Active DirectoryとLinuxの認証を統合しよう

第0回 認証統合の概要とSamba

この記事を読むのに必要な時間:およそ 2 分

最近の企業ネットワークにおいて,Active Directoryが存在していない環境というのは,まず考えられません。Active Directoryにより,Windowsサーバにアクセスする際のユーザ名やパスワードについての一元管理が実現されます。一般のユーザはあたりまえのように,この恩恵を享受していることが多いと思います。一方,Linuxも企業ネットワークの中で着実に地歩を固めつつあると言えます。結果として,大半の企業ネットワークはWindowsとLinuxの混在環境になっているというのが昨今の実状と思われます。

こうした場合に管理者が直面する課題の1つは,せっかくActive Directory(以下ADと呼びます)によりWindows環境では認証の一元管理が実現しているにもかかわらず,Linuxマシンは個々に認証を行わざるを得ないという点です。

本年第一弾として始まる本連載では,この課題を解決する方法について具体的に解説していく予定です。今回はこれに先立ち,認証統合の概要をざっと見て行きましょう。

認証統合を検討する前に

認証統合にあたっては,幾つか留意すべき点があります。まずはこれを押さえておきましょう。

(1)パスワードの統合と認証統合

一般的にWindows環境で認証を行う場合,ユーザ名とパスワードの情報が必要です。ADとLinuxの認証を統合する場合は,パスワードのみ統合する方式と,ユーザの統合も含めて実現する方法があります。

パスワードのみ統合した場合,ユーザ自体はLinux上で作成しておく必要があります。ただし,そのユーザのパスワードについては,Active Directoryに存在する(通常)同名のユーザのものを用いることになります。

図1

図1

一方,認証統合を行った場合は,Linux上で明示的にユーザの作成や削除を行う必要はなく,ADに存在するユーザは自動的にLinux側で認識される形となります。

図2

図2

(2)クライアントアクセスライセンス(CAL)について

現在,マイクロソフトはサーバに「アクセス」する「デバイス」にはCALが必要であると言っています※1)。そのため,Active DirectoryのDCとして稼働しているWindowsサーバにアクセスするLinuxサーバについても,基本的にCALの対象となります。

※1
 インターネット経由で,かつ認証なしでアクセスする場合のみCALは不要である,というのがマイクロソフトの見解です。詳細は「Windows Server 2003 の価格とライセンス : よく寄せられる質問」「クライアントアクセスライセンス項」を参照してください。

図3 CALが必要なケース

図3 CALが必要なケース

また,「マルチプレキシング」という概念により,間接的にWindowsサーバにアクセスするデバイスやユーザについてもCALの対象となっています。このため,Linuxマシンの認証をADで行う場合,そのLinuxマシンにアクセスするユーザやデバイスにはCALが必要となる点に留意してください。

著者プロフィール

たかはし もとのぶ

大学卒業後,株式会社NTTデータに入社。数年間UNIX上でのプログラム開発に携わった後,クライアント/サーバシステム全般に関する技術支援業務を行う部署に異動し現在に至る。「日本Sambaユーザ会」スタッフなどを務め,オープンソース,Microsoft双方のコミュニティ活動に関わるとともに,各種雑誌への記事執筆や,講演などの活動を行っている。2005年6月には「Sambaのすべて」を出版。

コメント

コメントの記入