| Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイド 11g リリース1 (11.1.1.7.0) B72436-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイド 11g リリース1 (11.1.1.7.0) B72436-01 |
|
前 |
次 |
Identity Synchronization for Windowsは、Directory Server Enterprise Editionのコンポーネントであり、パスワードなどのユーザー・アカウント情報をDirectory ServerとWindowsの間で同期します。Windows Active DirectoryとWindows NTの両方がサポートされます。Identity Synchronization for Windowsは、どのような規模の企業においても、スケーラブルでセキュリティ機能が豊富なパスワード同期ソリューションの構築に役立ちます。
Identity Synchronization for Windowsの詳細は、http://download.oracle.com/docs/cd/E20295_01/index.htmを参照してください。デプロイメントでIdentity Synchronization for Windowsを使用する場合は、この章で説明する問題に対処する必要があります。
パスワードの同期方向。パスワードをDirectory ServerからActive Directoryに、または両方の方向に同期する場合は、Windows 2000に高度暗号化パックをインストールします。このインストールにより、Active Directory over LDAPでパスワードを設定するときに必要な128ビットSSLが有効になります。
新しいユーザーの作成の同期。Identity Synchronization for Windowsで新しいユーザーの作成を同期しない場合は、idsync resyncコマンドを定期的に実行して、新しく作成したユーザー間のリンクを確立する必要があります。新しく作成されたユーザーの変更は、idsync resyncの実行によってユーザーが明示的にリンクされるまで同期されません。
移入サイズ。Identity Synchronization for Windowsでは、同期できるユーザーの数に上限は設定されていませんが、ユーザーの総数はデプロイメントに影響します。主な影響は、同期の開始前に実行する必要があるidsync resyncコマンドに対するものです。100,000を超えるユーザーを同期する場合は、idsync resyncコマンドをバッチで実行します。このバッチ・モードにより、最適なパフォーマンスが確保され、Sun Message Queueの負荷が制限されます。
パフォーマンス要件。Identity Synchronization for Windowsのパフォーマンスは、ユーザーの総数よりも同期率によって制限されます。この要件の唯一の例外は、idsync resyncコマンドを実行する場合です。
予想される最大の変更率。同じシステムで実行されているコアおよび2つのコネクタを持つIdentity Synchronization for Windowsデプロイメントでは、1秒当たり10回の同期という変更率を容易に持続できます。必要な同期率がこの値を超える場合は、Identity Synchronization for Windowsを複数のマシンに分散することでパフォーマンスを向上できます。たとえば、コネクタをIdentity Synchronization for Windowsコアとは異なるマシンにインストールできます。
同期するWindowsドメインの数。複数のWindowsドメインを同期する場合は、activedirectorydomainname属性またはUSER_NT_DOMAIN_NAME属性をDirectory Server属性に同期する必要があります。この同期は、同期ユーザー・リスト定義間のあいまいさを解決するために必要です。
デプロイメントにおけるDirectory Serverマスター、ハブおよび読取り専用レプリカの数。複数のDirectory Serverを含むデプロイメントでは、Identity Synchronization for Windows Directory Serverプラグインを各マスター、各ハブおよび各読取り専用レプリカで有効にする必要があります。Identity Synchronization for Windowsを構成するときに、1つのDirectory Serverマスターを優先マスターとして指定します。Directory Serverコネクタは、マスターの実行中に優先マスターで変更を検出し、適用します。このサーバーが停止すると、コネクタは必要に応じて2番目のマスターで変更を適用します。優先マスターでは、Retro Changelogプラグインを有効にする必要があります。このマスターは、Identity Synchronization for Windowsコアと同じLAN上に存在している必要があります。
セキュリティ。Directory ServerまたはActive DirectoryコネクタがSSLを介してDirectory ServerまたはActive Directoryに接続する場合は、これらのサーバーでSSLを有効にする必要があります。信頼できる証明書のみを受け入れるようにコネクタが構成されている場合は、追加の構成手順が必要になります。これらの手順では、適切な認証局証明書をコネクタの証明書データベースにインポートします。Directory ServerプラグインとActive Directoryの間でSSLが必要な場合は、Directory ServerでSSLを有効にする必要があります。さらに、Active Directory SSL証明書に署名するために使用される認証局証明書をDirectory Serverの証明書データベースにインポートする必要があります。
Identity Synchronization for Windowsを組み込むデプロイメント・シナリオの詳細は、Identity Synchronization for Windowsのデプロイメント・プランニング・ガイドを参照してください。
