- PR -

NTML認証とLDAP認証

1
投稿者投稿内容
たけぞう
会議室デビュー日: 2003/09/16
投稿数: 3
投稿日時: 2003-09-16 15:42
はじめて書き込みいたします。

Windows2000環境にて、NTML認証をユーザ認証に用いるアプリケーションソフトを使用したいのですが、ActiveDirectoryが混在モードでなければならないとベンダーから言われました。

ActiveDirectoryが混在モードであればNTML認証でユーザ認証が行われるが、
ネイティブモードだとLDAP認証となってしまうため、上記アプリケーションが使用できなくなるというのですが、
「ネイティブモードだとLDAP認証となってしまい、NTML認証はできない」
というのは正しいですか?
Amnesian
会議室デビュー日: 2003/08/19
投稿数: 2
投稿日時: 2003-09-26 14:24
Active Directoryが混在モードであろうがネイティブモードであろうが、NTLM認証は利用できます。ADのモードの違いは、以下のような意味です。

・混在モード=ドメインコントローラとしてWindows NTのBDCが混在することが可能
・ネイティブモード=ドメインコントローラとしてWindows NTのBDCが存在できないモード

ネイティブモードか混在モードかに関わらず、Windows 2000のドメインコントローラはKerberos認証とNTLM認証の二つをサポートしています。厳密にはNTLM認証にはさらにv1/v2があり、Lanman認証というものもあって、この動作ポリシーをチェックする必要がありますが、デフォルトであれば一番緩い設定になっているので問題はないはずです。

ちなみにWindows 2000はKerberosをサポートしているクライアントやサーバ(Windows 2000 / XP / 2003) に対してはKerberos認証を行い、そうでないもの(Windows NT / 9x )に対してはNTLM/Lanmanを使います。

またLDAP認証というのがLDAP bindやqueryでの基本認証の意味だとすると、WindowsからのログオンやWindowsサーバ接続時の認証としては使用されません。これは別にADがLDAPプロトコルをサポートしないということではありません。WindowsではADのオブジェクトやアトリビュートの参照や設定にADSIというAPIを通じてLDAPプロトコルを使用します。しかし、LDAPの基本認証はセキュリティ上弱いので、ADSIアクセス時にはオプションでKerberosかNTLMの認証を指定して使うのが普通です。
たけぞう
会議室デビュー日: 2003/09/16
投稿数: 3
投稿日時: 2003-09-26 15:00
ありがとうございます。
ベンダーの言っている事は正しくないわけですね。

ちなみに、NTLM認証の設定は、具体的には
ビルトインセキュリティグループである
[Pre-Windows2000 Compatible Access]に
例えば[Everyone]を追加する作業を指し、
混在モードでインストールする場合は自動的に設定される
という理解で正しいでしょうか?
1

スキルアップ/キャリアアップ(JOB@IT)