PR

(注:記事は執筆時の情報に基づいており,現在では異なる場合があります)

Windows Server 2003とSamba 3.0のコスト/機能比較

表4●SambaとWindows Server 2003のコスト比較例
ユーザーが2000人,サーバーを10台運用する場合を例に挙げた。クライアント・ライセンスの費用で大幅な差が生じているのが分かる。
図4●SambaのLDAPSAMで実現できる主な機能
Active Directoryで利用できる機能の多くが実現できる。
写真1●Active DirectoryのGUI管理ツール
図5●1台のLDAPサーバーを複数のSambaドメインで共有
Sambaにはグループポリシー機能が無いが,グループ単位にドメインを分割すれば個別のポリシー適用ができる。

 以上,見てきたようにSamba 3.0には魅力的な新機能や機能拡張が目白押しである。それでは,Windowsサーバーの最新版,Windows Server 2003と比べるとどうだろうか。Windows Server 2003の機能を挙げながら,Samba 3.0との比較をしてみよう。

●コスト比較

 最初にまずコスト比較をしてみよう。

 例えば,100人の社員がいる会社に2台のファイル・サーバーを導入する場合を考えてみる。Windows Server 2003でファイル・サーバーを構築した場合は,Windows Server 2003のサーバー・ライセンス料が1台当たり13万円,1ユーザー・ライセンス料が5200円*5であるから,合計78万円のソフトウエア費用がかかる。

 一方,Samba 3.0と(商用サポートがない)無償Linuxを利用すれば,これらの費用をゼロにできる。商用サポートの利用できる有償Linuxを使ったとしても,MIRACLE LINUX Standard Editionは1サーバー6万円,Red Hat Enterprise Linuxは1サーバー19万8千円で購入できる。

 コストに大きく影響するのがクライアント・ライセンス費用の有無である。Linuxの場合は,クライアント・ライセンスは不要なので有償サポートを契約したとしても,Windowsよりも大幅なコスト削減が実現できることが分かる(表4[拡大表示])。

●Active Directory対応

 現在,Sambaの大きな弱点と言えるのがActive Directoryへの対応が十分でないことである。Active Directoryサーバーとして動作できないので,Windows 2000で構築しているActive Directoryドメインを,そのままSambaで置き換えることはできない。

 一方,Windows Server 2003ではWindows 2000互換の機能を備えるほか,フォレスト間で信頼関係を結べるなど,いくつもの機能強化を施している。管理性もWindows 2000に比べて向上した。そのため,Active Directoryを利用している場合には,軍配は文句無くWindows Server 2003に挙がる。

 しかし,Active Directoryにこだわらず,ディレクトリ・サーバーによるユーザー管理を実現できれば良いというスタンスであれば状況は変わる。SambaのLDAP認証機能(LDAPSAM)を利用すれば,LDAPサーバーによるユーザー管理が可能になるからである。Active Directoryと同等とは言わないまでも,それに近い環境は構築できると言える。そもそも,Windows 2000やWindows Server 2003のActive Directoryは,ユーザー管理をLDAP(ディレクトリ・サービス)で行い,認証機構にKerberos V5を利用したものである。

 そこで以下では,Active DirectoryとLDAPSAMを比較して話を進める。

 まず,ユーザー管理機能を比較する。といっても先に述べたように,どちらもLDAPを利用するので,SambaのLDAPSAMでも図4[拡大表示]のようなActive Directory相当の機能が利用できる。

 Active Directoryには,GUI管理機能が用意されているので視覚的に管理しやすい(写真1[拡大表示])。一方,Linux標準のLDAPサーバー「OpenLDAP」にはGUI管理機能が充実しておらず,コマンドが主体の管理になる。しかし,OpenLDAPではなく商用LDAPサーバー製品を利用すればGUI管理機能も利用できる。

 次にセキュリティである。これはActive Directoryが勝る。SambaのLDAPSAMでは,ユーザー認証にNTLMしか利用できないからである。セキュリティ強度は,Kerberos V5が利用できるActive Directoryの方が高い。ただし,NTLMでもイントラネットに閉じて利用する限りは,通常十分なセキュリティを提供できるし,Samba 3.0からはNTLMv2に対応したことでドメイン・ログオンでのデジタル署名と暗号化が可能になった。Windows 2000/XP/2003からはセキュアに利用できるだろう。

 Active Directoryには,「グループポリシー管理コンソール(GPMC)」が搭載されており,ユーザー/グループごとに細かなセキュリティ・ポリシーを適用できる。Sambaでもポリシーは利用できるが,Windows NT4.0相当のものでしかなく,ドメイン全体に適用されてしまう。SambaかWindows Server 2003かを選択する際,このセキュリティ・ポリシー適用の柔軟さを理由にWindows Server 2003が採用されてしまうことが多い。

 しかし,工夫次第でこの弱点は補うことができる。SambaのLDAPSAMでも,ユーザー/グループを「OU(Organization Unit)」単位に分割して管理できるし,1つのLDAPサーバーで複数のSambaドメインを構築することも可能である。複数のSambaドメインのそれぞれに異なるセキュリティ・ポリシーを適用すれば,Active Directoryのグループポリシーと同等の管理を実現できる(図5[拡大表示])。

 ただしこのようにすると,複数のSambaドメインで同じLDAPサーバーを利用するため,複数のドメインに同じユーザーが存在するように見えてしまう。これを解決するには,smb.confファイルの[global]セクションに「valid user=@グループ名」という指定を加え,ドメインにアクセスするグループを制限する。

(ミラクル・リナックス 小田切 耕司)


(次回に続く)