TeamWARE Office 200X V2.0 管理者ガイド
|
目次
索引
|
L.3 [tximport]コマンドの運用方法
TeamWARE Officeサーバを運用していく上で、LDAPディレクトリから登録したユーザをどう管理していくかにより、[tximport]コマンドの実行形態が異なります。大きな形態として、次の2つがあげられます。
(a)ユーザ/グループ登録をするだけで、LDAPディレクトリとの同期はとらない
(b)ユーザ/グループ登録後、定期的にLDAPディレクトリとの同期を取る
(a)の形態の場合、LDAPディレクトリからユーザ/グループ登録を行い、その後のユーザ/グループ管理は、TeamWARE Directoryで行います。LDAPディレクトリ側でそのユーザ/グループ情報が変更/削除されても、その情報をTeamWARE Directoryには反映しません。[tximport]コマンドは、ユーザ/グループ登録をする目的だけに使用します。
なお、この運用方法は、同期処理を行わないため、識別キーを定義する必要はありません。
(b)の形態の場合、LDAPディレクトリ側のユーザ/グループ情報とTeamWARE Directoryの情報を同一に保ちます。つまり、LDAPディレクトリ側でユーザ/グループの変更/削除があった場合、その情報をTeamWARE Directoryに反映することになります。この運用方法は、識別キーとして値が不変である属性を用意できなければなりません。この運用方法では、定期的に同期処理を行うことにより、TeamWARE Directory側での管理作業が軽減されます。メインのディレクトリをLDAPサーバで運用している場合は、こちらの形態を選択します。
同期処理の方法を、以下に説明します。
◆同期処理
識別キーの定義
LDAPディレクトリ側のユーザ/グループの識別名に変更があった場合、TeamWAREディレクトリ側から見ると、そのユーザ/グループは単に識別名が変更されただけなのか、一度削除され新規に登録されたユーザ/グループなのかの判断がつきません。同期処理を行う上で、一度削除されたユーザだと判断してしまうと、TeamWARE Officeは、そのユーザのメールなどのユーザ資源を削除してしまいます。
そこで、LDAPディレクトリとの同期を取るには、LDAPディレクトリ側のエントリのある属性値を不変なものとして定義する必要があります。そのため、識別名が変更になっても変わらない値が必要です。識別キーには、LoginIDや従業員番号など、ユニーク性を保証できる属性を定義してください。
[tximport]コマンドでは、それを識別キーとしてユーザ/グループ情報に変更があったかどうかを判断します。
同期処理手順
同期処理を行う手順を、以下に示します。
- 同期処理を行うユーザ/グループがTeamWARE Officeサーバ側に存在しなければ、事前にTeamWARE Officeサーバ側に作成しておきます。tximp.ldsファイルがないときに[tximport]コマンドを実行すれば、新規に登録できます。
- コントロールファイルの[*parameters]セクションのid_attrパラメータに、不変値を持つ属性を識別キーとして設定します。
この属性値は、以降、変更しません。
- [tximport]コマンドを-Tパラメータを指定して実行します。
これによりtximp.ldsファイルに検索フィルタで抽出されたLDAPディレクトリ側のユーザ/グループの持つ全属性と値が一覧となって出力されます。このとき、TeamWAREディレクトリへの登録/更新は行われません。
- -Tパラメータを指定しない通常の[tximport]コマンドを実行します。
このとき、[*parameters]セクションのfull_syncパラメータをtrueにします。3で出力されたユーザ/グループ情報がすべてTeamWAREディレクトリへ反映(更新)されます。
ここまでが、最初の同期処理です。2回目以降の同期処理の場合、5の処理から行います。
- [tximport]コマンドを-Tパラメータを指定せずに実行します。このとき、[*parameters]セクションのfull_syncパラメータにfalseを設定します。
3(3回目以降からは6)で出力したユーザ/グループの情報をid_attrパラメータで指定した識別キーを元に比較します。TeamWAREディレクトリ側に存在しないユーザ/グループ(tximp.ldsファイルが作成された後に登録されたユーザ)ならば新規登録、既存のユーザ/グループならば変更のあった属性だけが更新されます。
- 同期処理が正常に終了後、[tximport]コマンドを-Tパラメータを指定して実行し、次回の同期処理のためにtximp.ldsファイルを再作成しておきます。
この5と6の処理は、ペアで実行するようにしてください。以降、5と6の処理を繰り返すことになります。
- 同期処理を行う場合は、対象となるTeamWARE Officeユーザ/グループが存在するロケーションを、コントロールファイルの[*attribute map]セクション内のhier_parent属性に指定するか、[*location map]セクション内に必ず指定してください。ロケーションが獲得できない場合は、同期処理は失敗してしまいます。
- 同期処理は、LDAPサーバ側からTeamWARE Officeに対して行うものです。TeamWARE Office側で同期処理の対象となる属性に対して修正を行いたい場合は、それに相当する修正をLDAPサーバ側で行い、同期処理で修正を反映するようにしてください。LDAPサーバ側で修正せずに、TeamWARE Office側でだけ修正を行った場合、それと同じ属性をLDAPサーバ側が修正していると、同期処理の実施時にLDAPサーバ側の修正内容で上書きされます。また、LDAP側で同じ属性が修正されていなくとも、full_syncパラメータをtrueに設定して同期処理を行うと、以前の内容に戻ってしまいます。運用途中から同期処理を行うことにした場合は、注意してください。
- 運用方法として、階層化組織単位に同期を取った場合(各階層化組織単位でldsファイルを作成する運用の場合)、LDAPサーバ側でその階層化組織をまたがってユーザ/グループの移動があると、同期処理は階層化組織の移動を正しく認識できず、TeamWARE Office側のローカルユーザ/グループを削除してしまいます。
階層化組織単位での同期処理は、行わないようにしてください。
|
Copyright(C) TeamWARE Group Oy 2005 and Fujitsu Limited 2005 and/or their licensors