PR

 第3回および第4回の「WindowsかLinuxか」で見たように,Linuxなどの無償UNIX風OSを活用すれば導入コストを抑えることができる。このときもう一つ選択に迷うことになるのが,ユーザーやコンピュータなどのネットワーク資源を一元管理するディレクトリ・サービスである。

 UNIX風OSで広く使われているのは,オープンソースの「OpenLDAP」。Windows Serverなら「Active Directory」である。ユーザー管理の面では,機能差はない(図1)。ただポリシー管理の簡単さとGUIの使い勝手という操作面では,Active Directoryに軍配が上がる。ここを見極めれば,OpenLDAPを用いたコスト削減の道が開けてくる。

図1●OpenLDAPとActive Directoryの標準機能
図1●OpenLDAPとActive Directoryの標準機能
ユーザーの集中管理に関する機能に限ればOpenLDAP単体で事足りる。Active Directoryは,LDAPをベースにWindowsの管理機構としたもの
[画像のクリックで拡大表示]

資源管理はOpenLDAPで十分

 ディレクトリ・サービスの構築がOpenLDAPで事足りるかどうかは,ディレクトリ・サービスが持つ基本機能を知ることで見えてくる。OpenLDAPはその名の通り,ディレクトリ・サービスの標準仕様であるLDAPリファレンス実装だからだ。Active Directoryを理解するためにも,まずはディレクトリ・サービスの基本を押さえておきたい。

 ディレクトリ・サービスは,ユーザーやコンピュータの情報を一元管理する,電子電話帳のようなデータベースである(図2)。ディレクトリにユーザー・アカウントやパスワード,メール・アドレスなどを格納しておくことで,それらの情報を各アプリケーションが共用して認証の一元化などを実現できる。LDAPでは,これらの情報の登録や更新,検索といった機能を操作するためのアクセス手法を定めている。

図2●ディレクトリ・サービスの基本機能
図2●ディレクトリ・サービスの基本機能
ユーザーやデバイスの情報を一括管理することで,シングル・サインオンや関連会社など異組織との連携を可能にする。
[画像のクリックで拡大表示]

 電子電話帳と違うのは,複数のディレクトリによる分散管理が可能なこと。格納した情報は一元管理機能を保持したまま,冗長化や負荷分散のために複数動作させたり,別組織のディレクトリ・サービスと連携させられる。このため部門レベルからグループ企業に至るまで,規模によらず一元管理できるだけの拡張性を持つ。

機能重視ならActive Directory

 LDAPのリファレンス実装となっているOpenLDAPに対し,Active DirectoryはLDAP準拠のディレクトリ・サービスを核として,Windowsネットワークの管理に必要な機能を追加したサービスである(図3)。

図3●Active Directoryが標準で持つLDAP拡張機能
図3●Active Directoryが標準で持つLDAP拡張機能
グループポリシーによる集中管理,証明書の配付,および著作権保護機能を標準で備える。OpenLDAPの場合は,それぞれ必要に応じてソフトウエアを追加する。

 LDAPについては,ユーザーの氏名,住所,電話番号といったデータの形式を定めた約束事(スキーマ)がRFCなどで決められている。Active Directoryは独自にスキーマを拡張することで,Windowsネットワークの設定を一元管理する「グループポリシー」,デジタル証明書の配付,ファイルの複製を制御する著作権管理機能などのサービスを支えるデータベースとして機能している。OpenLDAP環境であっても同等のシステムを構築するのは可能だが,複数のアプリケーションを組み合わせて自力で構築するか,OSベンダーやサードパーティが提供するパッケージ・ソフトを利用する必要がある。

 グループポリシーは,Windowsの設定情報(実体はレジストリ・ファイル)を,管理対象であるコンピュータ,ユーザーといった単位で一元管理できる機能。Active Directoryで管理するグループ単位で,それぞれ異なるポリシーの適用が可能だ。OpenLDAPで同様の機能を実現するには,Windows互換のファイル/プリンタ共有サービスであるSambaWindowsドメインを分割するなど,多少トリッキーな工夫が必要になる。グループポリシーをOpenLDAP環境で利用するなら,2008年に正式版が登場するSamba 4.0を待つのが賢明だろう。

 証明書の配付機能は,証明書を発行する認証サーバーによるデジタル証明書の一元管理を支援する。OpenLDAPを証明書発行のデータベースとして使うには,オープンソースのSSLソフト「OpenSSL」などと組み合わせる手間が発生する。

 著作権管理は,「Active Directory Rights Managementサービス」が提供するWindowsクライアント向けのコピー制御機能だ。ファイルを暗号化した上で,復号に使う鍵をActive Directoryで管理する。著作権管理と聞くとコンテンツ・ホルダー向けのように聞こえるが,企業ユーザーにとって従来型のアクセス制御では防げないファイルの不正持ち出しの制限など情報漏えい対策に使える機能である。この機能はマイクロソフトの独自技術を基盤とするため,OpenLDAP環境では利用するすべがない。