16.4.3. ステップ 3: 同期 ID を選択または作成
Windows 同期の設定に使用するユーザーは 2 つあります。
- 同期合意で指定された AD ユーザー。同期合意で指定されたユーザーは、Directory Server が AD にバインドして更新の送受信を行うエンティティーです。AD ユーザーは Domain Admins グループのメンバーであるか、同等の権限を持っている必要があります。また、ディレクトリーの変更を複製する権限が必要になります。AD でユーザーを追加し、権限を設定する方法は、Microsoft のドキュメントを参照してください。
- Password Sync サービスで指定される Directory Server ユーザー。Password Sync サービスで参照されるユーザーは、同期サブツリー内のすべてのエントリーに対する読み取りおよび書き込みパーミッションを持っている必要があります。また、Password Sync がパスワード変更を更新できるように、Directory Server のパスワード属性への書き込みアクセス権が必要です。
注記
同期合意(サプライヤー DN)にユーザーが AD サーバーに存在する。Password Sync 設定にユーザーが Directory Server に存在する。
Directory Server で同期ユーザーを作成するには、以下を実行します。
- パスワードで cn=sync user,cn=config などの新規エントリーを作成します。以下に例を示します。
# ldapmodify
-a
-D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: cn=sync user,cn=config changetype: add objectClass: inetorgperson objectClass: person objectClass: top cn: sync user sn: SU userPassword: secret passwordExpirationTime: 20380119031407Z - ユーザーパスワードの比較および書き込みのために同期ユーザーにアクセスを付与する ACI を設定します。ACI は、同期するサブツリーの上部に設定する必要があります。以下に例を示します。
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: ou=people,dc=example,dc=com changetype: modify add: aci aci: (targetattr="userPassword")(version 3.0;acl "password sync";allow (write,compare) userdn="ldap:///cn=sync user,cn=config";)
セキュリティー上の理由から、Password Sync ユーザーは Directory Manager ではなく、同期されたサブツリーに含めることはできません。