Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.3. 同期された属性の概要

Identity Management は、IdM と Active Directory ユーザーエントリーの間で、ユーザー属性のサブセットを同期します。エントリーに含まれるその他の属性は、Identity Management または Active Directory のどちらにある場合でも、同期時に無視されます。
注記
ほとんどの POSIX 属性は同期されません。
Active Directory の LDAP スキーマと、Identity Management で使用される 389 Directory Server の LDAP スキーマ間には、スキーマは大きな違いがありますが、同じ属性が多数あります。これらの属性は、Active Directory と IdM ユーザーエントリー間で同期されるだけで、属性名や値の形式には変更が加えられません。

Identity Management および Windows サーバーで同一のユーザースキーマ

  • cn[2]
  • physicalDeliveryOfficeName
  • 説明
  • postOfficeBox
  • destinationIndicator
  • postalAddress
  • facsimileTelephoneNumber
  • postalCode
  • givenname
  • registeredAddress
  • homePhone
  • sn
  • homePostalAddress
  • st
  • initials
  • street
  • l
  • telephoneNumber
  • mail
  • teletexTerminalIdentifier
  • mobile
  • telexNumber
  • o
  • title
  • ou
  • userCertificate
  • pager
  • x121Address
一部の属性には異なる名前がありますが、IdM(389 Directory Server を使用)と Active Directory の間には直接的な対応があります。このような属性は、同期プロセスで マッピングされます

表6.2 Identity Management と Active Directory との間でマッピングされるユーザースキーマ

Identity Management Active Directory
cn[a] 名前
nsAccountLock userAccountControl
ntUserDomainId sAMAccountName
ntUserHomeDir homeDirectory
ntUserScriptPath scriptPath
ntUserLastLogon lastLogon
ntUserLastLogoff lastLogoff
ntUserAcctExpires accountExpires
ntUserCodePage codePage
ntUserLogonHours logonHours
ntUserMaxStorage maxStorage
ntUserProfile profilePath
ntUserParms userParameters
ntUserWorkstations userWorkstations
[a] Identity Management から Active Directory に同期時には、cn は直接(cn から cnへ)マッピングされます。Active Directory から同期すると、cn は、Active Directory の name 属性から Identity Management の cn 属性にマッピングされます。

6.3.1. Identity Management と Active Directory との間のユーザースキーマの相違点

属性が Active Directory と IdM の間で正常に同期される場合でも、Active Directory と Identity Management が基となる X.500 オブジェクトクラスを定義する方法には依然として違いがあります。これにより、異なる LDAP サービスでデータの処理方法が異なる可能性があります。
本セクションでは、Active Directory と Identity Management が 2 つのドメイン間で同期できる属性を処理する方法を説明します。

6.3.1.1. cn 属性の値

389 Directory Server では、cn 属性に複数の値を設定できますが、Active Directory ではこの属性には単一の値しか持たせません。Identity Management の cn 属性が同期されると、単一の値のみが Active Directory ピアに送信されます。
同期の意味は、cn 値が Active Directory エントリーに追加され、その値が Identity Management の cn の値のいずれでもない場合には、Identity Management の cn 値はすべて単一の Active Directory 値で上書きされます。
もう 1 つの重要な相違点は、Active Directory が cn 属性をその命名属性として使用することです。Identity Management は uid を使用します。つまり、cn 属性が Identity Management で編集する可能性がある場合には、エントリーの名前が完全に(および間違って)変更されてしまう可能性があります。

6.3.1.2. street および streetAddress の値

Active Directory はユーザーの住所に streetAddress 属性を使用します。これは、389 Directory Server が street 属性を使用する方法です。Active Directory と Identity Management が streetAddress および street 属性を使用する方法には 2 つの重要な違いがあります。
  • 389 Directory Server では、streetAddressstreet のエイリアスです。Active Directory にも street 属性がありますが、streetAddress のエイリアスではなく、独立した値を保持することができる別の属性です。
  • Active Directory は streetAddressstreet を単一値の属性として定義しますが、389 Directory Server は RFC 4519 に指定されているように street を複数値の属性として定義します。
389 Directory Server および Active Directory が streetAddress および street 属性を処理する方法が異なるため、Active Directory と Identity Management で address 属性を設定する場合には以下の 2 つのルールに従う必要があります。
  • 同期プロセスは、Active Directory エントリーの streetAddress を Identity Management の street にマッピングします。競合を回避するために、street 属性は Active Directory で使用しないでください。
  • Identity Management の street 属性値は 1 つだけ、Active Directory に同期されます。streetAddress 属性が Active Directory で変更され、新しい値が Identity Management に存在しない場合には、Identity Management のすべての street 属性値が新しい Active Directory 値に置き換えられます。

6.3.1.3. initials 属性についての制約

initials 属性の場合、Active Directory は最大長 6 文字の制限を課しますが、389 Directory Server には長さ制限がありません。Identity Management に 7 文字以上の initials 属性が 追加されると、この値は Active Directory エントリーとの同期時に値がトリミングされます。

6.3.1.4. surname(sn)属性の要求

Active Directory では、surname 属性なしで person エントリーを作成できます。ただし、RFC 4519 では、人のオブジェクトクラスは surname 属性を必要とするように定義します。これは、Directory Server で使用される定義です。
Active Directory person エントリーが surname 属性なしで作成される場合には、このエントリーはオブジェクトクラス違反で失敗するため、IdM には同期されません。

6.3.2. Active Directory エントリーおよび POSIX 属性

Windows ユーザーアカウントに uidNumber および gidNumber 属性の値が含まれる場合、WinSync はこれらの値を Identity Management に同期しません。代わりに、Identity Management に新しい UID および GID 値が作成されます。
その結果、uidNumber および gidNumber の値は Active Directory と Identity Management で異なります。


[2] cn は、他の同期属性とは異なる処理を行います。Identity Management から Active Directory に同期時には、直接(cn から cnへ)マッピングされます。ただし、Active Directory から Identity Management に同期する場合には、cn は、Windows の name 属性から Identity Management の cn 属性にマッピングされます。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。