|
| |
| Sun Java System Identity Synchronization for Windows 1 2004Q3 インストールおよび設定ガイド | |
第 7 章
Identity Synchronization for Windows 1 2004Q3 への移行この章では、システムを Sun Java System Identity Synchronization for Windows バージョン 1.0 からバージョン 1 2004Q3 に移行する方法について説明します。
この章で説明する内容は次のとおりです。
概要Identity Synchronization for Windows バージョン 1.0 または 1.0 SP1 から 1 2004Q3 への移行は、次の各段階に大別されます。
移行の前に移行プロセスを開始する前に、次の作業を行います。
- Sun Java System Identity Synchronization for Windows バージョン 1 2004Q3 の新しい機能について理解する
- 移行プロセスの計画時に利用できるインストールと設定の情報について、第 2 章「インストールの準備」を参照する
- バージョン 1.0 の配備と設定について書き出す
行ったカスタマイズについて、その設定情報を必ず書き留める- 移行の予定を立てる
移行プロセスは最短でも 4 時間かかるため、通常の業務時間が終了してから移行を行うことが必要になることもある
バージョン 1.0 から 1 2004Q3 へのシステム移行中にユーザーがパスワードや属性の変更を行った場合、Identity Synchronization for Windows はこれらの変更を次のように処理します。
- Active Directory での処理 : 移行プロセス中に Active Directory で変更されたパスワードは、移行プロセスの完了後に Directory Server プラグインによってオンデマンドで同期される
- Directory Server での処理 : 移行中に Directory Server 上で行われたパスワードの変更は同期されない。ただし、移行プロセスの完了後に、Identity Synchronization for Windows 1 2004Q3 のログを調べることで、影響を受けるユーザーを特定できる。「ログのチェック」を参照
- Windows NT での処理 : 移行プロセス中に NT 上で行われたパスワードの変更は同期されない
ただし、forcepwchg ユーティリティを使用した場合は、影響を受けるユーザーを特定し、パスワードの再変更を強制できる。詳細は、「Windows NT でのパスワード変更の強制」および「ログのチェック」を参照
- ディレクトリソースを問わず、移行中に行われるその他すべての属性の変更は、移行プロセスの完了後に同期される
移行の準備バージョン 1.0 からバージョン 1 2004Q3 への移行には、次のユーティリティを単独で、または組み合わせて使用します。
- export10cnf: Identity Synchronization for Windows 1.0 の設定からエクスポートした設定ファイルを作成するためのスタンドアロンユーティリティ。詳細については「バージョン 1.0 の設定のエクスポート」を参照
1.0 の同期を終了したあとに、Message Queue に更新が残される可能性がある。移行処理を進める前に、Message Queue に更新が残されていないことを確認する必要がある。詳細については「未配信メッセージのチェック」を参照
- forcepwchg: 移行プロセスでパスワードが変更されたユーザーを識別し、バージョン 1 2004Q3 システムの準備が整った段階でパスワードの再変更を強制する Windows NT ツール。Windows NT 上で変更されたパスワードは、移行プロセス中は検出されない。詳細については「Windows NT でのパスワード変更の強制」を参照
バージョン 1.0 の設定のエクスポート
export10cnf ユーティリティを使用してバージョン 1.0 の既存の設定を XML ファイルとしてエクスポートし、コネクタのインストール前に idsync importcnf コマンドを使用して、そのファイルを迅速かつ正確にバージョン 1 2004Q3 システムにインポートすることができます。
ヒント
Identity Synchronization for Windows コンソールを使用して 1.0 の設定を手動で再入力することもできますが、export10cnf ユーティリティを使用することを強くお勧めします。export10cnf を使用しない場合、コネクタの状態を保存することはできません。
バージョン 1.0 の設定をエクスポートすることには、次のような利点があります。
export10cnf ユーティリティは、インストールの migration ディレクトリに格納されています。追加のインストール手順は必要ありません。
export10cnf ユーティリティの使用
Identity Synchronization for Windows の設定を XML ファイルとしてエクスポートするには、次のように migration ディレクトリから export10cnf を実行します。
export10cnf ユーティリティの引数は、Identity Synchronization for Windows のコマンド行ユーティリティの共通引数 (「共通引数」を参照) と同じです。export10cnf に固有のオプションは、-f <filename> だけです。ユーティリティの実行が正常に完了すると、現在の設定がこの「-f」オプションの引数として指定されたファイルにエクスポートされます。
クリアテキストパスワードの挿入
export10cnf ユーティリティは、セキュリティ上の理由により、バージョン 1.0 の設定からクリアテキストのパスワードをエクスポートしません。cleartextPassword フィールドには、代わりに空の文字列が挿入されます。次に例を示します。
<Credentials
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
ファイルを Identity Synchronization for Windows 1 2004Q3 にインポートする前に、エクスポートされた設定ファイルのすべての cleartextPassword フィールドで、二重引用符の間に手動でパスワードを入力する必要があります。importcnf は、パスワードの値が空の設定ファイルがインポートされないように検証を行います。
次に例を示します。
<Credentials
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword="mySecretPassword"/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVEFIELD -->
エクスポートされた設定ファイルの例
コード例 7-1 は、エクスポートされた設定ファイルの例を示しています。
このファイルでは、
- ad-host.example.com は Active Directory ドメインコントローラを示す
- ds-host.example.com は Sun Java System Directory Server を実行するホストを示す
コード例 7-1 エクスポートされた設定ファイルの例
<SyncScopeDefinitionSet
index="0"
location="cn=users,dc=example,dc=com"
filter=""
creationExpression="cn=%cn%,cn=users,dc=example,dc=com"
sulid="SUL"/>
</ActiveDirectorySource>
<ActiveDirectoryGlobals
flowInboundCreates="true"
flowInboundModifies="true"
flowOutboundCreates="true"
flowOutboundModifies="true">
<AttributeDescription
parent.attr="CreationAttribute"
name="samaccountname"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeMap>
<AttributeDescription
parent.attr="WindowsAttribute"
name="samaccountname"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="SunAttribute"
name="uid"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</AttributeMap>
<AttributeDescription
parent.attr="SignificantAttribute"
name="description"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeMap>
<AttributeDescription
parent.attr="SunAttribute"
name="sn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="WindowsAttribute"
name="sn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</AttributeMap>
<SynchronizationHost
hostOrderOfSignificance="1"
hostname="ad-host.example.com"
port="389"
portSSLOption="true"
securePort="636">
<Credentials
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</SynchronizationHost>
<AttributeDescription
parent.attr="CreationAttribute"
name="cn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<TopologyHost
parent.attr="SchemaLocation"
hostname="ad-host.example.com"
port="3268"
portSSLOption="true"
securePort="3269">
<Credentials
parent.attr="Credentials"
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</TopologyHost>
<TopologyHost
parent.attr="HostsTopologyConfiguration"
hostname="ad-host.example.com"
port="3268"
portSSLOption="true"
securePort="3269">
<Credentials
parent.attr="Credentials"
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</TopologyHost>
<AttributeMap>
<AttributeDescription
parent.attr="SunAttribute"
name="cn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="WindowsAttribute"
name="cn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</AttributeMap>
<AttributeMap>
<AttributeDescription
parent.attr="SunAttribute"
name="description"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="WindowsAttribute"
name="description"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</AttributeMap>
</ActiveDirectoryGlobals>
<SunDirectoryGlobals
userObjectClass="inetorgperson"
flowInboundCreates="true"
flowInboundModifies="true"
flowOutboundCreates="true"
flowOutboundModifies="true">
<TopologyHost
parent.attr="SchemaLocation"
hostname="ds-host.example.com"
port="389"
portSSLOption="false"
securePort="636">
<Credentials
parent.attr="Credentials"
userName="cn=directory manager"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</TopologyHost>
<TopologyHost
parent.attr="HostsTopologyConfiguration"
hostname="ds-host.example.com"
port="389"
portSSLOption="false"
securePort="636"><Credentials
parent.attr="Credentials"
userName="cn=directory manager"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</TopologyHost>
<AttributeDescription
parent.attr="SignificantAttribute"
name="description"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="CreationAttribute"
name="sn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="CreationAttribute"
name="cn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</SunDirectoryGlobals>
</ActiveConfiguration>
export10cnf による設定のエクスポートが完了すると、処理の結果が報告されます。処理が失敗した場合は、エラー ID を示すエラーメッセージが表示されるます。
未配信メッセージのチェック
Identity Synchronization for Windows 1.0 から 1 2004Q3 への移行プロセスでは、既存配備のコネクタの状態を保存することで、システムのダウン時間を最小化しています。しかし、これらの状態は Message Queue によって最後に受信、認識された変更までを反映しているため、メッセージが実際に配信され、送信先コネクタに適用されているかどうかはわかりません。
Message Queue の状態に変化がないかぎり、これによって問題が生じることはありませんが、移行プロセスで Message Queue 3.5 SP1 をインストールする際に Message Queue 上のメッセージは失われます。
移行処理を先に進める前に、既存の Message Queue の同期トピックに未配信のメッセージが残されていないことを確認する必要があります。Identity Synchronization for Windows の checktopics ユーティリティを使用することで、すべての同期トピックが確実に空であり、システムが休止していることを確認できます。
checktopics ユーティリティの使用
checktopics ユーティリティは、Solaris/SPARC および Windows の Identity Synchronization for Windows 1 2004Q3 パッケージの migration ディレクトリに格納されています。
checktopics ユーティリティを実行すると、ユーティリティは、同期ユーザーリスト (SUL) に関する情報と、Message Queue で現在使用されている同期トピック名が保存されている設定ディレクトリに接続します。また、checktopics を実行すると、各アクティブ同期トピックに残されている未処理メッセージの数が Message Queue に照会され、この情報が表示されます。
checktopics コマンド行ユーティリティを実行する方法は、次のとおりです。
注
- checktopics ユーティリティの引数については、「共通引数」を参照
- checktopics ユーティリティの使用については、「未配信メッセージのチェック」を参照
checktopics を実行したら、端末でメッセージを確認します。
メッセージのクリア
アクティブないずれかの同期トピックに未配信のメッセージが残されている場合は、次の手順を実行してメッセージをクリアできます。
Windows NT でのパスワード変更の強制
Windows NT ではパスワードの変更は監視されず、移行プロセス中に新しいパスワード値は取り込まれません。このため、移行完了後に新しいパスワード値を特定することができません。
1 2004Q3 への移行が完了したあとにすべてのユーザーにパスワードの変更を義務付ける代わりに、コマンド行ユーティリティ forcepwchg を使用して、移行プロセス中にパスワードを変更したユーザーを対象にパスワードの変更を強制することができます。
forcepwchg ユーティリティは、Windows の migration ディレクトリに格納されています。このディレクトリから forcepwchg を直接実行します。追加のインストール手順は必要ありません。
forcepwchg ユーティリティは、NT コンポーネント (コネクタ、変更ディテクタ DLL、パスワードフィルタ DLL) がインストールされている主ドメインコントローラ (PDC) ホスト上で実行する必要があります。forcepwchg をリモート実行することはできません。
また、forcepwchg ユーティリティは移行対象となるアカウント名を 1 行に 1 つずつ出力します。移行プロセス中にエラーが発生した場合は、最後に出力されたユーザーアカウントの移行でエラーが発生しています。
システムの移行ここでは、単一ホストの配備をバージョン 1 2004Q3 に移行する手順について説明します。単一ホストの配備では、次に示す Identity Synchronization for Windows のすべてのコンポーネントが単一のホスト (Windows 2000 Server、Solaris バージョン 8 または 9、または SPARC) にインストールされます。
次の図は、移行プロセスを表しています。このあとに説明する同期手順を補足するチェックリストとしても使用できます。
図 7-1 単一ホスト配備の移行
移行の準備
Identity Synchronization for Windows バージョン 1.0 からバージョン 1 2004Q3 への移行を準備する手順は、次のとおりです。
- コマンドプロンプトに次のコマンドを入力します。
- バージョン 1.0 の設定を XML ファイルにエクスポートします。「export10cnf ユーティリティの使用」で説明したように、migration ディレクトリから export10cnf を実行します。次に例を示します。
java -jar export10cnf.jar -D "cn=directory manager" -w - -s "dc=example,dc=com" -q - -f export.cfg
- エクスポートされた XML ファイルにパスワードを入力します。
エクスポートした設定ファイルのすべての cleartextPassword フィールドで、二重引用符の間にパスワードを入力します (「クリアテキストパスワードの挿入」を参照)。
- 「同期の開始と終了」で説明した方法で同期を終了します。
- システムが静止状態にあることを確認します。「checktopics ユーティリティの使用」で説明したように、migration ディレクトリから checktopics を実行します。
次に例を示します。
java -jar checktopics.jar -D "cn=directory manager" -w - -s "dc=example,dc=com" -q -
- 「サービスの開始と停止」で説明した方法で Identity Synchronization for Windows サービス (デーモン) を停止します。
- Windows NT のみに適用 : Sun Java System NT Change Detector サービスを停止します。サービスは、コマンド行に次のように入力することで停止できます。
net stop "Sun Java(TM) System NT Change Detector"
- Windows NT のみに適用 : 次の手順を実行し、NT ChangeDetector サービスのカウンタを保存します。
- 既存の 1.0 インストールの persist ディレクトリと etc ディレクトリをバックアップし、コネクタの状態を保存します。
- Solaris 環境 : cd <serverroot>/isw-<hostname> tar cf /var/tmp/connector-state.tar persist etc と入力する
- Windows 環境 : cd <serverroot>¥isw-<hostname>
zip -r C:¥WINNT¥Temp¥connector-state.zip persist etc
%JAVA_HOME%¥bin¥jar -cfM %TEMP%¥connector-state.jar persist etc と入力する
または、WinZip などの任意の Windows 用 zip アーカイブプログラムを使用する- Identity Synchronization for Windows サービスを開始します (詳細情報を参照)。
Identity Synchronization for Windows のアンインストール
注
Identity Synchronization for Windows 1.0 以外のアプリケーションが SUNWjss パッケージを使用するように登録されていない場合、Identity Synchronization for Windows 1.0 のアンインストールプログラムは、このパッケージを削除します。特に、Directory Server 5.2.2 の zip バージョンをインストールした Solaris 環境では、このような状況が生じる可能性があります。この場合、アンインストールプログラムは /usr/share/lib/mps/secv1 から jss3.jar を削除します。
Identity Synchronization for Windows 1 2004Q3 への移行時にこのような状況が生じた場合、インストーラは必要ファイルが不足していることを示すメッセージを表示し、インストールログにファイル名を記録します。このエラーが発生したときは、必要なパッチ (「Sun Java System ソフトウェアの要件」を参照) を再インストールしてからインストールプロセスをやり直してください。
準備手順を完了すると、次の方法で Identity Synchronization for Windows バージョン 1.0 または 1.0 SP1 をアンインストールする準備が整います。
- Directory Server プラグインを手動でアンインストールし、プラグインがインストールされていた Directory Server をそれぞれ再起動します。
- プラグインがインストールされていた各 Directory Server で、次の手順を実行します。
- ディレクトリを <server_root>¥isw-<hostname> に変更し (cd)、Identity Synchronization for Windows 1.0 のアンインストールプログラムを使用してバージョン 1.0 または 1.0 SP1 のコネクタとコンポーネントをアンインストールします。
- 次の手順を実行し、製品レジストリファイルから Identity Synchronization for Windows に関するエントリを削除します。
- 次の位置にあるファイルのバックアップを作成します。
- 「Solaris からの 1.0 コアとインスタンスの手動アンインストール」の手順 6 に示される方法で、レジストリファイルから Identity Synchronization for Windows に関連するエントリを削除します。
- Windows 環境のみに適用 : コアのアンインストールが完了したら、マシンを再起動します。
注
何らかの理由でアンインストールが失敗したときは、Identity Synchronization for Windows コンポーネントの手動アンインストールが必要になることがあります。実行方法については、「1.0 のアンインストールが失敗した場合の対応」を参照してください。
- Windows 環境のみに適用 : Identity Synchronization for Windows が稼動していないことを確認します。必要に応じてコマンド行に次のように入力し、サービスを停止してください。
net stop "Sun Java(TM) System Identity Synchronization for Windows"
アンインストールの完了後にこのサービスが稼動していると、共有違反が発生し、インスタンスディレクトリを削除できなくなります。
- Identity Synchronization for Windows インスタンスのディレクトリ (isw-<hostname>) を削除します。
依存関係を持つ製品のインストールまたはアップグレード
次に、JRE (Java 実行時環境) のアップグレード、Message Queue のインストール、Directory Server のアップグレードを行う方法について説明します。
- Identity Synchronization for Windows コンポーネントがインストールされている Windows NT 以外の各ホストで、Java 2 SDK (Java 2 実行時環境) をアップグレードします。1.4.2_04 以降のバージョンである必要があります。
- Java 2 SDK: http://java.sun.com/j2se/1.4.2/install.html
- Java 2 実行時環境: http://java.sun.com/j2se/1.4.2/jre/install.html
- 『Sun Java System Message Queue 3.5 SP1 Installation Guide』に記載されている手順に従って、Message Queue 3.5 SP1 をインストールします。
- 次のサイトで入手できる『Sun Java System Directory Server 5 2004Q2 Installation and Migration Guide』に記載されている手順に従って、Directory Server のバージョンを 5.2 SP2 にアップグレードします。
http://docs.sun.com/db/coll/DirectoryServer_04q2
Directory Server をアップグレードしても、Directory Server の現在の設定とデータベースは維持されます。
Identity Synchronization for Windows 1 2004Q3 のインストール
Identity Synchronization for Windows 1 2004Q3 コンポーネントをインストールする手順は、次のとおりです。
- Identity Synchronization for Windows 1 2004Q3 コアをインストールします。「コアのインストール」を参照してください。
- 次のように、Directory Server に対して idsync prepds を実行し、スキーマを更新します。
- Solaris 環境 : cd /opt/SUNWisw/bin と入力する
次に、idsync prepds <arguments> と入力する- Windows 環境 : cd ¥<serverroot>¥isw-<hostname>¥bin と入力する
次に、idsync prepds <arguments> と入力するidsync prepds については、付録 A 「Identity Synchronization for Windows のコマンド行ユーティリティの使用」を参照してください。
- 次のように入力し、バージョン 1.0 の設定が記録された XML ファイルをインポートします。
idsync importcnf <arguments>
注
プログラムが入力設定ファイル内のエラーを検出した場合はエラーとなります。Identity Synchronization for Windows は importcnf プロセスを中止し、問題の解決に必要な情報を出力します。
idsync importcnf の使用については、付録 A の「importcnf の使用」を参照してください。
- Identity Synchronization for Windows 1 2004Q3 コネクタをインストールします (「コネクタのインストール」を参照)。
- Identity Synchronization for Windows 1 2004Q3 Directory Server プラグインをインストールします (「Directory Server プラグインのインストール」を参照)
- 「サービスの開始と停止」で説明した方法で Identity Synchronization for Windows サービス (デーモン) を停止します。
- Windows NT のみに適用 : Sun JavaTM System NT ChangeDetector サービスを停止します。サービスは、コマンド行に次のように入力することで停止できます。
net stop "Sun Java(TM) System NT Change Detector"
- Windows NT のみに適用 : 次の手順を実行し、NT ChangeDetector サービスのカウンタを復元します。
- Windows NT のみに適用 : Sun JavaTM System NT ChangeDetector サービスを開始します。サービスは、コマンド行に次のように入力することで開始できます。
net start "Sun Java(TM) System NT Change Detector"
- インスタンスのディレクトリから 1 2004Q3 の persist ディレクトリと etc ディレクトリ (およびすべての内容) を削除し、「移行の準備」でバックアップしたバージョン 1.0 または 1.0 SP1 の persist ディレクトリと etc ディレクトリを復元します。
- Identity Synchronization for Windows サービスを開始します (詳細情報を参照)。
- 「同期の開始と終了」で説明した方法で同期を開始します。
- セントラル監査ログを調べ、警告メッセージが出力されていないことを確認します。
1.0 のアンインストールが失敗した場合の対応バージョン 1 2004Q3 のインストールプログラムがバージョン 1.0 システムの残存物を検出すると、1 2004Q3 のインストールは失敗します。このため、バージョン 1 2004Q3 をインストールする前に、1.0 のすべてのコンポーネントをシステムから完全に削除する必要があります。
アンインストールプログラムがバージョン 1.0/1.0 SP1 のコンポーネントをすべて削除できなかった場合は、Identity Synchronization for Windows の製品レジストリと Solaris パッケージを手動でクリーンアップする必要があります。
次の 3 つの項では、Identity Synchronization for Windows バージョン 1.0 を手動でアンインストールする詳細な手順について説明します。
注
ここに示すアンインストール手順は、Identity Synchronization for Windows バージョン 1.0 のアンインストールだけに適用されます。
Identity Synchronization for Windows のアンインストールプログラムが失敗した場合以外は、次に示す手動アンインストール手順を使用しないでください。
Solaris からの 1.0 コアとインスタンスの手動アンインストール
Solaris マシンからコアを手動でアンインストールするには、ここで説明する手順を実行します。
注
ここでは、Identity Synchronization for Windows の位置を次のように示します。
<serverroot>/isw-<hostname>
この <serverroot> は、Identity Synchronization for Windows のインストール先の親ディレクトリを示します。
たとえば、Identity Synchronization for Windows を /var/Sun/mps/isw-<example> にインストールした場合、<serverroot> は /var/Sun/mps となります。
- 端末ウィンドウに /etc/init.d/isw stop と入力し、Identity Synchronization for Windows のすべての Java プロセスを停止します。
上のコマンドを実行してもすべての Java プロセスが停止されない場合は、次のように入力します。
/usr/ucb/ps -gauxwww | grep java
kill -s SIGTERM <上のコマンドで得られるプロセス ID>
- 次の方法で Message Queue を停止します。
- プロンプトに次のコマンドを入力し、Message Queue ブローカを停止します。
/etc/init.d/imq stop
- 次のように入力し、残りの imq プロセスを停止します。
* ps -ef | grep imqbroker
* kill -s SIGTERM <上のコマンドで得られるプロセス ID>
- 次のいずれかの方法で、ブローカのパッケージとディレクトリをアンインストールします。
- コアがインストールされているホストの Identity Synchronization for Windows インスタンスのディレクトリに格納されている Message Queue ブローカアンインストールスクリプトを使用して、ブローカをアンインストールする。次のように入力する
/<serverroot>/isw-<hostname>/imq_uninstall
- パッケージとディレクトリを次のように手動アンインストールする
pkgrm: コマンドを使用して、これらのパッケージを削除する
SUNWaclg
SUNWiqum
SUNWiqjx
SUNWiqlen
SUNWxsrt
SUNWiqu
SUNWjaf
SUNWiqfs
SUNWjhrt
SUNWiqdoc
SUNWiquc
SUNWiqsup
SUNWiqr
SUNWjmail
rm -rf コマンドを使用して、これらのディレクトリを削除する
- Identity Synchronization for Windows 1.0 Solaris パッケージを削除するには、表 7-1 に示されるパッケージごとに pkgrm <packageName> を実行します。
たとえば、pkgrm SUNWidscm SUNWidscn SUNWidscr SUNWidsct SUNWidsoc のように実行します。
表 7-1 削除する Solaris パッケージ
パッケージ名
説明
SUNWidscm
Sun Java System Directory Server Identity Synchronization のコアコンポーネントとコネクタのパッケージ
SUNWidscn
Sun Java System Directory Server Identity Synchronization のコンソールヘルプファイルのパッケージ
SUNWidscr
Sun Java System Directory Server Identity Synchronization のコアコンポーネントのパッケージ
SUNWidsct
Sun Java System Directory Server Identity Synchronization のコネクタのパッケージ
SUNWidsoc
Sun Java System Directory Server Identity Synchronization のオブジェクトキャッシュのパッケージ
すべてのパッケージが削除されたことを確認するには、次のように入力します。
pkginfo | grep -i "Identity Synchronization"
- 次の方法で Directory Server プラグインを削除します。
- Directory Server コンソールで、「設定」タブを選択します。
- 左のパネルでプラグインのノードを展開し、「pswsync」ノードを選択します。
- 右のパネルで、「プラグインを有効に」ボックスのチェックマークを外します。
- 「保存」をクリックして変更を保存します。
- Directory Server コンソールで、設定ディレクトリ内の次のエントリを検索し、それを削除します。
cn=pswsync,cn=plugins,cn=config
- Directory Server を停止します。
- 次のように入力して、プラグインのバイナリを削除します。
rm -f /<serverroot>/lib/psw-plugin.so
- Directory Server を再起動します。
- /var/sadm/install/productregistry にある現在の productregistry ファイルのバックアップを作成 (コピーして名前を変更) します。
- /var/sadm/install/ にある productregistry ファイルを手動で編集し、次のエントリを削除します (存在する場合)。
注
- 最適な結果を得るには、XML エディタを使用する。標準的なテキストエディタを使用することもできる
- 次のコンポーネントの一部は、ファイルに含まれていないこともある
- 開始タグ (<compid>)、終了タグ (<¥compid>)、および 2 つのタグの間に含まれるすべての内容を削除する必要がある。次のリストでは、これらのタグの一部として含まれる追加テキストやタグは、連続するピリオドで表されている。詳細情報の例を参照
- <compid>Identity Synchronization for Windows .. . </compid>
- <compid>Core .. . </compid>
- <compid>unistaller .. . </compid>
- <compid>wpsyncwatchdog .. . </compid>
- <compid>setenv .. . </compid>
- <compid>Create DIT .. . </compid>
- <compid>Extend Schema .. . </compid>
- <compid>resources .. . </compid>
- <compid>CoreComponents .. . </compid>
- <compid>Connector .. . </compid>
- <compid>DSConnector .. . </compid>
- <compid>Directory Server Plugin .. . </compid>
- <compid>DSSubcomponents .. . </compid>
- <compid>ObjectCache .. . </compid>
- <compid>ObjectCacheDLLs .. . </compid>
- <compid>SUNWidscr .. . </compid>
- <compid>SUNWidscm .. . </compid>
- <compid>SUNWidsct .. . </compid>
- <compid>SUNWidscn .. . </compid>
- <compid>SUNWidsoc .. . </compid>
- <compid>ADConnector .. . </compid>
次に、<compid> タグの例を示します。<compid> と </compid>、およびその間にあるすべてのテキストとタグを削除します。
<compid>Identity Synchronization for Windows
<compversion>1.0
<uniquename>Identity Synchronization for Windows</uniquename>
<compinstance>1
<children>
<compref>ADConnector
<instance>1
<version>1.0</version>
</instance>
</compref>
<compref>DSSubcomponents
. . .
</compinstance>
</compversion>
</compid>
- Identity Synchronization for Windows の次のディレクトリとファイルを削除します。
- 次の方法で設定ディレクトリをクリーンアップします。
- Identity Synchronization for Windows コアがインストールされている設定ディレクトリに対して次の ldapsearch コマンドを実行し、Identity Synchronization for Windows コンソールのサブツリーを識別します。
ldapsearch -D "cn=directory manager" -w <my_password> -b o=netscaperoot "(nsnickname=isw)" dn
注
ldapsearch は、Directory Server の <serverroot>/shared/bin/ldapsearch ディレクトリに格納されています。
たとえば、/var/Sun/mps/shared/bin/ldapsearch にあります。
実行結果として、次のようなエントリが取得されます。エントリは、常に o=NetscapeRoot で終わります。
"cn=Sun Java System Identity Synchronization for Windows,cn=server group, cn=myhost.mydomain.com,ou=mydomain.com,o=NetscapeRoot"
- Directory Server コンソールを使用して、Identity Synchronization for Windows コンソールのサブツリーと、その下のすべてのサブツリーを削除します。
- 次の方法で Identity Synchronization for Windows 設定レジストリをクリーンアップします。
- 次の ldapsearch コマンドを実行し、Directory Server 内の Identity Synchronization for Windows 設定レジストリを識別します。
ldapsearch -D "cn=directory manager" -w <my_password> -b "dc=my,dc=domain" "(&(objectclass=iplanetservice)(ou=IdentitySynchronization))" dn
実行結果として、次のようなエントリが取得されます。
"ou=IdentitySynchronization,ou=Services,dc=my,dc=domain"
- Directory Server コンソールを使用して、Identity Synchronization for Windows 設定レジストリと、その下のすべてのサブツリーを削除します。
- 次の方法で、コンソールに関連するその他すべてのファイルをクリーンアップします。
Windows 2000 からの 1.0 コアとインスタンスの手動アンインストール
Windows 2000 マシンからコアを手動でアンインストールするには、ここで説明する手順を実行します。
注
ここでは、Identity Synchronization for Windows の位置を次のように示します。
<serverroot>¥isw-<hostname>
この <serverroot> は、Identity Synchronization for Windows のインストール先の親ディレクトリを示します。
たとえば、Identity Synchronization for Windows を C:¥Program Files¥Sun¥mps¥isw-example にインストールした場合、<serverroot> は C:¥Program Files¥Sun¥mps となります。
- 次のいずれかの方法で、Identity Synchronization for Windows のすべての Java プロセスを停止します。
- 次のいずれかの方法で、Message Queue を停止します (コアをアンインストールするだけのため)。
- 次の方法で Directory Server プラグインを削除します。
- Directory Server コンソールで、「設定」タブを選択します。
- 左のパネルでプラグインのノードを展開し、「pswsync」ノードを選択します。
- 右のパネルで、「プラグインを有効に」ボックスのチェックマークを外します。
- 「保存」をクリックして変更を保存します。
- コンソールで、設定ディレクトリ内の次のエントリを検索し、それを削除します。
cn=pswsync,cn=plugins,cn=config
- 次のいずれかの方法で、Directory Server を停止します。
- Windows エクスプローラを開き、プラグインのバイナリを検索して削除します。
<serverroot>¥lib¥psw-plugin.so
- Directory Server を再起動します。
- コマンドプロンプトウィンドウを開き、regedit と入力して「レジストリエディタ」ウィンドウを開きます。
重要 : 手順 5 に進む前に、現在のレジストリファイルのバックアップを行ってください。
- 「レジストリエディタ」のメニューバーから「編集」 > 「削除」を選択し、Windows レジストリから次の Identity Synchronization for Windows キーを削除します。
- C:¥WINNT¥system32 にある現在の productregistry ファイルのバックアップを作成 (コピーして名前を変更) します。
- C:¥WINNT¥system32 ¥productregistry ファイルを編集し、次のタグを削除します。
注
- 最適な結果を得るには、XML エディタを使用する。標準的なテキストエディタを使用することもできる
- 次のコンポーネントの一部は、ファイルに含まれていないこともある
- 開始タグ (<compid>)、終了タグ (<¥compid>)、および 2 つのタグの間に含まれるすべての内容を削除する必要がある。次のリストでは、これらのタグの一部として含まれる追加テキストやタグは、連続するピリオドで表されている。詳細情報の例を参照
- <compid>Identity Synchronization for Windows .. . </compid>
- <compid>Core .. . </compid>
- <compid>unistaller .. . </compid>
- <compid>wpsyncwatchdog .. . </compid>
- <compid>setenv .. . </compid>
- <compid>Create DIT .. . </compid>
- <compid>Extend Schema .. . </compid>
- <compid>resources .. . </compid>
- <compid>CoreComponents .. . </compid>
- <compid>Connector .. . </compid>
- <compid>DSConnector .. . </compid>
- <compid>Directory Server Plugin .. . </compid>
- <compid>DSSubcomponents .. . </compid>
- <compid>ObjectCache .. . </compid>
- <compid>ObjectCacheDLLs .. . </compid>
- <compid>ADConnector .. . </compid>
次に、<compid> タグの例を示します。<compid> と </compid>、およびその間にあるすべてのテキストとタグを削除します。
<compid>Identity Synchronization for Windows
<compversion>1.0
<uniquename>Identity Synchronization for Windows</uniquename>
<compinstance>1
<children>
<compref>ADConnector
<instance>1
<version>1.0</version>
</instance>
</compref>
<compref>DSSubcomponents
. . .
</compinstance>
</compversion>
</compid>
- <serverroot>¥isw-<hostname> にある Identity Synchronization for Windows のインストールフォルダを削除します。
たとえば、C:¥Program Files¥Sun¥mps¥isw-example のようなフォルダです。
- 次の方法で設定ディレクトリをクリーンアップします。
- コマンドプロンプトウィンドウから、Identity Synchronization for Windows コアがインストールされている設定ディレクトリに対して ldapsearch コマンドを実行し、Identity Synchronization for Windows コンソールのサブツリーを識別します。
注
ldapsearch は、<serverroot>¥shared¥bin¥ldapsearch にあります。
次に例を示します。
C:¥Program Files¥Sun¥mps¥shared¥bin¥ldapsearch
ldapsearch -D "cn=directory manager" -w <my_password> -b o=netscaperoot "(nsnickname=isw)" dn
実行結果として、次のようなエントリが取得されます。エントリは、常に o=NetscapeRoot で終わります。
"cn=Sun Java System Identity Synchronization for Windows,cn=server group, cn=myhost.mydomain.com,ou=mydomain.com,o=NetscapeRoot"
- Directory Server コンソールを使用して、検索した Identity Synchronization for Windows コンソールのサブツリーと、その下のすべてのサブツリーを削除します。
- 次のように、Identity Synchronization for Windows の設定ディレクトリ (設定レジストリとも呼ばれる) をクリーンアップします。
- コマンドプロンプトウィンドウから次の ldapsearch コマンドを実行し、Directory Server 内の Identity Synchronization for Windows 設定ディレクトリを識別します。
ldapsearch -D "cn=directory manager" -w <my_password> -b "dc=my,dc=domain" "(&(objectclass=iplanetservice)(ou=IdentitySynchronization))" dn
実行結果として、次のようなエントリが取得されます。
"ou=IdentitySynchronization,ou=Services,dc=my,dc=domain"
- Directory Server コンソールを使用して、検索した設定ディレクトリのサブツリーと、その下のすべてのサブツリーを削除します。
- 次の方法で、コンソールに関連するその他すべてのファイルをクリーンアップします。
- マシンを再起動し、すべての変更を適用します。
Windows NT からの 1.0 インスタンスの手動アンインストール
Windows NT マシンからインスタンスを手動でアンインストールするには、ここで説明する手順を実行します。
注
ここでは、Identity Synchronization for Windows の位置を次のように示します。
<serverroot>¥isw-<hostname>
この <serverroot> は、Identity Synchronization for Windows のインストール先の親ディレクトリを示します。たとえば、Identity Synchronization for Windows を C:¥Program Files¥Sun¥mps¥isw-example にインストールした場合、<serverroot> は C:¥Program Files¥Sun¥mps となります。
- 次のいずれかの方法で、Identity Synchronization for Windows のすべての Java プロセス (コアとインスタンスのインストール) を停止します。
- 次のいずれかの方法で、変更ディテクタサービスを停止します。
- Windows NT コンピュータを再起動します。
- Identity Synchronization for Windows のレジストリキーを削除する必要があります。コマンドプロンプトウィンドウを開き、regedt32 と入力して「レジストリエディタ」ウィンドウを開きます。
警告
プログラムが複数値文字列の編集を許可しないため、regedit は使用しないでください。
手順 5 に進む前に、必ず現在の Windows レジストリファイルをバックアップしてください。
- 「レジストリエディタ」のメニューバーから「編集」 > 「削除」を選択し、レジストリから次の Identity Synchronization for Windows キーを削除します。
- regedt32 を使用して (regedit は使用しない)、次のレジストリキーを修正します (削除しない)。
- C:¥WINNT¥system32 にある現在の productregistry ファイルのバックアップを作成 (コピーして名前を変更) します。
- C:¥WINNT¥system32 productregistry ファイルを編集し、次のタグを削除します。
注
- 最適な結果を得るには、XML エディタを使用する。標準的なテキストエディタを使用することもできる
- 次のコンポーネントの一部は、ファイルに含まれていないこともある
- 開始タグ (<compid>)、終了タグ (<¥compid>)、および 2 つのタグの間に含まれるすべての内容を削除する必要がある。次のリストでは、これらのタグの一部として含まれる追加テキストやタグは、連続するピリオドで表されている。詳細情報の例を参照
- <compid>Identity Synchronization for Windows .. . </compid>
- <compid>Core .. . </compid>
- <compid>uninstaller .. . </compid>
- <compid>wpsyncwatchdog .. . </compid>
- <compid>setenv .. . </compid>
- <compid>Create DIT .. . </compid>
- <compid>Extend Schema .. . </compid>
- <compid>resources .. . </compid>
- <compid>CoreComponents .. . </compid>
- <compid>Connector .. . </compid>
- <compid>DSConnector .. . </compid>
- <compid>Directory Server Plugin .. . </compid>
- <compid>DSSubcomponents .. . </compid>
- <compid>ObjectCache .. . </compid>
- <compid>ObjectCacheDLLs .. . </compid>
- <compid>ADConnector .. . </compid>
次に、<compid> タグの例を示します。<compid> と </compid>、およびその間にあるすべてのテキストとタグを削除します。
<compid>Identity Synchronization for Windows
<compversion>1.0
<uniquename>Identity Synchronization for Windows</uniquename>
<compinstance>1
<children>
<compref>ADConnector
<instance>1
<version>1.0</version>
</instance>
</compref>
<compref>DSSubcomponents
. . .
</compinstance>
</compversion>
</compid>
- <serverroot>¥isw-<hostname> にある Identity Synchronization for Windows のインストールフォルダを削除します。
たとえば、C:¥Program Files¥Sun¥mps¥isw-example のようなフォルダです。
- パスワードフィルタ DLL を削除します。
C:¥winnt¥system32 フォルダから passflt.dll ファイルを検索し、ファイル名を passflt.dll.old に変更します。
- マシンを再起動し、すべての変更を適用します。
その他の移行例配備によっては別のトポロジが採用されるため、単一ホストの配備を例に説明した移行プロセスとは若干異なるプロセスが必要になることもあります。
ここでは、その他の 2 つの配備例を紹介し、それぞれの移行方法について説明します。ここで説明する配備例は、次のとおりです。
マルチマスターレプリケーション配備
マルチマスターレプリケーション (MMR) 配備では、異なるホストに 2 つの Directory Server インスタンスがインストールされます。ホストを異なるオペレーティングシステムで実行することも可能ですが、ここでは、両方のホストが同じオペレーティングシステムで稼動している例について説明します。
表 7-2 は、2 つのホストの間で Identity Synchronization for Windows コンポーネントがどのように分散されているかを示しています。
表 7-2 マルチマスターレプリケーション配備でのコンポーネントの分散
ホスト 1
ホスト 2
同期対象ユーザーの二次マスターとしての Directory Server (1 インスタンス)
同期対象ユーザーの優先マスターとしての Directory Server (1 インスタンス)
コア (Message Queue、セントラルロガー、システムマネージャ、コンソール)
Directory Server プラグイン
Active Directory コネクタ
Directory Server コネクタ
Directory Server プラグイン
移行プロセスでは、優先マスターまたは二次マスターで継続して実行されるオンデマンドパスワード同期が維持されます。
注
両方のホストを Solaris オペレーティングシステムで実行している場合、Active Directory がインストールされた Windows 2000 を実行する第 3 のホストが同期専用に必要となります。第 3 のホストにはコンポーネントはインストールされません。
次の図は、MMR 配備での Identity Synchronization for Windows の移行プロセスを示しています。
図 7-2 マルチマスターレプリケーション配備での移行
Windows NT を使用したマルチホスト配備
この配備例では、次の 3 つのホストが使用されます。
表 7-3 は、3 つのホストの間で Identity Synchronization for Windows コンポーネントがどのように分散されているかを示しています。
表 7-3 マルチホスト配備
ホスト 1
ホスト 2
ホスト 3
設定リポジトリが格納された Directory Server
同期対象ユーザー用の Directory Server
Windows NT コネクタ
コア (Message Queue、セントラルロガー、システムマネージャ、コンソール)
Directory Server コネクタ
Windows NT サブコンポーネント (パスワードフィルタ DLL と変更ディテクタサービス)
Active Directory コネクタ
Directory Server プラグイン
前述の例と同様に、ホスト 1、ホスト 2 は同一オペレーティングシステムで稼動しています。
注
両方のホストを Solaris オペレーティングシステムで実行している場合、Active Directory がインストールされた Windows 2000 を実行する第 4 のホストが同期専用に必要となります。第 4 のホストにはコンポーネントはインストールされません。
図 7-3 は、マルチホスト配備での Identity Synchronization for Windows の移行プロセスを示しています。
図 7-3 Windows NT を使用したマルチホスト配備での移行
ログのチェックバージョン 1 2004Q3 への移行が完了したら、問題を示すメッセージが記録されていないかどうか、セントラル監査ログを調べます。特に、移行プロセス中に Directory Server ユーザーがパスワードの変更に失敗した場合、次のようなメッセージがログに記録されます。
[16/Apr/2004:14:23:41.029 -0500] WARNING 14 CNN101
ds-connector-host.example.com "Unable to obtain password of user cn=JohnSmith,ou=people,dc=example,dc=com, because the password was encoded by a previous installation of Identity Synchronization for Windows Directory Server Plugin. The password of this user cannot be synchronized at this time.Update the password of this user again in the Directory Server."
このログメッセージは、Identity Synchronization for Windows 1 2004Q3 で同期を開始するまで確認できません。このため、移行プロセスの最後の手順は、ログの確認となります。
