プロジェクト

全般

プロフィール

LinuxでActive Directory認証

はじめに

WindowsマシンとLinuxマシンが混在するネットワーク環境において、ユーザー認証を一元化する手段として、WindowsのActive DirectoryをLinuxマシンから利用する方法があります。
Active Directoryは、DNS、ケルベロス認証、LDAPなどの技術を用いたユーザーやコンピューターの権利・権限管理サーバーです。

方法

認証方式

LinuxからActive Directoryを利用してユーザー認証する方式は次のものがあります。

  1. パスワードのみ統合
    ユーザーはLinux上で作成、パスワードはActive Directory上にある同名のユーザーのものを使います。
  2. 認証統合
    Linux上では作成せず、ユーザー/パスワードはActive Directory上にあるものを使います。

パスワード統合の実現方法

pam_krb5

Linuxマシンのユーザー認証に外部のKDC(Key Distribution Center)を利用するpam_krb5モジュールを使用します。
Active DirectoryのドメインコントローラはKDCとしても機能します。
この方法はパスワードのみの統合なため、Active Directory上にユーザーを作成後、同じユーザー名でLinuxにユーザーを作成する必要があります(Linuxにパスワードは設定不要)。
ログイン情報のキャッシュはないので、Active Directoryから切り離されたときはログインできなくなります。

認証統合の実現方法

SSSD

System Security Service Daemon を使う方法。Red Hat Enterprise Linux 6で搭載されています(Fedora以外の他のディストリビューションは未確認)。

https://access.redhat.com/site/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/SSSD-Introduction.html

SSSDでActive Directoryを使った認証をするためには、Windows ServerにServices for Unixをインストールし、Active Directory上にLinuxユーザーのグループを作成しておく必要があるようです。

Sambaのwinbind

ファイル共有も可能です。

その他

ライセンス

Active Directoryを利用するデバイスやユーザーはMicrosoftのライセンス(CAL:Client Access License)が必要になります。

参考文献

Web記事

クリップボードから画像を追加 (サイズの上限: 1 GB)