RODCは、デフォルトではパスワード情報を保持しない。ユーザーの認証要求をブランチ・オフィス内で受け取り、パスワード情報を保持するサーバへと要求を転送するサーバなので、拠点に置く認証ゲートウェイ・サーバのように見えるかもしれない。ただし、このままではユーザーの認証要求ごとに細い回線を利用することになり、回線のトラブルなどにも対応できない。そのためこれらを補う機能として、一度認証されたユーザーやコンピュータのパスワードをキャッシュする機能を持っている。これにより、同じユーザーの認証要求が何度も回線を経由することも、ブランチ・オフィスのドメイン・コントローラが全ユーザーのパスワード情報を保持することもなくなる。
さて、Active Directoryをよく知る方はいくつか疑問もあるだろうから、パスワード複製に関してもう少し細かく見ていくことにしよう。
パスワードをキャッシュするかどうかは、ユーザーやグループ、コンピュータごとに設定可能である。次の画面を見ると、[Active Directory ユーザーとコンピュータ]管理ツールから見たRODCのプロパティの中に、[パスワード レプリケーション ポリシー]というタブが存在することが分かる。
この画面中では、分かりやすいように「山田 太郎」というユーザーに対して「許可」、「鈴木 花子」というユーザーに対して「拒否」という設定をしている。これにより、山田というユーザーのパスワードはキャッシュされ、鈴木のパスワードはキャッシュされなくなる。ほかにもネットワーク全体をセキュリティのリスクにさらさないよう、AdministratorsやServer Operatorsなど、いわゆる管理者のパスワードはデフォルトでキャッシュを拒否するようになっている。
ただし多くの拠点を有する会社において、サイトごとにRODCの設定を編集するには多くの手間がかかる。そこで、Windows Server 2008のActive Directoryでは、「Users」コンテナ配下に以下の2つのドメイン・ローカル・グループが存在しており、RODCのパスワード・レプリケーション・ポリシーにデフォルトで登録されている。これらのグループを活用して(必要なユーザーやグループをこれらのローカル・グループへ登録する)、キャッシュ機能の許可/拒否を管理するとよい。
通常の流れとして、RODC経由でログオンした場合にのみパスワード・キャッシュが行われることを考えると、ドメインのユーザー全員(もしくは全国のブランチ・オフィスに所属するユーザー全員)に対してパスワード・キャッシュ許可の設定をしておいたとしても、社内のユーザー全員のパスワードが1台のRODCにキャッシュされるようなことはない。よって、管理負荷を増やしてでも細かく制御をしたければRODCごとの設定を、管理負荷を減らしつつRODCのパスワード・キャッシュ機能を有効活用したければ上記の許可/拒否グループをうまく活用するというパターンが考えられる。もしくはその両方の組み合わせを選択する企業があるかもしれない。特に複雑な仕組みではないので、パスワード複製の運用設計については、企業における認証基盤の利用の仕方や運用ポリシーを考えればおのずと見えてくるだろう。
なお、ユーザー個人に許可しつつ、そのユーザーをDenied RODC Password Replication Group(拒否用グループ)のメンバーに登録すると整合性が取れなくなりそうに思われる。だがWindows OSの一般的なルールでは、常に(許可権よりも)拒否権が優先されることになっているので、この場合はパスワード・キャッシュは拒否されることになる。
パスワード・キャッシュの許可/拒否設定だけであれば、ユーザーのログオン時にキャッシュが行われるが、ネットワークのメンテナンス前に強制的にキャッシュしておきたい場合などは、事前に作業をしておくこともできる。次の画面を見ると、[パスワードの事前配布]という、事前キャッシュのための機能(ボタン)が用意されていることが分かる。
なお、事前配布の設定画面の中でも警告が出てくるが、Active Directoryの処理にはユーザー・アカウントに加えて、ユーザーがログオンするコンピュータ・アカウントのパスワードも必要になるので注意していただきたい。 もちろん、事前配布設定の画面からはユーザーだけでなくコンピュータのアカウントも指定可能である。
RODCやパスワード・キャッシュ機能を利用する場合、運用上、誰のパスワードがキャッシュされているかを知りたいことがある。Windows Server 2008の管理画面では、特定のRODCに対してパスワードがキャッシュされているアカウントや、パスワードがキャッシュされているかどうかに関係なく、RODCにて認証されたアカウントのリストを表示することができる。このリストを見て、意図していないユーザーによるログオンや、意図していないユーザーのパスワード・キャッシュなどを確認できる。
このリスト(パスワードそのものは入らない)はCSVファイルなどにエクスポートできるので、定期的にRODCの利用状況を確認、保存しておくのもよいだろう。
最初に、RODCが利用されるブランチ・オフィスには物理的リスクが存在すると書いた(第1回参照)。本来安全に管理されるべき認証サーバが、営業所のカウンターの下や書棚の隣に置いてあることもある。サイズの小さなサーバが営業所の机の上に置かれ、「触るな」という張り紙がしてあるお客さまを見たこともある。日本では少ないだろうが、治安上の問題を抱える国などではサーバそのものが盗まれる可能性も否定できない。
Active Directoryは海外拠点を含む全世界のネットワーク基盤として利用されることもあるため、セキュリティ上の課題を抱える拠点が1つでもあればネットワーク全体のリスクとなり得る。そこで、Windows Server 2008ではRODCがなくなってしまったときのリスクに対応する機能も提供している。管理ツールの[Active Directory ユーザーとコンピュータ]からRODCのコンピュータ・アカウントを削除しようとすると次のような画面が表示され、RODCにキャッシュされているユーザーやコンピュータ・アカウントのパスワードをすべてリセットしてくれる。
このような機能を利用することがないことを祈るばかりだが、もしものときのために、管理者が介在しなければネットワークにログオンできない状況をつくっておくこともできるわけだ。物理的リスクの高いサーバであればBitLockerドライブ暗号化機能を使い、フルボリュームの暗号化と同時に利用することをお勧めする。
Copyright© Digital Advantage Corp. All Rights Reserved.