「Identity Synchronization for Windows Solaris」の編集履歴(バックアップ)一覧はこちら
追加された行は緑色になります。
削除された行は赤色になります。
Solarisコンテナ等にインストールする場合はVNCを設定したほうが簡単です。
*Message Queueのインストール(ID Syncサーバ)
DSのPKG版のインストーラを起動し、Message Queueをインストールします。
(Communications SuiteのパッケージにもMessage Queueが入っていますが、NGですのでDSのものを使います。)
# $java_es-5/Solarisx86/installer
メニューに従いMessage Queue3.7UR2を選択し、インストールします。
*ID Syncのインストール(ID Syncサーバ)
DSのZIP版を展開し、インストーラを起動します。
# $DSEE/DSEE_Identity_Synchronization_for_Windows/installer/runInstaller.sh
設定ディレクトリホスト:はFQDNを記述します。
(ターミナル内でインストールする場合は、「ldap://FQDN:389」で指定。)
設定パスワード:は、Serverコンソール(後述)のパスワードを入力します。
*Serverコンソールの設定(ID Syncサーバ)
***Serverコンソールの起動
ID Syncのインストール後、Serverコンソール画面が立ち上がらない場合、以下で起動します。
# /var/mps/serverroot/startconsole
ユーザID:admin、パスワード:pass でログインします。
***ディレクトリリソースの設定
左ペインのサーバ一覧からID Syncサーバを指定し、[Server Group]→[Identity Synchronization・・・]を開きます。
右上の[開く]ボタンを押し、ID Syncの設定ウィンドウを起動します。
[設定]タブを開き、画面中左ペインの[ディレクトリリソース]を選択します。
メニューから[新規Sunディレクトリリソース][新規Active Directoryソース]を順に設定します。
(ウィザード形式のためだいたい問題なく設定できるはず)
[新規Active Directoryソース]では接続用ユーザとしてAdministratorを指定しますが、実際のユーザDNとあっていない場合がありますので注意が必要です。
***ユーザ属性の選択とマッピング
[設定タブ]の左ペインのメニューから[Identity Synchronization・・・]を選択し、右側の[属性]タブを選択します。
同期の対象となる属性を選択します。ここでは以下の通り設定した。
Sun DS→MS AD
mail→mail
cn→cn
uid→samaccountname
sn→sn
その他のタブも設定します。
[属性の修正][オブジェクトの削除]はWindows→Sun DSに伝播するよう設定。
[オブジェクトの作成]タブもWindows→Sun DSに伝播するよう設定しさらに[作成属性]は、以下のように設定する。
Sun DS→MS AD
mail→mail
cn→cn
uid→samaccountname
sn→sn
***同期リストの設定
左ペインの[同期リスト]メニューから作成された[SUL1]を選択し、右側の内容を変更する。
[Windows]タブは[ベースDN:cn=users,dc=aaaa,dc=local]とする。
[Sun Java System]タブは、[ベースDN:ou=People,o=isp]とし、[作成式:uid=%uid%]とする。
設定が終わったら、[保存]ボタンを押す。
*初期同期を行う(ID Syncサーバ)
コマンドにて初期同期を行う。
# /opt/SUNWisw/bin/idsync resync -D "cn=Directory Manager" -w pass -q password -h ds -p 389 -c (DS側に存在しないユーザを作成)
# /opt/SUNWisw/bin/idsync resync -D "cn=Directory Manager" -w pass -q password -h ds -p 389 -i ALL_USERS(DS側に存在するユーザを修正)
DSCC等で確認し、反映されていれば完成です。
エラーがあった場合は、/var/opt/SUNWisw/logs/central配下にログがありますのでエラー内容を確認します。
Solarisコンテナ等にインストールする場合はVNCを設定したほうが簡単です。
*Message Queueのインストール(ID Syncサーバ)
DSのPKG版のインストーラを起動し、Message Queueをインストールします。
(Communications SuiteのパッケージにもMessage Queueが入っていますが、NGですのでDSのものを使います。)
# $java_es-5/Solarisx86/installer
メニューに従いMessage Queue3.7UR2を選択し、インストールします。
*ID Syncのインストール(ID Syncサーバ)
DSのZIP版を展開し、インストーラを起動します。
# $DSEE/DSEE_Identity_Synchronization_for_Windows/installer/runInstaller.sh
設定ディレクトリホスト:はFQDNを記述します。
(ターミナル内でインストールする場合は、「ldap://FQDN:389」で指定。)
設定パスワード:は、Serverコンソール(後述)のパスワードを入力します。
*Serverコンソールの設定(1)(ID Syncサーバ)
***Serverコンソールの起動
ID Syncのインストール後、Serverコンソール画面が立ち上がらない場合、以下で起動します。
# /var/mps/serverroot/startconsole
ユーザID:admin、パスワード:pass でログインします。
左ペインのサーバ一覧からID Syncサーバを指定し、[Server Group]→[Identity Synchronization・・・]を開きます。
右上の[開く]ボタンを押し、ID Syncの設定ウィンドウを起動します。
***ディレクトリリソースの設定
[設定]タブを開き、画面中左ペインの[ディレクトリリソース]を選択します。
メニューから[新規Sunディレクトリリソース][新規Active Directoryソース]を順に設定します。
(ウィザード形式のためだいたい問題なく設定できるはず)
[新規Active Directoryソース]では接続用ユーザとしてhamaを指定しますが、実際のユーザDNとあっていない場合がありますので注意が必要です。
○ActiveDirectoryソース:mailtest.test
ドメインコントローラ ad.mailtest.test:389
再同期間隔 1000ミリ秒
ディレクトリソースのクレデンシャル
ユーザDN cn=hama,cn=Users,dc=mailtest,dc=jp
パスワード ****
○SunDirectoryソース:o=isp
優先マスター ms:389
再同期間隔 1000ミリ秒
***同期リストの設定(SUL1)
Windowsタブ
ベースDN:cn=users,dc=mailtest,dc=jp
Sun Java Systemタブ
ベースDN:ou=people,o=mailtest.test,o=isp←選択で表示されないため入力フォームにそのまま書いた。
作成式:uid=%uid%
***ユーザ属性の選択とマッピング
[設定タブ]の左ペインのメニューから[Identity Synchronization・・・]を選択し、右側の[属性]タブを選択します。
同期の対象となる属性を選択します。ここでは以下の通り設定した。
属性タブ
DS AD
userappword unicodepwd
属性の修正タブ
属性の修正はWindowsからSun Java System Directory Serverに伝播される。
オブジェクトの作成タブ
オブジェクトの作成はWindowsからSun Java System Directory Serverに伝播される。にチェックを入れる。
作成属性ボタンを押す。
DS AD 値
dspswvalidate true
mail mail
mailautoreplymode echo
maiuserstatus active
maihost ms.mailtest.test
maildeferprocessing No
inetuserstatus Active
givenname givenname
sn sn
cn cn
maildeliveryoption mailbox
iplanet-am-modifilable cn=Top-level Admin Role,o=isp
uid samaccountname
また、新たな属性を追加するときは「新規属性」ボタンを押し、「スキーマの読み込み」ボタンを押す。
追加するスキーマは以下の通り。(DSCCで既に作成されたアカウントの状態を見ればよい)
ipUser, iplanet-am-managed-person, iplanet-am-user-service, iPlanetPreferences, (inetOrgPerson)
inetAdmin, inetMailUser, sunAMAuthAccountLockout, dspswuser(dspswdeleteuser), userPresenceProfile
inetLocalMailRecipient, inetSubscriber, inetUser
オブジェクトの削除タブ
オブジェクトの削除はWindowsからSun Java System Directory Serverに伝播される。にチェックを入れる。
設定が終わったら、[保存]ボタンを押す。
*コネクタ、プラグインのインストール(ID Syncサーバ)
SunDSコネクタ、ADコネクタとSunDSプラグインをインストールします。
ID Syncのインストール時と同様にインストーラを起動します。
# $DSEE/DSEE_Identity_Synchronization_for_Windows/installer/runInstaller.sh
[設定ディレクトリホスト]等入力し、ウィザードを進めるとコネクタの選択画面に変わります。
ウィザードに従い、コネクタをインストールします。(実際には2回繰り返します。)
SunDSコネクタの最終設定でSunDSプラグインの設定を行うか確認されますので、そのまま設定します。
*初期同期を行う(ID Syncサーバ)
コマンドにて初期同期を行う。
# /opt/SUNWisw/bin/idsync resync -D "cn=Directory Manager" -w pass -q password -h ds -p 389 -c (DS側に存在しないユーザを作成)
# /opt/SUNWisw/bin/idsync resync -D "cn=Directory Manager" -w pass -q password -h ds -p 389 -i ALL_USERS(DS側に存在するユーザを修正)
DSCC等で確認し、反映されていれば完成です。
エラーがあった場合は、/var/opt/SUNWisw/logs/central配下にログがありますのでエラー内容を確認します。
(注)
WindowsServer2003SP1以降では更新後のパスワードを1時間保持します。
したがって、Windowsのパスワードを変更後に古いパスワードのままメールクライアントでログインするとメール側は古いパスワードを保持します。
したがってWindows側のパスワード有効期間を変更する必要があります。
<変更方法>
ドメイン コントローラの次のレジストリ サブキーに OldPasswordAllowedPeriod という名前の DWORD 値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
この操作を行うには、以下の手順を実行します。
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に regedit と入力し、[OK] をクリックします。
次のレジストリ サブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
[編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
DWORD 値の名前として OldPasswordAllowedPeriod と入力し、Enter キーを押します。
[OldPasswordAllowedPeriod] を右クリックし、[修正] をクリックします。
[値のデータ] ボックスに、使用する値を分単位で入力して、[OK] をクリックします。
有効期間は分単位で設定します。
***IDSyncとMQの起動
/etc/init.d/isw start
/etc/init.d/imq start
停止の際は、startをstopに置き換えてください。
