NT4.0ドメインから移行する理由
1996年のリリースから8年以上経過したWindows NT 4.0もサポートが終了し、ユーザは最新のWindows 2003 Serverに移行するか、他のプラットフォームへ移行するか選択しなければならない。本編ではSambaを使ってWindows NT 4.0のドメインコントローラを置き換える手順を解説しよう。
まず、なぜWindowsドメインをSambaに置き換えるか?という理由だが、そのメリットに関しては別連載である「徹底比較!! Linux & Windows ファイルサーバ編」第1回の記事を参考にして欲しい。私の経験からすると、ユーザの導入理由はセキュリティ対策や導入コスト削減だけではない。本当の理由として多いのは「運用コスト削減」である。
マイクロソフト社の「Get The Fact」キャンペーンではLiunuxのTCO(運用管理費用)の高さを指摘しているものがあるが、そのためか、ユーザはLinux導入でTCO削減が はかれるか慎重に判断するようになっている。Samba+LDAPサーバを導入するユーザはSambaだけをLinux化するのではなく、必ずメールサー バやアプリケーションサーバもLinux化しており、そこでLDAPを使ったユーザ管理統合を実現し、運用コスト削減を実現しているのだ。
従来、ファイルサーバ、メールサーバ、グループウェアなどのユーザ管理や認証を別々にやっていたものを、LDAPとSambaを使ってユーザ管理を統合する事により、1カ所の設定変更だけですべてが利用できるようになるのが大きなメリットなのだ。
ドメインの基本構成
ドメインを構築する場合は、パスワードデータベースとしてLDAPを利用すること が推奨となる。TDBSAMやSMBPASSWDを使ってもドメイン構築は可能ではあるが、この場合パスワードデータベースの複製ができないだけでなく、 ビルトイングループの作成などの手順がだいぶ違う上に、作業が大変なのでLDAP以外を利用することは勧めない。
SambaとLDAPを組み合わせてドメインサーバを構築すると、以下のようなことが可能になる。
-
複数のSambaサーバマシンで同一のLDAPサーバを参照することで、Windows/UNIX/Linux版の認証を統合化できる。
-
LDAPサーバはマスター、スレーブの複数サーバ構成にできるので、SambaのドメインコントローラもPDCとBDCで多重化すれば、「アカウント情報の冗長化」と「認証の負荷分散」が可能になる。
-
Sambaだけでなく、UNIX/Linuxのユーザ認証、ApacheやSendmail、アプリケーションサーバの認証も統合可能になる。(もちろん、サーバ側の設定は必要)
- ユーザ数が増大しても性能劣化が少ない。(性能はLDAP製品に依存する)
Sambaをドメインコントローラとする手順は以下の通りだ。(ここでは1台のLinuxマシンにLDAPとSambaを導入し、PDCを1台だけで構築する)
- (1)SambaとOpenLDAPインストール
- (2)LDAPの設定
- (3)NSSとPAMの設定
- (4)Sambaの設定
- (5)smbldap-toolsによるユーザ/グループ作成
- (6)Windowsマシンのドメインへの参加
では順に解説していこう。
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
