391.2 アクティブディレクトリおよびKerberosとLDAPの統合

今回は300試験の試験範囲から「391.2 アクティブディレクトリおよびKerberosとLDAPの統合」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜391.2 アクティブディレクトリおよびKerberosとLDAPの統合＞
重要度 2

＜説明＞
LDAPとActive Directoryを統合できること。

＜主要な知識範囲＞
・LDAPのKerberos認証との統合
・クロスプラットフォーム認証
・シングルサインオンの概念
・OpenLDAPとActive Directoryの統合および互換性の制約

＜重要なファイル、用語、ユーティリティ＞
・Kerberos
・Active Directory
・シングル・サインオン
・DNS

■例題
LDAPとActive Directoryの統合についての説明で間違っているものを選びなさい。

1. Active DirectoryのKerberos認証を使って、Linuxを認証できる
2. Kerberos認証はシングル・サインオンを実現する認証の仕組みである
3. シングル・サインオンは1回の認証で複数サービスの認証が行える
4. LinuxはActive Directoryのドメインには参加できない

※この例題は実際のLinuC試験とは異なります。

Windows上で動作するActive Directoryは、LDAPによるディレクトリやKerberos認証などをサポートしています。

Kerberos認証は、いわゆるシングル・サインオンを実現する仕組みです。
Kerberosで一度認証が行われるとチケット(TGT)が発行され、以後はKerberos認証で連携しているサービスの認証はチケットを介して行われるようになります。サービス認証自体はバックエンドで行われているため、ユーザーからは認証を1回だけ行っているように見えるのでシングル・サインオンと呼ばれています。

LinuxをActive DirectoryのKerberos認証に接続することで、Linuxへのログイン認証などをActive Directoryの認証情報で行うことができます。認証にはPAMのpam_krb5モジュールを使用しますが、認証のみ行うため、ユーザーは別途Linux上で作成しておく必要があります。

Linux上でSambaを動かすことで、Active Directoryのドメインに参加することができます。この場合も、SambaへのアクセスをActive Directoryで認証することができます。