【ITニュース解説】第855回　Sambaで作るActive Directory互換環境 （4） UNIX属性の利用

Sambaを用いたActive Directory互換環境の構築と、特にUNIXシステムで利用する属性の扱いについて解説する。システムエンジニアを目指す初心者にとって、WindowsとUNIX/Linuxが混在する環境でのユーザー管理やリソース共有は重要なテーマだ。

まず、Sambaとは何か、その役割から説明する。Sambaはオープンソースソフトウェアの一つで、主にUNIX/Linux環境で動作し、Windowsネットワークとの間でファイル共有やプリンター共有、そして認証連携を可能にする。これにより、WindowsのコンピューターからLinuxサーバー上のファイルにアクセスしたり、逆にLinuxサーバーがWindowsの認証システムを利用してユーザーを認証したりといったことが実現できる。

Active Directory（アクティブディレクトリ、略してAD）は、マイクロソフトが提供するWindowsネットワークの中心的なサービスで、組織内のユーザーアカウント、コンピューターアカウント、グループ、共有フォルダー、プリンターなどのリソースを一元的に管理する。ユーザーがネットワーク上のリソースにアクセスする際の認証や、利用できるリソースの制限など、様々な制御を行う基盤となるものだ。

Sambaを使って「Active Directory互換環境」を構築するということは、SambaがWindowsのActive Directoryと同じような機能を提供できるように設定することだ。これにより、Windowsクライアントはもちろん、UNIX/LinuxクライアントからもActive Directory互換の認証システムを利用できるようになる。これは、異なるオペレーティングシステムが混在する大規模な企業ネットワークにおいて、ユーザー管理の効率化に大きく貢献する。

SambaでこのようなActive Directory互換のドメインを作成する際、特別なオプションを指定することがある。例えば、「--use-rfc2307」というオプションだ。このオプションは、RFC 2307というインターネット標準規格に基づいたスキーマ拡張をSambaのActive Directory互換環境に適用することを意味する。

RFC 2307とは、「Using LDAP as a Network Information Service」というタイトルの標準規格で、UNIX/Linux環境でユーザーやグループの情報をLDAP（Lightweight Directory Access Protocol）というディレクトリサービスに保存するための属性、つまり情報項目を定義している。通常、Active DirectoryはWindows環境で必要なユーザー情報（氏名、パスワード、所属グループなど）しか持っていない。しかし、UNIX/Linux環境でユーザーを利用するには、Windowsとは異なる追加の情報が必要になる。

その追加情報こそが「UNIX属性」と呼ばれるものだ。具体的には、以下のような情報が含まれる。

• UID (User ID): UNIX/Linuxシステム上で個々のユーザーを一意に識別するための番号。WindowsのSID（Security Identifier）に似ているが、UNIX/Linux固有の識別子だ。
• GID (Group ID): UNIX/Linuxシステム上でグループを一意に識別するための番号。ファイルやディレクトリのアクセス権限設定に利用される。
• ホームディレクトリ: ユーザーがシステムにログインしたときに、そのユーザーの個人ファイルが保存されるデフォルトのディレクトリのパス。例えば、「/home/username」のような形式だ。
• ログインシェル: ユーザーがシステムにログインした後に実行されるコマンドインタプリタのプログラム。例えば、bashやzshなどが一般的だ。
• Gecos (GEneral COmments Service): ユーザーに関する補足情報で、例えばユーザーのフルネームや電話番号、オフィス番号などを保存する欄だ。

これらのUNIX属性をActive Directory互換環境に「スキーマ拡張」として追加することで、SambaはWindowsユーザー情報だけでなく、UNIX/Linuxユーザーに必要な情報もActive Directoryに保存し、一元管理できるようになる。つまり、ユーザーアカウントを一つ作成すれば、そのアカウント情報の中にWindows環境での情報とUNIX/Linux環境での情報の両方をまとめて持たせることができるようになるのだ。

このUNIX属性がActive Directoryに保存されると、その後の挙動はどのようになるのだろうか。UNIX/LinuxクライアントがSambaのActive Directory互換環境に認証を求めるとき、単にユーザー名とパスワードを認証するだけでなく、Active Directoryに保存されているそのユーザーのUID、GID、ホームディレクトリ、ログインシェルといったUNIX属性の情報も取得する。UNIX/Linuxシステムは、これらの属性情報を使って、ログインしたユーザーを正しく識別し、適切な権限を割り当て、ユーザー固有の環境（ホームディレクトリなど）を準備する。

例えば、ユーザーがLinuxマシンにログインしようとした場合、LinuxマシンはSamba経由でActive Directoryにアクセスし、そのユーザーのパスワードが正しいかを検証する。認証が成功すると、Active DirectoryからそのユーザーのUIDやGID、ホームディレクトリのパス、そしてどのシェルを使うかといった情報を受け取る。Linuxマシンはこの情報に基づいて、ユーザーにUIDとGIDを割り当て、指定されたホームディレクトリをユーザーの作業場所として設定し、指定されたシェルを起動することで、ユーザーが作業できる環境を整えるのだ。

これにより、Windows環境とUNIX/Linux環境が混在するネットワークにおいて、それぞれのシステムで別々にユーザーアカウントを作成・管理する手間を省き、一元的なユーザー管理を実現できる。SambaのActive Directory互換機能は、WindowsとUNIX/Linuxの間の壁を取り払い、よりスムーズで効率的なITインフラの運用を可能にする、非常に強力なツールと言えるだろう。RFC 2307に基づくUNIX属性の利用は、このシームレスな連携を実現するための重要な土台となっている。

この一連の機能によって、システム管理者は、異なるプラットフォームのユーザーアカウントを一箇所で管理できるようになり、アカウントの作成、変更、削除といった作業が大幅に簡素化される。また、ユーザー側から見ても、WindowsとUNIX/Linuxの両方のシステムで同じユーザー名とパスワードを使ってログインできるため、利便性が向上し、パスワード忘れなどのトラブルも減る。このように、SambaとActive Directory互換環境、そしてRFC 2307に基づくUNIX属性の利用は、現代の多様なIT環境における認証と管理の課題を解決するための鍵となる技術だ。