アカウント » アカウント設定 » Active Directoryにあるオプションを使って、MDaemonは、Active Directoryを監視し、関連付けられたMDaemonアカウントの作成や編集、削除、無効といった処理を自動で行う事ができます。更に、パブリック連絡先情報は最新のActive Directoryへ保存された情報を元に更新されます。Active Directoryで変更されたアカウントの住所や電話番号、連絡先情報などのフィールドは、パブリック連絡先として更新され保持されます。
アカウント作成
Active Directoryを監視するように設定すると、MDaemonは指定された間隔でActive Directoryの変更をチェックし、新規のActive Directoryアカウントが作成されると同時に、MDaemonにも新しいアカウントを作成します。このMDaemonで作成される新しいアカウントには、Active Directoryでのフルネーム、ログオン、メールボックス、説明、有効/無効などの設定がそのまま引き継がれます。
デフォルトでは、Active Directoryの監視により作成された新しいMDaemonアカウントは、MDaemonのデフォルトドメインに追加されます。あるいは、"UserPrincipalName"というActive Directory属性に含まれるドメインに追加することも可能です。このオプションを使用する場合、アカウントがまだMDaemonに存在しないドメインを要求した場合、自動的に新しい ドメイン が作成されます。
Active Directoryのグループを検索フィルタ で監視する事もでき、グループへ追加されたユーザーやユーザーに関連付けられたグループがあった場合、MDaemonでは新規ユーザーを作成します。グループからユーザーを削除した場合は、MDaemon上で対象アカウントを(削除ではなく)無効化します。
アカウント削除
Active Directoryからアカウントが削除された場合、以下のアクションを行うようにMDaemonを設定することができます。[何もしない]、[関連するMDaemonアカウントを削除する]、[関連するMDaemonアカウントを無効にする]、[関連するMDaemonアカウントをフリーズする(アカウントでのメールの受信は行われるが、ユーザは収集とアクセスができない)]。
アカウント更新
MDaemonがActive Directoryアカウントでの変更を検知すると、それに関連するMDaemonアカウントのプロパティは自動的に更新されます。
Active DirectoryでのMDaemonとの同期
「すぐに完全なAD同期を実行」オプションを使って、MDaemonにActive Directoryのデータベースをチェックさせ、すぐに変更を同期させる事ができます。その後Active Directoryアカウントに加えられる変更は、自動的にMDaemonアカウントに反映されます。
Active Directory 認証
MDaemonのActive Directory機能によって作成されたアカウントは、デフォルトでActive Directory (AD) 認証を使用します。Active Directory認証を利用すると、MDaemonがアカウントのパスワードを自身のデータベースに持つ必要がなくなります。代わりに、アカウント所有者は自分のWindowsログイン/パスワード証明書を使用し、MDaemonは関連したアカウントの認証をWindowsに渡します。
Active Directory認証を使用するには、Windowsのドメインが、モニタリングされている必要があります。このドメインはMDaemonがアカウントの認証を行う際に使用するWindowsドメインです。多くの場合MDaemonは自動的にこのWindowsドメインを検索し設定します。しかしながら、ここでは異なるドメインや、特定のドメインに制限するのではなくすべてのWindowsドメインを横断的に認証させる"NT_ANY"を設定する事もできます。ここを空白にすると、MDaemonは新しく作成されたアカウントに対してAD認証を行いません。その代わり、ランダムなパスワードが生成され、メールアカウントにアクセスする前に手動でそのパスワードを編集する必要があります。
継続的なモニタリング
Active DirectoryのモニタリングはMDaemonが終了しても継続されます。Active Directoryでのすべての変更は追跡され、MDaemonが再起動した際に処理されます。
Active Directoryのファイルセキュリティ
大きな特徴としてMDaemonのActive Directory機能は、Active Directoryスキーマファイルへ影響を与えません。すべてのモニタリングはActive DirectoryからMDaemonへの一方通行です。MDaemonがディレクトリに変更を加えることはありません。
Active Directoryのテンプレート
Active Directoryの変更によりMDaemonが関連するアカウントの追加や修正を行う際には、Active Directoryテンプレート("/app/ActiveDS.dat")が使用されます。これによりMDaemonのアカウントにActive Directoryの属性がリンクされます。例えば、デフォルトではActive Directoryの"cn"という属性とMDaemonの"FullName"フィールドがリンクされています。しかしこれらのリンクはハードコードされたものではありません。テンプレートはテキストエディタなどで簡単に編集することができ、フィールドの配置も変更することができます。例えば、"FullName=%givenName% %sn%"はデフォルト設定の[FullName=%cn%]の代わりとして使用することができます。詳細に関してはActiveDS.datを参照してください。
パブリックアドレス帳の更新
Active DirectoryモニタリングはActive Directoryを定期的に確認し、全てのパブリック連絡先を最新の状態に保持するのにも使用できます。アカウントの郵便番号や電話番号、会社の連絡先などの一般的なフィールドはパブリック連絡先に生成され、データはActive Directory上で変更が発生する度に更新されます。この機能を有効にする場合は、Active Directory » モニタリングにある"Active Directoryを監視し、パブリックアドレス帳を更新する"を使用して下さい。
この機能により、数々の連絡先情報が監視できます。パブリックアドレス帳フィールドの全部は、ActiveDS.DAT内のActive Directoryの属性に関連付けされます。このファイルにはいくつかの新しいマッピングテンプレートが含まれており、特定の連絡先フィールドとActive Directory属性を紐づけるのに使用できます。(例えば %fullName% をフルネームフィールド、%streetAddress% を番地、といった形です。)
MDaemon はアカウントの特定を行うため、メールアドレスとActive Directory属性とを紐づける必要があります。関連付けされていない場合は、何も行いません。デフォルトで、MDaemonはメールアドレスを、MDaemonが内部でもつデフォルトドメイン用の(ActiveDS.datで定義された)メールボックステンプレートと関連付けしています。ActiveDS.dat の中の"abMappingEmail"のコメントを外し、(例えば %mail%などの)属性とActive Directory属性を関連付けすることもできます。ただし、この値は、ローカルユーザーアカウントとして認識させるために、メールアドレスを含んでいなくてはならない点を注意して下さい。
この機能は存在していない場合は連絡先情報を生成し、存在している場合は既存の連絡先情報をアップデートします。更に、この機能はActive Directory以外で行った変更を上書きしてしまう点を注意して下さい。関連付けされていない連絡先情報はそのまま残されます。最後に、MDaemonアカウントで非表示として設定されていない連絡先情報は作成又はアップデートされます。
参照:
