8.4. Active Directory と Directory Server 間で同期されるスキーマ要素
Directory Server または Windows サーバーで開始されるかどうかに関わらず、Directory Server のすべての同期済みエントリーには、以下のような特別な同期属性があります。
ntUniqueId対応する Windows エントリーのobjectGUID属性の値が含まれます。この属性は同期プロセスで設定され、手動で設定または変更しないでください。ntUserDeleteAccountWindows エントリーが同期されても、Directory Server エントリーに対して手動で設定する必要がある場合に自動的に設定されます。ntUserDeleteAccountの値が true であれば、Directory Server エントリーが削除されると、対応する Windows エントリーが削除されます。ntDomainUserActive Directory エントリーのsamAccountName属性に対応します。ユーザーエントリーのみ。ntGroupType同期される Windows グループには自動的に設定されますが、同期する前に Directory Server エントリーに手動で設定する必要があります。グループエントリーのみ。
事前定義済みの属性のリストは、Directory Server と Active Directory エントリーの間で同期されます。Directory Server の
givenName 属性と Active Directory の givenName 属性が一致するように、これらの属性の一部は同じです。Active Directory と Red Hat Directory Server で定義されたスキーマは若干異なるため、Active Directory と Red Hat Directory Server との間で他の属性はマッピングされます。これらのほとんどは、Directory Server の Windows 固有の属性です。
8.4.1. Directory Server と Active Directory 間で同期されるユーザー属性
Directory Server 属性および Active Directory 属性のサブセットのみが同期されます。これらの属性はハードコーディングされ、エントリーが同期される方法に関係なく定義されます。Directory Server または Active Directory のいずれかにあるエントリーにあるその他の属性は、同期の影響を受けないままになります。
Directory Server および Active Directory で使用される属性の一部は同一です。これは通常、すべての LDAP サービスに共通する LDAP 標準で定義された属性です。これらの属性は、相互に正確に同期されます。表8.2「Directory Server および Windows サーバーで同一のユーザースキーマ」は、Directory Server と Windows サーバーとの間で同じ属性を示しています。
同じ情報を定義する属性もありますが、属性やスキーマ定義の名前が異なります。これらの属性は Active Directory と Directory Server の間でマッピングされるため、1 つのサーバーの属性 A がもう 1 つのサーバーの属性 B として扱われます。同期の場合、これらの属性の多くは Windows 固有の情報に関連します。表8.1「Directory Server と Active Directory との間でマッピングされるユーザースキーマ」は、Directory Server と Windows サーバーとの間で同じ属性を示しています。
Directory Server および Active Directory が一部のスキーマ要素を処理する方法の違いについての詳細は、「Red Hat Directory Server と Active Directory との間のユーザースキーマの相違点」 を参照してください。
| Directory Server | Active Directory |
|---|---|
| cn | name |
| ntUserDomainId | sAMAccountName |
| ntUserHomeDir | homeDirectory |
| ntUserScriptPath | scriptPath |
| ntUserLastLogon | lastLogon |
| ntUserLastLogoff | lastLogoff |
| ntUserAcctExpires | accountExpires |
| ntUserCodePage | codePage |
| ntUserLogonHours | logonHours |
| ntUserMaxStorage | maxStorage |
| ntUserProfile | profilePath |
| ntUserParms | userParameters |
| ntUserWorkstations | userWorkstations |
| cn | physicalDeliveryOfficeName |
| description | postOfficeBox |
| destinationIndicator | postalAddress |
| facsimileTelephoneNumber | postalCode |
| givenName | registeredAddress |
| homePhone | sn |
| homePostalAddress | st |
| initials | street |
| l | telephoneNumber |
| teletexTerminalIdentifier | |
| manager | telexNumber |
| mobile | title |
| o | userCertificate |
| ou | x121Address |
| pager |
8.4.2. Red Hat Directory Server と Active Directory との間のユーザースキーマの相違点
Active Directory は Directory Server と同じ基本的な X.500 オブジェクトクラスをサポートしますが、管理者が認識すべき非互換性がいくつかあります。
8.4.2.1. cn 属性の値
Directory Server では、
cn 属性に複数の値を指定できますが、Active Directory ではこの属性に単一の値しか持たせません。Directory Server の cn 属性が同期されると、単一の値のみが Active Directory ピアに送信されます。
これは、同期の意味としては、
cn の値が Active Directory エントリーに追加され、その値が Directory Server の cn の値のいずれでもない場合、Directory Server の cn 値がすべて単一の Active Directory 値で上書きされます。
もう 1 つの重要な相違点として、Active Directory は
cn 属性をその命名属性として使用するのに対し、Directory Server では uid を使用する点があります。つまり、Directory Server で cn 属性が編集されると、エントリーの名前が完全に変更になる可能性があります。この cn の変更が Active Directory エントリーに書き込まれると、エントリーの名前が変更になり、新しい名前付きエントリーが Directory Server に書き込まれます。ただし、cn 属性が同期されている場合のみ発生します。変更が同期されていない場合、エントリーの名前は変更されません。
8.4.2.2. パスワードポリシー
Active Directory と Directory Server の両方は、パスワードの最小長や最大期間などのパスワードポリシーを強制できます。Windows Sync では、ポリシーの一貫性、強制、または同期が保証されません。パスワードポリシーが DirectoryServer と Active Directory の両方で一貫していない場合、一方のシステムで行われたパスワードの変更は、もう一方のシステムに同期されたときに失敗する可能性があります。Directory Server におけるデフォルトのパスワード構文設定は、Active Directory が実施するデフォルトのパスワードの複雑さルールに準拠します。
8.4.2.3. street および streetAddress の値
Active Directory は、ユーザーまたはグループの住所に
streetAddress 属性を使用します。これは、Directory Server が street 属性を使用する方法です。Active Directory および Directory Server が streetAddress 属性および street 属性を使用する方法には 2 つの重要な相違点があります。
- Directory Server では、
streetAddressはstreetのエイリアスです。Active Directory にもstreet属性がありますが、streetAddressのエイリアスではなく、別の属性で個別の値を保持することができます。 - Active Directory は
streetAddressとstreetを単一値の属性として定義しますが、Directory Server は RFC 4519 で指定されるようにstreetを多値属性として定義します。
Directory Server および Active Directory が
streetAddress および street 属性を処理する方法が異なるため、Active Directory および Directory Server で address 属性を設定する際に従う 2 つのルールがあります。
- Windows Sync は、Windows エントリーの
streetAddressを Directory Server のstreetにマッピングします。競合を避けるために、street属性は Active Directory では使用しないようにしてください。 - Directory Server の
street属性値は 1 つだけ Active Directory に同期されます。streetAddress属性が Active Directory で変更され、新しい値が Directory Server に存在しない場合は、Directory Server のすべてのstreet属性値が新しい Active Directory 値に置き換えられます。
8.4.2.4. initials 属性の制約
initials 属性では、Active Directory は最大長 6 文字の制限を課しますが、Directory Server には長さ制限がありません。6 文字を超える initials 属性が Directory Server に追加されると、その値は Active Directory エントリーと同期したときにトリミングされます。
8.4.3. Directory Server と Active Directory 間で同期されたグループ属性
Directory Server 属性および Active Directory 属性のサブセットのみが同期されます。これらの属性はハードコーディングされ、エントリーが同期される方法に関係なく定義されます。Directory Server または Active Directory のいずれかにあるエントリーにあるその他の属性は、同期の影響を受けないままになります。
Directory Server エントリーおよび Active Directory グループエントリーで使用される属性の一部は同一です。これは通常、すべての LDAP サービスに共通する LDAP 標準で定義された属性です。これらの属性は、相互に正確に同期されます。表8.4「Directory Server と Active Directory との間のグループエントリー属性」は、Directory Server と Windows サーバーとの間で同じ属性を示しています。
同じ情報を定義する属性もありますが、属性やスキーマ定義の名前が異なります。これらの属性は Active Directory と Directory Server の間でマッピングされるため、1 つのサーバーの属性 A がもう 1 つのサーバーの属性 B として扱われます。同期の場合、これらの属性の多くは Windows 固有の情報に関連します。表8.3「Directory Server と Active Directory との間のグループエントリー属性のマッピング」は、Directory Server と Windows サーバーとの間で同じ属性を示しています。
Directory Server および Active Directory が一部のスキーマ要素を処理する方法の違いについての詳細は、「Red Hat Directory Server と Active Directory のグループスキーマの相違点」 を参照してください。
| Directory Server | Active Directory | |||
|---|---|---|---|---|
| cn | name | |||
| ntGroupAttributes | groupAttributes | |||
| ntGroupId |
| |||
| ntGroupType | groupType |
| cn | member |
| description | ou |
| l | seeAlso |
8.4.4. Red Hat Directory Server と Active Directory のグループスキーマの相違点
Active Directory は Directory Server と同じ基本的な X.500 オブジェクトクラスをサポートしますが、管理者が認識すべき非互換性がいくつかあります。
ネストされたグループ (グループにメンバーとして別のグループが含まれる) がサポートされ、WinSync であれば同期されます。ただし、Active Directory では、ネストされたグループの設定として特定の制約が適用されます。たとえば、グローバルグループには、ドメインローカルグループがメンバーとして含まれています。Directory Server にはローカルグループとグローバルグループの概念がないため、同期時に Active Directory の制約に違反する Directory Server 側でエントリーを作成できます。
