Windows NT リソースアダプタは、com.waveset.adapter.NTResourceAdapter クラスで定義されます。サポート内容は次のとおりです。

リソースを設定する際の注意事項

ここでは、双方向のトラストを持つ複数のドメインでの Windows NT のプロビジョニングについて説明します。

単一のドメインから複数のドメインを管理する場合は、次の制約が適用されます。


注	ここで使用されている用語を次に示します。ゲートウェイドメイン - ゲートウェイマシンがメンバーになっているドメイン。リソース管理アカウント - Identity Manager リソースで定義された管理アカウント。サービスアカウント - ゲートウェイサービスを実行しているアカウント。

ゲートウェイドメインは、リソース管理アカウントが定義されている各ドメインを信頼する必要があります。

ゲートウェイはリソース管理アカウントを使用してローカルにログインするので、そのドメインはそのアカウントが存在するドメインを信頼する必要があります。

ゲートウェイドメインは、パススルー認証を実行する各ドメインを信頼する必要があります。

ゲートウェイはローカルにログインしてユーザーアカウントを認証するので、そのドメインはそれらのアカウントのドメインを信頼する必要があります。

リソース管理アカウントは、アカウントの管理に使用される各ドメインにある Account Operators のメンバーにします。これらの各ドメインは、そのリソース管理アカウントが含まれているドメインを信頼する必要があります。

アカウントのドメインがローカルグループのドメインに信頼されていないかぎり、ローカルグループにそのアカウントを追加することはできません。

サービスアカウントのドメインは、ゲートウェイドメインに信頼されている必要があります。

ゲートウェイサービスが開始されると、サービスアカウントのローカルログインが行われます。いずれかのリソース管理アカウントがサービスアカウントと異なる場合、またはいずれかのドメインでパススルー認証を実行する場合、サービスアカウントは、ゲートウェイドメイン内に、「Act As Operating System」ユーザー権限と「Bypass Traverse Checking」のユーザー権限を必要とします。ログイン後、別のユーザーとして振る舞うには、これらの権限がサービスアカウントに必要です。

ホームディレクトリを作成する場合、リソース管理アカウントは、ディレクトリを作成しようとするファイルシステム上でディレクトリを作成できる必要があります。ホームディレクトリをネットワークドライブ上に作成する場合は、リソース管理アカウントに、その共有ディレクトリへの書き込みアクセス権を付与します。

リソース前アクションとリソース後アクションを実行する場合は、リソース管理アカウントに、ゲートウェイプロセスの TEMP または TMP 環境変数で定義されたファイルシステムか、環境変数が定義されていない場合はゲートウェイプロセスの作業ディレクトリ (WINNT または WINNT¥system32) に対する読み取りと書き込みのアクセス権が必要です。

ゲートウェイは、それらのディレクトリの 1 つ (ディレクトリは記載されている順序で選択される) に、スクリプトとスクリプト出力を書き込みます。

ドメインごとに個別のリソースアダプタを設定します。同じゲートウェイホストを使用してもかまいません。

各ユーザーのドメイン固有のリソース属性 (ドメイン、および場合によっては管理者とパスワード) をオーバーライドすることにより、単一のリソースを使用して複数のドメインを管理することもできます。



注	ドメインはそれ自体を信頼するので、問題になっている 2 つのドメインが実際には同じドメインであるときに、明確にする必要がないトラスト関係もあります。管理するすべてのドメインのリソース管理アカウントに同じアカウントを使用できます。また、適切なトラスト関係、グループメンバーシップ、およびユーザー権限を設定すれば、サービスアカウントにも同じアカウントを使用できます。

Identity Manager 上で設定する際の注意事項

Windows NT アダプタに必要な追加のインストール手順はありません。

使用上の注意

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

Identity Manager は、Sun Identity Manager Gateway を使用してこのアダプタと通信します。

必要な管理特権

管理者には、リソースのユーザーとグループを作成および保守するためのアクセス権を付与してください。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。


機能	サポート状況
アカウントの有効化/無効化	使用可
アカウントの名前変更	使用可
パススルー認証	使用可
前アクションと後アクション	使用可
データ読み込みメソッド	リソースからインポート調整

Windows 2000 モードで稼働する Windows 2003 で Active Directory パススルー認証をサポートするには、次の管理特権が必要です。

ユーザーとして実行するゲートウェイを設定する場合は、Windows NT および Windows 2000/Active Directory リソースでパススルー認証を実行できるように、そのユーザーに「Act As Operating System」ユーザー権限を付与します。そのユーザーには「Bypass Traverse Checking」のユーザー権限も必要ですが、この権限はデフォルトですべてのユーザーに対して使用可能となっています。

認証されるアカウントには、ゲートウェイシステムで、「Access this computer from the network」権限を付与します。

Identity Manager でユーザー権限を更新している場合は、セキュリティーポリシーが伝播されるまでに遅延が生じる可能性があります。ポリシーが伝達されたら、ゲートウェイを再起動します。

アカウント認証を実行する場合は、LOGON32_LOGON_NETWORK ログオンタイプと LOGON32_PROVIDER_DEFAULT ログオンプロバイダを指定した LogonUser 関数を使用します。LogonUser 関数は、Microsoft Platform Software Development Kit で提供されています。

アカウント属性

次の表に、Windows NT アカウント属性に関する情報を示します。


リソースユーザー属性	タブ/NT フィールド	属性タイプ
AccountLocked	全般/アカウントのロックアウト	Boolean
description	全般/説明	String
fullname	全般/フルネーム	String
groups	所属するグループ/所属するグループ	String
HomeDirDrive	プロファイル/接続	String
HomeDirectory	プロファイル/ローカルパス	String
LoginScript	プロファイル/ログオンスクリプト	String
PasswordNeverExpires	全般/パスワードを無期限にする	Boolean
Profile	プロファイル/プロファイルパス	String
userPassword	パスワード	Encrypted
WS_PasswordExpired	全般/ユーザーは次回ログオン時にパスワード変更が必要	Boolean
PasswordAge	デフォルトでは表示されません。最後にパスワードを変更してからの経過時間を示します。実装するには、java.util.Date クラスを使用して、人間が読める形式に値を変換します。	Int

リソースオブジェクトの管理

Identity Manager は、次のオブジェクトをサポートしています。

アイデンティティーテンプレート

サンプルフォーム

組み込みのフォーム

その他の利用可能なフォーム

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスにトレースオプションを設定します。

前へ目次索引次へ
Sun Java™ System Identity Manager 7.0 リソースリファレンス