Active DirectoryとLinuxの認証を統合しよう

第0回 認証統合の概要とSamba

この記事を読むのに必要な時間:およそ 2 分

統合認証の方式

それでは,ADとLinuxを統合して認証するための方式を紹介していきましょう。

pam_krb5によるパスワードの統合

ADの認証は,Kerberosプロトコルにより行われています。このため,ADのドメインコントローラ(DC)は,Kerberosプロトコル的にはKDCとして機能していると言えます。

pam_krb5は,Linuxマシンの認証を外部のKDCにより行えるようにするPAMモジュールです。KDCとしてADのDCを指定することで,Linuxマシンの認証をActive Directoryに統合できます。

図4 pam_krb5によるパスワードの統合

図4 pam_krb5によるパスワードの統合

この方法は手軽である半面,パスワードのみの統合であるため,ユーザの作成/削除自体はLinuxマシンで別途行う必要があります。

SFU(SUA)のNIS機能による認証統合

SFU※2は,Windows Server 2000以降で動作する無償のプロダクトであり,Windows Server 2003 R2以降ではOSに同梱されました。

※2
 Windows Services for UNIX。Windows Server 2008ではSUA(Subsystem for Unix Application)という名称になりましたが,ここではSFUという呼び名をそのまま使います。

SFUの機能の1つにNISサーバ機能があり,ADのDCをUNIX系OSの古いディレクトリサービスであるNISのサーバとして動作させることができます。これにより,認証を統合することが可能です。

図5 NIS機能による認証統合

図5 NIS機能による認証統合

この方法は比較的簡単な設定で実現できますが,NIS自体がセキュリティ機能の欠如により,昨今では過去のものとなりつつあります。こうした状況を考えると,積極的に使用を推奨すべきものではないでしょう。

SFUのUNIX属性によるLDAPを用いた認証統合

ADはLDAPサーバとしても機能します。このため,Linuxマシンの認証を外部のLDAPサーバにより行うように設定を行い,AD側でも適切な設定を行うことで,Linuxマシンの認証をADに統合できます。

図6 SFU+LDAPによる認証統合

図6 SFU+LDAPによる認証統合

これにより,ある程度セキュアな形で認証の統合が可能となります。ただし,pam_ldapやnss_ldapといったLinuxの認証モジュールを適切に設定する必要がある他,LDAP通信のセキュリティを確保するためには,さらにさまざなな設定が必要であり,かなり難易度は高いと言えます。

SambaのWinbind機構による認証統合

SambaはLinuxをWindowsサーバとして機能させるオープンソースのプロダクトです。Sambaを用いることで,LinuxマシンをWindowsマシンと同様の機構でADのメンバサーバとして稼働させることができます。これにより,パスワードの統合が実現します。

さらにWinbind機構を有効化することで,AD上のユーザやグループをLinuxサーバ上で使用することが可能となるため,認証の統合が実現できます。

この方式を行う際は,Sambaの各種パラメータやモジュールの設定を適切に行う必要があります。このため決して容易とは言えませんが,設定がSamba上で閉じている分,前述したLDAPを用いた認証統合よりはわかりやすいでしょう。

図7 Samba+Winbindによる認証統合

図7 Samba+Winbindによる認証統合

まとめ

ここで紹介したした方式のメリット,デメリットを表1に簡単にまとめました。次回からの連載では,これらの方式について具体的な設定方法などを説明していきます。

連携方式の比較

方式 認証統合 Windows追加コンポーネント Linux追加コンポーネント 設定の難易度
pam_krb5 パスワードのみ なし pam_krb5 容易
SFU+NIS 認証統合 SFU(SUA) NIS 中程度
SFU+LDAP 認証統合 SFU(SUA) LDAP 至難
Samba パスワードのみ なし Samba 中程度
Samba+Winbind 認証統合 なし Samba+Winbind 難しい
 設定によってはSFU(SUA)が必要


Active Directoryに関する技術情報:
Microsoft TechNet Active Directory TechCenter
URL:http://technet.microsoft.com/ja-jp/activedirectory/default.aspx
Microsoft Active Directory 機能概要ページ
URL:http://www.microsoft.com/japan/ad/

著者プロフィール

たかはし もとのぶ

大学卒業後,株式会社NTTデータに入社。数年間UNIX上でのプログラム開発に携わった後,クライアント/サーバシステム全般に関する技術支援業務を行う部署に異動し現在に至る。「日本Sambaユーザ会」スタッフなどを務め,オープンソース,Microsoft双方のコミュニティ活動に関わるとともに,各種雑誌への記事執筆や,講演などの活動を行っている。2005年6月には「Sambaのすべて」を出版。