|
|
1 2 3 次のページ
|
|
NT4.0ドメインから移行する理由
|
1996年のリリースから8年以上経過したWindows NT 4.0もサポートが終了し、ユーザは最新のWindows 2003 Serverに移行するか、他のプラットフォームへ移行するか選択しなければならない。本編ではSambaを使ってWindows NT 4.0のドメインコントローラを置き換える手順を解説しよう。
まず、なぜWindowsドメインをSambaに置き換えるか?という理由だが、そのメリットに関しては別連載である「徹底比較!! Linux & Windows ファイルサーバ編」第1回の記事を参考にして欲しい。私の経験からすると、ユーザの導入理由はセキュリティ対策や導入コスト削減だけではない。本当の理由として多いのは「運用コスト削減」である。
マイクロソフト社の「Get The Fact」キャンペーンではLiunuxのTCO(運用管理費用)の高さを指摘しているものがあるが、そのためか、ユーザはLinux導入でTCO削減がはかれるか慎重に判断するようになっている。Samba+LDAPサーバを導入するユーザはSambaだけをLinux化するのではなく、必ずメールサーバやアプリケーションサーバもLinux化しており、そこでLDAPを使ったユーザ管理統合を実現し、運用コスト削減を実現しているのだ。
従来、ファイルサーバ、メールサーバ、グループウェアなどのユーザ管理や認証を別々にやっていたものを、LDAPとSambaを使ってユーザ管理を統合する事により、1カ所の設定変更だけですべてが利用できるようになるのが大きなメリットなのだ。
|
ドメインの基本構成
|
ドメインを構築する場合は、パスワードデータベースとしてLDAPを利用することが推奨となる。TDBSAMやSMBPASSWDを使ってもドメイン構築は可能ではあるが、この場合パスワードデータベースの複製ができないだけでなく、ビルトイングループの作成などの手順がだいぶ違う上に、作業が大変なのでLDAP以外を利用することは勧めない。
SambaとLDAPを組み合わせてドメインサーバを構築すると、以下のようなことが可能になる。
|
- 複数のSambaサーバマシンで同一のLDAPサーバを参照することで、Windows/UNIX/Linux版の認証を統合化できる。
- LDAPサーバはマスター、スレーブの複数サーバ構成にできるので、SambaのドメインコントローラもPDCとBDCで多重化すれば、「アカウント情報の冗長化」と「認証の負荷分散」が可能になる。
- Sambaだけでなく、UNIX/Linuxのユーザ認証、ApacheやSendmail、アプリケーションサーバの認証も統合可能になる。(もちろん、サーバ側の設定は必要)
- ユーザ数が増大しても性能劣化が少ない。(性能はLDAP製品に依存する)
|
Sambaをドメインコントローラとする手順は以下の通りだ。(ここでは1台のLinuxマシンにLDAPとSambaを導入し、PDCを1台だけで構築する)
|
- (1)SambaとOpenLDAPインストール
- (2)LDAPの設定
- (3)NSSとPAMの設定
- (4)Sambaの設定
- (5)smbldap-toolsによるユーザ/グループ作成
- (6)Windowsマシンのドメインへの参加
|
では順に解説していこう。
|
1 2 3 次のページ
|
|
|
|
著者プロフィール
オープンソース・ソリューション・テクノロジ株式会社 小田切 耕司
早稲田大学理工学部電気工学科卒業三菱電機計算機製作所に入社し、汎用機、UNIX、Windowsの開発を経てミラクル・リナックス社へ2001年入社Sambaとは1996年からの付き合い。日本初のSamba解説本を執筆し、Samba日本語版を最初に開発した。日本Sambaユーザ会の設立にも寄与し、初代代表幹事を務める。日本Webminユーザーズグループの副代表幹事などもつとめ、最近はLinuxコンソーシアムのセキュリティ部会のリーダなどもつとめている。
|
|
|
|