インストール時に、ドライバで必要な情報が収集され、デフォルトのセキュリティポリシーとパラメータが作成されます。Active Directoryドライバをカスタマイズするには、次のことに精通している必要があります。
パラメータの連携やオペレーティングシステムとの連動を理解すると、Identity Managerデータ同期のセキュリティへのアプローチを定義できるようになります。
認証ID: ドメインデータにアクセスするためにドライバで使用されるアカウント。
認証コンテキスト: ドメインデータのアクセスに使用されるコンテキスト。
アプリケーションのパスワード: 認証IDアカウントのパスワード。
署名を使用する: このパラメータは、Active DirectoryドライバとActive Directoryの間で使用されますが、メタディレクトリエンジンとリモートローダの間では使用されません。署名により、悪質なコンピュータにデータが傍受されていないことが保障されます。LDAP SSLポートを使用していない場合は、このフラグでActive Directory接続の署名を有効にします。
この設定には、最新のサポートパックを適用したWindows 2003またはWindows 2000、および両方のサーバ上にInternet Explorer 5.5 SP2以降が必要です。この設定により、KerberosまたはNTLM v2の認証された接続での署名が有効になります。
SSLと同様に、このパラメータは最初のインポート時には使用できません。インストールの完了後に、[ドライバパラメータ]ページでこのパラメータを設定します。
封印を使用する: このパラメータは、Active DirectoryドライバとActive Directoryの間で使用されますが、メタディレクトリエンジンとリモートローダの間では使用されません。封印すると、ネットワークモニタで表示できないようにデータが暗号化されます。LDAP SSLポートを使用していない場合は、このフラグでActive Directory接続の封印を有効にします。
この設定には、最新のサポートパックを適用したWindows 2003またはWindows 2000、および両方のサーバ上にInternet Explorer 5.5 SP2以降が必要です。この設定により、KerberosまたはNTLM v2の認証された接続での暗号化が有効になります。
SSLと同様に、このパラメータは最初のインポート時には使用できません。インストールの完了後に、[ドライバパラメータ]ページでこのパラメータを設定します。
SSLの使用: このパラメータは、Active DirectoryドライバとActive Directoryの間で使用されます。LDAP SSLポートを使用してActive Directoryに接続する場合は、このパラメータで暗号化を制御します。このパラメータは、[ネゴシエーション]と[シンプル]の両方の認証方式に適用されます。
デフォルトでは、パラメータは[いいえ]に設定されます。この値を[はい]に設定すると、やりとり全体のSSLパイプが暗号化されます。通常はドライバで機密情報を同期するため、暗号化されたパイプが優先されます。ただし、暗号化するとサーバの全般的なパフォーマンスが低下します。
このパラメータは、ドライバがインポートされた後に[ドライバパラメータ]ページで設定できます。
Table 6-3 推奨される設定
[シンプル]認証ではパスワードがクリアテキストで渡されるため、[シンプル]認証メカニズムを選択した場合は、SSLを使用することをお勧めします。