第1章 Active Directory と Linux 環境を統合する方法
IT 環境には構造があります。環境内のシステムは、目的に合わせて設定されます。2 つの別個のインフラストラクチャーを統合するには、これらの環境の目的を評価し、どのように対話するかを理解する必要があります。
1.1. Windows 統合の定義
Windows 統合は、Linux 環境と Windows 環境の必要な対話によって、非常に異なることが必要になる場合があります。これは、個別の Linux システムが Windows ドメインに登録されている場合は、Linux ドメインが Windows ドメインへのピアとして設定されていて、単に情報が環境間でコピーされることを意味します。
Windows ドメインと Linux システム間の通信には、いくつかの接点があります。それぞれは、異なるドメインオブジェクト (ユーザー、グループ、システム、サービス) を特定することと、その ID で使用されるサービスを特定します。
ユーザー ID および認証
- ユーザーアカウントの場所: Windows (AD ドメイン) で実行している中央認証システムまたは Linux で実行している中央 ID および認証サーバー
- Linux システムで認証する方法: ローカルの Linux 認証システムまたは Windows で実行している中央認証システム経由
- グループメンバーシップはユーザーに対してどのように設定されていますか。そのグループメンバーシップはどのように決定されますか。
- ユーザーは、ユーザー名/パスワードのペア、Kerberos チケット、証明書、またはメソッドの組み合わせを使用して認証しますか。
- Linux マシンのサービスにアクセスするには、POSIX 属性が必要です。これらの属性の保存方法: Windows ドメインに設定、Linux システムにローカルに設定、または動的にマップされますか (UID/GID 番号および Windows SID の場合)。
- どのユーザーにどのリソースにアクセスしますか。Windows が定義するユーザーは Linux リソースにアクセスしますか。Linux 定義のユーザーは Windows リソースにアクセスしますか。
ほとんどの環境では、Active Directory ドメインはユーザー情報の中心となるハブです。つまり、Linux システムが認証要求のためにそのユーザー情報にアクセスするために何らかの方法が必要になります。ユーザー情報を取得する 方法 と、外部システムで利用できる情報の量が実際の質問になります。また、Linux システム (POSIX 属性) および Linux ユーザー (アプリケーション管理者) の情報と、その情報の管理方法のバランスを取る必要があります。
ホストおよびサービスプリンシパル
- アクセスするリソース
- 必要な認証プロトコル
- Kerberos チケットの取得方法SSL 証明書をリクエストまたは検証する方法
- ユーザーは 1 つのドメイン、または Linux ドメインと Windows ドメインの両方にアクセスする必要があるか
DNS ドメイン、クエリー、および名前解決
- DNS 設定の対象
- DNS ドメインが 1 つ必要ですか。サブドメインは存在しますか。
- システムのホスト名が解決される方法
- サービス検出の設定方法
セキュリティーポリシー
- アクセス制御命令はどこに設定されているか
- 各ドメインにどの管理者が設定されているか
管理の変更
- システムがドメインに追加される頻度
- たとえば、Windows 統合に関連する基礎となる設定が変更された (DNS サービスなど) 場合に、これらの変更が伝播される方法
- ドメイン関連のツールやプロビジョニングシステムで維持される設定
- 統合パスには Windows サーバーで追加のアプリケーションまたは設定が必要か
ドメインのどの要素が統合されているかと同様に、統合が維持されるかは重要となります。特定の統合機器で行う手動設定が非常に多いにもかかわらず、環境に頻繁に更新されるシステムが多数ある場合は、その 1 つの機器は、メンテナーンスの観点からその環境では機能しない可能性があります。
以下のセクションでは、Windows と統合するための主なシナリオの概要を説明します。直接統合では、Linux システムは、追加の中間なしで Active Directory に接続されます。一方、間接統合には、Linux システムを一元管理し、環境全体をサーバー間レベルの Active Directory に接続する ID サーバーが含まれます。
