前へ      目次      索引      次へ
Sun Java System Identity Synchronization for Windows 1 2004Q3 インストールおよび設定ガイド

第 4 章
コアリソースの設定

Identity Synchronization for Windows コアをインストールしたら (第 3 章を参照)、コアリソースの初期設定を直ちに行う必要があります。

この章では、コンソールを使用してこれらのリソースを追加、設定する方法について説明します。この章で説明する内容は次のとおりです。

「設定の概要」
「Identity Synchronization for Windows コンソールの起動」
「ディレクトリソースの作成」
「ユーザー属性の選択とマッピング」
「システム間でのユーザー属性の伝達」
「同期ユーザーリストの作成」
「設定の保存」

注	コアリソースを効率的に設定するには、Directory Server と Active Directory を設定、操作する方法を理解している必要があります。 これらのリソースは、特に指定されていない限り特定の順序で設定する必要はありません。しかし、製品に習熟するまでは、この章で説明する順序で設定を行うほうが時間の節約となり、エラーも防止できます。

---

設定の概要

図 4-1 は、配備に必要なコアリソースを設定する手順を示しています。

図 4-1 配備に必要なコアリソースの設定

---

Identity Synchronization for Windows コンソールの起動

注	Sun Java System サーバーコンソールにログインしていない場合は、詳細情報を参照し、ログインしてください。

Sun Java System サーバーコンソールウィンドウ (図 4-2) には、管理の対象となるすべてのサーバーとリソースが表示され、システムに関する情報が示されます。

図 4-2 Sun Java System サーバーコンソール

Identity Synchronization for Windows コンソールを起動するには

「サーバーとアプリケーション」タブで、Identity Synchronization for Windows インスタンスが属するサーバーグループを含むナビゲーションツリーからホスト名のノードを選択します。
サーバーグループのノードを展開し、Identity Synchronization for Windows ノードを選択します (図 4-3 を参照)。

図 4-3 サーバーグループの展開



情報パネルの内容が、Identity Synchronization for Windows とシステムに関する情報に切り替わります (図 4-4 を参照)。

図 4-4 Identity Synchronization for Windows の情報パネル



パネルの右上端にある「開く」ボタンをクリックします。

注	パネルの下部にある「編集」ボタンをクリックすると、サーバー名と説明を編集できます。

コアのインストール時に指定した設定パスワード (詳細情報を参照) の入力が求められます。パスワードを入力し、「了解」をクリックします。

次のような Identity Synchronization for Windows コンソールが表示されます。

図 4-5 Identity Synchronization for Windows コンソールの「タスク」タブ



このウィンドウには、3 つのタブとステータスバーが含まれます。

タスク (デフォルト): Sun と Windows のシステム間で同期を開始および終了するときは、このタブを使用する。サービスの開始と停止については、第 6 章「既存ユーザーの同期」を参照

注	同期サービスの開始と停止を Windows サービスの開始と停止と混同しないように注意してください。 Windows サービスを開始または停止するときは、Windows の「スタート」から「プログラム」 > 「管理ツール」 > 「コンピュータの管理」 > 「サービス」にアクセスする必要があります。

設定 : 同期をシステムに設定するときは、このタブを使用する
状態 : このタブは、次の操作に使用する
コネクタなどのシステムコンポーネントの状態を監視する
設定時および同期時に Identity Synchronization for Windows が生成する監査ログとエラーログを表示する
インストールと設定の実行手順リストの更新とチェックを行う
ステータスバー : ここには、システムの状態が簡潔に示される

注	「状態」タブについては、第 10 章を参照してください。

「設定」タブ (図 4-6) を選択します。

図 4-6 Identity Synchronization for Windows コンソールの「設定」タブ



「設定」タブは、次のタブから構成されます。

属性 : システム間で同期させる属性を指定するときは、このタブを使用する
属性の修正 : パスワードと属性の変更、およびオブジェクトの無効化がシステム間でどのように伝達されるかを指定するときは、このタブを使用する
オブジェクトの作成 : 新規作成されたパスワードと属性がシステム間でどのように伝達されるかを指定するとき、および同期時に Identity Synchronization for Windows が生成するオブジェクトの初期値を指定するときは、このタブを使用する
オブジェクトの削除 : パスワードおよびその他の属性の削除がシステム間でどのように伝達されるかを指定するときは、このタブを使用する

少なくとも 1 つの Sun Java System Directory Server ディレクトリソース、および 1 つの Windows サーバーディレクトリソース (Active Directory または Windows NT) を設定する必要があります。方法については、次の節を参照してください。

---

ディレクトリソースの作成

ディレクトリソースは、次の順序で作成する必要があります (どのソースを同期させるかによっても異なる)。

「Sun Java System ディレクトリソースの作成」
「Directory Server の準備」
「Active Directory ソースの作成」
「Windows NT SAM ディレクトリソースの作成」

注	少なくとも 1 つの Sun Java System ディレクトリソースと、1 つの Windows ディレクトリソース (Active Directory、NT SAM、または両方) を設定する必要があります。

ナビゲーションツリーでディレクトリソースのノードを選択して「ディレクトリソース」パネル (図 4-7) を表示します。

図 4-7 「ディレクトリソース」パネルの表示

Sun Java System ディレクトリソースの作成

注	それぞれの Sun Java System ディレクトリソースは、コネクタ、および最大で 4 つのマスターから構成されるレプリケーション環境に配備できるプラグインセットと関連付けられています。どの Directory Server プラグインも、Windows ディレクトリソースからのパスワード妥当性チェックを処理することができ、ユーザーはどのマスターでもパスワードを変更できます。ただし、Directory Server コネクタが Windows ディレクトリソースからのデータ変更を同期させることができるマスターは、優先マスターと二次マスターの 2 つだけです。Directory Server レプリケーションは、これら 2 つのいずれかのマスターからの変更を、トポロジ内の他のサーバーにレプリケートします。

新しい Sun Java System ディレクトリソースを作成する手順は、次のとおりです。

「新規 Sun ディレクトリソース」ボタンをクリックして、「Sun Java System ディレクトリソースの定義」ウィザードを起動します。

図 4-8 ルートサフィックスの選択



プログラムは既知の設定ディレクトリソースのセットを照会し、リストパネルに既存のルートサフィックス (ネーミングコンテキストとも呼ばれる) を表示します。

デフォルトでは、プログラムは製品がインストールされている設定ディレクトリを認識し、リストパネルにはその設定ディレクトリが認識するルートサフィックスが表示されます。

リストパネルで、管理するユーザーが属するルートサフィックスを選択します。複数のルートサフィックスが表示される場合は、ユーザーが属するルートサフィックスを 1 つ選択します。「次へ」をクリックし、手順 3 に進みます。

同期させるルートサフィックスが、Identity Synchronization for Windows に登録されている設定ディレクトリによって認識されない場合は、次の方法で新しい設定ディレクトリを指定する必要があります。

「設定ディレクトリ」ボタンをクリックし、新しい設定ディレクトリを指定します。
「設定ディレクトリ」ダイアログボックス (図 4-9) が表示されるので、「新規」ボタンをクリックして「新規設定ディレクトリ」ダイアログボックスを開きます。

図 4-9 新しい設定ディレクトリの選択



次の情報を入力し、「了解」をクリックします。変更内容が保存され、ダイアログボックスが閉じます。
ホスト : 完全修飾ホスト名を入力する

たとえば、machine1.example.com のように指定する

ポート : 有効な未使用の LDAP ポート番号を入力する。デフォルトは 389

Identity Synchronization for Windows が設定ディレクトリとの通信に SSL (Secure Socket Layer) を使用する場合は、「このポートに SSL を使用する」ボックスにチェックマークを付ける

ユーザー DN : 管理者の (バインド) 識別名を入力する

たとえば、次のように指定する

uid=admin,ou=Administrators,ou=TopologyManagement,o=NetscapeRoot

パスワード : 管理者のパスワードを入力する

ウィザードは指定された設定ディレクトリにクエリを送信し、そのディレクトリが管理するすべてのディレクトリサーバーを特定します。

注	1 つの Sun Java System Directory Server ソースについて Identity Synchronization for Windows がサポートするルートサフィックスは 1 つだけです。

注	設定ディレクトリの編集と削除 「設定ディレクトリ」ダイアログボックスを使用して、設定ディレクトリのリストを次のように管理することもできます。 リストパネルから設定ディレクトリを選択し、「編集」ボタンをクリックする。「設定ディレクトリの編集」ダイアログが表示され、ホスト、ポート、セキュアポート、ユーザー名、パスワードの各パラメータを変更できる リストパネルから設定ディレクトリを選択して「消去」をクリックすると、そのディレクトリがリストから削除される

「了解」をクリックして「設定ディレクトリ」ダイアログボックスを閉じます。リストパネルには、新たに選択した設定ディレクトリのルートサフィックスが表示されます。

Directory Server が作成するルートサフィックスのプレフィックスは、デフォルトではマシンの DNS ドメインエントリのコンポーネントと対応します。構文は次のとおりです。

dc=<マシンの DNS ドメイン名>

つまり、マシンのドメインが example.com であれば、サーバーのサフィックスを dc=example, dc=com のように設定します。選択したサフィックスによって命名されるエントリは、ディレクトリ内に事前に存在する必要があります。

ルートサフィックスを選択し、「次へ」をクリックします。

「優先サーバーの指定」パネル (図 4-10) が表示されます。

図 4-10 優先サーバーの指定



Identity Synchronization for Windows は、Directory Server マスターに加えられた変更の検出に優先 Directory Server を使用します。優先サーバーは、Windows システムで加えられた変更が Sun Java System ディレクトリシステムに適用される際の一次場所としても機能します。

優先サーバーに障害が発生した場合は、優先サーバーがオンライン状態に復帰するまで二次サーバーに変更を格納できます。

次のいずれかの方法で、優先サーバーを選択します。
「既知のサーバーの選択」ボタンを有効にし、ドロップダウンリストからサーバー名を選択する

注	リストに表示される Directory Server は、稼動している必要があります。 サーバーが一時的にダウンしている場合は、「ホスト名とポートを入力してサーバーを指定」ボタンを有効にし、サーバー情報を手動で入力します。

Directory Server が通信に SSL を使用するように設定するときは、「セキュア通信に SSL を使用」ボックスを有効にする。ただし、この機能を有効にした場合は、インストールの完了後に追加の設定手順が必要となる。詳細については、「Directory Server での SSL の有効化」を参照

「ホスト名とポートを入力してサーバーを指定」ボタンを有効にし、対応するテキストフィールドにサーバーのホスト名とポート番号を入力する

指定したポートが SSL を使用する場合は、「このポートに SSL を使用する」ボックスにチェックマークをつける

「次へ」をクリックして「二次サーバーの指定」パネルを表示します。

図 4-11 二次サーバーの指定



優先サーバーの指定手順と同様に、ドロップダウンリストからサーバー名を選択するか、情報を手動で入力して二次 Directory Server を指定し、「次へ」をクリックする

注	稼動していない Directory Server はドロップダウンリストに表示されません。サーバーが一時的にダウンしている場合は、サーバー情報を手動で入力してください。

二次サーバーを使用しない場合は、情報を指定せずに「次へ」ボタンをクリックする

注	Sun ディレクトリソースの優先サーバーと二次サーバーには、同一ホスト名、同一ポートを使用しない セキュアポート機能を有効にした場合は、インストールの完了後に追加の設定手順が必要となる。詳細については、「Directory Server での SSL の有効化」を参照

次のような「拡張セキュリティオプションの指定」パネルが表示されます。

図 4-12 拡張セキュリティオプションの指定



インストールプロセスの一部として、ユーザーがバインドする、またはパスワードが変更される Directory Server ごとに Directory Server プラグインをインストールする必要があります。

Directory Server プラグインがパスワードと属性を Active Directory と同期させる場合、ユーザーとそのパスワードを検索するために、プラグインは Active Directory にバインドする必要があります。また、プラグインはセントラルログと Directory Server のログにログメッセージを書き込みます。デフォルトでは、これらの通信には SSL は使用されません。

SSL 通信を使用する場合は、表示される警告をよく読み、次のいずれか、または両方のオプションを有効にします。
チャネル通信だけを暗号化する場合、またはチャネル通信を暗号化し、証明書を使用して Directory Server と Directory Server コネクタの間で関係する各要素のアイデンティティを確実に検証するには、「SSL の証明書を要求」または「信頼できる SSL の証明書を要求」ボックスにチェックマークを付ける

証明書を信頼しないときは、チェックマークを外す

Directory Server プラグインと Active Directory の間の通信に SSL を適用するには、「プラグインと Active Directory の通信に SSL を使用」ボックスにチェックマークを付ける

注	これらの機能を有効にした場合は、インストール後に追加手順を実行する必要がある。詳細については、第 11 章「セキュリティの設定」を参照 各 Directory Server プラグイン、コネクタ、または両方の証明書データベースに追加する必要のある証明書は、idsync certinfo コマンド行ユーティリティを使用して特定できる。「certinfo の使用」を参照 優先および二次 Directory Server がマルチマスターレプリケーション (MMR) 配備の一部である場合の追加設定については、付録 E 「レプリケーション環境でのインストールに関する注意」を参照

「拡張セキュリティオプションの指定」パネルの設定が完了したら、「終了」をクリックします。

ナビゲーションツリーのディレクトリソースの下に選択したディレクトリソースが追加され、「Directory Server の準備を直ちに行いますか ?」ダイアログが表示されます。

Identity Synchronization for Windows が使用できるように、Directory Server を準備する必要があります。このタスクを直ちに実行するか、あとから実行するかを選択できますが、Directory Server の準備は、コネクタのインストール前に完了する必要があります。コネクタのインストール方法については、第 5 章で説明します。

Directory Server の準備を直ちに行う場合は「はい」をクリックしてウィザードを表示し、「Directory Server の準備」に進む
この作業をあとから行う場合は「いいえ」をクリックし、「Active Directory ソースの作成」に進む

Directory Server の準備

ここでは、Identity Synchronization for Windows が使用できるように Sun Java System Directory Server ソースを準備する方法について説明します。

Directory Server の準備には、次の作業が含まれます。

優先ホストで使用できる旧バージョン形式の更新履歴ログデータベースとアクセス制御インスタンスを作成する
優先ホストで使用できるコネクタユーザーとユーザーアクセス制御インスタンスを作成する
優先ホストと二次ホストで等価インデックスを作成する

注	Directory Server の準備には、コンソールの代わりに idsync prepds コマンド行ユーティリティを使用できる。詳細については、「prepds の使用」を参照 idsync prepds コマンド行ユーティリティを使用して Directory Server を準備するときは、どのホストとサフィックスを使用するかを把握し、ディレクトリマネージャのクレデンシャルを準備しておく必要がある

Directory Server の準備には、「Directory Server の準備」ウィザード (図 4-13) を使用できます。

図 4-13 ディレクトリマネージャクレデンシャルの入力

このウィザードには、次のいずれかの方法でアクセスします。

「Directory Server の準備を直ちに行いますか ?」ダイアログボックスが表示されたときに「はい」ボタンをクリックする
「設定」タブの「Sun ディレクトリソース」パネルで「Directory Server の準備」ボタンをクリックする

Directory Server ソースを準備するには

ディレクトリマネージャアカウントの次のクレデンシャルを入力します。
ディレクトリマネージャユーザー名
ディレクトリマネージャパスワード

二次ホストを使用している場合は (MMR 構成)、「二次ホスト」オプションが設定可能になるので、これらのホストのクレデンシャルも指定する必要があります。

情報の入力が完了したら、「次へ」をクリックして「準備設定の指定」パネル (図 4-14) を表示します。

図 4-14 「準備設定の指定」パネル



警告メッセージを読み、Directory Server インデックスを直ちに作成するか、あとから作成するかを指定します。

注	データベースの規模に応じて、この処理には数秒から数分かかる データベースが読み取り専用モードの場合、データベース内の情報の更新は失敗する データベースをオフライン状態にすることで、インデックスをより高速に作成できる

インデックスを直ちに作成するときは、「データベース (名前) のインデックスの作成」ボックスにチェックマークを付け、「次へ」をクリックする
インデックスをあとから手動で、またはもう一度ウィザードを使用して作成するときは、「データベース (名前) のインデックスの作成」ボックスのチェックマークを外し、「次へ」をクリックする
Directory Server の準備の進捗状況に関する情報を示す「準備状態」パネルが表示されます。
メッセージ区画の下部に「成功」メッセージが表示されたら、「終了」をクリックする
エラーメッセージが表示されたときは、操作を続ける前に指摘された問題を解決する。詳細については、エラーログ (「状態」タブを参照) を確認する
コンソールの「設定」タブに戻ります。ナビゲーションツリーで Sun ディレクトリソースノードを選択し、「Sun ディレクトリソース」パネル (図 4-15) を開きます。

図 4-15 「Sun ディレクトリソース」パネル



このパネルでは、次のタスクを実行できます。

サーバーの編集 : サーバーの設定パラメータを変更するための「Sun Java System ディレクトリソースの定義」パネルを開くときは、このボタンをクリックする。操作方法については、「Sun Java System ディレクトリソースの作成」を参照
Directory Server の準備 : Directory Server を準備するときは、このボタンをクリックする。操作方法については、「Directory Server の準備」を参照

たとえば、インデックスが削除されたり、旧バージョン形式の更新履歴ログデータベースが喪失した場合など、サーバーの最初の準備の後で Directory Server に変更が生じたときは、サーバーの準備を再実行できる

注	優先 Sun ディレクトリソースの旧バージョン形式の更新履歴ログデータベースを再作成する場合、デフォルトのアクセス制御設定が適用されると Directory Server コネクタはデータベースの内容を読み込めません。 新しい旧バージョン形式の更新履歴ログデータベースのアクセス制御設定を復元するには、idsync prepds を実行するか、コンソールで適切な Sun ディレクトリソースを選択してから「Directory Server の準備」ボタンをクリックします。

再同期間隔 (の指定): Directory Server コネクタが変更を確認する頻度を指定する。デフォルトは 1000 ミリ秒
同期させる Sun Java System Directory Server エンタープライズ内のユーザーグループごとに Directory Server ディレクトリソースを追加します。

Directory Server の準備が完了したら、少なくとも 1 つの Windows ディレクトリソースを作成する必要があります。

Active Directory ディレクトリソースを作成するときは、「Active Directory ソースの作成」に進む
Windows NT ディレクトリソースを作成するときは、「Windows NT SAM ディレクトリソースの作成」に進む

Active Directory ソースの作成

Active Directory ディレクトリソースは、ネットワーク上で同期させる Windows ドメインごとに追加する必要があります。

Active Directory の各配備には、すべての Active Directory ドメインに適用されるグローバル情報がすべて記録されたグローバルカタログが、少なくとも 1 つあります。

注	各 Active Directory サーバーをグローバルカタログとし、配備に複数のグローバルカタログを持たせることもできますが、指定が必要なグローバルカタログの数は 1 つだけです。

ネットワークに Windows Active Directory サーバーが存在する場合は、次の手順を実行します。

ナビゲーションツリーでディレクトリソースのノードを選択し、「ディレクトリソース」パネルの「新規 Active Directory ソース」ボタンをクリックします。

「Windows グローバルカタログ」ダイアログボックス (図 4-16) が表示されます。

図 4-16 「Windows グローバルカタログ」ダイアログボックス



次の情報を入力し、「了解」をクリックします。
ホスト : Active Directory フォレストのグローバルカタログを保持するマシンの完全修飾ホスト名を入力する

たとえば、machine2.example.com のように指定する

このポートに SSL を使用する : Identity Synchronization for Windows がグローバルカタログとの通信に SSL ポートを使用する場合は、このオプションを有効にする
ユーザー DN : 管理者の (バインド) 完全修飾識別名を入力する。スキーマを検索し、システムで使用できる Active Directory ドメインを特定することができれば、どのようなクレデンシャルでも指定できる

たとえば、cn=Administrator,cn=Users,dc=example,dc=com のように指定する

パスワード : 指定したユーザーのパスワードを入力する
次のような「Active Directory ソースの定義」ウィザードが表示されます。

図 4-17 「Active Directory ソースの定義」ウィザード



このウィザードは、Active Directory グローバルカタログにクエリ送信して存在するその他のドメインを特定し、「ドメイン」リストパネルにこれらのドメインを表示します。

リストパネルから名前を選択して Active Directory ドメインを指定し、「了解」をクリックして手順 5 に進みます。

使用するドメインがリストに表示されないときは、次の手順を実行し、そのドメインを認識するグローバルカタログを追加する必要があります。

「グローバルカタログ」ボタンをクリックして「グローバルカタログ」ウィザード (図 4-18) を表示します。

図 4-18 新しいグローバルカタログの指定



「新規」ボタンをクリックします。
「Windows グローバルカタログ」ダイアログボックスが表示されるので、グローバルカタログのホスト名と、ディレクトリソースのクレデンシャル (詳細情報を参照) を入力し、「了解」をクリックします。
「グローバルカタログ」リストパネルに新しいグローバルカタログとポートが表示されます。カタログ名を選択し、「了解」をクリックします。
これ以外のグローバルカタログ (ドメイン) をシステムに追加する場合は、以上の手順を繰り返します。
操作が完了したら、「ドメインの選択」パネルの「次へ」ボタンをクリックします。
「クレデンシャルの指定」パネルが表示されるので、「ユーザー DN」フィールドの値を確認します。

図 4-19 この Active Directory ソースのクレデンシャルの指定



管理者の識別名がプログラムによって「ユーザー DN」フィールドに自動的に入力されない場合、またはその管理者のクレデンシャルを使用したくない場合は、ユーザー DN とパスワードを手動で入力します。

Active Directory ソースを設定するときは、Active Directory コネクタが Active Directory への接続に使用できるユーザー名とパスワードを指定する必要があります。

注	コネクタは、特定のアクセス権を必要とします。次に示すように、必要となる最低限の権限は、同期の方向によって異なります。 Active Directory から Directory Server への同期フローだけを設定する場合は、Active Directory コネクタ用に指定するユーザーに特別な権限は必要ない。同期対象ドメインで「すべてのプロパティを読み取る」ための追加権限を持つ一般ユーザーで十分である Directory Server から Active Directory への同期フローを設定する場合は、同期によって Active Directory 内のエントリが変更されるため、コネクタユーザーにこれ以上の権限が必要となる。この設定では、コネクタユーザーは「完全管理」権限を持つか、管理者グループのメンバーである必要がある

「次へ」をクリックし、「ドメインコントローラの指定」パネルを開きます。

図 4-20 ドメインコントローラの指定



このパネルでは、指定ドメイン内で同期を行うコントローラを選択します。ドメインコントローラの概念は、Directory Server の優先サーバーに似ています。

選択している Active Directory ドメインに複数のドメインコントローラがあるときは、同期の主ドメインコントローラ FSMO ロールを持つドメインコントローラを選択します。

デフォルトでは、すべてのドメインコントローラで行われたパスワード変更は、直ちに主ドメインコントローラ FSMO ロール所有者にレプリケートされ、このドメインコントローラを選択した場合は、Identity Synchronization for Windows はパスワード変更を直ちに Directory Server と同期させます。

配備によっては、PDC との間に大きなネットワーク「距離」があり、それによって同期が大きく遅れるため、Windows レジストリに AvoidPdcOnWan 属性が設定されます。詳細については、Microsoft の知識ベース記事 232690 を参照してください。

ドロップダウンリストからドメインコントローラを選択します。
Identity Synchronization for Windows がドメインコントローラとの通信にセキュリティ保護されたポートを使用するように設定するときは、「セキュアポートを使用します」ボックスにチェックマークを付けます。

注	マイクロソフト証明書サーバーを使用している場合は、Active Directory コネクタに CA 証明書が自動的にインストールされます。使用していない場合は、Active Directory コネクタに CA 証明書を手動で追加する必要があります。「Active Directory コネクタでの SSL の有効化」を参照してください。また、初期設定後にフローの設定を変更した場合にも、この作業が必要です。

完了したら「次へ」をクリックします。

「フェイルオーバーコントローラの指定」パネル (図 4-21) が表示されます。このパネルでは、任意の数のフェイルオーバードメインコントローラを指定できます。

図 4-21 フェイルオーバーコントローラの指定



Active Directory コネクタは、1 つの Active Directory ドメインコントローラだけと通信し、Identity Synchronization for Windows は、そのコネクタによって適用されるフェイルオーバー変更をサポートしません。ただし、Directory Server プラグインは Directory Server へのパスワード変更を検証するときに、任意の数のドメインコントローラと通信します。

Directory Server が Active Directory ドメインコントローラへの接続を試み、そのドメインコントローラが見つからない場合は、Directory Server は指定されたフェイルオーバードメインコントローラへの接続試行を繰り返します。

「フェイルオーバーサーバー」リストパネルに表示される 1 つまたは複数のサーバー名を選択するか、「すべてを選択」ボタンをクリックしてリスト内のすべてのサーバーを指定し、「次へ」をクリックします。
次のような「拡張セキュリティオプションの指定」パネル (図 4-22) が表示されます。

「信頼できる SSL の証明書を要求」オプションを有効にできるのは、「ドメインコントローラの指定」パネル (図 4-20 を参照) で「セキュア通信に SSL を使用」ボックスを有効にした場合だけです。

図 4-22 拡張セキュリティオプションの指定



「信頼できる SSL の証明書を要求」ボックスが無効化されている場合 (デフォルトの設定)、Active Directory コネクタは SSL 経由で Active Directory に接続し、Active Directory から渡された証明書が信頼されているかどうかを検証しない

このオプションを無効にすることで、Active Directory 証明書データベースに Active Directory 証明書をインストールする必要がなくなるため、セットアップ手順が簡略化される

「信頼できる SSL の証明書を要求」ボックスを有効にした場合、Active Directory コネクタは SSL 経由で Active Directory に接続し、かつ Active Directory から渡された証明書が信頼されているかどうかを検証する

注	Active Directory コネクタの証明書データベースに Active Directory 証明書を追加する必要があります。手順については、「コネクタの証明書データベースへの Active Directory 証明書の追加」を参照してください。

「拡張セキュリティオプション」パネルの設定が完了したら、「終了」ボタンをクリックします。

ナビゲーションツリーのディレクトリソースの下に、新たに指定された Active Directory ディレクトリソースが追加されます。

Active Directory ディレクトリソースノードを選択し、「Active Directory ソース」パネル (図 4-23) を表示します。

図 4-23 「Active Directory ソース」パネル



このパネルでは、次のタスクを実行できます。

コントローラの編集 : ドメインコントローラの設定パラメータを変更するための「ドメインコントローラの指定」パネルを開くときは、このボタンをクリックする。操作方法については、「Active Directory ソースの作成」を参照
再同期間隔 (の設定): Active Directory コネクタが変更を確認する頻度を指定する。デフォルトは 1000 ミリ秒
ディレクトリソースのクレデンシャル (の変更): 指定されているユーザー DN、パスワード、または両方を変更する

Active Directory ディレクトリソースの作成が完了したら、次の作業を行います。

Windows NT ディレクトリソースを作成するときは、「Windows NT SAM ディレクトリソースの作成」に進む
同期させる属性の選択とマッピングを行うときは、「ユーザー属性の選択とマッピング」に進む

Windows NT SAM ディレクトリソースの作成

Windows NT プラットフォームに Identity Synchronization for Windows を配備するときは、NT SAM ディレクトリソースを次のように指定します。

ナビゲーションツリーでディレクトリソースのノードを選択し、「新規 Windows NT SAM ディレクトリソース」ボタンをクリックします。

図 4-24 「ディレクトリソース」パネル



「Windows NT SAM ディレクトリソースの定義」パネル (図 4-25) が表示されたら、指示に従って Windows NT ドメイン名を特定し、「ドメイン」フィールドに NT ディレクトリソースの一意の名前を入力します。完了したら「次へ」をクリックします。

図 4-25 Windows NT SAM ドメイン名の選択



「主ドメインコントローラのコンピュータ名の指定」パネル (図 4-26) が表示されたら、指示に従って主ドメインコントローラコンピュータの名前を特定し、「コンピュータ名」に情報を入力します。

図 4-26 主ドメインコントローラ名の指定



「終了」をクリックします。

ナビゲーションツリーのディレクトリソースの下に、新たに指定された Windows NT SAM ディレクトリソースが追加されます。「Windows NT SAM ソース」パネル (図 4-27 を参照) を表示するには、新しいディレクトリソースのノードを選択します。

図 4-27 「Windows NT SAM ディレクトリソース」パネル



このパネルでは、次のタスクを実行できます。

編集 : ドメインコントローラの設定パラメータを変更するための「ドメインコントローラの指定」パネルを開くときは、このボタンをクリックする。操作方法については、「Active Directory ソースの作成」を参照
再同期間隔 (の設定): Windows NT に加えられた変更を Identity Synchronization for Windows が調べる頻度を指定する。デフォルトは 1000 ミリ秒
ネットワーク上の Windows NT マシンごとに Windows NT ディレクトリソースを追加します。

Windows NT SAM ディレクトリソースの作成が完了すると、同期させる属性を選択およびマッピングする準備が整います。「ユーザー属性の選択とマッピング」に進んでください。

ディレクトリソースの削除

注	ディレクトリソースが関連付けられたコネクタがすでにインストールされている場合は、ディレクトリソースを削除する前にコネクタをアンインストールする必要があります。

ディレクトリソースの削除が必要な場合は、次の手順を実行します。

ディレクトリソースを削除する前に、そのソースと関連付けられているすべての SUL (同期ユーザーリスト) を削除する必要があります。
ナビゲーションツリーの「同期リスト」ノードの下に表示されるリストの中から、該当する同期ユーザーリストを右クリックします。
ポップアップメニューが表示されるので、「削除」を選択して SUL を削除します。

図 4-28 同期ユーザーリストの削除



ナビゲーションツリーのディレクトリソースのノードの下で、ディレクトリソースノードを右クリックします。
ポップアップメニューが表示されるので、「削除」を選択してそのディレクトリソースを削除します。

---

ユーザー属性の選択とマッピング

Directory Server と Windows のディレクトリソースの作成と設定が完了したら、同期させるユーザー属性を選択し、これらの属性をシステム間でマッピングする必要があります。

ここで説明する内容は次のとおりです。

「属性の選択とマッピング」
「パラメータ化されたデフォルト属性値の作成」
「スキーマソースの変更」

属性の選択とマッピング

属性には、次の 2 種類があります。

有効 : ユーザーエントリの作成または変更時にシステム間で同期される属性
作成 : ユーザーエントリの作成時にだけシステム間で同期される属性

各プラットフォームで使用されるスキーマによっては、一部の作成属性は必須属性となる。これらの属性はパスワードの同期に必要とされ、Active Directory サーバー上で user オブジェクトクラスエントリを正しく作成するために、Sun 属性とマッピングする必要がある

ここでは、同期させるユーザー属性を選択する方法と、属性をマッピングする方法について説明します。この属性マッピングにより、Directory Server 環境で属性を指定した場合に、対応する属性が Active Directory 環境や Windows NT 環境で特定され、対応する Windows 属性の値が同期されます。または、その逆方向で同期が行われます。

同期させる属性を選択し、マッピングするには

ナビゲーションツリーの最上位にある Identity Synchronization for Windows ノードを選択します (図 4-29 を参照)。

図 4-29 「属性」タブ



「属性」タブを選択し、「新規」ボタンをクリックします。

「有効属性マッピングの定義」ダイアログボックス (図 4-30) が表示されます。このダイアログボックスでは、Directory Server から Windows システム (Active Directory、Windows NT、または両方) への属性マッピングを行います。

図 4-30 有効属性マッピングの定義



注	どの作成属性が Directory Server (または Active Directory) の必須作成属性となるかは、Sun 側 (または Active Directory 側) のユーザーエントリに設定されているオブジェクトクラスによって異なります。

Sun Java System の属性ドロップダウンリストから属性を選択し (たとえば、cn など)、それに対応する属性を Active Directory、Windows NT SAM、または両方の属性ドロップダウンメニューから選択します。
完了したら、「了解」をクリックします。
別の属性を指定するときは、手順 2 から手順 4 を繰り返します。

完成した同期対象属性の表は、次の図に示す例のようになります。この例では、Directory Server の userpassword、cn、telephonenumber 属性が、それぞれ Active Directory の unicodepwd、cn、telephonenumber 属性にマッピングされます。

図 4-31 完成した同期対象属性の表

注	プログラムは、Sun Java System Directory Server のデフォルトオブジェクトクラスとして自動的に inetOrgPerson を使用し、Active Directory のスキーマは、グローバルカタログの指定時に読み込まれます。このため、デフォルトスキーマを変更する場合を除き、「スキーマの読み込み」ボタンを使用することはありません。 デフォルトのスキーマソースを変更する方法については、「スキーマソースの変更」を参照してください。

パラメータ化されたデフォルト属性値の作成

Identity Synchronization for Windows では、別の作成属性または有効属性の値を使用して、属性のパラメータ化されたデフォルト値を設定できます。

パラメータ化されたデフォルト属性値を指定するには、式文字列内の既存の作成属性または有効属性の名前の前後にパーセント記号を付けます (%<attribute_name>%)。たとえば、homedir=/home/%uid% または cn=%givenName% %sn% のように指定します。

これらの属性値は、次のように使用できます。

作成式では、複数の属性を使用できる (cn=%givenName% %sn%)
A=%B% の場合、B がとれるデフォルト値は 1 つだけである
パーセント記号を通常の文字として使用する場合は、円記号 (¥) を使用する (たとえば、diskUsage=0¥%)
循環代入条件を持つ式を使用しない。たとえば、description=%uid% を指定した場合は、uid=%description% を使用できない

スキーマソースの変更

プログラムは自動的にスキーマソースを指定しますが、このデフォルトスキーマを変更することができます。

デフォルトのスキーマソースを変更する手順は、次のとおりです。

「有効属性マッピングの定義」ダイアログボックスで「スキーマの読み込み」ボタンをクリックします。

「スキーマソースの選択」パネル (図 4-32) が表示されます。

図 4-32 スキーマソースの選択



このパネルでは、スキーマの読み込み元となる Sun Java System Directory Server スキーマサーバーを指定します。このスキーマには、システムで使用できるオブジェクトクラスが含まれます。ユーザーがシステムで使用できる属性は、これらのオブジェクトクラスによって決定されます。

「Sun Java System ディレクトリスキーマサーバー」フィールドには、デフォルトで設定ディレクトリが指定されます。

別のサーバーを選択するときは、「選択」ボタンをクリックします。

「Sun スキーマホストの選択」ダイアログボックスが表示されます。このダイアログボックスには、ディレクトリソースの管理情報を記録した設定ディレクトリがリスト表示されます。

このダイアログボックスで行える操作は、次のとおりです。

新しい設定ディレクトリを作成し、それをリストに追加する

「新規」をクリックして「新規設定ディレクトリ」ダイアログボックスを表示し、ホスト、ポート、ユーザー DN、パスワードを指定する。終了したら、「了解」をクリックする

既存のディレクトリを編集する

「編集」をクリックして「設定ディレクトリの編集」ダイアログボックスを表示すると、ホスト、ポート、ユーザー DN、パスワードを編集できる。終了したら、「了解」をクリックする

リストからディレクトリを削除する

リスト上でディレクトリ名を選択し、「削除」ボタンをクリックする

リスト上でサーバーを選択し、「了解」をクリックします。通常は、いずれかの Sun 同期ホストがスキーマソースとして適しています。
「次へ」ボタンをクリックして、「Structural および Auxiliary オブジェクトクラスの選択」パネル (図 4-33) を表示します。

図 4-33 Structural および Auxiliary オブジェクトクラスの選択



このパネルでは、同期させるオブジェクトクラスを次のように指定します。

Structural オブジェクトクラス : 選択した Directory Server から作成された、または同期させられたすべてのエントリは、少なくとも 1 つの Structural オブジェクトクラスを持つ必要がある
Auxiliary オブジェクトクラス : これらのオブジェクトクラスは、選択した Structural クラスを補完し、同期させる追加属性を指定する

Structural および Auxiliary オブジェクトクラスを指定するには

ドロップダウンリストから Structural オブジェクトクラスを選択します。デフォルトは InetOrgPerson です。
「利用可能 Auxiliary オブジェクトクラス」リストパネルから 1 つまたは複数のオブジェクトクラスを選択し、「追加」をクリックして選択項目を「選択された Auxiliary オブジェクトクラス」リストパネルに移動します。

選択されたオブジェクトクラスは、有効属性または作成属性として選択できる Directory Server ソース属性を決定します。また、必須作成属性もオブジェクトクラスによって決定されます。

「選択された Auxiliary オブジェクトクラス」リストから選択項目を削除するには、オブジェクトクラス名を選択し、「削除」ボタンをクリックします。

終了したら「終了」をクリックします。スキーマと、選択したオブジェクトクラスが読み込まれます。

---

システム間でのユーザー属性の伝達

同期させるユーザー属性を選択し、そのマッピングが完了したら、属性の作成、変更、削除を Sun と Windows のシステム間でどのように伝達させるか (伝達フロー) を Identity Synchronization for Windows に指定する必要があります。

Identity Synchronization for Windows のデフォルトの動作は次のとおりです。

Windows から Sun Java System Directory Server への同期だけを行う
パスワード属性だけを同期させる (前節で有効属性を指定していない場合)
エントリの作成または削除を同期させない

ここでは、システム間での属性の同期を設定する方法について説明します。ここで説明する内容は、次のとおりです。

「オブジェクト作成のフローの指定」
「オブジェクト修正フローの方向の指定」
「削除フローの方向の指定」

オブジェクト作成のフローの指定

Directory Server と Active Directory のシステム間でオブジェクト作成をどのように伝達させるかを指定する手順は、次のとおりです。

「オブジェクトの作成」タブをクリックします。

図 4-34 作成の選択と伝達



作成の伝達は、次のように有効化または無効化できます。
Directory Server 環境から Windows サーバーに作成を伝達するには、「オブジェクトの作成は Sun Java System Directory Server から Windows に伝播される」を有効にする
Windows 環境から Directory Server に作成を伝達するときは、「オブジェクトの作成は Windows から Sun Java System Directory Server に伝播される」にチェックマークを付ける
双方向のフローを設定するときは、両方のオプションにチェックマークを付ける
システム間でユーザー作成を伝達しない場合は、どちらのオプションにもチェックマークを付けない (デフォルト)
作成属性の追加、編集、削除をシステム間で同期させるときは、選択しているオプションの下にある「作成属性」をクリックします。

「作成属性のマッピングと値」ダイアログボックス (図 4-35 および図 4-36) が表示されます。

図 4-35 作成属性のマッピングと値 : Directory Server から Windows への伝達



図 4-36 作成属性のマッピングと値 : Windows から Directory Server への伝達



いずれかのダイアログボックスを使用して、次の操作を行えます。

新規作成属性を指定する (詳細情報を参照)

注	user オブジェクトクラスの必須属性に関するスキーマの制約を満たすために、ユーザー作成時にシステム間で受け渡される追加属性の指定が必要になる場合もあります。 「ユーザー属性の選択とマッピング」で説明したように、必須属性を変更属性として指定した場合は、追加属性は必要ありません。

既存の属性を編集する (詳細情報を参照)
既存の属性を削除する (詳細情報を参照)

新規作成属性の指定

次に、作成属性を追加し、Active Directory から Directory Server にマッピングする方法について説明します。追加した属性を Directory Server から Windows、または Windows から Directory Server にマッピングする手順も、これに準じます。

「作成属性のマッピングと値」ダイアログボックスの「新規」ボタンをクリックします。

「作成属性のマッピングと値の定義」ダイアログボックス (図 4-37) が表示されます。

図 4-37 作成属性のマッピングと値の定義



「Active Directory 属性」ドロップダウンリストから属性値を選択します。

図 4-38 新しい Active Directory 属性の選択



Identity Synchronization for Windows では、属性が複数の値を受け付ける場合に、複数の値を指定して属性を初期化することができます。

たとえば、会社に 3 つのファックス番号がある場合、Sun Java System Directory Server と Active Directory の両方に facsilimiletelephonenumber 属性を指定し、3 つの番号を設定できます。

どの属性が複数の値を受け付けるかは、管理者が把握している必要があります。複数の値を受け付けない属性に複数の値を追加しようとすると、プログラムがオブジェクト作成を試みる段階で実行時エラーが生じます。

「新しい値」フィールドに値を入力し、「追加」をクリックします。

リストパネルに属性値が追加されます。複数の属性値を追加するときは、必要な回数だけこの手順を繰り返します。

図 4-39 作成属性の複数の値の指定



属性を Directory Server にマッピングするには、「Sun Java System ディレクトリ属性」ドロップダウンリストから属性名を選択します。

図 4-40 Directory Server 属性のマッピング



完了したら、「了解」をクリックします。

ここで説明した例では、作成属性とマッピングの表は次の図のようになります。

図 4-41 完成した作成属性とマッピングの表



別の属性を指定するときは、この手順を繰り返します。

既存属性の編集

作成属性のマッピングまたは値を編集するには

「オブジェクトの作成」タブをクリックし、選択している作成オプションの下にある「属性の作成」ボタンをクリックします。
「作成属性のマッピングと値」ダイアログボックスが表示されるので、表から属性を選択し、「編集」ボタンをクリックします。

「作成属性のマッピングと値の定義」ダイアログボックスが表示されます。

Directory Server と Active Directory (または Windows NT) の間の既存のマッピングを変更するときは、ドロップダウンメニューを使用します。

たとえば、Sun Java System Directory Server の homephone 属性が Active Directory の othertelephone 属性にマッピングされていると仮定します。「Active Directory の属性」ドロップダウンリストを使用して、マッピング先を homephone 属性に変更できます。

属性値を追加または削除することもできます。
属性値を追加するには、「新しい値」フィールドに情報を入力し、「追加」をクリックします。
属性値を削除するには、リストパネルで値を選択し、「削除」をクリックします。
終了したら、「了解」をクリックします。変更が適用され、「作成属性のマッピングと値の定義」ダイアログボックスが閉じられます。
もう一度「了解」をクリックして「作成属性のマッピングと値」ダイアログボックスを閉じます。

属性の削除

作成属性のマッピングまたは値を削除するには

「オブジェクトの作成」タブをクリックし、選択している作成オプションの下にある「属性の作成」ボタンをクリックします。
「作成属性のマッピングと値」ダイアログボックスが表示されるので、表から属性を選択し、「削除」ボタンをクリックします。

属性は、表から直ちに削除されます。

終了したら、「了解」をクリックして「作成属性のマッピングと値」ダイアログボックスを閉じます。

オブジェクト修正フローの方向の指定

Sun と Windows のシステム間でユーザー属性とパスワードの変更がどのように伝達されるかを制御するときは、「属性の修正」タブ (図 4-42) を使用します。

図 4-42 「属性の修正」タブ

このタブでは、次の操作を行えます。

Directory Server と Windows ディレクトリソースの間の修正フローの方向を指定する
Directory Server と Active Directory のディレクトリソース間で、オブジェクトの有効化と無効化を同期させるかどうかを指定し、ユーザーアカウントを有効化および無効化する方法を指定する

注	アカウントの状態を Windows NT ディレクトリソースと同期させることはできません。

方向の指定

Directory Server および Windows 環境で加えられた変更がどのようにシステム間で伝達されるかを指定するときは、次のいずれかのボタンを選択します。

属性の修正は Sun Java System Directory Server から Windows に伝播される : Directory Server 環境で加えられた変更が Windows サーバーに伝達される
属性の修正は Windows から Sun Java System Directory Server に伝播される (デフォルト): Windows 環境で加えられた変更が Directory Server に伝達される
属性の修正は両方向に伝播される : 変更は一方の環境からもう一方の環境に双方向に伝達される

オブジェクトの有効化と無効化の設定と同期

「オブジェクトの有効化/無効化を Active directory と同期する」ボックス (図 4-43 を参照) にチェックマークを付けることで、Directory Server と Active Directory のディレクトリソース間でオブジェクトの有効化と無効化を同期させることができます。

注	有効化と無効化を Windows NT ディレクトリソースと同期させることはできません。

図 4-43 オブジェクトの有効化と無効化の同期

オブジェクトの有効化と無効化を同期させるには

「オブジェクトの有効化/無効化を Active directory と同期する」ボックスにチェックマークを付けます。
次のいずれかのボタンを有効にして、オブジェクトの有効化と無効化を Identity Synchronization for Windows がどのように検出し、同期させるかを指定します。
Directory Server ツールと相互運用 (詳細情報を参照)
Directory Server の nsAccountlock 属性を直接修正 (詳細情報を参照)
Use Directory Server のカスタムメソッドの設定 (詳細情報を参照)

注	これらのオプションは、互いに排他的です。 「Directory Server ツールと相互運用」オプションを有効にした場合、Identity Synchronization for Windows は nsAccountLock 属性を直接設定または削除できなくなる。また、cn=nsdisabledrole, <database suffix> などの別のロールや、cn=nsdisabledrole, <database suffix> または cn=nsmanageddisabledrole, <database suffix> のように別のロール内に入れ子にされたロールを使用して無効化されたオブジェクトも検出できなくなる 「Directory Server の nsAccountlock 属性を直接修正」オプションを有効にした場合、Identity Synchronization for Windows は Directory Server のコンソールまたはコマンド行インタフェースを使用して有効化または無効化したオブジェクトを検出しなくなる 「Use Directory Server のカスタムメソッドの設定」オプションを有効にした場合、ディレクトリへのアクセスが Sun JavaTM System Access Manager (従来の Sun JES Identity Server) などの外部アプリケーションによって制御されている場合を除き、Identity Synchronization for Windows はオブジェクトをディレクトリからロックアウトできなくなる

Directory Server ツールと相互運用

オブジェクトの有効化と無効化に Directory Server のコンソールまたはコマンド行ツールを使用する場合は、このオプションを選択します。

オブジェクトを有効化する場合、Identity Synchronization for Windows は nsroledn 属性から cn=nsmanageddisabledrole,<database suffix> の値を削除する
オブジェクトを無効化する場合、Identity Synchronization for Windows は nsroledn 属性に cn=nsmanageddisabledrole,<database suffix> の値を追加する

注	「Directory Server ツールと相互運用」オプションを有効にした場合、Identity Synchronization for Windows は nsAccountLock 属性を直接設定または削除できなくなります。また、その他のロールを使用して無効化されたオブジェクトも検出できなくなります。 たとえば、cn=nsdisabledrole, <database suffix> などのロールや、cn=nsdisabledrole, <database suffix> または cn=nsmanageddisabledrole, <database suffix> のように他のロール内にネスト化されたロールがこれに該当します。

表 4-1 は、「Directory Server ツールと相互運用」オプションを有効化した場合に、Identity Synchronization for Windows がオブジェクトの有効化と無効化をどのように検出し、同期させるかを示しています。

表 4-1 Directory Server ツールと相互運用

有効化:	無効化
Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole,<database suffix> ロールが削除された場合にだけ有効化を検出する	Identity Synchronization for Windows は、エントリの nsroledn 属性に cn=nsmanageddisabledrole,<database suffix> ロールが含まれる場合にだけ無効化を検出する
Active Directory からのオブジェクト有効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトから cn=nsmanageddisabledrole,<database suffix> ロールを削除することでオブジェクトを有効化する	Active Directory からのオブジェクト無効化を同期させる場合、Identity Synchronization for Windows は、オブジェクトに cn=nsmanageddisabledrole,<database suffix> ロールを追加することでオブジェクトを無効化する

Directory Server の nsAccountlock 属性を直接修正

Directory Server の有効化と無効化が Directory Server のオペレーション属性 nsAccountLock に基づく場合は、このオプションを使用します。この属性は、オブジェクトの状態を次のように制御します。

nsAccountLock=true の場合、オブジェクトは無効化されており、ユーザーはログインできない
nsAccountLock=false の場合 (または値を持たない場合)、オブジェクトは有効化されている

表 4-2 は、「Directory Server の nsAccountlock 属性を直接修正」オプションを有効にした場合に Identity Synchronization for Windows がオブジェクトの有効化と無効化をどのように検出し、同期させるかを示しています。

表 4-2 Directory Server の nsAccountlock 属性を直接修正

有効化	無効化
Identity Synchronization for Windows は、nsAccountLock 属性が true に設定されている場合にだけ、無効化されたオブジェクトを検出する	Identity Synchronization for Windows は、nsAccountLock 属性に値が設定されていない、または false に設定されている場合にだけ、有効化されたオブジェクトを検出する
Active Directory からオブジェクト無効化を同期させる場合、Identity Synchronization for Windows は nsAccountLock 属性を削除する	Active Directory からオブジェクト有効化を同期させる場合、Identity Synchronization for Windows は nsAccountLock 属性を true に設定する

Use Directory Server のカスタムメソッドの設定

Directory Server の有効化と無効化が Sun Java^TM System Access Manager (従来の Sun JES Identity Server) などの外部アプリケーションによって完全に制御されている場合は、このオプションを使用します。

Directory Server 用のカスタムメソッドを設定するときは、次の条件を指定する必要があります。

外部アプリケーションが Directory Server 内のオブジェクトを有効化または無効化したことを、Identity Synchronization for Windows がどのように検出するか
Active Directory から Directory Server への同期で、Identity Synchronization for Windows がオブジェクトをどのように有効化または無効化するか

注	「Use Directory Server のカスタムメソッドの設定」オプションを有効にした場合、ディレクトリへのアクセスが Access Manager などの外部アプリケーションによって制御されている場合を除き、Identity Synchronization for Windows はオブジェクトをディレクトリからロックアウトできなくなります。

有効化と無効化のカスタムメソッドを設定するときは、「設定」ボタンをクリックして「Directory Server のカスタムメソッドの設定」ダイアログボックス (図 4-44) を表示します。

図 4-44 有効化と無効化のカスタムメソッドの設定

このダイアログボックスには次の機能があります。

「アクティブ化状態の属性」ドロップダウンリスト : Directory Server と Active Directory の間での有効化と無効化の同期に Identity Synchronization for Windows が使用する属性をこのリストから選択する

このリストには、現在選択している Directory Server の Structural および Auxiliary オブジェクトクラスのスキーマに含まれる、すべての属性が表示される

「値」と「状態」の表 : 選択した属性と関連する値が、どのような場合に有効化または無効化されるかを指定する
「値」列 : 有効または無効の状態を示すために使用される属性値を、この列と「新規」および「削除」ボタンを使用して指定する

プログラムは、この列に自動的に 2 つの値を指定する

値なし : 有効時に属性は値を持たない
ほかのすべての値 : 有効時に属性は値を持つが、「値」と「状態」の表に指定されている値ではない
「状態」列 : 同じ行の「値」エントリに対応して有効化または無効化されるオブジェクトを、この列を使用して指定する

表 4-3 有効化状態と無効化状態の指定

値	状態	結果
値なし	有効	属性が指定されていない、または値を持たない場合、Identity Synchronization for Windows はオブジェクトが有効であると見なす
	無効:	属性が指定されていない、または値を持たない場合、Identity Synchronization for Windows はオブジェクトが無効であると見なす
<user-defined> の値	有効	属性が <user-defined> 属性を持つ場合、Identity Synchronization for Windows はオブジェクトが有効であると見なす
	無効:	属性が <user-defined> 属性を持つ場合、Identity Synchronization for Windows はオブジェクトが無効であると見なす
ほかのすべての値	有効	属性が、表に指定されていない値を持つ場合、Identity Synchronization for Windows はオブジェクトが有効であると見なす
	無効:	属性が、表に指定されていない値を持つ場合、Identity Synchronization for Windows はオブジェクトが無効であると見なす

「新規」ボタン : 「値」列に新しいエントリを追加するときは、このボタンをクリックする
「削除」ボタン : エントリを削除するときは、「値」列でエントリを選択し、このボタンをクリックする
「有効化される値」および「無効化される値」ドロップダウンリスト : Identity Synchronization for Windows がオブジェクトの状態の設定に使用する値を指定するときは、これらのリストを使用する

有効化と無効化の同期    

Directory Server と Active Directory の間でオブジェクトの状態を検出し、それを同期させるように Identity Synchronization for Windows を設定する手順は、次のとおりです。

「アクティブ化状態の属性」ドロップダウンリストから属性を選択します。
「新規」ボタンをクリックし、表の「値」列に属性値を追加します。
各「値」エントリに対応する「状態」列の内側をクリックし、表示されるドロップダウンリストから「有効」または「無効」を選択します。

図 4-45 状態の選択

たとえば、Access Manager を使用している場合は、次のように指定します。

「アクティブ化状態の属性」ドロップダウンリストから inetuserstatus を選択します。
「新規」ボタンをクリックし、表の「値」列で active、inactive、deleted の各属性の値を入力します。
各値に対応する「状態」列をクリックし、「有効」または「無効」を次のように選択します。
値なし : 有効
active: 有効
inactive: 無効
deleted: 無効
ほかのすべての値 : 無効

表 4-4 は、この inetuserstatus の例に基づいて、「Use Directory Server のカスタムメソッドの設定」オプションを有効にした場合に Identity Synchronization for Windows がどのように有効化と無効化を検出し、それを同期させるかを示しています。

表 4-4 inetuserstatus の値を使用した例の結果 

値	状態	結果
値なし	有効	inetuserstatus 属性が指定されていない、または値を持たない場合、Identity Synchronization for Windows はオブジェクトが有効であると見なす
active	有効	属性の値が active の場合、Identity Synchronization for Windows はオブジェクトが有効であると見なす
inactive	無効	属性の値が inactive の場合、Identity Synchronization for Windows はオブジェクトが無効であると見なす
deleted	無効	属性の値が deleted の場合、Identity Synchronization for Windows はオブジェクトが無効であると見なす
ほかのすべての値	無効	属性が、表に指定されていない値を持つ場合、Identity Synchronization for Windows はオブジェクトが無効であると見なす

有効化と無効化の設定    

エントリと共に「値」と「状態」の表を取り込むと、Identity Synchronization for Windows は自動的に 「有効化される値」 および 「無効化される値」 ドロップダウンリストを次のように取り込みます。

「有効化される値」リストには、状態が「有効」のすべての値が含まれる
たとえば、No Value、active
「無効化される値」リストには、状態が「無効」のすべての値が含まれる
たとえば、inactive、deleted
どちらのリストにも「ほかのすべての値」の値は含まれない

Active Directory から同期されるオブジェクトを Identity Synchronization for Windows がどのように有効化または無効化するかを指定するには、「有効化される値」、「無効化される値」、または両方のドロップダウンリストから値を選択します。

有効化される値 : オブジェクトの有効状態を制御する
値なし : オブジェクトに active という値が含まれている場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定する
active: オブジェクトに active という値が含まれている場合、Identity Synchronization for Windows は Directory Server 側の状態を有効に設定する
無効化される値 : オブジェクトの有効状態を制御する
inactive または deleted: Identity Synchronization for Windows は Directory Server 側のオブジェクトの状態を無効に設定する
<なし>: 設定が無効である。値を選択しなければならない

注	無効化される値を指定する必要があります。指定しない場合、設定は無効となります。

図 4-46 は、設定が完了した「Directory Server のカスタムメソッドの設定」ダイアログボックスを示しています。

図 4-46 設定が完了したダイアログボックスの例

削除フローの方向の指定

Directory Server と Active Directory のシステム間でユーザーエントリの削除をどのように伝達させるかを指定するには、「オブジェクトの削除」タブを使用します。

注	Windows NT ではオブジェクト削除のフローを指定できません。

ナビゲーションパネルの最上位にある Identity Synchronization for Windows ノードを選択し、「オブジェクトの削除」タブをクリックします。

図 4-47 ユーザーエントリの削除の伝達



削除のフローを次のように有効化、または無効化します。
Directory Server 環境から Active Directory サーバーに削除を伝達するときは、「オブジェクトの削除は Sun Java System Directory Server から Active Directory に伝播される」にチェックマークを付ける
Active Directory 環境から Directory Server に削除を伝達するときは、「オブジェクトの削除は Active Directory から Sun Java System Directory Server に伝播される」にチェックマークを付ける
双方向のフローを設定するときは、両方のオプションにチェックマークを付ける
システム間でユーザー削除を伝達しない場合は、どちらのオプションにもチェックマークを付けない (デフォルト設定)

---

同期ユーザーリストの作成

同期ユーザーリスト (SUL) は、2 つのディレクトリソース内のどのユーザーを同期させるかを指定します。SUL に指定されたすべてのエントリはコネクタを通過し、その SUL に設定されている制約事項に対して評価されます。

各 SUL には 2 つの要素が含まれ、1 つは同期対象の Directory Server ユーザーを識別し、もう 1 つは同期対象の Windows ユーザーを識別します。

注	Directory Server のユーザーを複数の Active Directory ドメインと同期させるには、Active Directory ドメインごとに SUL を定義する必要があります。 定義のコンポーネント、複数 SUL の定義方法、複数 SUL の処理のしくみ、複数の Windows ドメインのサポートを設定する方法など、SUL の定義と設定については、付録 D 「同期ユーザーリストの定義と設定」を参照してください。

どちらの SUL 要素にも、同期させるユーザーを識別するための 3 つの定義が含まれます。

ベース DN : 同期させるユーザーの位置 (NT には適用されない)
ネーミング属性 : 新規作成ユーザーに適用される属性 (作成式) (NT には適用されない)
フィルタ : 特定のユーザーを同期対象から外す

サーバー間でユーザータイプを識別し、リンクさせるには

ナビゲーションツリーで同期ユーザーリストのノードを選択し、「新規同期ユーザーリスト」ボタンをクリックします。

図 4-48 同期ユーザーリストの新規作成



次のような「同期ユーザーリストの定義」ウィザードが表示されます。

図 4-49 SUL 名の指定



最初の同期ユーザーリストの名前は、デフォルトで SUL1 となります。

デフォルトの名前をそのまま使用するときは、「次へ」をクリックする
別の名前を指定するときは、「名前」フィールドに別の名前を入力してから「次へ」をクリックする

注	SUL 名には空白文字や記号を含めることはできない システム内で一意の名前を指定する必要がある

図 4-50 のような「Windows の条件の指定」パネルが表示されます。

図 4-50 Windows 条件の指定



ドロップダウンメニューから Windows ディレクトリソースを選択します。

注	SUL の作成後にこのディレクトリソースを編集することはできません。

「ユーザーセットドメイン」は、同期対象となるすべてのユーザーのセットです。次のいずれかの方法で、「ユーザーセットドメイン」の「ベース DN」を入力します。
テキストフィールドに名前を入力する (たとえば、DC=example,DC=com)
「ブラウズ」ボタンをクリックして「セットベース DN」ダイアログボックスを開き、ベース DN を検索し、選択する

図 4-51 ベース DN の選択



フィルタを使用して明示的に除外しないかぎり、指定したベース DN の下のすべてのユーザーがこの SUL に含まれます。

注	Windows NT マシンでは、ベース DN と作成式は使用できません。

等価、実在、または部分文字列フィルタを入力して、このベース DN のどのユーザーを同期させるかを指定することができます。たとえば、複数の同期ユーザーリストで同じベース DN を使用する場合は、フィルタを使用してリストを区別できます。

等価フィルタの構文は、LDAP クエリの構文に似ています。ただし、等価部分文字列で使用できる文字は *、&、|、=、! だけです。たとえば、次のフィルタを使用して、SUL から管理者を除外することができます。

(!(cn=Administrator))

「作成式」フィールドの内容は、プログラムによって自動的に挿入されます。

注	作成式は、新しいエントリが Active Directory から Directory Server に伝達されるときに使用される親 DN とネーミング属性を定義します。 ユーザー属性の作成が Active Directory から Directory Server に伝達されるように指定していない限り (「オブジェクト作成のフローの指定」を参照)、Sun のディレクトリで作成式を使用することはできません。

作成式が指定されていない、または既存のエントリを変更するときは、Windows Active Directory のすべての同期ユーザーリストに適用される作成式を、たとえば次のように入力できます。

cn=%cn%,cl=users,dc=example,dc=com

作成式を変更するときは、同期させる属性を選択する必要があります。必要に応じて「オブジェクトの作成」タブに戻り、「属性の作成」ボタンをクリックしてこの属性をマッピングしてください。

「次へ」をクリックして、Sun Java System Directory Server の条件を指定します。
「Sun Java System Directory Server の条件の指定」パネルが表示されたら、手順 2 から手順 5 を繰り返し、Directory Server の条件を指定します。

図 4-52 Directory Server の条件の指定



注	「終了」ボタンをクリックして SUL を作成した後に、この SUL に含まれる Active Directory または Directory Server ディレクトリソースを編集することはできません。

終了したら、「終了」をクリックします。
ナビゲーションツリーに新しい SUL ノードが追加され、「設定」タブに「同期ユーザーリスト」パネルが表示されます。

図 4-53 「同期リスト」パネル



ユーザーが複数のリストと一致する場合は、「ドメイン重複の解決」ボタンをクリックして同期ユーザーリストの設定を定義します。詳細は、「同期ユーザーリストの定義について」を参照してください。
Directory Server 以外のネットワーク上のすべてのディレクトリソースが含まれる同期ユーザーリストを作成します。

---

設定の保存

現在の設定をコンソールパネルから保存するには

「保存」をクリックして、その時点での設定を設定ディレクトリに格納します。
設定がプログラムによって評価され、「設定の妥当性状態」ウィンドウが表示されます。

図 4-54 「設定の妥当性状態」ウィンドウ



プログラムによる設定ディレクトリへの情報の再書き込みと、システムマネージャへの通知のため、設定の保存には数分かかります。

システムマネージャ (コアコンポーネント) は、情報を必要とするコンポーネントに設定情報を送ります。

注	設定の検証エラーは赤、警告は黄色で表示されます。 エラーを残した状態で設定を保存することはできない 警告を残した状態でも設定を保存できるが、保存前に警告状態を解消しておくべきである

設定が有効であれば、「継続」をクリックして設定を保存します。

Identity Synchronization for Windows のコネクタとサブコンポーネントをインストールする方法を示す「コネクタのインストール方法」ダイアログボックスが表示されます (図 4-55 のリストに類似する)。

このリストには汎用の手順が表示されていましたが、この時点で更新され、これ以後は配備に適した実行手順が表示されるようになります。実行手順リストへのアクセスと更新は、Identity Synchronization for Windows コンソールの「状態」タブでも行えます。

図 4-55 コネクタのインストールに関する指示



表示される情報をよく読み、「了解」をクリックします。

コアの初期設定が完了すると、Identity Synchronization for Windows のコネクタとサブコンポーネントをインストールする準備が整います。インストール方法については、次の第 5 章「コネクタと Directory Server プラグインのインストール」を参照してください。

前へ      目次      索引      次へ

---

Part No: 817-7846   Copyright 2004 Sun Microsystems, Inc. All rights reserved.