7.2 Identity Managerに付属のパスワード同期へのPassword Synchronization 1.0のアップグレード

現在Password Synchronization 1.0を使用している場合は、この節の手順を実行してアップグレードします。

IMPORTANT:こうした手順を確認するまでは、Identity Managerドライバシムをインストールしないでください。

Password Synchronization 1.0からIdentity Managerに付属のパスワード同期へアップグレードする

  1. 現在の環境でユニバーサルパスワードを使用する準備ができていることを確認します。

    Novell Identity Manager 3.0管理ガイド』の「Identity Managerパスワード同期およびユニバーサルパスワードを使用するための準備作業」を参照してください。

    ユニバーサルパスワードを有効にしても、両方のシステムで自動的にパスワードが変更されるわけではありません。ユーザがパスワードを変更した後にのみユニバーサルパスワード同期が機能し始めます。

    シナリオ: ユニバーサルパスワード。 DigitalAirlinesにおいて、ネットワーク管理者Sandyがユニバーサルパスワードを有効にします。ユーザMarkusがログインして自分のパスワードを変更します。Markusのユニバーサルパスワードは、両方のシステムで設定されています。しかし、ユーザMarieはログインしますが、自分のパスワードを変更しません。彼女は、未変更のパスワードを使用して引き続きログインします。Marieのユニバーサルパスワード機能は、彼女が自分のパスワードを変更するまでは設定されません。

  2. Identity Manager 3ドライバシムをインストールし、DirXML® 1.1aドライバシムを置き換えて、すぐにStep 3を実行します。

    NOTE:Identity Manager 2.0を実行しており、ユニバーサルパスワードを使用している場合は、パスワード同期はアップグレードされません。

    Identity Manager 3.0インストールガイド』の「Identity Managerのインストール」の章にある説明に従って、インストールプログラムを使用し、Active Directory用のIdentity Managerドライバだけを選択します。

  3. Password Synchronization 1.0との後方互換性を保つために、ポリシーの追加によるPassword Synchronization 1.0との後方互換性の維持にある説明に従ってドライバ環境設定に新しいポリシーを追加します。

    DirXML 1.1aドライバシムではnadLoginName属性は更新されますが、Identity Managerドライバシムでは更新されません。したがって、ドライバ環境設定にポリシーを追加してnadLoginNameを更新する必要があります。これにより、ドライバシムをインストールするとPassword Synchronization 1.0が通常通り機能できるので、Identity Managerパスワード同期の展開を終了するときのパスワードの変更は免れません。

    IMPORTANT:後方互換性を保たない場合は、Password Synchronization 1.0で引き続き既存のユーザが更新されますが、Identity Managerパスワード同期を展開するまで新規ユーザおよびリネームされたユーザを同期することはできません。

    このステップを完了したら、Identity Manager 3.0のドライバシムおよび後方互換性を保つためのポリシーが得られます。したがって、使用するドライバはPassword Synchronization 1.0をサポートしています。

    この手順の残りをすぐに完了できない場合は、Identity Managerパスワード同期の展開を終了する準備ができるまで、引き続きPassword Synchronization 1.0を使用できます。

  4. パスワード同期に使用する各ドライバにIdentity Managerパスワード同期のサポートを追加します。

    既存の環境設定をアップグレードするか、既存の環境設定を置き換えます。

    既存の環境設定をアップグレード: 既存のDirXML 1.1aドライバ環境設定をアップグレードするには、それをIdentity Manager形式に変換して、Identity Managerパスワード同期に必要なポリシーを追加します。

    既存の環境設定をIdentity Manager環境設定に置き換えて、もう一度後方互換性を追加: Identity Managerサンプルドライバ環境設定には、Identity Managerパスワード同期をサポートするポリシー、ドライバマニフェスト、GCV、およびフィルタ設定が含まれています。新しいドライバ環境設定のインポートに関については、このドライバガイドのSection 4.0, Active Directoryドライバの設定の手順を参照してください。

    • 既存の環境設定を置き換えることにする場合は、ポリシーの追加によるPassword Synchronization 1.0との後方互換性の維持にある説明に従って、必ずもう一度後方互換性を追加します。Identity Managerサンプルドライバ環境設定には、そうしたポリシーは含まれていません。
    • nadLoginName属性は、以前のドライバ環境設定にあったので、その属性が[発行]に設定されていることを確認します。

  5. 新しいパスワード同期フィルタをインストールし、接続システムでIdentity Managerへのユーザパスワードを設定する場合は、それらのフィルタを設定します。

    Section 7.5, パスワード同期のフィルタの設定を参照してください。

  6. 必要に応じてSSLを設定します。

    手順については、Section 2.3, セキュリティ問題の対処を参照してください。

    Active Directory (購読者チャネル)でパスワードを設定するドライバの機能には、次のいずれかの条件に基づいて提供される安全な接続が必要です。

    • ドライバを実行するコンピュータがドメインコントローラと同じコンピュータである。
    • ドライバを実行するコンピュータがドメインコントローラと同じドメインにある。
    • 同じドメインにないコンピュータの場合は、そのコンピュータとドメインコントローラの間で[シンプル]方式およびSSLを設定する必要があります。双方向のパスワード同期機能は、[ネゴシエーション]認証メカニズムを採用する場合に限り使用できます。

      手順については、Microsoftのマニュアル(『Configuring Digital Certificates on Domain Controllers』など)を参照してください。

  7. アイデンティティボールトユーザアカウントのユニバーサルパスワードをオンにするには、ユニバーサルパスワードが有効なパスワードポリシーを作成します。

    Novell Identity Manager 3.0管理ガイド』の「パスワード同期の管理」を参照してください。

    管理を簡素化するには、パスワードポリシーをツリーのできるだけ上位のレベルに割り当てることをお勧めします。

  8. ドライバ向けのパスワードポリシーとパスワード同期の設定を使用して、パスワード同期に使用するシナリオを準備します。

    Novell Identity Manager 3.0管理ガイド』の「パスワード同期の実装」を参照してください。

  9. パスワード同期をテストします。

  10. Identity Managerパスワード同期が正常に機能したら、Password Synchronization 1.0を削除します。

    1. [プログラムの追加と削除]を使用して、エージェントを削除すると、Password Synchronization 1.0が無効になります。

    2. ドライバのフィルタで、nadLoginName属性を[無視]に変更します。

    3. ドライバ環境設定のnadLoginNameを更新している後方互換性ポリシーを削除します。

    4. Identity Managerパスワード同期が正常に機能したら、nadLoginName属性は不要になるため、必要に応じてユーザからこの属性を削除することもできます。

7.2.1 ポリシーの追加によるPassword Synchronization 1.0との後方互換性の維持

Password Synchronization 1.0では、nadLoginNameという名前の属性を更新するドライバシムを利用しています。この属性は、ユーザのパスワードを同期する必要があるかどうかを示します。新規ユーザが追加された場合やユーザの名前が変更された場合、nadLoginName属性は追加されるか、一致するよう更新されていました。

Identity Managerのドライバシムでは、この属性がIdentity Managerパスワード同期に不要なため、この属性は更新されなくなりました。したがって、新しいドライバシムをインストールしても、nadLoginName属性は更新されていません。つまり、Password Synchronization 1.0では、新規ユーザまたは名前が変更されたユーザの通知を受け取らなくなったということです。ただし、現在のドライバ環境設定に後方互換性を追加する場合は除きます。

Password Synchronization 1.0からIdentity Managerパスワード同期へスムーズに移行するために、Password Synchronization 1.0との後方互換性が必要です。

Password Synchronization 1.0との後方互換性を維持するには、nadLoginName属性を更新するポリシーを追加する必要があります。

既存のドライバ環境設定を更新しているか、そうした設定をIdentity Managerに付属の新しい環境設定に置き換えているかにかかわらず、こうしたポリシーを追加する必要があります。Active DirectoryのIdentity Managerサンプルドライバ環境設定には、デフォルトではポリシーが含まれていません。

購読者出力変換、発行者入力変換、および発行者コマンド変換にそれぞれ1つずつ、3つのポリシーが必要です。これらのポリシーは、Password Synchronization 1.0 Policies for Active Directoryという名前の環境設定ファイルで、Identity Managerに付属しています。次の手順は、新しいポリシーをインポートしてそれをドライバ環境設定に追加する方法を示しています。

  1. iManagerで、[Identity Managerユーティリティ]>[ドライバのインポート]の順にクリックします。

    ドライバインポートウィザードが開きます。

  2. 既存のActive Directoryドライバの存在するドライバセットを選択し、[次へ]をクリックします。

  3. 表示されるドライバ環境設定のリストで、[その他のポリシー]セクションまでスクロールし、[レガシパスワード同期1.0のポリシー: ADおよびNTの下位互換性]を選択して、[次へ]をクリックします。

  4. インポートプロンプトに対して次の操作を実行します。

    1. 既存のActive Directoryドライバを選択します。

      既存のドライバを選択すると、必要な3つのポリシーを追加できます。インポートプロセスでは、3つの新しいポリシーオブジェクトが作成されます。次に、それらをドライバ環境設定の適切な場所に挿入する必要があります。

    2. ドライバがActive Directoryドライバであるかどうか指定します。

      インポートされるポリシーは、選択されるシステムによって少し異なります。

    3. 更新するドライバに関連付けられているnadDomainオブジェクトを参照して選択します。

      このオブジェクトは、通常ドライバオブジェクトの下にあります。

    4. (Active Directoryのみ) Active Directory属性sAMAccountNameにマッピングされるeDirectory™属性の名前を指定します。

      この情報は、ドライバ環境設定内のスキーママッピングポリシーにあります。

      NOTE:sAMAccountNameがeDirectory属性にマッピングされていない場合は、sAMAccountNameをDirXML-ADAlias名にマッピングします。

  5. [次へ]をクリックします。

    既存のドライバを選択したため、ドライバの更新方法を決定するよう要求するページが表示されます。この場合は、選択したポリシーの更新を求めるだけです。

  6. [該当ドライバで選択したポリシーのみを更新]を選択して、表示される3つのポリシーすべてのチェックボックスをオンにします。

  7. [次へ]をクリックし、[終了]をクリックしてウィザードを完了します。

    この時点では、新しい3つのポリシーはドライバオブジェクトの下のポリシーオブジェクトとして作成されていますが、ドライバ環境設定の一部にはなっていません。環境設定にリンクさせるには、発行者および購読者チャネルのドライバ環境設定の右側のポイントに、各ポリシーを手動で挿入する必要があります。

  8. 新しい3つのポリシーをそれぞれ既存のドライバ環境設定の正しい場所に挿入します。

    ドライバ環境設定のこのいずれかの部分に複数のポリシーがある場合、これらの新しいポリシーが最後に表示されるようにしてください。

    Table 7-2 ポリシー

    ポリシーオブジェクト名

    挿入場所

    PassSync(Pub)-コマンド変換ポリシー

    発行者チャネルでのコマンド変換ポリシー

    PassSync(Pub)-入力変換ポリシー

    発行者チャネルでの入力変換ポリシー

    PassSync(Sub)-出力変換ポリシー

    購読者チャネルでの出力変換ポリシー

    ポリシーごとに、ステップ8a~8fを繰り返します。

    1. Identity Manager]>[Identity Managerの概要]の順にクリックします。

    2. 更新しているドライバのドライバセットを選択します。

    3. 更新したドライバをクリックします。

      ページが開いて、ドライバ環境設定がグラフィカル表示されます。

    4. 新しい3つのポリシーのいずれかを追加する必要がある場所のアイコンをクリックします。

    5. [挿入]をクリックし、新しいポリシーを追加します。

      表示される[挿入]ページで、[既存のポリシーを使用する]をクリックし、新しいポリシーオブジェクトを参照して、[OK]をクリックします。

    6. 新しい3つのポリシーのいずれかのリストに複数のポリシーがある場合は、矢印ボタン上矢印アイコン 下矢印アイコンを使用して、新しいポリシーをリストの最後になるように下に移動します。

  9. Active Directoryドライバのすべてに対してステップ1~9を繰り返します。

sAMAccountNameを発行者チャネルスキーママッピングポリシーのDirXML-ADAliasNameにマッピングする必要がある場合は、この手順に従ってください。

WARNING:sAMAccountNameが別の属性にマッピングされている場合、この手順に従うと、現在のポリシーが無効になります。ポリシーによるパスワードの同期が中止されます。Step 4.dで適切な属性を確実に入力してください。

  1. iManagerで、[Identity Manager]>[Identity Managerの概要]の順に選択します。

  2. Active Directoryドライバを含むドライバセットオブジェクトを参照して選択し、[検索]をクリックします。

  3. ドライバアイコンをクリックして、発行者チャネルの[スキーママッピングポリシー]アイコンをクリックします。

  4. 編集]をクリックします。

  5. ユーザクラスを選択して、[属性]をクリックします。

  6. [eDirectory属性]の下のドロップダウンリストをクリックし、DirXML-ADAliasNameを参照して選択します。

  7. [アプリケーション属性]の下のドロップダウンリストをクリックし、sAMAccountNameを参照して選択します。

  8. [追加]をクリックし、[OK]をクリックします。

  9. グループクラスを選択して、[属性]をクリックします。

  10. グループクラスに対してステップ6~8を繰り返します。

  11. OK]を2回クリックします。

この手順を完了すると、Active Directoryドライバのドライバ環境設定のPassword Synchronization 1.0との後方互換性が保たれます。つまり、引き続きパスワード同期が以前と同様に機能するため、都合のよいときにIdentity Managerパスワード同期にアップグレードできるということです。