Active Directory入門
企業システムでWindows Serverを利用する場合に、すべての基盤となっている仕組みがActive Directoryです。
Windows Serverによって実現されるさまざまなサービス、例えばファイルサーバやプリントサーバといったベーシックなサービスから、データベースサーバやWindows SharePoint Servicesのようなサービスも、Active Directoryが提供するID管理機能を基盤としています。
ここではActive Directory入門と題して、Active Directoryの概要と、Active Directoryが提供するID管理基盤としての役割を紹介します。
Active Directoryのキホン
Active DirectoryはWindows Serverに標準搭載されているサービスの1つです。このActive Directoryによって、サーバやクライアントPCで利用しているユーザーアカウントの情報を一元的に集約し、管理・利用できます。
![[図1]Active Directoryでユーザーアカウント情報を一元管理](http://cz-cdn.shoeisha.jp/static/images/article/4018/01s.gif)
このようにActive Directoryでアカウントを一元管理している対象範囲を「ドメイン」と呼びます。企業内に存在する多数のユーザー、PC、サーバはこのドメインを1つの単位として、Active Directoryによって管理されることになります。
このドメインにあるユーザーアカウントなどの情報を集約して保存すること、それを実現するためにActive Directoryではこれらのアカウント情報を専用のデータベースに保存しています。アカウント情報をセキュアなデータベースにまとめることによって、パスワード等の秘密情報が漏えいする危険を抑えることができます。またアカウントの利用者が正しいユーザーであることを確認する「認証」をActive Directoryがデータベースを使って行うことで、データベースに保存されている常に新しい情報をもとに、アカウントの確認を行うことができるようになります。
ID管理とは
Active Directoryによって実現されるID管理ですが、そもそもID管理とはどのようなものか、ID管理に求められることにはどのようなものがあるのかについて、おさらいしましょう。
![[図2]ID管理の基本要素](http://cz-cdn.shoeisha.jp/static/images/article/4018/02s.gif)
まずはID管理の「ID(Identification)」について、その定義をもう一度確認したいと思います。Active Directoryで扱う主な「ID」は、セキュリティプリンシパルと呼ばれる、ユーザー名とパスワードなどを格納したアカウント情報です。セキュリティプリンシパルは、ユーザー名と認証のためのキー情報(パスワードやデジタル証明書等)を組として格納しています。
Active Directoryでは、このユーザー名と認証キー(パスワード)を格納したセキュリティプリンシパルのデータをもとに、コンピュータにアクセスしようとしている人が入力したユーザー名とパスワードを比較することで、本当に正しいユーザーであるかどうかを認証します。
これは認証キー(パスワード)が、正しいユーザーにしか入力できない(知られていない)ことを前提としています。
このように、アクセスしようとしてるユーザーが本当に正しいユーザー(ID)かどうかを管理するのがID管理の基本です。しかしシステムにアクセスできる正しいユーザーがどうかを認証するためには、ユーザー名とパスワードを管理するだけでは実現できないことがあります。それは、本物であると認証されたユーザーであっても、アクセスしようとしているシステムやデータ(リソース)に対して、本当にアクセスしてよいのかどうか、アクセスするための権利を持っているかどうかを確認し、許されたユーザーだけがリソースへアクセスできるようにする必要があります。このようなアクセス権利の管理・承認を、アクセス権限の管理と呼びます。
![[図3]アクセス許可にはユーザーを確認する必要がある](http://cz-cdn.shoeisha.jp/static/images/article/4018/03s.gif)
IDの認証とアクセス権利の管理について紹介してきましたが、ID管理にはもう1つ重要な要素があります。それがアクセスログ(証跡)の保存です。ID管理という側面からは、ユーザーを正しく認証しアクセス権限を管理するだけではなく、権限のないユーザーが正しくアクセスを拒否されたこと、また正しいユーザーが正しくアクセスしたことを確認する必要があります。この確認を行うことで、システムにアクセスしているユーザーが、正しく制御されていることを保証できます。
Active Directoryでは、このようなアクセスログ取得が可能になっており、機密リソースへのアクセス監査等に対応することが可能です。
まとめ
Active Directoryでは、ID管理のための基盤を提供するとともに、企業内で利用されるユーザーやシステムをIDに基づいて効率的に管理するためのさまざまな機能を搭載しています。
企業内で活動する多くのユーザーをデータベースに格納し、適切な権限を付与することによって、セキュアな環境を効率的に管理するための仕組みを構築できます。
次回以降は、Active DirectoryやWindows Serverで実現されるこれらの機能について、紹介していく予定です。
関連資料
- Active Directoryに関する技術情報:TechNet Active Directory TechCenter
- Active Directoryに関する概要情報:Active Directory機能概要ページ
