IDM Active Directoryドライバのログについて

This document (00007462) is provided subject to the disclaimer at the end of this document.

問題点

Identity Manager Active Directoryドライバを使ってActive DirectoryとeDirectoryを連携している環境で、パスワードを含めたアカウントデータを購読(Subscribe)した時、ログには、同じアカウントについて2回 successが表示されます。
また、パスワードの同期に失敗した時には、1回のsuccessと2回のerrorが表示されます。
これは何故ですか？

解決方法

Identity Manager Active Directoryドライバでは、Active Directoryにデータを送付する時に、パスワードとその他の属性に分けてデータを送信します。
まず、パスワード以外のデータを送付し、その後パスワードのデータを送付します。
ログでは、それぞれのデータ処理に対してログを出力するため、パスワードを含めたデータ連携に成功した場合、それぞれに対して1回ずつsuccessのログを記録します。

パスワード連携 成功:
DirXML: [04/25/07 10:40:40.01]:
DirXML Log Event -------------------
Driver = \Novell_INC\Novell\Services\DriverSet\ADDriver_User_test
Thread = Subscriber Channel
Object = \Novell_INC\Novell\JP\MEI\Users\USER_B
Level = success
DirXML: [04/25/07 10:40:40.01]:
DirXML Log Event -------------------
Driver = \Novell_INC\Novell\Services\DriverSet\ADDriver_User_test
Thread = Subscriber Channel
Object = \Novell_INC\Novell\JP\MEI\Users\USER_B
Level = success

また、パスワードの変更処理には、LDAPを使ったパスワード変更方法とWindowsのAPI(NetUserInfo)を使ったパスワード変更を行います。

まず、LDAPによる変更を試みて、失敗した場合Windows APIを使ったパスワード変更を行います。
ただし、LDAPによる更新失敗 -> Windows APIによる更新失敗 = 最終的に更新失敗 となってから、ログには結果が表示されるので、Windows API(platform call) -> LDAPの順でエラーが表示されます。

パスワード連携 失敗:
DirXML: [04/25/07 10:20:49.26]:
DirXML Log Event -------------------
Driver = \Novell_INC\Novell\Services\DriverSet\ADDriver_User_test
Thread = Subscriber Channel
Object = \Novell_INC\Novell\JP\MEI\Users\USER_A
Level = success
DirXML: [04/25/07 10:20:49.26]:
DirXML Log Event -------------------
Driver = \Novell_INC\Novell\Services\DriverSet\ADDriver_User_test
Thread = Subscriber Channel
Object = \Novell_INC\Novell\JP\MEI\Users\USER_A
Level = error
Message = Could not set password via platform call. Err=5 (access denied)
DirXML: [04/25/07 10:20:49.26]:
DirXML Log Event -------------------
Driver = \Novell_INC\Novell\Services\DriverSet\ADDriver_User_test
Thread = Subscriber Channel
Object = \Novell_INC\Novell\JP\MEI\Users\USER_A
Level = error
Message = <message>Password set failed.</message>
<ldap-err ldap-rc="53" ldap-rc-name="LDAP_UNWILLING_TO_PERFORM">
<client-err ldap-rc="53" ldap-rc-name="LDAP_UNWILLING_TO_PERFORM">実行しようとしません</client-err>
<server-err>0000054F: SvcErr: DSID-031A0B56, problem 5003 (WILL_NOT_PERFORM), data 0 </server-err>
<server-err-ex win32-rc="1359"/>
</ldap-err>

よって、このように同じアカウントについて複数回ログが記録されるのは、Active Directoryドライバの仕様となります。

Disclaimer

この情報は、米国Novell, Inc.およびノベル株式会社の内外から発生したものです。本文書の内容または本文書を使用した結果について、いかなる保証、表明または約束も行っていません。また、本文書の商品性、および特定目的への適合性について、いかなる黙示の保証も否認し、排除します。

本文書に記載されている会社名、製品名はそれぞれ各社の商品、商標または登録商標です。