6.5.2. ユーザーアカウント属性の同期動作の変更
同期合意が作成されると、同期プロセスでのユーザーアカウント属性の処理方法に関して特定のデフォルト動作が定義されます。動作のタイプには、ロックアウト属性の処理方法や異なる DN 形式の処理方法などが含まれます。この動作は、同期合意を編集することで変更できます。
同期合意は LDAP サーバーの特殊なプラグインエントリーとして存在し、それぞれの属性動作は LDAP 属性から設定されます。同期の動作を変更するには、ldapmodify コマンドを使用して LDAP サーバーエントリーを直接変更します。
たとえば、アカウントのロックアウト属性はデフォルトで IdM と Active Directory の間で同期されますが、これは
ipaWinSyncAcctDisable 属性を編集することで無効にすることができます。(この属性を変更すると、Active Directory でアカウントが無効な場合でも、IdM で引き続き有効な状態となり、その逆も同様になります)。
[jsmith@ipaserver ~]$ ldapmodify -x -D "cn=directory manager" -w password dn: cn=ipa-winsync,cn=plugins,cn=config changetype: modify replace: ipaWinSyncAcctDisable ipaWinSyncAcctDisable: none modifying entry "cn=ipa-winsync,cn=plugins,cn=config"
以下は、同期設定属性の概要です。
一般ユーザーアカウントのパラメーター
ipaWinSyncNewEntryFilter: 新規ユーザーエントリーに追加するオブジェクトクラスの一覧を含むエントリーの検索に使用する検索フィルターを設定します。デフォルト値: (cn=ipaConfig)ipaWinSyncNewUserOCAttr: 新規ユーザーエントリーに追加するオブジェクトクラスの一覧が実際に含まれる設定エントリーの属性を設定します。デフォルト値: ipauserobjectclassesipaWinSyncHomeDirAttr: POSIX ホームディレクトリーのデフォルトの場所を含むエントリー内の属性を識別します。デフォルト値: ipaHomesRootDiripaWinSyncUserAttr: Active Directory ユーザーを Active Directory ドメインから同期する時に、特定の値で別の属性を設定して AD ユーザーに追加します。複数値の属性の場合は、属性を複数回設定でき、同期プロセスで、値のすべてがエントリーに追加されます。例: ipaWinSyncUserAttr: attributeName attributeValue注記エントリーに属性が存在しない場合に属性値のみが設定されます。属性が存在する場合は、Active Directory エントリーの同期時にエントリーの値が使用されます。ipaWinSyncForceSync: 既存の AD ユーザーに一致する既存の IdM ユーザーが強制的に同期されるかどうかを設定します。trueに設定すると、このような IdM ユーザーは自動的に編集され、同期されます。使用できる値:true | falseIdM ユーザーアカウントに既存の Active Directory ユーザーのsAMAccountNameと同じuidパラメーターがある場合、そのアカウントはデフォルトでは 同期されません。この属性は、ntUserおよびntUserDomainIdを IdM ユーザーエントリーに自動的に追加するように同期サービスに指示し、それらを同期できるようにします。
ユーザーアカウントのロックパラメーター
ipaWinSyncAcctDisable: アカウントロックアウト属性を同期する方法を設定します。有効にするアカウントロックアウト設定を制御できます。たとえば、to_ad は、アカウントロックアウト属性が IdM に設定されると、その値が Active Directory に対して同期され、ローカルの Active Directory 値を上書きすることを意味します。デフォルトでは、アカウントロックアウト属性は両方のドメインから同期されます。設定可能な値:both(デフォルト)、to_ad、to_ds、noneipaWinSyncInactivatedFilter: 非アクティブになった (無効になった) ユーザーを保持するために使用されるグループの DN 検索用のフィルターを設定します。これは、ほとんどの実装では変更する必要はありません。デフォルト値: (&(cn=inactivated)(objectclass=groupOfNames))
グループのパラメーター
ipaWinSyncDefaultGroupAttr: ユーザーのデフォルトグループを確認するために参照する新規ユーザーアカウントの属性を設定します。次に、エントリー内のグループ名を使用して、ユーザーアカウントのgidNumberを検索します。デフォルト値: ipaDefaultPrimaryGroupipaWinSyncDefaultGroupFilter: ユーザーのデフォルトグループを確認するために参照する新規ユーザーアカウントの属性を設定します。次に、エントリー内のグループ名を使用して、ユーザーアカウントのgidNumberを検索します。デフォルト値: ipaDefaultPrimaryGroup
レルムのパラメーター
ipaWinSyncRealmAttr: レルムエントリーにレルム名を含む属性を設定します。デフォルト値:cnipaWinSyncRealmFilter: IdM レルム名を含むエントリーの検索に使用する検索フィルターを設定します。デフォルト値: (objectclass=krbRealmContainer)
