パスワード同期プロセスのフロー
ここでは、Active Directory の Windows ユーザーの新しいパスワードを、ユーザー文書の HTTP パスワード フィールドと ID ボールトの Notes ID にプッシュする手順を示します。
これは、Active Directory から Domino への一方向のプロセスです。Domino で行われたパスワードの変更を、Active Directory にプッシュすることはできません。
Active Directory ドメイン・コントローラーで行われるステップ
- ドメイン・コントローラーで実行されているローカル・セキュリティ機関 (LSA) プロセスが、Windows パスワード変更要求を受け取り、Active Directory で処理します。
- LSA は、ドメイン・コントローラーで実行されている Domino パスワード・ライブラリーにユーザー名と新しいパスワードを渡します。
- Domino パスワード・ライブラリーは、Active Directory でユーザーの objectGUID 値を検索し、ディレクトリアシスタントを使用して、Domino ディレクトリー内の objectGUID 値を検索します。値が見つからない場合は、処理が停止します。
- Domino ディレクトリーに objectGUID 値が見つかった場合、Domino パスワード・ライブラリーは、ローカルのパスワード変更要求データベースに文書を作成します。文書には、安全に保存された objectGUID 値とパスワードが含まれています。
- Domino パスワード・ライブラリーは、パスワード変更要求データベース内の新しい要求を定期的にチェックします。要求が見つかると、その要求プロセッサー・サーバーの保存済みリストを検索し、パスワード要求ストレージ・データベースを順次開こうとします。
- Domino パスワード・ライブラリーは、ストレージ・データベース内の各要求を要求プロセッサー・サーバー上の要求にコピーします。その後、ローカル・データベースから文書を削除します。要求プロセッサー・サーバーでデータベースを開くことができない場合、新しい文書はローカルのパスワード変更要求データベースに残り、パスワード・ライブラリーは要求の転送を続行します。使用する構成設定文書の [要求の有効期限] フィールドで指定された時間内に要求をコピーできない場合、要求文書は削除されます。
Domino 要求プロセッサーによるステップ
- Domino ドメインの要求プロセッサー・サーバーは、パスワード変更要求データベースで未処理の要求を定期的にチェックします。サーバーは、パスワード変更要求を検出すると、要求内の objectGUID 値を使用して、Domino ディレクトリー内のユーザーを検索します。ルックアップが失敗すると、要求文書は削除されます。
- 要求プロセッサー・サーバーが HTTP パスワードを同期するように構成されている場合は、管理サーバーの Domino ディレクトリーにあるユーザーのユーザー文書内の HTTP パスワードが変更されます。管理サーバーが使用できない場合、サーバーは定期的に要求の送信を再試行します。使用する構成設定文書の [要求の有効期限] フィールドで指定された時間内に要求を送信できない場合、要求文書は削除されます。HTTP パスワードの変更が失敗した場合、次の手順では Notes ID パスワードは変更されません。
- 要求プロセッサー・サーバーが ID ボールト内の Notes ID パスワードを同期するように設定されている場合は、ID ボールトの Notes ID パスワードがリセットされます。Notes ID のパスワード変更が失敗すると、HTTP パスワードの変更がロールバックされます。