【ITニュース解説】第836回 Active Directoryへの統合ツールadsysを使う(1) adsysの目指すもの、Active Directory側の設定
2024年10月30日に「Gihyo.jp」が公開したITニュース「第836回 Active Directoryへの統合ツールadsysを使う(1) adsysの目指すもの、Active Directory側の設定」について初心者にもわかりやすいように丁寧に解説しています。
ITニュース概要
Ubuntu 20.04.2 LTS以降で提供されるadsysは、UbuntuマシンをActive Directoryドメインに統合するツールだ。これにより、UbuntuとWindows環境の連携が強化され、システム管理が効率的になる。このadsysの使い方やActive Directory側の設定を複数回にわけて解説する。
ITニュース解説
今回のニュース記事は、Ubuntuという人気の高いLinuxOSを、企業の情報システムで広く使われているActive Directory(アクティブディレクトリ、通称AD)に連携させるための新しいツール「adsys(アドシス)」について解説している。システムエンジニアを目指す上で、Active Directoryと、異なるOSとの連携は避けて通れない重要なテーマであり、このadsysは、今後の企業IT環境においてUbuntuの活用を大きく広げる可能性を秘めているため、その基本的な考え方を理解しておくことは非常に有益だ。
まず、Active Directoryとは何かを理解することが重要だ。Active Directoryは、マイクロソフト社が提供するWindows Serverの主要な機能の一つで、企業内のユーザーアカウントやコンピューター、サーバーなどのネットワークリソースを一元的に管理するための仕組みを指す。例えるなら、会社全体の社員名簿と、各社員が使うPCやプリンターなどのリスト、そしてそれぞれに許された権限がすべて記録され、管理されている中央データベースのようなものだ。社員がパソコンにログインする時、Active Directoryがその社員のIDとパスワードを認証し、その社員がどの情報にアクセスできるか、どのソフトウェアを使えるかなどを決定する。これにより、システム管理者は個々のPC一台一台を設定する手間を省き、セキュリティポリシーを統一的に適用できるため、管理コストの削減とセキュリティの向上が実現できる。
これまで、Active Directoryは主にWindows環境下での利用が想定されてきた。そのため、LinuxOSであるUbuntuのPCをActive Directoryのドメイン(管理下のネットワーク領域)に参加させ、Windowsマシンと同じように管理するのは、技術的にいくつかハードルがあった。既存のツールや手法を使えば、UbuntuマシンをADに連携させることは可能だったが、例えばユーザー認証はできても、Windowsで提供されているような「グループポリシー」と呼ばれる詳細な設定を適用することが難しいなど、完全な統合とは言いがたい部分があったのだ。グループポリシーとは、特定のユーザーやコンピューターに対して、デスクトップの背景色からソフトウェアのインストール制限、USBメモリの使用可否など、多岐にわたる設定を一括で適用できる非常に強力な管理機能である。
そこで登場したのが、今回紹介されている「adsys」というツールだ。adsysは、Ubuntu 20.04.2 LTS以降のバージョンで提供されており、UbuntuマシンをActive Directoryドメインに、より深く、そしてシームレスに統合することを目的としている。adsysが目指すのは、UbuntuマシンをあたかもWindowsマシンであるかのようにActive Directoryから管理できるようになることだ。これにより、Active Directoryの管理者は、Windows環境で培った知識やスキルを活かして、Ubuntuマシンも効率的に管理できるようになる。
adsysが提供する主な機能は二つある。一つは、Active Directoryに登録されているユーザーアカウントを使ったUbuntuへのログイン認証だ。これにより、社員は一つのIDとパスワードで、Windows PCでもUbuntu PCでもログインできるようになり、利便性が向上する。もう一つは、Active DirectoryのグループポリシーをUbuntuマシンに適用できるようになることだ。これは非常に画期的な機能で、今までLinuxマシンでは難しかった、セキュリティ設定の強制や、特定のソフトウェアの実行制限、システム設定の一括適用などが、Active Directory経由で可能になる。例えば、特定の共有フォルダへのアクセス権を設定したり、パスワードの複雑性を強制したり、定期的なセキュリティアップデートの適用を促したりといった設定を、Active Directoryの一元的な管理画面からUbuntuマシンに対しても行えるようになるのだ。
このニュース記事の初回では、adsysを実際に利用する前に、Active Directory側でどのような準備が必要になるかが解説されている。adsysを導入するには、ただUbuntuにツールをインストールすれば良いわけではない。Active Directoryのサーバー(ドメインコントローラー)側で、Ubuntuマシンがドメインに参加するための設定や、グループポリシーを適用するための準備が必要となる。具体的には、DNS(ドメインネームシステム)の設定が正しく行われていることの確認が必須となる。DNSは、ネットワーク上のコンピューターの名前をIPアドレスに変換する役割を担っており、Active Directoryが正しく機能し、UbuntuマシンがADドメインを見つけるためには、正確なDNS情報が不可欠なのだ。また、Active Directoryの管理ツールを使って、組織単位(OU:Organization Unit)を作成し、そこにUbuntuマシンが参加する際の「コンピュータオブジェクト」を配置する設定、そしてそのOUに対して特定のグループポリシーをリンクさせる作業も含まれる。これらのActive Directory側の設定は、adsysがUbuntuマシンに適切に機能するための土台となる。
adsysの登場は、企業におけるUbuntuの利用を一層促進すると考えられる。管理者がWindowsとUbuntuの両方を効率的に管理できるようになれば、LinuxOSを導入する際のハードルが下がり、IT環境の選択肢が広がる。これにより、運用コストの削減や、特定の業務要件に合わせたOSの柔軟な選択が可能となり、システム管理者の負担を軽減しつつ、より堅牢で効率的な企業ITインフラの構築に貢献すると期待されている。