前へ      目次      索引      次へ
Sun Java System Identity Synchronization for Windows 1 2004Q3 インストールおよび設定ガイド

付録 A
Identity Synchronization for Windows のコマンド行ユーティリティの使用

Identity Synchronization for Windows では、さまざまなタスクをコマンド行から実行できます。この付録では、Identity Synchronization for Windows のコマンド行ユーティリティを使用して各種タスクを実行する方法について説明します。この章で説明する内容は次のとおりです。

「共通機能」
「idsync コマンドの使用」
「移行ユーティリティ forcepwchg の使用」

---

共通機能

Identity Synchronization for Windows の各コマンド行ユーティリティは、次の機能を共有しています。

「共通引数」
「パスワードの入力」
「ヘルプの参照」

共通引数

ここでは、ほとんどのコマンド行ユーティリティに共通する引数 (オプション) について説明します。次の表に、引数の情報をまとめて示します。

表 A-1 「すべてのサブコマンドに共通する引数」は、prepds を除く idsync のすべてのサブコマンドと移行ツールに共通する、次の引数について説明している

-D <bind-DN> -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]

注	角括弧 ([ ]) は、省略可能な引数を示します。 Identity Synchronization for Windows のインストールプログラムは、インストール時に指定された情報に基づいて、-h、-p、-D、-s の各引数に自動的にデフォルト値を書き込みます。ただし、コマンド行で別の値を指定した場合は、デフォルト値に優先して適用されます。 マルチバイト文字をサポートするために、Identity Synchronization for Windows は -s <rootsuffix> と -D <bind-DN> のデフォルト値を base64 形式で符号化し、コマンド行インタフェース (CLI) の環境ファイルに書き込みます。ルートサフィックスのデフォルトは変更できません。バインド DN のデフォルトは、コマンド行でオーバーライドしたり、CLI 環境ファイル内の base64 形式で符号化された適切な値で更新したりすることが可能です。

表 A-2 「すべてのサブコマンドに共通する SSL 関連引数」は、SSL (Secure Socket Layer) の使用による設定ディレクトリへの安全なアクセスに関する情報を指定するオプション引数について説明している。これらの引数は、idsync のすべてのサブコマンドと移行ツールにも共通する
表 A-3 「設定ディレクトリの引数」は、設定ディレクトリに関連する引数について説明している。これらの引数は、idsync の複数のサブコマンドと移行ツールにも共通する

注	特定のサブコマンドだけで使用される引数については、該当するサブコマンドの項で説明します。

表 A-1 すべてのサブコマンドに共通する引数

引数	説明
-h <Configuration Directory-hostname>	設定ディレクトリのホスト名を指定する。この引数のデフォルト値は、コアのインストール時に指定された値である
-p <Configuration Directory-port-no>	設定ディレクトリの LDAP ポート番号を指定する
-D <bind-DN>	設定ディレクトリのバインド識別名 (DN) を指定する。この引数のデフォルト値は、コアのインストール時に指定された値である
-w <bind-password | ->	設定ディレクトリのバインドパスワードを指定する 値として - を指定した場合、パスワードは標準入力 (STDIN) から読み取られる
-s <rootsuffix>	設定ディレクトリのルートサフィックスを指定する。このルートサフィックスは、dc=example,dc=com などの識別名である この引数のデフォルト値は、コアのインストール時に指定された値である
-q <configuration_password | ->	設定パスワードを指定する。値として - を指定した場合、パスワードは標準入力 (STDIN) から読み取られる この引数は、prepds を除くすべてのサブコマンドで必須である

表 A-2 すべてのサブコマンドに共通する SSL 関連引数 

引数	説明
-Z	セキュリティ保護された通信のために SSL の使用を指定する。設定ディレクトリへの接続時、コマンド行インタフェースまたは優先 / 二次 Directory Server へのアクセス時に、証明書ベースのクライアント認証が行われる
-P <cert-db-path>	クライアントの証明書データベースのパスとファイル名を指定する この証明書データベースは、Directory Server の証明書データベースへの署名に使用する CA 証明書が含まれている必要がある -Z を指定し、-P を指定しない場合、<cert-db-path> はデフォルトでは <current-working-directory>/cert8.db となる 注意 : 指定されたディレクトリから Identity Synchronization for Windows が証明書データベースファイルを見つけることができない場合、cert8.db、key3.db、secmod.db の 3 ファイルから構成される *empty* というデータベースがそのディレクトリに作成される
-m <secmod-db-path>	セキュリティモジュールデータベースへのパスを指定する。たとえば、次のように指定する /var/Sun/MPS/slapd-<serverID>/secmod.db この引数は、証明書データベースとは異なるディレクトリにセキュリティモジュールデータベースがある場合にだけ指定する

表 A-3 設定ディレクトリの引数

引数	説明
-a <ldap_filter> forcepwchg および resync サブコマンドで使用	ソース SUL からユーザーを取得するときに、指定した SUL にユーザーが該当するかどうかを確認する前に、ディレクトリソースから特定のユーザーサブセットを取得するための LDAP フィルタを指定する
-f <filename> export10cnf、importcnf、resync サブコマンドで使用	設定情報を記録した XML ドキュメントファイルの名前を指定する
-n forcepwchg、importcnf、resetconn サブコマンドで使用	実際の変更なしでコマンドの実行結果を確認できるように、安全モードで実行する

パスワードの入力

-w <bind-password> や -q <configuration_password> のようにパスワードの指定が必要な引数では、引数の値として「-」を指定することで、パスワードプログラムにパスワードを STDIN から読み取らせることができます。

複数のパスワードの指定が可能なオプションの値として「-」を指定した場合、idsync は引数の順序に基づいてパスワードを要求します。

このとき、プログラムはまず <bind-password> を想定し、次に <configuration-password> を想定します。

ヘルプの参照

次のいずれかのコマンドを使用して、コマンドコンソールから idsync またはそのサブコマンドの使用方法に関する情報を表示できます。

-help
--help
-?

使用方法に関する情報を表示するには

idsync に関する情報 (有効なサブコマンドのリストを含む) を表示するには、コマンドプロンプトにいずれかの上記ヘルプオプションを入力し、Return をクリックする
サブコマンドに関する情報を表示するには、コマンドプロンプトにサブコマンドとヘルプオプションを入力し、Return をクリックする

---

idsync コマンドの使用

idsync コマンドとサブコマンドを使用して、Identity Synchronization for Windows のコマンド行ユーティリティを実行することができます。

注	idsync コマンドを実行すると、引数に指定されたすべての DN (バインド DN やサフィックス名など) は、Directory Server への送信前に、そのウィンドウに指定されている文字セットから UTF-8 に変換されます。 サフィックス名では、エスケープ文字としてバックスラッシュを使用しないください。 Solaris 環境で UTF-8 文字を指定するには、端末ウィンドウに UTF-8 に基づくロケールが必要です。環境変数の LC_CTYPE と LANG.are が正しく設定されていることを確認してください。

特に明記されていないかぎり、idsync コマンドとサブコマンドは、次のいずれかの方法で実行できます。

Solaris 環境 :
端末ウィンドウを開き、/opt/SUNWisw/bin ディレクトリに移動 (cd) します。
次のように、1 つのサブコマンドを指定して idsync コマンドを実行します。

idsync <subcommand>

Windows 環境 :
コマンドウィンドウを開き、<install_path>¥isw-<hostname>¥bin ディレクトリに移動 (cd) します。
次のように、1 つのサブコマンドを指定して idsync コマンドを実行します。

idsync <subcommand>

表 A-4 は、idsync ユーティリティのすべてのサブコマンドとその目的を示しています。

表 A-4 idsync ユーティリティのサブコマンドのクイックリファレンス

サブコマンド	機能
certinfo	設定と SSL 設定に基づく証明書情報を表示する 「certinfo の使用」を参照
changepw	Identity Synchronization for Windows の設定パスワードを変更する 「changepw の使用」を参照
importcnf	エクスポートされた Identity Synchronization for Windows バージョン 1.0 の設定 XML ドキュメントをインポートする。「importcnf の使用」を参照
prepds	Identity Synchronization for Windows が使用できるように Sun Java System Directory Server ソースを準備する。「prepds の使用」を参照
printstat	インストールと設定のプロセスで完了が必要な手順をリスト表示する。また、インストールされているコネクタ、システムマネージャ、Message Queue の状態を出力する。「printstat の使用」を参照
resetconn	設定ディレクトリ内のコネクタの状態を UNINSTALLED (アンインストール済み) にリセットする 「resetconn の使用」を参照
resync	既存のユーザーのリンク設定と再同期を行い、インストールプロセスの一部としてディレクトリを事前に取り込む。「resync の使用」を参照
startsync	同期を開始する。「startsync の使用」を参照
stopsync	同期を終了する。「stopsync の使用」を参照

certinfo の使用

certinfo サブコマンドを使用することで、設定と SSL 設定に基づいて証明書情報を表示できます。この情報は、各コネクタ、Directory Server プラグイン、または両方の証明書データベースに追加する必要のある証明書を特定するときに役立ちます。

証明書情報を表示するには、端末ウィンドウ (またはコマンドウィンドウ) を開き、idsync certinfo コマンドを次のように入力します。

idsync certinfo [<bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]

注	certinfo サブコマンドは、コネクタと Directory Server のどちらの証明書データベースに対してもアクセス権を持たないため、表示される一部の手順はすでに実行されている可能性があります。

たとえば、次のように実行します。

idsync certinfo -w <admin-password> -q <configuration-password>

注	certinfo 引数の詳細については、「共通引数」を参照してください。

changepw の使用

changepw サブコマンドを使用することで、Identity Synchronization for Windows の設定パスワードを変更できます。

Identity Synchronization for Windows の設定パスワードを変更する手順は、次のとおりです。

Identity Synchronization for Windows のすべてのプロセス (たとえば、システムマネージャ、セントラルロガー、コネクタ、コンソール、インストーラ、アンインストーラなど) を停止します。
すべてのプロセスを停止したら、設定ディレクトリを ldif にエクスポートして ou=Services のバックアップを行います。
idsync changepw コマンドを次のように入力します。

idsync changepw [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] -b <new password | - > [-y]

たとえば、次のように実行します。

idsync changepw -w <admin password> -q <old config password> -b -q <new config password>

次の引数は、changepw だけで使用されます。

表 A-5 idsync changepw の引数

引数	説明
-b <password>	新しい設定パスワードを指定する。値として - を指定した場合、パスワードは標準入力 (STDIN) から読み取られる
[-y]	プロンプトにコマンドの確認を表示しない

注	changepw のその他の引数については、「共通引数」を参照してください。

端末ウィンドウに表示されるメッセージに応答します。たとえば、次のようなメッセージが表示されます。

本当に設定パスワードの変更を行いますか (y/n)? yes システムを再起動する前に - $PSWHOME/resources/SystemManagerBootParams.cfg ファイルを編集し、 「deploymentPassword」の値を変更します。 成功

システムを再起動する前に、SystemManagerBootParams.cfg ファイルを修正する必要があります。

$PSWHOME¥resources (この $PSWHOME は <isw-installation directory>) 内の SystemManagerBootParams.cfg ファイルには、システムマネージャが設定ディレクトリへの接続に使用する設定パスワードが含まれます。

たとえば、パスワードの値を次のように変更します。

変更前 : <Parameter name="manager.configReg.deploymentPassword" value="oldpassword"/>

変更後 : <Parameter name="manager.configReg.deploymentPassword" value="newpassword"/>

プログラムがエラーを報告する場合は、手順 2 でエクスポートした ldif を使用して設定ディレクトリを復元し、処理をやり直します。多くの場合は、設定ディレクトリをホストする Directory Server がパスワード変更時に使用不可能であったことがエラーの原因です。

importcnf の使用

警告	idsync importcnf は、Identity Synchronization for Windows バージョン 1.0 または 1.0 SP1 から 1 2004Q3 に移行する場合にだけ使用します。

コアをインストールしたら (第 3 章「コアのインストール」を参照)、Identity Synchronization for Windows バージョン 1.0 または 1.0 SP1 からエクスポートした、コアの設定情報が記録された設定 XML ファイルを idsync importcnf サブコマンドを使用してインポートします。

バージョン 1.0 または 1.0 SP1 の設定 XML ファイルをインポートするには、端末ウィンドウ (またはコマンドウィンドウ) を開き、idsync importcnf コマンドを次のように入力します。

idsync importcnf [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] -f <filename> [-n]

たとえば、次のように実行します。

idsync importcnf -w <admin_password> -q <configuration_password> -f 樽yConfig.cfg��

次の引数は、importcnf だけで使用されます。

表 A-6 idsync importcnf の引数

引数	説明
-f <filename>	設定情報を記録した XML ドキュメントの名前を指定する
-n	実際の変更なしでコマンドの実行結果を確認できるように、安全モードで実行する

注	importcnf のその他の引数については、「共通引数」を参照してください。

バージョン 1.0 または 1.0 SP1 の設定 XML ファイルをインポートしたら、Identity Synchronization for Windows のコネクタとサブコンポーネントをインストールできるように、同期対象の Directory Server ソースに対して prepds を実行する必要があります (「prepds の使用」を参照)。

prepds の使用

Identity Synchronization for Windows が使用できるように Sun Java System Directory Server ソースを準備するときは、コンソール、または prepds サブコマンドを使用します。prepds は、Directory Server コネクタのインストール前に実行する必要があります。

idsync prepds サブコマンドを実行すると、旧バージョン形式の更新履歴ログデータベースのルートノードである cn=changelog エントリに適切な ACI が適用されます。

Identity Synchronization for Windows が使用できるように優先マスター Directory Server を準備するときは、ディレクトリマネージャのクレデンシャルを指定する必要がある

ディレクトリマネージャユーザーは Directory Server の特別なユーザーで、Directory Server インスタンス内のあらゆる場所に対して完全な権限を持つ。ACI はディレクトリマネージャユーザーには適用されない

たとえば、旧バージョン形式の更新履歴ログデータベースのアクセス制御は、ディレクトリマネージャだけが設定できる。これは、優先マスターサーバーの準備で Identity Synchronization for Windows がディレクトリマネージャのクレデンシャルを必要とする理由の 1 つである

注	何らかの理由で優先 Sun ディレクトリソースの旧バージョン形式の更新履歴ログデータベースを再作成する場合、デフォルトのアクセス制御設定が適用されると Directory Server コネクタはデータベースの内容を読み込めません。 旧バージョン形式の更新履歴ログデータベースのアクセス制御設定を復元するには、idsync prepds を実行するか、コンソールで適切な Sun ディレクトリソースを選択してから「Directory Server の準備」ボタンをクリックします。

注	指定した期間の経過後に更新履歴ログのエントリを自動的に削除する (または切り取る) ようにシステムを設定することができます。コマンド行から cn=Retro Changelog Plugin, cn=plugins, cn=config の nsslapd-changelogmaxage の設定を次のように変更します。 nsslapd-changelogmaxage: IntegerTimeunit ここで Integer は数値である Timeunit は単位で、s は秒、m は分、h は時、d は日、w は週をそれぞれ意味する。Integer 変数と timeUnit 変数の間には空白を挿入しない たとえば、nsslapd-changelogmaxage: 2d のように指定します。 詳細については、『Sun JavaTM System Directory Server 5 2005Q1 管理ガイド』の「レプリケーションの管理」の章を参照してください。

二次サーバーの準備には、管理者ユーザーのクレデンシャルを使用できる

注	使用するホストとサフィックスを指定する必要があるので、idsync prepds を実行する前に Identity Synchronization for Windows の設定を計画しておいてください。 Directory Server コネクタとプラグインがすでにインストールされ、設定されている Directory Server サフィックスで idsync prepds を実行すると、同期時に Directory Server コネクタのインストールを促すメッセージが出力されます。このメッセージは無視してください。

Sun Java System Directory Server ソースを準備するには、端末ウィンドウ (またはコマンドウィンドウ) を開き、idsync prepds コマンドを次のように入力します。

idsync prepds [-D <bind-DN>] -w <bind-password | -> [-h <preferred host>] [-p <preferred-port>] [-s <database-suffix>] [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] [-j <secondary_host>] [-r <secondary-port>] [-E <admin DN of secondary host>] [-u <password for secondary host | ->] [-x]

たとえば、次のように実行します。

idsync prepds -D "cn=Directory Manager" -w <preferred master password> -h <preferred-host> -p 389 -s dc=example,dc=com -j "secondary host" -r 389 -E "cn=Administrator" -u <secondary master password> -s dc=example,dc=com

注	-h、-p、-D、 -w、-s の各引数は、prepds サブコマンド専用に再定義されています。これらの引数については、次の表で説明します。また、-q 引数は適用されません。

表 A-7 は、idsync prepds だけで使用される引数を説明しています。

表 A-7 prepds の引数 

引数	説明
-h <name>	優先ホストとして機能する Directory Server インスタンスの DNS 名を指定する
-p <port>	優先ホストとして機能する Directory Server インスタンスのポート番号を指定する デフォルトは 389
-j <name> (省略可能)	二次ホストとして機能する Directory Server インスタンスの DNS 名を指定する。Sun Java System Directory Server 5 2005Q1 のマルチマスターレプリケーション (MMR) 環境に適用される
-r <port> (省略可能)	二次ホストとして機能する Directory Server インスタンスのポート番号を指定する。Sun Java System Directory Server 5 2005Q1 のマルチマスターレプリケーション (MMR) 環境に適用される。デフォルトは 389
-D <dn>	優先ホストのディレクトリマネージャユーザーの識別名を指定する
-w <password>	優先ホストのディレクトリマネージャユーザーのパスワードを指定する 値として - を指定した場合、パスワードは標準入力 (STDIN) から読み取られる
-E <admin-DN>	二次ホストのディレクトリマネージャユーザーの識別名を指定する
-u <password>	二次ホストのディレクトリマネージャユーザーのパスワードを指定する 値として - を指定した場合、パスワードは標準入力 (STDIN) から読み取られる
-s <rootsuffix>	インデックスの追加に使用されるルートサフィックスを指定する (同期対象ユーザーが存在するルートサフィックスを指定する) 注意 : 優先ホストと二次ホストのデータベース名は異なる場合がありますが、サフィックスが異なることはありません。このため、プログラムは各ホストのデータベース名を検出し、それを使用してインデックスを追加できます。
-x	dspswuserlink 属性の等価インデックスと実在インデックスをデータベースに追加しない

レプリケートされた環境 (たとえば、優先マスター、二次マスター、2 つのコンシューマが含まれる環境など) で idsync prepds を実行するときは、優先マスターと二次マスターで idsync prepds を 1 回だけ実行します。

idsync prepds を実行する手順は、次のとおりです。

Directory Server のレプリケーションが稼動していることを確認します (該当する場合)。
コンソールから、またはコマンド行から次のように idsync prepds を実行します。

idsync prepds -h M1.example.com -p 389 -j M2.example.com -r 389 . . .

idsync prepds コマンドを実行することで、次の処理が行われます。

M1 では、次の処理が行われる
RCL を有効化および拡張し、より多くの属性 (dspswuserlink など) を取り込む

RCL は M1 だけで必要とされる

スキーマを拡張する
ACI に uid=pswconnector,<suffix> user を追加する
dspswuserlink 属性にインデックスを追加する。これにより、インデックス作成が完了するまで Directory Server は一時的に読み取り専用になる

ダウン時間を避けるために、インデックスを後から追加することもできるが、インデックスの追加は Directory Server コネクタのインストール前に完了させる必要がある

M2 では、インデックスを追加する

注	レプリケーションにより、Identity Synchronization for Windows はスキーマ情報と uid=pswconnector を優先マスターから二次マスターと両方のコンシューマにコピーする Directory Server コネクタは 1 回だけインストールする。Directory Server プラグインは、すべてのディレクトリにインストールする必要がある インデックス作成は、優先マスターと二次マスターだけで必要とされる。インデックスの設定は、レプリケーションによって優先マスターから二次マスターに伝達されない

printstat の使用

printstat サブコマンドを使用することで、次の操作を行えます。

インストールと設定を完了するために実行が必要な残りの手順をリスト表示する
インストールされているコネクタ、システムマネージャ、Message Queue の状態を出力する

状態の種類は、次のとおりです。

UNINSTALLED : コネクタはインストールされていない
INSTALLED : コネクタはインストールされているが、実行時設定を受信していないため、同期の準備は整っていない
READY : コネクタは同期の準備が整っているが、どのオブジェクトも同期させていない
SYNCING : コネクタはオブジェクトを同期させている

インストールされているコネクタ、システムマネージャ、Message Queue の状態を出力するには、端末ウィンドウ (またはコマンドウィンドウ) を開き、idsync printstat コマンドを次のように入力します。

idsync printstat [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]

たとえば、次のように実行します。

idsync printstat -w <admin password> -q <configuration password>

注	printstat の引数については、「共通引数」を参照してください。

resetconn の使用

resetconn サブコマンドを使用することで、設定ディレクトリ内のコネクタの状態を UNINSTALLED にリセットできます。たとえば、ハードウェアの障害によってコネクタをアンインストールできなくなった場合は、コネクタを再インストールできるように、resetconn を使用してコネクタの状態を UNINSTALLED (アンインストール済み) に変更します。

警告	resetconn サブコマンドは、ハードウェアまたはアンインストーラに障害が発生した場合の使用だけが想定されています。

コネクタの状態をコマンド行からリセットするには、端末ウィンドウ (またはコマンドウィンドウ) を開き、idsync resetconn コマンドを次のように入力します。

idsync resetconn [-D <bind-DN>] -w <bind-password> | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] -e <directory-source-name> [-n]

たとえば、次のように実行します。

idsync resetconn -w <admin password> -q <configuration_password> -e "dc=example,dc=com"

表 A-7 は、resetconn だけで使用される引数を説明しています。

表 A-8 idsync resetconn の引数 

引数	説明
-e <dir-source>	リセットするディレクトリソースの名前を指定する
-n	実際の変更なしでコマンドの実行結果を確認できるように、安全モードで実行する

注	idsync printstat を使用して、ディレクトリソースの名前を調べることができます。 resetconn のその他の引数については、「共通引数」を参照してください。

resync の使用

resync サブコマンドを使用して、配備に既存ユーザーを取り込む (ブートストラップ) ことができます。このコマンドは、管理者が指定した一致規則を使用して次の処理を行います。

既存のエントリにリンクを設定する
空のディレクトリにリモートディレクトリの内容を取り込む
2 つの既存のユーザー集合の間で属性値を一括同期させる

注	ユーザーのリンク設定と同期については、「既存ユーザーの同期」を参照してください。

既存のユーザーを再同期させ、ディレクトリを事前に取り込むには、端末ウィンドウ (またはコマンドウィンドウ) を開き、idsync resync コマンドを次のように入力します。

idsync resync [-D <bind-DN>] -w <bind-password> | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] [-n] [-f <xml filename for linking>] [-k] [-a <ldap-filter>] [-l <sul-to-sync>] [-o Sun | Windows] [-c] [-x] [-u] [-i ALL_USERS | NEW_USERS | NEW_LINKED_USERS]

たとえば、次のように実行します。

idsync resync -w <admin password> -q <configuration_password>

表 A-9 は、resync だけで使用される引数を説明しています。

表 A-9 idsync resync の使用方法 

引数	意味
-f <filename>	Identity Synchronization for Windows に用意されているいずれかの XML 設定ファイルを使用して、リンクが設定されていないユーザーエントリの間にリンクを作成する 付録 B 「LinkUsers XML ドキュメントのサンプル」を参照
-k	ユーザーの作成、既存ユーザーの変更は行わずに、リンクが設定されていないユーザーの間だけにリンクを作成する
-a <ldap-filter>	同期の対象となるエントリを制限する LDAP フィルタを指定する このフィルタは、同期処理のソース側に適用される たとえば、idsync resync -o Sun -a "uid=*" と指定した場合、uid 属性を持つすべての Directory Server ユーザーが Active Directory 側で同期される
-l <sul-to-sync>	再同期対象の同期ユーザーリスト (SUL) を個別に指定する 注意 : 複数の SUL ID を指定して複数の SUL を再同期させることも、SUL ID を指定せずにすべての SUL を再同期させることもできる
-o (Sun | Windows)	再同期処理のソースを指定する Sun: Windows エントリの属性値を、Sun Java System Directory Server ディレクトリソースエントリ内の対応する属性値に設定する Windows: Sun Java System Directory Server エントリの属性値を、Windows ディレクトリソースエントリ内の対応する属性値に設定する (デフォルトは Windows)
-c	ターゲット側に対応するユーザーが存在しない場合は、ユーザーエントリを自動的に作成する Active Directory または Windows NT で作成されるユーザーには、ランダムに生成パスワードが割り当てられる Directory Server で作成されるユーザーには、-i オプションを指定しない場合、特別なパスワード値 ((PSWSYNC)*INVALID PASSWORD*) が自動的に作成される
-i (ALL_USERS | NEW_USERS | NEW_LINKED_USERS)	Sun ディレクトリソース内で同期されるユーザーエントリのパスワードをリセットし、これらのユーザーが次にユーザーパスワードを求められる機会に、現在のドメイン内でパスワードの同期を強制する ALL_USERS: すべての同期対象ユーザーにオンデマンドパスワード同期を強制する NEW_USERS: 新たに作成されたユーザーだけにオンデマンドパスワード同期を強制する NEW_LINKED_USERS: すべての新規作成ユーザーと、新たにリンクが設定されたユーザーにオンデマンドパスワード同期を強制する
-u	オブジェクトキャッシュだけを更新する。エントリは変更されない この引数は、Windows ディレクトリソースのユーザーエントリのローカルキャッシュだけを更新するため、既存の Windows ユーザーは Directory Server に作成されない。この引数を指定した場合、Windows ユーザーエントリと Directory Server ユーザーエントリは同期されない。この引数は、resync のソースが Windows である場合にだけ適用される
-x	ソースエントリと一致しないターゲット側ユーザーエントリをすべて削除する
-n	実際の変更なしでコマンドの実行結果を確認できるように、安全モードで実行する

注	使用方法を表示するときは、引数を指定せずに idsync resync を実行する resync のその他の引数については、「共通引数」を参照 既存ユーザーの再同期については、「既存ユーザーの同期」を参照

resync を実行したら、セントラル監査ログ (audit.log) の resync.log ファイルを調べてください。エラーが記録されている場合は、第 9 章「トラブルシューティング」を参照してください。

startsync の使用

startsync サブコマンドを使用することで、コマンド行から同期を開始できます。

同期を開始するには、端末ウィンドウ (またはコマンドウィンドウ) を開き、idsync startsync コマンドを次のように入力します。

idsync startsync [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]

たとえば、次のように実行します。

idsync startsync -w <admin password> -q <configuration_password>

表 A-10 は、startsync だけで使用される引数を説明しています。

表 A-10 idsync startsync の引数

引数	説明
[-y]	プロンプトにコマンドの確認を表示しない

注	startsync のその他の引数については、「共通引数」を参照してください。

stopsync の使用

stopsync サブコマンドを使用することで、コマンド行から同期を終了できます。

同期を終了するには、端末ウィンドウ (またはコマンドウィンドウ) を開き、idsync stopsync コマンドを次のように入力します。

idsync stopsync [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]

たとえば、次のように実行します。

idsync stopsync -w <admin password> -q <configuration_password>

注	stopsync の引数については、「共通引数」を参照してください。

---

移行ユーティリティ forcepwchg の使用

移行中にパスワードを変更したユーザーは、Windows NT と Directory Server のそれぞれに異なるパスワードを持つことになります。forcepwchg ユーティリティを使用することで、Identity Synchronization for Windows のバージョン 1.0 または 1.0 SP1 からバージョン 1 2004Q3 へのアップグレード中にパスワードを変更したユーザーに、パスワードの変更を強制できます。

注	forcepwchg ユーティリティは、Windows パッケージだけに付属します。

forcepwchgを使用する前に、次の事項を確認してください。

userpassword 属性の値に 7 ビット値を強制する 7 ビットチェックプラグインが Directory Server に設定されていないことを確認する。この確認は、Directory Server コンソールで行う
認証に使用するクライアントが、使用環境のロケールを UTF-8 に正しく変換することを確認する。たとえば、Directory Server に付属する ldapsearch の -i オプションを使用する

forcepwchg コマンド行ユーティリティを実行する方法は、次のとおりです。

「コマンドプロンプト」ウィンドウを開き、移行を行うホストの migration ディレクトリに移動 (cd) します。PDC ホストには、Identity Synchronization for Windows 1.0 NT コンポーネント (コネクタ、変更ディテクタ DLL、パスワードフィルタ DLL) がインストールされている必要があります。
migration ディレクトリで、次のように入力します。

java -jar forcepwchg.jar [-n] [-a] [-t <time_specification>]

たとえば、次のように実行します。

forcepwchg.jar -n -a
forcepwchg.jar -t 33m

表 A-11 は、forcepwchg だけで使用される引数を説明しています。

表 A-11 forcepwchg の引数 

オプション	説明
-n	プレビューモードを指定する プレビューモードでは、このユーティリティは次のユーザーを除くすべての通常ユーザーの名前を出力する -a 引数を指定した場合は、内蔵アカウント (Administrator および Guest) -t 引数によって指定された期間中にパスワードを変更したユーザー プレビューモードでは、すべてのユーザーが forcepwchg を実行できる プレビューモード以外のモードで forcepwchg を実行できるのは管理者だけである
-a	パスワードの変更をすべてのユーザー (Administrator と Guest を除く) に強制する -t 引数を使用する場合は、この引数を使用できない
-t <time_specification>	<time_specification> で指定した時間だけさかのぼった時刻から現在までの間にパスワードを変更したユーザーにパスワードの変更を強制する <time_specification> には、次の形式で時間を指定できる <数値>: 秒数 (-t 30 など) <数値>m: 分数 (-t 25m など) <数値>h: 時間数 (-t 6h など) たとえば、forcepwchg -t 6h と指定した場合、過去 6 時間にパスワードを変更したすべてのユーザーに、パスワードの再変更が強制される
-?	使用方法に関する情報を出力する

注	forcepwchg の使用方法については、「Windows NT でのパスワード変更の強制」を参照してください。

前へ      目次      索引      次へ

---

Part No: 817-7846   Copyright 2004 Sun Microsystems, Inc. All rights reserved.