|
| |
| Sun Java System Identity Synchronization for Windows 1 2004Q3 インストールおよび設定ガイド | |
第 2 章
インストールの準備Identity Synchronization for Windows 1 2004Q3 をインストールする、またはバージョン 1.0 からバージョン 1 2004Q3 に移行する前に、インストールと設定のプロセスについて理解する必要があります。
この章ではこれらのプロセスについて説明し、製品のインストールを準備する上で有用なその他の情報を提供します。この章で説明する内容は次のとおりです。
インストール要件ここでは、Identity Synchronization for Windows のインストール要件について説明します。この要件には、オペレーティングシステムのバージョン、パッチ、各プラットフォームのユーティリティが含まれます。
オペレーティングシステムの要件
次の表は、このリリースの Identity Synchronization for Windows で必要とされるオペレーティングシステムを示しています。
ハードウェアの要件
Identity Synchronization for Windows を実行するには、プラットフォームに関係なく、ハードウェアが次の最小要件を満たしている必要があります。
Sun Java System ソフトウェアの要件
Identity Synchronization for Windows をインストールするには、事前に次の Sun Java System ソフトウェアコンポーネントをインストールしておく必要があります。
次のパッチは、Directory Server 5 2005Q1 を使用する Identity Synchronization for Windows 1 2004Q3 の削除機能を有効化する
これらのパッチの詳細と、Directory Server 環境への適用方法については、Identity Synchronization for Windows ダウンロードの次の場所にある README.patch ファイルを参照
<download_root>/patches/directory/README.patch
Directory Server 5 2005Q1 を Solaris 環境にインストールする上で必要なパッチに関する最新の情報については、『Sun Java System Directory Server 5 2005Q1 Installation and Tuning Guide』および『Sun Java System Directory Server 5 2005Q1 リリースノート』を参照。これらのドキュメントは、次の Web サイトで入手できる
- Sun Java System Message Queue (従来の Sun ONE Message Queue) バージョン 3.5 Sp1 Enterprise Edition
インストールに必要なクレデンシャル
Identity Synchronization for Windows をインストールするには、次のディレクトリのクレデンシャルを指定する必要があります。
- 設定ディレクトリ
- 同期対象となる Directory Server
- Active Directory (「コアのインストール」を参照)
さらに、Identity Synchronization for Windows のインストールには次の権限が必要です。
注
テキストベースのインストーラを使用してパスワードを入力した場合、暗号化せずにエコーされることがないように、パスワードが自動的にマスキングされます。テキストベースのインストーラは Solaris システムだけでサポートされます。
インストールの概要図 2-1 は、単一ホスト配備での製品のインストールプロセスを示しています。
図 2-1 単一ホスト配備でのインストール
一部のコンポーネントは特定の順序でインストールする必要があるため、すべてのインストール手順をよく読んでください。
Identity Synchronization for Windows には、インストールと設定のプロセス全体で表示される、実行手順を示すリストが用意されています。この情報パネルには、製品のインストールと設定を正しく行うためのすべての手順が示されます。
図 2-2 Identity Synchronization for Windows の実行手順リスト
インストールと設定の手順を進めると、図 2-2 に示すように、すべての完了手順がリスト上でグレイ表示されます。
この節の残りの項では、インストールと設定のプロセスの概要を示します。説明する内容は次のとおりです。
コアのインストール
コアをインストールするときは、次のコンポーネントをインストールします。
- コンソール : 製品コンポーネントのすべての設定タスクと管理タスクを集中的に行う場所を提供する
- セントラルロガー : 監査とエラーのすべてのログ情報を一元的に管理する
- システムマネージャ : 設定の変更を動的にコネクタに伝達し、各コネクタの状態を維持する
注
コネクタのインストール方法については、第 3 章「コアのインストール」で説明します。
製品の設定
コアをインストールすると、コンソールを使用して、同期の対象となるディレクトリソースの初期設定、および配備のその他の特性を一元的に行えるようになります。
注
ディレクトリリソースの設定方法については、第 4 章「コアリソースの設定」で説明します。
Directory Server の準備
Directory Server コネクタは、Sun Java System Directory Server 5 2005Q1 をサポートします。
Directory Server コネクタをインストールするには、同期の対象となるすべての設定済み Directory Server マスター (優先マスターと二次マスターの両方) で Sun Java System Directory Server ソースを準備する必要があります。
このタスクは、コンソールから、または idsync prepds サブコマンドを使用してコマンド行から行うことができます。
注
Directory Server の準備手順については、「Directory Server の準備」で説明します。
コネクタと Directory Server プラグイン
システムに設定されているディレクトリの数に応じて、任意の数のコネクタと Directory Server プラグインをインストールできます。
注
コンソールとインストールプログラムは、コネクタと同期対象ディレクトリの関連付けに、どちらもディレクトリのラベルを使用します。表 2-3 は、Identity Synchronization for Windows によるラベル名の指定に関する規則を示しています。
注
コネクタと Directory Server プラグインのインストールと設定については、第 5 章「コネクタと Directory Server プラグインのインストール」で説明します。
既存ユーザーの同期
コネクタ、プラグイン、サブコンポーネントのインストールが完了したら、コマンド行ユーティリティ idsync resync を実行して、配備に既存ユーザーを取り込む必要があります。このコマンドは、管理者が指定した一致規則を使用して次の処理を行います。
- 既存エントリのリンクを設定する (リンク設定の定義については、「ユーザーのリンク」を参照)
- 空のディレクトリにリモートディレクトリの内容を取り込む
- Windows と Directory Server の両方のディレクトリ内で一意に識別され、相互にリンクされている既存ユーザーの間で、パスワードを含め、属性値を一括同期させる
注
配備での既存ユーザーの同期については、第 6 章「既存ユーザーの同期」で説明します。
設定の概要製品のインストールが完了したら、製品の配備を設定します。これには次のタスクが含まれます。
ここでは、次の設定要素について、その概要を説明します。
ディレクトリ
ディレクトリが意味する内容は次のとおりです。
どの種類であっても、任意の数のディレクトリを設定できます。
設定ディレクトリとグローバルカタログ
Identity Synchronization for Windows は、フェッチした Directory Server または Active Directory のディレクトリトポロジと、ディレクトリのスキーマ情報のリポジトリとして、Sun Java System Directory Server 設定ディレクトリと、Active Directory グローバルカタログを使用します。
同期設定
Sun と Windows のディレクトリの間で、オブジェクトの作成、オブジェクトの削除、パスワードおよびその他の属性の変更を伝達する方向を制御するには、同期設定を使用します。同期フローには次のオプションがあります。
オブジェクトクラス
リソースを設定するときは、エントリのオブジェクトクラスに基づいて、どのエントリを同期対象とするかを指定します。オブジェクトクラスは、Directory Server と Active Directory の両方で同期させることができる属性を決定します。
Identity Synchronization for Windows は、次の 2 種類のオブジェクトクラスをサポートします。
- Structural オブジェクトクラス : 選択した Directory Server から作成された、または同期させられたすべてのエントリは、少なくとも 1 つの Structural オブジェクトクラスを持つ必要がある。Structural オブジェクトクラスは、ドロップダウンリストから選択する (デフォルトでは、Directory Server では inetorgperson、Active Directory では User が選択される)
- Auxiliary オブジェクトクラス :
- Directory Server では、「利用可能 Auxiliary オブジェクトクラス」リストから 1 つまたは複数のオブジェクトクラスを選択することができる。指定した Structural クラスのほかにこれらのオブジェクトクラスを追加することで、他の属性を同期させることができる
- Active Directory では、Auxiliary オブジェクトクラスによる指定はさらに限定的である。選択した Structural オブジェクトクラスのすべての有効 Auxiliary オブジェクトクラスの属性を同期対象として指定できる
注
オブジェクトクラスと属性の設定については、第 4 章「コアリソースの設定」を参照してください。
属性と属性マッピング
属性は、ユーザーエントリを説明する情報を保持しています。各属性にはラベルと 1 つまたは複数の値があります。属性値として格納できる情報の種類に応じて、標準の構文に従います。
注
属性は、コンソールで定義できます。属性を定義する方法については、第 4 章を参照してください。
属性の種類
Identity Synchronization for Windows は、有効ユーザー属性と作成ユーザー属性を次のように同期させます。
必須作成属性は、ターゲットディレクトリ内での作成動作の完了に「必須」とされる属性である。たとえば、Active Directory では、作成時に cn と samaccountname の両方に有効な値が必要となる。Sun 側で user オブジェクトクラスの inetorgperson を設定する場合、Identity Synchronization for Windows は cn と sn を新規作成の必須属性と見なす
元ディレクトリから伝達された属性に値が含まれない場合、デフォルトの作成属性は、ターゲットディレクトリの作成属性をデフォルト値だけで更新する (作成属性のデフォルト値は、他の属性の値に基づくように設定できる。「パラメータ化されたデフォルト属性値」を参照)
パラメータ化されたデフォルト属性値
Identity Synchronization for Windows では、別の作成属性または有効属性の値を使用して、作成属性のパラメータ化されたデフォルト値を設定できます。
パラメータ化されたデフォルト属性値を指定するには、式文字列内の既存の作成属性または有効属性の名前の前後にパーセント記号を付けます (%<attribute_name>%)。たとえば、homedir=/home/%uid% や cn=%givenName%. %sn% のように指定します。
これらのデフォルト属性値は、次のように使用できます。
属性のマッピング
同期させる属性の定義が完了したら、Sun と Windows の間で属性名をマッピングする必要があります。たとえば、Sun の inetorgperson 属性を Active Directory の user にマッピングします。
同期ユーザーリスト
Sun と Windows の両方のディレクトリで同期させる特定のユーザーを定義するときは、同期ユーザーリスト (SUL) を作成します。これらの定義を利用することで、フラットなディレクトリ情報ツリー (DIT) と階層構造を持つディレクトリツリーの間を同期させることができます。
同期ユーザーリストの定義には、次の概念が使用されます。
- ベース DN (Windows NT には適用されない): 別の SUL によってより詳細に指定されていない、またはフィルタによって除外されていない場合に、その DN のすべてのユーザーを同期対象に含める
- フィルタ : ユーザーエントリの属性を使用して、ユーザーを同期対象から除外する、または、同一ベース DN に含まれるユーザーを複数の SUL に分割する。このフィルタには、LDAP フィルタ構文が適用される
- 作成式 (Windows NT には適用されない): 新規ユーザーの作成先となる DN を指定する。たとえば、cn=%cn%,ou=sales,dc=example,dc=com のように指定した場合、%cn% は既存ユーザーエントリの cn の値に置き換えられる。作成式の最後にはベース DN を指定する必要がある
SUL には 2 つの定義が含まれ、それぞれの定義は同期対象ユーザーグループをディレクトリの種類に応じたトポロジで識別します。
SUL の作成を準備するときは、次の質問に対する答えを用意します。
- どのユーザーを同期させるのか
- どのユーザーを同期対象から外すのか
- 新規ユーザーをどこに作成するのか
注
SUL の作成については、付録 D を参照してください。
バージョン 1 2004Q3 への移行Identity Synchronization for Windows バージョン 1.0 (またはバージョン 1.0 SP1) からの移行手順は、少数の例外を除いて、1 2004Q3 の初回インストール手順と同じです。
注
移行手順については、第 7 章で説明します。
Identity Synchronization for Windows 1 2004Q3 への移行を行う前に、次の点に注意してください。
1 2004Q3 のインストーラがバージョン 1.0 システムの残存物を検出した場合、Directory Server にインストールされる Identity Synchronization for Windows スキーマと、マシンにインストールされる実際の Identity Synchronization for Windows バイナリに問題が生じる可能性がある
注
詳細は、「1.0 のアンインストールが失敗した場合の対応」を参照してください。
Active Directory とのパスワードの同期Windows 2000 のデフォルトのパスワードポリシーは、パスワードの保護をデフォルトで強化するために Windows 2003 で変更されました。
たとえば、Directory Server から Active Directory に対する resync -c の実行時など、Identity Synchronization for Windows サービスは、パスワードを持たないエントリを作成しなければならないことがあります。このため、Windows 2000 または 2003 上の Active Directory、または Directory Server でパスワードポリシーを有効にしている場合、ユーザー作成時にエラーが発生する可能性があります。
Active Directory または Directory Server でパスワードポリシーを無効にする必要はありませんが、ほかのシステムに存在するパスワードポリシーの強化に関する問題について理解する必要があります。
Windows 2003 Server Standard Edition または Enterprise Edition 上の Active Directory との間でパスワードを同期させる場合は、次のインストール情報が重要となります。
この節の残りの項で説明する内容は次のとおりです。
- 「パスワードポリシーの適用」: Windows または Directory Server でパスワードポリシーを適用する場合は、この項に記載されている情報を読み、Active Directory と Directory Server の間の同期結果にパスワードポリシーがどのように影響するかを理解する
- 「パスワードポリシーの例」: この項では、いくつかの異なる事例に適用されるパスワードポリシーの例を紹介する
パスワードポリシーの適用
ここでは、Windows 2003 Server および Windows 2000 上の Active Directory、および Sun Java System Directory Server 5 2005Q1 のパスワードポリシーが同期結果にどのように影響するかについて説明します。
ここで説明する内容は、次のとおりです。
概要
Active Directory または Directory Server で、システムに適用されるパスワードポリシーを満たすユーザーを作成した場合は、ユーザーが正しく作成され、2 つのシステム間で同期されます。両方のシステムでパスワードポリシーを有効にした場合、パスワードは両システムのポリシーを満たす必要があり、満たせない場合はユーザー作成の同期は失敗します。
重要な注意事項
次に、パスワードポリシーに関する重要な情報を示します。
Directory Server のパスワードポリシー
Directory Server のパスワードポリシーに違反するパスワードを持つユーザーを Active Directory に作成した場合、これらのユーザーは Directory Server 内に作成され、同期も行われますが、エントリはパスワードなしで作成されます。パスワードは、新しいユーザーが Directory Server にログインし、オンデマンドパスワード同期が行われるまで設定されません。このとき、パスワードが Directory Server のパスワードポリシーに違反するため、ログインは失敗します。
このような状況は、いくつかの方法で解決できます。
Active Directory と Directory Server のパスワードポリシーを調べ、両者が可能な限り同等であることを確認してください。
Active Directory のパスワードポリシー
Active Directory のパスワードポリシーを満たさないユーザーを Active Directory に作成した場合、これらのユーザーは Directory Server に作成されます。
- Active Directory はユーザーを「一時的に」作成し、パスワードがパスワードポリシーの要件を満たさない場合にエントリを削除する。このとき、Active Directory コネクタはこの一時的な ADD 処理を認識し、Directory Server 側にユーザーを作成する。ユーザーはパスワードなしで Directory Server に作成されるため、どのユーザーもユーザーとしてログインすることができない。また、これらのエントリは Active Directory 上の有効なエントリにリンクされない。Active Directory から Directory Server に削除が同期される場合、一時的に作成されたユーザーは自動的に削除される
- ユーザーはパスワードなしで Directory Server に作成される。Directory Server は、エントリがパスワードを含んでいる場合以外はユーザー作成にパスワードポリシーを適用しない
このような状況は、いくつかの方法で解決できます。推奨される方法は、Active Directory から Directory Server への削除の同期を設定することです。また、Directory Server からユーザーを削除し、Active Directory のパスワードポリシーを満たす有効なパスワードを持つユーザーを Active Directory に追加することもできます。この方法では、ユーザーが確実に Directory Server に作成され、正しくリンクされます。Directory Server 側のユーザーのパスワードは、ユーザーがはじめて Active Directory にログインし、パスワードを変更した時点で無効化されます。
- Directory Server からユーザーを削除せずに、新しいパスワードを使用してユーザーを再び Active Directory に追加した場合、ユーザーがすでに Directory Server に存在するため、Directory Server への ADD 処理は失敗する。エントリは互いにリンクされないため、idsync resync を実行して 2 つの独立したアカウントをリンクさせる必要がある
- idsync resync コマンドを実行する場合は、Directory Server 上のエントリとリンクされている Active Directory 側のアカウントのパスワードをリセットする必要がある。パスワードをリセットすると、Directory Server 側のパスワードは無効化され、ユーザーが新しい Active Directory パスワードを使用して次に Directory Server へのユーザー認証を試みるときにオンデマンド同期が強制され、Directory Server 側のパスワードが更新される
パスワードを持たないアカウントの作成
再同期などを行う場合、Identity Synchronization for Windows はパスワードを持たないアカウントを作成する必要があります。
Identity Synchronization for Windows がパスワードなしで Directory Server にエントリを作成すると、userpassword 属性は {PSWSYNC}*INVALID*PASSWORD* に設定されます。ユーザーは、パスワードが再設定されるまで Directory Server にログインできません。ただし、-i NEW_USERS または NEW_LINKED_USERS オプションを指定して resync を実行した場合は例外です。この場合、resync によって新規ユーザーのパスワードは無効化され、次回のユーザーログイン時にオンデマンドパスワード同期が行われます。
Identity Synchronization for Windows がパスワードなしで Active Directory にエントリを作成すると、Active Directory のパスワードポリシー要件を満たす強力なパスワードがランダムに選択され、それがユーザーのパスワードとして設定されます。この場合、ログに警告メッセージが記録され、管理者がパスワードを再設定するまでユーザーは Active Directory にログインできません。
次の表は、Identity Synchronization for Windows の使用時に生じる可能性のある、いくつかの事例を示しています。
パスワードが確実に同期されるように、この情報をガイドラインとして利用してください。システムの設定が異なるため、これらの表は生じる可能性のあるすべての事例について説明するものではありません。
表 2-4 パスワードポリシーが同期に与える影響
ケース
結果
ユーザーの最初の作成場所
ユーザーが各ディレクトリでパスワードポリシーを満たすかどうか
ユーザーが各ディレクトリに作成されるかどうか
Directory Server
Active Directory
Directory Server
Active Directory
コメント
Active Directory
満たす
満たす
される
される
満たす
満たさない
される (コメントを参照)
されない
ユーザーは Directory Server に作成される。ただし、Active Directory から Directory Server への削除が同期される場合、このユーザーは直ちに削除される
詳しくは、「Active Directory のパスワードポリシー」を参照
満たさない
満たす
される
される
詳しくは、「重要な注意事項」を参照
満たさない
満たさない
される (コメントを参照)
されない
ユーザーは Directory Server に作成される
ただし、Active Directory から Directory Server への削除が同期される場合、このユーザーは直ちに削除される詳しくは、「Active Directory のパスワードポリシー」を参照
Directory Server
満たす
満たす
される
される
満たす
満たさない
される
されない
満たさない
満たす
されない
されない
満たさない
満たさない
されない
されない
表 2-5 パスワードポリシーが再同期に与える影響
ケース
resync コマンド
ユーザーが各ディレクトリでパスワードポリシーを満たすかどうか
結果
Directory Server
Active Directory
resync -c -o Sun
適用外
満たす
ユーザーは Active Directory に作成されるが、ログインすることはできない
詳しくは、「パスワードを持たないアカウントの作成」を参照
適用外
満たさない
ユーザーは Active Directory に作成されるが、ログインすることはできない
詳しくは、「パスワードを持たないアカウントの作成」を参照
resync -c -i NEW_USERS | NEW_LINKED_USERS
満たす
適用外
ユーザーは Directory Server に作成され、そのパスワードは初回のログイン時に設定される
詳しくは、「パスワードを持たないアカウントの作成」を参照
満たさない
適用外
ユーザーは Directory Server に作成される。ただし、パスワードが Directory Server のパスワードポリシーに違反するため、ログインすることはできない
詳細については、「重要な注意事項」と「パスワードを持たないアカウントの作成」を参照
resync -c
満たす
適用外
ユーザーは Directory Server に作成される。ただし、Active Directory または Directory Server に新しいパスワードの値が設定されるまでログインすることはできない
詳しくは、「パスワードを持たないアカウントの作成」を参照
満たさない
適用外
ユーザーは Directory Server に作成される。ただし、新しいパスワードの値が Active Directory または Directory Server に設定されるまでログインすることはできない
詳しくは、「パスワードを持たないアカウントの作成」を参照
パスワードポリシーの例
ここでは、次の仕様を使用する Active Directory と Directory Server のパスワードポリシーに関連する異なる事例について説明します。
エラーメッセージ
コアシステムのセントラルロガー audit.log ファイルを調べ、次のエラーメッセージを探します。
Unable to update password on DS due to password policy during on-demand synchronization:
WARNING 125 CNN100 hostname "DS Plugin (SUBC100): unable to update password of entry 'cn=John Doe,ou=people,o=sun', reason: possible conflict with local password policy"
注
Windows 2003 のパスワードポリシーについては、http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_xbby.asp を参照してください。
Directory Server 5 2005Q1 のパスワードポリシーについては、次の URL を参照してください。
SSL 動作のための Windows の設定パスワードの変更を Directory Server から Windows Active Directory に伝達する場合は、各 Active Directory サーバーが SSL を使用するように設定し、High Encryption Pack をインストールする必要があります。
次の URL で説明されているように、Microsoft Certificate Services Enterprise Root 認証局から自動的に証明書を取得し、SSL を介した LDAP を Active Directory で 有効にした場合、Identity Synchronization for Windows Active Directory コネクタインストーラは Active Directory コネクタに SSL を自動的に設定できます。
http://support.microsoft.com/default.aspx?scid=kb;en-us;q247078
ただし、次のMicrosoft の知識ベース記事を参照することで、SSL を介した LDAP をより簡単に設定できます。
http://support.microsoft.com/default.aspx?scid=kb;en-us;321051
この場合、SSL 通信用の信頼された証明書を使用するときは、「Active Directory コネクタでの SSL の有効化」で説明する方法に従って、コネクタの証明書データベースに証明書を手動でインストールする必要があります。
インストールと設定に必要な情報ここでは、インストールと設定のまとめを示し、Identity Synchronization for Windows の配備に関する選択事項の詳細について説明します。インストールプロセスを開始する前に、これらの情報を準備してください。ここでは、次の内容について説明します。
コアのインストール
コアをインストールするときは、次の情報を指定する必要があります。
- ルートサフィックス : 設定ディレクトリのルートサフィックスを指定する。すべての設定情報は、このサフィックスの下に格納される
- 管理者の名前とパスワード : 設定 Directory Server のクレデンシャルを指定する
- 設定パスワード : 機密性のある設定情報を保護するための、セキュリティ用パスワードを指定する
- ファイルシステムディレクトリ : Identity Synchronization for Windows のインストール先を指定する。コアは、Directory Server 管理サーバーと同じディレクトリにインストールする必要がある
- 未使用のポート番号 : Message Queue インスタンスが使用できるポート番号を指定する
コアの設定
コアを設定するときは、次の情報を指定する必要があります。
- Sun Java Systemディレクトリスキーマサーバー : 設定ディレクトリから読み込む Directory Server データを指定する
- user オブジェクトクラス (Directory Server のみ): ユーザーの種類を決定する user オブジェクトクラスを指定する。Identity Synchronization for Windows は、このオブジェクトクラスに基づいて属性 (パスワード属性を含む) のリストを生成する。このリストはスキーマから取り込まれる
- 同期させる属性 : Directory Server と Windows 環境の間で同期させるユーザーエントリ属性を指定する
- 変更、作成、削除のフロー : Sun と Windows のシステムの間で、変更、作成、削除をどのように伝達させるかを指定する。次のオプションから選択できる
- グローバルカタログ : Active Directory トポロジとスキーマ情報のリポジトリである、グローバルカタログを指定する
- Active Directory スキーマコントローラ : Windows グローバルカタログが取得される Active Directory スキーマソースの完全修飾ドメイン名 (FQDN) を指定する
- 設定ディレクトリ : Identity Synchronization for Windows の設定情報が格納されている Directory Server を指定する
- Active Directory ソース : Active Directory ドメインの同期に使用されるソースを指定する
- Windows NT 主ドメインコントローラ : 同期対象となる Windows NT ドメイン、および各ドメインの主ドメインコントローラの名前を指定する
- 同期ユーザーリスト : LDAP DIT とフィルタ情報を使用して、Directory Server、Active Directory、NT で同期させるユーザーを指定する
- Sun Java System Directory Server : 同期されるユーザーを格納する Directory Server インスタンスを指定する
コネクタと Directory Server プラグインのインストール
コネクタと Directory Server プラグインをインストールするときは、次の情報を指定する必要があります。
- 設定ディレクトリのホストとポート : Identity Synchronization for Windows の設定情報が格納される設定 Directory Server インスタンスのホストとポートを指定する
- ルートサフィックス : 設定ディレクトリのルートサフィックスを指定する。コアのインストール時に指定したルートサフィックスを指定する
- 管理者の名前とパスワード : 設定 Directory Server のクレデンシャルを指定する
- 設定パスワード : 機密性のある設定情報を保護するための、セキュアなパスワードを指定する
- ファイルシステムディレクトリ : Identity Synchronization for Windows のインストール先を指定する。同じマシンにインストールされるすべてのコンポーネントは、同じインストールパスを持つ必要がある
- ディレクトリソース : インストールするコネクタまたはプラグインを使用するディレクトリソースを指定する
Directory Server コネクタと Windows NT コネクタをインストールする場合は、未使用のポートを指定する必要があります。
Directory Server コネクタとプラグインをインストールする場合は、コネクタまたはプラグインに対応する Directory Server のホスト、ポート、クレデンシャルを指定する必要があります。
コマンド行ユーティリティの使用
Identity Synchronization for Windows では、次のユーティリティを使用して、さまざまなタスクをコマンド行から実行できます。
- idsync スクリプトに次のサブコマンドを指定することで、Identity Synchronization for Windows のコマンド行ユーティリティを実行できる
- resetconn: 設定ディレクトリ内のコネクタの状態をアンインストール済みにリセットする (ハードウェアまたはアンインストーラに障害が発生した場合のみ)
- resync: 既存ユーザーの再同期とリンク設定を行い、インストールプロセスの一部としてディレクトリを事前に取り込む
- startsync: 同期を開始する
- stopsync: 同期を終了する
注
これらのユーティリティについては、付録 A を参照してください。
- Identity Synchronization for Windows 1.0 または 1.0 SP1 から Identity Synchronization for Windows 1 2004Q3 への移行には、次のユーティリティを使用する
- forcepwchg: Identity Synchronization for Windows バージョン 1.0 からバージョン 1 2004Q3 への移行中にパスワードを変更したユーザーにパスワードの変更を要求する
- importcnf: エクスポートされたバージョン 1.0 の設定 XML ドキュメントをインポートする
注
これらのユーティリティについては、第 7 章を参照してください。
インストールのチェックリスト次のチェックリストは、インストールプロセスに役立ちます。Identity Synchronization for Windows のインストールを開始する前にこれを印刷し、次の情報を準備してください。
表 2-10 再同期用チェックリスト
必要な情報
指定する内容
選択する同期ユーザーリスト
同期ソース
対応するユーザーがターゲットディレクトリソースに見つからない場合、そのユーザーのエントリを自動的に作成するか ?
Directory Server パスワードを無効化するか ?
選択した SUL に存在し、指定した LDAP フィルタと一致するユーザーだけを同期させるか ?
