15.5.3. ユーザーアカウント属性の同期動作の変更


同期合意が作成されると、同期プロセスでのユーザーアカウント属性の処理方法に関して特定のデフォルト動作が定義されます。動作のタイプには、ロックアウト属性の処理方法や異なる DN 形式の処理方法などが含まれます。この動作は、同期合意を編集することで変更できます。属性関連のパラメーターの一覧は、表15.3「同期属性の設定」にあります。
同期合意は LDAP サーバーの特殊なプラグインエントリーとして存在し、それぞれの属性動作は LDAP 属性から設定されます。同期の動作を変更するには、ldapmodify コマンドを使用して LDAP サーバーのエントリーを直接変更します。
たとえば、デフォルトで IdM と Active Directory との間のアカウントロックアウト属性が同期されますが、ipaWinSyncAcctDisable 属性を編集すると無効にできます。(この属性を変更すると、Active Directory でアカウントが無効な場合でも、IdM で引き続き有効な状態となり、その逆も同様になります)。
[jsmith@ipaserver ~]$ ldapmodify -x -D "cn=directory manager" -w password

dn: cn=ipa-winsync,cn=plugins,cn=config
changetype: modify
replace: ipaWinSyncAcctDisable
ipaWinSyncAcctDisable: none

modifying entry "cn=ipa-winsync,cn=plugins,cn=config"
表15.3 同期属性の設定
パラメーター 説明 設定可能な値
一般ユーザーアカウントのパラメーター 
ipaWinSyncNewEntryFilter 新規ユーザーエントリーに追加するオブジェクトクラスの一覧を含むエントリーの検索に使用する検索フィルターを設定します。 デフォルトでは (cn=ipaConfig) です。
ipaWinSyncNewUserOCAttr 新規ユーザーエントリーに追加するオブジェクトクラスの一覧が実際に含まれる設定エントリーの属性を設定します。 デフォルトは ipauserobjectclasses です。
ipaWinSyncHomeDirAttr POSIX ホームディレクトリーのデフォルトの場所を含むエントリー内の属性を識別します。 デフォルトは ipaHomesRootDir です。
ipaWinSyncUserAttr Active Directory ユーザーを Active Directory ドメインから同期する時に、特定の値で別の属性を設定してAD ユーザーに追加します。複数値の属性の場合は、属性を複数回設定でき、同期プロセスで、値のすべてがエントリーに追加されます。
注記
エントリーに属性が存在しない場合に属性値のみが設定されます。属性が存在する場合は、Active Directory エントリーの同期時にエントリーの値が使用されます。
ipaWinSyncUserAttr: attributeName attributeValue
ipaWinSyncForceSync 同期できるように、既存の Active Directory ユーザーに一致する既存 IdM ユーザーを自動編集する必要があるかどうかを設定します。IdM ユーザーアカウントに既存の Active Directory の samAccountName と同じ uid パラメーターがある場合に、アカウントはデフォルトでは同期 されません。この属性は、同期サービスに対して、ntUser および ntUserDomainId を IdM ユーザーエントリーに自動的に追加し、同期されるように指示します。 true | false
ユーザーアカウントのロックパラメーター 
ipaWinSyncAcctDisable アカウントロックアウト属性を同期する方法を設定します。有効にするアカウントロックアウト設定を制御できます。たとえば、to_ad は、アカウントロックアウト属性が IdM に設定される場合に、その値が Active Directory に対して同期され、ローカルの Active Directory 値を上書きすることを意味します。デフォルトでは、アカウントロックアウト属性は両ドメインから同期されます。
  • both (デフォルト)
  • to_ad
  • to_ds
  • none
ipaWinSyncInactivatedFilter 非アクティブ化された (無効にされた) ユーザーを保持するために使用されるグループの DN 検索用のフィルターを設定します。これは、ほとんどの実装では変更する必要はありません。 デフォルトは (&(cn=inactivated)(objectclass=groupOfNames)) です。
ipaWinSyncActivatedFilter アクティブなユーザーを保持するために使用されるグループの DN 検索用のフィルターを設定します。これは、ほとんどの実装では変更する必要はありません。 デフォルトは (&(cn=activated)(objectclass=groupOfNames)) です。
グループのパラメーター 
ipaWinSyncDefaultGroupAttr ユーザーのデフォルトグループを確認するために参照する新規ユーザーアカウントの属性を設定します。その後、エントリーのグループ名がユーザーアカウントの gidNumber の検索に使用されます。 デフォルトは ipaDefaultPrimaryGroup です。
ipaWinSyncDefaultGroupFilter 検索フィルターを設定して、グループ名を POSIX の gidNumber にマッピングします。 デフォルトは (&(gidNumber=*)(objectclass=posixGroup)(cn=groupAttr_value)) です。
レルムのパラメーター 
ipaWinSyncRealmAttr レルムエントリーにレルム名を含む属性を設定します。 デフォルトは cn です。
ipaWinSyncRealmFilter IdM レルム名を含むエントリーの検索に使用する検索フィルターを設定します。 デフォルトは (objectclass=krbRealmContainer) です。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.