![]() | |
Sun Java™ System Identity Manager 7.0 リソースリファレンス |
Windows NTWindows NT リソースアダプタは、com.waveset.adapter.NTResourceAdapter クラスで定義されます。サポート内容は次のとおりです。
リソースを設定する際の注意事項
ここでは、双方向のトラストを持つ複数のドメインでの Windows NT のプロビジョニングについて説明します。
単一のドメインから複数のドメインを管理する場合は、次の制約が適用されます。
次のトラストを確立してください。
- ゲートウェイドメインは、リソース管理アカウントが定義されている各ドメインを信頼する必要があります。
- ゲートウェイはリソース管理アカウントを使用してローカルにログインするので、そのドメインはそのアカウントが存在するドメインを信頼する必要があります。
- ゲートウェイドメインは、パススルー認証を実行する各ドメインを信頼する必要があります。
- ゲートウェイはローカルにログインしてユーザーアカウントを認証するので、そのドメインはそれらのアカウントのドメインを信頼する必要があります。
- リソース管理アカウントは、アカウントの管理に使用される各ドメインにある Account Operators のメンバーにします。これらの各ドメインは、そのリソース管理アカウントが含まれているドメインを信頼する必要があります。
- アカウントのドメインがローカルグループのドメインに信頼されていないかぎり、ローカルグループにそのアカウントを追加することはできません。
- サービスアカウントのドメインは、ゲートウェイドメインに信頼されている必要があります。
ゲートウェイサービスが開始されると、サービスアカウントのローカルログインが行われます。いずれかのリソース管理アカウントがサービスアカウントと異なる場合、またはいずれかのドメインでパススルー認証を実行する場合、サービスアカウントは、ゲートウェイドメイン内に、「Act As Operating System」ユーザー権限と「Bypass Traverse Checking」のユーザー権限を必要とします。ログイン後、別のユーザーとして振る舞うには、これらの権限がサービスアカウントに必要です。
ホームディレクトリを作成する場合、リソース管理アカウントは、ディレクトリを作成しようとするファイルシステム上でディレクトリを作成できる必要があります。ホームディレクトリをネットワークドライブ上に作成する場合は、リソース管理アカウントに、その共有ディレクトリへの書き込みアクセス権を付与します。
リソース前アクションとリソース後アクションを実行する場合は、リソース管理アカウントに、ゲートウェイプロセスの TEMP または TMP 環境変数で定義されたファイルシステムか、環境変数が定義されていない場合はゲートウェイプロセスの作業ディレクトリ (WINNT または WINNT¥system32) に対する読み取りと書き込みのアクセス権が必要です。
ゲートウェイは、それらのディレクトリの 1 つ (ディレクトリは記載されている順序で選択される) に、スクリプトとスクリプト出力を書き込みます。
ドメインごとに個別のリソースアダプタを設定します。同じゲートウェイホストを使用してもかまいません。
各ユーザーのドメイン固有のリソース属性 (ドメイン、および場合によっては管理者とパスワード) をオーバーライドすることにより、単一のリソースを使用して複数の ドメインを管理することもできます。
Identity Manager 上で設定する際の注意事項
Windows NT アダプタに必要な追加のインストール手順はありません。
使用上の注意
なし
セキュリティーに関する注意事項
ここでは、サポートされる接続と特権の要件について説明します。
サポートされる接続
Identity Manager は、Sun Identity Manager Gateway を使用してこのアダプタと通信します。
必要な管理特権
管理者には、リソースのユーザーとグループを作成および保守するためのアクセス権を付与してください。
プロビジョニングに関する注意事項
次の表に、このアダプタのプロビジョニング機能の概要を示します。
Windows 2000 モードで稼働する Windows 2003 で Active Directory パススルー認証をサポートするには、次の管理特権が必要です。
- ユーザーとして実行するゲートウェイを設定する場合は、Windows NT および Windows 2000/Active Directory リソースでパススルー認証を実行できるように、そのユーザーに「Act As Operating System」ユーザー権限を付与します。そのユーザーには「Bypass Traverse Checking」のユーザー権限も必要ですが、この権限はデフォルトですべてのユーザーに対して使用可能となっています。
- 認証されるアカウントには、ゲートウェイシステムで、「Access this computer from the network」権限を付与します。
- Identity Manager でユーザー権限を更新している場合は、セキュリティーポリシーが伝播されるまでに遅延が生じる可能性があります。ポリシーが伝達されたら、ゲートウェイを再起動します。
- アカウント認証を実行する場合は、LOGON32_LOGON_NETWORK ログオンタイプと LOGON32_PROVIDER_DEFAULT ログオンプロバイダを指定した LogonUser 関数を使用します。LogonUser 関数は、Microsoft Platform Software Development Kit で提供されています。
アカウント属性
次の表に、Windows NT アカウント属性に関する情報を示します。
リソースオブジェクトの管理
Identity Manager は、次のオブジェクトをサポートしています。
アイデンティティーテンプレート
$accountId$
サンプルフォーム
組み込みのフォーム
Windows NT Create Group Form
Windows NT Update Group Form
その他の利用可能なフォーム
NTForm.xml
トラブルシューティング
Identity Manager のデバッグページを使用して、次のクラスにトレースオプションを設定します。
com.waveset.adapter.NTResourceAdapter