Presented by 非武装エリア
最終更新日:2012年7月9日
AD標準のLDAPスキーマはUnixやLinuxに対応できません。LinuxやUnixでActive Directoryを使った認証を行う為には、Active DirectoryのスキーマをUnixやLinuxの属性を蓄えるように拡張する必要があります。 スキーマの拡張にはマイクロソフトから提供されている Service for UNIX(SFU)を利用します。
このガイドでは、SFU3.5によるスキーマについてカバーします。 SFU3.5は、SFUの最新バージョンです。
ノート: SFU3.5のスキーマはSFU3.0スキーマと同じ "msSFU30" で始まるLDAPディスプレイ名を持っています。 それゆえに、このガイドはSFU3.0スキーマにも等しく適用できます。
スキーマを拡張するためにあなたが行うことは、以下の2つの手順となります:
- Active Directory スキーマの拡張のために SFU 3.5 をインストール
- Active Directory スキーマを手作業で拡張
注意: このガイドではSFU3.0とSFU3.5の2つのスキーマをカバーしますが、インストールについてはSFU3.5だけをカバーします。
もしあなたがSFU3.0をすでにインストールしてあるなら、このガイドはを参考にすることができます。もしあなたが初めてSFUをインストールするのではあれば、Microsoftは、あなたがSFUの最新バージョンをインストールすることを勧めます。
Windows Server 2003以前は、スキーマを更新するには、Active Directoryでスキーマの更新を許可する設定を行う必要がありました。
Windows Server 2003以降では、スキーマの更新は、デフォルトで許可されています。そのため、あなたは、スキーマを更新する前にどんな変更を行う必要がありません。
SFUのインストールを行うことであなたは、Active DirectoryのスキーマをUNIXまたはLinuxのために拡張するための情報をストアできます。 スキーマの拡張はNISサーバで使われることを意図しています。NISのためのサーバーは、Active Directoryスキーマを標準および標準的でないどちらにでも適応させるようにNISマップを拡張して、ネットワーク情報サービス(NIS)マップデータをActive Directoryに保存します。標準のマップは、aliases, bootparams, ethers, hosts, group, netgroup, netid, netmasks, networks, passwd, protocols, rpc, services, and shadow filesから構成されます;その他のすべてのマップは標準的ではありません。
SFUは日本語版3.5を マイクロソフトのSFUサイトから入手できます。 ただし入手には .NET Passportにユーザ登録(無料)を行う必要がありますので、上記のサイトの情報を参考にしながら登録を行ってから入手してください。
入手したSFUファイルは自己解凍ファイルになっているので、適当なディレクトリに解凍後、setup.exe を実行してください。 実行すると最初にユーザ情報とライセンス確認を求めてくるので適当な入力を行い「次へ」で次に進みます。
続いてインストールオプションを聞いてくるので、「標準インストール」を選択して「次へ」で次へ進みます。
セキュリティの設定を確認してくるので、チェックボックスを有効にして「次へ」で次へ進みます。
続いてユーザ名マッピングとして「ローカルユーザ名マッピングサーバー」と「パスワードファイル」およびグループファイル」を選択して「次へ」で先に進みます。
ユーザ名マッピングファイルのファイル名を聞いてきます。とりあえず何も指定しないでも構いませんので、「次へ」で先に進むとインストールが開始されます。
SFUのインストール後、スキーマが正しく更新されたか確認してください。 スキーマが正しくアップデートされたかは、Active DirectoryスキーマMMCスナップインで確認できます。 このスナップインを使う方法は、後ろの「Active Directory スキーマ拡張の表示」の章で説明します。
あなたは、Windowsサーバー2003リソースキットの一部として利用できるコマンドライン・ツールを利用してActive Directoryスキーマを手動で拡張することができます。スキーマを拡張するために、あなたは、LDAP交換フォーマット(LDIF)でスキーマ定義を含んでいるファイルを必要とするでしょう。このガイドは、SFU 3.5からスキーマ定義をカバーします。 これによって、他のスキーマ定義を利用したActive Directoryスキーマを拡張することもできます。しかし、それはこのガイドの範囲を越えます。
警告 バックアップからActive Directoryを回復しないで、拡張したスキーマを戻すことはできません。 マイクロソフトはあなたがSFU3.5スキーマなどのサポートされたスキーマを使用しての、SFUインストールプロセスでのスキーマの拡張を勧めます。
Active Directoryスキーマをマニュアルで拡張するためには、以下ののステップに従って下さい:
あなたは、Active Directoryスキーマ MMCスナップイン を利用し、拡張されたスキーマを見ることができます。すでにActive Directoryスキーマへのショートカットがスタートメニューに作ってあるのものして以下を説明します。
Active Directory Schema MMCスナップインを使用することでActive Directoryスキーマを見るには、以下の方法に従ってください:
msSFU30 で始まっている属性は、SFU3.0またはSFU3.5のインストールによって作られます。
Domain Name System (DNS)の設定について説明します。 まず以下の2つの重要なことを確認してください。
DNSのクライアントとしてUNIXとLinuxのクライアントを構成するために、以下の手順を行って下さい。
注意: nss_ldapモジュールは使用することができますが、pam_ldapモジュールは、LDAPサーバの場所を見つけるのにDNS SRVリソース記録を使用することができません。
あなたは Table8.3 に示されるように pam_ldap と nss_ldap DNSルックアップを構成するのがお勧めです。
PADL LDAPモジュールを使用するとき、推奨するDNS構成
pam_ldap を使う認証 nss_ldap と UNIX/Linux マップを使った認証 DNS の構成 Yes No 手動でLDAPサーバドメイン名を構成してください。 No Yes nss_ldapにLDAPサーバの場所を見つけるのにSRV記録を使用させて、LDAPサーバドメイン名を構成しないでください。 No Yes 手動でLDAPサーバドメイン名を構成してください。
SRV記録を使用するためにどうPADLモジュールを構成するかは「Configuring the PADL pam_ldap Module」と「Configuring the PADL nss_ldap Module」を参照してください。
Copyright© 1998-2005 ROBATA.ORG