Sun Java ロゴ     前へ      目次      次へ     

Sun ロゴ
Sun Java System Identity Manager 2005Q4M3 管理ガイド  

10

PasswordSync

この章では、Sun JavaSystem Identity Manager の PasswordSync 機能について説明します。この機能を使用すると、Windows クライアントが Windows Active Directory または Windows NT ドメイン内でパスワードを変更し、Identity Manager と変更を同期できるようになります。

PasswordSync の概要

PasswordSync 機能は、Windows Active Directory および Windows NT ドメイン上で行われたユーザーパスワードの変更を、Identity Manager で定義されているほかのリソースと同期された状態に保ちます。PasswordSync は、Identity Manager と同期されるドメイン内の各ドメインコントローラにインストールする必要があります。PasswordSync は Identity Manager とは別にインストールする必要があります。

PasswordSync をドメインコントローラにインストールすると、コントローラは、Java Messaging Service (JMS) クライアントのプロキシとして機能するサーブレットと通信します。その後、サーブレットが JMS 対応のメッセージキューと通信します。JMS Listener リソースアダプタはキューからメッセージを削除し、ワークフロータスクを使用してパスワード変更を処理します。ユーザーに割り当てられたすべてのリソース上でパスワードが更新され、SMTP サーバーがユーザーに電子メールを送信し、パスワード変更の状態をユーザーに通知します。

注 パスワード変更は、同期のために Identity Manager サーバーに転送される変更要求に対するネイティブのパスワードポリシーと符合する必要があります。提案されたパスワード変更がネイティブのパスワードポリシーと符合しない場合、ADSI はエラーダイアログを表示し、同期データは Identity Manager に送信されません。

PasswordSync をインストールする前に

PasswordSync 機能は、Windows 2000、Windows 2003、および Windows NT のドメインコントローラ上でのみセットアップできます。Identity Manager と同期されるドメイン内の各ドメインコントローラに PasswordSync をインストールする必要があります。

PasswordSync は JMS サーバーと接続できる必要があります。JMS システムの要件の詳細については、『Identity Manager Resources Reference』の JMS Listener リソースアダプタに関するマニュアルを参照してください。

加えて、PasswordSync には次の要件があります。

これらの要件については、以降の各節で詳しく説明します。

Microsoft .NET 1.1 のインストール

PasswordSync を使用するには、Microsoft .NET Framework 1.1 以降をインストールする必要があります。
このフレームワークは、Windows 2003 ドメインコントローラを使用している場合にはデフォルトでインストールされています。Windows 2000 または Windows NT ドメインコントローラを使用している場合、次の場所の Microsoft Download Center からツールキットをダウンロードできます。

http://www.microsoft.com/downloads

注意

PasswordSync の以前のバージョンをアンインストールする

新しいバージョンをインストールする前に、以前にインストールした PasswordSync のインスタンスをすべて削除する必要があります。

PasswordSync のインストール

ここでは、PasswordSync 設定アプリケーションをインストール、設定、およびアンインストールするための手順について説明します。

注 Identity Manager と同期されるドメイン内の各ドメインコントローラに PasswordSync をインストールする必要があります。

  1. Identity Manager のインストールメディアから、pwsyncIdmPwSync.msi アイコンをクリックします。「Welcome」ウィンドウが表示されます。

    2. インストールウィザードには、次のナビゲーションボタンがあります。

    • 「Cancel」: このボタンをクリックすると、変更を保存せずにいつでもウィザードを終了できます。
    • 「Back」: 1 つ前のダイアログボックスに戻る場合にクリックします。
    • 「Next」: 次のダイアログボックスに進む場合にクリックします。
  2. 「Welcome」画面の情報を読み、「Next」をクリックして「Choose Setup Type PasswordSync Configuration」ウィンドウを表示します。
    PasswordSync のセットアップ
  3. PasswordSync のフルパッケージをインストールする場合は「Typical」または「Complete」をクリックします。インストールするパッケージ内容を変更する場合は「Custom」をクリックします。
  4. 「Install」をクリックして製品をインストールします。PasswordSync が正常にインストールされると、次のウィンドウが表示されます。
  5. 「Finish」をクリックしてインストールプロセスを終了します。PasswordSync の設定を開始できるように、「Launch Configuration Application」が選択されていることを確認してください。このプロセスの詳細については、PasswordSync の設定を参照してください。

    6. 注 変更を有効にするにはシステムを再起動する必要がある、というメッセージがダイアログボックスに表示されます。PasswordSync の設定を完了するまでは再起動の必要はありませんが、PasswordSync を実装する前にドメインコントローラを再起動する必要があります。

次の表は、各ドメインコントローラにインストールされるファイルの一覧です。

インストールされるコンポーネント

説明

%$INSTALL_DIR$%configure.exe

PasswordSync 設定プログラム

%$INSTALL_DIR$%configure.exe.manifest

設定プログラムのデータファイル

%$INSTALL_DIR$%DotNetWrapper.dll

.NET SOAP 通信を処理する DLL

%$INSTALL_DIR$%passwordsyncmsgs.dll

PasswordSync メッセージを処理する DLL

%SYSTEMROOT%SYSTEM32lhpwic.dll

パスワード通知 DLL。この DLL は Windows の PasswordChangeNotify() 関数を実装する

PasswordSync の設定

インストーラから設定アプリケーションを実行する場合、ウィザード形式の設定画面が表示されます。ウィザードを終了し、以後 PasswordSync 設定アプリケーションを実行するときは、タブの選択によって設定画面を切り替えることができます。

PasswordSync を設定するには、次の手順に従います。

  1. まだ実行されていない場合、PasswordSync 設定アプリケーションを開始します。デフォルトでは、設定アプリケーションはプログラム> Sun Java System Identity Manager PasswordSync>Configuration ディレクトリにインストールされています。

    2. 次のダイアログが表示されます。


    サーバー設定ダイアログ

    図 1 サーバー設定ダイアログ

    必要に応じてフィールドを編集します。

    • 「Server」は、Identity Manager がインストールされたアプリケーションサーバーの完全修飾ホスト名または IP アドレスと置き換える必要があります。
    • 「Protocol」では、Identity Manager へのセキュア接続を行うかどうかを指定します。「HTTP」を選択した場合、デフォルトのポートは 80 です。「HTTPS」を選択した場合、デフォルトのポートは 443 です。
    • 「Path」には、アプリケーションサーバー上の Identity Manager へのパスを指定します。
    • 「URL」の値はほかのフィールドの値を基に生成されます。「URL」フィールドの値は編集できません。
  2. 「Next」をクリックして、プロキシサーバーの設定ページを表示します。


    3. プロキシサーバーダイアログ

    図 2 プロキシサーバーダイアログ

    必要に応じてフィールドを編集します。

    • プロキシサーバーが必要な場合は「Enable」をクリックします。
    • 「Server」は、プロキシサーバーの完全修飾ホスト名または IP アドレスと置き換える必要があります。
    • 「Port」: サーバーに対して使用可能なポート番号を指定します (デフォルトのプロキシポートは 8080、デフォルトの HTTPS ポートは 443)。
  3. 「Next」をクリックして、JMS 設定ダイアログを表示します。


    4. JMS 設定ダイアログ

    図 3 JMS 設定ダイアログ

    必要に応じてフィールドを編集します。

    • 「User」には、新しいメッセージをキューに送る JMS ユーザー名を指定します。
    • 「Password」「Confirm」では、JMS ユーザーのパスワードを指定します。
    • 「Connection Factory」には、使用する JMS 接続ファクトリの名前を指定します。JMS システム上にすでに存在しているファクトリを指定する必要があります。
    • 「Session Type」はほとんどの場合、ローカルセッショントランザクションが使われることを表す LOCAL に設定することが推奨されます。セッションは各メッセージの受信後にコミットされます。指定できるその他の値は AUTO、CLIENT、および DUPS_OK です。
    • 「Queue Name」には、パスワード同期イベントの送信先を指定します。
  4. 「Next」をクリックして、JMS プロパティーダイアログを表示します。


    5. JMS プロパティーダイアログ

    図 4 JMS プロパティーダイアログ

    JMS プロパティーダイアログでは、初期 JNDI コンテキストの構築に使われる一連のプロパティーを定義します。次の名前と値のペアを定義する必要があります。

    • java.naming.provider.url − 値は JNDI サービスを実行しているマシンの URI に設定する必要があります。
    • java.naming.factory.initial − 値は JNDI サービスプロバイダの初期コンテキストファクトリのクラス名 (パッケージを含む) に設定する必要があります。

      • 「Name」プルダウンメニューの内容は、java.naming パッケージのクラスの一覧です。クラス名としてクラスまたは型を選択し、「Value」フィールドにその対応する値を入力します。

  5. 「Next」をクリックして電子メールダイアログを表示します。

    6. 電子メールダイアログでは、通信エラーや Identity Manager の外部で発生したその他のエラーが原因でユーザーのパスワード変更が正しく同期されない場合に、電子メール通知を送信するかどうかを設定できます。


    電子メールダイアログ

    図 5 電子メールダイアログ

    必要に応じてフィールドを編集します。

    • この機能を有効にするには「Enable Email」を選択します。ユーザーが通知を受け取る場合は「Email End User」を選択します。このオプションを選択しない場合、管理者だけが通知を受け取ります。
    • 「SMTP Server」は、障害通知の送信時に使われる SMTP サーバーの完全修飾名または IP アドレスです。
    • 「Administrator Email Address」は、通知の送信に使われる電子メールアドレスです。
    • 「Sender's Name」は送信者の「friendly name」です。
    • 「Sender's Address」は送信者の電子メールアドレスです。
    • 「Message Subject」には、すべての通知に共通する件名行を指定します。
    • 「Message Body」には通知のテキストを指定します。

      • メッセージの本文には次の変数を含めることができます。

      • $(accountId) − パスワードを変更しようとしているユーザーのアカウント ID。
      • $(sourceEndpoint) − パスワード通知ツールがインストールされたドメインコントローラのホスト名。この情報は、トラブルが発生したマシンの特定に役立ちます。
      • $(errorMessage) − エラーが発生したことを説明するエラーメッセージ。
  6. 「Finish」をクリックして変更を保存します。

設定アプリケーションの 2 回目以降の実行時には、ウィザードではなく一連のタブで構成される画面が表示されます。設定アプリケーションをウィザード形式で表示したい場合、コマンド行から次のコマンドを入力します。

C:InstallDirConfigure.exe -wizard

PasswordSync のデバッグ

この節では、PasswordSync で発生する問題の診断に必要な情報の見つけ方と、設定ツールを使用してトレースを有効にする方法について説明します。また、PasswordSync をデバッグしたり、設定ツールからは実装できない機能を有効にしたりするために必要なレジストリキーの一覧を示します。

エラーログ

PasswordSync はすべての障害情報を Windows イベントビューアに書き込みます。エラーログエントリのソース名は PasswordSync です。

トレースログ

設定ツールを最初に実行するとき、ウィザードにはトレースを設定するためのパネルがありません。ただし、設定ツールの 2 回目以降の実行では、「Trace」タブが常に表示されます。

トレースダイアログ

図 6 トレースダイアログ

「Trace Level」フィールドでは、PasswordSync がトレースログに書き込む情報の詳細度を指定します。値 0 はトレースが無効であることを表し、値 4 は最も詳細な情報を出力することを表します。

トレースファイルが「Max File Size (MB)」フィールドで指定されたサイズを超えると、PasswordSync はベース名に .bk を追加したファイルにそれまでのログを移動します。たとえば、トレースファイルを C:logspwicsvc.log に、トレースファイルの最大サイズを 100M バイトに設定した場合、トレースファイルが 100M バイトを超えると、PasswordSync はそれまでのファイルの名前を C:logspwicsvc.log.bk に変更し、以降のデータを新しい C:logspwicsvc.log ファイルに書き込みます。

レジストリキー

次の表に示すレジストリキーは、Windows レジストリエディタを使用して編集できます。キーの位置は HKEY_LOCAL_MACHINESOFTWAREWavesetLighthousePasswordSync キーです。この場所にはその他のキーもありますが、それらのキーは設定ツールを使用して編集できます。

キー名

種類

説明

allowInvalidCerts

REG_DWORD

1 に設定すると、.NET クライアント上で次のフラグが設定されます。

蜉SECURITY_FLAG_IGNORE_UNKNOWN_CA

蜉INTERNET_FLAG_IGNORE_CERT_CN_INVALID

蜉INTERNET_FLAG_IGNORE_CERT_DATE_INVALID

その結果、期限が切れた証明書や CN またはホスト名が無効な証明書をクライアントが受け入れるようになります。この設定は SSL 使用時にのみ適用されます。

この設定は、ほとんどの証明書が無効な認証局 (CA) から発行されるテスト環境でデバッグを行っているときに役立ちます。

デフォルトは 0 です。

clientConnectionFlags

REG_DWORD

.NET SOAP クライアントに渡されるオプションの接続フラグ。

デフォルトは 0 です。

clientSecurityFlags

REG_DWORD

.NET SOAP クライアントに渡すことができるオプションのセキュリティーフラグ。

デフォルトは 0 です。

installdir

REG_SZ

PasswordSync アプリケーションがインストールされたディレクトリ。

soapClientTimeout

REG_DWORD

SOAP クライアントが Identity Manager サーバーと通信してエラーが発生するまでのタイムアウト時間 (ミリ秒)。

PasswordSync のアンインストール

PasswordSync アプリケーションをアンインストールするには、Windows のコントロールパネルから「アプリケーションの追加と削除」を選択します。次に、「Sun Java System Identity Manager PasswordSync」を選択して「削除」をクリックします。

注 PasswordSync は、Identity Manager のインストールメディアをロードし、pwsyncIdmPwSync.msi アイコンをクリックしてアンインストール (または再インストール) することもできます。

アンインストールを完了するにはシステムを再起動する必要があります。

PasswordSync の配備

PasswordSync を配備するには、Identity Manager で次の作業を行う必要があります。

JMS リスナーアダプタの設定

メッセージがドメインコントローラによって間接的にキューに配置されたら、それらのメッセージを受け入れるためにリソースアダプタを設定する必要があります。JMS リスナーリソースアダプタを作成し、キューと通信するようにそのアダプタを設定する必要があります。このアダプタの設定の詳細については、『Identity Manager Resources Reference』を参照してください。

次のリソースパラメータを設定する必要があります。

「宛先タイプ」 − 通常、この値はキューに設定されます。1 人の加入者が存在し、また複数の発行者が存在する可能性があるため、トピックは通常は関係しません。

「初期コンテキスト JNDI プロパティー」 − このテキストボックスでは、初期 JNDI コンテキストの構築に使われる一連のプロパティーを定義します。次の名前と値のペアを定義する必要があります。

追加のプロパティーの定義が必要な場合があります。プロパティーと値のリストは、設定アプリケーションの JMS 設定ページで指定するものと一致することが推奨されます。

「接続ファクトリの JNDI 名」 − 接続ファクトリの名前 (JMS サーバー上で定義されたもの)。

「ユーザー」および「パスワード」 − キューから新しいイベントを要求する管理者のアカウント名とパスワード。

「Reliable Messaging サポート」 − LOCAL (ローカルトランザクション) を選択します。それ以外のオプションはパスワード同期には使用しません。

「メッセージマッピング」 − 「java:com.waveset.adapter.jms.PasswordSyncMessageMapper」を入力します。このクラスは、JMS サーバーからのメッセージを、ユーザーパスワード同期ワークフローで使用できる形式に変換します。

ユーザーパスワード同期ワークフローの実装

デフォルトのユーザーパスワード同期ワークフローは、JMS リスナーアダプタから送られてくる個々の要求を受け取ってチェックアウトし、ChangeUserPassword ビューアに戻します。チェックインが完了したあと、ワークフローはすべてのリソースアカウントに対して処理を繰り返し、ソースリソースを除くすべてのリソースを選択します。Identity Manager は、すべてのリソースに対してパスワード変更が成功したかどうかを電子メールでユーザーに通知します。

ユーザーパスワード同期ワークフローのデフォルト実装を使用する場合、JMS リスナーアダプタインスタンスの処理規則にその実装を割り当てます。処理規則はアダプタの Active Sync ウィザードで割り当てることができます。

デフォルトのユーザー同期パスワードワークフローを変更したい場合、$WSHOME/sample/wfpwsync.xml ファイルをコピーして変更を行います。その後、変更したワークフローを Identity Manager にインポートします。

デフォルトのワークフローに対して行うことが考えられる変更には、次のようなものがあります。

ワークフローの使用方法の詳細については、『Identity Manager Workflows, Forms, and Views』を参照してください。

通知の設定

Identity Manager には、パスワード同期情報およびパスワード同期失敗通知の電子メールテンプレートが用意されています。これらのテンプレートは、複数のリソースに対するパスワード変更の試みが成功したかどうかをユーザーに知らせます。

さらに補助が必要な場合にユーザーが従うべき手順について、企業ごとに異なる情報を提供するために、どちらのテンプレートも更新することが推奨されます。詳細については、「設定」の章の「電子メールテンプレートについて」を参照してください。

PasswordSync についてのよくある質問

PasswordSync は、カスタムパスワードポリシーを施行するために使われるほかの Windows パスワードフィルタと組み合わせて使用できますか。

はい、PasswordSync はほかの _WINDOWS_ パスワードフィルタと組み合わせて使用できます。ただし PasswordSync は、レジストリの「Notification Package」エントリの値で列挙されるパスワードフィルタのうち最後のフィルタである必要があります。

次のレジストリパスを使用する必要があります。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaNotification Packages (種類 REG_MULTI_SZ の値)

デフォルトでは、インストーラは Identity Manager のパスワードインターセプトをリストの最後に置きますが、インストール後にカスタムのパスワードフィルタをインストールした場合、lhpwic を「Notification Packages」リストの最後に移動する必要があります。

PasswordSync はほかの Identity Manager パスワードポリシーと組み合わせて使用できます。Identity Manager サーバーの側でポリシーがチェックされるとき、パスワード同期をほかのリソースにプッシュするために、すべてのリソースのパスワードポリシーが基準を満たす必要があります。結果として、Windows のネイティブパスワードポリシーの制約度を、Identity Manager で定義される最も制約的なパスワードポリシーと同じくらいにすることが推奨されます。

注 パスワードインターセプト DLL はパスワードポリシーを一切施行しません。

PasswordSync サーブレットを、Identity Manager と異なるアプリケーションサーバー上にインストールできますか。

はい。PasswordSync サーブレットは、JMS アプリケーションが必要とするすべての JAR ファイルに加えて、spml.jar および idmcommon.jar の各 JAR ファイルを必要とします。

PasswordSync サービスは lh サーバーにクリアテキストでパスワードを送信しますか。

Sun では PasswordSync を SSL 上で実行することを推奨しますが、すべての重要なデータは Identity Manager サーバーに送信される前に暗号化されます。

パスワード変更の結果、com.waveset.exception.ItemNotLocked が発生することがありますが、それはどうしてですか。

PasswordSync を有効にすると、(ユーザーインタフェースから開始されたものも含めた) パスワード変更の結果としてリソース上でパスワード変更が発生し、それによってリソースが Identity Manager と通信するからです。

thepasswordSyncThreshold ワークフロー変数が正しく設定されている場合、Identity Manager はユーザーオブジェクトを検証し、パスワード変更が処理済みかどうかを判定します。しかしながら、ユーザーまたは管理者が同じユーザーに対して同時に別のパスワード変更を行う場合、ユーザーオブジェクトがロックされている可能性があります。



前へ      目次      次へ     

Copyright 2006 Sun Microsystems, Inc. All rights reserved.