Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.2. Active Directory および Identity Management の概要

IdM ドメイン内では、情報はデータマスター(サーバーとレプリカ)間で信頼性と予測的にコピーされるため、サーバーとレプリカ間で共有されます。このプロセスを レプリケーション といいます。
同様のプロセスは、IdM ドメインと Microsoft Active Directory ドメイン間でデータを共有するために使用できます。これが 同期 です。
同期は、Active Directory と Identity Management の間で、ユーザーデータをコピーするプロセスです。Active Directory と Identity Management の間でユーザーを同期する場合、ディレクトリーの同期(DirSync)LDAP サーバーの拡張制御を使用して、変更したオブジェクトのディレクトリーを検索します。

図6.1 Active Directory および IdM の同期

Active Directory および IdM の同期
同期は、IdM サーバーと Active Directory ドメインコントローラー間の 合意 で定義されます。この合意は、同期するサブツリーやアカウント属性の処理方法の定義など、同期可能なユーザーエントリーの特定に必要な全情報を定義します。同期合意は、デフォルト値で作成されます。これは、特定のドメインのニーズに合わせて調整が可能です。2 つのサーバーで同期が行われると、この 2 つのサーバーは ピアと呼ばれます

表6.1 同期合意の情報

Windows の情報 IdM 情報
  • ユーザーサブツリー(cn=Users,$SUFFIX)
  • 接続情報
    • Active Directory 管理者ユーザー名およびパスワード
    • パスワード同期サービスパスワード
    • CA 証明書
  • ユーザーのサブツリー(ou=People,$SUFFIX)
同期は通常、双方向 で行われます。情報は、IdM サーバーとレプリカが情報を共有する方法に非常に似ているプロセスの IdM と Windows ドメイン間で送受信されます。例外が新しいユーザーエントリーで、Windows ドメインから IdM ドメインにのみ追加されます。同期は、1 方向のみで同期するように設定することができます。これは 一方向 の同期です
データの競合が発生するリスクを防ぐために、1 つのディレクトリーのみがユーザーエントリーの測定または削除を行う必要があります。これは通常、IT 環境のプライマリーアイデンティティーストアである Windows ディレクトリーであり、新しいアカウントまたはアカウントの削除が Identity Management ピアと同期されます。いずれのディレクトリーでも、エントリーを変更できます。
その後、Identity Management サーバーと 1 つの Active Directory ドメインコントローラーの間で設定されます。Identity Management サーバーは、IdM ドメイン全体に伝搬され、ドメインコントローラーは Windows ドメイン全体で変更を伝播します。

図6.2 同期トポロジー

同期トポロジー
IdM 同期には、以下のような主要な機能があります。
  • 同期操作は 5 分ごとに実行されます。頻度を変更するには、Active Directory ピア DN に winSyncInterval 属性を設定します。
    cn=meTowinserver.ad.example.com,cn=replica,cn=dc\3Didm\,dc\3Dexample\,dc\3Dcom,cn=mapping tree,cn=config
  • 同期が設定できるのは、Active Directory ドメイン 1 つのみとなっています。
  • 同期が設定できるのは、Active Directory ドメインコントローラー 1 つのみとなっています。
  • ユーザー情報のみが同期されます。グループ情報はありません。
  • ユーザー属性とパスワードの両方を同期できます。
  • 変更は双方向ですが(Active Directory から IdM、IdM から Active Directory の両方)、アカウントの作成は、Active Directory から Identity Management への一方向のみになります。Active Directory で作成される新規アカウントは、自動的に IdM に同期されます。ただし、IdM で作成したユーザーアカウントも、同期前に Active Directory に作成する必要があります。この場合、同期プロセスでは、Active Directory のsAMAccountName 属性よりも、IdM の uid 属性に同じ値を持つ一致するアカウントの検索を試みます。一致するものが見つかると、IdM ntUserDomainId 属性は Active Directory オブジェクトのGUID 値に設定されます。これらの属性はグローバルに一意かつイミュータブルで、移動または名前が変更されても同期が保たれます。
  • アカウントロック情報はデフォルトで同期されるため、1 つのドメインで無効にされているユーザーアカウントは他方のドメインで無効にされます。
  • パスワードの変更は即時に有効になります。あるピアでユーザーパスワードが追加または変更された場合には、変更が即座に他のピアサーバーに伝播されます。
    パスワード同期クライアントは、新しいパスワードまたはパスワードの更新を同期します。
    IdM および Active Directory の両方でハッシュ化されたフォームに保存されている既存のパスワードは、パスワード同期クライアントがインストールされていれば、復号化または同期できません。そのため、既存のパスワードは同期されません。ピアサーバー間の同期を開始するために、ユーザーパスワードを変更する必要があります。
  • 合意は 1 つしかありませんが、PassSync サービスを各 Active Directory サーバーにインストールする必要があります。
Active Directory ユーザーが IdM に同期される場合、特定の属性(Kerberos および POSIX 属性を含む)では IPA 属性がユーザーエントリーに自動的に追加されます。この属性は、ドメイン内で IdM が使用します。対応する Active Directory ユーザーエントリーには、同期されません。
同期プロセスの一環で、同期データの一部を変更できます。たとえば、IdM ドメインに同期する場合に、特定の属性を自動的に Active Directory ユーザーアカウントに追加できます。このような属性の変更は、同期合意の一部として定義され、「ユーザーアカウント属性を同期する動作の変更」

このページには機械翻訳が使用されている場合があります (詳細はこちら)。