Identity Synchronization for Windows の制限事項 (Sun Directory Server Enterprise Edition 7.0 リリースノート)

Sun Directory Server Enterprise Edition 7.0 リリースノート

Identity Synchronization for Windows の制限事項

この節では、製品の制限事項の一覧を示します。制限事項には、必ずしも変更要求 ID が関連付けられるわけではありません。

Identity Synchronization for Windows を正しくインストールするためには、sun-sasl-2.19-4.i386.rpm が必要です。

Linux では、Identity Synchronization for Windows をインストールする前に、使用しているシステム上に sun-sasl-2.19-4.i386.rpm パッケージがインストールされていることを確認してください。このパッケージがインストールされていないと、Identity Synchronization for Windows のインストールは失敗します。SASL パッケージは、JES 5 以降の配布パッケージの共有コンポーネントから取得できます。

ファイルアクセス権を手作業で変更した場合の問題点

インストール済みの Directory Server Enterprise Edition 製品ファイルのアクセス権を変更すると、場合によってはソフトウェアが正常に動作しなくなる可能性があります。

この制限事項に対処するには、適切なユーザーアクセス権およびグループアクセス権を持つユーザーとして製品をインストールします。

Identity Synchronization for Windows コアサービスのフェイルオーバーが行われない

Identity Synchronization for Windows コアサービスがインストールされたシステムを失った場合、Identity Synchronization for Windows コアサービスを再インストールする必要があります。Identity Synchronization for Windows コアサービスのフェイルオーバーはありません。

ou=services (Identity Synchronization for Windows DIT の設定ブランチ) を LDIF 形式でバックアップし、Identity Synchronization for Windows の再インストール中にこの情報を使用してください。

Microsoft Windows 2003 SP1 での認証動作の変更

Windows 2003 SP1 をインストールした場合、デフォルトでは、ユーザーは旧パスワードを使用して自分のアカウントに 1 時間アクセスできます。

その結果、ユーザーが Active Directory で自分のパスワードを変更すると、オンデマンド同期属性 dspswvalidate は true に設定され、旧パスワードが Directory Server への認証に使用できます。それにより、Directory Server で同期されるパスワードは、現在の Active Directory パスワードではなく、以前の旧パスワードになります。

この機能を無効にする方法の詳細は、Microsoft Windows サポートオンラインを参照してください。

管理サーバーを削除する前に serverroot.conf の削除が必要

管理サーバーをアンインストールするには、管理サーバーのパッケージを削除する前に /etc/mps/admin/v5.2/shared/config/serverroot.conf を削除してください。

CLASSPATH の admin jar パスを言及する

CLASSPATH には、admin jar の場所が含まれている必要があります。含まれていないと、再同期中に noClassDefFound エラーが表示されます。

Directory Server Enterprise Edition に一致するように PSO パスワードポリシー設定を設定

Active Directory 2003 および以前のバージョンは、大域でドメイン全体を対象とする、グローバルポリシーオブジェクト (GPO) を使用します。その結果、パスワードポリシーおよびアカウントロックアウトの設定は必然的に全体を対象とします。ただし、Active Directory 2008 (または 2008 SR2) からは、個々のユーザーやグループに対して、パスワード設定オブジェクト (PSO) をドメインレベルでより細かく適用できるようになりました。Identity Synchronization for Windows では、Active Directory と Directory Server Enterprise Edition でパスワードポリシーおよびアカウントロックアウトの設定が統一されている必要があります。PSO で定義したアカウントロックアウト設定が、特定のユーザーまたはグループの Directory Server Enterprise Edition アカウントロックアウトポリシーと一致していることを確認してください。特に、次の PSO 属性が Directory Server Enterprise Edition の設定内で一致していることを確認してください。

msDS-LockoutThreshold: ユーザーアカウントをロックアウトするまでに許容されるパスワードの試行失敗回数を指定します。
msDS-LockoutDuration: パスワードの試行失敗回数が超過した場合に、アカウントがロックアウトされる時間を指定します。

Active Directory がリフェラルを返すように設定している場合、オンデマンドの同期に長い時間がかかり「UNWILLING TO PERFORM」というエラーメッセージが返される場合があります。回避方法として、ldapmodify コマンドを使用して、Identity Synchronization for Windows プラグインを実行しているディレクトリサーバーに次に示す変更を適用します。

dn: cn=config,cn=pwsync,cn=config
changetype: modify
add: followreferrals
followreferrals: FALSE

読み取り専用のドメインコントローラがサポートされない

Identity Synchronization for Windows は、ユーザーの作成および変更を同期するために、書き込み可能なドメインコントローラを必要とします。読み取り専用のコントローラはサポートされていません。

属性マッピング、作成式、および RDN 属性が推奨されたとおりに指定されていない場合、グループ同期が失敗する

属性マッピング、作成式、および RDN 属性を、次に示すように設定する必要があります。

Sun Directory Server と Active Directory との間の属性マッピングは、次のように定義する必要があります。
DS < ----- > AD cn cn uid samaccountname
作成式は次のように定義する必要があります。
for DS: uid=%uid%,<sync_base> for AD: cn=%cn%,<sync_base>
Sun Directory Server ユーザーの場合、同期対象グループに属する RDN 属性は uid である必要があります。

属性を同時に更新する動作が定義されていない

グループ同期で、エントリの属性の同時変更が定義されていません。