16.9. ユーザーとグループの POSIX 属性の同期
すべての可能なユーザーと属性のサブセットが、Active Directory と Red Hat Directory Server の間で同期されます。一部の属性はマッピングされ、Active Directory と Directory Server スキーマには違いがあり、一部の属性が直接照合されます。同期される属性 (一致およびマップされた)「Directory Server と Active Directory との間で同期されるユーザー属性」および「Directory Server と Active Directory との間で同期されるグループ属性」にリスト表示されます。
デフォルトでは、これらの属性のみが同期されます。
その同期リストにない属性のタイプの 1 つは、POSIX 関連の属性です。Linux システムでは、システムユーザーおよびグループは POSIX エントリーとして識別され、LDAP POSIX 属性に必要な情報が含まれています。しかし、Windows ユーザーが同期すると、Windows アカウントであることを示す
ntUser
属性および ntGroup
属性が自動的に追加されますが、POSIX 属性は同期されず (Active Directory エントリーに存在していても)、Directory Server 側でも POSIX 属性は追加されません。
POSIX Winsync API プラグインは、Active Directory エントリーと Directory Server エントリーとの間で POSIX 属性を同期します。
注記
すべての POSIX 属性 (
uidNumber
、gidNumber
、および homeDirectory
) は、Active Directory エントリーと Directory Server エントリー間で同期されます。ただし、新しい POSIX エントリーまたは POSIX 属性が Directory Server の既存のエントリーに追加されると、POSIX 属性のみが Active Directory に対応するエントリーと同期します。POSIX オブジェクトクラス (ユーザーの場合は posixAccount、グループの場合は posixGroup) は Active Directory エントリーに追加されません。
16.9.1. POSIX 属性同期の有効化
Posix Winsync API プラグインはデフォルトで無効になっており、Active Directory ユーザーおよびグループのエントリーから対応する Directory Server エントリーに同期するように POSIX 属性に対して有効にする必要があります。
Posix Winsync API プラグインを有効にするには、以下を実行します。
- プラグインを有効にします。
# dsconf -D "cn=Directory Manager" ldap://server.example.com plugin "cn=Posix Winsync API,cn=plugins,cn=config" enable
- インスタンスを再起動します。
# dsctl instance_name restart
16.9.2. Posix グループ属性の同期設定の変更
POSIX グループの属性とグループメンバーを Active Directory エントリーから対応する Directory Server のグループエントリーおよびユーザーエントリーに同期する方法を制御するために、複数のプラグイン属性を設定することができます。詳細は、『Red Hat Directory Server の設定、コマンド、およびファイルリファレンス』 の該当するセクションを参照してください。
デフォルト設定はほとんどのデプロイメントに使用できますが、Active Directory 環境に応じて設定を変更できます。たとえば、ネスト化されたグループマッピングを有効にするには、次のコマンドを実行します。
- 以下のコマンドを使用して、ネストされたグループマッピングを有効にします。
# dsconf -D "cn=Directory Manager" ldap://server.example.com plugin posix-winsync set --map-nested-grouping="true"
- Directory Server を再起動して、新しい設定を読み込みます。
# dsctl instance_name restart
16.9.3. posixGroup エントリーの member 属性と uniqueMember 属性の値の不一致の修正
Directory Server および Active Directory (AD) の
posixGroup
エントリーで member
属性値および uniqueMember
属性値が一致しない場合は、dsconf plugin posix-winsync fixup コマンドを使用して問題を修正します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com plugin posix-winsync fixup DN
このコマンドは、Directory Server で
memberUid
の値を再作成し、AD で定義された値に一致するように member
属性値および uniqueMember
属性値を自動的に変更します。
必要に応じて、
-f filter
パラメーターをコマンドに渡して、コマンドが memberUid
属性を修正するエントリーを指定します。フィルターなしでは、コマンドは inetuser、inetadmin、および nsmemberof オブジェクトクラスが含まれるすべてのエントリーで動作します。