Open Source Solution Technology Samba/LDAPによる 既 存 複 数 Windowsドメインの 統 合 とその 方 式 比 較 1 オープンソース ソリューション テクノロジ 株 式 会 社 代 表 取 締 役 チーフアーキテクト 小 田 切 耕 司 odagiri@osstech.co.jp Shall we Samba? : http://blog.odagiri.org/ Copyright 2006 Open Source Solution Technology Corporation Open All Source Rights Solution Reserved. Technology Copyright.
-2- 講 師 の 著 作 紹 介 技 術 評 論 社 Software Design 2006 年 7 月 号 ネットワーク 運 用 / 管 理 五 輪 書 (ごりんのしょ) 壱 : 地 の 巻 Sambaファイルサーバ http://www.gihyo.co.jp/magazines/sd/contents/200607 2006 年 5 月 翔 泳 社 開 発 の 現 場 vol.005 オープンソース 案 件 指 南 帖 総 論 編 :オープンソースの 基 礎 知 識 http://www.shoeisha.com/mag/kaihatsu/ 2006 年 5 月 技 術 評 論 社 LDAP Super Expert 巻 頭 企 画 [ 新 規 / 移 行 ]LDAPディレクトリサービス 導 入 計 画 http://www.gihyo.co.jp/magazines/ldap-se 2006 年 5 月 IDG 月 刊 Windows Server World 2006 年 3 月 4 月 号 3 月 号 :Shall we Samba? お 手 軽 導 入 編 4 月 号 :Shall We Samba? 超 本 格 運 用 編 2005 年 10 月 日 経 BP 社 セキュアなSambaサーバの 作 り 方 http://itpro.nikkeibp.co.jp/linux/extra/mook/mook12/index.shtml
-3- SambaによるWindowsドメインの 移 行 Samba 3.0から 可 能 になったvampire( 吸 血 鬼 ) 機 能 やnet share migarete 機 能 により 単 一 のWindowsドメインを 移 行 するのは(Samba.2.2に 比 べれば) 比 較 的 簡 単 にできる ようになりました Windowsから 自 動 移 行 可 能 なドメイン リソース ユーザ/グループ 情 報 共 有 情 報 共 有 設 定 共 有 データ ACLも 移 行 できるが 完 全 互 換 でないため 事 前 調 査 は 重 要
-4- WindowsからSambaへの 移 行 Windows NT/2000/2003 移 行 Samba 3.0 ユーザ 情 報 グループ 情 報 Net rpc vampire 機 能 で 移 行 ユーザ 情 報 グループ 情 報 共 有 データ ACL 付 Net share migrate もしくは xcopy /O /S 共 有 データ ACL 付
-5- 自 動 では 難 しいが 手 動 で 移 行 できるもの システムポリシー デスクトップやメニューなどに 関 するセキュリティポリシーを 設 定 アカウントポリシー パスワード 履 歴 や 有 効 期 限 ユーザマネージャ(vampireでは 移 行 可 能 ) ログオンできる 時 間 帯 やワークス テーションを 制 限
-6- ファイル/フォルダのアクセス 権 の 移 行 ACLは 完 全 に 移 行 できないケースがあるので 事 前 調 査 が 重 要
-7- VSS(ボリューム シャドウ コピー サービス) 以 前 のバージョン からフ ァイルを 復 元 可 能 ( 右 図 ) Kernel 2.4までは LVM+XFSが 必 要 Kernel 2.6からはLVM2の みで 構 築 可 能 ext3でも 利 用 可 能
-8- 最 近 は 複 数 システムの 統 合 が 増 える 内 部 統 制 の 強 化 や 個 人 情 報 漏 洩 問 題 からセキュリティを 強 化 する 方 向 情 報 システム 部 が 知 らないWindowsドメインの 乱 立 使 われていないユーザアカウントの 放 置 安 易 なパスワード 長 期 間 変 更 されないパスワード 複 数 ドメインを 単 一 ドメインへ 統 合 ユーザアカウントの 厳 密 な 管 理 システムポリシーの 強 化
-9- ドメイン 統 合 の 問 題 点 既 存 のNTドメインをAD(Active Directory)へ 移 行 するのは 容 易 ではない 再 設 計 になるのでSambaに 移 行 しても 手 間 暇 はあまり かわらない NTからADにするとCAL(クライアント アクセス ライセン ス)を 買 い 直 さないといけないケースが 発 生 する ( 違 法 コピーの 発 覚 ) SambaとOpenLDAPで 認 証 統 合 ドメイン 統 合 をやりたい と 思 ってもどうやるか 解 らない 事 例 が 少 ない
-10- vampireと 手 作 業 による 移 行 Windows NT4.0 Sambaによる 新 規 ドメイン NTドメインを 移 行 ドメイン 信 頼 関 係 も 移 行 共 有 プリンタ ユーザ 情 報 共 有 データ 共 有 プリンタ ユーザ 情 報 共 有 データ NTドメイン2 NTドメイン3
SambaとLDAPを 使 ったドメイン 統 合 方 式 A) 一 つのLDAPに 複 数 のベースサフィックス 持 ったDITを 作 成 既 存 のNTドメインをひとつのベースサフィックスに 対 応 させる Sambaドメインは 複 数 になるので 信 頼 関 係 を 結 ぶ あまり 綺 麗 ではないが 簡 単 な 方 法 B) 一 つのベースサフィックスの 下 に 複 数 のOU( 組 織 単 位 )を 持 ったDITを 作 成 既 存 のNTドメインをひとつのOUに 対 応 させる Sambaドメインは 複 数 にし 信 頼 関 係 を 結 ぶ 業 務 アプリやメールサーバとの 連 携 が 可 能 C) 一 つのベースサフィックスの 下 に 複 数 のOU( 組 織 単 位 )を 持 ったDITを 作 成 既 存 のNTドメインをひとつのOUに 対 応 させる Sambaドメインは 単 一 にする ADと 一 番 近 い 形 Copyright 2006 Open Source Solution Technology Corporation All Rights Reserved. -11-
-12- 統 合 前 のWindowsドメイン イメージ TECHドメイン 移 行 SALESドメイン ドメイン 統 合 ユーザ 情 報 グループ 情 報 odagiri satoh ユーザ 情 報 グループ 情 報 takeda satoh 共 有 データ ACL 付 共 有 データ ACL 付
-13- A) 複 数 ベースサフィックス 複 数 ドメイン 方 式 (DIT) base= dc=tech,dc=osstech,dc=co,dc=jp ou=users uid=odagiri ou=groups uid=satoh Sambaドメイン=TECH base= dc=sales,dc=osstech,dc=co,dc=jp ou=users uid=takeda ou=groups uid=satoh Sambaドメイン=SALES
-14- B) 単 一 ベースサフィックス 複 数 ドメイン 方 式 (DIT) base= dc=osstech,dc=co,dc=jp ou=tech Sambaドメイン=TECH ou=tech uid=odagiri uid=satoh ou=groups ou=users ou=sales ou=sales uid=takeda uid=satoh Sambaドメイン=SALES
-15- C) 単 一 ベースサフィックス 単 一 ドメイン 方 式 base= dc=osstech,dc=co,dc=jp ou=users ou=tech Sambaドメイン=OSSTECH uid=odagiri uid=satoh1 ou=groups ou=sales uid=takeda uid=satoh2
-16- システム 構 成 図 (1) A),B),C)どのケースでもLDAPサーバは1 台 でも 良 い (スレーブサーバは 必 要 ) A),B)のケースでSambaサーバは ドメインの 数 だけあれば 良 いが1 台 でも 構 わない ( 規 模 が 大 きい 場 合 や 信 頼 性 が 必 要 な 場 合 はBDCも 用 意 する) LDAPサーバ LDAPマスター 複 製 LDAPスレーブ 参 照 参 照 参 照 TECHドメイン Sambaサーバ SALESドメイン PDC BDC PDC BDC Windows クライアント
-17- システム 構 成 図 (2) マスターLDAPサーバを1 台 だけにし Sambaサーバの 上 でLDAPスレーブを 動 かす 構 成 Sambaサーバは ドメインの 数 だけあれば 良 いが1 台 でも 構 わない ( 規 模 が 大 きい 場 合 や 信 頼 性 が 必 要 な 場 合 はBDCも 用 意 する) LDAPサーバ LDAPマスター 複 製 複 製 TECHドメイン Sambaサーバ LDAPスレーブ SALESドメイン PDC BDC PDC BDC Windows クライアント
-18- システム 構 成 図 (3) C)の 場 合 マスターLDAPサーバを1 台 だけにし Sambaサーバの 上 でLDAPスレーブを 動 かす 構 成 が 可 能 Sambaサーバは OUの 数 だけあれば 良 いが1 台 でも 構 わない ( 規 模 が 大 きい 場 合 や 信 頼 性 が 必 要 な 場 合 はBDCも 用 意 する) LDAPサーバ LDAPマスター 複 製 複 製 OU=TECH PDC Sambaサーバ LDAPスレーブ OU=SALES BDC Windows クライアント
-19- システム 構 成 図 (4) C)の 場 合 マスターLDAPサーバとPDCを1 台 用 意 し もう 一 台 のSambaサーバの 上 で LDAPスレーブとBDCを 動 かす 構 成 が 可 能 Sambaサーバは OUの 数 だけあれば 良 いが1 台 でも 構 わない ( 規 模 が 大 きい 場 合 や 信 頼 性 が 必 要 な 場 合 はBDCも 用 意 する) LDAPマスター LDAPスレーブ 複 製 OU=TECH PDC Sambaサーバ LDAPサーバ OU=SALES BDC Windows クライアント
-20- 実 際 の 移 行 作 業 Vampireだけでは 複 数 ドメイン 統 合 は 難 しい Pwdumpを 使 ってWindowsドメイン 情 報 を 取 り 出 してスクリプト を 使 ってLDAPに 投 入 するのが 現 実 的 ドメイン 統 合 は 弊 社 へご 相 談 ください
Open Source Solution Technology Copyright. -21- Copyright 2006 Open Source Solution Technology Corporation All Rights Reserved. お 問 い 合 わせ 先 オープンソース ソリューション テクノロジ 株 式 会 社 info@osstech.co.jp http://www.osstech.co.jp