 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
サン守屋氏「Active Directoryをいかにして取り込むかがディレクトリ統合の鍵」 |
||||||||||||
|
||||||||||||
|
~「Microsoft製品との相互運用で広がるSunのソフトウェア・ソリューション」セミナー
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
サン・マイクロシステムズ株式会社(以下、サン)は、米Sun Microsystemsと米Micorosoftとの和解成立、またそれにともなう10年間技術協力の合意がなされたことを受け、サンとマイクロソフトのソリューションの統合運用に関する説明会を開催した。その中で、サンの「Sun Java System Directory Server(以下、Directory Server)」と、マイクロソフトの「Active Directory」という両社のディレクトリサービスに関して、どうすれば効果的に統合を行えるかという点に関し、サンのテクノロジー・ソリューション技術本部 ソリューションスペシャリスト、守屋聡氏より説明があった。 ■ ディレクトリサービスとは?
企業の多くはSolarisをはじめとしたUNIX系OSとWindowsというように複数のシステムが混在するヘテロ環境である。特にクライアントPCがWindowsであるケースが多い。SolarisやLinuxなどのディレクトリサービスには、サンの提供する「Directory Server」やオープンソースの「OpenLDAP」が多く利用されている。一方Windowsでは「Active Directory」を利用してアカウントを管理することが多い。ヘテロ環境においてアカウントを一元的に管理するには、これらのディレクトリサービスを統合する必要がある。サンではDirectory ServerとActive Directoryを統合するにあたって、いくつかのアプローチを提案している。 UNIXクライアントをActive Directoryで認証する方式で統合する場合、pam_ldapなどのモジュールを利用することになる。しかし、この方法は標準性の観点から見た場合に、LDAP v3に関してはAPIが部分的にしか実装されておらず、LDAP v3のCore Protocolでtopオブジェクトクラスなどが規定違反である。また、管理運用という観点から見た場合にも、データベースの複製や、ACIの割り当てなどに問題が発生することもある。 逆にWindowsクライアントをDirectory Serverで認証する方式で統合する場合、GINA(the Microsoft Graphical Identification aNd Authentication)と呼ばれるWindowsにおいてユーザー認証などのハンドリングを行うモジュールを利用する。GINAモジュールはフリーウェアやサードベンダ製のモジュールがそろっているため、モジュールの作成にプログラマブルな作業は必要ない。また、Windowsクライアントの台数が著しく多い場合には、GINAモジュールの配布など管理コストの問題も発生する。しかし最大の問題は、Windows(Active Directory)独自の高度な機能を利用したい場合に、このアプローチでは解決できないということである。 WindowsクライアントにおいてActive Directoryの高度な機能を利用しつつ、Directory Serverと連携させる第3のアプローチとして、サンでは「Sun Java System Identity Synchronization for Windows(以下、Identity Synchronization)」という製品の利用を提案している。Identity Synchronizationは、Active Directory(およびWindows NT SAM)とDirectory Serverの双方向のユーザーアカウント生成、パスワード情報、属性情報を同期させる製品である。すべてのトラフィックは暗号化(SSL/3DES)されているため、ディレクトリサービスという機密性の高い情報でも、セキュアな環境下で同期させることができる。 ■ Active DirectoryとDirectory Serverへのプロビジョニング さらにサンではActive DirectoryとDirectory Serverの連携を実現させた上に、ビジネスフローに基づいたアカウント情報の変更・同期・波及を自動化する製品として「Sun Java System Identity Manager(以下、Identity Manager)」を紹介した。Identity Managerは、入社時のアカウントの作成から、部署や役職の変更などによる権限の承認や委譲、退社したユーザーのアカウントの即時無効化など、アカウントのライフサイクル全体を管理して多くの処理を自動化する製品で、アカウントの管理コストを大幅に軽減することができる。また、変更情報のレポート機能によって、「いつ、誰が、どういう理由でアカウントの情報を変更したか」という情報を把握することも可能である。Identity Manager自身は新しいディレクトリサービスを提供するわけではなく、すでにあるActive DirectoryやDirectory Serverといったディレクトリサービスの情報をもとにしてVirtual Identityを作成し、ユーザーの識別子を含めた属性情報を柔軟にマッピングすることができる。また、一部の例外を除き、Identity Managerでは複数のディレクトリサービスと同期させるためのエージェントは必要ない。そのため、既存の環境にも導入が比較的容易である。 ■ アイデンティティ管理の今後 守屋氏は「今後はディレクトリサービスの単純な同期だけではなく、ビジネスフローに基づいたアイデンティティのライフサイクルを管理する必要があります」と述べ、情報漏えいやプライバシー保護への対策やサービスレベルの向上には、効率よくアイデンティティを管理する必要性を強調した。その上で、将来的なアプリケーションの相互運用性を考えるのであれば、LDAPのような業界標準規格に準拠した技術によってディレクトリサービスは構築されるべきであるとした。■ URL サン・マイクロシステムズ株式会社 http://jp.sun.com/ Sun Java System Identity Synchronization for Windows http://jp.sun.com/javasystem/identitysynch/ Sun Java System Identity Manager http://jp.sun.com/back/2004/0204/feature/
( 北原 静香 )
|
|
|
|
|
|
|