Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第1章 Active Directory と Linux 環境を統合する方法

IT 環境には構造があります。環境内のシステムは、目的に合わせて設定されます。2 つの別個のインフラストラクチャーを統合するには、これらの環境の目的を評価し、どのように対話するかを理解する必要があります。

1.1. Windows 統合の定義

Windows 統合は、Linux 環境と Windows 環境の必要な対話によって、非常に異なることが必要になる場合があります。これは、個別の Linux システムが Windows ドメインに登録されている場合は、Linux ドメインが Windows ドメインへのピアとして設定されていて、単に情報が環境間でコピーされることを意味します。
Windows ドメインと Linux システム間の通信には、いくつかの接点があります。それぞれは、異なるドメインオブジェクト (ユーザー、グループ、システム、サービス) を特定することと、その ID で使用されるサービスを特定します。

ユーザー ID および認証

  • ユーザーアカウントの場所: Windows (AD ドメイン) で実行している中央認証システムまたは Linux で実行している中央 ID および認証サーバー
  • Linux システムで認証する方法: ローカルの Linux 認証システムまたは Windows で実行している中央認証システム経由
  • グループメンバーシップはユーザーに対してどのように設定されていますか。そのグループメンバーシップはどのように決定されますか。
  • ユーザーは、ユーザー名/パスワードのペア、Kerberos チケット、証明書、またはメソッドの組み合わせを使用して認証しますか。
  • Linux マシンのサービスにアクセスするには、POSIX 属性が必要です。これらの属性の保存方法: Windows ドメインに設定、Linux システムにローカルに設定、または動的にマップされますか (UID/GID 番号および Windows SID の場合)。
  • どのユーザーにどのリソースにアクセスしますか。Windows が定義するユーザーは Linux リソースにアクセスしますか。Linux 定義のユーザーは Windows リソースにアクセスしますか。
ほとんどの環境では、Active Directory ドメインはユーザー情報の中心となるハブです。つまり、Linux システムが認証要求のためにそのユーザー情報にアクセスするために何らかの方法が必要になります。ユーザー情報を取得する 方法 と、外部システムで利用できる情報の量が実際の質問になります。また、Linux システム (POSIX 属性) および Linux ユーザー (アプリケーション管理者) の情報と、その情報の管理方法のバランスを取る必要があります。

ホストおよびサービスプリンシパル

  • アクセスするリソース
  • 必要な認証プロトコル
  • Kerberos チケットの取得方法SSL 証明書をリクエストまたは検証する方法
  • ユーザーは 1 つのドメイン、または Linux ドメインと Windows ドメインの両方にアクセスする必要があるか

DNS ドメイン、クエリー、および名前解決

  • DNS 設定の対象
  • DNS ドメインが 1 つ必要ですか。サブドメインは存在しますか。
  • システムのホスト名が解決される方法
  • サービス検出の設定方法

セキュリティーポリシー

  • アクセス制御命令はどこに設定されているか
  • 各ドメインにどの管理者が設定されているか

管理の変更

  • システムがドメインに追加される頻度
  • たとえば、Windows 統合に関連する基礎となる設定が変更された (DNS サービスなど) 場合に、これらの変更が伝播される方法
  • ドメイン関連のツールやプロビジョニングシステムで維持される設定
  • 統合パスには Windows サーバーで追加のアプリケーションまたは設定が必要か
ドメインのどの要素が統合されているかと同様に、統合が維持されるかは重要となります。特定の統合機器で行う手動設定が非常に多いにもかかわらず、環境に頻繁に更新されるシステムが多数ある場合は、その 1 つの機器は、メンテナーンスの観点からその環境では機能しない可能性があります。
以下のセクションでは、Windows と統合するための主なシナリオの概要を説明します。直接統合では、Linux システムは、追加の中間なしで Active Directory に接続されます。一方、間接統合には、Linux システムを一元管理し、環境全体をサーバー間レベルの Active Directory に接続する ID サーバーが含まれます。