391.2アクティブディレクトリおよびKerberosとLDAPの統合

今回は300試験の試験範囲から「391.2 アクティブディレクトリおよびKerberosとLDAPの統合」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜391.2 アクティブディレクトリおよびKerberosとLDAPの統合＞
重要度 2

＜説明＞
LDAPとActive Directoryを統合できること。

＜主要な知識範囲＞
・LDAPのKerberos認証との統合
・クロスプラットフォーム認証
・シングルサインオンの概念
・OpenLDAPとActive Directoryの統合および互換性の制約

＜重要なファイル、用語、ユーティリティ＞
・Kerberos
・Active Directory
・シングル・サインオン
・DNS

■例題
Active DirectoryとLDAPの認証統合の説明として間違っているものを選びなさい。

1. Active DirectoryはLDAPをベースとしたディレクトリサービスである
2. Active DirectoryはKerberosによるシングルサイオン認証をサポートしている
3. Active Directoryでユーザー認証を行えば、Linux側での認証は不要となる
4. Active Directoryとの認証統合を行う主な用途としてSambaによるファイルサーバーが挙げられる

※この例題は実際のLinuC試験とは異なります。

Active Directoryは、Windowsネットワークで利用されているディレクトリサービスです。ベースになっているのは、LDAPとKerberosですので、LinuxのLDAPやKerberosと基本的な相互互換性があります。ただし、Active Directoryは独自の拡張を行っている面もあるので、Windowsで利用できる機能がすべてLinuxでも使えるわけではありません。

Active DirectoryとLinuxを連携させる際に利用するのが、Kerberosによるシングルサイオン認証です。これはActive Directoryでユーザー認証を行うと、その後Kerberosをサポートし、Active Directoryと連携しているサービスはKerberosによる認証を行えるというものです。
実際には、認証を行っていないわけではなく、チケットをベースにした認証を行っています。Kerberosを使って認証を行いたいサービスは、あらかじめActive Directoryとの連携を設定しておきます。認証を行う際に、ユーザーはActive Directoryに対して当該サービスの認証チケットの発行を要求します。チケットが発行されると、そのチケットを使って当該サービスはユーザーを認証します。

このようなActive DirectoryとKerberosによるシングルサイオン認証を行うLinux上のサービスとしてSambaが挙げられます。Sambaは自身がActive Directoryのドメインコントローラーとして振る舞う他、Active Directoryのドメインに参加して、Active Directoryで認証を行ったユーザーに対してファイルサーバーの機能を提供することもできます。

■例題作成者
株式会社びぎねっと　代表取締役社長　宮原徹氏

※上記の解説とその内容については、例題作成者の監修です。