パスワード同期プロセスのフロー

ここでは、Active Directory の Windows ユーザーの新しいパスワードを、ユーザー文書の HTTP パスワード フィールドと ID ボールトの Notes ID にプッシュする手順を示します。

これは、Active Directory から Domino への一方向のプロセスです。Domino で行われたパスワードの変更を、Active Directory にプッシュすることはできません。

Active Directory ドメイン・コントローラーで行われるステップ

  1. ドメイン・コントローラーで実行されているローカル・セキュリティ機関 (LSA) プロセスが、Windows パスワード変更要求を受け取り、Active Directory で処理します。
  2. LSA は、ドメイン・コントローラーで実行されている Domino パスワード・ライブラリーにユーザー名と新しいパスワードを渡します。
  3. Domino パスワード・ライブラリーは、Active Directory でユーザーの objectGUID 値を検索し、ディレクトリアシスタントを使用して、Domino ディレクトリー内の objectGUID 値を検索します。値が見つからない場合は、処理が停止します。
  4. Domino ディレクトリーに objectGUID 値が見つかった場合、Domino パスワード・ライブラリーは、ローカルのパスワード変更要求データベースに文書を作成します。文書には、安全に保存された objectGUID 値とパスワードが含まれています。
  5. Domino パスワード・ライブラリーは、パスワード変更要求データベース内の新しい要求を定期的にチェックします。要求が見つかると、その要求プロセッサー・サーバーの保存済みリストを検索し、パスワード要求ストレージ・データベースを順次開こうとします。
  6. Domino パスワード・ライブラリーは、ストレージ・データベース内の各要求を要求プロセッサー・サーバー上の要求にコピーします。その後、ローカル・データベースから文書を削除します。要求プロセッサー・サーバーでデータベースを開くことができない場合、新しい文書はローカルのパスワード変更要求データベースに残り、パスワード・ライブラリーは要求の転送を続行します。使用する構成設定文書の [要求の有効期限] フィールドで指定された時間内に要求をコピーできない場合、要求文書は削除されます。

Domino 要求プロセッサーによるステップ

  1. Domino ドメインの要求プロセッサー・サーバーは、パスワード変更要求データベースで未処理の要求を定期的にチェックします。サーバーは、パスワード変更要求を検出すると、要求内の objectGUID 値を使用して、Domino ディレクトリー内のユーザーを検索します。ルックアップが失敗すると、要求文書は削除されます。
  2. 要求プロセッサー・サーバーが HTTP パスワードを同期するように構成されている場合は、管理サーバーの Domino ディレクトリーにあるユーザーのユーザー文書内の HTTP パスワードが変更されます。管理サーバーが使用できない場合、サーバーは定期的に要求の送信を再試行します。使用する構成設定文書の [要求の有効期限] フィールドで指定された時間内に要求を送信できない場合、要求文書は削除されます。HTTP パスワードの変更が失敗した場合、次の手順では Notes ID パスワードは変更されません。
  3. 要求プロセッサー・サーバーが ID ボールト内の Notes ID パスワードを同期するように設定されている場合は、ID ボールトの Notes ID パスワードがリセットされます。Notes ID のパスワード変更が失敗すると、HTTP パスワードの変更がロールバックされます。