Identity Managerパスワード同期をサポートするための、既存のドライバ設定のアップグレード

ここでは、既存のドライバ設定をIdentity Manager のサンプル設定に置き換えるのではなく、Identity Managerパスワード同期のサポートを既存のドライバ設定に追加する手順について説明します。

重要:  Password Synchronization 1.0で使用されているActive DirectoryまたはNTドメイン用DirXMLドライバをアップグレードする場合は、DirXML Driversにある、Active DirectoryおよびNTドメイン用DirXMLドライバのドライバ実装ガイドのアップグレード手順に従う必要があります。

注:  この手順で追加されるポリシーは、ユニバーサルパスワードおよび配布パスワードを使用し、パスワード同期をサポートするためのものです。NDSパスワードのみを同期化するためにeDirectoryドライバを使用している場合には、これらのポリシーはeDirectoryドライバの設定に使用できません。シナリオ1 - NDSパスワードを使用したeDirectory間でのパスワード同期化で説明するように、NDSパスワードは、これらのポリシーではなく、Public KeyおよびPrivate Keyの属性を使用して、同期化されます。

ここで説明する手順を使用して実行する作業の概要を次に示します。


前提条件


手順

  1. 現在の環境でユニバーサルパスワードを使用する準備ができていることを確認します。Identity Managerパスワード同期およびユニバーサルパスワードを使用するための準備作業を参照してください。

  2. ウィザードに従い、Identity Managerの形式にドライバを変換します。DirXML 1.xからIdentity Manager形式へのドライバ設定のアップグレードを参照してください。

  3. iManagerで、[DirXML Utitities]>[Import Drivers]の順にクリックします。

    「オーバーレイ」設定ファイルをインポートしてポリシー、ドライバマニフェスト、およびGCVを一度に追加することで、パスワード同期の対象とする各ドライバにIdentity Managerパスワード同期のサポートを追加します。

    サポートを追加した後、nspmDistributionPassword属性もフィルタに追加する必要があります。

    これらの作業については、後の手順で説明します。

  4. 既存のドライバの存在するドライバセットを選択します。

  5. 表示されるドライバ設定のリストから、[Password Synchronization 2.0 Policies]というラベルの付いた項目のみを選択します。このリストは[Additional Policies]の下にあります。[Next]をクリックします。

    インポートプロンプトのリストが表示されます。

  6. アップデートする既存のドライバを選択します。

  7. ドロップダウンリストからドライバのタイプを選択します。

    ドライバのタイプに基づき、Import Driver Wizardは、ドライバ設定の機能と接続システムを示すドライバマニフェストのエントリを作成します。

    • 接続システムがIdentity Managerにパスワードを提供できるかどうか。これは、スタイルシートを使用して作成できるパスワードではなく、接続システム上のユーザの実際のパスワードを参照します。これが可能なのは、Active Directory、eDirectory、およびNISのみです。
    • 接続システムがIdentity Managerからのパスワードを受け入れることができるかどうか。
    • パスワードがIdentity Managerのパスワードに一致しているかを、接続システムが確認できるかどうか。

    パスワード同期のポリシーが機能するには、正しいドライバマニフェストのエントリが必要です。ドライバマニフェストは、接続システム、Identity ManagerのDirXMLドライバシム、およびドライバ設定ポリシーを結合した機能を示し、通常はネットワーク管理者が編集することはできません。

  8. [Next]をクリックします。ドライバについてのすべてをアップデートするよう選択します。

    このオプションでは、パスワード同期に必要なドライバマニフェスト、GCV、およびポリシーを指定します。

    ドライバマニフェストおよびGCVは、既存の値を上書きしますが、これらのドライバパラメータはIdentity Manager 2の新しいパラメータです。このため、DirXML 1.xドライバについては、上書きされる既存の値はありません。

    パスワード同期のポリシーは、既存のポリシーオブジェクトを上書きしません。単にドライバオブジェクトに追加されます。

    注:  保存したいドライバマニフェストまたはGCVがない場合、ドライバの[Update Only Selected Policies]という名前のオプションを選択し、ポリシーすべてのチェックボックスをオンにします。このオプションは、Password Policy (パスワードポリシー)をインポートしますが、ドライバマニフェストまたはGCVは変更しません。追加する値がある場合には、手動で貼り付ける必要があります。

  9. [Next]をクリックし、[Finish]をクリックしてウィザードを完了します。

    この時点では、新しいポリシーはドライバオブジェクトの下のポリシーオブジェクトとして作成されていますが、ドライバ設定の一部にはなっていません。設定にリンクさせるには、発行者および加入者チャネルのドライバ設定右側のポイントに、各ポリシーを手動で挿入する必要があります。

  10. 新しい各ポリシーを既存のドライバ設定の正しい場所に挿入します。ポリシーセットに複数のポリシーがある場合には、パスワード同期のポリシーが最後のリストとなるように挿入します。

    ポリシーのリストおよび挿入する場所については、 ドライバ設定で必要なポリシーを参照してください。

    ポリシーごとに、次の手順を繰り返します。

    1. [DirXML Management]>[Overview]の順にクリックします。アップデートするドライバのドライバセットを選択します。

    2. アップデートしたドライバをクリックします。ドライバ設定のグラフィック画面のページが開きます。

    3. 新しいポリシーのいずれかを追加する必要がある場所のアイコンをクリックします。

    4. [Insert]をクリックし、新しいポリシーを追加します。表示される[Insert]ページで、[Use an Existing Policy]をクリックし、新しいポリシーオブジェクトを参照します。[OK]をクリックします。

    5. 新しいポリシーのどれかに対応するポリシーがリスト内に複数ある場合は、矢印ボタンup arrow icon down arrow iconを使用し、新しいポリシーをリストの正しい位置に移動します。ドライバ設定で必要なポリシーにリスト表示されている順序にポリシーが表示されていることを確認します。

  11. パスワードを同期化するオブジェクトクラス(ユーザなど)については、フィルタにnspmDistributionPassword属性があり、次の設定になっていることを確認します。

    • 発行者チャネルについては、フィルタがnspmDistributionPassword属性を無視するよう設定します。
    • 加入者チャネルについては、フィルタがnspmDistributionPassword属性を通知するよう設定します。

    フィルタのnspmDistributionPasswordの設定

  12. nspmDistributionPassword属性の[Notify]が設定されているすべてのオブジェクトに対しては、ドライバフィルタのPublic KeyおよびPrivate Keyの属性は無視します。


    フィルタのPrivate KeyおよびPublic Keyの[Ignore]の設定

  13. パスワード同期の対象とするためにアップデートするドライバすべてに対して、ステップ 2からステップ 12を繰り返します。

    この時点で、ドライバには、新しいドライバシム、Identity Manager形式、およびその他のパスワード同期をサポートするために必要なドライバ設定の要素が設定されます。これらの要素は、ドライバマニフェスト、GCV、パスワード同期化ポリシー、およびフィルタ設定です。

  14. Identity Managerパスワード同期の設定に必要な追加の手順または情報がないか、ドライバ実装ガイドをDirXML Driversで確認します。

  15. ユニバーサルパスワードが有効なPassword Policy (パスワードポリシー)を作成し、ユニバーサルパスワードをオンにします。

    Password Policy (パスワードポリシー)の作成を参照してください。以前にNetWare 6.5でユニバーサルパスワードを使用していた場合は、(NetWare 6.5のみ)ユニバーサルパスワード割り当ての再作成に説明されているいくつかの手順が追加で必要です。

    Password Policy (パスワードポリシー)は、ツリーのできるだけ上位のレベルに割り当てることをお勧めします。

    [Password Policy]の[Universal Password]>[Configuration Options]では、NMASで異なる種類のパスワードの同期を保つ方法のオプションを指定できます。ほとんどの実装では、デフォルト設定で動作します。詳細については、該当ページのオンラインヘルプを参照してください。

    パスワード同期の使用シナリオの例、およびPassword Policy (パスワードポリシー)の一致の方法については、パスワード同期の実装を参照してください。

    Password Policy (パスワードポリシー)はツリー中心で割り当てられます。対照的に、パスワード同期はドライバごとに設定されます。ドライバはサーバベースでインストールされ、マスタレプリカまたは読み書き可能レプリカ内に存在するユーザのみを管理できます。パスワードの同期化により期待される結果を取得するには、パスワードの同期化を実行するサーバにあるマスタレプリカまたは読み書き可能レプリカのコンテナが、ユニバーサルパスワードが有効なパスワードポリシーを割り当てたコンテナと一致するようにします。パーティションルートコンテナにPassword Policy (パスワードポリシー)を割り当てることによって、そのコンテナとサブコンテナ内のすべてのユーザに確実にPassword Policy (パスワードポリシー)が割り当てられます。

  16. パスワードフローが各接続システムに対して希望する方法で設定されていることを確認します。

    1. iManagerで、[Password Management]>[Password Synchronization]の順にクリックし、管理する接続システムのドライバを検索します。

    2. パスワードフローの現在の設定を表示します。これは、グローバル設定値(GCV)のグラフィカルインタフェースです。ドライバの名前をクリックし、これらを編集します。

      次の設定を編集できます。

      • Identity Managerがシステムからパスワードを受け入れるかどうか。
      • Identity Managerが直接アップデートするパスワードは、ユニバーサルパスワード、または配布パスワードのどちらであるか。Identity Managerはエントリポイント、つまりどのパスワードをIdentity Managerが更新するかを制御します。NMASは、Password Policy (パスワードポリシー)で設定した内容に基づいて各種パスワード間のパスワードのフローを制御します。この設定を行うには、[Universal Password]> [Configuration Options]の順に選択します。
      • Identity Managerに入力されるパスワードの変更に、ユーザのPassword Policy (パスワードポリシー)を適用するかどうか。
      • 接続システムにユーザのPassword Policy (パスワードポリシー)を適用し、準拠しないパスワードをリセットするかどうか。
      • この接続システムがパスワードを受け入れるかどうか。
      • パスワード同期に失敗した場合、電子メール通知を送信するかどうか。

    これらのオプションの画面表示については、パスワード同期の実装を参照してください。オンラインヘルプも参照してください。

  17. パスワード同期をテストします。

    • Identity Managerのパスワードが指定したシステムに配布されることを確認します。
    • 指定した接続システムがIdentity Managerにパスワードを公開しているかを確認します。

    トラブルシューティングのヒントについては、パスワード同期の実装を参照してください。