CentOSのActiveDirectory連携(パスワード/認証統合)

CentOSのActiveDirectory連携(パスワード/認証統合)

Linuxサーバを複数管理する際に、アカウント管理業務が煩雑になってくる。 その場合、アカウント管理を統一を考えると思うが、LDAPの導入は敷居が高い。しかしActiveDirectoryであればGUIで簡単にインストール設定ができユーザ管理が容易です。そのActiveDirectoryとCentOSのパスワード/認証の連携方法を紹介します。
Linux（CentOS）とActiveDirectoryを統合方式には、パスワード統合と認証統合の2種類に大きく分けられる。
さらにパスワード統合と認証統合にも複数の方が存在ある。

CentOSのパスワード統合

パスワード統合方式は、各サーバ上にアカウントを作成する必要がありますが、パスワードはActiveDirectory側で管理するため各サーバ上でのパスワード管理 から解放される方式です。
非常に簡単にAD連携ができるが、各サーバ上に個別にユーザUIDを統一してアカウントを作成する必要があります。
しかし、ユーザを作成しなければ、そのサーバにログインできないため、各サーバごとにログイン可能なユーザを制御することができると言えます。

１．pam_krb5によるパスワード統合
２．SAMBによるパスワード統合

CentOSの認証統合方式

１．Windows側にSUAをインストールする方法
　　※SUAはWindowsServer2012から非推奨となる。

　　　　・SUA　＋ NIS
　　　　・SUA　＋ LDAP(UNIX属性)

　　　　　※LDAP情報取得用のアカウントが必要となる
　　　　　※SUAのUNIX属性でUID/GIDを定義することが可能。

２．Linux側に Samba + Winbindをインストールする方法

　　　　・ Samba + Winbind

　　　　　　SIDを統一させるためマッピングする設定が必要
　　　　　　LinuxサーバをDC参加させる必要があるので、WEBアプリケーションを稼働させるWEBサーバには避けたい方式です。

CentOSのAD連携の確認事項

　・SID/GID
　・Passwordの暗号化
　　（LDAP情報取得用のアカウント、一般ユーザ）
　・SSHアクセス可能ユーザ制限


　　　社内システムの場合は、「Samba＋Winbind」の導入を検討する。WEBシステムの場合は、「pam_krb5によるパスワード統合」がおすすめです。

Apache基本認証のAD連携

KERBEROS認証もしくはLDAP認証を用いることで、WindowsのActiveDirectoryを利用したApache基本認証が行えます。

■Apache基本認証とLDAP認証を用いたAD連携

利用モジュール	mod_auth_ldap
メリット	ActiveDirectoryのグループ単位で認証を掛けられるため、ActiveDirectory上での一元管理が可能となります。 AuthLDAPUrlオプション内で許可グループを指定する
デメリット	LDAPの場合は簡易認証となるため、apache-ActiveDirectoryサーバ間のパスワードがクリアテキストで流れてしまいます。 LDAPに接続するためのユーザ(認証対象と別のものでよい)が必要になる。

■ApacheとKERBEROS認証を用いたAD連携

利用モジュール	mod_auth_kerb
メリット	Apache-ADサーバ間はKERBEROS経由を利用するため、パスワードが暗号化されます。
デメリット	KERBEROS認証の場合は、ActiveDirectory上の有効なユーザ全員が対象となり、ActiveDirectory上の特定OU内のユーザのみにすることは出来ないようです。 特定ユーザのみにする場合は「Require user」か、ユーザを列挙したファイルを用意して「Require group」を使用することになります。

基礎から分かる Samba 4 構築&運用入門 著者：竹内 英雄、亀井 裕、鈴木 慶太、小田切 耕司、武田 保真 出版日：2014-06-05 出版社：日経BP社

Software Design (ソフトウェア デザイン) 2014年 06月号 著者： 出版日：2014-05-17 出版社：技術評論社