Identity Synchronization for Windows でアカウントのロックアウトを有効化する
アカウントのロックアウト機能を有効にするには、Directory Server と Active Directory の間で異なっている一部の属性をマップする必要があります。アカウントのロックアウトは有効にする必要があります。Active Directory と Directory Server の両方で、パスワードポリシーを同じにする必要があります。この設定により、ロックアウトおよびロックアウト解除のイベントが、Active Directory と Directory Server の間で双方向的に行き来できるようになります。
Identity Synchronization for Windows では、Active Directory と Directory Server の間で次のイベント同期を行うことができます。
-
ロックアウトイベントの同期 (Active Directory から Directory Server へ)
-
ロックアウトイベントの同期 (Directory Server から Active Directory へ)
-
手動でのロックアウト解除イベントの同期 (Active Directory から Directory Server へ)
-
手動でのロックアウト解除イベントの同期 (Directory Server から Active Directory へ)
アカウントのロックアウトに必要な前提条件
アカウントのロックアウト機能を有効にする前に、両方のコンポーネントで属性 lockoutDuration を同じ値に設定してください。また、分散セットアップに関係するすべてのシステム間で時刻が一致していることも確認してください。時刻が一致していないと、lockoutDuration の設定がシステム間の時刻差よりも短い場合に、ロックアウトイベントが期限切れとなる可能性があります。
アカウントのロックアウト機能の使用
アカウントのロックアウトの同期を有効にするには、Directory Server の 属性 accountUnlockTime と Active Directory の属性 lockoutTime の間でマッピングを行う必要があります。accountUnlockTime は、passwordObject オブジェクトクラスを使用してスキーマをロードしたあとで、コンソールで選択可能になります。
アカウントのロックアウト機能を使用するための要件
アカウントのロックアウトポリシーを、Active Directory データソースと Directory Server データソースの両方で同様に設定してください。
-
アカウントのロックアウト継続時間を、Active Directory データソースと Directory Server データソースの両方で同じ値に設定してください。
-
Active Directory データソースの LockoutTime を、Directory Server データソースの AccountUnLockoutTime にマップする必要があります。
インストールの詳細については、ソフトウェアに付属の README を参照してください。
- © 2010, Oracle Corporation and/or its affiliates