製品レビュー
Windows Services for UNIX 2.0

3.ユーザー・アカウントの管理とパスワード同期

デジタルアドバンテージ
2000/11/25

ユーザー名マッピング

 ユーザー名マッピングとは、NFSサービスで使用するユーザー名/グループ名と、Windows側のユーザー名/グループ名をマッピングする機能のことである。この機能がないと、NFSサーバ側ではどのユーザーからアクセスが行われているかを識別することができなくなってしまう。

ユーザー名マッピング

NFSとWindows(SMB)のユーザーID/グループIDの対応(マッピング)の設定。
  UNIX側のユーザー/グループ名にアクセスするための手段(NISかPCNFSか)を選択する。
  マッピングの設定。
  マッピング・データのロードとセーブ。
  簡易マッピングの設定。Windows側とUNIX側で、同じユーザー名やグループ名を使用している場合に選択する。
  詳細マッピングの設定。Windows側とUNIX側で、異なるユーザー名やグループ名を使用している場合に選択する。

NISサーバ機能

 UNIX(含むLinux)において、マシン単位ではなく、多数のマシンの間で共通のユーザー・アカウント/パスワードを管理する場合、一般的にはNIS/NIS+(Network Information Service、古くはYP、Yellow Pagesとも呼ばれた)サービスを利用する。SFUには、このNISサーバ機能も用意されており、この機能を使えば、Windowsドメイン・ユーザーとNISドメイン・ユーザーを、すべてWindows NT/2000 Server側で集中的に管理できる。

NISサービスの管理画面

NISサーバの設定を行う。
  管理の対象となるNISドメイン。
  NISサーバの設定。
  hostsやpasswdなどのNISマップの強制的な送信(yppush)を行う。
  NISドメインに追加するサーバの指定。
  NISサーバの状態(マスタ/スレーブ)

パスワード同期

 パスワード同期機能とは、UNIXマシンとWindowsマシン間でパスワードを同期させ、パスワードの管理にまつわる手間を低減させるための機能である。この機能を使うと、Windows側で変更したパスワードをUNIXマシン側へも自動的に反映させたり(これはデフォルト機能)、逆に、UNIXマシン側で行ったパスワード変更をWindowsマシン側へ同期させたりすること(これはオプション機能。この機能を使用しないことも可能)ができる。正しく同期が取れていないと、NFSアクセスなどで不具合が生じることになる。もしこの同期機能を使わないとすれば、ユーザーは、UNIX側とWindows側で2度パスワードの変更操作を行う必要があり、とてもわずらわしくなるが、逆にいうと、このような状態でもかまわないのなら、パスワード同期機能を使わなくてもよい(以下のような、パスワード同期のためのモジュールのインストールや、その管理の手間が省けるので、管理者としてはありがたいかもしれない)。

パスワード同期

パスワード同期機能を使うと、Windows側で変更したパスワードをUNIX側へ伝えたり、逆に、UNIX側で設定したパスワードをWindows OS側へ反映させたりすることができる。

 なお、これはあくまでもパスワードの同期を行うためだけの機能であり、シングルサインオン機能(ユーザー/パスワードを一度入力すると、以後はネットワーク内の任意のUNIX/Windowsマシンに自動的にログオンできる機能)を実現するためのものではない。

パスワード同期の管理画面

パスワード同期の動作を設定するための画面。
  パスワード同期サービスの全般的な動作の設定。個別のマシンごとに固有な設定を行うには、の[詳細設定]タブを使う。
  特定のUNIXマシンに固有なパスワード同期サービスの設定。
  UNIX側からWindows側への同期の通知の設定。逆方向(Windows側からUNIX側)への同期はデフォルトで有効になっている。
  パスワード同期のための通信の暗号化に使用する鍵データの設定。この値を相手側のUNIXマシンのコンフィギュレーション・ファイル(sso.cfg)に設定する。
  暗号化通信に使用するポート番号。
  同期のための通信の再試行回数の設定。

 パスワード同期の機能を利用する場合、その運用形態に応じていくつかのパターンがある。ネットワーク上にあるすべてのWindows/UNIXマシンのパスワードを同期させたいのか、それともある特定の2台のWindows/UNIXマシンのパスワードだけを同期させたいのかによって、インストール/運用方法が変わってくるのである。この同期機能は、SFUのモジュールをインストールしたマシンにのみ作用するようになっている。基本的には、WindowsマシンとUNIXマシンの双方にこの同期モジュールをインストールしておき、ユーザーからのパスワード変更の要求を受けたマシンが、同期する相手のマシンへ変更を通知することによって同期処理を実現している。そのため、どの範囲のパスワードを同期させたいかによって、インストールの方法が変わってくるのである。

■WindowsからUNIX側へのパスワード同期

 Windowsクライアント側で変更したパスワードを、自動的にUNIX側に通知するのは、SFUのデフォルト機能として用意されている(逆方向の同期はオプション)。

●Windows側へのパスワード同期モジュールのインストール
 Windows側へパスワード同期モジュールをインストールする場合、非ドメイン・コントローラにインストールするか、ドメイン・コントローラにインストールするかで、同期する対象となるアカウントが異なる。

 ドメイン・コントローラでないWindowsマシンにだけパスワード同期モジュールをインストールすると、Windowsクライアントで行ったパスワードの変更は、そのWindowsマシンが持つローカル・アカウント・データベースにのみ反映される(ドメイン・ユーザー・アカウントは変更されない)。そして、同時にその変更がUNIX側へも通知される。

 ドメイン・コントローラにインストールした場合は、ドメイン内の任意のWindowsクライアントで行ったパスワードの変更は、そのドメインのアカウント・データベース(Windows 2000の場合はActive Directory)に反映されると同時に、UNIX側へも通知される。なおこのような形態で利用する場合、Windows用のパスワード同期モジュールは、すべてのドメイン・コントローラにインストールする必要がある(NT 4.0の場合はPDCとすべてのBDCにインストールし、Windows 2000の場合はすべてのドメイン・コントローラにインストールする)。Windowsのドメイン環境では、ユーザーのパスワード変更がどのドメイン・コントローラで行われるかは決まっていないため(通常は、クライアントからのブロードキャストに一番早く応答したドメイン・コントローラで、認証やパスワードの変更などが行われる)、同期モジュールをインストールしていないドメイン・コントローラでパスワードが変更されてしまうと、それが正しくUNIX側へ伝わらないからである。

●UNIX側へのパスワード同期モジュールのインストール
 Windows側からのパスワード変更を受け付けるためには、UNIX側にパスワード同期のためのデーモンssod(single sign-on daemon。各UNIX用のモジュールがSFUのCD-ROMに含まれている)をインストールする必要がある。UNIX側でNISサービスを利用している場合は、NISのマスター・サーバにssodをインストールする。そうでない場合は、パスワード同期を利用したいUNIXマシンにssodをインストールする。

■UNIXからWindows側へのパスワード同期

 この機能は先ほどとは逆に、UNIXクライアントで行ったパスワード変更を、Windows側へ自動的に通知して、Windowsサーバ側で管理しているユーザー名/パスワードを変更するためのものである。この機能をインストールしていない場合は、パスワード変更はWindows側でのみ行うようにするか、WindowsとUNIXの両方でいちいちパスワード変更を行う必要がある。

●UNIX側へのパスワード同期モジュールのインストール
 UNIX側で行ったパスワード変更をWindows側へ通知するためには、同期させたい各UNIXクライアントに、パスワード同期のためのプラガブル認証モジュール(pam_sso.so。pamはユーザー認証のために用意されている機能のひとつ)をインストールする。

 ある特定のUNIXクライアントにだけインストールした場合、UNIX側で行ったパスワードの変更は、そのローカルUNIXマシンのパスワード・データベースに反映されるとともに、Windows側へも通知される。

 NISサーバ(サーバとクライアントの両方)にインストールした場合、NISデータベースのパスワードが変更されるとともに、それがWindows側へも通知される。

Windows側へのパスワード同期モジュールのインストール
 Windows側へパスワード同期モジュールをインストールする場合、先の場合と同様に、非ドメイン・コントローラにインストールするか、ドメイン・コントローラにインストールするかで、同期する対象となるアカウントが異なる。前者の場合はそのローカルのアカウントだけが同期の対象となり、後者の場合はドメインのアカウント・データベースが同期の対象となる。


 INDEX
  [製品レビュー]Windows Services for UNIX 2.0
    1.SFUの概要とインストール
    2.NFSサーバ/クライアント機能
  3.ユーザー・アカウントの管理とパスワード同期
    4.UNIX互換ツール
 
 製品レビュー


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH