16.4.7. ステップ 7: 同期合意の作成
同期合意を作成します。
注記
シンプルなパスワード認証(「セキュアなバインドの要求」)にセキュアなバインドが必要な場合は、セキュアな接続で行われる場合を除き、レプリケーション操作は失敗します。セキュアな接続(LDAPS または StartTLS)の使用が推奨されます。
16.4.7.1. コンソールからの同期合意の作成
- Directory Server コンソールで、Configuration タブを選択します。
- 左側のナビゲーションツリーで Replication をクリックし、同期するデータベースを右クリックします。デフォルトのユーザーデータベースは userRoot ですが、Directory Server に新しい接尾辞が追加されるため、追加のデータベースが追加されます。または、データベースを強調表示し、トップツールバーで Object をクリックします。
- メニューから New Windows Synchronization Agreement を選択します。
- 2 つのフィールドに、同期合意の名前と説明を指定します。。
- Windows Sync Server Info ウィンドウで、Windows Domain Information エリアに AD 情報を入力します。
- Windows ドメインの名前。
- 同期するエントリーの種類。ユーザーおよびグループは個別に同期されます。エントリーのタイプを選択すると、Windows サブツリーにあるそのタイプのエントリーがすべて Directory Server に作成されます。
- Windows および Directory Server のサブツリー情報。これは自動的に入力されます。
- ドメインコントローラーのホスト名、IPv4 アドレス、または IPv6 アドレス
- Windows サーバーのポート番号
- 接続タイプを設定します。以下の 3 つのオプションがあります。
- LDAP を使用します。これにより、標準の暗号化されていない接続が設定されます。
- TLS/SSL を使用します。これは、636 などのサーバーのセキュアな LDAPS ポートを介したセキュアな接続を使用します。Directory Server と Windows サーバーの両方が、この接続に対して TLS で実行されるよう適切に設定し、サーバー証明書を信頼するために相互の CA 証明書をインストールする必要があります。
- Start TLS を使用します。Start TLS を使用して、サーバーの標準ポートでセキュアな接続を確立します。通常の TLS と同様に、これらのピアサーバーは相互の証明書を信頼できる必要があります。
セキュリティー上の理由から、TLS または Start TLS のいずれかを使用することが推奨されます。AD は、接続が TLS で保護されない限り、パスワードの同期に TLS または Start TLS が必要です。 - Bind as... および Password フィールドに同期 ID 情報を入力します。このユーザーは AD に存在している必要があります。
- 同期合意を保存します。
注記
デフォルトでは、Windows Synchronization は AD ピアを 5 分ごとにポーリングして変更の有無をチェックします。同期合意の概要では、これは Update Interval として表示されます。更新間隔は、
winSyncInterval
属性を手動で編集することで変更できます。「コマンドラインでの同期合意の追加および編集」 を参照してください。
この合意が完了すると、新しい同期合意が接尾辞の下に一覧表示されます。