Presented by 非武装エリア
最終更新日:2012年7月9日
このページはActiveDirectory(以下AD)を使い、LDAP機能を利用できる方法などについて説明します。 なお、本章での内容にはAD、LDAP、Linuxに関する基礎的な知識を有しているものとして説明しますので、これらの詳細について情報が必要な方は他のサイトなどを参考にするようにしてください。
Microsoft社はWindows2000のActive Directoryから従来のMicrosoft Networkドメイン以外にも、LDAPの機能もADの中で実装するようになりました。 当初、Windows2000に実装されたLDAP機能は、Posixの一部にしか準拠していないため、実際にはこのLDAP機能はあまり利用しやすいものではありませんでしたが、その後MSからWindows2000のADをPosixに準拠させるためのパッチや設定の情報などが出てきたこともあり、一応はLDAPとして利用できるものになりました。
MSではWindows2003のADから正式にPosixに準拠し、これを利用できる環境が整ったことになりますが、残念ながら日本国内ではこのLDAPを使った設定例が少なく、導入できずにいる方も多いのではないかと思われます。
本資料は、各サイトに散らばっているADの情報の中から取りあえず、LDAPに関する部分だけを抽出して、かつ、動作環境としてWIndowsとLinux環境に絞ることで出来るだけ実例に近い形での資料として作成しています。
なお、本資料中でのAD環境はWindows2003以上をターゲットとします。(Windows2000の場合にはさらにPosix用のパッチを別途適用しておく必要があります)
ADに搭載されているLDAPの機能は、一応Posixに準拠したものとMicrosoft社は説明しています。 ただし、実際にはLDAPのスキーマなどは、MS社独自のものとなっているため、Linuxなどで良く利用されるOpenLDAPなどを利用する方には、少し違和感のある製品といえるでしょう。 しかし、少し工夫をすればLDAPでのユーザ認証程度であればすぐに実現できるので、Windows と Unix(Linux)の混在環境においてはADを使った管理の方が楽ではないかと思われます。(価格面からSamba+OpenLDAPという人もいるかもしれませんが、Windowsサーバがすでに有るために CAL を購入している企業も結構多いことと思います。
そんな環境ではSamba+OpenLDAPの組み合わせはユーザアカウントが分散してしまい「運用コストの低減」には不利だと思われます。勿論、最終的にどのような環境を構築するかはあなた次第ですので、本サイトがそれを強制するものではありません)
本資料で想定する構成例は以下の図の通りです
以下で上記の図のような環境で、Linuxサーバにおけるユーザ認証をLDAPで行うと共に、WindowsのメールクライアントでLDAによるメールアドレス帳を設定したり、Linuxのメールサーバを利用する方法を説明していきます。なお、本資料ではAD自身の基本的な説明は行いません。 既にADによるユーザ登録ができる状態になっているものとして説明します。
ADのLDAPをLinux(Posixアカウント)やメールクライアントのアドレス帳として利用する為のポイントは以下の通りです。
以上のような手順を踏むことで、ADのLDAPを使ったユーザ認証やアドレス帳としての利用が可能になってきます。
Copyright© 1998-2012 ROBATA.ORG