ディレクトリの同期を有効にしたディレクトリアシスタント文書を作成する
ディレクトリの同期を設定する最初のステップは、ディレクトリアシスタントデータベースでディレクトリの同期を有効にしたディレクトリアシスタント文書を作成することです。
始める前に
このタスクについて
手順
- ldpsearch クライアントやその他のツールを使用して、HCL Domino® サーバーが Active Directory サーバーに接続できることをテストします。
- Domino® Administrator で、 を選択して、ドメインの Domino® のシステム管理サーバーを開きます。「OK」をクリックします。
- [設定] タブをクリックします。
-
ナビゲーション・ペインで
Server Error: File does not exist
」というメッセージが表示された場合は、システム管理サーバーがディレクトリアシスタントデータベースを使用するように設定されていません。 を展開します。「 - [ディレクトリアシスタントの追加] をクリックします。
-
[基本] タブで、以下のフィールドに入力します。
表 1. [基本] タブ フィールド
Enter
ドメインタイプ
[LDAP] を選択します。
ドメイン名
[ディレクトリアシスタント] データベース内の他のディレクトリアシスタント文書 (HCL Notes® または LDAP) に対して指定されているドメイン名と異なるドメイン名を選択します。例: Renovations AD
このドメインを利用可能にする先
[ディレクトリ同期] を選択します。注: [Notes クライアントとインターネットの認証/許可] または [LDAP クライアント] は、それらの目的のために LDAP ディレクトリも使用する場合以外は選択しないでください。グループの許可
Select No.
有効
Select Yes
注: ディレクトリアシスタントデータベースのデータベースメインビューから、このディレクトリに対してディレクトリアシスタントを有効または無効にすることもできます。ディレクトリに対するディレクトリアシスタントレコードを選択し、ツールバーで [有効] または [無効] をクリックします。 -
(任意) [名前付けのコンテキスト (ルール)] タブで、ディレクトリに対して定義する各規則について、次のフィールドに必要な情報を設定します。命名規則の詳細については、「ディレクトリアシスタントおよび命名規則」を参照してください。
表 2. [名前付けのコンテキスト (ルール)] タブ フィールド
Enter
N.C #
LDAP ディレクトリにあるユーザー名を表す命名コンテキスト (規則) を入力します。
有効
新しく作成したグループのオプションとして、
- 規則を使用可能にする場合は、[はい]
- 規則を使用不可にする場合は、[いいえ] (デフォルト)
資格情報を信用
新しく作成したグループのオプションとして、
- 規則に対応する識別名を LDAP ディレクトリに持つインターネットクライアントの認証で、この LDAP ディレクトリにある資格情報をサーバーが使用できるようにする場合は、[はい]。Active Directory のユーザーまたはグループを HTTP でアクセスする Notes データベースの ACL に追加する場合は、[はい] を選択します。
- 規則に対応する識別名を LDAP ディレクトリに持つインターネットクライアントの認証で、サーバーがこのディレクトリを使用しないようにする場合は、[いいえ] (デフォルト)。
-
[LDAP] タブで、以下のフィールドに入力します。
表 3. [LDAP] タブ フィールド
Enter
LDAP 設定セクション ホスト名
Active Directory サーバーのホスト名 (例: ad.renovations.com)。Domino® サーバーは、このホスト名を使用してディレクトリサーバーに接続します。
DNS に登録されている LDAP サーバーのホスト名を検索するには、[候補] をクリックします。
ホスト名がアクティブな LDAP サーバーのものであることを確認するには、[確認] をクリックします。注: 1 つのホスト名のみを指定できます。このフィールドに入力するポートの値は、[ポート] フィールドに指定された値を上書きします。このフィールドにポートを指定しないと、[ポート] フィールドに指定された値が使用されます。
LDAP ベンダー [Active Directory] を選択します。
検索する場合の認証資格情報 (オプション)
Domino サーバーが Active Directory サーバーに接続するときに提示する Domino® サーバー用のユーザー名とパスワードを、[認証資格情報 (オプション)] セクションで入力します。Active Directory サーバーはこの名前とパスワードを使用して、Domino® サーバーを認証します。名前とパスワードを指定しない場合、Domino® サーバーは匿名ユーザーとして接続しようとします。
入力したユーザー名とパスワードが各ホスト名で有効であることを確認するには、[確認] をクリックします。
この設定は、LDAP サーバーの変更の検出に影響を及ぼすことがあります。
検索するベース DN
検索の基本条件 (LDAP ディレクトリサーバーで必要な場合)。例:
o=Renovations
o=Renovations,c=US
適切な検索ベースで各ホスト名を検索するには、[候補] をクリックします。
設定した資格情報を使用してその検索ベースが各ホスト名にアクセスできることを確認するには、[確認] をクリックします。
この設定は、LDAP サーバーの変更の検出に影響を及ぼすことがあります。
接続設定セクション チャネルの暗号化
新しく作成したグループのオプションとして、
- サーバーが Active Directory サーバーに接続するときに TLS を使用する場合は、TLS (デフォルト) Domino®
- TLS が使用されないようにする場合は、[なし]。
[TLS] を選択した場合は、以下の関連フィールドで適切な値を選択します。
- 期限切れの TLS 証明書を受け入れる
- TLS プロトコルバージョン
- リモートサーバーの認証を使ったサーバー名の確認
ポート
Domino® サーバーが Active Directory サーバーに接続するときに使用するポート番号。
- [チャネルの暗号化] フィールドで [TLS] を選択した場合、デフォルト・ポートは 636。
- [チャネルの暗号化] フィールドで [なし] を選択した場合、デフォルトポートは 389。
ディレクトリサーバーがどちらのデフォルトポートも使用しない場合は、別のポート番号を手動で入力します。
[詳細オプション] セクション タイムアウト
ディレクトリの検索時間として許容される最大秒数。デフォルトは 60 秒です。
Active Directory サーバーにもタイムアウト値が設定されている場合は、小さい方の値が優先されます。
検索結果の最大数
Domino® サーバーが検索する名前について Active Directory サーバーが返すことのできる検索結果の最大数。ディレクトリサーバーにも最大数が設定されている場合は、小さい方の値が優先されます。ディレクトリサーバーがタイムアウトになると、その時点までに見つかった名前の数が返されます。
デフォルト値は 100 です。
検索で別名を逆参照する
ディレクトリの検索中に別名の逆参照を行う範囲を制御するには、次のいずれかを選択します。
- アクセスなし
- 下位のエントリのみ
- 検索ベースのエントリのみ
- 常時 (デフォルト)
ディレクトリで別名を使用しない場合は、[なし] を選択すると、検索のパフォーマンスが向上します。
優先するメール形式
[インターネットメールアドレス] を選択します。 名前のマッピングを有効にする 選択しない。 使用する検索フィルタの種類
[Active Directory] を選択します。
- [保存して閉じる] をクリックします。
-
Domino® のシステム管理サーバーのサーバーコンソールで次のコマンドを実行して、ディレクトリアシスタント文書のディレクトリ同期設定が正しく行われていることを確認します。
show xdir
コンソールの出力の SYNC の文字列は、以下の例のように表示されます。