付録 D 同期ユーザーリストの定義と設定

この付録では、SUL (同期ユーザーリスト) の定義について補足情報を示し、複数ドメインを設定する方法について説明します。ここで説明する内容は次のとおりです。

同期ユーザーリストの定義について

すべての SUL (同期ユーザーリスト) には、同期対象となる Directory Server ユーザーを識別するための定義と、同期対象となる Windows ユーザーを識別するための定義の 2 つが含まれます。

それぞれの定義は、ディレクトリ内のどのユーザーを同期させるか、どのユーザーを同期対象から外すか、新規ユーザーをどこに作成するかを指定します。



注	同期対象ユーザーは、Identity Synchronization for Windows コンソールで選択したオブジェクトクラスによっても決定されます。プログラムは、選択したオブジェクトクラスを持つユーザーだけを同期させます。これには、選択したオブジェクトクラスのサブクラスを持つユーザーも含まれます。たとえば、organizationalPerson オブジェクトクラスを選択すると、このオブジェクトクラスのサブクラスである inetorgperson を持つユーザーも同期の対象となります。

表 D-1 SUL 定義の要素
要素	定義	適用対象
		Sun	AD	NT
ベース DN	同期対象のすべてのユーザーの親 LDAP ノードを定義する同期ユーザーリストのフィルタによってユーザーが除外されるか、またはユーザーの DN がより詳細な同期ユーザーリストと一致する場合を除き、同期ユーザーリストのベース DN には、その DN のすべてのユーザーが含まれるたとえば、ou=sales,dc=example,dc=com			×
フィルタ	同期ユーザーリストにユーザーを含めたり、ユーザーを除外したりするための LDAP に似たフィルタを定義するフィルタでは、&、\|、!、=、* の各演算子を使用できる。演算子 >= および <= はサポートされない。すべての比較は、大文字と小文字を区別しない文字列の比較として行われるたとえば、(& (employeeType=manager)(st=CA)) はカリフォルニアのマネージャだけを範囲に含める
作成式	新規作成ユーザーの親 DN とネーミング属性を定義する。これは、作成を有効にした場合にだけ適用される作成式には、同期ユーザーリストのベース DN を含める必要がある。たとえば、cn=%cn%,ou=sales,dc=example,dc=com。この %cn% トークンは、作成されるユーザーエントリからの値に置き換えられる			×


注	Sun Java System Directory Server のユーザーを複数の Active Directory ドメインと同期させるには、Active Directory ドメインごとに少なくとも 1 つの SUL を定義する必要があります。

複数の SUL を定義すると、Identity Synchronization for Windows は各 SUL 定義を繰り返し一致させることで、SUL のメンバーを特定します。プログラムは、より詳細なベース DN が指定されている SUL 定義から順に調べます。
たとえば、プログラムは dc=example,dc=com を調べる前に ou=sales,dc=example,dc=com との一致を調べます。

2 つの SUL 定義が同じベース DN と別のフィルタを持つ場合、Identity Synchronization for Windows はどちらのフィルタを最初に調べるかを自動的に決定することができません。このため、管理者は「ドメイン重複の解決」機能を使用して、2 つの SUL 定義の順序を決定する必要があります。ユーザーが SUL 定義のベース DN と一致するが、そのベース DN のどのフィルタとも一致しない場合、そのユーザーが詳細度の低いベース DN のフィルタと一致したとしても、このユーザーは同期対象から除外されます。

複数の Windows ドメインの設定

複数の Windows ドメインを同じ Directory Server コンテナ (ou=people,dc=example,dc=com など) に同期させるために、Identity Synchronization for Windows はドメイン情報の格納に合成 Windows 属性を使用します。

Active Directory ドメインでは、エントリを Directory Server に同期させる前に、Identity Synchronization for Windows は activedirectorydomainname 属性を Active Directory ドメイン名 (east.example.com など) に設定する

Windows NT ドメインでは、エントリを Directory Server に同期させる前に、Identity Synchronization for Windows は user_nt_domain_name 属性を Windows NT ドメイン名 (NTEXAMPLE など) に設定する

これらの属性は実際には Windows ユーザーエントリには表示されませんが、同期のために Identity Synchronization for Windows コンソールで使用され、Directory Server 側のユーザー属性にマッピングできます。Identity Synchronization for Windows がドメイン属性をマッピングすると、同期時に Directory Server エントリ内の属性として設定され、SUL (同期ユーザーリスト) フィルタでも使用できるようになります。

次の例は、Identity Synchronization for Windows がこれらの属性をどのように使用するかを示しています。この例は、3 つの Windows ドメイン (2 つの Active Directory ドメインと 1 つの Windows NT ドメイン) を 1 つの Directory Server インスタンスに同期させることを前提としています。

Active Directory east.example.com ドメインのユーザーは、ou=people,dc=example,dc=com 内の Directory Server に同期される

Active Directory west.example.com ドメインのユーザーは、ou=people,dc=example,dc=com 内の Directory Server に同期される

Windows NT NT NTEXAMPLE ドメインのユーザーは、ou=people,dc=example,dc=com 内の Directory Server に同期される

Directory Server ユーザーを作成または修正すると、プログラムは SUL フィルタを使用して、どの Windows ドメインでユーザーを同期させるかを決定します (各 Directory Server SUL に同じベース DN ou=people,dc=example,dc=com が指定されているため)。activedirectorydomainname 属性と user_nt_domain_name 属性を使用することで、これらのフィルタを簡単に作成できます。

コンソールの「属性」タブでフィルタを作成する手順は、次のとおりです。

Directory Server の destinationindicator 属性を、Active Directory の activedirectorydomainname 属性および Windows NT の user_nt_domain_name 属性にマッピングします。

各 Windows ドメインの SUL を次のように設定します。

EAST_SUL

Sun Java System Directory Server definition

Base DN: ou=people,dc=example,dc=com

Filter: destinationindicator=east.example.com

Creation Expression: cn=%cn%,ou=people,dc=example,dc=com

Active Directory definition (east.example.com)

Base DN: cn=users,dc=east,dc=example,dc=com

Filter: <none>

Creation Expression: cn=%cn%,cn=users,dc=east,dc=example,dc=com

WEST_SUL

Sun Java System Directory Server definition

Base DN: ou=people,dc=example,dc=com

Filter: destinationindicator=west.example.com

Creation Expression: cn=%cn%,ou=people,dc=example,dc=com

Active Directory definition (west.example.com)

Base DN: cn=users,dc=west,dc=example,dc=com

Filter: <none>

Creation Expression: cn=%cn%,cn=users,dc=west,dc=example,dc=com

NT_SUL

Sun Java System Directory Server definition

Base DN: ou=people,dc=example,dc=com

Filter: destinationindicator=NTEXAMPLE

Creation Expression: cn=%cn%,ou=people,dc=example,dc=com

Windows NT definition (NTEXAMPLE)

Base DN: NA

Filter: <none>

Creation Expression: NA

各 Directory Server SUL 定義に指定されているベース DN と作成式は同じですが、対応する Windows ユーザーエントリのドメインがフィルタによって特定されることに注意してください。

これらの設定が、Directory Server ユーザーエントリをどのように各 Windows ドメインに同期させているかを示すために、次の事例を考えます。

Active Directory ドメイン east.example.com に cn=Jane Test,cn=users,dc=east,dc=example,dc=com というエントリを作成します。

Identity Synchronization for Windows は、destinationindicator=east.example.com という属性を持つユーザーエントリ cn=Jane Test,ou=people,dc=example,dc=com を Directory Server に作成します。

Directory Server で cn=Jane Test,ou=people,dc=example,dc=com エントリに修正を加えます。

Jane Test の destinationindicator 属性の値は east.example.com であるため、このエントリは同期ユーザーリストフィルタ EAST_SUL と一致し、修正は Active Directory ドメイン east.example.com に同期されます。

この例は、Identity Synchronization for Windows が Windows から Directory Server への方向でユーザー作成を同期させることを前提としています。これ以外の場合は、idsync resync を実行して destinationindicator 属性を設定できます。


注	複数の SUL を使用する配備で idsync resync -f を使用する場合、通常はリンク設定ファイルの allowLinkingOutOfScope オプションを true に設定する必要があります。詳細については、付録 B 「LinkUsers XML ドキュメントのサンプル」を参照してください。

この例では、inetorgperson オブジェクトクラスの既存の属性 destinationIndicator を使用しましたが、この属性が別の目的で使用されている可能性もあります。この属性がすでに使用されている、または別のオブジェクトクラスを選択した場合は、ユーザーの Directory Server エントリで使用できるその他の属性を user_nt_domain_name、activedirectorydomainname、または両方の属性にマッピングする必要があります。この値を保持するように指定した Directory Server 属性は、その他の属性マッピング設定で使用しているオブジェクトクラスの属性である必要があります。

このドメイン情報を保持できる未使用属性が残されていない場合は、新しいドメイン属性と、Identity Synchronization for Windows で使用されるその他すべての属性を包括した新しいオブジェクトクラスを作成します。

前へ目次索引次へ
Sun Java System Identity Synchronization for Windows 1 2004Q3 インストールおよび設定ガイド