第 6 章既存ユーザーの同期

第 6 章
既存ユーザーの同期

Identity Synchronization for Windows のコマンド行ユーティリティには、配備に既存のユーザーを取り込むための idsync resync サブコマンドが用意されています。このコマンドは、管理者が指定した一致規則を使用して既存エントリにリンクを設定し、空のディレクトリにリモートディレクトリの内容を取り込みます。また、既存の 2 つのユーザー集合間で、パスワードも含む属性値を一括同期させることもできます。

この章では、idsync resync サブコマンドを使用して、Identity Synchronization for Windows の新規インストール用に既存のユーザーにリンクを設定し、同期させる方法について説明します。また、同期とサービスを開始、終了する方法についても説明します。この章で説明する内容は、次のとおりです。



注	既存ユーザーをリンクおよび同期させるには、コアとコネクタのインストールが事前に完了している必要があります。 idsync resync サブコマンドについては、付録 A 「Identity Synchronization for Windows のコマンド行ユーティリティの使用」を参照してください。

表 6-1 は、インストール後の操作手順を既存ユーザーのタイプ別に示しています。

表 6-1 インストール後の手順 (既存ユーザーのタイプ別)
ユーザーが存在するディレクトリ		インストール後の手順
Windows	Directory Server	既存ユーザーを同期させる	既存ユーザーを同期させない
存在しない	存在しない	なし	なし
存在しない	存在する	idsync resync -o Sun -c を実行し、既存の Directory Server ユーザーを Windows に作成する	なし
存在する	存在しない	idsync resync -c を実行し、既存の Windows ユーザーを Directory Server に作成する	idsync resync -u を実行し、コネクタのユーザーエントリローカルキャッシュを移植する
存在する	存在する	次のいずれかの方法を選択する idsync resync -f <filename> を実行し、Active Directory から Directory Server にユーザーをリンクさせ、同期させる idsync resync -f <filename> -k を実行し、ユーザーとのリンク設定だけを行う idsync resync -f <filename> -k を実行して、ユーザーとのリンク設定を行い、idsync resync -o Sun を実行して、Directory Server からの既存ユーザーとの再同期を行う	idsync resync -u を実行し、コネクタのユーザーエントリローカルキャッシュを移植する

idsync resync の使用

次に、リンク設定と同期の手順について、idsync resync サブコマンドの正しい構文と、手順が正しく完了したことを検証する方法について説明します。ここで説明する内容は、次とおりです。

ユーザーの再同期



注	配備で同期を開始する前に、サーバー間ですべての既存ユーザーが同期されていることを確認してください。

idsync resync コマンドを使用して、既存エントリのリンク、ユーザーの作成、2 つのディレクトリソース間のユーザー属性の同期を行うことができます。具体的には、idsync resync コマンドを使用して次の操作を行えます。

空の Directory Server に Active Directory または Windows NT SAM ドメインの既存ユーザーを取り込む

既存の 2 つのディレクトリソースの間ですべてのユーザーをリンクさせ、次にパスワード以外のすべてのユーザーエントリ属性値を同期させる



注	Directory Server と Windows にユーザーが存在する場合に、これらのユーザーのリンクと同期を行うときは、idsync resync -f <filename> コマンドを実行する必要があります。既存のユーザーを Directory Server と同期させないようにするには、引数 -u を指定して idsync resync を実行します。これにより、オブジェクトキャッシュの更新だけが行われ、Windows エントリから Directory Server への同期は行われません。既存の Windows ユーザーが存在し、idsync resync を実行しなかった場合、これらのユーザーに対する変更は取り込まれたり、取り込まれなかったりします。また、フローの設定によっては、これらのユーザーは Directory Server 側に自動的に作成されます。すでに実行した場合でも、idsync resync を再実行する必要があります。

2 つのディレクトリソースの間で同期がずれた場合に、ユーザーエントリを同期させる

Active Directory および Windows NT SAM コネクタのオブジェクトキャッシュデータベースを事前準備できる。このデータベースでは、Active Directory または Windows NT SAM ユーザーエントリのシャドウコピーが維持される

idsync resync コマンドを使用してパスワードを同期させることはできません。ただし、Directory Server パスワードを無効化し、Active Directory 環境でオンデマンドパスワード同期を強制する場合は例外です。

ユーザーのリンク

Active Directory と Directory Server にユーザーを取り込み、Active Directory と Directory Server のコネクタのインストールが完了したら (同期を開始する前)、idsync resync コマンドを使用して、2 つのディレクトリソース内のすべての既存ユーザーがリンクされていることを確認する必要があります。

リンク設定とは、次の一意で不変の識別子を格納することで、Identity Synchronization for Windows が Directory Server 側と Windows 側の同一ユーザーを関連付けることです。

各 Directory Server ユーザーエントリの dspswuserlink 属性

各 Active Directory ユーザーの objectguid 属性

各 Windows NT SAM ユーザーのドメイン名と RID の組み合わせ

この不変の識別子を格納することで、Identity Synchronization for Windows は uid や cn のような、その他の主要識別子も同期させることができます。dspswuserlink 属性は、次の場合に取り込まれます。

Identity Synchronization for Windows が Directory Server に新規ユーザーを作成する (Windows からの新規ユーザーを同期させる、または idsync resync -c を実行する)

Identity Synchronization for Windows が Windows に新規ユーザーを作成する (Directory Server からの新規ユーザーを同期させる、または idsync resync -c -o Sun を実行する)

この章ですでに説明したように、idsync resync -c -f を実行して Directory Server と Windows の既存のエントリをリンクさせる

既存のユーザーをリンクさせるには、2 つのディレクトリの間でユーザーを一致させるための規則を指定する必要があります。たとえば、2 つのディレクトリのユーザーエントリをリンクさせるには、両方のディレクトリで姓と名が一致する必要がある、などの規則を指定します。

ユーザーエントリのリンクとデータ衝突の解決は、純粋に技術的な観点から説明できます。対応する 2 つのディレクトリソース間で idsync resync サブコマンドがユーザーのリンクに失敗する原因は数多くありますが、その多くはリンク対象ディレクトリ内のデータの不整合によるものです。

idsync resync を使用する際の戦略の 1 つとして、引数 -n の使用があげられます。この引数を指定した場合、コマンドの処理は「安全モード」で行われ、実際に変更を加えることなく実行結果を確認できます。安全モードで実行することで、最適なユーザー一致条件の組み合わせが見つかるまで、リンク条件を詳細に調整できます。

試行を繰り返すうちに、リンクの精度とリンク対象範囲のバランスが浮かび上がってきます。

たとえば、両方のディレクトリソースに従業員 ID 番号または社会保障番号の属性が含まれている場合は、まず、この番号だけを対象としたリンク条件を指定します。リンクの精度を向上させるには、条件に姓の属性も追加したほうがよいかもしれません。しかし、データに記録されている姓に不整合があれば、最初に番号だけで一致させた場合に特定できたエントリのリンクを失う可能性もあります。リンクに失敗するエントリについては、データクレンジングを行う必要があります。

idsync resync の引数

idsync resync コマンドは、次の引数を受け付けます。

表 6-2 idsync resync の使用方法
引数	意味
-f <filename>	Identity Synchronization for Windows に用意されているいずれかの XML 設定ファイルを使用して、リンクが設定されていないユーザーエントリの間にリンクを作成する (付録 B 「LinkUsers XML ドキュメントのサンプル」を参照)
-k	ユーザーの作成、既存ユーザーの変更は行わずに、リンクが設定されていないユーザーの間だけにリンクを作成する。この引数は、引数 -f と組み合わせて使用する必要がある
-a <ldap-filter>	同期の対象となるエントリを制限する LDAP フィルタを指定するこのフィルタは、同期処理のソース側に適用されるたとえば、idsync resync -o Sun -a "usid=*" と指定した場合、uid 属性を持つすべての Directory Server ユーザーが Active Directory 側で同期される
-l <sul-to-sync>	再同期対象の同期ユーザーリスト (SUL) を個別に指定する注意 : 複数の SUL ID を指定して複数の SUL を再同期させることも、SUL ID を指定せずにすべての SUL を再同期させることもできる
-o (Sun \| Windows)	再同期処理のソースを指定する Sun: Windows エントリの属性値を、Sun Java System Directory Server ディレクトリソースエントリ内の対応する属性値に設定する Windows: Sun Java System Directory Server エントリの属性値を、Windows ディレクトリソースエントリ内の対応する属性値に設定するデフォルトは Windows
-c	ターゲット側に対応するユーザーが見つからなかった場合に自動的にユーザーエントリを作成する Active Directory または Windows NT で作成されるユーザーには、暗号を使用してセキュリティ保護されたパスワードがランダムに生成される Directory Server で作成されるユーザーには、特別なパスワード値 ((PSWSYNC)INVALID PASSWORD) が作成される (-i オプションを指定した場合を除く) 注意 : その方向の作成を設定していない場合でも、Identity Synchronization for Windows はユーザーの作成を試みる。たとえば、Windows から Sun (またはその反対) への同期を Identity Synchronization for Windows に設定しなかった場合でも、-c 引数を指定すると、Identity Synchronization for Windows は見つからなかったユーザーの作成を試みる
-i (ALL_USERS \| NEW_USERS \| NEW_LINKED_USERS)	Sun ディレクトリソースで同期されるユーザーエントリのパスワードをリセットし、次にユーザーパスワードの入力が求められるときに、これらのユーザーに現在のドメイン内でパスワードの同期を強制する ALL_USERS: すべての同期対象ユーザーにオンデマンドパスワード同期を強制する NEW_USERS: 新規作成ユーザーだけにオンデマンドパスワード同期を強制する NEW_LINKED_USERS: すべての新規作成ユーザーとすべてのリンク設定済みユーザーにオンデマンドパスワード同期を強制するこれらのオプションがパスワードの検証に与える影響については、表 6-3 を参照
-u	オブジェクトキャッシュを更新するこの引数は、Windows ディレクトリソースのユーザーエントリのローカルキャッシュだけを更新する。これにより、Windows の既存ユーザーは Directory Server 側に作成されない。この引数を指定した場合、Windows ユーザーエントリは Directory Server ユーザーエントリと同期されない。この引数は、再同期のソースが Windows の場合にだけ有効である
-x	ソースエントリと一致しないターゲット側ユーザーエントリをすべて削除する
-n	実際の変更なしでコマンドの実行結果を確認できるように、安全モードで実行する

表 6-3 idsync resync による Directory Server 側ユーザーパスワードの無効化
	ユーザーは Active Directory と Directory Server にエントリを持ち、両者はリンクされている	ユーザーは Active Directory と Directory Server にエントリを持つが、両者はリンクされていない	ユーザーは Active Directory にエントリを持つが、Directory Server には持たない
-i ALL_USERS	無効にする	無効にする	無効にする
-i NEW_LINKED_USERS	無効にしない	無効にする	無効にする
-i NEW_USERS	無効にしない	無効にしない	無効にする
-i の指定なし	無効にしない	無効にしない	無効にしない

表 6-4 は、異なる引数を組み合わせた結果の例を示しています。表記を簡略化するため、-h、-p、-D、-w、-s の各引数にについてはデフォルトの動作を適用し、指定を省略しています。

表 6-4 idsync resync の使用例
引数	結果
idsync resync	resync の使用方法を表示する
idsync resync -i ALL_USERS	すべてのユーザーのパスワードを無効化し、オンデマンドパスワード同期を強制する (Active Directory 環境だけで有効) Active Directory と NT ドメインの両方が存在する複合環境では、Active Directory の SUL を明示的に指定する必要がある
idsync resync -c -i NEW_USERS	Directory Server 側にユーザーエントリが見つからない場合にユーザーを作成し、パスワードを無効化してオンデマンドパスワード同期を強制する。空の Directory Server インスタンスに既存の Windows ユーザーを取り込む場合に、このコマンドを使用する
idsync resync -c -l SUL_sales -l SUL_finance	SUL_sales および SUL_finance という SUL だけを対象に、Active Directory のすべての既存ユーザーを Directory Server 側に作成する。ただし、オンデマンドパスワード同期は強制されない
idsync resync -n	実際の変更なしで resync コマンドの実行結果を確認できるように、安全モードで実行する
idsync resync -o Sun -a "(sn=Smith)"	Smith という姓 (sn) を持つすべての Directory Server ユーザーを Windows 側で同期させる
idsync resync -u	既存のユーザーが Directory Server に作成されないように、Windows コネクタのオブジェクトキャッシュだけを更新する。実際にはどのユーザーも同期されない
idsync resync -f link.cfg -k -i NEW_LINKED_USERS	link.cfg ファイルに指定されているリンク条件に基づいて、リンクが設定されていないユーザーをリンクさせる。Identity Synchronization for Windows はユーザーの作成または変更を行わないが、新たにリンクされたユーザーの Directory Server パスワードには、Active Directory ユーザーのパスワードが設定される



警告	idsync resync を使用してユーザーをリンクさせるときは、インデックスが付けられた属性を使用する必要があることに注意してください。インデックスが付けられていない属性は、パフォーマンスに影響する可能性があります。ユーザー一致条件に複数の属性が指定されている場合、少なくとも 1 つにインデックスが付けられていれば、許容可能なパフォーマンスが得られる可能性が高くなります。しかし、インデックスが付けられた属性がユーザー一致条件 (UserMatchingCriteria) に 1 つも存在しない場合、大規模なディレクトリでのパフォーマンスは許容できないほど低下します。

セントラルログによる結果の確認

idsync resync のすべての動作の結果は resync.log という特別なセントラルログに記録されます。このログには、正しくリンクおよび同期されたユーザー、リンクできなかったユーザー、すでにリンクされているユーザーがすべて記録されます。



注	Administrator や Guest など、すでに存在する Active Directory の特別なユーザーは、このログではリンク失敗と表示されることがあります。

同期の開始と終了

同期を開始または終了しても、個々の Java プロセス、デーモン、サービスは開始または停止されません。同期の開始後、同期を終了しても処理が一時停止されるだけです。同期を再開すると、プログラムは直前の終了時から同期を再開するため、変更が失われることはありません。

同期を開始または終了するには、次の手順を実行します。

Sun Java System サーバーコンソールのナビゲーションパネルで Identity Synchronization for Windows インスタンスを選択します。

Identity Synchronization for Windows のパネルが表示されるので、右上端の「開く」ボタンをクリックします。

入力が求められたら、設定パスワードを入力します。

「タスク」タブ (図 6-1) を選択します。

図 6-1 同期の開始と終了
同期サービスを起動または停止します。

同期を開始するには、「同期を開始します」をクリックする

同期を終了するには、「同期を停止します」をクリックする



注	コマンド行ユーティリティ idsync startsync、idsync stopsync を使用して同期を開始、終了することもできます。詳細な方法については、「startsync の使用」および「stopsync の使用」を参照してください。

サービスの開始と停止

Identity Synchronization for Windows と Message Queue は、Solaris 環境ではデーモンとして、Windows 環境ではサービスとしてインストールされます。これらのプロセスは、システムの起動時に自動的に開始されますが、次に示すように、これを手動で開始および停止することもできます。

Solaris 環境 : コマンド行で次のように操作する

Identity Synchronization for Windows のすべてのプロセスを開始するには、/etc/init.d/isw start と入力する

Identity Synchronization for Windows のすべてのプロセスを停止するには、/etc/init.d/isw stop と入力する

Message Queue ブローカを開始するには、/etc/init.d/imq start と入力する

Message Queue ブローカを停止するには、/etc/init.d/imq stop と入力する

Windows 環境 :

Windows の「スタート」メニューから次のように操作する

「スタート」 > 「設定」 > 「コントロールパネル」 > 「管理サービス」を選択する

「管理サービス」ダイアログボックスが表示されるので、「サービス」アイコンをダブルクリックして「サービス」ダイアログボックスを開く。

「Identity Synchronization for Windows」を選択し、メニューバーから「操作」 > 「開始」 (または「停止」) を選択する。「iMQ Broker」についても同じ操作を繰り返す

コマンド行に net コマンドを入力し、サービスを制御する



注	停止した Identity Synchronization for Windows デーモンまたはサービスを再開するときは、30 秒以上が経過してから行ってください。コネクタは、すべての接続を終了してシャットダウンするまでに数秒を要することがあります。

前へ目次索引次へ

前へ目次索引次へ
Sun Java System Identity Synchronization for Windows 1 2004Q3 インストールおよび設定ガイド