| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1 (11.1.1) B65032-05 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1 (11.1.1) B65032-05 |
|
前 |
次 |
この章では、本番環境でOracle Identity ManagementとMicrosoft Active Directoryを統合する手順について説明します。内容は次のとおりです。
Microsoft Active Directory外部セキュリティ・プリンシパル参照とOracleバックエンド・ディレクトリとの同期の構成
Microsoft Active Directory Lightweight Directory Service用のMicrosoft Active Directoryコネクタの構成
Microsoft Exchange Server用のMicrosoft Active Directoryコネクタの構成
|
注意: この章に進む前に、前の章で説明している概念を理解している必要があります。次の章は特に重要です。Microsoft Active Directoryとの統合のデモンストレーションを構成する場合は、Oracle Identity Management 11gリリース1(11.1.1)のOracle By Exampleシリーズを参照してください。Oracle Technology Network( |
Microsoft Active Directoryで基本同期または拡張同期を構成するには、「同期要件の確認」の指示に従い、使用する環境で必要な同期要件が満たされていることを確認してください。
Oracle Enterprise Manager Fusion Middleware ControlまたはmanageSyncProfilesコマンドを使用して、Microsoft Active Directoryの同期プロファイルを構成できます。詳細は、第10章「ディレクトリ同期プロファイルの管理」を参照してください。
|
ヒント: Oracle Directory Integration Platformでは、1つのMicrosoft Active Directory(AD)と複数のOracleディレクトリ・サーバーを同時に同期化できます。 |
Oracle Directory Integration Platformをインストールすると、サポート対象の接続ディレクトリごとにインポートおよびエクスポートの同期プロファイルのサンプルが自動的に作成されます。Microsoft Active Directory用に作成された同期プロファイルのサンプルは、次のとおりです。
ActiveImport: DirSync方式を使用して、Microsoft Active DirectoryからOracleバックエンド・ディレクトリに変更をインポートするためのプロファイル
ActiveChgImp: USN-Changed方式を使用して、Microsoft Active DirectoryからOracleバックエンド・ディレクトリに変更をインポートするためのプロファイル
ActiveExport: Oracleバックエンド・ディレクトリからMicrosoft Active Directoryに変更をエクスポートするためのプロファイル
|
注意:
|
expressSyncSetupコマンドまたはOracle Enterprise Manager Fusion Middleware Controlを使用して、追加の同期プロファイルを作成することもできます。インストール・プロセス時またはexpressSyncSetupによって作成されたインポートおよびエクスポートの同期プロファイルは、Oracleバックエンド・ディレクトリとMicrosoft Active Directoryの統合をデプロイする際に使用する開始点としてのみ利用されます。デフォルトの同期プロファイルは事前定義の仮定を使用して作成されるため、次の手順を順序どおりに実行して、環境に合せてそれらをさらにカスタマイズする必要があります。
第19章「接続ディレクトリ統合の概念と考慮事項」、特に「Microsoft Active Directory統合の概念」を読んで、統合を計画します。「同期プロファイルの作成」の指示に従い、既存のActive Directoryテンプレート・プロファイルをコピーして、必ず新規のプロファイルを作成します。
Oracleバックエンド・ディレクトリがOracle Internet Directoryである場合は、「レルムの構成」の指示に従い、レルムを構成してください。
デフォルトで、Microsoft Active Directoryコネクタにより、同期用に構成されたコンテナ内のすべてのオブジェクトに対する変更が取得されます。特定のタイプの変更のみ(ユーザーやグループに対する変更のみなど)を取得する場合は、LDAP検索フィルタを構成する必要があります。このフィルタにより、Microsoft Active DirectoryコネクタのMicrosoft Active Directoryに対する問合せの際に、不要な変更が排除されます。フィルタは、同期プロファイルのsearchfilter属性に格納されます。
サンプル・プロファイルのactiveChgImpとactiveImportでは、グループとユーザーのみがMicrosoft Active Directoryから取得されます。コンピュータは取得されません。searchfilter属性の値は、searchfilter=(|(objectclass=group)(&(objectclass=user)(!(objectclass=computer)))のように設定されます。
Oracle Enterprise Manager Fusion Middleware Controlを使用すると、検索フィルタをカスタマイズできます。
Oracle Enterprise Manager Fusion Middleware Controlを使用して検索フィルタをカスタマイズするには、次のようにします。
Webブラウザを開き、使用している環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左のナビゲーション・パネルで、「Identity and Access」エントリをクリックするか開き、続いて、カスタマイズする検索フィルタを含むDIPコンポーネントを選択します。
「DIPサーバー」メニューをクリックして「管理」を選択し、次に「同期プロファイル」をクリックします。「同期プロファイルの管理」ページが表示されます。
同期サーバーの管理ページで、既存のプロファイルを選択して「編集」をクリックします。「同期プロファイルの編集」ページが表示され、「一般」タブが開きます。
「同期プロファイルの編集」ページで、「フィルタリング」タブを選択します。
「マッピング」タブ・ページで、宛先一致フィルタ(orclODIPConDirMatchingFilter)フィールドおよび「ソースの一致フィルタ」(orclODIPOIDMatchingFilter)フィールドにsearchfilter属性の適切な値を入力します。searchfilter属性の指定方法は、「LDAP検索による変更のフィルタ処理」を参照してください。
「OK」を選択します。
manageSyncProfilesコマンドを使用して検索フィルタをカスタマイズするには、次のようにします。
「接続されたディレクトリ一致フィルタ」(orclODIPConDirMatchingFilter)属性をカスタマイズするために、次のコマンドを入力します。
manageSyncProfiles update -h host -p port -D WLS_login_ID -pf synchronization_profile_name -params "odip.profile.condirfilter searchfilter=(|(objectclass=group)(objectclass=organizationalunit)(&(objectclas s=user)(!(objectclass=computer))))"
「OID一致フィルタ」(orclODIPOIDMatchingFilter)属性をカスタマイズするために、次のコマンドを入力します。
manageSyncProfiles update -h host -p port -D WLS_login_ID -pf synchronization_profile_name -params "odip.profile.oidfilter orclObjectGUID"
|
注意: searchfilter属性に指定する属性はすべて、Microsoft Active Directoryの索引付き属性のように構成する必要があります。 |
|
関連項目: LDAP検索フィルタを構成する方法は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のLDAPフィルタ定義に関する付録を参照してください。 |
「Access制御リストのカスタマイズ」で説明されているように、ACLをカスタマイズします。
Microsoft Active Directoryと統合する場合は、次の属性レベル・マッピングがすべてのオブジェクトに対して必須です。
ObjectGUID: : : :orclObjectGUID: ObjectSID: : : :orclObjectSID:
例21-1 Microsoft Active Directoryのユーザー・オブジェクト用の属性レベル・マッピング
SAMAccountName:1: :user:orclADSAMAccountName: :orclADUser userPrincipalName: : :user:orclADUserPrincipalName::orclADUser:userPrincipalName
例21-2 Microsoft Active Directoryのグループ・オブジェクト用の属性レベル・マッピング
SAMAccountName:1: :group:orclADSAMAccountName: :orclADGroup
この例では、Microsoft Active DirectoryのSAMAccountNameおよびuserPrincipalNameは、それぞれOracle Internet DirectoryのorclADSAMAccountNameおよびorclADUserPrincipalNameにマップされます。
「マッピング・ルールのカスタマイズ」の指示に従い、属性マッピングをカスタマイズします。
複数のMicrosoft Active Directoryドメインと同期化する場合は、通常、ドメインごとに別々のインポートおよびエクスポート同期プロファイルが必要です。ただし、各ドメインのプロファイルは非常に似たものにします。唯一の例外は、グローバル・カタログをインポート同期プロファイルとともに使用する場合です。この場合、Microsoft Active Directoryフォレスト用の1つのインポート同期プロファイルを作成するのみです。詳細は、「Microsoft Active DirectoryからOracleバックエンド・ディレクトリへのインポートに必要な構成」を参照してください。
|
注意: 属性および識別名マッピングは、必ず複数のドメインとの同期化を行う前に実行してください。 |
複数ドメインに個別のインポートおよびエクスポート同期プロファイルを作成する最善の方法は、次のとおりです。
単一ドメイン用のインポートおよびエクスポート同期プロファイルを、この項で前述した手順を使用して、カスタマイズします。
最初のドメイン用のインポートおよびエクスポートの同期プロファイルのカスタマイズを終了したら、manageSyncProfilesコマンドのcopy操作を使用して、プロファイルを次のように複製します。
manageSyncProfiles copy -h host -p port -D WLS_login_ID -pf Original_Profile_Name -newpf New_Profile_Name
manageSyncProfilesコマンドのupdate操作を使用して、その他のMicrosoft Active Directoryドメインごとに、プロファイルを次のようにカスタマイズします。
manageSyncProfiles update -h host -p port -D WLS_login_ID -pf Profile_Name -params "prop1 val1 prop2 val2 ..."
必要な場合は、「接続詳細の構成」の指示に従い、ドメインごとに接続詳細を更新します。
次のコマンドを実行して、各ドメインのインポートおよびエクスポート同期プロファイルの最終変更番号を更新します。
manageSyncProfiles updatechgnum -h host -p port -D WLS_login_ID -pf Profile_Name
Microsoft Active Directoryでの削除をOracleバックエンド・ディレクトリと同期化するには、Oracle Directory Integration ServerでMicrosoft Active Directoryとの同期を実行するために使用されるMicrosoft Active Directoryユーザー・アカウントに必要な権限を付与する必要があります。Microsoft Active Directoryでの削除は、Microsoft Active Directoryで削除を問い合せることで、Oracleバックエンド・ディレクトリと同期化できます。この方法は、DirSync方式またはUSN-Changed方式のいずれを使用しているかによって決まります。
DirSync方式の場合、Oracle Directory Integration PlatformでMicrosoft Active Directoryへのアクセスに使用されるMicrosoft Active Directoryユーザー・アカウントは、ドメイン管理権限を持つか、ドメイン管理者グループに属するか、または「ディレクトリの変更の複製」権限を明示的に付与される必要があります。
USN-Changed方式の場合、Oracle Directory Integration PlatformでMicrosoft Active Directoryへのアクセスに使用されるMicrosoft Active Directoryユーザー・アカウントには、指定したドメインのcn=Deleted Objectsコンテナに対する「内容の一覧表示」権限と「プロパティの読取り」権限が必要です。これらの権限を設定するには、Microsoft Active Directory Lightweight Directory Service(AD LDS: 旧称Microsoft Active Directory Application Mode(ADAM))の最新のバージョンで使用可能なdsacls.exeコマンドを使用する必要があります。
Microsoft Active Directoryでの削除をOracleバックエンド・ディレクトリと同期化するためにDirSync方式またはUSN-Changed方式のどちらを使用する場合であっても、ActiveImportプロファイル(DirSync方式用)またはActiveChgImpプロファイル(USN-Changedプロファイル用)の一致フィルタを作成する場合は、必ず次のMicrosoft Active Directoryのキー属性のみを含めます。
ObjectGUID
ObjectSID
ObjectDistName
USNChanged
これらのキー属性以外の属性を一致フィルタに指定すると、Microsoft Active Directoryでの削除はOracleバックエンド・ディレクトリに伝播されません。
|
関連項目:
|
「SSLモードでの同期用接続ディレクトリ・コネクタの構成」の指示に従い、SSLモードでの同期用にMicrosoft Active Directoryコネクタを構成します。
Oracleバックエンド・ディレクトリからMicrosoft Active Directoryにパスワードの変更を同期化するには、次の手順に従います。
|
注意: Oracle Unified Directoryバックエンド・ディレクトリまたはOracle Directory Server Enterprise Editionバックエンド・ディレクトリからMicrosoft Active Directoryへのパスワードの同期化はサポートされていません。Oracle Internet Directoryバックエンド・ディレクトリからMicrosoft Active Directoryへのパスワードの同期化はサポートされます。 |
SSLサーバー認証モードで実行するように、Oracleバックエンド・ディレクトリ、Oracle Directory Integration PlatformおよびMicrosoft Active Directoryを構成します。
「Oracleバックエンド・ディレクトリから接続ディレクトリへのパスワードの同期の有効化」の指示に従い、Oracleバックエンド・ディレクトリからMicrosoft Active Directoryへのパスワードの同期を有効にします。
「外部認証プラグインの構成」の指示に従い、Microsoft Active Directory外部認証プラグインを構成します。
構成後タスクおよび継続的な管理タスクの詳細は、第26章「接続ディレクトリとの統合の管理」を参照してください。
デフォルトでは、expressSyncSetupで作成されたインポート同期プロファイルでは、変更追跡にUSN-Changed方式を使用します。DirSync方式の変更追跡を使用する場合は、同期化を開始する前に、必ずこの項の手順を実行してください。
|
注意: 次の手順を実行する前に、現行のインポート同期プロファイルのバックアップを取ります。プロファイルのバックアップ・コピーは、manageSyncProfilesコマンドのcopy操作を使用すると作成できます。 |
インポート同期プロファイルでDirSync変更追跡方式が使用されるように変更する手順は、次のとおりです。
$ORACLE_HOME/ldap/odi/confディレクトリにあるactiveimp.cfg.masterファイルを使用すれば、インポート同期プロファイルをUSN-Changed方式からDirSync方式に変更できます。プロファイルを更新するには、次のコマンドを使用します。
manageSyncProfiles update -h host -p port -D WLS_login_ID -pf Profile_Name -params "odip.profile.configfile $ORACLE_HOME/ldap/odi/conf/activeimp.cfg.master"
次のコマンドを実行して、最終変更番号を更新します。
manageSyncProfiles updatechgnum -h host -p port -D WLS_login_ID -pf Profile_Name
この項では、Microsoft Active Directory外部セキュリティ・プリンシパル参照をOracleバックエンド・ディレクトリと同期化する方法について説明します。
Microsoft Active Directoryでは、グループ・メンバーの情報が信頼関係のドメインに外部セキュリティ・プリンシパル参照として格納されますが、Oracleバックエンド・ディレクトリでは、これらのメンバーの識別名が格納されます。このため、エントリとグループのメンバーとしてのその値が一致しなくなります。Oracleバックエンド・ディレクトリでは、ユーザーとグループとの関係を直接確立することはできません。
ユーザーとグループとの関係を確立するには、外部セキュリティ・プリンシパルを参照するメンバー識別名を、グループの同期中にエントリの識別名に置き換える必要があります。これは外部キー参照の解決と呼ばれます。
|
注意: 外部セキュリティ・プリンパル参照の同期は、Windows 2003以上でのみサポートされています。 |
例21-3 外部キー参照の解決方法
この項の例は、外部キー参照がどのように解決されるかを示しています。A、B、Cの3つのドメインがあるとします。
この例では、ドメインAからドメインB、ドメインAからドメインC、ドメインBからドメインCに対して一方向の非推移的な信頼があります。
外部キー参照を解決するタスク
この項では、外部キー参照を解決する手順を説明します。
タスク1: エージェント構成情報の更新 外部セキュリティ・プリンシパル参照が設定されている可能性のあるプロファイルごとに、次の手順を実行します。サンプル構成ファイルは、$ORACLE_HOME/ldap/odi/conf/ディレクトリにあります。
activeimp.cfg.fspファイルをコピーします。次にactiveimp.cfg.fspファイルの例を示します。
[INTERFACEDETAILS] Package: gsi Reader: ActiveReader [TRUSTEDPROFILES] prof1 : <Name of the profile1> prof2 : <Name of the profile2> [FSPMAXSIZE] val=10000
この例では、DirSync変更追跡方式を使用しているものと仮定しています。変更追跡にUSN-Changed方式を使用している場合、ReaderパラメータにActiveChgReaderの値を指定します。
activeimp.cfg.fspファイルの[TRUSTEDPROFILES]タグの下で、このドメインに外部セキュリティ・プリンシパル参照を持つその他のドメインのプロファイル名を指定します。
例21-3を参照すると、ドメインAのエージェント構成情報は、次のようになります。
[INTERFACEDETAILS] Package: gsi Reader: ActiveReader [TRUSTEDPROFILES] prof1: profile_name_for_domain_B prof2: profile_name_for_domain_C
ドメインBのエージェント構成情報は、次のようになります。
[INTERFACEDETAILS]
Package: gsi
Reader: ActiveReader
[TRUSTEDPROFILES]
prof1: profile_name_for_domain_C
ドメインCには外部キー参照がないため、ドメインCのエージェント構成情報ファイルには変更がありません。
[FSPMAXSIZE]タグの下で、外部セキュリティ・プリンシパルのキャッシュ・サイズを指定します。これは、設定できる外部セキュリティ・プリンシパルの平均値でかまいません。activeimp.cfg.fspファイルでは、サンプルの値1000が指定されています。
manageSyncProfilesコマンドのupdate操作を使用して、次のように新しいエージェント構成情報ファイルをロードします。
manageSyncProfiles update -h host -p port -D WLS_login_ID -pf profile_name_for_domain_A_or_B -params "odip.profile.configfile activeimp.cfg.fsp"
対象となるすべてのプロファイルについて、このタスクを繰り返します。
タスク2: 同期中に外部セキュリティ・プリンシパルを解決するためのマッピング・ルールの更新 ブートストラップ後、グループに対する変更は、正しいグループ・メンバーシップの値でバックエンド・ディレクトリに反映する必要があります。fsptodnマッピング・ルールにより、同期化の際にこれが可能になります。外部セキュリティ・プリンシパルの解決が必要なすべてのプロファイルで、このマッピング・ルールを変更します。例21-3を参照すると、ドメインAとBについて、マッピング・ルールを変更する必要があります。
識別名マッピングがない場合は、member属性のマッピング・ルールを次のように変更します。
member: : :group:uniquemember: :groupofUniqueNames: fsptodn(member)
識別名マッピングがある場合は、マッピング・ルールを次のように変更します。
信頼関係の各ドメインに対応する識別名マッピング・ルールを追加します。これは、正しいドメイン・マッピングを解決するために使用されます。例21-3を参照すると、ドメインAのマッピング・ファイルのdomainrulesは、次のような内容になります。
DOMAINRULES <Src Domain A >:<Dst domain A1 in back-end directory> <Src Domain B >:<Dst domain B1 in back-end directory> <Src Domain C >:<Dst domain C1 in back-end directory>
member属性のマッピング・ルールを次のように変更します。
member:::group:uniquemember::groupofUniqueNames:dnconvert(fsptodn(member))
次のようにmanageSyncProfilesコマンドのupdate操作を使用して、様々なプロファイルのマッピング・ファイルをアップロードします。
manageSyncProfiles update -h host -p port -D WLS_login_ID -pf Profile_Name -file File_Name
この項では、変更のエクスポート先であるMicrosoft Active Directoryドメイン・コントローラを変更する方法を説明します。USN-Changed方式用とDirSync方式用の2つの方法があります。
USN-Changed方式を使用してMicrosoft Active Directoryドメイン・コントローラを変更する方法
USN-Changed方式を使用している場合は、次の手順を実行します。
現在実行中のプロファイルを無効化します。Microsoft Active Directoryホスト接続情報(ホスト、ポート、ユーザー、パスワード)を、新規ホストを指すように変更します。通常、更新が必要なアイテムは、ホスト名のみです。
新しいドメイン・コントローラのルートDSEで、現行の最大のUSNChanged値(ルートDSEのhighestCommittedUSN属性の属性値)を検索することにより、highestCommittedUSNの現行値を取得します。
ldapsearch -h host -p port -b "" -s base -D binddn -q \ "objectclass=*" highestCommittedUSN
|
注意: パスワードを要求されます。 |
Oracle Directory Integration Platformを使用して、Microsoft Active Directoryから完全同期化を実行します。
目的とするLDAP検索の範囲と検索フィルタを使用して、Microsoft Active DirectoryからOracleバックエンド・ディレクトリにエントリをダンプするldifdeコマンドを実行します。通常、検索フィルタは、実行中のプロファイルで指定されているものと同じです。たとえば、サンプルのプロパティ・ファイルでは、次の検索フィルタが設定されています。ldifdeを実行できるのは、Microsoft Windows環境からのみです。
searchfilter=(&(|(objectclass=user)(objectclass=organizationalunit))(!(objectclass=group)))
基本的に、実行中のプロファイルによりMicrosoft Active Directoryと同期化されるように構成された、Oracleバックエンド・ディレクトリ・オブジェクト(エントリ)をすべて取得する検索範囲と検索フィルタを使用して、ldifdeを実行します。
Oracle Directory Integration Platformを実行して、同じプロファイルを使用して手順aで生成されたLDIFファイルをアップロードします。
完全同期が完了した後、lastchangenumber属性を、手順2で取得されたhighestCommittedUSN値により更新します。
USNChanged属性を使用して、Microsoft Active Directoryから通常の同期(増分同期)を再開します。
DirSync方式を使用してMicrosoft Active Directoryドメイン・コントローラを変更する方法
DirSync方式を使用している場合は、次の手順を実行します。
実行中の現行プロファイルを停止します。
manageSyncProfilesコマンドのcopy操作を使用して、すでに使用しているプロファイルとまったく同じプロファイルを新たに作成します。新たに作成したプロファイルで、Microsoft Active Directoryホスト接続情報(ホスト、ポート、ユーザー、パスワード)を、新規ホストを指すように変更します。通常、更新が必要なアイテムは、ホスト名のみです。
変更したプロファイルで、通常の同期を再開します。ドメイン・コントローラはすべて、同じMicrosoft Active Directoryドメインに存在することが必要です。
Microsoft Active Directoryコネクタは、Microsoft Active Directory Lightweight Directory Service(AD LDS: 旧称Active Directory Application Mode(ADAM))とOracleバックエンド・ディレクトリの間でのエントリの同期に使用できます。
Microsoft Active Directoryコネクタは、Microsoft Active Directory Server 2000以上をアイデンティティ・ストアとして使用するデプロイのMicrosoft Exchangeのユーザーをプロビジョニングできます。
次のいずれかの方法を使用してMicrosoft Exchange Server用のMicrosoft Active Directoryコネクタを構成できます。
Oracle Enterprise Manager Fusion Middleware Controlユーザー・インタフェースを使用する。
コマンド行でmanageSyncProfilesコマンドを使用する。
詳細は、次の各項を参照してください。
Microsoft Exchangeとの統合をさらにカスタマイズするには、「Microsoft Active Directoryとの拡張統合の構成」の指示に従います。
「同期プロファイルの作成」で説明されているように、Oracle Enterprise Manager Fusion Middleware Controlを使用して同期プロファイルを作成します。
「一般」タブで、「DIP-OIDの使用形式」フィールドを「ソース」に設定し、「タイプ」リストから「Microsoft Exchange Server」を選択します。
「マッピング」タブで、ドメイン・マッピング・ルールの作成に加えて、2つの属性マッピング・ルールを作成する必要があります。マッピング・ルールの作成方法を次に示します。
「マッピング」タブの「属性マッピング・ルール」セクションで「作成」をクリックします。
「属性マッピング・ルールの追加」ダイアログ・ボックスが開きます。
次の手順を使用して、2つの属性マッピング・ルールの1つ目を作成します。
「ソースのオブジェクト・クラス」ドロップダウン・メニューから「inetorgperson」を選択します。
「単一の属性」オプションを選択し、「ソース属性」ドロップダウン・メニューから「uid」を選択します。
「宛先オブジェクト・クラス」ドロップダウン・メニューから「User」を選択します。
「宛先属性」ドロップダウン・メニューから「homeMTA」を選択します。
「対応付けの式」フィールドにMTA DNの値を入力します。
homeMTAの値を取得するには、Active Directoryの任意のユーザーに対して単純なLDAP検索問合せを実行します。
MTA DNの形式は次のとおりです。
CN=Microsoft MTA,CN=<host>,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,<Domain_DN>
次に例を示します。
CN=Microsoft MTA,CN=DADVMN0152,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=diptest,DC=us,DC=oracle,DC=com
「OK」をクリックしてルールを保存します。
次の手順を使用して、2つ目の属性マッピング・ルールを作成します。
「ソースのオブジェクト・クラス」ドロップダウン・メニューから「inetorgperson」を選択します。
「単一の属性」オプションを選択し、「ソース属性」ドロップダウン・メニューから「uid」を選択します。
「宛先オブジェクト・クラス」ドロップダウン・メニューから「User」を選択します。
「宛先属性」ドロップダウン・メニューから「homeMDB」を選択します。
「対応付けの式」フィールドにMDB DNの値を入力します。
homeMDBの値を取得するには、Active Directoryの任意のユーザーに対して単純なLDAP検索問合せを実行します。
MDB DNの形式は次のとおりです。
CN=Mailbox Store (<host>),CN=First Storage Group, CN=InformationStore,CN=<host>,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,<Domain_DN>
次に例を示します。
CN=Mailbox Store (DADVMN0152),CN=First Storage Group, CN=InformationStore,CN=DADVMN0152,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services, CN=Configuration,DC=diptest,DC=us,DC=oracle,DC=com
「OK」をクリックしてルールを保存します。
「manageSyncProfilesの構文」で説明されているように、manageSyncProfilesコマンドを使用します。
コマンドを実行する際は、-conDirType引数に割り当てる値として、ExchangeServer2003を指定します。
インポート・プロファイルおよびエクスポート・プロファイルが作成されます。インポート・プロファイルはActive Directory USNテンプレート・プロファイルに、エクスポート・プロファイルはExchange Severテンプレート・プロファイルに基づいています。
msexchangeexp.map.masterマッピング・ファイルを編集し、ドメイン・マッピング・ルールおよび属性マッピング・ルールを作成します。次に、属性マッピング・ルールの作成方法の詳細を示します。マッピング・ルールに関する一般情報については、「マッピング・ルールのカスタマイズ」を参照してください。
ORACLE_HOME/ldap/odi/conf/にあるmsexchangeexp.map.masterマッピング・ファイルを開いて、次の属性マッピング・ルールを検索します。
uid:: :inetorgperson:homeMTA: :User:'%DN_OF_MTA%'
%DN_OF_MTA%をMTA DNの実際の値に置き換えます。
homeMTAの値を取得するには、Active Directoryの任意のユーザーに対して単純なLDAP検索問合せを実行します。
MTA DNの形式は次のとおりです。
CN=Microsoft MTA,CN=<host>,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,<Domain_DN>
次に例を示します。
CN=Microsoft MTA,CN=DADVMN0152,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=diptest,DC=us,DC=oracle,DC=com
msexchangeexp.map.masterマッピング・ファイルで、次の属性マッピング・ルールを検索します。
uid:: :inetorgperson:homeMDB: :User:'%DN_OF_MDB%'
%DN_OF_MDB%をMDB DNの実際の値に置き換えます。
homeMDBの値を取得するには、Active Directoryの任意のユーザーに対して単純なLDAP検索問合せを実行します。
MDB DNの形式は次のとおりです。
CN=Mailbox Store (<host>),CN=First Storage Group, CN=InformationStore,CN=<host>,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services,CN=Configuration,<Domain_DN>
次に例を示します。
CN=Mailbox Store (DADVMN0152),CN=First Storage Group, CN=InformationStore,CN=DADVMN0152,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Oracle,CN=Microsoft Exchange,CN=Services, CN=Configuration,DC=diptest,DC=us,DC=oracle,DC=com
変更を保存します。
ORACLE_HOME/ldap/odi/conf/にあるmsexchangeexp.propertiesファイルを編集して、次を指定します。
Microsoft Exchange Serverホスト名
Microsoft Exchange Serverのポート番号
ユーザー名
パスワード
msexchangeexp.map.masterファイルおよびactiveexp.cfg.masterファイルの場所
