Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.5.2. ユーザーアカウント属性の同期動作の変更

同期合意が作成されると、同期プロセスでのユーザーアカウント属性の処理方法に関して特定のデフォルト動作が定義されます。動作のタイプには、ロックアウト属性の処理方法や異なる DN 形式の処理方法などが含まれます。この動作は、同期合意を編集することで変更できます。
同期合意は LDAP サーバーの特殊なプラグインエントリーとして存在し、それぞれの属性動作は LDAP 属性から設定されます。同期の動作を変更するには、ldapmodify コマンドを使用して LDAP サーバーエントリーを直接変更します。
たとえば、デフォルトで IdM と Active Directory の間でアカウントロックアウト属性が同期されますが、ipaWinSyncAcctDisable 属性を編集して無効にできます。(この属性を変更すると、Active Directory でアカウントが無効な場合でも、IdM で引き続き有効な状態となり、その逆も同様になります)。
[jsmith@ipaserver ~]$ ldapmodify -x -D "cn=directory manager" -w password

dn: cn=ipa-winsync,cn=plugins,cn=config
changetype: modify
replace: ipaWinSyncAcctDisable
ipaWinSyncAcctDisable: none

modifying entry "cn=ipa-winsync,cn=plugins,cn=config"
以下は、同期設定属性の概要です。

一般ユーザーアカウントのパラメーター

  • ipaWinSyncNewEntryFilter: 新規ユーザーエントリーに追加するオブジェクトクラスの一覧を含むエントリーの検索に使用する検索フィルターを設定します。
    デフォルト値: (cn=ipaConfig)
  • ipaWinSyncNewUserOCAttr: 新規ユーザーエントリーに追加するオブジェクトクラスの一覧が実際に含まれる設定エントリーの属性を設定します。
    デフォルト値: ipauserobjectclasses
  • ipaWinSyncHomeDirAttr: POSIX ホームディレクトリーのデフォルトの場所を含むエントリー内の属性を識別します。
    デフォルト値: ipaHomesRootDir
  • ipaWinSyncUserAttr: Active Directory ユーザーを Active Directory ドメインから同期する時に、特定の値で別の属性を設定してAD ユーザーに追加します。複数値の属性の場合は、属性を複数回設定でき、同期プロセスで、値のすべてがエントリーに追加されます。
    例: ipaWinSyncUserAttr: attributeName attributeValue
    注記
    エントリーに属性が存在しない場合に属性値のみが設定されます。属性が存在する場合は、Active Directory エントリーの同期時にエントリーの値が使用されます。
  • ipaWinSyncForceSync: 既存の AD ユーザーに一致する既存の IdM ユーザーが強制的に同期されるかどうかを設定します。true に設定すると、このような IdM ユーザーは自動的に編集され、同期されます。
    使用できる値: true | false
    IdM ユーザーアカウントに、既存の Active Directory ユーザーの sAMAccountName と同じ uid パラメーターがある場合には、そのアカウントはデフォルトで 同期されません。この属性は、ntUser および ntUserDomainId に自動的に ntUser および ntUserDomainId を IdM ユーザーエントリーに追加し、同期できるように指示します。

ユーザーアカウントのロックパラメーター

  • ipaWinSyncAcctDisable: アカウントロックアウト属性を同期する方法を設定します。有効にするアカウントロックアウト設定を制御できます。たとえば、to_ad は、アカウントロックアウト属性が IdM に設定されると、その値が Active Directory に対して同期され、ローカルの Active Directory 値を上書きすることを意味します。デフォルトでは、アカウントロックアウト属性は両方のドメインから同期されます。
    設定可能な値: both (デフォルト)、to_adto_dsnone
  • ipaWinSyncInactivatedFilter: 非アクティブになった (無効になった) ユーザーを保持するために使用されるグループの DN 検索用のフィルターを設定します。これは、ほとんどの実装では変更する必要はありません。
    デフォルト値: (&(cn=inactivated)(objectclass=groupOfNames))

グループのパラメーター

  • ipaWinSyncDefaultGroupAttr: ユーザーのデフォルトグループを確認するために参照する新規ユーザーアカウントの属性を設定します。エントリーのグループ名は、ユーザーアカウントの gidNumber の検索に使用されます。
    デフォルト値: ipaDefaultPrimaryGroup
  • ipaWinSyncDefaultGroupFilter: ユーザーのデフォルトグループを確認するために参照する新規ユーザーアカウントの属性を設定します。エントリーのグループ名は、ユーザーアカウントの gidNumber の検索に使用されます。
    デフォルト値: ipaDefaultPrimaryGroup

レルムのパラメーター

  • ipaWinSyncRealmAttr: レルムエントリーにレルム名を含む属性を設定します。
    デフォルト値: cn
  • ipaWinSyncRealmFilter: IdM レルム名を含むエントリーの検索に使用する検索フィルターを設定します。
    デフォルト値: (objectclass=krbRealmContainer)