Linux と Active Directory Domain Services を統合する
Linux 仮想マシンを Active Directory に統合するには、いくつかの方法があります。 次の 3 つの主なオプションは、組み込みまたは自由に使用できるコンポーネントに基づきます。
- LDAP 認証と承認。 LDAP 認証と承認では、LDAP 標準による Active Directory のコンプライアンスが使用されます。 NSS (ネーム サービス スイッチ) および PAM (プラグ可能な認証モジュール) を実装するアプリケーションでは、LDAP モジュールを使用して Active Directory の LDAP エンドポイントとの通信が可能になります。 LDAP 認証を利用する場合、Linux クライアントからパスワードを変更できません。 パスワードの有効期限ポリシーに準拠するパスワード変更プロセスを検討してください。そのためには、パスワードを変更する別の方法をユーザーに提供するか、自動パスワード更新メカニズムを用意します。
- Kerberos 5 認証と LDAP 認証。 Kerberos 認証では、NSS は LDAP を引き続き使用し、LDAP 認証と同様に機能しますが、PAM は pam_krb5 モジュールを使用して、Active Directory で実装されている Kerberos キー配布センター (KDC) に対して認証を行います。 これは一般的な構成です。安全な方法ですぐに使用できるコンポーネントで動作し、パスワードの変更機能を提供するためです。
- Winbind 認証と承認。 Winbind はより複雑なソリューションであり、Linux システム上で Winbind デーモンを実行する必要があります。 Winbind は、RPC や NTLM のサポートなど、より高度な技術機能を提供します。また、認証する AD DS ドメイン コントローラーに、特定のコンポーネント (UNIX 用サービスなど) をインストールする必要もありません。 Winbind は、Samba 相互運用性スイートに含まれており、SMB プロトコルを使用してファイル共有機能も提供します。 SMB を使用する場合は、Winbind を使用するのが合理的な選択です。