ここでは、既存のドライバ環境設定をIdentity Managerのサンプル環境設定に置き換えるのではなく、Identity Managerのパスワード同期のサポートを既存のドライバ環境設定に追加する方法について説明します。
パスワード同期に使用する各ドライバにサポートを追加します。これを行うには、「オーバーレイ」設定設定ファイルをインポートし、ポリシー、ドライバマニフェスト、およびGCVを一度に追加します。
ポリシー、ドライバマニフェスト、およびGCVを追加した後、ドライバフィルタにnspmDistributionPassword属性も追加する必要があります。
重要:Password Synchronization 1.0で使用されているActive DirectoryまたはNTドメイン用Identity Managerドライバをアップグレードする場合は、「Identity Manager Drivers」にある、Active DirectoryおよびNTドメイン用Identity Managerドライバのドライバ実装ガイドのアップグレード手順に従います。
この手順で追加されるポリシーは、ユニバーサルパスワードおよび配布パスワードを使用し、パスワード同期をサポートするためのものです。NDSパスワードのみを同期するためにIdentity Managerドライバを使用している場合には、このポリシーはIdentity Managerドライバの環境設定に使用できません。セクション 5.8.2, シナリオ1: NDSパスワードを使用した、2つのアイデンティティボールト間の同期で説明するように、NDSパスワードは、これらのポリシーではなく、公開鍵および秘密鍵の属性を使用して同期されます。
[パスワードステータスの確認]など、パスワード同期の機能の中には、Identity Managerのドライバシムがないと機能しないものもあります。
重要:Password Synchronization 1.0で使用されているActive DirectoryまたはNTドメイン用Identity Managerドライバをアップグレードする場合は、アップグレード手順を確認してから、ドライバシムをインストールします。手順については、「Identity Manager Drivers」にあるActive DirectoryおよびNTドメイン用Identity Managerドライバのドライバ実装ガイドのアップグレードの説明を参照してください。
現在の環境でユニバーサルパスワードを使用する準備ができていることを確認します。
セクション 5.4, Identity Managerのパスワード同期およびユニバーサルパスワードを使用するための準備作業を参照してください。
DirXML® 1.1aを使用している場合、セクション 2.3, DirXML 1.1aからIdentity Manager形式へのドライバ環境設定のアップグレードを参照してください。
iManagerで、[
]>[ドライバのインポート]の順にクリックします。既存のドライバの存在するドライバセットを選択し、[次へ]をクリックします。
表示されるドライバ環境設定のリストで、[その他のポリシー]までスクロールし、[パスワード同期2.0のポリシー]のみを選択します。
[次へ]をクリックします。
[既存のドライバ]ドロップダウンリストで、更新する既存のドライバを選択します。
[接続システム]ドロップダウンリストで、接続システムのタイプを選択します。
ドロップダウンリストにドライバ名が表示されない場合、[その他のシステム]を選択します。
ドライバのタイプに基づき、ドライバインポートウィザードは、ドライバ環境設定の機能と接続システムを示すドライバマニフェストのエントリを作成します。
これは、スタイルシートを使用して作成できるパスワードではなく、接続システム上のユーザの実際のパスワードを参照します。これが可能なのは、Active Directory、eDirectory、およびNISのみです。
パスワード同期のポリシーが機能するには、正しいドライバマニフェストのエントリが必要です。ドライバマニフェストは、接続システム、Identity Managerのドライバシム、およびドライバ環境設定ポリシーを結合した機能を示し、通常はネットワーク管理者が編集することはできません。
[次へ]をクリックします。
保存するドライバマニフェストまたはGCV値がない場合、[該当ドライバについてすべてを更新]を選択します。
このオプションでは、パスワード同期に必要なドライバマニフェスト、GCV、およびIdentity Managerポリシーを指定します。
ドライバマニフェストおよびGCVによって、すでに存在する値が上書きされます。Identity Manager 2ではこれらの種類のドライバパラメータは新しいため、DirXML 1.xドライバには上書きされる既存の値はありません。
パスワード同期のポリシーは、既存のポリシーオブジェクトを上書きしません。単にドライバオブジェクトに追加されます。
メモ:保存するドライバマニフェストまたはGCV値がない場合、[該当ドライバで選択したポリシーのみを更新]を選択し、すべてのポリシーのチェックボックスをオンにします。このオプションは、パスワードポリシーをインポートしますが、ドライバマニフェストまたはGCVは変更しません。追加する値がある場合には、手動で貼り付ける必要があります。
[次へ]をクリックし、[終了]をクリックしてウィザードを完了します。
この時点では、新しいポリシーはドライバオブジェクトの下のポリシーオブジェクトとして作成されていますが、ドライバ環境設定の一部にはなっていません。環境設定にリンクさせるには、発行者および購読者チャネルのドライバ環境設定の右側のポイントに、各ポリシーを手動で挿入する必要があります。
追加するポリシーのリスト、およびその挿入場所については、セクション 5.3.4, ドライバ環境設定で必要なポリシーを参照してください。
新しい各ポリシーを既存のドライバ環境設定の正しい場所に挿入します。
ポリシーセットに複数のポリシーがある場合、これらのIdentity Managerのパスワード同期のポリシーが最後に表示されるようにしてください。
ポリシーごとに、次の手順を繰り返します。
[
]>[Identity Managerの概要]の順に選択し、更新するドライバが含まれているドライバセットを検索します。(AvayaPBXなどの)更新したドライバをクリックします。
新しいポリシーを追加する必要がある場所のアイコン(発行者チャネルの[コマンド変換ポリシー]など)をクリックします。
[挿入]をクリックし、新しいポリシーを追加します。
[既存のポリシーを使用する]をクリックし、新しいポリシーオブジェクトを参照して[OK]をクリックします。
新しいポリシーでリストに複数のポリシーがある場合、矢印ボタン を使用して、新しいポリシーをリスト内の正しい場所に移動します。
セクション 5.3.4, ドライバ環境設定で必要なポリシーにリスト表示されている順序にポリシーが表示されていることを確認します。
パスワードを同期するオブジェクトクラス(ユーザなど)については、フィルタにnspmDistributionPassword属性があり、次の設定になっていることを確認します。
属性を表示するには、スクロールしてクラス(ユーザなど)を選択し、属性をスクロールする必要があります。
nspmDistributionPasswordが一覧表示されない場合は、次のように操作します。
クラスが選択されていることを確認し、[属性の追加]をクリックします。
nspmDistributionPasswordまでスクロールして選択し、[OK]をクリックします。
nspmDistributionPassword属性が[お知らせ]に設定されているすべてのオブジェクトでは、公開鍵および秘密鍵の属性の両方を[無視]に設定します。
パスワード同期に使用するためにアップグレードする各ドライバで、(「Identity Manager 3の形式にドライバを変換する」の)ステップ 2から、この節(「フィルタ設定の変更」)のステップ 2までを繰り返します。
この時点で、ドライバには、新しいドライバシム、Identity Manager形式、およびその他のパスワード同期をサポートするために必要なドライバ環境設定の要素が設定されます。これらの要素は、ドライバマニフェスト、GCV、パスワード同期化ポリシー、およびフィルタ設定です。
個々のドライバの導入ガイドで、Identity Managerのパスワード同期の設定に関する追加手順または情報について確認してください。「Identity Manager Drivers」を参照してください。
ユニバーサルパスワードが有効なパスワードポリシーを作成し、ユニバーサルパスワードをオンにします。
『Password Management Administration Guide』の「Creating Password Policies」を参照してください。NetWare 6.5でユニバーサルパスワードを以前使用したことがある場合は、『Password Management Administration Guide』の「(NetWare 6.5 Only) Re-Creating Universal Password Assignments」で説明されている追加手順を参照してください。
パスワードポリシーは、ツリーのできるだけ上位のレベルに割り当てることをお勧めします。
[環境設定オプション]ページには、NMASが同期された異なる種類のパスワードをどのように保持するのかを選択するオプションがあります。ほとんどの実装では、デフォルト設定で動作します。詳細については、そのページのオンラインヘルプを参照してください。
パスワード同期の使用のシナリオ、およびパスワードポリシーの適用方法については、セクション 5.8, パスワード同期の実装を参照してください。
NMASのパスワードポリシーはツリー中心で割り当てられます。一方、パスワード同期はドライバごとに設定されます。サーバごとにドライバがインストールされ、ドライバはマスタレプリカまたは読み書き可能レプリカのユーザのみ管理できます。
パスワード同期により期待される結果を取得するには、パスワード同期を実行するサーバにあるマスタレプリカまたは読み書き可能レプリカのコンテナが、ユニバーサルパスワードが有効なパスワードポリシーを割り当てたコンテナと一致するようにします。パーティションルートコンテナにパスワードポリシーを割り当てることによって、そのコンテナとサブコンテナ内のすべてのユーザに確実にパスワードポリシーが割り当てられます。
パスワードフローが各接続システムに対して希望する方法で設定されていることを確認します。
iManagerで、[パスワード]>[パスワード同期]の順に選択します。
管理する接続システム用のドライバのツリーまたはコンテナを検索します。
ドライバを選択し、パスワードフローの現在の設定を表示します。
このページに、グローバル構成値(GCV)が一覧表示されます。オプションを選択して変更します。
Identity Managerはエントリポイント、つまりどのパスワードをIdentity Managerが更新するかを制御します。NMASは、[環境設定オプション]で設定したオプションに基づいて、それぞれの異なる種類のパスワード間でのパスワードのフローを制御します(ステップ 3に[環境設定オプション]ページが示されています)。[パスワード同期に配布パスワードを使用する]を選択した場合、Identity Managerでは配布パスワードが直接使用されます。このオプションをオフにした場合、Identity Managerではユニバーサルパスワードが直接使用されます。
(図を含む)これらのオプションの詳細については、セクション 5.8, パスワード同期の実装を参照してください。オンラインヘルプも参照してください。
パスワード同期をテストします。
Identity Managerのパスワードが指定したシステムに配布されることを確認します。
指定した接続システムがIdentity Managerにパスワードを公開しているかを確認します。
トラブルシューティングのヒントについては、セクション 5.8, パスワード同期の実装を参照してください。