オープンソースで実現する Windows ログオンと SSO と ID 管理 オープンソース ソリューション テクノロジ株式会社 代表取締役チーフアーキテクト小田切耕司 Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 1 -
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 2 - Linux 上で AD を実現 Samba 4 紹介 Active Directory 互換のオープンソース ソフトウェア製品 AD からの移行だけではなく OpenLDAP や SunJavaDirectorySever(Oracle Directory Server) などの LDAP 製品の置き換えも可能
Samba 4 とは? Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 3 -
Samba 4 は Windows クライアントの GUI(RSAT: リモートサーバー管理ツール ) で簡単操作 Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 4 -
Samba 4 とは? Active Directory 互換 Linux サーバー上で Active Directory サーバーを動作させることが可能 管理は Windows クライアントの GUI(RSAT: リモートサーバー管理ツール ) で行えるので操作を新しく覚える必要がない CAL(Client Access License) が不要 AD としてのみ利用する場合はアンチウィルスソフト購入不要 Amazon の Cloud Directory は Samba 4 OpenAM 連携 : (Kerberos 認証による )DesktopSSO が可能 Windows ログインのみでブラウザのログインを不要に LDAPv3 準拠 TLS による暗号化通信 (ldaps 接続が可能 ) UNICODE 対応 スキーマの拡張やアクセス制御機能 OpenLDAP や Oracle( 旧 SunJava)Directory Server などの LDAP も置換可能 初期導入がコマンド 1 つで可能 (TOP ツリーの LDIF 投入不要 ) マルチマスター対応で 冗長化もコマンドひとつで可能 管理は Windows GUI の RSAT で可能 構築や運用が OpenLDAP より簡単 Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 5 -
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 6 - Samba3 と 4 の違い 機能 Samba 3 Samba 4 ファイルサーバ機能 Samba3.6 から SMB2 対応 SMB2,SMB3(Windows8) 対応 ドメインコントローラ機能 Windows GUI による管理機能 名前解決機能 NAS としての実績が現時点では多い NT ドメイン互換 サーバーサイドコピーなどに対応 CTDB によるクラスター機能対応 Active Directory(Win2008R2) 互換 NTLMv2 認証 Kerberos 認証 (Kerberos サーバー内蔵 ) システムポリシー 冗長化には外部の LDAP が必要 Windows2000 の USRMGR Windows 7,8,10 で動作しない NT ドメイン互換なので WINS サーバーが必要 Samba が WINS サーバー機能を持つ DNS で Samba3 DC を見つけることはできない グループポリシー LDAP を内蔵しているため Samba のみで冗長化が可能 RSAT 対応 Windows 7,8,10 で動作可能 AD ドメイン互換なので DNS による名前解決が必要 WINS サーバーは不要 Samba が DNS サーバー機能を内蔵 DNS がないと Samba4 DC を見つけられない
参考資料 : 日経 BP Samba 4 による Windows ネットワーク構築 http://itpro.nikkeibp.co.jp/article/ COLUMN/20131018/511929/ Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 7 -
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 8 - OpenAM と Samba4 OSS で実現する Office365 連携 Unicorn ID Manager も Office365 に対応!
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 9 - Office365 利用での認証連携要件 Office365? アカウント ID ユーザ 認証サーバ ローカルネットワーク
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 10 - Office365 利用での認証連携 Office365 Authentication Azure AD ID アカウント連携 シングルサインオン :DesktopSSO SAML2.0 Unicorn ID Maneger ユーザ Windows ログオン DesktopSS O Samba4 OpenAM ローカルネットワークオンプレミスにはWindowsサーバー不要!
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 11 - クラウドと OpenLDAP の性能向上必要性 組織 LDAP 組織内サービス LDAP SSO 基盤クラウドサービスインターネット 社員等 : 数万人程度 利用ユーザー : 数十万人 数百万人
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 12 - OSSTech の取り組み OpenLDAP の WiredTiger バックエンドの開発 http://github.com/osstech-jp/openldap 只今 開発中
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 13 - WiredTiger とは... WiredTiger 社開発の新ストレージエンジン 開発者 Michael Cahill 氏 Keith Bostic 氏 BerkleyDB の開発者 (Sleepycat, ORACLE) OSS:GPL v3 / v2 Dual License Key Value 方式のストレージエンジン 高い並行処理性能 マルチコア 大容量メモリ ディスク環境向け メモリ上のキャッシュ方式を採用 Multi Versioned dataによる処理の競合回避 トランザクション間のブロックによる処理遅延を防ぐ 効率的なディスク利用 ジャーナリングによるデータ保護 Checkpoint / Write ahead logging
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 14 - OpenLDAP Benchmark Add 性能 https://github.com/osstech-jp/openldap/wiki/back_wt-benchmark
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 15 - WiredBackend による高性能化 パッチはすでに OpenLDAP コミュニティに取り込まれた 11 月の LDAPCon2015 で発表予定
Copyright 2015 Open Source Solution Technology Corporation All Rights Reserved. - 16 -