選択肢はLDAP導入のみでしょうか。

Question

わたくしは、７月から職場でネットワーク機器の管理担当となり、
言われるままに管理していたところですが、この度問題があがり
困っています。どなたかお知恵を拝借くださいませんでしょうか。
何卒、よろしくお願いいたします。

＜現状と応急策＞
Windows strage server 2003搭載のNASにてファイルサーバを
管理しており、ユーザーIDとパスワードの設定や、イベントビューア
を日々眺めています。
そこで、各クライアントに配備されるパソコンの設定がセキュリティ
の関係上３ヶ月でパスワード変更となりました。
今は、その都度変更したパスワードを聞いて設定し直しているが
これが断続敵に続き他の仕事が手に着かない状況になってきました。
クライアントは約１００名ほどです。
応急策として、ファイルサーバに接続するときにIＤとパスワードを
要求するように設定してもらいクライアントのWindowsログイン時
には、接続しにいかないようにしてもらう対処を行っています。

しかし、ふと各パソコンのパスワードは定期敵に変更するのに
ファイルサーバの接続のパスワードはずっとそのままというのも
セキュリティ上おもわしくないと感じます。

そこで、いろいろ検討しました。
まず、マイクロソフトのADを使って認証サーバーを立てる。
これは、ライセンス代、サーバー代が大きすぎて却下しました。
次にＮＡＳでそのようなサービスがないか探しましたが
見あたらず。
そして、見つけたのがリナックスでLDAP認証サーバーを立ち上げる
こと。
しかし、リナックスは初めて。LDAP認証サーバによくつかわれている
種類といいますか、ディストリビューションですか。それもわからない。
ネットで見ているとCentOSがいいのか、ウブントォのサーバー版が
いいのか。どちらにしても、LDAP関連の書物を読みあされば構築で
きるのか。勉強したはいいが、設定につまずき、ばんざいにならないか。
仕事のことで経費もかける以上決断が・・・・
なんでストレージサーバにADが付いていないのか。
他にいい方法はないのでしょうか。

どなたかアドバイスをお願いいたします。
今も悩みながら日々パスワードの再設定に追われています。

junkUser · Accepted Answer

LDAP単独では何もできないので、ユーザー数100名ならSambaを使ってはいかがでしょうか。
NTドメイン程度の管理ならできますよ。

anmochi · Answer

> このことについての、わたくしの案としては、
> Windows Storage Server 2003をＬＤＡＰ認証先のサーバとして捉えていたのですが、
> 扱いはクライアントと同じということになるのでしょうか。
　これはライセンス上と技術上の両方に問題がありませんか。
　まず最初に、ライセンス上LDAPサービスの構築はWindows Storage Server 2003では許されていないような気がします。
　次に、仮にここにLDAPサービスを構築したとして、LDAPクライアントは誰ですか？　Windows XPはLDAPのクライアントになる事はできますがLDAP認証クライアントの機能はありませんし、LDAPログインもできません。

　単にLDAPサーバーが欲しいだけなら、Linux＋OpenLDAP＋Apache Directory Studioで（ActiveDirectoryの構築と比べても)そんなに難しい話ではありませんが。
　結構LDAPにご執心のようですので、まず、LDAPを何に使うのか、というのをはっきりさせた方が良いと思います。もちろん、それにはWindowsでLDAPは何に使う事ができるのかというのを正確に知っていなければなりませんね。

anmochi · Answer

> なんでストレージサーバにADが付いていないのか。
　そんな事したらみんな(Windows Server 2003 StandardやEnterpriseをやめて)そっちを使うじゃないですか。

> 次にＮＡＳでそのようなサービスがないか探しましたが見あたらず。
> そして、見つけたのがリナックスでLDAP認証サーバーを立ち上げること。
　ところで、寡聞にして私の知る限りWindows Storage Server 2003はLDAPクライアント機能は無いと思うのですがその辺は大丈夫ですか？　できればどこでその情報を見つけたのか逆にお教えいただけませんか。

　認証サーバーをLinuxか何か(Windows ServerのAD以外)で立ち上げたいというのであれば、一番楽なのはスタンドアロンのSambaサーバーをNT4ドメインコントローラーの設定で実行してクライアント100台とWindows Storage Server 2003をそのドメイン配下に置くというものではないでしょうか。ただ、Linuxとは何ぞやから始めるのはかなり難しいです。あなたの勉強・検証工数だけで間違いなくCAL分を食いつぶす事ができるでしょう。
　安サーバー＋Windows Server 2003 Standard＋100CALで60万円。費用云々の話が出ていますが1人月も行きませんよ。もう少し冷静にコストを考えてみてはいかがでしょう。あなたが(他の業務をこなしつつではあるにせよ)Linux＋Sambaサーバーの構築に1ヶ月以上かけたらその時点でLinuxの方がコスト高になります(あなたにLinuxの知識がつき次からは3日で構築できるようになるにせよ今回は)。
　向こう3年間程度の中期経営計画で今後はLinuxなどの無償OSでサービスをホストするというような方針になれば3年間Linuxの勉強をすればトータルで安くつく可能性はあります。が、そのようなシナリオは見通しが甘いのではないかと個人的には思います。

　なお、LinuxにはAD配下になる事(やADをLDAPとしてみたりKeruberosとしてみたり)ができるので、1台だけWindows Server 2003＋CALを購入してADを構築し、それ以外は全てWindows Storage ServerやLinuxでADの情報を共有する、という事はできます(このパターンの場合はユーザーCALをお勧めします)。

　さて、ここまでだらだら書いてきておいてLinuxについて何も答えないでは回答した意味がないので少し記述しておきます。

　「とにかくお金が無い！」との事なのであれば今ならCentOS 5.4が良いでしょう。個人的にはUbuntsもお勧めですが、仕事をする上ではお勧めできません。汎用ならRedhat Enterprise Linux及びCentOSか、Novel Enterprise Linux。Oracle用途ならRedhat Enterprise LinuxかOracle Enterprise Linux。それ以外のDB用途なら汎用と同じ。

　次に、Linuxを認証の元ネタとしてWindows Storage Server 2003のパスワードとクライアントのパスワードを管理させるのであれば現時点(Sambaの最新版が3.4.3)ではNT4ドメイン相当のSambaしかないと思います(そしてWindows Storage Server 2003をメンバーサーバーにしてクライアントも全部このドメインに参加させる)。LDAPではクライアントが認証できませんし、LinuxでKerberosサーバーにするというのであれば正気の沙汰とは思えません(クライアントのレジストリを一つ一つ(と言っても.regファイルのインポートで良い)手作業で変えないといけない)。

　サーバー管理というのは、「どうすれば良いか」が「何をしたいか」によってわりと綺麗にパターン分けできるので「Windows Storage Server 2003にLDAPの導入をどうすれば良いか。」ではなく「ファイルサーバーを管理してるけどこんな事がしたくって予算はこのくらい。どうすれば良いか。」という聞き方をした方が回答がつきやすいかも知れません。

選択肢はLDAP導入のみでしょうか。

LDAP単独では何もできないので、ユーザー数100名ならSambaを使ってはいかがでしょうか。

> このことについての、わたくしの案としては、

> なんでストレージサーバにADが付いていないのか。

この回答への補足

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング