Show Table of Contents
6.3. 同期された属性について
Identity Management は IdM と Active Directory 間のユーザーエントリーのサブセットを同期します。 Identity Management または Active Directory にあるエントリーの他の属性は、同期時に無視されます。
注記
ほとんどの POSIX 属性は同期されません。
Active Directory LDAP スキーマと、Identity Management で使用される 389 Directory Server LDAP スキーマ間には、スキーマは大きな異なりますが、属性は同じものが多数あります。このようなの属性は、Active Directory と IdM ユーザーエントリー間で同期されるだけで、属性名や値の形式には変更が加えられません。
Identity Management および Windows サーバーで同一のユーザースキーマ
- cn[1]
- physicalDeliveryOfficeName
- 説明
- postOfficeBox
- destinationIndicator
- postalAddress
- facsimileTelephoneNumber
- postalCode
- givenname
- registeredAddress
- homePhone
- sn
- homePostalAddress
- st
- initials
- street
- l
- telephoneNumber
- mail
- teletexTerminalIdentifier
- mobile
- telexNumber
- o
- title
- ou
- userCertificate
- pager
- x121Address
一部の属性には異なる名前が使用されていますが、IdM (389 Directory Server を使用) と Active Directory の間には直接的な対応関係があります。このような属性は、同期プロセスで マッピングされます 。
表6.2 Identity Management と Active Directory 間でマップされるユーザースキーマ
| Identity Management | Active Directory |
|---|---|
| cn[a] | name |
| nsAccountLock | userAccountControl |
| ntUserDomainId | sAMAccountName |
| ntUserHomeDir | homeDirectory |
| ntUserScriptPath | scriptPath |
| ntUserLastLogon | lastLogon |
| ntUserLastLogoff | lastLogoff |
| ntUserAcctExpires | accountExpires |
| ntUserCodePage | codePage |
| ntUserLogonHours | logonHours |
| ntUserMaxStorage | maxStorage |
| ntUserProfile | profilePath |
| ntUserParms | userParameters |
| ntUserWorkstations | userWorkstations |
[a]
cn は、Identity Management から Active Directory に同期される場合には、cn から cn に直接マッピングされます。Active Directory から同期する場合には、cn は Active Directory の name 属性から Identity Management のcn 属性にマッピングされます。
| |
6.3.1. Identity Management と Active Directory 間のユーザースキーマの相違点
属性が Active Directory と IdM の間で正常に同期される場合でも、Active Directory および Identity Management が基となる X.500 オブジェクトクラスを定義する方法には依然として違いがあり場合があります。この定義方法の相違点により、LDAP サービスが違うと、データの処理方法が異なる可能性があります。
このセクションでは、Active Directory および Identity Management のドメイン間で同期可能な属性を処理する方法に、Active Directory と Identity Management ではどのような違いがあるのかを説明します。
6.3.1.1. cn 属性の値
389 Directory Server では、
cn 属性に複数の値を設定できますが、Active Directory ではこの属性には単一の値しか設定できせん。Identity Management の cn 属性が同期されると、単一の値のみが Active Directory ピアに送信されます。
これを同期との関連で見ると、
cn 値が Active Directory エントリーに追加され、その値が Identity Management の cn の値のいずれでもない場合には、Identity Management の cn 値はすべて単一の Active Directory 値で上書きされます。
もう 1 つの重要な相違点として、Active Directory では
cn 属性をその命名属性として使用するのに対し、Identity Management は uid を使用する点があります。つまり、cn 属性が Identity Management で編集する可能性がある場合には、エントリーの名前が完全に (および間違って) 変更されてしまう可能性があります。
6.3.1.2. street および streetAddress の値
Active Directory はユーザーの住所に
streetAddress 属性を使用します。これは 389 Directory Server が street 属性を使用する方法に相当します。Active Directory および Identity Management が streetAddress および street 属性を使用する方法には 2 つの重要な相違点があります。
- 389 Directory Server では、
streetAddressはstreetのエイリアスです。Active Directory にもstreet属性がありますが、streetAddressのエイリアスではなく、別の属性で個別の値を保持することができます。 - Active Directory は
streetAddressとstreetを単一値の属性として定義しますが、389 Directory Server は RFC 4519 に指定されているようにstreetを複数値の属性として定義します。
389 Directory Server および Active Directory が
streetAddress および street 属性を処理する方法が異なるため、Active Directory と Identity Management で address 属性を設定する場合には以下の 2 つのルールに従う必要があります。
- 同期プロセスでは、Active Directory エントリーの
streetAddressを Identity Management のstreetにマッピングします。競合を避けるために、street属性は Active Directory では使用しないようにしてください。 - Identity Management
street属性値 1 つのみが Active Directory に同期されます。streetAddress属性が Active Directory で変更され、新しい値が Identity Management に存在しない場合には、Identity Management のstreet属性値が新しい Active Directory の値に置き換えられます。
6.3.2. Active Directory エントリーおよび POSIX 属性
Windows ユーザーアカウントに
uidNumber と gidNumber 属性値が含まれる場合には、WinSync はこの値を Identity Management には同期せず、Identity Management に新しい UID と GID の値を作成します。
そのため、
uidNumber と gidNumber の値は Active Directory と Identity Management では異なります。
[1]
cn は他の同期属性とは異なる処理がされます。Identity Management から Active Directory に同期される場合には、cn から cn に直接同期されますが、Active Directory から Identity Management の場合は、cn は Windows の name 属性から Identity Management の cn 属性にマッピングされます。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.