このページの本文へ

前へ 1 2 3 次へ

Windows Serverで学ぶサーバOS入門第13回

OUの作成やコンピュータの登録など、活用方法を見てみよう

Active Directoryの認証と承認の違いとは?

2010年04月20日 09時00分更新

文● 横山哲也/グローバルナレッジネットワーク株式会社

  • この記事をはてなブックマークに追加
  • 本文印刷

前回はドメインコントローラを構成し、Active Directoryドメイン環境を構築した。続いては、コンピュータアカウントやユーザーアカウントの登録方法や、クライアントコンピュータからログオンする方法など、できあがったActive Directoryを利用する方法について解説する。

Active Directoryの認証の仕組み

 Active Directoryに登録されたユーザーは、正しく登録されていることが確認されると、ドメイン内のファイルサーバや情報といった資源を利用できるようになる。この確認する作業を「認証(Authentication)」と呼ぶ。ただし、ドメインコントローラによる認証が行なわれるのは、ドメインにログオンするときなどであり、ファイルサーバや情報にアクセス許可が与えられているかどうかを確認するには、別途「承認(Authorize)」という作業が行なわれる。認証と承認はディレクトリサービスの基本なのだ。

 認証のための準備は、コンピュータとユーザーの両方で必要である。いずれも「アカウント」という形でActive Directoryデータベースに登録する。実際の認証は一種のパスワードを使って行なわれる。

Kerberos認証と承認

 Active Directoryは、第3回で紹介した「Kerberos認証」を利用する。これは、ドメインコントローラで認証を行なう初期ログオンと、対象とするサーバに対するアクセス認証の2段階で行なわれる。まず、初期ログオンの手順は、以下の通りだ(図1)。

  1. クライアント上でユーザーが入力したパスワードを暗号化し、ドメインコントローラに送信(図1の(1))
  2. ドメインコントローラは、送られてきたパスワードをActive Directoryデータベースに登録されたパスワードと照合する(図1の(2))
  3. 正しいパスワードだった場合は、ドメインコントローラが、そのユーザーが本物であるという「有効期限付チケット」を発行し、クライアントに送る(図1の(3))。このチケットは、今後サーバにアクセスするためのチケットを取得するためのチケットとして使うため「チケット許可チケット(Ticket-Granting Ticket:TGT)」と呼ばれる
図1●初期ログオンの仕組み(ドメインコントローラでの認証)

 ドメインコントローラへの初期ログオンは、通常PCにログオンしたときに行なわれる。続いて、ファイルサーバなどにアクセスすると、以下のような手順でアクセス認証が行なわれる(図2)。

  1. ユーザーは、TGTを添付してファイルサーバの利用許可をドメインコントローラに要求(図2の(1))
  2. ドメインコントローラはTGTを確認する(図2の(2))。TGTにはドメインコントローラしか知らない情報が暗号化されている。そのためTGTを提示することで、以前認証したユーザーであることがわかる
  3. ドメインコントローラは、ユーザーに「サービス利用チケット」を送信する(図2の(3))。サービス利用チケットにはファイルサーバのパスワードで暗号化されたデータが含まれる
  4. ユーザーがサービス利用チケットをファイルサーバに提示(図2の④)。サービス利用チケットに、ファイルサーバとドメインコントローラしか暗号化できないデータが含まれることを確認する。これにより、ファイルサーバは、ドメインコントローラがクライアントを正当なユーザーだと認めたことが確認できる
図2●サーバへのアクセスの承認

 Kerberos認証では、ユーザーのパスワードだけではなく、サーバにもパスワードが必要である。また、初期パスワードの送信が可能なクライアントもKerberos認証を行なうためパスワードが必要だ。これは「信頼できないコンピュータから送られてきたパスワードは、信頼できない」という原則に基づいている。ただしActive Directoryでは、コンピュータのパスワードは自動的に構成され、自由に設定できない。

OUの作成

 組織単位(OU)は、コンピュータアカウントやユーザーアカウントの分類に便利だ。OUの作成は簡単で、システムにかける負荷も低い。また、既存のOU階層を変更するのも難しくないので、活用したい。OUの作成手順は以下の通りである。

  1. コントロールパネルの管理ツールから「Active Directoryユーザーとコンピュータ」を起動
  2. ドメイン名または適当なOUを右クリックし、「新規作成」-「組織単位(OU)」を選択(画面1)
  3. 画面1●「Active Directoryのユーザーとコンピュータ」で、OUの作成を始める
  4. OU名を入力し、「OK」をクリックする(画面2)
画面2●OUの名称を入力する

(次ページ、「OUへの移動<」に続く)


 

前へ 1 2 3 次へ

この連載の記事
ピックアップ