更した場合は、Directory Server を再起動してください。

必ずしもデフォルト値を変更した方がよいとは限りません。LDAP 検索のパフォーマンスを向上させるために、LDAP 仮想リスト表示 (VLV) コントロールを有効にできます。VLV は、一度にすべての検索結果を返さず、検索結果の一部を返します。

「ブロックを使用」リソース属性を使用すると、VLV コントロールの使用によって Identity Manager のクエリー結果を常にサイズ制限の範囲内に収めることができます。「ブロック数」リソース属性は、取得するユーザーの数を指定しますが、この値は nsslapd-sizelimit 属性に設定された値より小さいかまたは等しい値にする必要があります。

VLV インデックス (参照インデックスとも呼ばれる) を作成してください。作成しないと、nsslapd-sizelimit によるサイズ制限が有効なままになります。VLV インデックスによってアカウントの反復処理のパフォーマンスが大幅に向上するため、調整、リソースからの読み込み、またはファイルへのエクスポートを頻繁に行う予定である場合は、インデックスを設定するようにしてください。

VLV インデックスの作成の詳細な手順については、Directory Server のマニュアルを参照してください。基本的なプロセスは次のとおりです。

次のプロパティーを持つ vlvsearch オブジェクトを作成します。

vlvbase: YourBaseContext

vlvfilter: (&(objectclass=top)(objectclass=person)
(objectclass=organizationalPerson) (objectclass=inetorgperson))

vlvscope: 2

vlvbase 属性は、「ベースコンテキスト」リソース属性に指定した値と一致させてください。vlvfilter 属性には、「オブジェクトクラス」リソース属性に指定したクラスを、ここに示した形式で含めてください。vlvscope の値 2 は、サブツリー検索を示します。

vlvindex コンポーネントを vlvsearch のサブオブジェクトとして作成します。vlvsort 属性を uid に設定してください。
vlvindex コマンドまたはほかのメカニズムを使用して、VLV インデックスを構築します。
ACI (アクセス制御命令) を介して次の項目のアクセス権を設定します。
vlvsearch オブジェクト
vlvindex
インデックスが作成されたディレクトリ

更新履歴ログの VLV を設定するには、次の一般的な手順に従います。詳細な手順については、Directory Server のマニュアルを参照してください。

更新履歴ログの参照インデックスをまだ作成していない場合は、作成します。Directory Server のユーザーインタフェースを使用すると、デフォルトで、"MCC cn=changelog" という名前の vlvsearch オブジェクトと "SN MCC cn=changelog" という名前の vlvindex オブジェクトが作成されます。
アクセス制御命令 (ACI) を介してアクセス権を設定し、Identity Manager アカウントが次の項目の読み取り、比較、および検索の権限を持つようにします。
更新履歴ログ (cn=changelog)
vlvsearch オブジェクト (cn="MCC cn=changelog",cn=config,cn=ldbm)
vlvindex オブジェクト ("SN MCC cn=changelog",cn=config,cn=ldbm)

注	Directory Server の一部のバージョンでは、更新履歴ログの nsLookThroughLimit 属性に 5,000 という値がハードコードされます。更新履歴ログの検索制限に達しないようにするには、サーバーに保持される更新履歴ログのエントリの最大数を 5,000 未満に制限します。更新履歴ログのエントリが消失しないようにするには、アダプタのポーリング頻度を短い間隔に設定します。

ActiveSync 設定

Identity Manager 5.5 より前の LDAP Active Sync アダプタは、「変更時に実行するプロセス」フィールドを使用して、変更が検出されたときに起動するプロセスを判断していました。このフィールドに指定されていたプロセスは、現在は Active Sync の解決プロセス規則に指定されます。

また、Identity Manager 5.5 より前のバージョンでは、「削除を更新として処理」チェックボックスが選択されている場合、Identity Manager は、削除された Identity Manager ユーザーとすべてのリソースアカウントを無効にし、あとで削除するためにユーザーにマークを付けていました。このチェックボックスは、デフォルトで選択されていました。Identity Manager 5.5 以降では、削除規則セットを「なし」に設定することによってこの機能が設定されます。

チェックボックスの選択が以前に解除されていた場合は、削除規則が「ActiveSync has isDeleted set」に設定されます。

アカウントの無効化と有効化

LDAP アダプタには、LDAP リソース上のアカウントを無効にするための方法が複数用意されています。アカウントを無効にするには、次のいずれかの手法を使用します。

パスワードを不明な値に変更する

アカウントのパスワードを不明な値に変更することによってアカウントを無効にするには、「アクティブ化メソッド」フィールドと「アクティブ化パラメータ」フィールドを空白のままにします。これは、アカウントを無効にするときのデフォルトの方法です。無効になったアカウントは、新しいパスワードを割り当てることによって再度有効にできます。

nsmanageddisabledrole ロールを割り当てる

nsmanageddisabledrole LDAP ロールを使用してアカウントの無効化と有効化を行うには、LDAP リソースを次のように設定します。

「リソースパラメータ」ページで、「アクティブ化メソッド」フィールドを nsmanageddisabledrole に設定します。
「アクティブ化パラメータ」フィールドを IDMAttribute=CN=nsmanageddisabledrole,baseContext に設定します。IDMAttribute は、次の手順でスキーマに指定します。
「アカウント属性」ページで、IDMAttribute を アイデンティティーシステム ユーザー属性として追加します。リソースユーザー属性を nsroledn に設定します。この属性のタイプは文字列にしてください。
LDAP リソース上に nsAccountInactivationTmp という名前のグループを作成し、CN=nsdisabledrole,baseContext をメンバーとして割り当てます。

これで、LDAP アカウントを無効にできます。LDAP コンソールを使用して検証するには、nsaccountlock 属性の値を確認します。値が true であれば、アカウントはロックされています。

あとでアカウントが再度有効にされると、ロールからアカウントが削除されます。

nsAccountLock 属性を設定する

nsAccountLock 属性を使用してアカウントの無効化と有効化を行うには、LDAP リソースを次のように設定します。

「リソースパラメータ」ページで、「アクティブ化メソッド」フィールドを nsaccountlock に設定します。
「アクティブ化パラメータ」フィールドを、IDMAttribute=true に設定します (IDMAttribute は、次の手順でスキーマに指定する)。 たとえば、accountLockAttr=true とします。
「アカウント属性」ページで、「アクティブ化パラメータ」フィールドに指定した属性 (たとえば、accountLockAttr) をアイデンティティーシステム ユーザー属性として追加します。リソースユーザー属性を nsaccountlock に設定します。この属性のタイプは文字列にしてください。
リソース上で、nsAccountLock LDAP 属性を true に設定します。

LDAP アカウントを無効化すると、Identity Manager は、nsaccountlock の値を true に設定します。また、すでに nsaccountlock が true に設定されていたユーザーについても、Identity Manager は、それらの LDAP アカウントを無効とみなします。nsaccountlock の値が true 以外の値に設定されている、もしくは何も値が設定されていない場合は、それらのアカウントは有効であるとみなします。

nsmanageddisabledrole 属性や nsAccountLock 属性を使用せずにアカウントを無効にする

使用中のディレクトリサーバーでは nsmanageddisabledrole 属性や nsAccountLock 属性を使用できないが、アカウントを無効にする同様の方法がある場合は、「アクティブ化メソッド」フィールドに次のいずれかのクラス名を入力します。「アクティブ化パラメータ」フィールドに入力する値は、クラスによって異なります。

クラス名	使用する状況
com.waveset.adapter.util. ActivationByAttributeEnableFalse	ディレクトリサーバーは、属性を false に設定することによってアカウントを有効にし、属性を true に設定することによってアカウントを無効にします。 この属性をスキーママップに追加します。次に、「アクティブ化パラメータ」フィールドに、(スキーママップの左側に定義された) この属性の Identity Manager 名を入力します。
com.waveset.adapter.util. ActivationByAttributeEnableTrue	ディレクトリサーバーは、属性を true に設定することによってアカウントを有効にし、属性を false に設定することによってアカウントを無効にします。 この属性をスキーママップに追加します。次に、「アクティブ化パラメータ」フィールドに、(スキーママップの左側に定義された) この属性の Identity Manager 名を入力します。
com.waveset.adapter.util. ActivationByAttributePullDisablePushEnable	Identity Manager は、LDAP から属性と値のペアを引き出すことによってアカウントを無効にし、LDAP に属性と値のペアをプッシュすることによってアカウントを有効にします。 この属性をスキーママップに追加します。次に、「アクティブ化パラメータ」フィールドに属性と値のペアを入力します。スキーママップの左側に定義されている、属性の Identity Manager 名を使用します。
com.waveset.adapter.util. ActivationByAttributePushDisablePullEnable	Identity Manager は、LDAP に属性と値のペアをプッシュすることによってアカウントを無効にし、LDAP から属性と値のペアを引き出すことによってアカウントを有効にします。 この属性をスキーママップに追加します。次に、「アクティブ化パラメータ」フィールドに属性と値のペアを入力します。スキーママップの左側に定義されている、属性の Identity Manager 名を使用します。
com.waveset.adapter.util. ActivationNsManagedDisabledRole	ディレクトリは、特定のロールを使用してアカウントステータスを決定します。このロールにアカウントが割り当てられている場合、そのアカウントは無効になります。 このロール名をスキーママップに追加します。次に、「アクティブ化パラメータ」フィールドに次の形式で値を入力します。 IDMAttribute=CN=roleName,baseContext IDMAttribute は、スキーママップの左側に定義されている、ロールの Identity Manager 名です。

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

Identity Manager は、TCP/IP または SSL 経由の Java Naming and Directory Interface (JNDI) を使用して LDAP アダプタと通信します。

TCP/IP を使用する場合は、リソース編集ページでポート 389 を指定します。
SSL を使用する場合は、ポート 636 を指定します。

必要な管理特権

「ユーザー DN」リソースパラメータに値 cn=Directory Manager を指定すると、Identity Manager 管理者には、LDAP アカウント管理に必要なアクセス権が付与されます。別の識別名を指定する場合は、そのユーザーに、ユーザーの読み取り、書き込み、削除、および追加のアクセス権を付与してください。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。

機能	サポート状況
アカウントの有効化/無効化	使用可
アカウントの名前変更	使用可
パススルー認証	使用可
前アクションと後アクション	使用不可
データ読み込みメソッド	リソースから直接インポート リソースの調整

アカウント属性

属性がサポートされるかどうかは、通常、属性の構文 (または型) によって決まります。一般に、Identity Manager は boolean 型、文字列型、整数型、およびバイナリ型の構文をサポートします。バイナリ属性は、バイト配列としてのみ安全に表現できる属性です。

次の表に、サポートされている LDAP 構文の一覧を示します。ほかの LDAP 構文でも、事実上 boolean 型、文字列型、または整数型であれば、サポートされる可能性があります。オクテット文字列はサポートされません。

LDAP 構文	属性タイプ	オブジェクト ID
Audio	Binary	1.3.6.1.4.1.1466.115.121.1.4
Binary	Binary	1.3.6.1.4.1.1466.115.121.1.5
Boolean	Boolean	1.3.6.1.4.1.1466.115.121.1.7
Country String	String	1.3.6.1.4.1.1466.115.121.1.11
DN	String	1.3.6.1.4.1.1466.115.121.1.12
Directory String	String	1.3.6.1.4.1.1466.115.121.1.15
Generalized Time	String	1.3.6.1.4.1.1466.115.121.1.24
IA5 String	String	1.3.6.1.4.1.1466.115.121.1.26
Integer	Int	1.3.6.1.4.1.1466.115.121.1.27
Postal Address	String	1.3.6.1.4.1.1466.115.121.1.41
Printable String	String	1.3.6.1.4.1.1466.115.121.1.44
Telephone Number	String	1.3.6.1.4.1.1466.115.121.1.50

デフォルトのアカウント属性

次の属性は、LDAP リソースアダプタの「アカウント属性」ページに表示されます。特に記載されていないかぎり、属性の型はすべて String です。

アイデンティティーシステム の属性	リソース ユーザー属性	LDAP 構文	説明
accountId	uid	Directory string	ユーザー ID
accountId	cn	Directory string	必須。 ユーザーのフルネーム。
firstname	givenname	Directory string	ユーザーの名。
lastname	sn	Directory string	必須。 ユーザーの姓。
modifyTimeStamp	modifyTimeStamp	Generalized time	ユーザーエントリが変更された日時を示します。 デフォルトでは、この属性は LDAP リスナー ActiveSync アダプタでのみ表示されます。
objectClass	objectClass	OID	アカウントのオブジェクトクラス この属性は、Active Sync が更新を正しく処理するために必要です。
password	userPassword	Octet string	暗号化された値。 ユーザーのパスワード。

グループ管理属性

次の表に示すアカウント属性は、デフォルトではスキーマに表示されません。グループを管理するには、これらの属性をスキーママップに追加してください。

アイデンティティーシステム の属性	リソース ユーザー属性	LDAP 構文	説明
user defined	ldapGroups	ldapGroups	LDAP ユーザーがメンバーになっているグループの識別名のリスト。 リソース属性である「グループメンバー属性」で は、ユーザーの識別名を含むように更新される LDAP グループエントリの属性を指定します。「グループメンバー属性」のデフォルト値は、uniquemember です。
user defined	posixGroups	N/A	LDAP ユーザーがメンバーになっている posixGroups エントリの識別名のリスト。 アカウントに Posix グループのメンバーシップを割り当てるには、そのアカウントが uid LDAP 属性の値を持っている必要があります。posixGroup エントリの memberUid 属性は、ユーザーの uid を含むように更新されます。

スキーママップに posixGroups または ldapGroups が定義されている場合は、次の動作に注意してください。

LDAP アカウントが削除されると、Identity Manager はすべての LDAP グループからそのアカウントの DN を削除し、すべての posixGroups からそのアカウントの uid を削除します。
アカウントの uid が変更されると、Identity Manager は、該当する posixGroups 内で、古い uid を新しい uid で置き換えます。
アカウントの名前が変更されると、Identity Manager は、該当する LDAP グループ内で、古い DN を新しい DN で置き換えます。

Person オブジェクトクラス

次の表に、LDAP Person オブジェクトクラスで定義される追加のサポート対象属性の一覧を示します。Person オブジェクトクラスに定義されている属性の一部は、デフォルトで表示されます。

アイデンティティーシステム の属性	リソース ユーザー属性	LDAP 構文	説明
description	Directory string	String	ユーザーの特定の関心事についての簡潔でわかりやすい説明
seeAlso	DN	String	ほかのユーザーへの参照
telephoneNumber	Telephone number	String	第一電話番号

Organizationalperson オブジェクトクラス

次の表に、LDAP organizationalperson オブジェクトクラスで定義される追加のサポート対象属性の一覧を示します。このオブジェクトクラスは、Person オブジェクトクラスから属性を継承することもできます。

リソースユーザー属性	LDAP 構文	属性タイプ	説明
destinationIndicator	Printable string	String	この属性は、電報サービスに使用されます。
facsimileTelephoneNumber	Facsimile telephone number	String	第一 FAX 番号。
internationaliSDNNumber	Numeric string	String	オブジェクトに関連付けられた国際 ISDN 番号を指定します。
l	Directory string	String	都市、国、その他の地理的領域などの地域の名前
ou	Directory string	String	組織単位の名前
physicalDeliveryOfficeName	Directory string	String	配達物の送付先となるオフィス。
postalAddress	Postal address	String	ユーザーの勤務先オフィスの所在地。
postalCode	Directory string	String	郵便配達用の郵便番号。
postOfficeBox	Directory string	String	このオブジェクトの私書箱番号。
preferredDeliveryMethod	Delivery method	String	受取人への優先される送付方法
registeredAddress	Postal Address	String	受信者に配達を受け入れてもらう必要がある電報や速達文書の受け取りに適した郵便の宛先。
st	Directory string	String	州名または都道府県名
street	Directory string	String	郵便の宛先の番地部分。
teletexTerminalIdentifier	Teletex Terminal Identifier	String	オブジェクトに関連付けられたテレテックス端末の識別子。
telexNumber	Telex Number	String	国際表記法によるテレックス番号。
title	Directory string	String	ユーザーの役職を格納します。このプロパティーは、一般に、プログラマーのような職種ではなく、「シニアプログラマー」のような正式な役職を示すために使用されます。通常、Esq. や DDS などの敬称には使用されません。
x121Address	Numeric string	String	オブジェクトの X.121 アドレス。

inetOrgPerson オブジェクトクラス

次の表に、LDAP inetOrgPerson オブジェクトクラスで定義される追加のサポート対象属性の一覧を示します。このオブジェクトクラスは、organizationalPerson オブジェクトクラスから属性を継承することもできます。

アイデンティティーシステム の属性	リソース ユーザー属性	LDAP 構文	説明
audio	Audio	Binary	オーディオファイル。
businessCategory	Directory string	String	組織で実施されているビジネスの種類。
carLicense	Directory string	String	自動車の登録番号 (ナンバープレート)
departmentNumber	Directory string	String	組織内の部署を特定します
displayName	Directory string	String	エントリを表示するときに優先的に使用されるユーザーの名前
employeeNumber	Directory string	String	組織内の従業員を数値で示します。
employeeType	Directory string	String	従業員、契約社員などの雇用形態。
homePhone	Telephone number	String	ユーザーの自宅電話番号。
homePostalAddress	Postal address	String	ユーザーの自宅住所。
initials	Directory string	String	ユーザーのフルネームの各部のイニシャル
jpegPhoto	JPEG	Binary	JPEG 形式のイメージ。
labeledURI	Directory string	String	ユーザーに関連付けられた URI (Universal Resource Indicator) とオプションのラベル。
mail	IA5 string	String	1 つ以上の電子メールアドレス。
manager	DN	String	ユーザーのマネージャーのディレクトリ名。
mobile	Telephone number	String	ユーザーの携帯電話番号。
o	Directory string	String	組織の名前。
pager	Telephone number	String	ユーザーのポケットベル番号。
preferredLanguage	Directory string	String	優先される、ユーザーの書き言葉または話し言葉の言語。
roomNumber	Directory string	String	ユーザーのオフィスの電話番号。
secretary	DN	String	ユーザーの秘書のディレクトリ名。
userCertificate	certificate	Binary	バイナリ形式の証明書。

リソースオブジェクトの管理

Identity Manager は、デフォルトで次の LDAP オブジェクトをサポートします。文字列ベース、整数ベース、またはブールベースの属性も管理できます。

リソースオブジェクト	サポートされる機能	管理される属性
Group	作成、更新、削除、名前の変更、名前を付けて保存	cn、description、owner、uniqueMember
Posix Group	作成、更新、削除、名前の変更、名前を付けて保存	cn、description、gid、memberUid
Domain	検索	dc
Organizational Unit	作成、削除、名前の変更、名前を付けて保存、検索	ou
Organization	作成、削除、名前の変更、名前を付けて保存、検索	o

LDAP リソースアダプタは、posixGroup エントリの管理機能を提供します。デフォルトでは、posixGroup に割り当てることができるアカウントのリストに posixAccount オブジェクトクラスが含まれています。LDAP Create Posix Group Form と LDAP Update Posix Group Form をカスタマイズして、posixAccount 以外のアカウントを一覧表示できます。ただし、これらのアカウントに対して、posixGroup のメンバーになるための uid 属性を定義する必要があります。

アイデンティティーテンプレート

デフォルトのアイデンティティーテンプレートは次のとおりです。

uid=$accountId$,ou=EngUsers,dc=support,dc=waveset,dc=com

デフォルトのテンプレートを有効な値で置き換えてください。

サンプルフォーム

組み込みのフォーム

LDAP Create Group Form
LDAP Create Organization Form
LDAP Create Organizational Unit Form
LDAP Create Person Form
LDAP Create Posix Group Form
LDAP Update Group Form
LDAP Update Organization Form
LDAP Update Organizational Unit Form
LDAP Update Person Form
LDAP Update Posix Group Form

その他の利用可能なフォーム

LDAPActiveSyncForm.xml
LDAPGroupCreateExt.xml
LDAPGroupUpdateExt.xml
LDAPgroupScalable.xml
LDAPPasswordActiveSyncForm.xml

LDAPGroupCreateExt.xml フォームと LDAPGroupUpdateExt.xml フォームには、一意でないメンバー名を入力できます。

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスのうち 1 つ以上でトレースオプションを設定します。

com.waveset.adapter.LDAPResourceAdapterBase
com.waveset.adapter.LDAPResourceAdapter
com.waveset.adapter.LDAPListenerActiveSyncAdapter

前へ      目次      索引      次へ

---

Part No: 820-1584.   Copyright 2006 Sun Microsystems, Inc. All rights reserved.