最近の企業ネットワークにおいて,Active Directoryが存在していない環境というのは,まず考えられません。Active Directoryにより,Windowsサーバにアクセスする際のユーザ名やパスワードについての一元管理が実現されます。一般のユーザはあたりまえのように,この恩恵を享受していることが多いと思います。一方,Linuxも企業ネットワークの中で着実に地歩を固めつつあると言えます。結果として,大半の企業ネットワークはWindowsとLinuxの混在環境になっているというのが昨今の実状と思われます。
こうした場合に管理者が直面する課題の1つは,せっかくActive Directory(以下ADと呼びます)によりWindows環境では認証の一元管理が実現しているにもかかわらず,Linuxマシンは個々に認証を行わざるを得ないという点です。
本年第一弾として始まる本連載では,この課題を解決する方法について具体的に解説していく予定です。今回はこれに先立ち,認証統合の概要をざっと見て行きましょう。
認証統合を検討する前に
認証統合にあたっては,幾つか留意すべき点があります。まずはこれを押さえておきましょう。
(1)パスワードの統合と認証統合
一般的にWindows環境で認証を行う場合,ユーザ名とパスワードの情報が必要です。ADとLinuxの認証を統合する場合は,パスワードのみ統合する方式と,ユーザの統合も含めて実現する方法があります。
パスワードのみ統合した場合,ユーザ自体はLinux上で作成しておく必要があります。ただし,そのユーザのパスワードについては,Active Directoryに存在する(通常)同名のユーザのものを用いることになります。
図1
一方,認証統合を行った場合は,Linux上で明示的にユーザの作成や削除を行う必要はなく,ADに存在するユーザは自動的にLinux側で認識される形となります。
図2
(2)クライアントアクセスライセンス(CAL)について
現在,マイクロソフトはサーバに「アクセス」する「デバイス」にはCALが必要であると言っています(※1)。そのため,Active DirectoryのDCとして稼働しているWindowsサーバにアクセスするLinuxサーバについても,基本的にCALの対象となります。
- ※1
- インターネット経由で,かつ認証なしでアクセスする場合のみCALは不要である,というのがマイクロソフトの見解です。詳細は「Windows Server 2003 の価格とライセンス : よく寄せられる質問」の「クライアントアクセスライセンス項」を参照してください。
図3 CALが必要なケース
また,「マルチプレキシング」という概念により,間接的にWindowsサーバにアクセスするデバイスやユーザについてもCALの対象となっています。このため,Linuxマシンの認証をADで行う場合,そのLinuxマシンにアクセスするユーザやデバイスにはCALが必要となる点に留意してください。
