15.5.3. ユーザーアカウント属性の同期動作の変更
同期合意が作成されると、同期プロセスでのユーザーアカウント属性の処理方法に関して特定のデフォルト動作が定義されます。動作のタイプには、ロックアウト属性の処理方法や異なる DN 形式の処理方法などが含まれます。この動作は、同期合意を編集することで変更できます。属性関連のパラメーターの一覧は、表15.3「同期属性の設定」にあります。
同期合意は LDAP サーバーの特殊なプラグインエントリーとして存在し、それぞれの属性動作は LDAP 属性から設定されます。同期の動作を変更するには、ldapmodify コマンドを使用して LDAP サーバーのエントリーを直接変更します。
たとえば、デフォルトで IdM と Active Directory との間のアカウントロックアウト属性が同期されますが、
ipaWinSyncAcctDisable 属性を編集すると無効にできます。(この属性を変更すると、Active Directory でアカウントが無効な場合でも、IdM で引き続き有効な状態となり、その逆も同様になります)。
[jsmith@ipaserver ~]$ ldapmodify -x -D "cn=directory manager" -w password dn: cn=ipa-winsync,cn=plugins,cn=config changetype: modify replace: ipaWinSyncAcctDisable ipaWinSyncAcctDisable: none modifying entry "cn=ipa-winsync,cn=plugins,cn=config"
| パラメーター | 説明 | 設定可能な値 |
|---|---|---|
| 一般ユーザーアカウントのパラメーター | ||
| ipaWinSyncNewEntryFilter | 新規ユーザーエントリーに追加するオブジェクトクラスの一覧を含むエントリーの検索に使用する検索フィルターを設定します。 | デフォルトでは (cn=ipaConfig) です。 |
| ipaWinSyncNewUserOCAttr | 新規ユーザーエントリーに追加するオブジェクトクラスの一覧が実際に含まれる設定エントリーの属性を設定します。 | デフォルトは ipauserobjectclasses です。 |
| ipaWinSyncHomeDirAttr | POSIX ホームディレクトリーのデフォルトの場所を含むエントリー内の属性を識別します。 | デフォルトは ipaHomesRootDir です。 |
| ipaWinSyncUserAttr | Active Directory ユーザーを Active Directory ドメインから同期する時に、特定の値で別の属性を設定してAD ユーザーに追加します。複数値の属性の場合は、属性を複数回設定でき、同期プロセスで、値のすべてがエントリーに追加されます。
注記
エントリーに属性が存在しない場合に属性値のみが設定されます。属性が存在する場合は、Active Directory エントリーの同期時にエントリーの値が使用されます。
| ipaWinSyncUserAttr: attributeName attributeValue |
| ipaWinSyncForceSync | 同期できるように、既存の Active Directory ユーザーに一致する既存 IdM ユーザーを自動編集する必要があるかどうかを設定します。IdM ユーザーアカウントに既存の Active Directory の samAccountName と同じ uid パラメーターがある場合に、アカウントはデフォルトでは同期 されません。この属性は、同期サービスに対して、ntUser および ntUserDomainId を IdM ユーザーエントリーに自動的に追加し、同期されるように指示します。 | true | false |
| ユーザーアカウントのロックパラメーター | ||
| ipaWinSyncAcctDisable | アカウントロックアウト属性を同期する方法を設定します。有効にするアカウントロックアウト設定を制御できます。たとえば、to_ad は、アカウントロックアウト属性が IdM に設定される場合に、その値が Active Directory に対して同期され、ローカルの Active Directory 値を上書きすることを意味します。デフォルトでは、アカウントロックアウト属性は両ドメインから同期されます。 |
|
| ipaWinSyncInactivatedFilter | 非アクティブ化された (無効にされた) ユーザーを保持するために使用されるグループの DN 検索用のフィルターを設定します。これは、ほとんどの実装では変更する必要はありません。 | デフォルトは (&(cn=inactivated)(objectclass=groupOfNames)) です。 |
| ipaWinSyncActivatedFilter | アクティブなユーザーを保持するために使用されるグループの DN 検索用のフィルターを設定します。これは、ほとんどの実装では変更する必要はありません。 | デフォルトは (&(cn=activated)(objectclass=groupOfNames)) です。 |
| グループのパラメーター | ||
| ipaWinSyncDefaultGroupAttr | ユーザーのデフォルトグループを確認するために参照する新規ユーザーアカウントの属性を設定します。その後、エントリーのグループ名がユーザーアカウントの gidNumber の検索に使用されます。 | デフォルトは ipaDefaultPrimaryGroup です。 |
| ipaWinSyncDefaultGroupFilter | 検索フィルターを設定して、グループ名を POSIX の gidNumber にマッピングします。 | デフォルトは (&(gidNumber=*)(objectclass=posixGroup)(cn=groupAttr_value)) です。 |
| レルムのパラメーター | ||
| ipaWinSyncRealmAttr | レルムエントリーにレルム名を含む属性を設定します。 | デフォルトは cn です。 |
| ipaWinSyncRealmFilter | IdM レルム名を含むエントリーの検索に使用する検索フィルターを設定します。 | デフォルトは (objectclass=krbRealmContainer) です。 |
