![]() | |
Sun Java System Identity Synchronization for Windows 1 2004Q3 インストールおよび設定ガイド |
付録 D
同期ユーザーリストの定義と設定この付録では、SUL (同期ユーザーリスト) の定義について補足情報を示し、複数ドメインを設定する方法について説明します。ここで説明する内容は次のとおりです。
同期ユーザーリストの定義についてすべての SUL (同期ユーザーリスト) には、同期対象となる Directory Server ユーザーを識別するための定義と、同期対象となる Windows ユーザーを識別するための定義の 2 つが含まれます。
それぞれの定義は、ディレクトリ内のどのユーザーを同期させるか、どのユーザーを同期対象から外すか、新規ユーザーをどこに作成するかを指定します。
表 D-1 は、SUL 定義の要素を説明しています。
注
Sun Java System Directory Server のユーザーを複数の Active Directory ドメインと同期させるには、Active Directory ドメインごとに少なくとも 1 つの SUL を定義する必要があります。
複数の SUL を定義すると、Identity Synchronization for Windows は各 SUL 定義を繰り返し一致させることで、SUL のメンバーを特定します。プログラムは、より詳細なベース DN が指定されている SUL 定義から順に調べます。
たとえば、プログラムは dc=example,dc=com を調べる前に ou=sales,dc=example,dc=com との一致を調べます。2 つの SUL 定義が同じベース DN と別のフィルタを持つ場合、Identity Synchronization for Windows はどちらのフィルタを最初に調べるかを自動的に決定することができません。このため、管理者は「ドメイン重複の解決」機能を使用して、2 つの SUL 定義の順序を決定する必要があります。ユーザーが SUL 定義のベース DN と一致するが、そのベース DN のどのフィルタとも一致しない場合、そのユーザーが詳細度の低いベース DN のフィルタと一致したとしても、このユーザーは同期対象から除外されます。
複数の Windows ドメインの設定複数の Windows ドメインを同じ Directory Server コンテナ (ou=people,dc=example,dc=com など) に同期させるために、Identity Synchronization for Windows はドメイン情報の格納に合成 Windows 属性を使用します。
- Active Directory ドメインでは、エントリを Directory Server に同期させる前に、Identity Synchronization for Windows は activedirectorydomainname 属性を Active Directory ドメイン名 (east.example.com など) に設定する
- Windows NT ドメインでは、エントリを Directory Server に同期させる前に、Identity Synchronization for Windows は user_nt_domain_name 属性を Windows NT ドメイン名 (NTEXAMPLE など) に設定する
これらの属性は実際には Windows ユーザーエントリには表示されませんが、同期のために Identity Synchronization for Windows コンソールで使用され、Directory Server 側のユーザー属性にマッピングできます。Identity Synchronization for Windows がドメイン属性をマッピングすると、同期時に Directory Server エントリ内の属性として設定され、SUL (同期ユーザーリスト) フィルタでも使用できるようになります。
次の例は、Identity Synchronization for Windows がこれらの属性をどのように使用するかを示しています。この例は、3 つの Windows ドメイン (2 つの Active Directory ドメインと 1 つの Windows NT ドメイン) を 1 つの Directory Server インスタンスに同期させることを前提としています。
Directory Server ユーザーを作成または修正すると、プログラムは SUL フィルタを使用して、どの Windows ドメインでユーザーを同期させるかを決定します (各 Directory Server SUL に同じベース DN ou=people,dc=example,dc=com が指定されているため)。activedirectorydomainname 属性と user_nt_domain_name 属性を使用することで、これらのフィルタを簡単に作成できます。
コンソールの「属性」タブでフィルタを作成する手順は、次のとおりです。
- Directory Server の destinationindicator 属性を、Active Directory の activedirectorydomainname 属性および Windows NT の user_nt_domain_name 属性にマッピングします。
- 各 Windows ドメインの SUL を次のように設定します。
各 Directory Server SUL 定義に指定されているベース DN と作成式は同じですが、対応する Windows ユーザーエントリのドメインがフィルタによって特定されることに注意してください。
これらの設定が、Directory Server ユーザーエントリをどのように各 Windows ドメインに同期させているかを示すために、次の事例を考えます。
- Active Directory ドメイン east.example.com に cn=Jane Test,cn=users,dc=east,dc=example,dc=com というエントリを作成します。
- Identity Synchronization for Windows は、destinationindicator=east.example.com という属性を持つユーザーエントリ cn=Jane Test,ou=people,dc=example,dc=com を Directory Server に作成します。
- Directory Server で cn=Jane Test,ou=people,dc=example,dc=com エントリに修正を加えます。
- Jane Test の destinationindicator 属性の値は east.example.com であるため、このエントリは同期ユーザーリストフィルタ EAST_SUL と一致し、修正は Active Directory ドメイン east.example.com に同期されます。
この例は、Identity Synchronization for Windows が Windows から Directory Server への方向でユーザー作成を同期させることを前提としています。これ以外の場合は、idsync resync を実行して destinationindicator 属性を設定できます。
注
複数の SUL を使用する配備で idsync resync -f を使用する場合、通常はリンク設定ファイルの allowLinkingOutOfScope オプションを true に設定する必要があります。詳細については、付録 B 「LinkUsers XML ドキュメントのサンプル」を参照してください。
この例では、inetorgperson オブジェクトクラスの既存の属性 destinationIndicator を使用しましたが、この属性が別の目的で使用されている可能性もあります。この属性がすでに使用されている、または別のオブジェクトクラスを選択した場合は、ユーザーの Directory Server エントリで使用できるその他の属性を user_nt_domain_name、activedirectorydomainname、または両方の属性にマッピングする必要があります。この値を保持するように指定した Directory Server 属性は、その他の属性マッピング設定で使用しているオブジェクトクラスの属性である必要があります。
このドメイン情報を保持できる未使用属性が残されていない場合は、新しいドメイン属性と、Identity Synchronization for Windows で使用されるその他すべての属性を包括した新しいオブジェクトクラスを作成します。