TOPキャリアアップ> Sambaとは?
オープンカレッジ
オープンカレッジ

第2回:意外と簡単、Samba+LDAPによるWindowsドメイン管理
講師:オープンソース・ソリューション・テクノロジ  小田切 耕司
編者:ThinkIT   2006/11/6
オープンカレッジとは
   オープンカレッジとは、著名な方々の講演を聴いたり、勉強会を行ったりなど、スキルアップだけではなく、エンジニア同士の交流を深めたり、業界へのネットワークを広げることを目的としたシンクイット主催のセミナーである。

   2006年11月2日、オープンソース・ソリューション・テクノロジの小田切 耕司氏を招いて、Sambaに関する講演が行われたので、ここでその様子を紹介する。

>>これまでのオープンカレッジの開催模様はこちらから

オープンソース・ソリューション・テクノロジ株式会社 小田切 耕司氏
オープンソース・ソリューション・テクノロジ株式会社 小田切 耕司

代表取締役 チーフアーキテクト
早稲田大学理工学部電気工学科卒業。三菱電機計算機製作所に入社し、汎用機、UNIX、Windowsの開発を経てミラクル・リナックス社へ2001年入社。日本発のSamba解説本を執筆し、Samba日本語版を最初に開発した。日本Sambaユーザ会の設立にも寄与し、初代代表幹事を務める。2006年10月に新会社オープンソース・ソリューション・テクノロジを設立し、オープンソースソフトウエアのサポートやコンサルティングなどを手掛けている。


今回の講師はオープンソース・ソリューション・テクノロジの小田切 耕司氏
今回の講師はオープンソース・ソリューション・テクノロジの小田切 耕司氏


ほとんどの参加者はSambaの利用経験があり、興味深く小田切氏の話に聞き入った
ほとんどの参加者はSambaの利用経験があり、興味深く小田切氏の話に聞き入った


テストケースを元にWindowsドメインの管理権限の委譲について解説する小田切氏
テストケースを元にWindowsドメインの管理権限の委譲について解説する小田切氏



  Sambaとは?
   まず小田切氏はSambaの基本機能として、大きく分けてファイル/プリントサーバとドメインコントローラの2つがあると語った。個人利用では主にファイル/プリントサーバが中心で、企業での利用ではドメインコントローラが重要となっているという。

   現在注目されているのがSambaとLDAPを組み合わせた認証基盤としての利用法で、ファイルサーバだけでなくメールやWeb、Proxy、Javaアプリケーションといった用途にも対応する。またWindowsだけでなく、UNIXやLinux、Macなど様々なOSのクライアント認証にも活用できる点が優れていると小田切氏は述べた。

   企業が商用の認証基盤を利用する場合、ほとんどのものはクライアントに比例したCAL(注1)が必要で、数千〜数万人規模のシステムではその費用負担が大きい。しかしSambaとLDAPを認証基盤として利用する場合、その費用がかからず全体として低コスト化ができるメリットがあるという。

   今回のオープンカレッジでは、このSambaとLDAPの組み合わせによる認証基盤を実現するに当たって、既存のWindowsドメインからの管理委譲を中心に講演が行われた。

※注1: CALとはClient Access Licenseの略で、クライアントがサーバにアクセスするための利用する権利を指す。商用のCALでは、システムで管理するユーザ数に応じてライセンスを購入する必要がある。


  単一ドメインでの移行
   小田切氏は、基本的な単一のドメインで運用されているWindowsドメインからSamba+LDAPへの移行手順について解説した。キーとなるのはSamba 3.0から搭載されているvampire(注2)のコマンドを利用した方法で、これによってWindowsドメインに登録してあるユーザ/グループ情報を取得できるという。

   「Samba 3.0のvampire機能を利用することで、簡単にWindowsドメインをSambaに移行できます。簡単ではないという方もいるかと思いますが、以前のSamba 2.0に比べれば格段に簡単になっています。ユーザ/グループ情報以外にも、パスワードやログイン可能時間、ログインできる端末など、細かな情報も取得できます」

   ただしSambaのアクセス制御がPOSIX準拠のため、UNIXやLinuxにはないWindowsドメイン特有の設定に関しては移行できないとのこと。確実に移行できるかは、事前の調査が必要であると小田切氏は語った。

※注2: vampireコマンドは、Samba 3.0から搭載されたWindowsドメイン移行機能。この機能により、Windowsドメインからユーザ情報、グループ情報を移行できるようになった。


  複数ドメインの移行
   最近では複数ドメインで構成されたネットワークを、LDAPを使って統一するという事例が増えているという。小田切氏はこの状況について次のように分析する。

   「内部統制や個人情報漏洩問題が取りざたされるようになり、セキュリティ強化を含めたネットワークの見直しが進んでいます。情報システム部で管理していないサーバやドメインなどを放置せず、統一化と共にユーザアカウントの管理やポリシーの徹底を行うというケースが増えています」

   このような場合、WindowsドメインからActive Directoryへの移行が、ドキュメントや各種ツールが充実しており、一般的であるとのことだ。しかし小田切氏は実作業を鑑みると作業の面でSamba+LDAPへの移行と大きな差はないという。

   ユーザ数が少ない場合は一番大きなドメインをvampireで、それ以外を手作業で行うことで移行するという。しかし10〜20のドメインがあり、ユーザ数が1万人以上の場合には、各ドメインの管理権限を委譲するために、また別の手法が必要となる。

   例えばWindowsドメインからActive Directoryに移行する場合、各ドメインはフォレストに割り当てる。LDAPでこのフォレストに相当する機能としてオーガニゼーションユニット(OU)があり、WindowsドメインはOUに対応させて権限を委譲するとのこと。

   さらに小田切氏は、権限を委譲した上で各ドメイン=OUごとに管理者を割り当て、部門ごとの管理を可能にする方法やサポートするツールなどについて、実例を交えながら解説を行った。


  Sambaの今後〜バージョン4.0は〜
   最後に、開発が進んでいるSamba 4.0について、新機能や旧バージョンとの違い、Windows Vistaへの対応などについて語った。

   小田切氏は「これまでのSambaの開発の流れから考えると、Samba 4.0は早くても来年後半のリリースとなるでしょう。現在はまだ誰でもテストできるという状況ではなく、専門的な知識や裏技的な対処が必要な部分もあります。しかしActive Directoryと同様の機能を実現するためのコンポーネントが実装されており、リリースされればSamba 3.0よりも簡単な設定で利用できるようになるでしょう」と締めくくった。


  今後のオープンカレッジ
   今回のオープンカレッジから、シンクイット社外のエンジニアの方も参加できるようになりました。今後のスケジュールや参加者の募集はシンクイットのページで告知いたしますので、ぜひご参加ください。

オープンカレッジ特集ページはこちらから