AD(ActiveDirectory)によるLDAP活用

Page1 [Page2]

Presented by 非武装エリア
最終更新日：2005年10月10日

このページはAD（ActiveDirectory：以下AD）を使い、Linuxなどの認証をADのLDAP機能を使って認証する方法などについて説明します。　なお、本章での内容にはAD、LDAP、Linuxに関する基礎的な知識を有しているものとして説明しますので、これらの詳細について情報が必要な方は他のサイトなどを参考にするようにしてください。

■はじめに

Microsoft社はWindows2000のActiveDirectoryから従来のMicrosoft Networkドメイン以外にも、LDAPの機能もADの中で実装するようになりました。　当初、Windows2000に実装されたLDAP機能は、Posixの一部にしか準拠していないため、実際にはこのLDAP機能はあまり利用しやすいものではありませんでしたが、その後MSからWindows2000のADをPosixに準拠させるためのパッチや設定の情報などが出てきたこともあり、一応はLDAPとして利用できるものになりました。
MSではWindows2003のADから正式にPosixに準拠し、これを利用できる環境が整ったことになりますが、残念ながら日本国内ではこのLDAPを使った設定例が少なく、導入できずにいる方も多いのではないかと思われます。
本資料は、各サイトに散らばっているADの情報の中から取りあえず、LDAPに関する部分だけを抽出して、かつ、動作環境としてWIndowsとLinux環境に絞ることで出来るだけ実例に近い形での資料として作成しています。　
なお、本資料中でのAD環境はWindows2003をターゲットとします。（Windows2000の場合にはさらにPosix用のパッチを別途適用しておく必要があります）

■ActiveDirectoryのLDAP機能とは、

ADに搭載されているLDAPの機能は、一応Posixに準拠したものとMicrosoft社は説明しています。　ただし、実際にはLDAPのスキーマなどは、MS社独自のものとなっているため、Linuxなどで良く利用されるOpenLDAPなどを利用する方には、少し違和感のある製品といえるでしょう。　しかし、少し工夫をすればLDAPでのユーザ認証程度であればすぐに実現できるので、WindowsとLinuxの混在環境においてはADを使った管理の方が楽ではないかと思われます。（価格面からSamba＋OpenLDAPという人もいるかもしれませんが、Windowsサーバがすでに有るためにCALライセンスを購入している企業も結構多いことと思います。　そんな環境ではSamba+OpenLDAPの組み合わせはユーザアカウントが分散してしまい「運用コストの低減」には不利だと思われます。勿論、最終的にどのような環境を構築するかはあなた次第ですので、本サイトがそれを強制するものではありません）

■ADのLDAPの設定におけるポイント

ADのLDAPをLinux（Posixアカウント）やメールクライアントのアドレス帳として利用する為のポイントは以下の通りです。

• サポートツールのインストール
• リソースキットのインストール
• 匿名（Anonymous）ログインができるようにADを設定する
• 匿名ユーザへのアクセス権の付与
• SFUを使ってスキーマの拡張をする。
• Linux側でADに合わせた設定を行う

以上のような手順を踏むことで、ADのLDAPを使ったユーザ認証やアドレス帳としての利用が可能になってきます。

■構成例

本資料で想定する構成例は以下の図の通りです

以下で上記の図のような環境で、Linuxサーバにおけるユーザ認証をLDAPで行うと共に、WindowsのメールクライアントでLDAによるメールアドレス帳を設定したり、Linuxのメールサーバを利用する方法を説明していきます。なお、本資料ではAD自身の基本的な説明は行いません。　既にADによるユーザ登録ができる状態になっているものとして説明します。

■設定

サポートツールのインストール

最初にADに関するLDAPの各種設定を行っていく為に、ADに登録されているすべてのオブジェクトを表示・操作する為のツールである「ADSI Edit」や、ADをコマンドラインで操作する為のツールの「ldp」といった各種ツールをActiveDirectoryのドメインサーバへインストールします。　ツールはWindows2003のインストールCDの \SUPPORT\TOOLS ディレクトリにある SUPTOOLS.MSI をクリックしてインストールを開始します。 インストーラを開始すると最初にライセンスの同意を確認してきます。　ここで、「I Agree」を選び次（Next）へ進みます。

次にユーザ名と所属組織の名前を確認してくるので適当な名前を入力します。

続いてツールのインストール先ディレクトリの確認画面になるので、適当なディレクトリを指定して「Install Now」でインストールを実行してください。（デフォルトは、C:\Program Files\Support Tools\)

以上でサポートツールのインストールは完了です。

＞続く