第1章 Active Directory と Linux 環境の統合方法

IT 環境にはそれぞれの構造があり、IT 環境内のシステムは目的別に配置されます。2 つの別々のインフラストラクチャーを統合するには、それぞれの環境のインフラストラクチャーの目的を判断し、それらがどのように、またどこで相互に作用するかを理解する必要があります。

1.1. Windows 統合の定義

Windows 統合は、Linux 環境と Windows 環境間で必要とされる相互作用により、異なるものになります。個々の Linux システムを Windows ドメインに登録する、Linux ドメインを Windows ドメインのピアに設定する、またはこれらの環境間で情報をコピーする、などが挙げられます。
Windows ドメインと Linux システム間にはいくつかの接点があります。これらの接点では、異なるドメインオブジェクト (ユーザー、グループ、システム、サービス) の識別とその識別に使用されるサービスが主に実行されます。

ユーザー識別子および認証

  • ユーザーアカウントが置かれる場所: Windows (AD ドメイン) 上で実行される中央の認証システムか、または Linux 上で実行される中央のアイデンティティーおよび認証サーバーか?
  • Linux システムのユーザーの認証方法: ローカル Linux 認証システムか、または Window 上で実行される中央認証システムか?
  • ユーザーのグループメンバーシップの設定方法: グループメンバーシップの判別方法は?
  • ユーザーの認証方法: ユーザー名/パスワードのペア、Kerberos チケット、証明書、またはこれらのメソッドの組み合わせが使用されるのか?
  • Linux マシンのサービスへのアクセスに必要な POSIX 属性の保存方法: これらの属性は Windows ドメインで設定されるか、Linux システムでローカルに設定されるか、または動的にマップされるか (UID/GID 番号と Windows SID)?
  • どのユーザーがどのリソースにアクセスするか: Windows で定義されたユーザーは Linux リソースにアクセスできるか? Linux で定義されたユーザーは Windows リソースにアクセスできるか?
ほとんど環境では、Active Directory ドメインがユーザー情報の中央ハブになります。Linux システムが認証要求のためにユーザー情報にアクセスするには何らかの経路が必要になります。ここでは、そのユーザー情報を取得する方法 にはどのようなものがあり、そのユーザー情報のうち、外部システムが利用できる情報はどの程度あるかという点を考えることができます。また、Linux システム (POSIX 属性) および Linux ユーザー (特定のアプリケーション管理者) に必要な情報とその情報が管理される方法との間には一定のバランスが必要です。

ホストおよびサービスプリンシパル

  • どのリソースがアクセスされるか?
  • どの認証プロトコルが必要か?
  • Kerberos チケットはどのように取得されるか? SSL 証明書はどのように要求され、検証されるか?
  • ユーザーは単一ドメイン、または Linux ドメインと Windows ドメインの両方にアクセスする必要があるか?

DNS ドメイン、クエリーおよび名前解決

  • DNS 設定をどのように行うか?
  • 単一 DNS ドメインがあるか? 複数のサブドメインがあるか?
  • システムのホスト名はどのように解決されるか?
  • サービス検出はどのように設定されるか?

セキュリティーポリシー

  • アクセス制御の指示が設定される場所は?
  • 各ドメインに設定される管理者は?

変更管理

  • システムがドメインに追加される頻度はどの程度か?
  • DNS サービスなど、Windows 統合の関連要素についての基礎的な設定が変更される場合、それらの変更はどのように伝播されるか?
  • 設定はドメイン関連のツールまたはプロビジョニングシステムで維持されるか?
  • 統合パスには Windows サーバー上のアプリケーションまたは設定が追加で必要か?
ドメイン内の統合される要素と同様に、その統合がどのように維持されるかも重要な点になります。環境内に頻繁に更新されるシステムが多数含まれる場合には、手作業に大きく依存する特定の統合方法は保守の面で機能しない可能性があります。
以下のセクションでは、Windows との統合についての主要なシナリオを概略します。直接的な統合では、Linux システムは Active Directory に追加の中継なしに接続されます。一方、間接的な統合ではアイデンティティーサーバーが使用されます。このサーバーは Linux システムを中央で管理し、その環境全体をサーバー対サーバーレベルで Active Directory に接続します。