LinuxでActive Directory認証¶
はじめに¶
WindowsマシンとLinuxマシンが混在するネットワーク環境において、ユーザー認証を一元化する手段として、WindowsのActive DirectoryをLinuxマシンから利用する方法があります。
Active Directoryは、DNS、ケルベロス認証、LDAPなどの技術を用いたユーザーやコンピューターの権利・権限管理サーバーです。
方法¶
認証方式¶
LinuxからActive Directoryを利用してユーザー認証する方式は次のものがあります。
- パスワードのみ統合
ユーザーはLinux上で作成、パスワードはActive Directory上にある同名のユーザーのものを使います。 - 認証統合
Linux上では作成せず、ユーザー/パスワードはActive Directory上にあるものを使います。
パスワード統合の実現方法¶
pam_krb5¶
Linuxマシンのユーザー認証に外部のKDC(Key Distribution Center)を利用するpam_krb5モジュールを使用します。
Active DirectoryのドメインコントローラはKDCとしても機能します。
この方法はパスワードのみの統合なため、Active Directory上にユーザーを作成後、同じユーザー名でLinuxにユーザーを作成する必要があります(Linuxにパスワードは設定不要)。
ログイン情報のキャッシュはないので、Active Directoryから切り離されたときはログインできなくなります。
認証統合の実現方法¶
SSSD¶
System Security Service Daemon を使う方法。Red Hat Enterprise Linux 6で搭載されています(Fedora以外の他のディストリビューションは未確認)。
SSSDでActive Directoryを使った認証をするためには、Windows ServerにServices for Unixをインストールし、Active Directory上にLinuxユーザーのグループを作成しておく必要があるようです。
Sambaのwinbind¶
ファイル共有も可能です。
その他¶
ライセンス¶
Active Directoryを利用するデバイスやユーザーはMicrosoftのライセンス(CAL:Client Access License)が必要になります。
参考文献¶
Web記事¶